Parere del Comitato economico e sociale europeo su «Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni — Dispiegamento del 5G sicuro — Attuazione del pacchetto di strumenti dell’UE»

[COM(2020) 50 final]

(2020/C 429/37)

Relatore:	Alberto MAZZOLA
Correlatore:	Dumitru FORNEA

Consultazione	Commissione europea, 9.3.2020
Base giuridica	Art. 304 del Trattato sul funzionamento dell’Unione europea
Sezione competente	Trasporti, energia, infrastrutture, società dell’informazione
Adozione in sezione	3.9.2020
Adozione in sessione plenaria	16.9.2020
Sessione plenaria n.	554
Esito della votazione (favorevoli/contrari/astenuti)	217/0/2

1. Conclusioni e raccomandazioni

1.1.

Il CESE accoglie con favore l’iniziativa degli Stati membri (SM) e della Commissione europea (CE) di procedere alla verifica dello stato d’attuazione, da parte dei Paesi membri, dell’insieme di misure raccomandate nelle conclusioni del pacchetto di strumenti di misure strategiche, tecniche e misure chiave in tema di sicurezza nel dispiegamento dell’ecosistema 5G.

1.2.

Il CESE ritiene che, a fronte delle crescenti complessità e varietà di applicazioni del 5G (la CE ha stabilito i seguenti obiettivi di connettività per il 2025: scuole, università, centri di ricerca, ospedali, principali fornitori di servizi pubblici e imprese ad alta intensità digitale dovrebbero avere accesso a velocità di download/upload su Internet di un gigabit di dati al secondo; le famiglie urbane e rurali dovrebbero avere accesso alla connettività con una velocità di download di almeno 100 megabit al secondo; le aree urbane, le principali strade e ferrovie dovrebbero avere una copertura ininterrotta del 5G), tale verifica dell’ecosistema 5G così come delle azioni di competenza CE per la salvaguardia della cibersicurezza delle reti 5G e di una catena del valore del 5G diversificata, della normazione tecnica e certificazione, di investimenti esteri diretti e difesa commerciale e di concorrenza, degli obblighi di servizi pubblico, degli appalti e diplomazia informatica, debba riguardare la security geopolitica, delle infrastrutture e dei dati, e la safety sanitaria, anche ai sensi dell’articolo 168, paragrafo 1, del TFUE.

1.3.

Secondo il CESE, è importante che l’ecosistema europeo 5G assicuri integrità, riservatezza, responsabilità gestionali e operative, sicurezza, fungibilità d’approvvigionamento, interoperabilità dei componenti hardware e software, standard tecnico-normativi comuni, continuità di servizio, affidabilità di flusso e tutela dei dati, copertura in tutte le zone anche poco popolate, chiarezza di comunicazione all’utente come soggetto attivo sul mercato digitale, adesione dinamica agli orientamenti ICNIRP per una tutela della salute della popolazione, allo stesso tempo riducendo il più possibile le radiazioni. Di conseguenza, l’ICNIRP (Commissione internazionale per la protezione dalle radiazioni non ionizzanti) ha aggiornato la parte delle linee guida del 1998 relativa ai campi elettromagnetici a radiofrequenza. Il suo documento presenta queste linee guida rivedute dirette a proteggere la popolazione dalle esposizioni ai campi elettromagnetici da 100 kHz a 300 GHz, Health Phys. 118(5): 483-524; 2020, marzo 2020. L’ICNIRP (2020) ha apportato una serie di modifiche per garantire che le nuove tecnologie, come le tecnologie 5G, non saranno comunque in grado di provocare danni, indipendentemente da quelle che sono le nostre attuali previsioni.

1.4.

Il CESE chiede alla CE di monitorare rigorosamente i progressi nella diffusione e nell’uso reale del 5G e invita gli SM ad accelerare ulteriormente il processo e a garantire un’attuazione responsabile, tenendo conto di tutti gli aspetti di security e safety, ivi compresi gli aspetti relativi all’impatto delle tecnologie 5G sulla salute della popolazione e degli ecosistemi viventi, l’impatto socioeconomico e competitivo, l’impatto educativo e formativo, la garanzia di rispetto dei diritti fondamentali.

1.5.

Il CESE chiede che l’UE sia leader globale nella prossima generazione di tecnologia mobile 5G dotato di una infrastruttura digitale sicura come solido elemento costitutivo di una nuova moderna strategia industriale dell’Europa attraverso un cambiamento radicale nella connettività mobile e con un enorme potenziale dinamico per aumentare la produttività e far crescere l’economia ed i servizi per il cittadino.

1.6.

In particolare, il CESE ritiene imprescindibile garantire valutazioni del profilo di rischio dei fornitori e applicare restrizioni pertinenti per i fornitori considerati ad alto rischio, tra cui le esclusioni necessarie per mitigare efficacemente i rischi e stabilire le responsabilità, per asset chiave definiti critici e sensibili nella valutazione coordinata del rischio a livello UE.

1.7.

Il CESE ritiene irrinunciabile che l’Europa punti in una prospettiva di medio termine alla autonomia e autosufficienza in questo campo sostenendo fortemente la ricerca e una pluralità di imprese europee. Il CESE ritiene importante aumentare le risorse comunitarie per la R&I digitale e sostenere gli investimenti degli operatori e dei fornitori su nuove funzionalità tecniche di sicurezza, investimenti che devono poter procedere di pari passo con la capacità del mercato di riconoscere e remunerare tutte le iniziative volte ad accrescere la sicurezza e la resilienza dei sistemi.

1.8.

È importante dare garanzia di sicurezza a tutti gli Stati membri anche attraverso il mantenimento di centri di ricerca in una pluralità di aree territoriali dell’UE: il CESE inoltre mantiene il suggerimento di avere almeno due fornitori per ogni paese di cui almeno uno europeo, che possa garantire la sicurezza politica dei dati e il rispetto dei vincoli sanitari.

1.9.

Occorre, secondo il CESE, dare più enfasi agli strumenti per gli utenti, i cittadini e le pertinenti organizzazioni della società civile che sono limitati e carenti di efficienza, al di là della giusta enfasi data alle giuste misure sul potere dei regolatori nazionali e sul ruolo degli operatori di telecomunicazioni, con l’obiettivo di promuovere l’empowerment del consumatore rafforzandone le capacità per farne un soggetto proattivo sul mercato.

1.10.

La CE, il PE, il Consiglio e i governi e i parlamenti degli SM devono fornire un quadro democratico per la consultazione, in cui possano essere presentati al pubblico gli argomenti scientifici o tecnologici, le garanzie legali e le risposte delle istituzioni competenti alle domande della società civile.

1.11.

Il CESE raccomanda il rafforzamento della diplomazia tecnologica europea affinché l’UE assicuri condizioni più equilibrate e reciproche per gli scambi e gli investimenti, specie quanto all’accesso delle imprese al mercato, sussidi, appalti pubblici, trasferimenti tecnologici, proprietà industriale e norme sociali e ambientali.

2. Introduzione

2.1.

La sicurezza delle reti 5G è una questione di importanza strategica per i cittadini e le imprese, l’intero mercato unico e la sovranità tecnologica dell’UE. Già nel 2013 la Commissione ha lanciato l’iniziativa faro UE istituendo un partenariato pubblico-privato sul 5G (5G PPP) per accelerare la ricerca e l’innovazione nella tecnologia 5G.

2.2.

Con profitti a livello mondiale stimati a oltre 100 miliardi di EUR nel 2025, il 5G è una risorsa fondamentale per l’Europa per competere nel mercato globale e la sua cibersicurezza è essenziale per garantire l’autonomia strategica dell’Unione.

2.3.

Le reti 5G si basano sull’attuale 4a generazione (4G) delle tecnologie di rete e su un’infrastruttura in fibra ottica, fornendo nuove capacità di servizio e diventando l’infrastruttura centrale nonché il fattore abilitante per un’ampia parte dell’economia dell’Unione, per costituire la struttura portante di una vasta gamma di servizi essenziali per il funzionamento del mercato interno e per il mantenimento e la gestione di funzioni economiche e sociali vitali, quali l’energia, i trasporti, i servizi bancari e sanitari e i sistemi agricolo e industriale di produzione, distribuzione e consumo.

2.4.

Dato il ruolo centrale delle reti 5G nel realizzare la trasformazione digitale dell’economia e della società dell’UE e data la natura interconnessa e transnazionale delle infrastrutture alla base dell’ecosistema digitale e la natura transfrontaliera delle minacce in questione, eventuali vulnerabilità e/o incidenti di cibersicurezza significativi riguardanti le reti 5G che si verificano in uno Stato membro inciderebbero sull’Unione nel suo complesso. Per questo motivo è opportuno prevedere misure che siano alla base di un elevato livello comune di cibersicurezza delle reti 5G.

2.5.

Nel 2016 la Commissione — nel quadro di un complesso di iniziative a partire dalla comunicazione sulla connettività Gigabit per un mercato unico digitale competitivo (1), (2) e comprensivo di una riforma del quadro normativo per le comunicazioni elettroniche (3) e delle funzioni dell’Organismo dei regolatori europei delle comunicazioni elettroniche (BEREC) (4), delle priorità per la normazione delle TIC per il mercato unico digitale (5) nonché di misure per la promozione della connettività internet nelle comunità locali (6) — ha adottato un piano d’azione UE per il 5G (7), su cui il CESE ha avuto modo di pronunciarsi positivamente (8), per potenziare gli sforzi dell’UE per la diffusione di infrastrutture e servizi per il 5G nel mercato unico digitale con una tabella di marcia per gli investimenti pubblici e privati nelle infrastrutture del 5G nell’UE e un obiettivo entro il 2020 del lancio delle reti commerciali del 5G.

2.6.

Secondo la definizione fornita nella raccomandazione della CE (9), con «reti 5G» si intende «un insieme di tutti gli elementi pertinenti delle infrastrutture di rete per le tecnologie delle comunicazioni mobili e senza fili utilizzati per la connettività e per servizi a valore aggiunto con caratteristiche di prestazione avanzate, quali capacità e velocità di trasmissione dei dati molto elevate, comunicazioni a bassa latenza, affidabilità ultra-elevata o capacità di supportare un numero elevato di dispositivi connessi».

2.7.

La raccomandazione precisa che la CE sosterrà l’attuazione di un approccio dell’UE alla cibersicurezza del 5G e si adopererà, come richiesto dagli Stati membri, per garantire la sicurezza dell’infrastruttura 5G e della catena di approvvigionamento utilizzando, ove opportuno, tutti gli strumenti a sua disposizione:

—	regole relative alle telecomunicazioni, al multimedia e alla cibersicurezza;

—	coordinamento in materia di normazione e certificazione a livello dell’UE;

—	quadro per il controllo degli investimenti esteri diretti per proteggere la catena di approvvigionamento del 5G europeo;

—	strumenti di difesa commerciale;

—	norme di concorrenza;

—	appalti pubblici, garantendo che si tenga debitamente conto degli aspetti relativi alla sicurezza;

—	programmi di finanziamento dell’UE, garantendo che i beneficiari rispettino i pertinenti requisiti di sicurezza.

2.8.

Nel luglio 2019 gli Stati membri hanno presentato i risultati delle loro valutazioni dei rischi nazionali al Gruppo di cooperazione previsto dalla Direttiva NIS (10) (composto dai rappresentanti di ciascun SM), alla CE e all’ENISA, con informazioni sulle principali attività, minacce e vulnerabilità secondo lo standard ISO/IEC 27005, relative all’infrastruttura 5G e ai principali scenari di rischio, descrivendo i modi potenziali in cui gli attori delle minacce potrebbero sfruttare certe vulnerabilità di un’attività: tali valutazioni nazionali sono state alla base di una successiva valutazione coordinata e di una «cassetta degli attrezzi» comune di possibili misure di attenuazione del rischio.

2.9.

Nell’ottobre 2019 il Gruppo di cooperazione NIS, con il sostegno della CE e dell’ENISA, ha presentato una relazione sulla valutazione coordinata a livello di UE dei rischi per la cibersicurezza delle reti di quinta generazione 5G, che ha individuato diverse importanti sfide per la sicurezza legate alle innovazioni tecnologiche chiave di software, applicazioni e servizi, e al ruolo dei fornitori nella realizzazione ed uso delle reti 5G e al grado di dipendenza da singoli fornitori:

—	maggiore esposizione agli attacchi e aumento del numero dei potenziali punti di accesso per gli autori di tali attacchi;

—	sensibilità accresciuta per le nuove caratteristiche d’architettura e funzionalità delle reti 5G;

—	rischi legati alla dipendenza degli operatori di reti mobili dai fornitori, con aumento del numero dei percorsi di attacco sfruttabili da autori di minacce;

—	rilevanza del profilo di rischio dei singoli fornitori per possibili interferenze extra-UE;

—	aumento dei rischi derivanti da una forte dipendenza dai fornitori per eventuali interruzioni d’approvvigionamento causate da tensioni commerciali o altro;

—	minacce alla disponibilità e all’integrità delle reti in materia di sicurezza, di riservatezza e tutela della privacy.

2.10.

Tutte queste sfide creano un nuovo paradigma di sicurezza che richiede un riesame dell’attuale quadro politico e di sicurezza applicabile al settore e al suo ecosistema ed impone agli Stati membri di adottare le necessarie misure di attenuazione.

2.11.

Il 21 novembre 2019 l’ENISA ha pubblicato un rapporto dal titolo Panorama delle minacce per le reti 5G che ha fatto le sue valutazioni sulle minacce legate alla quinta generazione di reti di telecomunicazioni mobili e ha integrato la relazione degli Stati membri dell’UE.

2.12.

Il 29 gennaio 2020 il Gruppo di cooperazione NIS ha pubblicato la Cybersecurity of 5G networks — EU toolbox of risk mitigating measures (11) con una possibile serie comune di misure in grado di mitigare i principali rischi di cibersicurezza delle reti 5G e fornire orientamenti per la selezione delle misure che dovrebbero essere prioritarie nei piani di mitigazione a livello nazionale e dell’UE. Lo stesso giorno la Commissione europea ha adottato una comunicazione a sostegno del pacchetto di strumenti (12) che è l’oggetto del presente parere.

2.13.

Le principali parti interessate dell’infrastruttura di reti 5G sono:

—	i cittadini, i consumatori e gli utenti finali del 5G;

—	gli operatori di reti mobili (MNO): organizzazioni che forniscono servizi di rete mobile agli utenti, gestendo la propria rete con l’aiuto di terzi;

—

i fornitori di operatori di rete mobile: organizzazioni che forniscono agli MNO servizi o infrastrutture che permettono a questi di costruire e/o gestire le loro reti. Questa categoria comprende: produttori di apparecchiature per telecomunicazioni; altri fornitori di terze parti, come fornitori di infrastrutture cloud, integratori di sistemi, appaltatori di sicurezza e manutenzione, produttori di apparecchiature di trasmissione;

—

i produttori di dispositivi connessi e i relativi fornitori di servizi: entità che forniscono oggetti o servizi che si collegheranno alle reti 5G (ad esempio smartphone, veicoli connessi, sanità elettronica) e relativi componenti di servizio ospitati nel piano di controllo 5G come definito nell’architettura basata sui servizi o Mobile Edge Computing;

—	altre parti interessate, compresi i fornitori di servizi e contenuti.

Tutti questi soggetti costituiscono importanti parti interessate alla sicurezza, sia in termini di contributo alla sicurezza informatica delle reti 5G sia come potenziali punti di ingresso o vettori per attacchi. È quindi importante valutare i rischi legati alla loro posizione nell’ecosistema 5G.

2.14.

Le principali categorie tradizionali di minacce sono legate al compromesso di riservatezza, integrità e disponibilità. Più specificamente, è stato riscontrato che una serie di scenari di minaccia rivolti alle reti 5G riguarda in particolare:

—	interruzione della rete 5G locale o globale (disponibilità);

—	spionaggio di traffico dati nell’infrastruttura di rete 5G (riservatezza);

—	modifica o re-instradamento del traffico dati nell’infrastruttura di rete 5G (integrità e/o riservatezza);

—	distruzione o alterazione di altre infrastrutture o sistemi di informazione digitali attraverso le reti 5G (integrità e/o disponibilità).

2.15.

Le minacce poste dagli Stati o dagli attori sostenuti dallo Stato sono percepite come di massima rilevanza in quanto rappresentano effettivamente gli attori più seri e più probabili della minaccia, in quanto possono avere motivazioni, intenti e soprattutto capacità di condurre attacchi persistenti e sofisticati alla sicurezza delle reti 5G.

Sebbene molte di queste vulnerabilità non siano specifiche delle reti 5G, è probabile che il loro numero e significato aumentino con il 5G, a causa del maggiore livello di complessità della tecnologia e del futuro maggiore affidamento di economie e società su questa infrastruttura.

2.16.

In particolare, poiché le reti 5G saranno in gran parte basate su software, i principali difetti di sicurezza, come quelli derivanti da scarsi processi di sviluppo del software all’interno dei fornitori di apparecchiature, potrebbero rendere più facile per gli attori inserire intenzionalmente backdoor intenzionali nei prodotti e renderli anche più difficili da rilevare. Ciò può aumentare la possibilità che il loro sfruttamento abbia un impatto negativo particolarmente grave e diffuso. E, se le questioni relative alla cibersicurezza del 4G non sono ancora state pienamente risolte, per le tecnologie 5G i problemi potrebbero crescere in modo esponenziale.

2.17.

Vi sono poi da considerare vulnerabilità legate al processo o alla configurazione:

—	mancanza di personale specializzato e addestrato per proteggere, monitorare e mantenere le reti 5G;

—	carenze di adeguati controlli interni di sicurezza, pratiche di monitoraggio, sistemi di gestione della sicurezza e insufficienze nelle pratiche di gestione dei rischi;

—	inadeguatezza delle procedure di sicurezza o di manutenzione operativa, come l’aggiornamento del software/gestione delle patch nelle reti 5G;

—	non conformità agli standard 3GPP o attuazione errata degli standard;

—	carenze progettuali o d’architettura della rete inclusa la mancanza di efficaci meccanismi di emergenza e continuità, inadeguata o errata configurazione ad esempio nella virtualizzazione o nei diritti di amministrazione o di accesso;

—	criteri inadeguati per l’accesso locale e remoto ai componenti di rete;

—	insufficienza dei requisiti di sicurezza nel processo di approvvigionamento: questa vulnerabilità può assumere la forma di strategie inadeguate per la selezione dei fornitori o una mancanza di prioritarizzazione della sicurezza rispetto ad altri aspetti.

2.18.

I profili di rischio dei singoli fornitori devono essere valutati sulla base di diversi fattori, in particolare: possibilità che il fornitore sia soggetto a interferenze da un paese extra UE facilitate da forti legami tra il fornitore e un governo di un determinato paese terzo; legislazione del paese terzo, in particolare laddove non siano in essere sistemi legislativi o democratici di bilanciamento dei poteri e, di conseguenza, le filiali dell’azienda che operano nell’UE potrebbero essere dissuase dal conformarsi alla legislazione dell’UE, o in assenza di accordi sulla sicurezza o sulla protezione dei dati tra l’UE e il paese terzo in questione; caratteristiche della proprietà aziendale del fornitore; capacità per il paese terzo di esercitare qualsiasi forma di pressione, anche in relazione al luogo di produzione dell’apparecchiatura; qualità generale dei prodotti e pratiche di cibersicurezza del fornitore, compreso il grado di controllo sulla propria catena di approvvigionamento e adeguate priorità alle pratiche di sicurezza.

2.19.

Gli SM hanno convenuto di garantire che siano in atto misure per rispondere in modo adeguato e proporzionato ai rischi già individuati e ai possibili rischi futuri. In particolare, hanno convenuto di garantire che sarebbero in grado di limitare, vietare e/o imporre requisiti e condizioni specifici, secondo un approccio basato sul rischio, per la fornitura, la distribuzione e il funzionamento delle apparecchiature di rete 5G.

2.20.

In quest’ottica, gli SM dovrebbero garantire:

—	il rafforzamento dei requisiti di sicurezza per gli operatori di rete mobile come controlli di accesso rigorosi, norme sul funzionamento e monitoraggio sicuri, limitazioni sull’esternalizzazione di funzioni specifiche;

—

valutazioni del profilo di rischio dei fornitori sulla base di criteri chiari e obiettivi; di conseguenza, applicazione di restrizioni pertinenti, in linea con i principi di proporzionalità e certezza giuridica, per i fornitori considerati ad alto rischio, tra cui le esclusioni necessarie per mitigare efficacemente i rischi, per asset chiave definiti critici e sensibili nella valutazione coordinata del rischio a livello UE;

—	adozione di norme di sicurezza e migliori pratiche basate sul consenso e riconosciute e attuate a livello globale;

—	disponibilità da parte di ciascun operatore di una strategia multi-vendor adeguata per evitare o limitare qualsiasi dipendenza significativa da un singolo fornitore o da fornitori con un profilo di rischio simile;

—

controllo rigoroso dell’accesso all’uso della certificazione per componenti e/o processi della rete 5G e gestione, funzionamento e monitoraggio sicuri della rete. Tale strategia deve essere fondata su un’analisi del rischio condotta dagli Stati membri e dagli operatori, in modo che la scelta di una strategia multi-vendor non aumenti il livello di rischio per la rete dell’operatore;

—	adeguato equilibrio di fornitori a livello nazionale ed evitare la dipendenza da fornitori considerati ad alto rischio, anche promuovendo una maggiore interoperabilità delle apparecchiature;

—

mantenimento di una catena di approvvigionamento 5G diversificata e sostenibile al fine di evitare la dipendenza a lungo termine, sfruttando appieno gli strumenti UE di controllo degli investimenti esteri diretti, strumenti di difesa commerciale, disciplina della concorrenza, disciplina UE degli appalti;

—

rafforzamento delle capacità interne dell’UE nelle tecnologie 5G e post 5G facendo uso dei pertinenti programmi e finanziamenti UE, coordinamento tra gli Stati membri in materia di normazione rafforzando capacità di «test» e «auditing», per conseguire specifici obiettivi di sicurezza e sviluppare pertinenti sistemi di certificazione UE ai sensi della legge sulla sicurezza informatica e la promozione dell’interoperabilità.

2.21.

Come sottolineato a più riprese dalla CE, il mercato interno europeo è e rimane aperto per chi vuol venire in Europa purché tutti rispettino regole chiare ed esigenti basate su criteri oggettivi.

2.22.

Il Consiglio ha sottolineato il 6 giugno 2020 l’importanza di rafforzare la sovranità e la cooperazione digitali nell’UE nonché la creazione di sinergie attraverso programmi dell’UE come il meccanismo per collegare l’Europa e il programma per l’Europa digitale con lo sviluppo delle competenze digitali, dello sviluppo dell’economia dei dati, l’importanza dell’intelligenza artificiale e della sicurezza informatica con un ruolo attivo del digitale nel raggiungimento degli obiettivi del Green Deal.

3. La comunicazione della Commissione

3.1.

In risposta al 5G security toolbox del Gruppo di comunicazione NIS, la CE:

—	si adopera, come richiesto dagli SM, per garantire la sicurezza dell’infrastruttura 5G e della catena d’approvvigionamento utilizzando, ove opportuno, tutti gli strumenti a sua disposizione;

—	invita SM e istituzioni a garantire l’attuazione di strategie efficaci di attenuazione dei rischi, ad adottare ulteriori misure di coordinamento a livello UE per un approccio concertato alla cibersicurezza 5G;

—	invita gli SM a procedere all’attuazione dell’insieme di misure raccomandate nelle conclusioni del pacchetto di strumenti e a preparare una relazione congiunta sulla loro attuazione mentre il gruppo di cooperazione NIS continuerà a lavorare per sostenere l’attuazione del pacchetto di strumenti;

—

prevede (nei settori di sua competenza) azioni di salvaguardia della cibersicurezza delle reti 5G e di una catena del valore del 5G diversificata, della normazione tecnica e della certificazione, degli investimenti esteri diretti e di difesa commerciale e concorrenza, degli appalti e della diplomazia informatica nonché dei propri programmi e fondi pertinenti specie per R&I, coesione e sviluppo.

4. Osservazioni generali

4.1.

Il CESE è convinto che le nuove tecnologie 5G siano in grado di trasformare il modo in cui interagiamo con il mondo, offrendo opportunità per nuove applicazioni, modelli di business, nuovi stili di vita, fabbriche intelligenti, maggiore produttività e nuovi servizi di qualità per il cittadino, aprendo potenzialmente le porte a tecnologie rivoluzionarie come automobili automatizzate e sistemi di produzione e distribuzione avanzati, oltre a consentire molte migliaia di dispositivi interconnessi che dovrebbero entrare nel nostro mondo quotidiano come parte dell’Internet degli oggetti (IoT). Tuttavia, il CESE auspica che la CE approfondisca gli studi di impatto e di fattibilità e l’analisi costi-benefici delle tecnologie 5G in confronto all’uso della tecnologia 4G o delle telecomunicazioni in fibra ottica. Il CESE ritiene essenziale che il 5G sia orientato a conseguire un migliore uso circolare delle risorse e a ridurre la considerevole impronta di CO2 legata all’energia. Il CESE sottolinea l’importanza di affrontare i cambiamenti strutturali sociali rafforzando una transizione equa e agevole, e affrontando il divario di competenze per ottenere posti di lavoro meglio retribuiti, flessibili e altamente qualificati.

4.2.

I triplici rischi (pandemie incontrollate, arsenali di politica economica insufficienti e «cigni neri» geopolitici) potrebbero spingere l’economia globale in una depressione persistente e a crolli e fughe dal mercato finanziario, proprio mentre tutte le componenti della società europea stanno acquisendo sempre più la consapevolezza che per uno sviluppo economico sostenibile e per la rivoluzione digitale in atto (di cui il 5G rappresenta uno degli strumenti principe) sia necessario ricorrere a modalità che guardino simultaneamente alla sovranità tecnologica, all’aumento di produttività e a un uso più efficiente delle risorse di cui si può disporre con il sostegno di un quadro giuridico-normativo ed economico-finanziario adeguato.

4.3.

Il CESE esorta le istituzioni dell’UE e gli Stati membri a completare il mercato unico digitale, compreso lo sviluppo di capacità per integrare e utilizzare i servizi 5G per difendere e migliorare la competitività delle industrie europee: chiede alla CE di monitorare rigorosamente i progressi nella diffusione e nell’uso reale del 5G e invita gli Stati membri ad accelerare ulteriormente il processo tenendo conto di tutti gli aspetti di security e safety, ivi compresi gli aspetti relativi all’impatto delle tecnologie 5G sulla salute della popolazione e degli ecosistemi viventi, l’impatto socioeconomico e competitivo, l’impatto educativo e formativo, la garanzia di rispetto dei diritti fondamentali, come il diritto alla proprietà o il diritto alla privacy e alla sicurezza dei dati personali.

4.4.

Il CESE chiede che l’UE sia leader globale nella prossima generazione di tecnologia mobile 5G dotata di una infrastruttura digitale sicura come solido elemento costitutivo di una nuova moderna strategia industriale dell’Europa attraverso un cambiamento radicale nella connettività mobile e con un enorme potenziale dinamico per aumentare la produttività e far crescere l’economia ed i servizi per il cittadino, il suo benessere e la tutela del clima e dell’ambiente mettendo l’UE in prima linea nella rivoluzione del 5G.

4.5.

Dato che la sicurezza cibernetica e la sicurezza nazionale sono due aspetti indissolubilmente legati, il CESE ritiene che qualsiasi decisione sulla sicurezza nazionale di un paese membro dell’UE debba essere presa nel contesto UE e che le valutazioni non tecniche debbano essere applicate in modo obiettivo sulla base di criteri per la valutazione del rischio definiti a livello europeo necessari per garantire un ambiente normativo prevedibile e armonizzato in tutta Europa che garantisca piena interoperatività.

4.6.

Il CESE ritiene che la qualità dell’informazione e le modalità di comunicazione — il cosiddetto «framing effect», effetto di contesto, o posizione di rilevanza («salience») — influenzino significativamente le opzioni di comportamento dei destinatari. L’obiettivo di promuovere l’empowerment del consumatore si traduce pertanto nella identificazione di strumenti volti a educarlo e a rafforzarne le capacità, a farne un soggetto attivo sul mercato digitale. Il CESE riconosce la necessità di fornire ai cittadini informazioni aggiornate e corrette sui benefici e i rischi del 5G basate sul consenso della grande maggioranza della comunità scientifica segnalando gli aspetti sui quali tale consenso è incerto.

4.7.

Il CESE è convinto che l’accesso al mercato digitale europeo debba continuare a rimanere libero per qualsiasi impresa senza discriminazioni ma nell’ambito del rispetto di un quadro europeo di regole, norme e criteri di valutazione e di sicurezza fermi e chiari che pongano al centro della strategia europea il recupero e rilancio della sovranità tecnologica europea che gli è propria.

4.8.

Anche se i cinque principali fornitori di infrastrutture comprendono due fornitori europei, due cinesi e uno coreano (13), nessuna grande azienda europea è tra le prime a produrre dispositivi e chipset 5G. Il CESE è convinto che debba essere garantita una pluralità di fornitori di cui almeno uno di proprietà madre europea e che venga assicurato un quadro di interoperatività e di piena fungibilità delle componenti hardware e software anche per assicurare una piena sovranità tecnologica europea nell’ambito di una forte cooperazione internazionale e di piena reciprocità di apertura, accesso e operatività nei mercati. Tale diversificazione potrebbe essere applicata fintanto che l’interoperabilità dei servizi sarà possibile e i rischi di cibersicurezza non saranno aumentati a causa della diversità.

4.9.

Il CESE ritiene irrinunciabile che l’Europa punti in una prospettiva di medio termine alla autonomia e autosufficienza in questo campo sostenendo fortemente la ricerca e una pluralità di imprese europee. Il CESE accoglie con favore il pacchetto di misure concordato dagli Stati membri per affrontare i rischi di sicurezza (security and safety) connessi all’introduzione della tecnologia 5G, già identificati dall’assessment europeo. Ritiene però che i limiti di esposizione rigorosi e sicuri per i campi elettromagnetici come raccomandati a livello UE e basati su indicazioni aggiornate dell’International Commission on Non-Ionizing Radiation Protection (ICNIRP), riconosciuta dall’Organizzazione mondiale della sanità (OMS), debbano applicarsi a tutte le bande di frequenza previste per il 5G (14): i limiti ICNIRP sono basati sul principio di precauzione, poiché sono 50 volte inferiori ai livelli di effetto sulla salute per il pubblico stabiliti sulla base delle prove scientifiche disponibili.

4.10.

Tuttavia, il CESE osserva che le linee guida dell’ICNIRP non sono riconosciute come valide da tutta la comunità scientifica, dato che alcuni scienziati propugnano limiti di esposizione della popolazione molto più rigorosi, secondo il principio ALARA. Le soluzioni che potrebbero essere proposte per integrare l’infrastruttura di comunicazione 5G includono l’uso di connessioni per la trasmissione di dati fisse da parte delle tecnologie non radio esistenti (cavi Ethernet, fibre ottiche ecc.) in situazioni in cui l’uso avviene in posizione fissa (bancomat, terminali bancari nel punto di vendita, robot industriali, robot medici da remoto ecc.) e nel caso di operatori che utilizzano la trasmissione di grandi volumi di dati (fornitori di servizi digitali, società/imprese ecc.); l’Internet degli oggetti (IoT — Internet of things) presente in posizioni fisse, non mobili (casa intelligente — smart home — città intelligente — smart city — sensori negli impianti dei servizi pubblici ecc).

4.11.

La CE, il Parlmento europeo (PE), il Consiglio e i governi e i parlamenti degli SM devono fornire un quadro democratico per la consultazione, in cui possano essere presentati al pubblico gli argomenti scientifici o tecnologici, le garanzie legali e le risposte delle istituzioni competenti alle domande della società civile.

4.12.

4.13.

Il CESE ha riconosciuto (15) l’esistenza del problema dell’ipersensibilità elettromagnetica (EHS) e ha evidenziato le sue preoccupazioni, considerando incoraggiante constatare che sono in corso ulteriori ricerche approfondite per comprendere il problema e le sue cause ed esortando la CE a proseguire ed aggiornare i lavori in tale campo.

4.14.

La credibilità dei fornitori di servizi di telecomunicazione e applicazione 5G è essenziale, a parere del CESE, dato che la gestione delle informazioni su Internet sono alla base di servizi di dati aggregati che vengono raccolti ed elaborati dagli utenti, attraverso meccanismi tecnologici, legali e fiscali, e mettendo in interrelazione diretta oggetti, macchine e algoritmi.

4.15.

Il CESE ha suggerito (16) di passare dai concetti di proprietà dei dati a una definizione dei diritti dei dati per le persone e le persone giuridiche. I consumatori dovrebbero avere il controllo dei dati prodotti dagli apparecchi collegati in modo da garantire la privacy dei consumatori con accessibilità, interoperabilità e trasferimento dei dati, garantendo al contempo un’adeguata protezione e riservatezza dei dati, una concorrenza leale e una più ampia scelta dei consumatori.

4.16.

Il regolamento generale sulla protezione dei dati (GDPR) dovrebbe essere arricchito da chiare linee applicative per ottenere un’applicazione uniforme e un elevato livello di protezione dei dati e dei consumatori alla luce dell’interconnettività di macchine e oggetti e rivedere le norme sulla responsabilità civile e l’assicurazione dei prodotti per adattarli a una situazione in cui le decisioni verranno sempre più prese dal software in un quadro di piena sicurezza.

4.17.

Il CESE ritiene fondamentale che gli Stati membri seguano le raccomandazioni strategiche e tecniche presenti nella cassetta degli attrezzi UE, evitando di sviluppare approcci nazionali specifici, come ad esempio test e certificazioni aggiuntive che provocherebbero una frammentazione del mercato, ritardi nella implementazione delle tecnologie e incoerenze tra mercati, con il rischio di minare la fiducia nei sistemi di collaudo e certificazione.

4.18.

Il CESE ritiene fondamentale avvalersi di standard globali, con supporti accresciuti da parte europea, e di best practice condivise e riconosciute per consentire la gestione efficiente delle minacce, generare economie di scala, evitare la frammentazione e garantire l’interoperabilità dei sistemi europei. Le conversazioni sugli standard tecnici sono un necessario chiarimento che consentirà alle aziende di competere ancora una volta e condurre in queste attività fondamentali che consentono di implementare tecnologie avanzate, come 5G e intelligenza artificiale (AI), in tutti i mercati.

4.19.

In particolare, il CESE ritiene imprescindibile garantire valutazioni del profilo di rischio dei fornitori e applicare restrizioni pertinenti per i fornitori considerati ad alto rischio, tra cui le esclusioni necessarie per mitigare efficacemente i rischi, per asset chiave definiti critici e sensibili nella valutazione coordinata del rischio a livello UE.

4.20.

Il CESE ritiene importante aumentare gli investimenti degli operatori e dei fornitori su nuove funzionalità tecniche di sicurezza, investimenti che devono poter procedere di pari passo con la capacità del mercato di riconoscere e remunerare tutte quelle iniziative volte ad accrescere la sicurezza e la resilienza dei sistemi. Una maggiore visibilità sugli investimenti in sicurezza potrebbe introdurre nuovi elementi di premialità del mercato.

4.21.

Il CESE sostiene con forza interventi comuni a sostegno dello sviluppo industriale e dispiegamento del 5G: valutazione di potenziali fallimenti o lacune di mercato lungo la catena del valore del 5G, tali da giustificare interventi mirati nel quadro del prossimo bilancio a lungo termine o un possibile progetto di comune interesse europeo sulla cibersicurezza 5G (security and safety).

4.22.

Il CESE sottolinea che, anche se l’infrastruttura digitale ha dimostrato di essere resistente e robusta durante la crisi della pandemia di COVID-19, sono necessari ulteriori investimenti nell’infrastruttura 5G al fine di superare un divario digitale ancora esistente e che può limitare l’accesso dei cittadini all’e-health, all’e-learning e al lavoro a distanza.

4.23.

Sul piano della diplomazia tecnologica, il CESE giudica essenziale che l’UE assicuri condizioni più equilibrate e reciproche per gli scambi e gli investimenti, in particolare per quanto riguarda l’accesso delle imprese al mercato, i sussidi, gli appalti pubblici, i trasferimenti di tecnologia, la proprietà industriale e le norme sociali e ambientali, specie in presenza di «rivali sistemici che promuovono modelli alternativi di governance», incoraggiando al tempo stesso la piena concorrenza e l’innovazione tecnologica sul mercato.

4.24.

Il CESE sostiene con forza la necessità di mantenere una catena di approvvigionamento del 5G diversificata e sostenibile al fine di evitare dipendenze a lungo termine prevedendo la presenza di pluralità di fornitori in un quadro di fungibilità ed interoperatività, e di rafforzare ulteriormente nell’ambito del quadro finanziario 2021-2027 programmi e iniziative di potenziamento delle capacità e la sovranità tecnologica europea 5G e post 5G.

4.25.

Nel contesto del piano di risanamento per l’Europa, adottato il 27 maggio 2020, l’Indice di digitalizzazione dell’economia e della società 2020 (2020 Digital Economy and Society Index — DESI) informerà l’analisi specifica per paese a sostegno delle raccomandazioni digitali del semestre europeo. Ciò aiuterà gli SM a indirizzare e dare priorità alle loro esigenze di riforma e di investimento, facilitando così l’accesso al dispositivo per la ripresa e la resilienza per un valore di 560 miliardi di euro. Il dispositivo fornirà agli SM i fondi per rendere le loro economie più resistenti e garantire che gli investimenti e le riforme sosterranno le transizioni verde e digitale. Poiché la pandemia ha avuto un impatto significativo su ciascuna delle cinque dimensioni del DESI, le conclusioni del 2020 per il 5G dovrebbero essere lette congiuntamente alle numerose misure adottate dalla CE e dagli SM per gestire la crisi e sostenere la ripresa.

Bruxelles, 16 settembre 2020

Il presidente del Comitato economico e sociale europeo

Luca JAHIER

(1) Art. 168, paragrafo 1, del TFUE «L'azione dell'Unione, che completa le politiche nazionali…»

(2) COM(2016) 587.

(3) COM(2016) 590.

(4) COM(2016) 591.

(5) COM(2016) 176.

(6) COM(2016) 589.

(7) COM(2016) 588.

(8) GU C 125 del 21.4.2017, pag. 74.

(9) Raccomandazione (UE) 2019/534 della Commissione, del 26 marzo 2019, Cibersicurezza delle reti 5G (GU L 88 del 29.3.2019, pag. 42).

(10) Direttiva (UE) 2016/1148 del Parlamento europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione (GU L 194 del 19.7.2016, pag. 1).

(11) https://ec.europa.eu/digital-single-market/en/news/secure-5 g-deployment-eu-implementing-eu-toolbox-communication-commission.

(12) https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52020DC0050&from=EN.

(13) I 5 fornitori mondiali sono attualmente: Ericsson, Nokia, Huawei, ZTE e Samsung.

(14) EP — E-003040/2019, risposta di Stella Kyriakides a nome della Commissione europea a un'interrogazione scritta (17.01.2020).

(15) GU C 242 del 2.7.2015, pag. 31.

(16) GU C 353 del 18.10.2019, pag. 79.