Tra le innumerevoli conseguenze che abbiamo imparato a conoscere della guerra in Ucraina, c’è quella dell’aumento delle minacce per la cybersicurezza nazionale, come è emerso anche dall’ultima serie di attacchi che ha colpito alcuni siti governativi e istituzionali italiani. Intervistati al riguardo, autorità e responsabili della cybersicurezza in Italia hanno fatto appello a un concetto che è diventato negli ultimi anni sempre più rilevante per l’Unione Europea, e non solo: l’indipendenza tecnologica. “Se io mi affido a un certo operatore e poi per qualche questione geopolitica, quell’operatore perde quella fiducia della quale poteva godere qualche giorno prima, aumenta il rischio e diventa poi un problema per la nazione intera. Per questo credo che l’Italia e l’Europa nel suo complesso debbano lavorare nei prossimi vent’anni per cercare di diminuire questa dipendenza tecnologica dall’estero”, spiegava in un’intervista del 2 aprile a Milano Finanza, Roberto Baldoni, direttore dell’Autorità per la cybersicurezza nazionale (ACN). Anche Franco Gabrielli, sottosegretario alla presidenza del Consiglio a Autorità delegata per la sicurezza della Repubblica, in un’intervista al Corriere della Sera del 25 aprile, invocava lo stesso antidoto: “Stiamo costruendo un percorso verso l’indipendenza tecnologica che non può essere solo nazionale ma va immaginata in una dimensione europea”.
Il provvedimento disposto dall’Agenzia per la cybersicurezza nazionale per arginare eventuali rischi per la sicurezza informatica è quello contenuto nella circolare 21 aprile 2022, n. 4336, sulla “Diversificazione di prodotti e servizi tecnologici di sicurezza informatica”. In sintesi, la pubblica amministrazione deve provvedere alla sostituzione di prodotti e servizi forniti da società “legate alla Federazione Russa”: Kaspersky Lab, Group-IB e Positive Technologies. Un’impresa non da poco, se pensiamo che la sola Kaspersky, produttrice di un noto antivirus, in Italia ha all’attivo contratti con più di 2000 acquirenti. Il 17 maggio, inoltre, nel corso della riunione del Comitato Interministeriale per la Cybersicurezza presieduta dal presidente Draghi, è stata approvata la Strategia nazionale di cybersicurezza 2022-2026 e l’annesso Piano di implementazione. Gli obiettivi prefissati nei due documenti sono: “il rafforzamento della resilienza nella transizione digitale del sistema Paese; il conseguimento dell’autonomia strategica nella dimensione cibernetica; l’anticipazione dell’evoluzione della minaccia cyber; la gestione di crisi cibernetica e il contrasto della disinformazione online”.
In base a questi documenti, alla lotta contro gli attacchi cyber verrà riservata una quota percentuale (1,2%) degli investimenti nazionali lordi su base annuale per il finanziamento di progetti specifici che dovrebbero “garantire l’autonomia tecnologica” in ambito digitale e “l’innalzamento dei livelli di cybersicurezza dei sistemi informativi nazionali”. Ma è specificato che “tali leve finanziarie potranno anche consistere” in sgravi fiscali per le aziende o nell’introduzione di aree nazionali a tassazione agevolata per la costituzione di parchi sulla cybersicurezza e hub delocalizzati. Invece, dei famosi 623 milioni del PNRR destinati alla cybersicurezza, meno della metà andrebbero a potenziare la capacità cyber della PA; e i fondi restanti sarebbero allocati su servizi nazionali di prevenzione e risposta alle minacce, da un lato; e dall’altro, su laboratori di scrutinio e certificazione tecnologica, il cui obiettivo sarebbe il raggiungimento di un’autonomia tecnologica nazionale. Concetto più volte ripreso nel corso della conferenza stampa di presentazione della Strategia nazionale di cybersicurezza tenuta dal direttore Baldoni e dal sottosegretario Gabrielli, e sottolineato dal presidente Draghi nella prefazione del documento (dove la parola “autonomia” è ripetuta una decina di volte): “È nostra intenzione intensificare i progetti di sviluppo tecnologico per arrivare a disporre di un adeguato livello di autonomia strategica nel settore” della cyber sicurezza “e quindi garantire la nostra sovranità digitale”. Rientra in questa visione anche la transizione verso il cloud della pubblica amministrazione, inclusa la creazione del Polo Strategico Nazionale (PSN), ribadisce la strategia.
Tuttavia, la strada verso questi obiettivi è stretta e difficile. Non solo per l’Italia, ma per la stessa Europa.
Infatti la sovranità digitale è da tempo un’aspirazione dell’Ue. Il 7 e 8 febbraio scorso, a Parigi, si è tenuta sotto la presidenza francese del Consiglio Europeo la conferenza “Building Europe’s Digital Sovereignty”. A fare gli onori di casa, il ministro dell’Economia Bruno Le Maire che nel corso dell’intervento ha sottolineato come non esista “una sovranità politica senza una sovranità tecnologica, che è la chiave del 21esimo secolo”. E ha poi illustrato una terza via che l’Europa deve seguire di fronte ai modelli proposti da Stati Uniti e Cina: “la sovranità digitale non deve appartenere né a privati – cita in particolare Meta – né a Stati autoritari, ma è nelle mani dei cittadini europei”. Quattro i temi cardine della conferenza: il ruolo dell’Unione Europea nella protezione del cyberspazio, la regolamentazione dell’industria tech, l’attrazione di capitali e talenti esteri per investire nell’innovazione e infine la promozione di infrastrutture e software che rispettino standard di condivisione aperti e liberi.
La questione è che l’Unione Europea sconta un notevole ritardo con Stati Uniti e Cina nei settori dell’intelligenza artificiale, 5G, cloud computing e internet of things (IoT). La recente approvazione del Digital Services Act e del Digital Markets Act è la riprova che l’Unione Europea sta cercando di regolamentare maggiormente il settore tech, eppure di fronte a realtà come quelle di Microsoft, Apple, Meta, Amazon, Alibaba e Huawei, i Paesi europei si “limitano” a regolamentare dato che una pari alternativa esclusivamente europea al momento non c’è. Per quanto, in forza alla tanto declamata sovranità digitale, non manchino i tentativi, come quello che l’Europa sta facendo nel settore del cloud computing.
Il 4 giugno del 2020, i ministri dell’Economia di Francia e Germania, Bruno Le Maire e Peter Altmaier, annunciano la creazione di Gaia-X, la piattaforma cloud che si propone di diventare l’alternativa europea a giganti americani e cinesi come Amazon Web Services e Alibaba. Il progetto è ambizioso, e vuole far fronte all’enorme problema dell’invio di dati in cloud all’estero. A maggior ragione se governi extra-europei dispongono di leggi come il Cloud Act negli Stati Uniti, che permette al governo di acquisire dati dagli operatori di servizi di cloud computing sottoposti alla legislazione americana. L’obiettivo è ovviamente quello di rafforzare la sovranità digitale. Eppure, sin dal giorno del lancio, non mancano critiche e dubbi sull’effettiva riuscita del progetto. Prima tra tutti, non convince la struttura “aperta” del sistema che permette a più di 300 società private di unirsi al progetto. Tra queste compaiono le stesse Microsoft, Google, Amazon, Huawei e Alibaba.
In un articolo dello scorso ottobre, il giornale Politico ha tracciato uno stato dell’arte del progetto di cloud europeo a sedici mesi dall’annuncio. Le fonti ascoltate dai due autori – una dozzina di persone tra rappresentanti delle società coinvolte e funzionari governativi – parlano di un progetto che fa fatica a decollare tra lotte intestine, disaccordi sugli obiettivi da raggiungere e iter burocratici che rallentano qualsiasi decisione. Un funzionario strettamente coinvolto nel progetto arriva a definire il tutto “un casino”. “Il puro intento di Gaia-X è improbabile che venga raggiunto”, ha dichiarato invece il CEO del cloud provider Scaleway, allora membro del progetto. Mentre il chief technology officer di Gaia-X ammetteva che Microsoft aveva “contribuito massicciamente”.
D’altronde evitare che queste grandi aziende mettano un piede all’interno di questo tipo di progetti è quasi impossibile, considerate le numerose collaborazioni già in essere con realtà europee. Google Cloud, ad esempio, ha avviato partnership con alcune delle maggiori società di telecomunicazioni, tra cui l’italiana Tim, la francese Orange e la Kpn olandese. Nel frattempo, i grandi cloud provider continuano ad allargare la loro base di utenti con la sola Amazon che detiene il 32-33% del mercato mondiale, come emerge dalle ultime rilevazioni di Synergy Research.
Sul cloud gli Europei non stanno andando tanto bene
Il mercato europeo del cloud è quadruplicato per dimensioni dal 2017, e i fornitori europei hanno più che raddoppiato i loro ricavi. Tuttavia la loro quota di mercato è scesa dal 27 al 16 per cento (vedi grafico sotto). Mentre Amazon, Microsoft, Google coprono il 70 per cento del mercato, secondo i dati di Synergy Research. Tra le aziende europee del settore, quella leader è Deutsche Telekom, che però arriva solo al 2 per cento del mercato europeo; seguita poi da OVHcloud, SAP, Orange e una lunga lista di soggetti nazionali e regionali. Per Yann Lechelle, Ceo dell’azienda europea Scaleway (che ha deciso di lasciare Gaia-X perché non favorirebbe più le aziende europee), i 3 maggiori concorrenti (americani) sono un oligopolio. “Dire che non c’è alcun problema è quanto meno ingenuo”, ha dichiarato.
18 settembre 2021, la presidente della Commissione europea Ursula von der Leyen nell’aula del Parlamento annuncia il Chips Act, il piano per garantire l’approvvigionamento di semiconduttori in Europa : “Non esiste digitale senza chip […] In questo momento dipendiamo da chip all’avanguardia prodotti in Asia. Questo non riguarda solo il nostro essere competitivi, ma è anche una questione di sovranità tecnologica”. Automobili, velivoli, aerei, smartphone o Playstation, necessitano tutti dei semiconduttori, circuiti integrati che permettono il funzionamento di qualsiasi dispositivo elettronico. Con lo scoppio della pandemia, le chiusure temporanee delle fabbriche in gran parte dell’Asia e la diminuzione di scambi commerciali tra Paesi ha provocato una carenza senza precedenti di questi oggetti tanto piccoli quanto fondamentali, il cui mercato è dominato dal colosso di Taiwan, TSMC, che ne detiene più del 50%.
Il sogno dell’Europa: quadruplicare l’attuale produzione di microchips
L’obiettivo dell’European Chips Act è arrivare, entro il 2030, al 20 per cento della produzione mondiale di microchip in Europa. Vuol dire due volte quella odierna, in un mercato che è destinato a raddoppiare nei prossimi dieci anni. Questo significa quadruplicare l’attuale produzione europea, ha dichiarato il 17 maggio la presidente Von der Leyen.
Sono in arrivo dei fondi: 12 miliardi di euro in investimenti pubblici e privati entro il 2030, oltre a più di 30 miliardi di euro in investimenti pubblici già previsti. Ma l’Europa non è certo la sola a voler investire nei semiconduttori. Gli Usa, con il CHIPS Act, puntano a spendere 50 miliardi di dollari per produrre più chips avanzati internamente. Il Giappone vuole triplicare la sua produzione entro il 2030. La Cina è pronta a investire decine di miliardi di dollari ogni anno nella produzione e design di chips: ovvero 150 miliardi di dollari nei prossimi 10 anni.
Sia Stati Uniti che Cina sanno di essere rimasti indietro, e nonostante le grandi risorse finanziarie investite non sono ancora riuscite a colmare le “lacune” che presentano nel sistema produttivo. L’industria dei semiconduttori è infatti il paradigma di una filiera transnazionale che richiede fasi produttive estremamente complesse che allo stato attuale sono distribuite in più Paesi. E se gli Stati Uniti sono stati la culla dei circuiti integrati, il cui materiale fondante – il silicio – ha dato il nome alla valle più famosa al mondo, adesso il governo stringe accordi con la TSMC di Taiwan per costruire uno stabilimento in Arizona. Dall’altra parte la Cina continua ad aumentare gli investimenti, con una produzione che ha raggiunto i 359,4 miliardi di semiconduttori venduti nel 2021, un 33% in più rispetto all’anno precedente e il doppio della produzione del 2020. Solo nel 2021, il governo di Pechino ha annunciato la costruzione di 28 fabbriche di wafer, la sottile “fetta” di silicone cristallino che va a comporre il semiconduttore.
E L’Europa? A febbraio, la Commissione ha proposto un pacchetto comprensivo di misure “per assicurare l’approvvigionamento e garantire la resilienza e la leadership nella tecnologia dei semiconduttori”. Il piano prevede 43 miliardi di euro tra investimenti pubblici e privati con l’ambizione di raggiungere il 20% del mercato nel 2030. Ma ancora una volta non potrà farcela con le sue sole forze e dovrà rivolgersi ad attori esteri leader del settore, tra cui TSMC, Intel e Samsung. Secondo quanto rivelato dal Corriere della Sera, alcuni rappresentanti di Taiwan avrebbero avviato nelle ultime settimane dei contatti preliminari con il governo di Roma in vista della costruzione di una fabbrica di microchip in Europa. I paesi in lizza per conquistare la localizzazione dello stabilimento sarebbero Germania e Italia. Dietro l’opera vi sarebbe sempre la taiwanese TSMC che in parallelo sta costruendo un impianto in Arizona e uno in Giappone.
Una dipendenza, quella europea, che trova conferma anche nello EU-US Trade and Technology Council (TTC) che si è tenuto a Parigi il 15 e 16 maggio. Presenti all’incontro il Segretario di Stato Antony Blinken, la Segretaria del Commercio Gina Raimondo insieme ai vicepresidenti esecutivi della Commissione europea Margrethe Vestager e Valdis Dombrovskis. Tra gli esiti raggiunti dai gruppi di lavoro, c’è quello di creare un sistema di previsione comune rispetto a potenziali interruzioni della catena di approvvigionamento dei semiconduttori nonché il consolidamento di un approccio transatlantico sugli investimenti nel settore volto a garantire maggiori sicurezze.
La domanda di molti analisti del settore è se l’Europa sarà in grado di raggiungere i suoi obiettivi, considerato che è ancora molto dipendente sia da aziende americane che asiatiche. E che la competizione sulla produzione di microchip sembra entrare in una fase ancora più dura.