Tempo fa la Commissione Europea aveva definito linee guida abbastanza precise su come la UE nel suo complesso e i singoli Paesi membri avrebbero dovuto tutelare la sicurezza delle reti mobili 5G. Intese come infrastrutture critiche a livello europeo. Sono passati diversi mesi e non è stato fatto ancora abbastanza per la sicurezza 5G. Questa è in sintesi la conclusione di un lungo rapporto che valuta l'applicazione del cosiddetto Toolbox for 5G Security.

Il Toolbox prevede otto misure strategiche e undici misure tecniche che gli Stati devono mettere in atto per la sicurezza 5G. Per 16 misure di queste 19, il report indica un livello di maturità di implementazione che va da "molto basso" a "molto alto". In una scala da sette livelli totali. Considerando a che livello si trova ciascuna nazione per ogni misura, si valuta il livello di maturità medio di tutta la UE.

La prima cosa che si nota nel report è che nessuna misura è stata implementata ai massimi livelli di maturità. Ossia "molto alto" o "alto". Il massimo che si raggiunge è un livello "medio alto": per una misura strategica (il rafforzamento del ruolo delle authority nazionali) e per tre misure tecniche. La maggior parte delle misure (6 su 16) ha un livello di implementazione "medio". Altrettante sono ai livello "medio basso" o "basso" (4 e 2, rispettivamente). Nessuna, fortunatamente, si ferma al livello minimo.
Il segnale che deriva dal report è che mediamente le nazioni UE si sono mosse innanzitutto per rafforzare i poteri di controllo e supervisione dei Governi e delle authority nei confronti degli operatori mobili. Questo molto probabilmente perché, tra i vari rischi per la sicurezza 5G, sono considerati più rilevanti quelli legati proprio al comportamento degli operatori. I rischi più temuti riguardano infatti reti mal configurate, un controllo ridotto degli accessi alle reti, la "sensibilità" della loro supply chain.

Molti Stati membri hanno poi espresso il timore che le norme nazionali già in essere, prima del Toolbox, non erano sufficienti per considerare le reti 5G affidabili di fronte ad attacchi del crimine organizzato o all'ingerenza di altri Stati. Anche le applicazioni del 5G in ambito IoT sono evidentemente considerate un punto potenzialmente molto critico.

Nel dubbio - pare essere il messaggio delle nazioni UE - è molto meglio mettersi nelle condizioni di poter controllare e guidare il comportamento degli operatori 5G. E può essere anche un segnale confortante che alcune decisioni italiane sono indicate quasi come best practice. Come le norme nazionali sul golden power o quelle che proibiscono agli operatori mobili di esternalizzare il loro Network Operations Center.

Ma al di là del controllo, sottolinea ora la Commissione, c'è molto altro da fare per la sicurezza 5G. Ad esempio si deve fare di più per garantire una maggiore diversificazione nella supply chain degli operatori mobili. Cosa peraltro non facile (ma anche qui l'Italia è una best practice). Si deve poi operare per una maggiore resilienza delle reti 5G. E poche nazioni UE hanno davvero affrontato il problema dei fornitori "ad alto rischio". Con tutte le possibili conseguenze politiche che la questione porta.