di Gianni Lannes
Perché il Conte bis tiene segreto un suo decreto?
La presidenza del Consiglio mentre seguita a terrorizzare e ad imporre divieti e restrizioni assurde
alla popolazione italiana relative al nuovo coronavirus, al contempo individua le condizioni per l’uso della micidiale
tecnologia Huawei per la rete 5G italiana. Con il Dpcm 7 agosto 2020, mai reso
noto, in violazione palese della trasparenza amministrativa, il sedicente
avvocato del popolo consente a Tim di utilizzare in Italia la tecnologia 5G
di Huawei. La ridicola pezza d’appoggio è l’aver individuato, per modo di dire,
adeguate misure di prevenzione dei rischi derivanti dall’utilizzazione di
apparati cinesi per la rete di nuova generazione in Italia. Come mai nel belpaese non insorge anima viva?
A ben vedere la prevenzione, eludendo il principio
di precauzione, è limitata alla notifica della dislocazione degli apparati
utilizzati, nonché all’autocertificazione. Il governo, dovrebbe essere in
condizioni di sapere sempre quali apparati sono installati, dove e quando sono
modificati o sostituiti. A questo proposito, Tim ha il dovere di eseguire una
valutazione del rischio ogni volta che cambiano le caratteristiche degli
apparati da controllare, definire dei criteri di accreditamento dei fornitori
orientati alla sicurezza, che si estendono sino ai controlli sulla produzione.
Queste valutazioni, ai sensi dell’articolo 1 comma I lett. e) possono essere eseguite
anche sulla base di documentazione rilasciata dal fornitore o da organismi di
certificazione, senza il bisogno di controllare fisicamente la veridicità di
quanto dichiarato.
Il Dpcm prevede inoltre la facoltà per Tim — e non
il dovere, visto che la lettera h) del comma I utilizza il verbo “potere”— di
eseguire verifiche su progetti hardware e codici sorgenti degli apparati
utilizzati. Nonché il divieto di comunicare a chiunque, autorità governative
estere incluse, le informazioni relative all’operazione.
In termini operativi, il perno attorno al quale
ruota l’attività di prevenzione è la funzione security di Tim S.p.a. che, a
norma dell’articolo 1 comma I del Dpcm dovrà essere “coinvolta” nei processi
decisionali critici, ma senza che chiarire se il suo coinvolgimento sia o meno
soltanto consultivo. Inoltre —comma I lett. d)— la funzione security dovrà
partecipare alla progettazione e alla gestione della sicurezza relativa ai
componenti 5g basata sul concetto di diversificazione dei fornitori.
Il Dpcm Conte-Huawei adotta una scelta politica
discutibile, vale a dire delegare totalmente le verifiche di sicurezza ad un
soggetto privato, basandosi sulla sperimentazione dal vivo sulla popolazione.
IL
DPCM SEGRETO
«Articolo 1:
Ai sensi e per gli effetti dell’articolo 1 bis del
decreto legge 15 marzo 2012 n. 21 convertito, con modificazioni, dalla legge 11
maggio 2012 n. 56, si dispone l’imposizione delle seguenti specifiche
prescrizioni nei confronti di Telecom Italia Spa:
a) coinvolgere la funzione aziendale Security nei
processi di governance con particolare riferimento a tutti i processi
decisionali afferenti ad attività ritenute rilevanti ex art. 1 bis del decreto
legge 15 marzo 2012 n.21
b) comunicare tempestivamente al Comitato di
monitoraggio aggiornamenti circa il numero di utenti serviti dai componenti
oggetto di notifica;
c) Eseguire una nuova notifica;
1) Nel caso in cui mutino le caratteristiche delle
componenti oggetto di notifica, a seguito di modifiche strutturali (sia in
termini architetturali e di interconnessione tra sistemi, che di aggiornamento
software) e a livello di configurazione che secondo le valutazioni del rischio
condotte dall’operatore, siano rilevanti rispetto all’ambito di applicazione
dell’articolo 1 bis del decreto legge 15
marzo 2012 n. 21
2) Allorquando verrà individuata l’esatta
collazione geografica di tali componenti, comunicando le coordinate geografiche
e le altre informazioni necessarie per delimitare la portata e fornendo una
trasposizione su carta geografica comprensive delle coperture spaziali offerte
dai singoli nodi;
d) Avvalendosi della funziona aziendale security,
eseguire la progettazione e la gestione della sicurezza relativa a componenti
5G tenendo conto delle indicazioni fornite dal 5G Infrastructure Public Private
Partnership
e) Fornire evidenza della modalità seguite nella
selezione dei fornitori, sulla base di precisi indicatori di qualità, che ne
consentano la valutazione del livello di sicurezza intrinseco ai processi di
produzione, di delivery e di gestione del ciclo di vita dei prodotti. Le
predette valutazioni possono essere effettuate dal notificante anche sulla base
di documentazione, acquisita presso il fornitore o rilasciata da enti di certificazione
terzi rispetto a esso, che attesti il rispetto di standard internazionali di
qualità e sicurezza;
f) Garantire adeguate misure di controllo
dell’accesso ai sistemi di gestione della rete a tutti i livelli adottando-fatti salvi documentati limiti
tecnici delle piattaforme in uso- sistemi di Authentication Authorization and Accounting centralizzati,
meccanismi di autenticazione a due fattori, di cui uno probabilmente biometrico
e soluzioni di Privileged Access Management (Pam);
g) Integrare i contratti notificati con clausole
che prevedano, a pena di risoluzione espressa ai sensi dell’articolo 1456 del
codice civile, che la Società possa effettuare anche tramite terzi processi di
verifica e di controllo del codice sorgente e dei disegni hardware degli
apparati;
2) Comunicare tempestivamente i relativi risultati
al Comitato di monitoraggio;
3) mettere a disposizione, ove richiesto, i
suddetti codici sorgente e disegni hardware dei componenti oggetti di notifica
al Comitato di monitoraggio, nonché mettere a disposizione supporto nella
verifica della loro corrispondenza con le implementazioni dei componenti
stessi;
h ) integrare i contratto con clausole che
prevedano, a pena di risoluzione espressa ai sensi dell’articolo 1456 del
codice civile, che:
1)
i fornitori e le società si obblighino
a non comunicare ad autorità governative estere, o comunque, a terzi dati e informazioni
comunque acquisiti in relazione all’operazione notificata, salvo preventivo
accesso al Comitato di monitoraggio;
2)
I fornitori di obblighino a informare
tempestivamente la società notificante nei casi in cui sussistano ragionevoli
indicazioni circa l’inadempimento all’obbligo di non comunicazione di cui al
punto che precede ovvero nel caso in cui autorità governative estere o comunque
terzi siano venuti a conoscenza di dati e informazioni comunque acquisiti in
relazione all’operazione notificata;
I) Comunicare al comitato di monitoraggio
qualsiasi informazione di cui siano venuti a conoscenza con riferimento agli
obblighi derivanti dalle clausole contrattuali di cui alla lettera h;
j)
avvalersi delle clausole risolutive espresse di cui alle lettere g) e h) in
caso di inadempimento agli obblighi in esse descritti;
k) Al fine di avviare un processo di
diversificazione dei fornitori e promuovere in tal modo la resilienza
complessiva delle infrastrutture di rete 5G, elaborare un piano di
diversificazione:
1)”orizzontale” che valuti la sostenibilità di una
strategia finalizzata all’impiego di soluzioni di produttori differenti all’interno
delle diverse tipologie di componenti dell’infrastruttura di rete;
2)”orizzontale” che valuti la sostenibilità di
adottare soluzioni di fornitori diversi per gli strati hardware, di
virtualizzazione e applicativo di ciascuna componente dell’infrastruttura di
rete. Tale piano redatto anche con riferimento alle misure stabilite nel
toolbox Ue del 29 gennaio 2020 dovrà essere inviato in occasione della
trasmissione della relazione di ottemperanza al Comitato di monitoraggio;
l) istituire e mantenere aggiornato il registro
del personale che detiene il ruolo di amministratore degli appalti notificati,
da esibire, su richiesta agli organi di controllo;
m) Far eseguire a parte terza e competente,
riconosciuta dal comitato di monitoraggio, con frequenza almeno annuale, la
valutazione delle vulnerabilità di sistemi oggetti di notifica. L’esito di tali
assestment di sicurezza sarà partecipato al comitato di monitoraggio in
occasione delle comunicazioni periodiche dirette al predetto organismo;
n) Effettuare test e verifica di sicurezza con
cadenza almeno semestrale sui dispositivi a protezione dei collegamenti
backhauling, da effettuarsi in esito di valutazioni di rischio e in aderenza
agli standard e alle best practies di riferimento, e segnalare a comitato di
monitoraggio eventuali criticità riscontrate;
o) Condurre le attività di operation and
maintenance sotto la supervisione della funzione aziendale securuty, escludendo
interventi da remoti di terze parti- anche tramite collegamento WPN- al di
fuori del network operation center (NOC) della società e prevedendo, per le
procedure di aggiornamento, una fase di validazione dei pacchetti software
propedeutica al loro rilascio sui sistemi in esercizio. Nei soli casi in cui
per far fronte a funzionamenti di carattere straordinario, che richiedano in
via inderogabile un intervento da parte del fornitore, è ammesso in via
eccezionale l’intervento da remoto, alle condizioni e con le modalità
specificate nell’allegato 1 che costituisce parte integrante del presente decreto.
Art. 2
Il comitato di cui al decreto del presidente del
consiglio dei ministri 30 settembre 2019 cura il monitoraggio e la verifica del
rispetto delle prescrizioni imposte con il presente decreto, ai sensi dell’art
7 del decreto del presidente della repubblica 19 febbraio 2014, n. 35
2) Telecom Italia Spa è tenuta a inviare alla
presidenza del consiglio dei ministri entro il termine di 60 giorni dalla data
del presente decreto e successivamente con cadenza semestrale una relazione con
la quale sono comunicate le misure adottate ai fini del rispetto delle
prescrizioni di cui all’articolo 1 e comunque a comunicare tempestivamente al
comitato di monitoraggio di cui al comma1, qualsiasi determinazione societaria
o aziendale rilevante in relazione alle predette prescrizioni.
3
Il comitato:
a)Verifica, sulla base della relazione prevista
dall’articolo 2 comma 2, l’ottemperanza alle prescrizioni imposte con il
presente decreto;
b)può richiedere, anche direttamente all’impresa,
ogni altra informazione ivi inclusi dati e notizie, utili all’attività di
monitoraggio ai sensi dell’articolo 7 comma 3, del decreto del presidente della
repubblica 19 febbraio 2014, n. 35
4)Il comitato informa tempestivamente il gruppo di
coordinamento di cui all’articolo 3 del decreto del presidente del consiglio
dei ministri 6 agosto 2014, sugli esiti delle attività di monitoraggio, anche
al fine di valutare, in caso di violazione alle prescrizioni di cui
all’articolo 1, la revoca del presente decreto ovvero l’esercizio di ulteriori
poteri speciali tra quelli previsti dall’articolo 1-bis del decreto legge 15
marzo 2012, n.21.
Art. 3 Sanzioni
1)In caso di inadempimento o violazione delle
prescrizioni imposte dal presente decreto si applicano le disposizioni di cui
all’articolo 1 del decreto legge 15 marzo 2012, n. 21.
Ai sensi degli art. 1 e 1-bis del decreto legge 15
marzo 2012, n 21 convertito dalla legge 11 maggio 2012, n. 56, ed ai sensi
dell’art. 3, comma 1, let. a, della legge 14 gennaio 1994, n. 20, il presente
decreto è inviato ai competenti organi di controllo».
Riferimenti:
https://sulatestagiannilannes.blogspot.com/search?q=5g
http://sulatestagiannilannes.blogspot.com/2020/06/elettrosmog-in-italia.html
Riferimenti:
https://sulatestagiannilannes.blogspot.com/search?q=5g
http://sulatestagiannilannes.blogspot.com/2020/06/elettrosmog-in-italia.html
Nessun commento:
Posta un commento
Gradita firma degli utenti.