Chi più spende meno spende, potrebbe essere il proverbio che meglio si adatta alla situazione della tecnologia 5G per i sistemi di comunicazione mobile. Le reti 5G offrono grandi opportunità economiche e possibilità di aumento della produttività, ma al tempo stesso espongono a vulnerabilità associate all’intensificazione dei collegamenti in Rete. I costi nascosti e i rischi connessi all’utilizzo di fornitori “non affidabili” potrebbero superare i vantaggi dei minori costi di realizzazione della rete. È questo il risultato di uno studio approfondito indipendente coordinato dal Brandenburg Institute for Society and Security (BIGS) e finanziato dal Dipartimento di Stato Americano. Allo studio hanno preso parte anche ricercatori Cefriel, che ne ha curato la versione italiana e realizzato un approfondimento per il nostro Paese, stimando per l’Italia possibili costi, espliciti e nascosti, fino a 16 miliardi di euro, derivanti da problemi nell’utilizzo della rete 5G.
Le linee guida per la valutazione dei costi nascosti
L’analisi ha evidenziato una forte correlazione fra nazione di provenienza e indice dello stato di diritto del fornitore di tecnologia e cybercrime . La rete 5G, proprio perché supercritica, potrebbe essere oggetto di un incremento di attacchi criminali; in ogni caso potrebbero insorgere problematiche successive alla realizzazione, non necessariamente legate a intenti malevoli ma per i quali va valutato il rischio di cui tenere conto nel momento in cui si valutano i prodotti di fornitori considerati inaffidabili o ad alto rischio. In Italia la legislazione in realtà non prevede una definizione inaffidabilità per un fornitore ma fa solo una distinzione fra fornitori europei ed extraeuropei, fatto che in qualche modo aumenta la complessità.
Per il 5G il rischio non si limita al ciclo del dato ma si estende al problema di safety, visto che le reti saranno adottate anche nel mondo industrial IoT con conseguenze fisiche, come fa notare Enrico Frumento, Cybersecurity Senior Specialist di Cefriel.
I costi, secondo la valutazione dello studio, afferiscono a due categorie: quelli legati al ciclo di vita e i quelli nascosti, spesso sostenuti da attori esterni a chi ha creato e gestisce la rete, condivisi a volte fra operatori, spesso sostenuti dai clienti (figura 1).
La valutazione dei costi è stata fatta ipotizzando tre scenari:
- Gildilocks, ottimistico in cui la minaccia non si realizza;
- Armageddon, pessimistico, che ipotizza che fornitore prende il totale controllo della rete;
- Realistico, che prevede piccole fughe dati o attacchi cybercrime.
La situazione italiana e i costi stimati
L’Italia punta sul 5G, come evidenzia il fatto che, per prima nell’Unione, ha indetto nel 2018 un’asta per le frequenze 5G e realizzato installazioni pilota dal 2019. La situazione di partenza italiana vede la rete 4G realizzata con fornitori non affidabili, a cui la legislazione non vieta di partecipare allo sviluppo. Esistono però alcuni strumenti legislativi:
- il Toobox UE, un pacchetto di misure di mitigazione del rischio riguardante la cybersecurity delle reti 5G;
- il golden power, che regola la cessione di asset strategici ed è esteso all’acquisizione di tecnologie extra europee comprese quelle relative al 5G;
- la normativa sul Perimetro di sicurezza Nazionale cibernetica (PSNC) che prevede la creazione di un Centro Valutazione e Certificazione Nazionale (CVCN), il cui scopo si estende oltre le problematiche del 5G.
Nel complesso, almeno dalle interviste fatte agli operatori, emerge che non c’è un modello chiaro per indicare un fornitore “non affidabile” anche se si sta andando in questa direzione.
Diversa la situazione per reti private, su cui si baseranno settori chiave come la manifattura, che non sono soggette al Toobox UE né ai requisiti dei “golden power” per le quali il rischio è elevato ma altrettanto può esserlo l’attrazione per i costi iniziali più bassi.
Ai costi nascosti dell’impiego di reti basate su tecnologia di fornitori non affidabili concorrono diverse voci:
- costi del centro di prova e validazione per individuare bug di origine malevola nei dispositivi di una rete 5G, stimati in 40 mil euro / anno;
- costi per la creazione di infrastrutture critiche ridondanti che la presenza di fornitori non affidabili in una rete di telecomunicazione 5G potrebbe richiedere, per una costo stimato 700 milioni di euro;
- costi per lo spostamento della domanda verso reti con tecnologie affidabili, previsto da Cefriel per oltre metà del mercato italiano delle industrie ad alta intensità di diritti di proprietà intellettuale, per un valore stimato di 1,34 miliardi di euro;
- costi che potrebbero insorgere nel caso in cui uno dei fornitori non affidabili utilizzassero i propri apparati per sabotare l’economia italiana (scenario Armageddon); ci si troverebbe in una situazione equivalente a un lock-down totale durante una pandemia per 3 giorni (stima ottimistica), con un costo stimato di 5,25 miliardi di euro, a cui vanno aggiunti i costi di Rip & Replace in una situazione di compiuta in emergenza;
- costi per violazione di dati sensibili che in una stima ottimistica potrebbe valere circa 580 milioni di euro nel 2024, anno in cui la rete 5G avrà raggiunto circa l’8,9% di estensione, fatta però sulla base delle basse violazioni denunciate in Italia (1200 l’anno, a fronte di 25mila in Germania). “È però probabile che una volta incrementata la rete 5G, le violazioni aumentino – precisa Valentina Ferrarese, Senior Solutions Architect, Cefriel – In questa seconda ipotesi il costo delle violazioni potrebbe arrivare a 8,5 mld euro”. (figura 2)
Lo studio, pur nella consapevolezza che le stime dei costi sono inevitabilmente imprecise, intende mettere in guardia sia chi deve realizzare le reti sia i regolatori dei rischi in cui si potrebbe incorrere. Ne consegue un invito alla prudenza nell’adozione di tecnologia di fornitori non affidabili e il suggerimento di non ingigantire l’effetto economico di un ritardo nella disponibilità del 5G, visto che le killer application e i dispositivi compatibili devono ancora essere sviluppati.
