Il fenomeno ‘chip shortage’, la carenza globale di semiconduttori accentuata dalla ripresa economica post Covid-19, rischia non solo di aggravarsi a causa del conflitto russo in Ucraina, ma sta amplificando un altro fenomeno: il ‘chip counterfeiting’, o contraffazione dei chip. Oggi i semiconduttori sono il cuore e il cervello di molti prodotti, automobili, smartphone e altri innumerevoli dispositivi elettronici, ma anche di molte infrastrutture e applicazioni industriali. E quando i chip vengono a mancare, vari settori di business, pur di evadere gli ordini dei clienti, possono anche essere tentati di scegliere vie di approvvigionamento alternative alle supply chain convenzionali, con tutti rischi che ne conseguono.
“Fake chips”, dove si trovano e cosa sono
I chip contraffatti, scrive Mike Borza, principal security technologist in Synopsys, società di lungo corso e di primo piano nel settore EDA (electronic design automation) e nella proprietà intellettuale dei semiconduttori, possono spaziare dai dispositivi standard integrati nei comuni prodotti di elettronica di consumo, a semiconduttori più costosi e sofisticati, anche adottati in settori industriali fortemente regolati, come possono essere l’industria aerospaziale e della difesa.
Le tipologie di chip contraffatti, aggiunge Borza, includono chip riciclati, recuperati da vecchie schede; chip clonati, visivamente e funzionalmente simili ai prodotti originali, ma dotati di “security back doors” o funzionalità nascoste, indirizzate a creare vulnerabilità di sicurezza più estese; e, ancora, possono essere parti difettose, componenti che non hanno superato la fase di test e che vengono comunque reintrodotti nella catena di fornitura.
Solo per dare un’idea di quale portata possano avere le vulnerabilità dei chip, si potrebbe ricordare quelle scoperte dal team di ricerca di Check Point Research (CPR) nel firmware del DSP (digital signal processor) di elaborazione audio, integrato, assieme ad altri componenti, nei moderni SoC (system-on-chip) del colosso taiwanese MediaTek, che includono anche la serie Dimensity.
Tali vulnerabilità, teoricamente sfruttabili per intercettare e ascoltare di nascosto le comunicazioni dell’utente di uno smartphone, sono state poi corrette, e pubblicate nel MediaTek Security Bulletin di ottobre 2021. Esse però riguardano SoC, ha precisato CPR, che si trovano integrati in circa il 37% di tutti gli smartphone e dispositivi IoT (Internet of Things) esistenti nel mondo.
Semiconduttori contraffatti e minacce di cybersecurity
Come prima si accennava, in una situazione di chip shortage ulteriormente esacerbata, c’è sempre anche chi prova ad approfittare in maniera criminale della disperata necessità di approvvigionamento di semiconduttori, anche attraverso canali inusuali.
I contraffattori stanno sfruttando la penuria nella fornitura globale di semiconduttori, denuncia il rapporto “Intellectual Property Crime Threat Assessment 2022”, pubblicato a marzo, e stilato congiuntamente da Europol e dall’ufficio dell’Unione europea per la proprietà intellettuale (EUIPO – European Union Intellectual Property Office).
L’industria elettronica, spiega il rapporto, sta fronteggiando una considerevole domanda di computer componenti, telefoni mobili, tablet, console videogiochi e altri dispositivi, e i contraffattori potrebbero cercare di sfruttare questa domanda e le carenze di approvvigionamento per introdurre nel mercato semiconduttori contraffatti.
“Le supply chain sono globali e vulnerabili all’introduzione di contraffazioni, poiché in genere diversi distributori gestiscono i componenti prima che raggiungano i siti di produzione. Rintracciare il fornitore originale dei semiconduttori contraffatti può rivelarsi difficoltoso, quando i chip contraffatti contrassegnati in commercio vengono verificati dalle società di semiconduttori. Le interruzioni nelle catene di fornitura e la possibile introduzione di componenti contraffatti hanno il potenziale di causare seri malfunzionamenti nelle infrastrutture critiche”.
Ciò perché, ad esempio, i semiconduttori sono parte integrante di sistemi critici utilizzati nel settore dell’assistenza sanitaria, dei trasporti, della difesa e del commercio. In aggiunta, i dispositivi elettronici contraffatti possono anche contenere malware o altro software dannoso che comporta il rischio di furto di dati. Il rapporto fa anche riferimento al fatto che dispositivi elettronici contraffatti sono venduti in gran numero durante eventi commerciali come “Black Friday” o “Cyber Monday”, per i quali la spesa complessiva è stimata raggiungere fino a 9,5 miliardi di euro, e aggiunge che le piattaforme e i marketplace online sono popolari canali di distribuzione per componenti e dispositivi elettronici contraffatti.
“Chips Act” europeo per difendere l’Unione
L’Unione europea sta attivando una strategia per reagire allo chip shortage e, al contempo, rispondere al problema della contraffazione dei chip: già nel proprio discorso sullo stato dell’Unione, a settembre 2021, la presidente della Commissione europea, Ursula von der Leyen, richiamando l’attenzione sul ruolo insostituibile dei chip per la trasformazione digitale, e sulla dipendenza dell’Ue dai semiconduttori fabbricati in Asia, aveva sottolineato l’importanza della sovranità tecnologica, introducendo il tema di un nuovo “European Chips Act”.
Tema che è stato maggiormente definito nei suoi contorni con la proposta, i primi di febbraio, diversi giorni prima dell’invasione russa in Ucraina, del “EU Chips Act”, un completo pacchetto di misure e iniziative per garantire all’Unione europea la sicurezza dell’approvvigionamento, la resilienza e la leadership tecnologica nelle tecnologie dei semiconduttori e nelle relative applicazioni.
Come si può leggere nel documento ufficiale, con questa proposta di legge europea sui semiconduttori, l’Ue punta a mobilitare, da qui al 2030, oltre 43 miliardi di euro di investimenti pubblici e privati, e a impostare misure per prevenire future interruzioni delle catene di approvvigionamento, e rispondere a tali disruption in maniera rapida.
Semiconduttori certificati
In relazione ai pericoli di manomissione dei chip, il documento ricorda che “anche settori strategici, come la difesa, la sicurezza e l’aerospazio sono a rischio”, perché “chip contraffatti inaffidabili hanno cominciato a infiltrarsi nei mercati, compromettendo la sicurezza e l’affidabilità dei dispositivi elettronici”.
Un punto chiave riguarda la certificazione dei chip, in quanto, chiarisce il documento della Commissione, i dispositivi smart futuri, i sistemi e le piattaforme di connettività dovranno basarsi su elettronica evoluta, soddisfacendo requisiti di efficienza energetica, integrità e cybersecurity che dipenderanno in gran parte dalle caratteristiche della tecnologia sottostante.
In quest’ottica, gli stati membri hanno già accettato di “lavorare verso standard comuni e, nel caso, a una certificazione per elettronica trusted, come anche a requisiti comuni per l’approvvigionamento di chip sicuri e di sistemi embedded in applicazioni che dipendono, o fanno uso intenso, della tecnologia chip”.
Sempre in merito allo sviluppo di chip “verdi”, affidabili, genuini e sicuri, la Commissione accenna anche alla necessità di procedure di certificazione di riferimento per specifici settori e tecnologie che risultano critici, in virtù del loro impatto sociale potenzialmente elevato. La certificazione di questi chip per i requisiti “green, trust and security” dovrebbe riguardare l’intera catena del valore, ed estendersi fino all’integrazione di tali semiconduttori nei prodotti finali.
