La formulazione strategica europea sulla sicurezza tecnologica: le sfide della Cina.
Asia e Indo-Pacifico.
Di Earl Wang - Dottore, ricercatore associato e docente presso il Centro Studi Internazionali (CERI) - Sciences Po/CNRS.
Traduzione dal francese a cura di Barbara de Munari
12 gennaio 2026
Questo articolo è pubblicato nell'ambito dell'Osservatorio del Multilateralismo nell'Indo-Pacifico , un programma di ricerca pluriennale avviato e sostenuto dalla Direzione Generale delle Relazioni Internazionali e della Strategia (DGRIS) del Ministero delle Forze Armate francese. Il programma è gestito dalla Fondazione per la Ricerca Strategica (FRS) in collaborazione con il Consiglio Europeo per le Relazioni Estere (ECFR), l'Institut Montaigne, il Centro di Studi Internazionali di Sciences Po (CERI-Sciences Po) e l'Istituto Nazionale di Lingue e Civiltà Orientali (INALCO). Questa pubblicazione offre un'analisi del tema dal 2013 al 2022.
Gli Stati Uniti , così come l'Unione Europea e i suoi 27 stati membri, stanno affrontando le restrizioni cinesi sulle infrastrutture tecnologiche straniere critiche. Le aziende di telecomunicazioni europee come Nokia ed Ericsson hanno visto la loro quota di mercato in Cina crollare di due terzi rispetto al 2020. Al contrario, i fornitori cinesi di reti di telecomunicazioni " ad alto rischio ", come Huawei e ZTE , hanno registrato solo un calo del 5-10% in Europa da quando l'Unione Europea ha adottato il kit di strumenti per la sicurezza delle reti 5G nel 2020.
Nell'ambito della sicurezza informatica, assistiamo anche a minacce dirette provenienti dalla Cina. I recenti attacchi informatici pubblici contro Francia e Repubblica Ceca ci ricordano, ancora una volta, le sfide poste dalla Cina in materia di sicurezza informatica, come evidenziato dall'Organizzazione del Trattato del Nord Atlantico (NATO).
Le tecnologie critiche, così come le infrastrutture informatiche e digitali, sono al centro delle preoccupazioni dell'Unione in materia di sicurezza tecnologica nei confronti della Cina.
Questo articolo offre un'analisi della formulazione strategica delle istituzioni europee e degli Stati membri in materia di sicurezza tecnologica di fronte alla Cina, dal 2013 al 2022. I paesi studiati sono Francia, Germania, Grecia, Paesi Bassi, Repubblica Ceca e Regno Unito.
La sicurezza delle tecnologie critiche
Made in China 2025: la politica nazionale per dominare nel campo tecnologico
Lanciata nel maggio 2015, Made in China 2025 (MIC 2025) è una politica cinese volta a modernizzare le capacità tecnologiche e industriali del Paese e a renderlo una potenza manifatturiera di alto livello entro il 2049. Il governo cinese identifica tecnologie e settori nei settori dell'informatica, della robotica/macchinari automatizzati, dell'aerospaziale e dei veicoli a nuova energia, tra gli altri " settori chiave ", nella politica MIC 2025. L'obiettivo è "localizzare" le catene del valore delle industrie high-tech in Cina e ridurre la dipendenza del Paese da attrezzature e know-how stranieri.
In quanto " progetto di punta " del Presidente Xi Jinping per il progresso tecnologico, il MIC 2025 non sembrava destinato a suscitare altrettanta preoccupazione tra le istituzioni dell'Unione Europea o gli Stati membri alla fine degli anni 2010. Le ragioni principali di questa crescente consapevolezza risiedono nell'aumento degli investimenti e delle acquisizioni cinesi di tecnologie avanzate dell'UE e nelle implicazioni di queste mosse cinesi per la sicurezza europea. Gli investimenti cinesi all'estero sono stati ampiamente mirati a "risorse ad alta tecnologia e manifatturiere avanzate". Questi obiettivi scelti servono "interessi chiaramente definiti", che non sono solo economici, ma anche "strategici globali, comprese le dimensioni politiche e di sicurezza".
La crescente consapevolezza delle implicazioni per la sicurezza degli investimenti cinesi
Nell'Agenda strategica UE-Cina 2020 per la cooperazione del 2013 , entrambe le parti hanno incoraggiato la cooperazione in ambito scientifico, tecnologico e innovativo, integrando i rispettivi punti di forza e puntando a risultati vantaggiosi per tutti. Nel suo documento programmatico sull'UE del 2014 , la Cina ha promosso gli scambi tecnologici e la cooperazione con l'UE in vari settori strategici emergenti, come le energie rinnovabili, l'informazione digitale e la produzione avanzata. Il Ministero dell'Istruzione e della Ricerca tedesco, ad esempio, ha sviluppato strette interazioni e collaborazioni con la Cina. La Cancelleria e il Ministero dell'Economia e dell'Energia hanno espresso una visione più positiva dell'impegno economico e industriale con la Cina, mentre altri ministeri, come il Ministero degli Esteri e il Ministero della Difesa, hanno adottato posizioni più caute. L'ex cancelliera tedesca Angela Merkel si è concentrata maggiormente sulla cooperazione nelle relazioni tedesco-cinesi . La promettente situazione ha iniziato a cambiare con il documento del 2016 " Elementi per una nuova strategia dell'UE sulla Cina". Questo documento incoraggiava la cooperazione tecnologica e l'innovazione tra l'Unione europea e la Cina, ma evidenziava anche le crescenti difficoltà incontrate dalle aziende digitali europee nell'accedere ai mercati cinesi a seguito dell'attuazione della politica MIC 2025 , nonché le preoccupazioni relative alla pirateria cinese e al furto di proprietà intellettuale tecnologica. Inoltre, la Cina sta anche competendo con l'Europa nella definizione di standard tecnologici in settori quali il 5G, l'intelligenza artificiale e i nuovi veicoli elettrici. L'Unione e i suoi Stati membri hanno gradualmente preso coscienza dei rischi associati alla cooperazione in materia di ricerca e tecnologia con la Cina. Dal lato cinese, il documento politico della Cina sull'Unione europea del 2018 ha mantenuto il tono del documento del 2014 promuovendo la cooperazione tecnologica e l'innovazione, senza menzionare la sua politica MIC 2025 o affrontare le preoccupazioni ad essa correlate.
La Germania, una delle principali potenze industriali europee, ha collaborato con la Cina, dato lo status di quest'ultima come importante partner manifatturiero. Le due parti si sono quindi completate a vicenda. Tuttavia, la concorrenza tra Cina e Germania, così come tra gli altri Stati membri, nei settori ad alta intensità tecnologica si è intensificata. Ciò è diventato sempre più evidente dopo il lancio della politica MIC 2025 . La Federazione delle Industrie Tedesche (BDI) ha sollevato queste preoccupazioni in un documento del gennaio 2019, che ha chiaramente evidenziato la politica MIC 2025 e le azioni della Cina in materia di investimenti pubblici in tecnologie avanzate, nonché "trasferimenti tecnologici forzati e acquisizioni strategiche di aziende high-tech straniere" volte a raggiungere la "supremazia tecnologica". Di conseguenza, la BDI ha definito la Cina un "concorrente sistemico" oltre che un partner.
La riflessione e le linee guida del BDI hanno fortemente influenzato la designazione della Cina come "concorrente" e "rivale sistemico" nel documento UE-Cina - Prospettive strategiche del 2019, che affermava ancora più chiaramente che "la Cina non può più essere considerata un paese in via di sviluppo. È un attore chiave a livello mondiale e una potenza tecnologica leader". La Cina è stata quindi definita un "concorrente economico nella ricerca della leadership tecnologica", oltre che un partner e un rivale sistemico. L'Unione Europea ha sottolineato che la Cina stava sviluppando i suoi "settori strategici ad alta tecnologia" limitando al contempo l'accesso al mercato e richiedendo trasferimenti forzati di tecnologia da parte delle aziende straniere attraverso la politica MIC 2025. Inoltre, il documento indicava che gli investimenti esteri e le acquisizioni di tecnologie critiche dell'UE "possono comportare rischi per la sicurezza". Si osserva che le sfide alla sicurezza legate agli investimenti esteri e alle acquisizioni di tecnologie critiche sono gradualmente diventate una questione chiave nella politica dell'UE nei confronti della Cina. La consapevolezza da parte dell'Unione e dei suoi Stati membri del legame tra sicurezza e tecnologia è un fenomeno "molto recente".
La Germania è un esempio lampante della crescente vigilanza contro i tentativi cinesi di acquisire tecnologie avanzate in Europa. L' acquisizione dell'azienda tedesca KUKA da parte dell'azienda cinese Midea, nel 2016 , è stata spesso descritta come un "segnale di allarme" o un "punto di non ritorno". KUKA era leader mondiale nella robotica industriale, mentre Midea è un produttore di elettrodomestici specializzato in prodotti come lavatrici, frigoriferi e condizionatori d'aria. Il governo tedesco ha approvato l'accordo nell'agosto 2016, spiegando che non "minacciava la sicurezza del Paese". Notizie di stampa hanno indicato che l'amministratore delegato di KUKA aveva strategie di sviluppo diverse rispetto al presidente del consiglio di amministrazione della società madre Midea e che KUKA ha cambiato amministratore delegato nel dicembre 2018. Questa mossa ha sollevato preoccupazioni e acceso il dibattito sui rischi dell'acquisizione di tecnologie europee avanzate da parte di aziende straniere, soprattutto quando un Paese straniero ha sviluppato una politica nazionale per essere competitivo nel campo tecnologico.
La proposta di acquisizione di Aixtron da parte del Fujian Grand Chip Investment Fund è stata bloccata dal governo tedesco nell'ottobre 2016. Aixtron è un fornitore di apparecchiature per semiconduttori, mentre il Fujian Grand Chip Investment Fund è un fondo di acquisizione. Il Ministero dell'Economia tedesco ha inizialmente approvato l'accordo nel settembre 2016, nonostante preoccupazioni simili a quelle sollevate dal caso KUKA un mese prima. A ottobre, ha riesaminato l'accordo a seguito di "nuove informazioni relative alla sicurezza" e alla fine ha ritirato la sua approvazione . Gli Stati Uniti hanno avuto un ruolo nel caso Aixtron . Il Comitato per gli investimenti esteri negli Stati Uniti , un comitato interdipartimentale del governo statunitense presieduto dal Segretario del Tesoro per esaminare gli effetti degli investimenti esteri sulla sicurezza nazionale, ha esaminato attentamente Aixtron perché la società detiene asset negli Stati Uniti. Il comitato ha avvisato il governo tedesco dei rischi per la sicurezza . Il Fujian Grand Chip Investment Fund ha infine abbandonato l'operazione nel dicembre 2016.
Questi due casi illustrano il crescente legame tra le dimensioni economica, di sicurezza e tecnologica. La Germania, a causa della sua storia, ha cercato di separare l'economia da un lato, e la politica e la sicurezza dall'altro. Dal lancio della politica MIC 2025 , si è verificato un cambiamento nella posizione tradizionalmente aperta della Germania sugli investimenti a causa di preoccupazioni per la sicurezza legate agli investimenti e alle acquisizioni cinesi in tecnologie avanzate. Gli investimenti cinesi in tecnologie tedesche critiche hanno generato un crescente dibattito e attenzione pubblica. La Germania è diventata più consapevole delle implicazioni per la sicurezza degli investimenti esteri in tecnologie critiche.
Per i Paesi Bassi, la Cina e i suoi investimenti in tecnologie avanzate non erano al centro dell'attenzione della sicurezza. All'inizio di questo decennio, il Paese stava subendo tagli al bilancio della difesa . Le questioni di sicurezza si concentravano sul continente europeo o, più specificamente, sull'Unione Europea e sul suo vicinato orientale. Allo stesso tempo, i Paesi Bassi seguivano da vicino le politiche e le priorità della NATO. La NATO iniziò a sollevare preoccupazioni riguardo alle sfide emergenti poste dalla Cina e riconobbe ufficialmente la Cina come una questione importante per l'Alleanza al vertice di Londra del 2019. I Paesi Bassi iniziarono gradualmente a prestare attenzione agli investimenti e alle acquisizioni cinesi, e persino ai furti , di tecnologie avanzate.
L'Università di Leida ha concluso il suo accordo di partnership con l'Istituto Confucio nell'agosto 2019, sostenendo che "le attività dell'Istituto non erano più in linea con la strategia cinese dell'Università". La decisione dell'università esemplifica una crescente consapevolezza dei rischi e delle sfide della cooperazione scientifica con la Cina, nonché delle opportunità. Tra queste figurano, ad esempio, il potenziale furto di dati e proprietà intellettuale, "censura e violazioni della libertà accademica" e il fatto che la ricerca scientifica cinese sia sempre più allineata alle "esigenze di sicurezza e alla visione strategica" del governo cinese. Inoltre, sul fronte della sicurezza della cooperazione scientifica, i servizi di sicurezza e affari esteri olandesi si sono impegnati a sensibilizzare altre istituzioni governative e non governative, che vedevano la Cina come un'opportunità, sui rischi e le sfide associati a tale collaborazione. Tra queste istituzioni figurano, ad esempio, aziende, istituti accademici, governi non centrali (province e comuni), nonché ministeri dell'Economia e dell'Istruzione, della Cultura e della Scienza.
Nel maggio 2019, i Paesi Bassi hanno pubblicato il documento "Paesi Bassi e Cina: un nuovo equilibrio ", che può essere considerato un punto di svolta nella politica olandese nei confronti della Cina. In questo documento, la Cina è stata descritta come un "forte concorrente" nel settore tecnologico, con l'obiettivo di diventare una "superpotenza tecnologica" attraverso la sua politica MIC 2025. Tra le altre misure adottate dal governo, la Cina ha imposto trasferimenti forzati di tecnologia alle aziende straniere, ha investito e acquisito aziende straniere e ha mobilitato "tattiche digitali aggressive" per ottenere l'accesso a tecnologie avanzate.
Il rapporto annuale del 2022 del Servizio generale di intelligence e sicurezza olandese affermava che la Cina, a parte la Russia, rappresentava la "maggiore minaccia" alla "sicurezza economica" e agli "interessi di sicurezza nazionale". Questo perché la Cina cercava strategicamente di acquisire tecnologie avanzate olandesi ed europee sia attraverso mezzi legali (investimenti, fusioni e acquisizioni, progetti di ricerca congiunti) sia illegali (spionaggio, investimenti clandestini, esportazioni illegali).
La Francia ha inoltre assistito a crescenti preoccupazioni riguardo al legame tra sicurezza e tecnologia nelle sue relazioni con la Cina. In primo luogo, vi è una seria preoccupazione per l'ambizione e le attività della Cina volte ad acquisire proprietà intellettuale relativa a tecnologie avanzate sviluppate dalla Francia e da altri Stati membri. In secondo luogo, vi sono misure correlate adottate dalla Cina per imporre restrizioni che impediscono l'accesso straniero alle sue capacità tecnologiche. Da una prospettiva tecnologica e di sicurezza, mobilitare l'Unione è l'approccio più appropriato affinché la Francia abbia sufficiente influenza nei negoziati con la Cina ed eviti le minacce cinesi contro i singoli Stati membri.
Stiamo assistendo a una crescente consapevolezza della dimensione di sicurezza delle tecnologie critiche, come dimostrano i casi di Germania, Paesi Bassi e Francia. Questo sviluppo è legato sia alla politica cinese MIC 2025 , sia alle crescenti preoccupazioni riguardo agli investimenti e alle acquisizioni cinesi di tecnologie avanzate da parte degli Stati membri. Queste preoccupazioni riguardo ai rischi e alle sfide poste dalla Cina sono state rafforzate anche dalla mutata percezione dell'Unione e dei suoi Stati membri nei confronti della Cina, ora vista come un "concorrente economico nella ricerca della leadership tecnologica".
La sicurezza delle infrastrutture digitali
I ricercatori ritengono che le infrastrutture critiche come porti, aeroporti, ferrovie e reti elettriche in Europa siano generalmente “ troppo aperte ” all’acquisizione o persino alla proprietà straniera tramite investimenti. Questo fenomeno contribuisce al rischio di interferenze politiche e strategiche da parte di attori stranieri, sia pubblici che privati, nell’Unione Europea. I ricercatori hanno inoltre evidenziato il fatto che il commercio e gli investimenti sono sempre più legati alla sicurezza tecnologica, in particolare nel settore delle infrastrutture digitali.
L'infrastruttura digitale si riferisce a "un insieme di componenti delle tecnologie dell'informazione e della comunicazione che costituiscono la base dei servizi di tecnologia dell'informazione e della comunicazione. Questi includono generalmente componenti fisici – hardware di computer e di rete, nonché strutture – ma anche vari software e componenti di rete".
Il tema delle infrastrutture digitali non è stato affrontato né nell'Agenda strategica UE-Cina 2020 per la cooperazione del 2013 né nel Documento programmatico cinese sull'Unione europea del 2014. Le preoccupazioni europee hanno iniziato a emergere nel documento del 2016, Elementi per una nuova strategia dell'UE sulla Cina. L'Unione europea ha espresso la propria insoddisfazione per i controlli di sicurezza cinesi sugli investimenti europei in Cina, andando oltre le "legittime preoccupazioni per la sicurezza nazionale". Al contrario, ha sottolineato la necessità che gli Stati membri definiscano la portata delle infrastrutture critiche in relazione agli investimenti esteri cinesi in Europa. Il Documento programmatico cinese sull'Unione europea del 2018 non ha affrontato questo tema. Tuttavia, alla voce commercio e investimenti, il documento cinese ha espresso il desiderio che "l'Unione mantenga il suo mercato degli investimenti aperto".
Le preoccupazioni europee in merito alla sicurezza delle infrastrutture digitali critiche sono diventate concrete e serie nel documento UE-Cina - Prospettive strategiche del 2019. Questo documento dedica due piani d'azione (Nove e Dieci) a questo tema, uno dei quali si concentra sulle infrastrutture digitali critiche. Il documento afferma esplicitamente che gli investimenti esteri e le acquisizioni di infrastrutture critiche possono mettere a repentaglio la sicurezza dell'Unione. L'Azione Nove affronta principalmente la necessità di salvaguardare la sicurezza delle infrastrutture digitali, sottolineando l'importanza delle reti 5G. Inoltre, nell'Azione Dieci, il documento politico sottolinea la necessità di individuare e sensibilizzare sulle minacce alla sicurezza derivanti dagli investimenti esteri e dalle acquisizioni di infrastrutture critiche dell'UE.
A livello europeo, l'infrastruttura digitale, in particolare le reti 5G, è uno dei principali ambiti su cui l'Unione ha lavorato per aumentare la propria influenza nei rapporti con la Cina. Ha compiuto notevoli sforzi per coordinare le valutazioni dei rischi nazionali e sviluppare misure comuni per mitigare i rischi per la sicurezza delle reti 5G. Il kit di strumenti per la sicurezza delle reti 5G include, ad esempio, misure per affrontare i rischi per la sicurezza posti dai fornitori 5G (tra cui la riduzione delle dipendenze, la limitazione e persino l'esclusione degli operatori ad alto rischio), la diversificazione della catena di fornitura delle reti 5G, il coordinamento degli Stati membri per una certificazione di sicurezza europea dell'infrastruttura 5G e l'aggiornamento delle revisioni dell'Unione e degli Stati membri sui rischi per la sicurezza dell'infrastruttura 5G attraverso il gruppo di cooperazione NIS.
Pertanto, sebbene non esista ancora una politica comune sul 5G, sono stati compiuti progressi concreti nell'elaborazione delle politiche 5G degli Stati membri e nell'aumento della coerenza tra le politiche nazionali sulla sicurezza delle infrastrutture 5G. Inoltre, mentre gli Stati membri rimangono i decisori finali sulle politiche nazionali sul 5G, un meccanismo di coordinamento e cooperazione a livello dell'UE esercita una pressione positiva sugli Stati membri affinché introducano misure volte a rafforzare collettivamente la sicurezza delle reti 5G europee. Per quanto riguarda le istituzioni comuni, ENISA e DG CONNECT hanno formato gruppi di lavoro per monitorare e rispondere ai rischi per la sicurezza del 5G in collaborazione con le autorità degli Stati membri.
Il Parlamento europeo si è impegnato attivamente per sensibilizzare l'opinione pubblica sulle minacce alla sicurezza poste dal coinvolgimento della Cina nelle infrastrutture digitali, come le reti 5G. Alcuni deputati ritengono che i fornitori di telecomunicazioni cinesi ad alto rischio siano costantemente sensibili alla sicurezza digitale dell'Unione e dei suoi Stati membri. Nel marzo 2019, il Parlamento europeo ha adottato una risoluzione su questo argomento , esprimendo preoccupazione per le vulnerabilità delle infrastrutture 5G europee costruite da aziende ad alto rischio. Ha chiesto l'integrazione dei rischi per la sicurezza nelle analisi delle reti di infrastrutture critiche, nonché un coordinamento rafforzato tra gli Stati membri e tra il livello europeo e quello nazionale. La richiesta principale della risoluzione è stata successivamente ripresa nella valutazione coordinata dei rischi delle reti 5G dell'ENISA nell'ottobre 2019 e nel 5G Network Security Toolkit nel gennaio 2020.
Tuttavia, la sicurezza delle infrastrutture digitali rientra nelle competenze degli Stati membri, in particolare quando è legata alla sicurezza nazionale. Il Parlamento europeo è in grado di stimolare il dibattito, sensibilizzare e invitare il Consiglio, la Commissione e gli Stati membri a compiere progressi più concreti in questo ambito. Tuttavia, non è in grado di "costringere" altri attori nel processo decisionale su questo tema.
A livello nazionale, Francia, Paesi Bassi e Repubblica Ceca hanno contribuito in modo significativo al kit di strumenti per la sicurezza del 5G. La Francia ha preso molto sul serio la sicurezza delle reti 5G, inclusa la necessità di ridurre la dipendenza dalla catena di fornitura delle infrastrutture 5G cinesi. È sempre più consapevole degli interessi strategici da proteggere e delle minacce alla sicurezza poste dagli investimenti esteri nelle infrastrutture digitali. In risposta a queste sfide per la sicurezza, la Francia insiste sulla necessità che l'Europa istituisca e mobiliti gli strumenti a sua disposizione, come il meccanismo di controllo degli investimenti diretti esteri (IDE). Inoltre, il Parlamento francese ha adottato una legge sulla tutela degli interessi nazionali di difesa e sicurezza nel campo delle reti mobili (comunemente nota come "legge 5G") nell'agosto 2019. Tale legge richiede che il funzionamento di determinate apparecchiature elettroniche sia autorizzato dalle autorità francesi competenti e che gli operatori rispettino i requisiti amministrativi previsti dalla legge. Nel luglio 2020, l'Agenzia nazionale per la sicurezza informatica francese (ANSSI) ha informato gli operatori di telecomunicazioni che non avrebbe rinnovato le licenze di autorizzazione per le apparecchiature 5G di Huawei , la cui scadenza era prevista tra tre (2023) e otto anni (2028).
In risposta ai rischi per la sicurezza legati alle telecomunicazioni, la Germania si è impegnata a rafforzare la resilienza della propria infrastruttura digitale . Con l' IT Security Act 1.0 , entrato in vigore nel luglio 2015, mira a proteggere i propri sistemi IT e l'infrastruttura digitale. L' IT Security Act 2.0 è entrato in vigore nel maggio 2021. Le leggi tedesche sulla sicurezza informatica impongono agli operatori di telecomunicazioni di soddisfare "requisiti di sicurezza di alto livello" e che i "componenti critici" ottengano la certificazione di sicurezza. Le aziende tedesche in settori sensibili e quelle di "particolarmente elevata importanza economica" sono tenute ad attuare misure di sicurezza informatica. Nel settembre 2023, il Ministero dell'Interno ha annunciato una proposta per limitare l'uso delle apparecchiature 5G Huawei e ZTE da parte degli operatori di telecomunicazioni entro il 2026.
Funzionari cechi hanno notato che alcune società di telecomunicazioni cinesi, come Huawei e ZTE , sono collegate alle attività e agli interessi del governo cinese. Le discussioni sul coinvolgimento della Cina nelle infrastrutture 5G si sono intensificate con le crescenti preoccupazioni per la sicurezza nella Repubblica Ceca. L'Agenzia per la sicurezza informatica e la sicurezza delle informazioni (NÚKIB) ha emesso un avviso secondo cui il software e l'hardware di Huawei e ZTE rappresentano una minaccia per la sicurezza informatica. Classificata al livello di minaccia più alto (livello 4), la partecipazione di Huawei alle reti 5G ceche è limitata. Anche le crescenti attività di spionaggio cinese nella Repubblica Ceca sono diventate un argomento attentamente monitorato dai servizi segreti.
Il Regno Unito ha istituito il primo ufficio Huawei nel 2001, prima di altri paesi europei. Huawei ha aumentato il suo coinvolgimento nelle infrastrutture digitali britanniche dal 2005, quando si è aggiudicata contratti con British Telecom per l'aggiornamento delle sue reti di telecomunicazioni, in particolare "router e altre apparecchiature di trasmissione". Le preoccupazioni britanniche in materia di sicurezza riguardo al crescente coinvolgimento di Huawei nelle infrastrutture digitali del paese sono iniziate nel 2010. Queste preoccupazioni si sono intensificate dal giugno 2013, quando la Commissione parlamentare congiunta per l'intelligence e la sicurezza, una commissione congiunta della Camera dei Comuni e della Camera dei Lord, ha pubblicato un rapporto sui rischi per la sicurezza nazionale posti dal coinvolgimento di Huawei nelle infrastrutture digitali critiche. In risposta, il governo ha riconosciuto che le procedure di due diligence sulla sicurezza di British Telecom con Huawei erano "insufficientemente solide", ha concordato che il Consigliere per la sicurezza nazionale avrebbe esaminato le operazioni del Cyber Security Assessment Centre di Huawei e ha riconosciuto la necessità di un "approccio basato sul rischio" per la revisione degli investimenti esteri nelle infrastrutture critiche del paese. Dopo il picco delle relazioni tra Regno Unito e Cina sotto David Cameron, nell’ottobre 2016 è stato istituito il Cyber Security Centre del Regno Unito, che ha monitorato attentamente i rischi per la sicurezza associati alle apparecchiature e alla tecnologia Huawei nelle infrastrutture digitali. Nel luglio 2020, il Regno Unito ha annunciato il divieto per Huawei e altre aziende cinesi ad alto rischio per la sicurezza di accedere alle reti 5G entro la fine del 2027.
Per quanto riguarda la Grecia, è interessante notare la presenza relativamente limitata della Cina nelle reti 5G del Paese. Questo perché la Cina è stata fortemente coinvolta nelle reti 4G greche sin dall'investimento di Huawei nell'ammodernamento delle reti 4G della società di telecomunicazioni Wind Hellas, durante il culmine della crisi finanziaria. Huawei rappresenta oltre il 50% della rete di accesso radio della Grecia, ovvero la componente di telecomunicazioni che collega i singoli dispositivi ad altre parti della rete di telecomunicazioni. La rete di accesso radio di Wind Hellas è fornita quasi esclusivamente da Huawei . Tuttavia, con la graduale transizione della Grecia all'infrastruttura 5G, in particolare alla fine degli anni 2010 e ancor più dal 2020, gli Stati Uniti e altri Stati membri dell'Unione Europea hanno iniziato a discutere o vietare la partecipazione di Huawei e ZTE all'infrastruttura 5G all'interno dei loro confini. Nel giugno 2020, la Grecia ha aderito all'iniziativa Clean Network, promuovendo il divieto di apparecchiature e servizi digitali da parte di governi autoritari. Sebbene la Grecia non abbia deciso di vietare a Huawei di partecipare all'infrastruttura 5G, il Paese ha preso le distanze dall'azienda .
Una tendenza simile si osserva anche in materia di sicurezza informatica. L'Unione Europea e i suoi Stati membri sono sempre più consapevoli e reagiscono alle preoccupazioni per la sicurezza poste dal coinvolgimento della Cina nelle infrastrutture digitali, a partire dal 5G, sul suolo europeo. L'Unione ha esortato i suoi Stati membri a compiere progressi nell'elaborazione di politiche nazionali di sicurezza per il 5G. Stanno gradualmente diventando più consapevoli dei rischi per la sicurezza posti dalle aziende cinesi che forniscono apparecchiature e servizi 5G. In misura diversa, gli Stati membri hanno adeguato le loro normative sul 5G per quanto riguarda le aziende cinesi ad alto rischio, in particolare nel caso di Huawei e ZTE.
Il quadro europeo per lo screening degli investimenti diretti esteri (IDE)
Il nuovo strumento europeo per affrontare le problematiche di sicurezza legate agli investimenti esteri e all'acquisizione di infrastrutture e tecnologie critiche è il meccanismo di screening degli investimenti diretti esteri (IDE). Esso ha istituito un quadro, in primo luogo, per consentire agli Stati membri di esaminare gli investimenti diretti esteri (IDE) sulla base di criteri di sicurezza o di ordine pubblico e, in secondo luogo, per il coordinamento e la cooperazione tra gli Stati membri e tra il livello europeo e quello nazionale.
La Commissione ha presentato la proposta per il quadro europeo di controllo degli investimenti diretti esteri (IDE) nel settembre 2017. Il Consiglio e il Parlamento europeo hanno raggiunto un accordo politico su questo meccanismo nel novembre 2018. Nel marzo 2019 è stato adottato il meccanismo di controllo degli investimenti diretti esteri (IDE ). In realtà, questo meccanismo si basava su un'iniziativa di Francia, Germania e Italia del febbraio 2017. Già nel maggio 2012, il Parlamento europeo aveva adottato una risoluzione che chiedeva l'istituzione di un "nuovo quadro istituzionale" per affrontare le implicazioni per la sicurezza degli investimenti esteri strategici, con riferimento al modello del Comitato statunitense sugli investimenti esteri (CEI) .
Il quadro europeo per lo screening degli investimenti diretti esteri (IDE) è stato considerato un passo significativo per due motivi principali]. In primo luogo, il meccanismo è stato istituito in diciotto mesi, un lasso di tempo molto efficiente per il processo decisionale europeo. Il consenso è stato raggiunto in un periodo relativamente breve, nonostante la natura innovativa del concetto. Il consenso sulla necessità di questo nuovo strumento è stato raggiunto all'interno dell'ecosistema europeo sulla base del lavoro analitico svolto dagli Stati membri e dalle istituzioni comuni. In secondo luogo, l'Unione è stata in grado di sfruttare la propria competenza in materia di commercio e investimenti e di collegarla alle questioni di sicurezza, aprendo così nuove dimensioni nel campo della sicurezza.
È importante sottolineare che le revisioni e le decisioni definitive relative ai casi di investimenti esteri vengono effettuate dagli Stati membri sulla base dei rispettivi meccanismi di screening nazionali, con variazioni di portata e criteri . Detto questo, il quadro europeo di screening degli IDE consente il coordinamento di tali revisioni a livello europeo. Ad esempio, la Commissione europea può emettere pareri sui casi di investimenti esteri, gli Stati membri sono tenuti a notificare alla Commissione i casi di IDE sottoposti a screening, gli Stati membri sono incoraggiati ad aggiornare e attuare i meccanismi di screening nazionali e sono stati istituiti punti di contatto tra la Commissione e gli Stati membri per lo scambio di informazioni. Gli IDE rientrano nella competenza esclusiva dell'Unione, mentre le questioni relative alla sicurezza rientrano nella competenza degli Stati membri. Di conseguenza, l'efficacia del quadro europeo di screening degli IDE dipende in larga misura dal coordinamento e dalla cooperazione tra il livello europeo e quello nazionale.
Ricercatori e responsabili politici hanno elogiato questo quadro europeo di screening degli investimenti diretti esteri, considerandolo uno strumento concreto e utile per l'Unione nell'affrontare le sfide di sicurezza associate agli investimenti esteri e all'acquisizione di tecnologie e infrastrutture critiche. Attraverso questo strumento, l'Unione ha aumentato la sua influenza nelle sue interazioni con la Cina. Il meccanismo si basa sulla convinzione fondamentale che l'Europa rimanga aperta agli investimenti esteri, ma che debba proteggere le sue tecnologie e infrastrutture critiche qualora esistano implicazioni per la sicurezza.
Sicurezza informatica
Autorità europee per la sicurezza informatica
Nel suo regolamento sulla sicurezza informatica del 2019, l'Unione Europea ha definito la "sicurezza informatica" come "le azioni necessarie per proteggere le reti e i sistemi informativi, gli utenti di tali sistemi e le altre persone esposte alle minacce informatiche". Prima del regolamento sulla sicurezza informatica, nei suoi documenti giuridici utilizzava la terminologia "sicurezza delle reti e dei sistemi informativi" anziché "sicurezza informatica".
Per quanto riguarda le autorità responsabili della sicurezza informatica, l'organismo competente è l'Agenzia dell'Unione Europea per la sicurezza informatica (ENISA). Inizialmente istituita come Agenzia europea per la sicurezza delle reti e dell'informazione nel marzo 2004, l'ENISA ha come obiettivo "assistere la Commissione e gli Stati membri e, di conseguenza, cooperare con il mondo imprenditoriale aiutandoli a soddisfare i requisiti di sicurezza delle reti e dell'informazione". Il regolamento istitutivo dell'ENISA affermava esplicitamente che le attività dell'agenzia "non pregiudicano" le competenze degli Stati membri. Il mandato dell'ENISA, in termini di durata, è stato prorogato nel 2008 , 2011 e 2013, prima di diventare un'agenzia permanente dell'Unione Europea con la sua attuale denominazione nel 2019 .
A livello nazionale, i quadri giuridici e le strutture delle autorità nazionali per la sicurezza informatica variano. Ad esempio, tra i sei paesi studiati, l' Agenzia nazionale per la sicurezza informatica francese (ANSSI) è stata una delle prime ad essere istituita nel 2009 ed è sotto la supervisione del Segretariato generale per la difesa e la sicurezza nazionale (SGDSN), che fa capo al Primo Ministro. Il Centro nazionale tedesco per la risposta informatica (Cyber-AZ) è stato creato nel 2011. Non è un'autorità a sé stante, ma opera all'interno dell'Ufficio federale per la sicurezza informatica (BSI), che fa capo al Ministero federale dell'interno (BMI). Nella Repubblica ceca, l' Agenzia nazionale per la sicurezza informatica e informatica nel 2017, sostituendo sia il Centro nazionale per la sicurezza informatica (NCKB) che il Consiglio per la sicurezza informatica (CSC), creati nel 2011. La NÚKIB fa capo al Primo Ministro, a cui fa capo il Direttore della NÚKIB. Il Centro nazionale olandese per la sicurezza informatica (NCSC-NL) è stato istituito nel 2012 e fa capo al Ministero della Giustizia e della Sicurezza (JenV). Il Centro nazionale per la sicurezza informatica (NCSC) del Regno Unito, istituito nel 2016, fa parte del Government Communications Headquarters (GCHQ). Il GCHQ non fa parte del Ministero degli Esteri, del Commonwealth e dello Sviluppo (FCDO), ma fa capo al Ministro degli Esteri. Per quanto riguarda la Grecia, il paese disponeva di una Direzione Generale per la sicurezza informatica, sotto l'autorità del Ministero della Governance Digitale, creata nel 2019. Il governo ha istituito l' Autorità nazionale per la sicurezza informatica nel 2024, che rimane sotto la supervisione del Ministro della Governance Digitale.
Per facilitare il coordinamento e la cooperazione tra l'Unione e i suoi Stati membri in materia di sicurezza informatica, nel luglio 2016 è stato istituito il Gruppo di cooperazione per le reti e i sistemi informativi (NIS). Riunisce la Commissione, l'ENISA e i rappresentanti delle autorità nazionali per la sicurezza informatica. La direttiva che lo ha istituito mira a migliorare la coerenza dell'Unione imponendo agli Stati membri di designare un servizio nazionale e un punto di contatto unico responsabile della sicurezza informatica. Il Gruppo NIS mira a rafforzare lo scambio di informazioni tra gli Stati membri in materia di sicurezza informatica. Allo stesso tempo, la direttiva sottolinea il rispetto della competenza degli Stati membri nel determinare la divulgazione di informazioni relative alla sicurezza nazionale. Vi è infatti resistenza da parte di alcuni Stati membri a un'autorità per la sicurezza informatica a livello di Unione. Dopotutto, in quanto direttiva, sebbene si tratti di un atto giuridicamente vincolante, sono gli Stati membri ad adottare le leggi nazionali su come raggiungere gli obiettivi stabiliti nella direttiva – o " recepimento " in termini giuridici.
La sicurezza informatica nelle relazioni sino-europee
Nelle relazioni tra Unione Europea e Cina, la sicurezza informatica era già stata menzionata come una preoccupazione nell'Agenda strategica UE-Cina 2020 per la cooperazione del 2013. La prospettiva di migliorare la fiducia e la cooperazione tra le due parti nel settore informatico nell'ambito delle Nazioni Unite era presente. Il documento programmatico cinese sull'UE del 2014 ha sostanzialmente ribadito gli stessi contenuti del documento UE del 2013.
Il documento del 2016 " Elementi per una nuova strategia dell'UE sulla Cina" ha iniziato a esprimere le preoccupazioni europee riguardo al "furto informatico di diritti di proprietà intellettuale e segreti commerciali" da parte della Cina. L'UE ha esortato la Cina ad "applicare il diritto internazionale vigente nel cyberspazio" e a promuovere un accordo internazionale sulla "protezione delle risorse informatiche critiche". Nel 2018, il testo cinese relativo alla sicurezza informatica nel documento programmatico della Cina sull'Unione Europea era diventato una mera parafrasi del documento del 2014.
Il documento "UE-Cina - Prospettive strategiche" del 2019 ha affrontato la sicurezza informatica in uno dei suoi dieci piani d'azione. Tale piano si è concentrato sul rafforzamento della sicurezza delle infrastrutture digitali critiche nell'Unione europea e nei suoi Stati membri. È quindi comprensibile che la sicurezza informatica sia stata classificata tra le priorità dell'UE nelle sue relazioni con la Cina. Inoltre, il documento strategico del 2019 ha segnalato il serio impegno dell'UE in materia di sicurezza informatica, evidenziando i progressi dell'UE nell'istituzione di un quadro sanzionatorio contro gli attacchi informatici. Nel maggio 2019, il Consiglio ha adottato un regolamento che istituisce un quadro sanzionatorio, consentendo all'UE di imporre sanzioni (divieti di viaggio e congelamento dei beni) a "persone o entità responsabili di attacchi informatici o tentati attacchi informatici". Ciò dimostra una crescente preoccupazione europea per la sicurezza informatica nelle sue relazioni con la Cina.
Dieci giorni dopo la pubblicazione del China Policy Paper del 2019, il Consiglio europeo ha invitato la Commissione a proporre una raccomandazione su un "approccio integrato" alla sicurezza informatica delle reti 5G. Quattro giorni dopo, la Commissione europea ha presentato la sua raccomandazione, che invita gli Stati membri a condurre valutazioni nazionali dei rischi del 5G e ad adottare le misure di sicurezza necessarie in risposta a tali rischi, nonché a sviluppare una valutazione coordinata dei rischi e misure di mitigazione comuni. Nell'ottobre 2019 è stata pubblicata la relazione sulla valutazione coordinata dei rischi delle reti 5G. Nel gennaio 2020, il gruppo NIS ha adottato il 5G Network Security Toolkit , con l'obiettivo di affrontare collettivamente le sfide della sicurezza informatica del 5G.
La Repubblica Ceca ha contribuito attivamente alla politica di sicurezza informatica dell'UE. La sicurezza informatica è una questione causata da calamità: gli Stati membri sanno che è cruciale, ma fanno poco in termini di azioni concrete o collaborano con altre capitali fino a quando non si verificano incidenti negativi. Quando la Cina ha iniziato a concentrarsi sul rafforzamento delle interazioni con i paesi dell'Europa centrale e orientale nella prima metà degli anni 2010, aveva una conoscenza pregressa limitata della regione e una presenza limitata. La raccolta di informazioni è stata un'importante fonte di informazioni per fornire alla Cina orientamenti politici riguardo alla regione. La Repubblica Ceca ha iniziato a rilevare attività di spionaggio informatico attribuibili alla Cina intorno al 2013 e al 2014. Facendo eco alle preoccupazioni sollevate nei documenti dell'UE sulla Cina, sono stati osservati reati informatici nel furto di diritti di proprietà intellettuale da parte di aziende europee. I servizi governativi competenti hanno quindi iniziato a monitorare attentamente le attività informatiche della Cina nei confronti del paese.
La Germania ha affrontato le preoccupazioni in materia di sicurezza informatica provenienti da attori stranieri, tra cui la Cina, che è diventata una " fonte importante di attacchi informatici contro l'Europa ", nel tentativo di attuare la sua "ambiziosa politica industriale". La Cina è chiaramente considerata una preoccupazione per quanto riguarda gli attacchi informatici. Nel dicembre 2019, l' Ufficio federale per la protezione della Costituzione (BfV) ha pubblicato un rapporto sugli attacchi informatici attribuiti al Winnti Group , un gruppo di hacker cinese presumibilmente sponsorizzato dallo Stato. Il rapporto indicava attacchi del Winnti Group contro le aziende tedesche Henkel (2014), BASF (2015), Siemens (2016), Bayer (2018) e Roche (2019), tra le altre. Questi attacchi hanno preso di mira aziende tedesche nei settori tecnologico e farmaceutico e, a partire dal 2022, hanno progressivamente preso di mira enti governativi tedeschi e missioni diplomatiche all'estero. La percentuale di aziende tedesche che hanno segnalato di aver subito reati informatici da parte della Cina è aumentata dal 30 nel 2021 al 43 nel 2022.
Dal 2013, l'Unione Europea e i suoi Stati membri hanno posto sempre più attenzione alla sicurezza informatica nelle loro relazioni con la Cina. Sebbene la Cina non sia certamente l'unico paese responsabile, è chiaramente uno dei principali autori di attacchi informatici contro le istituzioni dell'UE. Gli attori europei, nonostante le loro diverse strutture giuridiche, hanno istituito agenzie per la sicurezza informatica e un organismo di coordinamento tra l'UE e i suoi Stati membri. La principale sfida per il coordinamento e la cooperazione europea in materia di sicurezza informatica risiede nel fatto che la competenza degli Stati membri prevale quando è in gioco la sicurezza nazionale. Il 5G Cybersecurity Toolkit, adottato nel gennaio 2020, fornisce un quadro di riferimento per le istituzioni dell'UE e gli Stati membri per mitigare collettivamente le sfide alla sicurezza informatica del 5G.
***
Nel 2013, la questione della sicurezza nei settori delle infrastrutture tecnologiche, informatiche e digitali non è emersa come un tema importante nelle relazioni UE-Cina. Dalla seconda metà degli anni 2010, è diventata una preoccupazione sempre più seria per le istituzioni dell'Unione e degli Stati membri.
Sebbene la politica cinese MIC 2025 miri a modernizzare le sue capacità tecnologiche e industriali, gli investimenti esteri del Paese si sono concentrati principalmente su asset manifatturieri avanzati e ad alta tecnologia. L'Unione Europea e i suoi Stati membri hanno sempre più riconosciuto la necessità di proteggere le proprie tecnologie critiche dagli investimenti e dalle acquisizioni cinesi. In termini di sicurezza informatica, la Cina è stata identificata come una delle principali fonti di attacchi. Per quanto riguarda le infrastrutture digitali, gli stakeholder europei sono diventati sempre più attenti alle sfide per la sicurezza poste dal coinvolgimento della Cina nelle infrastrutture digitali, a partire dal 5G.
Progettato e implementato in stretto coordinamento con gli Stati membri, il meccanismo di controllo degli investimenti diretti esteri (IDE) è stato adottato dall'UE nel marzo 2019. Questo meccanismo ha creato un quadro di riferimento che consente alla Commissione e agli Stati membri di coordinare le proprie azioni in materia di investimenti diretti esteri (IDE). Si tratta del nuovo strumento dell'UE per esaminare e moderare l'aumento degli investimenti e delle acquisizioni cinesi nelle tecnologie e nelle infrastrutture critiche europee, per motivi di sicurezza o di ordine pubblico. L'Unione europea e i suoi Stati membri hanno implementato questo strumento in modo molto efficace e hanno sfruttato le competenze dell'UE in materia di commercio e investimenti per collegarlo al settore della sicurezza.
L'Unione Europea e i suoi Stati membri hanno quindi integrato il crescente legame tra sicurezza e tecnologia nella formulazione delle loro politiche strategiche nei confronti della Cina. Gli attori europei sono passati dalla consapevolezza a una maggiore vigilanza, per poi passare all'attuazione di misure volte ad affrontare le sfide poste alla sicurezza tecnologica dell'Europa nelle loro interazioni con la Cina. La sicurezza tecnologica ha rappresentato un elemento significativo nella formulazione strategica della politica europea nei confronti della Cina.
Oltre agli sforzi delle istituzioni comuni, gli Stati membri hanno svolto un ruolo significativo nel processo di formulazione strategica, poiché la sicurezza nazionale rientra nelle loro competenze. L'efficacia della strategia europea in materia di sicurezza tecnologica dipende dal coordinamento e dalla cooperazione tra il livello europeo e quello nazionale. A tale riguardo, il kit di strumenti per la sicurezza delle reti 5G, il regime sanzionatorio contro gli attacchi informatici e il quadro europeo per lo screening degli investimenti diretti esteri (IDE) possono essere considerati risultati concreti. Tuttavia, l' efficace attuazione delle misure di sicurezza tecnologica nei confronti della Cina da parte degli Stati membri rimane la responsabilità primaria per il successo di una strategia dell'Unione ben formulata.
Le discussioni relative alla sicurezza tecnologica europea nei confronti della Cina sono recentemente riprese. A seguito della strategia ProtectEU pubblicata nell'aprile 2025, la Commissione europea avrebbe esplorato modalità per convincere e obbligare gli Stati membri a escludere Huawei e ZTE (i " fornitori ad alto rischio ") dalle loro reti di telecomunicazioni. Stati membri come Grecia e Spagna non hanno ancora vietato la partecipazione di queste aziende cinesi. L'approvazione da parte della Spagna, nel luglio 2025, di un contratto multimilionario con Huawei per l'archiviazione di dati giudiziari ha suscitato forti critiche in Europa e negli Stati Uniti. La Germania, da parte sua, sta estendendo il divieto imposto ai fornitori di tecnologia cinese ad alto rischio dalle reti di telecomunicazioni ad altri settori critici come l'energia, i trasporti e la sanità. L'attuazione della strategia europea per rafforzare la sicurezza tecnologica rimane quindi una questione cruciale da monitorare.
https://x.com/i/grok/share/5479458b2a734b3e8f08ba37f33292e1
- Il post di Barbara de Munari condivide la traduzione italiana di un articolo di Earl Wang (CERI-Sciences Po/CNRS), pubblicato il 12 gennaio 2026, che analizza l'evoluzione della strategia UE sulla sicurezza tecnologica verso la Cina dal 2013 al 2022, passando da cooperazione a rivalità sistemica.
- L'articolo descrive lo shift percepito con il piano "Made in China 2025", che ha spinto l'UE a adottare strumenti come lo screening FDI (2019) per bloccare acquisizioni rischiose e la Toolbox 5G (2020) per escludere vendor ad alto rischio come Huawei e ZTE.
- Dati sorprendenti: Nonostante le restrizioni europee, Huawei/ZTE hanno perso solo il 5-10% del mercato UE dal 2020, mentre Nokia/Ericsson ne hanno perso i due terzi in Cina; attacchi cyber cinesi, come quelli del gruppo Winnti su aziende tedesche, sono aumentati dal 30% al 43% dei report tra 2021 e 2022.
