Cybersecurity Act: l’azzardo europeo che mette a rischio gli operatori. AIIP: “Sostituire i fornitori cinesi è un suicidio industriale. Il mercato delle reti non è un foglio Excel dove i fornitori si cambiano con una crocetta”

Indagine dell’Associazione: negli ultimi 5 anni gli Operatori medi hanno acquistato apparati cinesi – il miglior compromesso tra costo, prestazioni, consumi energetici – per 300 milioni di euro. La sostituzione forzata entro 3 anni costerebbe alle aziende 1 miliardo di euro. “Il vero rischio per la sicurezza nazionale sono i giganti del web e del cloud”

Milano, 21 aprile 2026

Un azzardo industriale insostenibile, soprattutto nel contesto geopolitico instabile in cui siamo immersi. È questo il giudizio tranchant dell’Associazione Italiana Internet Provider (AIIP) sulla proposta di revisione del Cybersecurity Act (CSA), presentata dalla Commissione europea il 20 gennaio scorso. “La nuova versione della normativa apre la strada a una disciplina che consentirebbe di colpire i cosiddetti “high-risk suppliers”, i fornitori ad alto rischio, ben oltre il perimetro del 5G, estendendo l’attenzione anche alle reti elettroniche critiche e, di fatto, anche a componenti rilevanti della rete fissa e satellitare, con la possibilità di imporre restrizioni, phase out e sostituzioni forzate di apparati in utilizzo sui quali le aziende hanno investito – spiega il Presidente di AIIP Giuliano Peritore – La linea politica è ormai chiara: si vuole introdurre un meccanismo europeo permanente di selezione dei fornitori non sulla base della sola sicurezza tecnica dei prodotti, ma di valutazioni più ampie, anche di natura non tecnica, con effetti profondi su mercato, investimenti e concorrenza”.

Mentre l’Europa si trova stretta in un quadro internazionale sempre più instabile, con il traffico nello Stretto di Hormuz ancora gravemente compromesso, prezzi energetici nuovamente in tensione e filiere industriali che rischiano un altro ciclo di scarsità e ritardi, a Bruxelles “c’è chi pensa di potersi permettere il lusso di una nuova offensiva ideologica contro i fornitori cinesi di tecnologia per le reti, tralasciando tuttavia innumerevoli prodotti presenti sul mercato, come smartphone, smart tv, dispositivi iot, telecamere, vetture”.

“È una scelta che già sarebbe sbagliata in condizioni ordinarie, ma, nella fase storica che si sta aprendo, rischia di trasformarsi in un atto di puro autolesionismo economico, industriale e strategico – rincara il Vicepresidente Giovanni Zorzoni – Una sorta di auto-embargo, di dazio autoinflitto. Reuters ha descritto in questi giorni una situazione in cui il traffico marittimo nello Stretto di Hormuz resta in larga parte bloccato o fortemente perturbato, con forti ripercussioni sui flussi di petrolio e gas e prospettive di ripristino tutt’altro che rapide”

Il punto che sembra sfuggire a una parte della burocrazia europea è, per l’Associazione, in realtà molto semplice: “il mercato degli apparati di rete non è un foglio Excel sul quale spostare una crocetta da un fornitore all’altro. In numerosi segmenti cruciali, soprattutto nell’accesso fisso, nel GPON, nell’aggregazione, nel segmento dei router casalinghi, le alternative realmente equivalenti ai grandi vendor cinesi sono poche, spesso incomplete, talvolta solo nominali. Ci sono casi in cui i produttori residui si limitano a integrare merchant silicon con capacità manifatturiera limitata, con roadmap meno profonde, con apparati più energivori, più ingombranti e meno competitivi sotto il profilo prestazionale, che vengono rappresentati come alternativa. In altre parole, non siamo davanti a una sostituzione neutrale. Siamo davanti, molto spesso, a un peggioramento tecnico, a un aggravio economico, e ad una produzione di RAEE” aggiunge Zorzoni.

AIIP ha lanciato una indagine interna da cui emerge che, soltanto negli ultimi cinque anni, gli operatori medi e territoriali, che l’Associazione rappresenta in misura significativa, hanno investito circa 300 milioni di euro in apparati che oggi una parte della nuova narrativa europea vorrebbe bollare come “ad alto rischio”. Se a questa categoria venisse imposto, nell’arco di tre anni, come prevede la revisione del CSA, il rimpiazzo di apparati perfettamente funzionanti, che rappresentano oggi in molti casi il miglior equilibrio tra prestazioni, consumi ed economicità, l’impatto complessivo non sarebbe inferiore a un miliardo di euro, tra costi di sostituzione, migrazione, riconfigurazione, prove di rete, continuità del servizio, smantellamento e riaddestramento tecnico del personale.

“Chi immagina di poter scaricare una simile montagna di costi sulle imprese senza distruggerne la capacità di investimento dimostra di non avere alcuna percezione della realtà industriale in cui operano i Provider indipendenti – dichiara Peritore – Il nodo politico, però, è ancora più grave. Mentre una parte delle istituzioni europee si accanisce contro l’hardware cinese, i veri fornitori ad altissimo rischio continuano a sedere comodamente al centro dell’ecosistema digitale europeo, e sono i giganti globali del cloud e delle piattaforme.”

Secondo un’analisi del Future of Technology Institute, infatti, le aziende USA detengono oggi circa l’80 per cento del mercato cloud europeo, e i sistemi in 23 dei 28 Paesi analizzati sembrano fare affidamento su tecnologia statunitense per funzioni critiche di sicurezza nazionale. Lo stesso documento richiama il rischio di un vero e proprio “kill switch” digitale, cioè della possibilità concreta che, in presenza di determinate decisioni politiche o sanzionatorie, i servizi possano essere sospesi, disattivati o resi indisponibili anche in Europa.

È questo il paradosso che AIIP denuncia con forza: da un lato si vorrebbe costringere gli Operatori europei a smaltire apparati funzionanti, riducendo il numero dei fornitori, concentrando il rischio, e rendendo ancora più fragile la capacità di approvvigionamento del continente, proprio mentre il sistema economico globale si avvicina a una nuova fase di scarsità, tensione energetica e discontinuità logistica. Dall’altro lato si continua a tollerare, e, in molti casi, addirittura a consolidare, una dipendenza strutturale da un ristretto numero di fornitori cloud e software globali che già oggi occupano una posizione dominante nei servizi digitali più delicati, incluse funzioni che toccano la difesa, la Pubblica Amministrazione e la sicurezza nazionale. “Non si può parlare seriamente di sovranità digitale europea colpendo i fornitori che consentono ancora di costruire infrastrutture efficienti e lasciando intatto il vero cuore della dipendenza esterna”.

“La parte più assurda di questa vicenda – osserva Zorzoni – è che si vorrebbe imporre all’Europa una gigantesca operazione di rottamazione forzata proprio mentre il mondo entra in una fase di scarsità potenziale di energia, componenti, trasporto e capacità produttiva. Già in tempi ordinari una linea simile sarebbe industrialmente dissennata. Pensarla oggi, con ciò che accade nel Golfo, con i flussi energetici ancora sconvolti e con nuove tensioni sulle filiere globali, significa non aver compreso nulla di come si tengano in piedi le reti, le imprese e i mercati. A ciò si aggiunge un quadro europeo di finanza pubblica sempre più sotto pressione, fra il sostegno straordinario all’Ucraina, la crescente centralità della spesa per la difesa e l’impatto dei rincari energetici sui bilanci pubblici. In questo contesto, immaginare che Bruxelles possa anche trovare le risorse per indennizzare gli Operatori di una sostituzione forzata di apparati perfettamente funzionanti significa vivere fuori dalla realtà – indennizzi dei quali, ad oggi, non c’è traccia nel dibattito.”

Non basta. Ridurre “per decreto” il numero dei fornitori significa anche concentrare la domanda su un perimetro ancora più ristretto di Operatori e produttori, con l’effetto di favorire i grandi incumbent e penalizzare proprio quelle imprese indipendenti che, in tutta Europa, hanno garantito pluralismo, investimenti locali, diffusione della fibra, data center regionali, diversità e servizi cloud di prossimità. Negli ultimi mesi AIIP ha più volte denunciato il rischio, contenuto nel Digital Networks Act, di una traiettoria convergente verso un assetto oligopolistico del mercato europeo delle telecomunicazioni, dove meno pluralismo, meno concorrenza e più centralizzazione vengono presentati con un maquillage lessicale come “semplificazione” e “modernizzazione”. “È esattamente questo il clima culturale dentro il quale matura anche la nuova offensiva contro i fornitori del Dragone”.

“AIIP ritiene che la sicurezza vera si costruisca in modo opposto. Non riducendo il numero dei fornitori, ma aumentando le opzioni disponibili. Non imponendo sostituzioni premature di capitale già installato, ma verificando in modo rigoroso vulnerabilità, aggiornamenti, tracciabilità, accountability e qualità tecnica dei prodotti. Non inseguendo categorie geopolitiche astratte, ma costruendo una reale autonomia europea fatta di hardware acquistabile da chiunque, software open source, piattaforme sviluppate in proprio, pluralità di soluzioni e libertà di integrazione. La sicurezza nasce dal controllo tecnico, dalla verificabilità, dalle vulnerabilità documentate e dalla ridondanza. Non dalla sostituzione ideologica di un fornitore con un altro più gradito ai nuovi equilibri politici del momento” aggiunge Peritore.

“Lentamente – conclude Zorzoni – una parte dell’Unione Europea comincia a rendersi conto che il rischio sistemico più grave non è rappresentato dai fornitori di hardware cinese, indispensabili per consentire di costruire infrastrutture efficienti e, sopra di esse, cloud sovrani basati su software open source o autoprodotto. Il vero rischio sistemico è rappresentato dai giganti del web e del cloud, che controllano oltre l’80 per cento del mercato cloud europeo e che, in qualunque momento, per ragioni politiche o giuridiche, potrebbero spegnere un pezzo essenziale di servizi. Se si vuole davvero parlare di sovranità digitale, è da lì che bisogna cominciare, non dalla distruzione di ciò che ancora consente al mercato europeo di restare pluralista e competitivo”.

Per queste ragioni, AIIP chiede che l’Europa abbandoni immediatamente qualsiasi ipotesi di esclusione generalizzata dei fornitori sulla base di etichette geopolitiche o di appartenenza nazionale, e che ogni valutazione del rischio torni entro il perimetro della sicurezza informatica reale, una disciplina misurabile e verificabile. “In un tempo in cui le filiere globali possono incepparsi da un giorno all’altro e l’economia europea si affaccia a una nuova stagione di instabilità, restringere artificialmente il numero dei fornitori non significa aumentare la sicurezza. Significa moltiplicare la fragilità e perdere competitività”.

Ufficio Stampa AIIP
Via Caldera 21 Milano
Tel. + 39 333 914 4459 / +39 389 570 3130
Email: com@aiip.it