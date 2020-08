© Agenzia Nova - Riproduzione riservata

- Sono 15 le prescrizioni del Decreto del presidente del Consiglio dei ministri (Dpcm) dello scorso 7 agosto sulla fornitura per il 5G di Telecom Italia che il governo non ha pubblicato ed "Agenzia Nova" ha potuto visionare. La prima riguarda l'esigenza di "coinvolgere la funzione aziendale Security nei processi di governance con particolare riferimento a tutti i processi decisionali afferenti ad attività ritenute rilevanti" e poi quella di "comunicare tempestivamente al Comitato di monitoraggio aggiornamenti circa il numero di utenti serviti dai componenti oggetto di notifica". E ancora l'obbligo di esecuzione di una nuova notifica nel caso in cui "mutino le caratteristiche delle componenti oggetto di notifica, a seguito di modifiche strutturali (sia in termini architetturali e di interconnessione tra sistemi, che di aggiornamento software) e a livello di configurazione che secondo le valutazioni del rischio condotte dall’operatore, siano rilevanti rispetto all’ambito di applicazione dell’articolo 1 bis del decreto legge 15 marzo 2012 n. 21" e se "verrà individuata l’esatta collocazione geografica di tali componenti, comunicando le coordinate geografiche e le altre informazioni necessarie per delimitare la portata e fornendo una trasposizione su carta geografica comprensive delle coperture spaziali offerte dai singoli nodi".Il Dpcm quindi prevede che "avvalendosi della funziona aziendale security", Tim esegua "la progettazione e la gestione della sicurezza relativa a componenti 5G tenendo conto delle indicazioni fornite dal 5G Infrastructure public private partnership" e fornisca "evidenza delle modalità seguite nella selezione dei fornitori, sulla base di precisi indicatori di qualità, che ne consentano la valutazione del livello di sicurezza intrinseco ai processi di produzione, di delivery e di gestione del ciclo di vita dei prodotti. Le predette valutazioni - specifica il testo - possono essere effettuate dal notificante anche sulla base di documentazione, acquisita presso il fornitore o rilasciata da enti di certificazione terzi rispetto a esso, che attesti il rispetto di standard internazionali di qualità e sicurezza".Telecom Italia dovrà poi "garantire adeguate misure di controllo dell’accesso ai sistemi di gestione della rete a tutti i livelli adottando - fatti salvi documentati limiti tecnici delle piattaforme in uso - sistemi di Authentication authorization and accounting centralizzati, meccanismi di autenticazione a due fattori, di cui uno probabilmente biometrico e soluzioni di Privileged access management (Pam)". Tim sarà tenuta inoltre a "integrare i contratti notificati con clausole che prevedano, a pena di risoluzione espressa ai sensi dell’articolo 1456 del codice civile, che la Società possa effettuare anche tramite terzi processi di verifica e di controllo del codice sorgente e dei disegni hardware degli apparati" nonché a "comunicare tempestivamente i relativi risultati al Comitato di monitoraggio".Tra gli obblighi nei confronti della principale società di telecomunicazioni italiana c'è poi quello di "mettere a disposizione, ove richiesto, i suddetti codici sorgente e disegni hardware dei componenti oggetti di notifica al Comitato di monitoraggio, nonché mettere a disposizione supporto nella verifica della loro corrispondenza con le implementazioni dei componenti stessi", "integrare il contratto con clausole che prevedano, a pena di risoluzione espressa ai sensi dell’articolo 1456 del codice civile, che i fornitori e le società si obblighino a non comunicare ad autorità governative estere, o comunque, a terzi dati e informazioni comunque acquisiti in relazione all’operazione notificata, salvo preventivo accesso al Comitato di monitoraggio" e, ancora, "i fornitori si obblighino a informare tempestivamente la società notificante nei casi in cui sussistano ragionevoli indicazioni circa l’inadempimento all’obbligo di non comunicazione di cui al punto che precede ovvero nel caso in cui autorità governative estere o comunque terzi siano venuti a conoscenza di dati e informazioni comunque acquisiti in relazione all’operazione notificata".Il Dpcm del 7 agosto prescrive poi che Telecom Italia si avvalga "delle clausole risolutive (…) in caso di inadempimento agli obblighi in esse descritti". E "al fine di avviare un processo di diversificazione dei fornitori e promuovere in tal modo la resilienza complessiva delle infrastrutture di rete 5G", elabori "un piano di diversificazione: 'orizzontale' che valuti la sostenibilità di una strategia finalizzata all’impiego di soluzioni di produttori differenti all’interno delle diverse tipologie di componenti dell’infrastruttura di rete" e 'verticale', che valuti la sostenibilità di adottare soluzioni di fornitori diversi per gli strati hardware, di virtualizzazione e applicativo di ciascuna componente dell’infrastruttura di rete. Tale piano redatto anche con riferimento alle misure stabilite nel toolbox Ue del 29 gennaio 2020 dovrà essere inviato in occasione della trasmissione della relazione di ottemperanza al Comitato di monitoraggio".Tim quindi si dovrà impegnare ad "istituire e mantenere aggiornato il registro del personale che detiene il ruolo di amministratore degli appalti notificati, da esibire, su richiesta agli organi di controllo; far eseguire a parte terza e competente, riconosciuta dal comitato di monitoraggio, con frequenza almeno annuale, la valutazione delle vulnerabilità di sistemi oggetti di notifica. L’esito di tali assessment di sicurezza sarà partecipato al Comitato di monitoraggio in occasione delle comunicazioni periodiche dirette al predetto organismo; effettuare test e verifica di sicurezza con cadenza almeno semestrale sui dispositivi a protezione dei collegamenti backhauling, da effettuarsi in esito di valutazioni di rischio e in aderenza agli standard e alle best practices di riferimento, e segnalare a comitato di monitoraggio eventuali criticità riscontrate e condurre le attività di operation and maintenance sotto la supervisione della funzione aziendale security, escludendo interventi da remoti di terze parti- anche tramite collegamento Wpn - al di fuori del network operation center (Noc) della società e prevedendo, per le procedure di aggiornamento, una fase di validazione dei pacchetti software propedeutica al loro rilascio sui sistemi in esercizio. Nei soli casi in cui per far fronte a funzionamenti di carattere straordinario, che richiedano in via inderogabile un intervento da parte del fornitore, è ammesso in via eccezionale l’intervento da remoto, alle condizioni e con le modalità specificate nell’allegato 1 che costituisce parte integrante" del decreto.L'articolo 2 del Dpcm, nell'ambito del monitoraggio delle prescrizioni imposte, stabilisce poi che "Telecom Italia Spa è tenuta a inviare alla presidenza del Consiglio dei ministri entro il termine di 60 giorni dalla data" del decreto e "successivamente con cadenza semestrale una relazione con la quale sono comunicate le misure adottate ai fini del rispetto delle prescrizioni di cui all’articolo 1 e comunque a comunicare tempestivamente al comitato di monitoraggio (…) qualsiasi determinazione societaria o aziendale rilevante in relazione alle predette prescrizioni". Sempre l'articolo 2 istituisce un Comitato atto a verificare "l'ottemperanza alle prescrizioni imposte dal decreto", mentre l'articolo 3 individua le sanzioni "in caso di inadempimento o violazione delle prescrizioni" stabilite dal Dpcm. (Rin)