Bruxelles ripete il suo avviso su Huawei e si prepara a farlo rispettare

      La Commissione Europea ha formalmente raccomandato agli stati membri di tenere Huawei e ZTE fuori dalla loro infrastruttura di connettività. Le stesse restrizioni si stanno ora avviando verso l'obbligatorietà legale. La Cina ha già minacciato di vendicarsi. Quando la Commissione Europea ha chiesto per la prima volta ai suoi stati membri di tenere Huawei e ZTE fuori dalle loro reti 5G, nel 2020 nel Toolbox sulla Cybersecurity 5G, lo ha fatto come raccomandazione. Sei anni dopo, il 4 maggio 2026, la Commissione ha fatto sostanzialmente la stessa cosa di nuovo. Reuters ha riportato che Bruxelles ha formalmente raccomandato ai suoi 27 stati membri di non utilizzare l'attrezzatura dei due fornitori cinesi nella loro infrastruttura di connettività, ampliando la richiesta originale oltre le reti mobili all'intero stack delle telecomunicazioni e della digitalizzazione su cui l'Unione dipende. Se sembra che la Commissione si stia ripetendo, è così, ma con uno scopo deliberato. La raccomandazione di lunedì è il compagno pubblico di un cambiamento strutturale molto più duro. Le stesse restrizioni si stanno ora muovendo, attraverso un progetto di legge sulla cybersecurity presentato a gennaio, verso l'obbligo legale per gli stati membri con procedure di infrazione allegate. La fase volontaria, per ammissione di Bruxelles, non ha funzionato.

      Cosa dice effettivamente la raccomandazione e cosa non dice La raccomandazione del 4 maggio della Commissione riafferma la sua posizione di lunga data secondo cui Huawei e ZTE pongono rischi materialmente superiori rispetto ad altri fornitori nel layer di connettività dell'UE, e istruisce i governi degli stati membri e gli operatori di telecomunicazioni a non utilizzare la loro attrezzatura nelle infrastrutture critiche delle reti. La raccomandazione, così come pubblicata, non è vincolante. I regolatori nazionali mantengono l'autorità formale sulle proprie decisioni di approvvigionamento. Gli stati membri che desiderano continuare a utilizzare i due fornitori non sono, in termini legali ristretti, impediti dal farlo. Ciò che è cambiato è che la raccomandazione non è più il principale strumento della Commissione. Il 20 gennaio 2026, Henna Virkkunen, Vicepresidente Esecutivo dell'UE per la Sovranità Tecnologica, ha presentato un pacchetto di cybersecurity progettato precisamente per convertire lo strumento morbido in uno duro. Sotto la legge proposta, i componenti provenienti da fornitori designati ad alto rischio dovrebbero essere rimossi dalle infrastrutture di rete chiave entro 36 mesi dall'entrata in vigore delle regole; gli stati membri che ignorano l'obbligo affronterebbero procedure di infrazione e possibili sanzioni finanziarie. "Non ha funzionato su base volontaria," ha detto Virkkunen all'epoca, in un commento ampiamente riprodotto da Euronews e CNBC. La raccomandazione di lunedì, in questo contesto, è meglio letta come un modello di attesa: una riaffermazione della direzione politica sottostante mentre l'apparato legislativo che effettivamente imporrà ciò lavora attraverso la co-decisione.

      Perché la fase volontaria non ha funzionato I numeri aiutano. Secondo il conteggio di Euronews, a febbraio 2024, solo 11 dei 27 stati membri dell'UE avevano adottato misure concrete di sicurezza 5G mirate a Huawei e ZTE. Quando il pacchetto di gennaio 2026 della Commissione è stato svelato, quel numero era salito a 13. In altre parole, dopo sei anni di pressione normativa costante, leggermente meno della metà degli stati membri aveva agito sulla raccomandazione che ora è stata ri-raccomandata. Le ragioni sono in parte economiche e in parte politiche. La Germania, il mercato più grande dell'UE, è stata il più visibile dei ritardatari: si stimava che l'attrezzatura Huawei fosse presente in circa il 60% dei siti 5G tedeschi fino a poco prima della fine del 2024, e il costo e la complessità della sua sostituzione sono stati, fino ad ora, trattati da Berlino come un processo più lento e guidato localmente. Diversi stati membri dell'Europa orientale sono stati altrettanto riluttanti. La frustrazione della Commissione con quel modello è, a quanto pare, la causa politica prossima della spinta legislativa. Gli stati membri con forti fornitori nazionali, la Francia con Nokia-Alcatel-Lucent e la Svezia con Ericsson, sono stati più allineati con la posizione di Bruxelles fin dall'inizio. La Svezia, in particolare, ha bandito Huawei e ZTE dalla sua rete 5G già nell'ottobre 2020. La conseguenza a valle è stata istruttiva: i ricavi di Ericsson in Cina sono diminuiti del 46% l'anno dopo il divieto svedese, e l'azienda non ha da allora recuperato quel business. Le capitali che leggono il progetto di legge della Commissione sono consapevoli di quella storia.

      Cosa aggiunge il quadro dell'infrastruttura di connettività Fino ad ora, il focus principale della Commissione è stato sulle reti mobili: core 5G, accesso radio, l'attrezzatura che determina come i cittadini si connettono. La raccomandazione di lunedì amplia il linguaggio a "infrastruttura di connettività" in generale, e la Commissione ha segnalato che il regime vincolante finale si estenderà alle reti fisse, ai cavi in fibra ottica e sottomarini, e alle reti satellitari. I periodi di dismissione per quelle categorie saranno annunciati in seguito. L'estensione dei cavi sottomarini è, in alcuni modi, la più strategicamente significativa. Abbiamo scritto sulla tensione geopolitica crescente attorno all'infrastruttura dei cavi sottomarini, che trasporta la maggior parte del traffico internet intercontinentale dell'UE e che, negli ultimi anni, è diventata un focus di sospetti incidenti di sabotaggio nel Baltico e nel Mar Rosso. Escludere i fornitori ad alto rischio da quel layer dello stack è un progetto di tipo diverso rispetto all'esclusione da una stazione base. È anche, secondo la maggior parte degli esperti, più urgente. La reazione della Cina è stata caratteristicamente ferma. Pechino ha definito il pacchetto di cybersecurity "discriminatorio" e ha minacciato di vendicarsi contro le aziende europee che operano nel mercato cinese. Abbiamo scritto all'inizio di quest'anno sul modello più ampio di minacce di ritorsione della Cina contro l'UE, e la dichiarazione del 4 maggio di Pechino ripete lo stesso copione. La minaccia ha peso perché l'esposizione dell'UE alle contromisure cinesi è asimmetrica. I principali gruppi industriali europei, in particolare nei settori automobilistico, dei beni di lusso e della meccanica, dipendono dal mercato cinese in modi che la piccola esposizione cinese all'UE non eguaglia. Bruxelles lo sa. Anche Pechino. Se la minaccia cambia effettivamente la traiettoria legislativa è un'altra questione. Il pacchetto di gennaio della Commissione è ora nelle mani del Parlamento Europeo e del Consiglio. Gli stati membri che hanno di più da perdere dalla vendetta cinese, la Germania in particolare, hanno leva in quelle negoziazioni. Ma il costo politico di un'inversione della spinta per la cybersecurity, dopo sei anni di impegno pubblico, sarebbe insolitamente alto.

      L'arco più ampio della sovranità tecnologica La raccomandazione di lunedì si inserisce anche in un modello europeo più ampio che è stato visibile negli ultimi 12 mesi. TNW ha coperto i premi per il cloud sovrano da 180 milioni di euro dell'UE, la direttiva della Francia affinché i ministeri governativi migrino da Windows a Linux, e il rinnovato focus dell'UE sulla sovranità digitale sia sotto la Legge sulla Cybersecurity che sotto la Legge sull'IA. La raccomandazione Huawei/ZTE è uno degli elementi più concreti e applicabili di quell'arco, nel senso che l'attrezzatura delle telecomunicazioni è una categoria relativamente ben definita e la sua esclusione può essere misurata. Si inserisce anche all'interno di una questione strategica più ampia che Bruxelles è stata costretta ad affrontare più apertamente nel 2026 rispetto a prima. La Via della Seta Digitale della Cina, che ha costruito infrastrutture di telecomunicazioni, centri dati e cavi sottomarini in più di una dozzina di paesi della Belt and Road con termini favorevoli agli interessi di sovranità dei dati di Pe