La sicurezza dei cavi sottomarini: quadro normativo e prospettive regolatorie

I cavi sottomarini a fibra ottica rappresentano un’infrastruttura critica per le comunicazioni globali, trasportando oltre il 95% del traffico dati internazionale e garantendo la connettività per transazioni, anche di natura finanziaria e governative, ivi compresi gli scambi di informazioni critiche a livello di sicurezza nazionale [1]. È dunque di fondamentale importanza garantire un livello di sicurezza cibernetica e di continuità operativa adeguati e proporzionati all’esposizione al rischio di queste strutture [2].

Tuttavia, la tutela dei profili di sicurezza di cui sopra sconta, inter alia, una notevole complessità e frammentazione normativa e strutturale.

La sicurezza dei cavi sottomarini come infrastrutture critiche

Da un lato, la loro estensione geografica, che si sviluppa per circa 1,4 milioni di chilometri sui fondali oceanici (v. infra, Fig. 1) rende complesse le fasi di monitoraggio e difesa delle strutture fisiche, esponendoli a rischi provenienti sia da minacce di natura accidentale, come danni causati da attività di pesca e ancoraggio, sia di natura cinetica, come sabotaggi e attacchi da parte di attori statali o non statali, che rappresentano il principale pericolo a questo tipo di strutture [3].

Da questo punto di vista, basti ricordare i numerosi episodi di incidenti significativi registratisi a partire dal 2006, tra cui l’interruzione simultanea di nove cavi al largo di Taiwan a causa di un terremoto, che ha provocato un’interruzione del 90% delle comunicazioni tra Cina e Stati Uniti, prolungatosi per oltre un mese [4].

Dall’altro, il quadro giuridico e regolatorio, soprattutto con riferimento ai profili di gestione e allocazione degli obblighi di sicurezza e delle relative responsabilità, è caratterizzato da una pluralità di fonti, eterogenee per natura e obiettivi che risultano talvolta scollegate e scarsamente coordinate tra loro.

Sul punto, come si vedrà meglio nel prosieguo (v. infra, par. 2.1), il diritto internazionale del mare riconosce la libertà di posa dei cavi pur senza prevedere strumenti concreti per la loro protezione. In particolare, sotto il profilo cibernetico, non riesce ad intercettare le istanze derivanti dalla constatazione dell’importanza strategica costituente la premessa fondamentale di questa analisi. È necessario allora rivolgersi ad altri domini normativi, quali la legislazione comunitaria, unionale e nazionale al fine di colmare tale lacuna, scontando la fisiologica parziale eterogeneità di queste fonti tra gli ordinamenti [5].

Il quadro normativo di riferimento e prospettiva bivalente

Come detto in precedenza (v. supra, par. 1), i cavi sottomarini costituiscono una delle infrastrutture portanti delle telecomunicazioni globali. Considerata la loro rilevanza strategica, la regolamentazione volta ad assicurarne protezione e mantenimento risulta di fondamentale importanza nella definizione degli attuali equilibri di sovranità nazionale e geopolitici inerenti a questo settore.

Ciò premesso, si rende doverosa e necessaria una quanto più chiara possibile esposizione degli elementi più rilevanti del quadro normativo vigente, costituito da un complesso intreccio legislativo che si articola fra trattati internazionali, normativa unionale e nazionale.

All’interno del già menzionato quadro normativo, la materia di cui ci occupiamo viene affrontata sotto due profili tra loro complementari, ciascuno dei quali merita di essere affrontato singolarmente.

E così, da un lato abbiamo i criteri di ripartizione della sovranità statale in merito al posamento e gestione dei cavi nell’ambito del diritto internazionale regolante le sovranità nazionali sulla superficie marina, il c.d. diritto del mare; dall’altro, troviamo altre fonti normative che, inquadrando i cavi sottomarini come strutture critiche a livello nazionale e sovranazionale, ne definiscono i requisiti e obblighi specifici in tema di sicurezza logica e cinetica, nonché di resilienza operativa.

Si precisa che la trattazione che segue concerne solamente gli elementi del predetto quadro normativo ritenuti essenziali per la sua comprensione, senza pretesa di esaustività rispetto alla sua potenziale rilevanza in una serie di numerosi altri elementi e branche del diritto.

Sovranità territoriale e trattati internazionali: la convenzione “UNCLOS”

Il primo profilo di interesse da affrontare è relativo al c.d. diritto del mare, regolante i criteri di ripartizione della giurisdizione statale sulle superfici marine. Per comprendere la ripartizione della giurisdizione, non solo in relazione ai cavi sottomarini ma, appunto, al diritto del mare at large, è necessario prendere le mosse dalle metodologie proprie dei principi generali del diritto internazionale.

In particolare, è opportuno partire dalla definizione di uno dei criteri operativi fondamentali del diritto internazionale, ossia il criterio di funzionalità, quale strumento principale con cui il diritto internazionale dirime le questioni di sovranità territoriale negli ambiti di propria competenza.

In particolare, secondo tale criterio il territorio marino viene considerato come un’estensione del territorio nazionale [6].

Sul punto, norma fondamentale è rappresentata dalla Convenzione delle Nazioni Unite sul Diritto del Mare del 1982 (di seguito, “UNCLOS” o, la “Convenzione”) [7] (v. supra, par. 1), il cui scopo precipuo è, per quanto di nostro interesse, quello di stabilire “[…] un ordine giuridico per i mari e per gli oceani che faciliti le comunicazioni internazionali […]”, nella consapevolezza della funzionalità di tale obiettivo alla realizzazione di “[…] un ordine economico internazionale equo e giusto […]”.

Proprio relativamente a tale affermazione, la Convenzione vanta il pregio, non soltanto di disciplinare una materia che fino ad allora appariva confusa, ma anche di definire in modo dettagliato alcuni concetti indispensabili per la corretta applicazione dell’approccio funzionale di cui sopra. Infatti, la Convenzione definisce da un punto di vista giuridico i concetti di “Mare Territoriale”, “Zona Economica Esclusiva” e “Alto Mare”, fondamentali per l’applicazione del criterio di funzionalità di cui sopra, stabilendone i relativi perimetri e i rispettivi ambiti di competenza statali.

Anzitutto, come ci ricorda la norma, lo Stato costiero esercita la propria (piena) sovranità sul c.d. “…mare territoriale…” (cfr. art. 2, UNCLOS) la cui larghezza può essere fissata dallo Stato stesso “…fino a un limite massimo di 12 miglia marine…” (cfr. art. 3, UNCLOS).

Con riferimento alle ripartizioni di sovranità date dall’applicazione del criterio di funzionalità, preme sottolineare il concetto di “zona economica esclusiva” (di seguito, la “ZEE”) in quanto appare evidente l’importanza attribuitagli dagli Stati aderenti dal fatto che ad essa viene dedicata l’intera Parte V della Convenzione, comprendente gli articoli da 55 a 75.

Nel dettaglio, l’art. 55 definisce la ZEE come “[…] la zona al di là del mare territoriale e ad esso adiacente, sottoposta allo specifico regime giuridico stabilito nella presente Parte, in virtù del quale i diritti e la giurisdizione dello Stato costiero, e i diritti e le libertà degli altri Stati, sono disciplinati dalle pertinenti disposizioni della presente Convenzione” [8].

Infine, il concetto di “Alto Mare” è disciplinato dalla Parte VII della Convenzione che, aprendosi con il disposto dell’art. 86, definisce l’alto mare come “[…] tutte le aree marine non incluse nella zona economica esclusiva, nel mare territoriale o nelle acque interne di uno Stato, o nelle acque arcipelagiche di uno Stato-arcipelago. Il presente articolo non limita in alcun modo le libertà di cui tutti gli Stati godono nella zona economica esclusiva, conformemente all’articolo 58” [9].

Con riferimento alla materia di nostro interesse, ciò che preme sottolineare è come le definizioni di cui sopra impattino sul diritto sovrano degli stati di posa, mantenimento e tutela dei cavi sottomarini.

Sul punto, l’art. 58 prevede che tra i diritti e libertà degli Stati nella ZEE vi sia la “[…] posa in opera di condotte e cavi sottomarini […]”.

È chiaro come già la Convenzione UNCLOS riconosca il diritto di posa e mantenimento dei cavi sottomarini come un diritto sovrano degli Stati, all’interno della propria ZEE e sino alle zone più prossime alla costa.

Analogo diritto di posa è riconosciuto nella zona di Alto Mare. Infatti, l’art. 87 della Convenzione, rientrante nella Parte VII disciplinante l’Alto Mare, afferma che tra le libertà previste vi è la “[…] libertà di posa di cavi sottomarini e condotte, alle condizioni della Parte VI” (cfr. art. 87, par. 1, lett. c), UNCLOS). L’articolo effettua un rimando ad una ulteriore Parte della Convenzione, la quale introduce il concetto non ancora affrontato della “Piattaforma Continentale” [10]. La Piattaforma Continentale, al netto della definizione normativa, per la quale si rimanda in nota, può essere sostanzialmente intesa come il prolungamento del territorio sottomarino di uno Stato sovrano sino al relativo margine continentale [11].

Detto ciò, il riferimento dell’art. 87 rispetto alla Parte VI di cui sopra, è da individuarsi nell’art. 79, il quale stabilisce che tutti gli Stati hanno diritto di posare cavi e condotte sottomarine sulla propria piattaforma continentale (cfr. art. 79, par. 1, UNCLOS) con il solo limite dei cavi già posati nel medesimo territorio, in modo che la posa dei primi non pregiudichi le operazioni di mantenimento dei secondi (cfr. art. 79, par. 5, UNCLOS).

Dunque, la Convenzione utilizza il criterio funzionale di spartizione della sovranità statale come definizione del diritto di posa e mantenimento dei cavi. Tuttavia, è necessario chiedersi se, oltre all’aspetto “realizzativo” dell’opera, la norma preveda anche dei presidi tutelativi della salvaguardia della stessa.

Sul punto, la risposta proviene dagli artt. 113, 114 e 115 della Convenzione. Gli stessi, infatti, collocati sempre nella Parte VII, rimandano agli Stati Membri la competenza di disciplinare due fattispecie di responsabilità (artt. 113 e 114) e una fattispecie di indennizzo (art. 115).

In particolare, l’art. 113 rimette agli Stati firmatari la definizione di una disciplina riguardante il regime di responsabilità di soggetti che, battendo bandiera nazionale, danneggiano dolosamente o colposamente la struttura di un cavo sottomarino, chiedendo espressamente agli Stati di adottare il presidio penale per questa fattispecie. Sul punto, si segnala come lo Stato italiano abbia recepito le predette indicazioni della Convenzione mediante due fattispecie di reato che trovano applicazione in questo contesto: gli articoli 420 “Attentato a impianti di pubblica utilità” e 635 “Danneggiamento” del Codice Penale italiano.

La protezione dei cavi sottomarini come apparato di importanza strategica per la sicurezza nazionale e la continuità dei servizi essenziali prevede, quindi, l’applicazione delle sanzioni detentive previste negli articoli citati per perseguire penalmente chiunque compia atti di sabotaggio o danneggiamento di tali infrastrutture per tutti i soggetti, i quali integrino le fattispecie di reato.

Appare evidente che la scelta a monte dello strumento penalistico sia indice dell’importanza strategica che, già nel secolo scorso, veniva riconosciuta a questo tipo di strutture. Secondariamente, l’art. 114 disciplina le ipotesi di danneggiamento di un cavo durante le operazioni di posa di un secondo cavo adiacente, imponendo il costo della riparazione, naturalmente, sul soggetto danneggiante, mentre l’art. 115 prevede il riconoscimento di un indennizzo a favore del proprietario di nave che possa dimostrare di aver subito un danno alla propria attrezzatura da pesca a causa della necessità di tutelare un cavo sottomarino da parte del proprietario del cavo stesso.

Anche in questi due casi l’adozione delle specifiche normative è rimessa agli Stati firmatari.

I cavi sottomarini come strutture critiche

Come si è visto nei paragrafi che precedono (v. supra, par. 2 e 2.1), il quadro normativo internazionale regolante il diritto del mare non contiene previsioni specifiche inerenti ai profili di sicurezza, tanto logica quanto cinetica degli stessi. Pertanto, nel prosieguo della trattazione considerare tali strutture le strutture sottomarini anche alla luce di normative che intercettino i già menzionati profili di sicurezza.

L’esigenza di dare veste normativa ai profili di sicurezza di cui sopra è da tempo nota anche al legislatore europeo che, da ultimo, lo ha ribadito nell’ambito della Comunicazione congiunta del Parlamento Europeo e del Consiglio “EU Action Plan on Cable Security” del 21 febbraio 2025 (di seguito, il “Piano di Azione”), con la quale si afferma la necessità di una maggior cooperazione e coordinamento tra gli Stati Membri e le autorità, sia nazionali che sovranazionali per la realizzazione di un ecosistema di maggior protezione e sorveglianza delle strutture dei cavi sottomarini [12].

La disciplina delle strutture critiche

Dunque, al fine di ampliare il punto di osservazione della disciplina giuridica summenzionata, è necessario approfondire quali sono gli atti normativi a livello unionale che dimostrano l’identificazione dei cavi sottomarini come componenti fondamentali di una strategia di sicurezza coordinata a livello di mercato unico e nazionale.

A tal fine, è fatta menzione della Raccomandazione del 26 febbraio 2024 (di seguito, la “Raccomandazione”) emessa dalla Commissione Europea “sulle infrastrutture di cavi sottomarini sicure e resilienti”, la quale si inserisce in un quadro di crescente attenzione alla protezione delle infrastrutture critiche digitali dell’Unione Europea, riconoscendo il ruolo strategico dei cavi sottomarini nella connettività globale e nella sicurezza economica e geopolitica del continente. Il documento evidenzia la necessità di un approccio coordinato tra gli Stati membri per affrontare le vulnerabilità cinetiche e cibernetiche delle predette infrastrutture, proponendo misure per rafforzarne la protezione, migliorare la capacità di risposta agli incidenti e, al contempo, incentivare investimenti relativi a nuove rotte e tecnologie di monitoraggio.

Non a caso, la Raccomandazione individua come destinatari proprio i singoli Stati Membri, raccomandando di porre in essere specifiche azioni di rafforzamento della resilienza e della sicurezza delle predette infrastrutture. Tali azioni, come si vedrà in seguito, si distinguono in azioni da intraprendersi a livello di Stato Membro, e azioni da intraprendersi a livello di Unione Europea.

Appare dunque evidente come l’impatto strategico della connettività sottomarina si manifesti anzitutto a livello nazionale e, conseguentemente, a livello sovranazionale e, segnatamente, europeo. Entrando nel merito, preme sottolineare come, in base all’art. 2, num. 2) della Raccomandazione, il perimetro di rilevanza in tema di connettività subacquea, non sia limitato al solo cavo sottomarino, ma anche a “… qualsiasi infrastruttura connessa alla sua costruzione, al suo funzionamento, alla sua manutenzione e riparazione.”

Capiamo quindi che si sta parlando di un perimetro estremamente ampio, comprendente un numero elevatissimo di stakeholder quali, a titolo esemplificativo, quelli facenti parte della catena di fornitura di simili strutture e agli Stati nazionali stessi. Non a caso, il successivo art. 2, num. 3) precisa che, al di fuori di quanto definito nel precedente num. 2), “…si applicano le definizioni di cui alla Direttiva (UE) 2022/2555 (“Direttiva NIS 2″).”

Proseguendo, un’indicazione più precisa di quale sia il quadro normativo di riferimento è data dall’art. 3.1, num. 1) disciplinante gli obblighi in tema di sicurezza nell’ambito delle azioni da compiersi a livello di Stati Membri.

In particolare, l’articolo suggerisce di strutturare la sicurezza delle infrastrutture dei cavi sottomarini conformemente alle prescrizioni di cui alla Direttiva (UE) 2018/1972 (c.d. Codice Europeo per le Comunicazioni Elettroniche o “EECC”), alla predetta Direttiva NIS 2, e alla Direttiva (UE) 2022/2557 (c.d. Direttiva CER) [13], nonché alle prescrizioni di cui alla strategia europea di sicurezza marina. Inoltre, si precisa che gli Stati membri devono tenere conto delle norme in materia di sicurezza a livello di difesa nazionale, in modo da “…facilitare la cooperazione con i soggetti militari.”

Il prosieguo del documento prevede una serie di raccomandazioni chiaramente riferibili ad analoghe prescrizioni dei testi normativi citati, evidenziando in che modo gli stessi concorrano a descrivere un quadro di azioni strategiche per tutelare la sicurezza delle comunicazioni elettroniche subacquee. In particolare, all’art. 3.1., num. 6), viene raccomandato agli Stati Membri di svolgere delle valutazioni dei rischi a livello nazionale relative alla sicurezza e alla resilienza dei cavi sottomarini, contemplando sia la sicurezza logica che fisica, nonché le interdipendenze derivanti dalla relativa supply chain.

Tale raccomandazione si collega, anzitutto, all’obbligo di cui all’art. 5 della Direttiva CER, che impone agli Stati Membri di effettuare un’analisi e valutazione dei rischi a livello nazionale con riferimento ai soggetti critici, la quale analisi, a sua volta, si inserisce nel quadro più ampio della strategia nazionale di resilienza dei soggetti critici, di cui all’art. 4 della predetta Direttiva.

Sul punto, il combinato disposto della Raccomandazione, unitamente al testo degli artt. 4 e 5 della Direttiva CER, permettono di identificare le strutture dei cavi sottomarini come infrastrutture critiche che gli Stati Membri dovrebbero includere nella predisposizione della propria strategia di resilienza dei soggetti critici di cui all’art. 4 della CER. Ciò risulterebbe funzionale anche ad un ulteriore passaggio della Raccomandazione, ossia l’art. 4.1., num. 16), nell’ambito delle azioni degli Stati Membri a livello unionale. L’articolo incoraggia gli Stati Membri a contribuire alla mappatura delle strutture esistenti, confermando la rilevanza strategica di tali infrastrutture anche a livello sovranazionale.

Tuttavia, in tema di infrastrutture critiche, la Direttiva CER costituisce norma generale rispetto a disposizioni regolanti aspetti specifici della sicurezza delle stesse, le quali si pongono in rapporto di specialità rispetto alla norma generale. In particolare, ci riferiamo, nell’ambito della sicurezza delle reti e della informazioni, alla Direttiva NIS 2. Sul punto, infatti la CER trova disapplicazione per quanto riguarda le materie e gli obblighi coperti dalla NIS 2 con riferimento ai soggetti cui la NIS 2 stessa si rivolge [14]. Analogo discorso può essere fatto per la Direttiva EECC [15].

Tale premessa rileva nel momento in cui la Raccomandazione incoraggia gli Stati Membri a prevedere l’adozione, da parte dei soggetti che gestiscono le infrastrutture dei cavi sottomarini, di diverse misure di gestione dei rischi disciplinati dalla Direttiva NIS 2.

Sul punto, ci riferiamo, anzitutto, all’ambito della c.d. supply chain security. Infatti, al di là del riferimento generale agli obblighi previsti dalla NIS 2 effettuato dall’art. 3.1., num. 4), la Raccomandazione fa esplicito riferimento agli obblighi previsti dalla Direttiva in materia di gestione della catena di fornitura al num. 7) del medesimo articolo in quanto si incoraggiano gli Stati Membri “[…] a rafforzare gli obblighi per i fornitori e gli operatori quando attuano la direttiva NIS 2 […]”.

Ancora, l’art. 4.1, num. 17), nell’ambito degli interventi a livello unionale, sottolinea l’importanza della disamina delle valutazioni dei rischi inerenti ai fornitori critici delle infrastrutture dei cavi sottomarini ai sensi dell’art. 22, Direttiva NIS 2 ai fini di realizzare una valutazione dei rischi consolidata a livello europeo.

In questo contesto, pare opportuno richiamare anche quanto disposto dal Considerando (9) della Raccomandazione, con riferimento alla disciplina della NIS 2 in merito alla comunicazione degli incidenti di sicurezza ex art. 23 della stessa, la cui adozione è incoraggiata dalla Commissione, nonché il Considerando (19), sempre con riferimento ai presidi inerenti la supply chain.

Dunque, risultano chiare l’importanza e la centralità che vengono attribuite alla Direttiva NIS nella Raccomandazione e, di conseguenza, dalla Commissione europea, non solo in ragione delle diverse disposizioni richiamate, ma anche alla luce delle definizioni concettuali di cui all’art. 2, num. 3), evidenziando in questo il ruolo della disciplina NIS 2 come chiave di lettura della raccomandazione stessa.

La funzionalità della Direttiva NIS 2 come driver primario della costruzione di una strategia di sicurezza delle comunicazioni sottomarine è data dal suo approccio process-based, indispensabile per articolare un piano di implementazione sul lungo periodo coordinato sia a livello nazionale che europeo.

Per completezza, si precisa come, a prescindere dal contenuto della Raccomandazione, l’applicabilità della Direttiva NIS 2 alle infrastrutture di cavi sottomarini e arrivi, con riferimento ai soggetti gestori, dal disposto dell’Allegato I, Settore 8, con riferimento ai Fornitori di punti di interscambio internet, mentre con riferimento alla fabbricazione dei cavi stessi, dal disposto dell’Allegato II, Settore 5, Sottosettore b) – Fabbricazione di computer e prodotti di elettronica e ottica.

Conseguentemente, gli stessi sono soggetti agli obblighi di cui all’art. 21 e 23, disciplinanti l’adozione di specifiche misure di gestione del rischio cyber, ivi comprese le misure principali indicate proprio dalla Raccomandazione: resilienza operativa (cfr. Art. 21, par. 1, lett. c)), supply chain security (cfr. Art. 21, par. 1, lett. d), e art. 21, par. 4) e notifica degli incidenti (cfr. Art. 21, par. 1, lett. b)).

La disciplina nazionale

A livello nazionale, la tutela cibernetica dei cavi sottomarini è data dall’inclusione delle stesse nel Perimetro di Sicurezza Nazionale Cibernetica (c.d. PSNC) istituito con il D.L. del 21 settembre 2019, n. 105, convertito nella Legge 133/2019.

Scopo della normativa è quello di individuare, appunto, un perimetro critico con riferimento alla sicurezza cibernetica, con lo scopo di garantire un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio dello Stato italiano per garantirne l’erogazione continua dei servizi ritenuti essenziali.

L’attuazione del decreto si articola in una serie di disposizioni attuative in forma di Decreto della Presidenza del Consiglio dei Ministri (DPCM).

Il predetto impianto attuativo fa leva su tre specifiche direttrici. In primis la disciplina della notifica degli incidenti da parte dei soggetti inclusi in perimetro, in secundis l’operazione di sostanziale censimento degli asset ritenuti strategici per la fornitura dei servizi essenziali da parte dei medesimi soggetti, rispetto ai quali applicare, infine, una serie di misure di sicurezza mutuate dal framework NIST CSF (prima versione).

In particolare, come indicato nel DPCM 31 luglio 2020, n. 131, art. 3, co. 2, i soggetti pubblici e privati che forniscono tali servizi o esercitano tali funzioni sono stati individuati nell’ambito dei settori strategici di cui al co. 1, del medesimo articolo quali interno, difesa, spazio e aerospazio, energia, telecomunicazioni, economia e finanza, trasporti, servizi digitali, tecnologie critiche, enti previdenziali/lavoro, dalle Amministrazioni competenti nei rispettivi settori.

Capiamo bene come le strutture dei cavi sottomarini rientrano nel perimetro, analogamente a quanto visto in precedenza per la Direttiva NIS 2, sia con riferimento alla fabbricazione stessa dei cavi sia con riferimento alla gestione nell’ambito dei settori delle telecomunicazioni e delle tecnologie critiche.

Con riferimento alla seconda direttrice, i soggetti inclusi nel perimetro di sicurezza cibernetica, ai sensi del DPCM del 15 giugno 2021, sono tenuti a predisporre annualmente l’elenco degli asset ritenuti “strategici” per la fornitura dei servizi essenziali e funzioni essenziali di rispettiva pertinenza. Tali asset sono quelli rientranti nelle categorie di cui all’Allegato 1 del medesimo DPCM.

Successivamente alla loro individuazione, il DPCM n. 81 del 14 aprile 2021 prevede di adottare le misure di sicurezza di cui all’Allegato B (v. infra) nell’ottica di assicurare elevati livelli di sicurezza e a notificare eventuali incidenti, compresi nella tassonomia di cui all’Allegato A del CSIRT (Computer Security Incident Response Team) attivo (oggi) presso l’ACN.

Inoltre, i soggetti inclusi nel perimetro, ai sensi dell’articolo 1, comma 6, del decreto legge n. 105/2019 – attuato con il Decreto del Presidente della Repubblica 5 febbraio 2021, n. 54 – sono tenuti a comunicare al Centro di Valutazione e Certificazione Nazionale (CVCN) l’intenzione di acquisire beni, sistemi e servizi ICT da impiegare sui propri asset strategici e appartenenti a determinate categorie di cui al DPCM 15 giugno 2021.

Sul punto la norma prevede un serrato controllo, anche in questo caso, della supply chain con riferimento ai settori considerati critici. L’intenzione è proprio quella di attribuire la valutazione del rischio inerente l’esternalizzazione di un servizio o di un prodotto, avocando completamente all’Autorità statale la gestione e la valutazione di specifici profili di rischio inerenti ai settori strategici.

Conclusioni

Alla luce delle criticità sollevate, risulta evidente come la protezione dei cavi sottomarini richieda un ripensamento organico degli attuali strumenti di tutela. L’elevata rilevanza strategica di tali infrastrutture, unita alla loro vulnerabilità fisica e cibernetica e alla frammentazione del quadro normativo di riferimento, impone l’adozione di un approccio integrato, multilivello e proattivo.

Solo attraverso una chiara definizione delle responsabilità, un’efficace cooperazione tra attori istituzionali e privati, e un coordinamento tra i diversi livelli normativi, sarà possibile garantire la sicurezza, la resilienza e la continuità operativa di un’infrastruttura essenziale per la stabilità globale.

Scopri di più consultando il white paper “Quaderni di Cyber Intelligence #8”, dove troverai analisi avanzate, case study e prospettive strategiche dedicate alle infrastrutture critiche, alla geopolitica digitale e alla governance della dimensione subacquea.

Note

[1] Cfr. Douglas R. Burnett – Submarine Cable Security and International Law, in International Law Studies, Volume 97, 2021, e Alexander Bennett – Submarine Cables and Infrastructure Vulnerabilities: Threats from Private and State Actors, in Seton Hall University e-Repository, 2019.

[2] I cavi sono composti dai 12 ai 16 fili di fibra ottica e installati a una media di 3,6 km di profondità nell’oceano. I cavi più recenti veicolano 250 gigabit di traffico al secondo. Dal 2019 al 2024 la richiesta di banda è triplicata fino a 3.800 terabit al secondo.

[3] Cfr. ENISA – Undersea Cables, what is at stake?, 2023.

[4] L’incidente dei cavi sottomarini al largo di Taiwan del dicembre 2006 rappresenta uno dei casi più significativi di interruzione delle comunicazioni globali dovuta a cause naturali. Un violento terremoto di magnitudo 7,0 colpì la regione dello Stretto di Luzon, danneggiando simultaneamente nove cavi sottomarini, tra cui l’Asia Pacific Cable Network 2 (APCN-2) e il SeaMeWe-3, infrastrutture fondamentali per la connettività tra l’Asia orientale e il resto del mondo. Le conseguenze furono immediate e gravi: la Cina registrò un’interruzione del 90% delle sue comunicazioni con gli Stati Uniti e l’Europa, mentre Taiwan perse il 74% della sua capacità di traffico dati verso la Cina.

La riparazione dei cavi richiese oltre 49 giorni di lavoro, durante i quali le operazioni finanziarie, le transazioni bancarie e il traffico Internet internazionale furono fortemente compromessi.

L’episodio evidenziò la vulnerabilità estrema di queste infrastrutture, sia per la loro esposizione a fenomeni naturali sia per la difficoltà logistica delle operazioni di ripristino, data la necessità di mobilitare navi specializzate e affrontare condizioni marine complesse. Inoltre, dimostrò la dipendenza critica delle economie avanzate dai cavi sottomarini e la necessità di strategie di resilienza, tra cui la diversificazione delle rotte e il rafforzamento della cooperazione internazionale per una gestione più efficace delle emergenze. Sul punto, cfr. Alexander Bennett – Submarine Cables and Infrastructure Vulnerabilities: Threats from Private and State Actors, in Seton Hall University e-Repository, 2019.

[5] Cfr. Douglas R. Burnett – Submarine Cable Security and International Law, in International Law Studies, Volume 97, 2021, e R. Beckman, K. Bressie e J. Ong – Law of the sea and submarine cables, 2024 ICPC – CIL Workshop Report, 2024.

[6] Il diritto internazionale del mare si è tradizionalmente basato su un approccio spaziale, che suddivide gli oceani in diverse zone marittime con livelli variabili di sovranità e giurisdizione per gli Stati costieri. Questo schema, consolidato dalla Convenzione delle Nazioni Unite sul Diritto del Mare (UNCLOS), distingue tra acque territoriali, zona contigua, zona economica esclusiva (ZEE) e alto mare, attribuendo agli Stati diritti e doveri proporzionali alla distanza dalla costa. Sul punto, v. Hance D. Smith, Juan Luis Suárez de Vivero, Tundi S. Agardy – Routledge Handbook of Ocean Resources and Management, First Published 2015.

[7] Fermo quanto sopra, a dimostrazione dell’origine risalente dell’esigenza di dare precisi confini regolatori a questa materia, si ricordi il vero atto normativo dedicato a questo tema, ossia la Convenzione Internazionale per la Protezione dei Cavi Sottomarini (1884) (di seguito, la “Convenzione”), risultato di negoziati a Parigi tra il 1882 e il 1884 e rappresentante un compromesso tra Stati, pescatori, ufficiali navali e ingegneri elettrici, gettando le basi per il moderno diritto internazionale sui cavi sottomarini. La Convenzione è stata eseguita in Italia mediante la L. n. 1447 del 19 dicembre 1956, che ha modificato la L. n. 3620 del 1° gennaio 1886. Sul punto, si veda G.U. della Repubblica Italiana, Serie Generale n. 3 del 4 gennaio 1957.

[8] Enfasi aggiunta.

[9] Enfasi aggiunta.

[10] La piattaforma continentale di uno Stato costiero comprende il fondo e il sottosuolo delle aree sottomarine che si estendono al di là del suo mare territoriale attraverso il prolungamento naturale del suo territorio terrestre fino all’orlo esterno del margine continentale, o fino a una distanza di 200 miglia marine dalle linee di base dalle quali si misura la larghezza del mare territoriale, nel caso che l’orlo esterno del margine continentale si trovi a una distanza inferiore (cfr. art. 76, par. 1, UNCLOS).

[11] Il margine continentale è la zona di fondale oceanico che separa la crosta oceanica dalla crosta continentale. Sul punto, P. J. Cook, Chris Carleton, Continental Shelf Limits: The Scientific and Legal Interface, 2000.

[12] Sul punto l’Unione Europea ha individuato una serie di progetti chiave in termini di posa e ampliamento delle strutture di cavi sottomarini che mirano a migliorare la connettività digitale del continente, in ottica di maggior controllo dei rischi di natura geopolitica e da minacce di natura cinetica. Tra questi, si ricordino, a titolo meramente rappresentativo, la posa dei cavi di Dunant, Havfrue e Amitie, miranti a rafforzare le connessioni dirette tra Europa e Nord America, i cavi SEA-ME-WE 6 ed Equiano, riferiti al rafforzamento della connessione euro-asiatica e, infine, le connessioni 2Africa, PEACE e Medusa, con riferimento all’Africa e al Medio Oriente.

La strategia europea sulla sicurezza dei cavi sottomarini si fonda su cinque pilastri essenziali volti a rafforzare la resilienza e la protezione di queste infrastrutture critiche. In primo luogo, l’UE punta a una mappatura e a un monitoraggio avanzato delle infrastrutture, creando un registro europeo dei cavi sottomarini e rafforzando i sistemi di sorveglianza per rilevare eventuali minacce fisiche e cyber. Il secondo pilastro riguarda il miglioramento della protezione fisica e cibernetica, attraverso standard di sicurezza più elevati per la posa e la manutenzione dei cavi, nonché il rafforzamento della cybersecurity dei punti di atterraggio e delle reti di gestione.

Il terzo asse strategico si concentra sulla capacità di risposta alle crisi, con l’istituzione di una task force europea dedicata alla gestione delle emergenze, coordinata con la NATO e i partner internazionali. Il quarto pilastro enfatizza il rafforzamento della cooperazione internazionale, con l’obiettivo di stabilire partnership strategiche con Stati Uniti, Regno Unito e altre nazioni chiave per la sicurezza delle telecomunicazioni globali. Infine, il quinto pilastro si focalizza sugli investimenti e finanziamenti per migliorare le infrastrutture di connettività europea, sostenendo lo sviluppo di nuove rotte di cavi e aumentando la diversificazione delle connessioni.

Questi elementi, integrati in un approccio coordinato tra Stati Membri e attori privati, mirano a garantire la protezione e la resilienza della rete di telecomunicazioni europea in un contesto di crescente competizione geopolitica e minacce ibride. Cfr. Joint Communication to the European Parliament and the Council (2025) – EU Action Plan on Cable Security, pp. 4, ss.

[13] La Direttiva (UE) 2022/2557 – Critical Entities Resilience (CER), adottata il 14 dicembre 2022, abrogante la precedente Direttiva (UE) 2008/114, mira a garantire che i servizi essenziali per il mantenimento di funzioni vitali della società o di attività economiche siano forniti senza impedimenti nel mercato interno per quanto riguarda gli undici settori contemplati dalla direttiva. Ciò comprende il rafforzamento della resilienza fisica dei soggetti critici che forniscono tali servizi.

La direttiva CER interessa, inter alia, il settore delle infrastrutture digitali per quanto riguarda l’individuazione dei soggetti critici in tale settore, l’adozione di strategie nazionali, le valutazioni del rischio degli Stati membri e le misure di sostegno degli Stati Membri per i soggetti da essi identificati come critici. La stessa è stata recepita a livello nazionale dal D.lgs. del 4 settembre 2024, n. 134.

[14] Cfr. Considerando (9), Art. 11 e Capi III, IV e VI, Direttiva (UE) 2022/2557.

[15] Cfr. Considerando (9), Raccomandazione 26.02.2024.