App e Sicurezza nazionale: come cambia la cyber security in Cina

Cyber security cinese: quadro normativo

In Cina sono state condivise le nuove regole che disciplineranno le app mobili e, come dichiarato dal Cyberspace Administration of China (“CAC”, 国家互联网信息办公室), quale responsabile del coordinamento dell’attuazione del quadro di revisione della cyber security cinese, tali regole supporteranno un “sano sviluppo del settore tecnologico”. Più precisamente, l’utilizzo sempre più frequente nella popolazione cinese delle app mobili ha dato origine a nuove possibili minacce, pertanto, secondo l’agenzia risultano necessarie regole che “siano soggette a revisione con l’obiettivo di adattarsi ai nuovi sviluppi”[1].

Nel dettaglio, tali norme entreranno in vigore dal 1° agosto e obbligheranno i fornitori a non utilizzare le app per svolgere attività che possano mettere in pericolo la sicurezza nazionale.

Inoltre, giova ricordare che le app mobili in grado di influenzare l’opinione pubblica saranno soggette ad una revisione della sicurezza. Più precisamente, il Cyberspace Administration of China, in collaborazione con altri 12 dipartimenti governativi (collettivamente noto come il “Working Mechanism”), ha pubblicato il 4 gennaio 2022 le “New Measures for Cybersecurity Review” (网络安全审查办法).

Tali misure estendono la revisione della cyber security alle attività di trattamento dei dati svolte dagli operatori di piattaforme Internet ed alcune società cinesi quotate all’estero.

In particolare, come si evince dall’art. 5 dal provvedimento “New Measures for Cybersecurity Review”, i CIIO (Critical Information Infrastructure Operators) che acquistano prodotti e servizi di rete e gli operatori di piattaforme di rete (网络平台运营者) che svolgono attività di elaborazione dei dati devono segnalare all’Ufficio competente la revisione di cyber security se tali attività influiranno o potranno incidere sulla sicurezza nazionale.

Per richiedere un riesame della sicurezza informatica, le società interessate dovranno presentare i seguenti elementi:

• Un modulo di dichiarazione;
• Rapporti di analisi che influiscono o possono influire sulla sicurezza nazionale;
• Documenti di appalto, accordi, contratti da firmare o offerta pubblica iniziale (IPO) e altri documenti di domanda di quotazione da presentare;
• Altro materiale necessario per il lavoro di revisione della sicurezza della rete.

In aggiunta, l’art. 10 afferma che la revisione della cyber security verte sui determinati fattori di rischio per la sicurezza nazionale, ad esempio:

• Il rischio di controllo, interferenza o distruzione illegale di infrastrutture informatiche critiche determinato dall’uso di prodotti e servizi;
• Il danno alla continuità operativa dell’infrastruttura informativa critica causato dall’interruzione della fornitura di prodotti e servizi;
• La sicurezza, l’apertura, la trasparenza e la diversità delle fonti di prodotti e servizi, l’affidabilità dei canali di approvvigionamento e il rischio di interruzioni dell’approvvigionamento dovute a fattori politici, diplomatici, commerciali e di altro tipo;
• La conformità dei fornitori di prodotti e servizi alle leggi, ai regolamenti amministrativi e alle regole dipartimentali cinesi;
• Il rischio che dati di base o una grande quantità di informazioni personali vengano rubati, trapelati, danneggiati, utilizzati illegalmente o che escano illegalmente dal paese;
• Viene menzionato il rischio che l’infrastruttura dell’informazione chiave, i dati principali o una grande quantità di informazioni personali siano influenzati, controllati o utilizzati in modo dannoso da governi stranieri;
• Altri fattori che possono mettere in pericolo la sicurezza dell’infrastruttura dell’informazione critica, la sicurezza della rete e la sicurezza dei dati.

Il nuovo provvedimento include anche l’obbligo per gli utenti di autenticare la propria identità tramite i seguenti elementi:

• Numeri di cellulare;
• Numeri di carta d’identità;
• Codici di credito sociale unificati.

Tuttavia, i fornitori di app avranno il compito di controllare la veridicità di quanto affermato dagli utenti. Per le ipotesi di falsa dichiarazione agli utenti verrà impossibilitato l’utilizzo di tali servizi.

Il caso DiDi

Sono numerosi gli episodi in cui le società sono state soggette a tale revisione, secondo i dati del Ministero dell’Industria e dell’Information Technology negli ultimi due anni il numero di app è sceso da 4,49 milioni a 2,31 milioni.

I casi di revisione che hanno riscosso maggiori interessi sono avvenuti il 2 e 5 luglio 2021. Più precisamente, il Cyberspace Administration of China (“CAC”, 国家互联网信息办公室) ha dichiarato di aver avviato revisioni di cyber security nei confronti di quattro app mobili, nel dettaglio:

• DiDi Chuxing Inc la quale gestisce piattaforme di trasporto passeggeri. L’azienda fornisce soluzioni di mobilità, cloud computing e altri servizi basati su applicazioni. DiDi opera in Cina e nel resto del mondo[2];
• Yunmanman funziona come un software mobile. L’azienda offre principalmente servizi di spedizione del trasporto merci e servizi logistici intelligenti. Yunmanman fornisce servizi principalmente in Cina;
• Huochebang è un fornitore di una piattaforma logistica per camion online. L’azienda fornisce una piattaforma di trasporto merci su camion O2O (Online-to-Offline) che fornisce servizi integrati a camionisti e spedizionieri in Cina;
• BOSS Zhipin è una piattaforma di reclutamento online in Cina[3].

Pertanto, il 4 luglio 2021, il Cyberspace Administration of China (“CAC”, 国家互联网信息办公室), dopo la revisione ha annunciato che l’app Didi comportava una grave violazione della legge “raccogliendo e utilizzando illegalmente informazioni personali”, pertanto l’Ufficio ha avanzato la richiesta di rimozione dell’app Didi dagli app store cinesi[4].

Giova ricordare che la revisione della cyber security è stata inizialmente indicata dall’art. 35 della Legge sulla cyber security della Repubblica popolare cinese (中华人民共和国网络安全法) in forza del quale gli operatori di infrastrutture informatiche critiche che acquistano prodotti e servizi di rete in grado di incidere sulla sicurezza nazionale, devono superare il riesame della sicurezza nazionale organizzato dal dipartimento nazionale di informazione sulla rete in collaborazione con i servizi competenti del Consiglio di Stato.

Conclusioni

In conclusione, è oggettivo come per il governo cinese la principale finalità di tali revisioni nei confronti delle aziende tech non risiede nelle sanzioni, ma nella possibilità di ricoprire un ruolo di “key player” nelle decisioni aziendali, concedendo queste ultime anche l’1% delle loro azioni allo Stato, di conseguenza i funzionari potranno avere maggiore voce in capitolo nella gestione delle loro attività. Marvin Chen, analista di Bloomberg Intelligence, ha descritto tali indiscrezioni come “un segno che le autorità di regolamentazione stanno dando seguito al loro impegno di porre fine alla repressione delle piattaforme tecnologiche, che probabilmente continuerà a migliorare il sentiment sul settore”[5].

Note

[1] C. Feng, China’s internet watchdog posts revised app rules to tighten cybersecurity provisions even further, South China Morning Post, avalialble at https://www.scmp.com/tech/policy/article/3162248/chinas-internet-watchdog-posts-revised-app-rules-tighten-cybersecurity.

[2] 国家互联网信息办公室, 网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告, available at  http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm.

[3] 国家互联网信息办公室, 网络安全审查办公室关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告, available at http://www.cac.gov.cn/2021-07/05/c_1627071328950274.htm.

[4] 国家互联网信息办公室, 关于下架“滴滴出行”App的通报, available at http://www.cac.gov.cn/2021-07/04/c_1627016782176163.htm.

[5] R. Savojardo, Cina pronta a concludere l’indagine: Didi torna in app store e balza nel pre-market, Milano Finanza, available at https://www.milanofinanza.it/news/cina-pronta-a-concludere-l-indagine-didi-torna-in-app-store-e-balza-nel-pre-market-202206061259208340.

 

Articolo a cura di Luca Barbieri