Il Ministero del Commercio della Repubblica Popolare Cinese ha depositato presso la Commissione europea un commento formale di trenta pagine alla proposta di revisione del Cybersecurity Act — il documento porta la sigla Ares(2026)3983735 e la data del 17 aprile 2026. Il testo è una contestazione articolata e per tratti esplicita: se Bruxelles dovesse adottare la norma così com’è, Pechino risponderà con misure speculari contro le imprese europee. “La Cina onora sempre le sue parole con i fatti”, si legge in chiusura del documento. “L’UE non dovrebbe sottovalutare la ferma determinazione della Cina nel difendere la propria sovranità nazionale.”
Cosa prevede la proposta europea e perché cambia tutto
La proposta, presentata dalla Commissione il 20 gennaio 2026, segna un cambio di passo rispetto all’impianto che l’aveva preceduta. Il 5G Security Toolbox del 2020 si affidava all’applicazione volontaria da parte degli Stati membri, con esiti disomogenei difficili da ignorare: in Germania, ancora nel 2024, Huawei copriva circa il 60% dei siti 5G attivi. La nuova proposta sostituisce quella logica con un meccanismo vincolante a livello europeo. La Commissione acquisisce il potere di designare “paesi con preoccupazioni di cybersicurezza” e “fornitori ad alto rischio”, imponendo l’esclusione dei loro prodotti e servizi dalle catene di fornitura ICT di 18 settori critici come telecomunicazioni, data center, cloud e infrastrutture connesse. con un termine massimo di 36 mesi per la dismissione degli apparati già installati nelle reti mobili. Huawei e ZTE, pur assenti per nome dal testo della proposta, sono i principali destinatari impliciti delle misure: erano già state indicate come fornitori ad alto rischio nei rapporti europei sul 5G Toolbox del 2023, senza che la raccomandazione producesse effetti uniformi tra gli Stati membri. La nuova norma punta a colmare quella distanza tra indirizzo politico e applicazione concreta, spostando il potere decisionale dai governi nazionali alla Commissione e rafforzando il mandato dell’Agenzia europea per la cybersicurezza, l’ENISA, che passerebbe da un ruolo consultivo alla facoltà di emettere linee guida vincolanti.
L’Agenzia per la cybersicurezza acquisisce anche un ruolo più diretto nella certificazione: i fornitori classificati come ad alto rischio non potrebbero ottenere certificazioni europee di cybersicurezza, né operare come organismi accreditati di valutazione della conformità. Per i prodotti e servizi con livello di assurance elevato, le attività di valutazione della conformità dovrebbero essere condotte fisicamente all’interno dell’UE, con implicazioni rilevanti sulla riservatezza di informazioni tecniche sensibili come l’architettura dei sistemi e il codice sorgente.
Le contestazioni di Pechino e la tensione con gli accordi commerciali bilaterali
Il commento cinese articola la propria obiezione su più livelli distinti. Sul piano del diritto commerciale internazionale, il Ministero sostiene che la proposta contraddice il GATT 1994 nei principi di nazione più favorita e trattamento nazionale, viola il GATS per le restrizioni ai servizi di manutenzione e accesso ai dati, entra in conflitto con l’accordo TBT per le barriere tecniche al commercio e con il TRIPS per la tutela delle informazioni riservate. La tesi centrale è che la categoria dei “rischi non tecnici” — che include fattori come i sistemi democratici di controllo, la collaborazione con le autorità europee e la storia di incidenti informatici attribuiti a uno Stato — sia per sua natura soggettiva e arbitraria, e quindi incompatibile con i principi di obiettività richiesti dagli accordi internazionali. Sul piano del diritto europeo, Pechino solleva una questione di competenza: l’articolo 4 del Trattato sull’Unione europea riserva la sicurezza nazionale alla responsabilità esclusiva degli Stati membri, e la proposta, secondo il commento cinese, aggirerebbe questo vincolo usando come base giuridica l’articolo 114 del TFUE, che autorizza l’armonizzazione del mercato interno. A questo si aggiunge un argomento che riguarda direttamente il diritto europeo sulla protezione dei dati: vietare o limitare i trasferimenti di dati verso paesi designati come a rischio significherebbe in pratica svuotare gli strumenti già previsti dal GDPR per i flussi internazionali, come le clausole contrattuali standard, senza abrogare formalmente nulla.
Sullo sfondo di questa disputa normativa si colloca un fatto di cronaca che ne amplifica la portata concreta. Il 16 aprile 2026, il giorno prima del deposito formale del commento, il ministro degli Esteri Antonio Tajani aveva firmato a Pechino il Piano d’Azione Italia-Cina per l’e-commerce, che prevede l’apertura di spazi promozionali dedicati al Made in Italy sulle principali piattaforme cinesi di commercio elettronico. La missione, prima visita bilaterale di alto livello tra i due Paesi nel 2026, ha coinvolto circa cinquanta aziende. L’interscambio commerciale tra Italia e Cina ha sfiorato i 75 miliardi di euro nel 2025, con flussi ancora marcatamente sbilanciati: nei primi due mesi del 2026 le importazioni italiane dalla Cina sono cresciute del 9,2% a fronte di esportazioni italiane cresciute solo del 4,5%. La distanza tra l’agenda cooperativa dei rapporti bilaterali e la tensione aperta sul fronte della regolazione tecnologica emerge con chiarezza dalla giustapposizione dei due eventi: accordi commerciali firmati il 16 aprile, documento di contestazione depositato il 17.
