La sicurezza delle infrastrutture di telecomunicazioni torna al centro del dibattito giuridico europeo con una presa di posizione destinata a fare scuola.
Il 19 marzo 2026, l’avvocata generale della Corte di giustizia dell’Unione europea, Tamara Ćapeta, ha depositato le proprie conclusioni nella causa C-354/24, che vede protagonista Elisa Eesti AS, operatore estone di telecomunicazioni, contro le autorità nazionali che le hanno negato l’autorizzazione a utilizzare hardware e software di un produttore di apparecchiature TLC classificato come «ad alto rischio» per la sicurezza nazionale nelle proprie reti 2G-4G e 5G.
Il principio affermato è di portata generale: gli Stati membri possono escludere hardware e software dalle proprie infrastrutture critiche di comunicazione sulla base del fatto che il produttore rappresenta un rischio per la sicurezza nazionale, ma tale esclusione non può fondarsi su un sospetto generico e deve rispettare il principio di proporzionalità sancito dal diritto dell’Unione europea.
Indice degli argomenti
Il caso estone Elisa Eesti
Il caso origina nel 2022, quando Elisa Eesti ha presentato alle autorità estoni una richiesta formale di autorizzazione per l’impiego di specifiche apparecchiature nelle proprie reti.
Le autorità competenti hanno rigettato la domanda, classificando il produttore come fornitore ad alto rischio per la sicurezza nazionale. La decisione è stata impugnata dinanzi al Tribunale amministrativo di Tallinn, il quale ha sollevato un rinvio pregiudiziale alla Corte di Lussemburgo.
Il meccanismo del rinvio pregiudiziale consente ai giudici degli Stati membri di interpellare la Corte sull’interpretazione del diritto dell’Unione nell’ambito di una controversia nazionale: la decisione che ne deriva vincola il giudice del rinvio e tutti gli altri giudici nazionali che si trovino a dover risolvere una questione analoga.
È in questo contesto che l’avvocata generale ha elaborato le proprie conclusioni: pur non vincolando la Corte, esse rappresentano un orientamento giuridico proposto in piena indipendenza, che i giudici prenderanno in considerazione nella fase di deliberazione.
L’architettura della sicurezza digitale europea
Sul piano del merito, le conclusioni affrontano un nodo cruciale per l’intera architettura della sicurezza digitale europea: fino a che punto uno Stato membro può spingersi nell’escludere componenti tecnologiche dalle proprie reti di comunicazione in nome della sicurezza nazionale, e con quali garanzie procedurali e sostanziali tale esclusione deve essere accompagnata?
La risposta articola una posizione equilibrata ma densa di conseguenze pratiche.
Da un lato, si riconosce la legittimità di misure restrittive nei confronti di apparecchiature considerate rischiose, anche tenendo conto del Paese d’origine del produttore.
Dall’altro, si afferma con forza che qualsiasi decisione di questo tipo deve essere soggetta a controllo giurisdizionale, anche nella sua dimensione di proporzionalità, e deve basarsi su una valutazione specifica dell’uso delle apparecchiature e dei rischi concreti che esse comportano.
Non è dunque sufficiente una classificazione generale del produttore: occorre che le autorità nazionali valutino le specifiche apparecchiature oggetto della richiesta e i rischi che il loro utilizzo comporta nel contesto della rete considerata.
L’equilibrio fra sovranità nazionale ed europea
L’approccio proposto esclude che una decisione possa fondarsi su un sospetto generico. Si tratta di un equilibrio che riflette la tensione costante tra la sovranità degli Stati membri in materia di sicurezza nazionale, espressamente riservata ai governi nazionali ai sensi dell’articolo 4, paragrafo 2, del Trattato sull’Unione europea, e l’esigenza di coerenza e proporzionalità che il diritto dell’Unione impone anche in tali ambiti.
Le conclusioni precisano che, sebbene la valutazione del rischio possa essere diversa tra produttori di Paesi terzi e produttori dell’Unione, essa deve comunque ricomprendere un’analisi specifica dell’uso delle apparecchiature e dei rischi ad esse associati.
Gli interessi di sicurezza nazionali e quelli dell’Unione convergono
Un elemento particolarmente rilevante riguarda il ruolo del Codice europeo delle comunicazioni elettroniche, istituito dalla Direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018.
Le conclusioni sottolineano che questa normativa prevede requisiti di sicurezza specifici per le reti e i servizi di telecomunicazione nazionali, e che in forza di tali disposizioni gli interessi di sicurezza nazionali e quelli dell’Unione convergono.
In una situazione del genere, le autorità nazionali competenti possono avvalersi delle valutazioni dei rischi effettuate dalle istituzioni dell’Unione e da altri organismi nazionali e dell’Unione.
Tra gli strumenti richiamati figura la Comunicazione della Commissione sull’attuazione del pacchetto distrumenti per la cibersicurezza del 5G, C(2023) 4049 final.
Questo richiamo consente alle autorità degli Stati membri di fondare le proprie decisioni su analisi già elaborate a livello sovranazionale, nel rispetto dei requisiti di specificità e proporzionalità che le conclusioni richiedono.
Tutela della proprietà e limite alle aspettative risarcitorie degli operatori coinvolti
Sul piano dei diritti fondamentali, le conclusioni affrontano anche la questione della tutela della proprietà.
Qualsiasi operatore economico beneficia della protezione prevista dall’articolo 17, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea.
L’avvocata generale chiarisce che un divieto all’uso di determinate apparecchiature non costituisce una privazione della proprietà in senso stretto, bensì una limitazione dell’uso dei beni: una distinzione giuridicamente rilevante che incide direttamente sulla questione dell’indennizzo.
In linea di principio non spetterebbe alcun indennizzo alla società colpita dal divieto, a meno che il giudice nazionale non ritenga che l’onere derivante da tale restrizione sia sproporzionato, pur essendo necessario.
Si tratta di una precisazione che delimita le aspettative risarcitorie degli operatori coinvolti, pur lasciando al giudice nazionale un margine di valutazione nei casi in cui il peso della misura risulti eccessivo rispetto allo scopo perseguito.
La decisione definitiva della Corte di giustizia – attesa al termine della fase di deliberazione avviata dopo il deposito delle conclusioni – potrebbe avere effetti che vanno oltre il caso estone.
Il tema dei fornitori ad alto rischio nelle infrastrutture 5G è al centro di un dibattito politico e tecnico a livello europeo, e il toolbox per la cybersecurity del 5G, sviluppato in sede di NIS Cooperation Group e recepito nella Comunicazione della Commissione C (2023) 4049 final, ha già portato diversi Stati membri ad adottare misure restrittive nei confronti di determinati produttori.
Una sentenza che convalidi l’impostazione proposta dall’avvocata generale fornirebbe una cornice giuridica armonizzata entro cui tali misure possono essere adottate e sindacate, riducendo il rischio di frammentazione normativa all’interno del mercato unico delle comunicazioni elettroniche.
Occorre sottolineare il valore procedurale delle conclusioni: l’insistenza sul controllo giurisdizionale effettivo, anche sugli aspetti di proporzionalità delle misure adottate per motivi di sicurezza nazionale, rappresenta un elemento centrale dell’intero ragionamento.
La possibilità di sottoporre a sindacato giurisdizionale tali decisioni, inclusa la loro proporzionalità, costituisce una garanzia rilevante per gli operatori economici e per la certezza del diritto nel mercato unico delle comunicazioni elettroniche.
