Tutto quello che c’è da sapere sul bando dei router esteri negli USA
La FCC vieta i nuovi router esteri per la sicurezza nazionale, il mercato trema
La Commissione Federale per le Comunicazioni (FCC) ha imposto il divieto di vendita di nuovi router internet per uso domestico fabbricati al di fuori degli Stati Uniti, citando preoccupazioni per la sicurezza nazionale. La misura non riguarda i router già presenti nelle case degli americani o attualmente in vendita nel paese, ma tutti i nuovi dispositivi destinati al mercato consumer richiederanno ora un’approvazione specifica prima di poter essere commercializzati. Sebbene il divieto riguardi i router di produzione estera, i produttori potranno comunque richiedere delle esenzioni. Non sarà necessario sostituire il proprio router attuale e i sistemi mesh già disponibili continueranno a essere venduti.
Il motivo del divieto, spiega la FCC, risiede nel fatto che "attori malevoli hanno sfruttato lacune di sicurezza nei router di produzione estera per attaccare le famiglie americane, interrompere reti, abilitare lo spionaggio e facilitare il furto di proprietà intellettuale". La Commissione ha inoltre evidenziato il coinvolgimento di tali router negli attacchi informatici Volt, Flax e Salt Typhoon, che hanno preso di mira infrastrutture vitali degli Stati Uniti. I router consumer di produzione estera sono stati aggiunti alla "Covered List", che elenca apparecchiature e servizi ritenuti "un rischio inaccettabile per la sicurezza nazionale degli Stati Uniti".
Bogdan Botezatu, direttore della ricerca sulle minacce presso l’azienda di cybersecurity Bitdefender, ha definito il divieto un passo per rafforzare la prontezza della cybersecurity nelle famiglie statunitensi, date le attuali tensioni geopolitiche. "I router consumer si trovano al confine di ogni rete domestica, il che li rende un obiettivo attraente e un rischio strategico se compromessi su larga scala", ha affermato Botezatu, confermando la realtà del rischio, sebbene sia difficile provare l’intento malevolo. "I dispositivi IoT, inclusi i router, sono un punto debole in tutta internet".
Il divieto riguarda esclusivamente la vendita di nuovi router Wi-Fi destinati alle abitazioni private e non si applica ai router esistenti già approvati dalla FCC e in vendita negli Stati Uniti. I dispositivi precedentemente acquistati e già in uso nelle case di tutto il paese sono anch’essi esenti dal divieto e possono continuare a essere venduti, utilizzati e aggiornati con nuovo firmware. Qualsiasi nuovo router prodotto al di fuori degli Stati Uniti richiederà ora l’approvazione della FCC prima di poter essere importato, commercializzato o venduto nel paese. Questo include i router di aziende statunitensi che li producono all’estero, una pratica che attualmente riguarda la stragrande maggioranza del mercato.
La definizione di "prodotto estero" è tuttavia ambigua. Il divieto si concentra sui router di "grado consumer" e potrebbe includere qualsiasi dispositivo progettato o fabbricato al di fuori degli Stati Uniti, o prodotto da aziende che non sono interamente di proprietà e gestione statunitense. La maggior parte dei principali attori del mercato, tra cui Netgear, TP-Link, Asus, Eero di Amazon, Nest di Google, Synology, Linksys e Ubiquiti, rientrano in questa definizione, così come la maggior parte dei router forniti dai provider di servizi internet negli Stati Uniti.
Similmente al recente divieto federale sui droni, la restrizione sui router si applica solo ai nuovi dispositivi, ma i produttori possono richiedere un’Approvazione Condizionale al Dipartimento della Difesa e al Dipartimento della Sicurezza Interna. Le domande devono includere dettagli su proprietà, composizione del consiglio di amministrazione e paese d’origine per componenti, proprietà intellettuale, design, assemblaggio e firmware, tra le altre cose. Una sezione finale richiede dettagli sul piano di produzione statunitense e di "onshoring" del richiedente, indicando una chiara spinta affinché le aziende si impegnino a produrre i loro router negli Stati Uniti. "Finora nessun router o produttore ha ottenuto un’Approvazione Condizionale, ma man mano che il processo prenderà il via, ci aspettiamo che le approvazioni vengano concesse in tempi rapidi", ha dichiarato un portavoce della FCC a WIRED.
Per quanto riguarda i componenti di produzione estera, la FCC ha fornito alcune delucidazioni nelle sue FAQ, affermando che "i dispositivi non ‘coperti’ non diventano ‘coperti’ semplicemente perché contengono un componente ‘coperto’, a meno che il componente ‘coperto’ non sia un trasmettitore modulare secondo le regole della FCC". Di conseguenza, un router prodotto negli Stati Uniti non è considerato "coperto" solo perché contiene uno o più componenti di produzione estera. I produttori che importano componenti dalla Cina ma li assemblano negli Stati Uniti saranno presumibilmente considerati idonei, sebbene la situazione non sia del tutto chiara. "I richiedenti dovranno essere in grado di fornire prove sufficienti che i router non sono stati prodotti in un paese straniero per ottenere questa certificazione, ma non è richiesta alcuna documentazione o prova specifica", secondo la FCC.
Analizzando i tre principali marchi di router negli Stati Uniti, si evidenziano diverse situazioni. TP-Link, le cui stime di quota di mercato statunitense si aggirano intorno al 35%, produce tutti i suoi router all’estero e dovrà quindi richiedere un’Approvazione Condizionale o avviare la produzione negli Stati Uniti per vendere nuovi dispositivi. Il Dipartimento del Commercio, della Difesa e della Giustizia degli Stati Uniti avrebbero indagato e considerato un divieto sui router TP-Link per oltre un anno a causa di preoccupazioni sui collegamenti dell’azienda con la Cina. L’azienda ha sempre negato qualsiasi illecito, sostenendo di aver disinvestito dalle sue radici cinesi e di avere ora sede negli Stati Uniti, con la maggior parte della produzione in Vietnam. "Praticamente tutti i router sono fabbricati al di fuori degli Stati Uniti, inclusi quelli prodotti da aziende con sede negli Stati Uniti come TP-Link, che produce i suoi prodotti in Vietnam", ha dichiarato un portavoce di TP-Link a WIRED. "Sembra che l’intera industria dei router sarà interessata dall’annuncio della FCC riguardante i nuovi dispositivi non precedentemente autorizzati dalla FCC".
Netgear, azienda fondata e con sede negli Stati Uniti, produce i suoi router all’estero, principalmente in Vietnam, Thailandia, Indonesia e Taiwan, e dovrà anch’essa richiedere un’Approvazione Condizionale. La società si è allontanata dalla Cina negli ultimi anni e ha svolto attività di lobbying presso il governo in materia di "cybersecurity e competizione strategica con la Cina". Un portavoce di Netgear ha dichiarato a WIRED: "Plaudiamo all’amministrazione e alla FCC per la loro azione verso un futuro digitale più sicuro per gli americani. I router domestici e i sistemi mesh sono critici per la sicurezza nazionale e la protezione dei consumatori, e la decisione di oggi è un passo avanti".
Asus produce i suoi router principalmente a Taiwan, anche se ha stabilimenti di produzione in Cina e collabora con diversi produttori di terze parti. A causa delle recenti pressioni tariffarie, l’azienda si è espansa in Thailandia, Vietnam, Indonesia, Messico e Repubblica Ceca, ma la maggior parte dei suoi router proviene ancora da Taiwan o dalla Cina. Asus dovrà richiedere un’Approvazione Condizionale per vendere nuovi router. L’azienda non ha risposto alla richiesta di commento di WIRED.
Attualmente, gli unici router noti per essere prodotti negli Stati Uniti sono alcuni router Wi-Fi di Starlink, realizzati principalmente in Texas, sebbene molti dei loro componenti provengano dall’Asia orientale. Botezatu sottolinea che ciò che conta più della geografia è il modello di sicurezza dietro il prodotto. Le aziende che investono in "supporto firmware a lungo termine, gestione delle vulnerabilità e livelli di protezione integrati" offrono una sicurezza più robusta.
L’impatto del divieto sui cittadini comuni non è ancora del tutto chiaro, ma probabilmente non avrà un’immediata ripercussione significativa. Esiste già una vasta gamma di router Wi-Fi 7 e sistemi mesh sul mercato che continueranno a essere venduti, offrendo velocità ben superiori a quelle di cui la maggior parte delle persone ha bisogno a casa. Tuttavia, sia che le aziende avviino la produzione negli Stati Uniti, sia che trovino altri modi per soddisfare le agenzie governative sulla sicurezza dei loro prodotti, il risultato sarà probabilmente un aumento dei prezzi per i consumatori. "Questa decisione ha il potenziale di perturbare significativamente il mercato statunitense dei router consumer", ha dichiarato Brandon Butler, research manager di Network Infrastructure and Services presso IDC, a WIRED. "Nel breve termine, molto dipenderà dalla velocità con cui verranno elaborate le deroghe condizionali. La maggior parte dei fornitori probabilmente le richiederà, ma eventuali ritardi potrebbero limitare l’offerta e creare una pressione al rialzo sui prezzi".
Il divieto lascia aperte diverse questioni irrisolte. Perché viene applicato solo ai router consumer? Quali router o produttori otterranno un’Approvazione Condizionale? E perché i router di produzione estera attualmente in vendita e nelle nostre case sono considerati sicuri? La FCC non ha affrontato queste domande.