La Federal Communications Commission (FCC) statunitense ha aggiornato la propria lista di apparati considerati non sufficientemente sicuri per l’utilizzo nel territorio nazionale, includendovi tutti i router consumer di produzione estera.

Si tratta di una misura che interviene su uno dei nodi più critici e spesso sottovalutati dell’infrastruttura digitale domestica e commerciale: il dispositivo che gestisce il traffico internet di milioni di abitazioni e imprese.

La decisione non nasce in un vuoto normativo, ma si inserisce in un percorso avviato nei mesi precedenti e che ha trovato il suo punto di accelerazione dopo una serie di cyber attacchi documentati che hanno colpito infrastrutture statunitensi critiche tra il 2024 e il 2025.

Il cuore della questione è di natura tecnica prima ancora che geopolitica

I router consumer rappresentano il primo punto di accesso alla rete per qualsiasi dispositivo connesso: computer, smartphone, televisori, sistemi domotici.

Un router compromesso non è semplicemente un problema di connettività, ma una porta di accesso potenzialmente aperta su tutto il traffico dati di un’abitazione o di un ufficio.

Le lacune di sicurezza in questi dispositivi possono essere sfruttate per intercettare comunicazioni, sottrarre credenziali, esfiltrare dati sensibili o rendere i dispositivi parte di botnet utilizzate per attacchi distribuiti su larga scala.

È esattamente questo scenario che le autorità statunitensi intendono scongiurare.

Le tre campagne di attacco alla base del divieto Usa

La FCC ha fatto esplicito riferimento a tre campagne di attacco, denominate rispettivamente Volt Typhoon, Flax Typhoon e Salt Typhoon, che hanno preso di mira infrastrutture statunitensi sfruttando vulnerabilità presenti in router di produzione estera.

Le indagini condotte dalle autorità competenti hanno ricondotto queste operazioni ad attori legati, direttamente o indirettamente, a governi stranieri. La gravità degli episodi ha spinto le agenzie governative che si occupano di sicurezza nazionale a qualificare i router di produzione estera come un rischio inaccettabile per il paese, aprendo la strada al provvedimento della FCC.

Cosa impone il divieto Usa dell’import dei router consumer stranieri

Dal punto di vista operativo, il divieto non impone la rimozione dei dispositivi già installati: chi possiede un router di produzione estera potrà continuare a utilizzarlo.

La misura si applica esclusivamente ai nuovi modelli. Qualsiasi router prodotto al di fuori degli Usa non potrà essere importato, commercializzato o venduto nel paese senza previa approvazione della FCC.

L’approvazione condizionale prevede che il produttore riveli la composizione della propria compagine societaria, l’eventuale presenza di investitori o influenze straniere, e presenti un piano concreto per il trasferimento della produzione sul suolo americano.

È un requisito che va ben oltre la semplice certificazione tecnica e che introduce elementi di trasparenza sulla catena di controllo aziendale, normalmente assenti nelle procedure di omologazione dei dispositivi consumer.

La portata geografica del fenomeno

La stragrande maggioranza dei router attualmente disponibili sul mercato globale si assembla o produce fuori dagli Usa, prevalentemente in Asia orientale.

Questo vale anche per marchi il cui design e la cui ingegneria sono interamente statunitensi: il fatto che la progettazione avvenga in patria non esenta il dispositivo dal divieto se la manifattura è localizzata all’estero. La catena di fornitura globale dell’elettronica consumer, ottimizzata nei decenni per ragioni di costo e di scala produttiva, si trova ora al centro di una revisione strategica che privilegia la sicurezza rispetto all’efficienza economica.

Non si tratta di un orientamento isolato: la stessa logica aveva già portato, alla fine del 2024, al divieto di importazione di droni consumer di produzione estera, con dinamiche e motivazioni molto simili.

Le eccezioni previste dalla normativa sono due

Il Dipartimento della Difesa e il Dipartimento per la Sicurezza Interna hanno la facoltà di inserire specifici modelli in una lista di esenzioni, qualora li ritengano accettabili dal punto di vista della sicurezza nazionale.

Al momento della pubblicazione del provvedimento, nessuna delle due agenzie aveva ancora inserito alcun dispositivo in tale lista.

Esiste inoltre il caso particolare dei router integrati nella costellazione di connettività a banda larga satellitare sviluppata da un’azienda privata americana, i cui dispositivi vengono dichiaratamente prodotti nel Texas: al momento rappresentano una delle rare eccezioni a una regola che altrimenti abbraccia la quasi totalità dell’offerta di mercato.

Dal punto di vista della cyber sicurezza, il provvedimento pone alcune questioni di merito che meritano attenzione.

In primo luogo, la produzione geografica di un dispositivo non è di per sé garanzia né di sicurezza né di insicurezza: le vulnerabilità nei firmware dei router sono state documentate su dispositivi di ogni provenienza, e dipendono dalla qualità delle pratiche di sviluppo software, dai processi di aggiornamento e dalla trasparenza nella gestione delle patch.

Un router prodotto negli Usa da un’azienda con cattive pratiche di sicurezza
informatica non è necessariamente più sicuro di uno prodotto altrove da un’azienda con standard elevati.

La distinzione rilevante, dal punto di vista tecnico, riguarda la capacità di garantire aggiornamenti tempestivi, la trasparenza del codice, la resistenza agli attacchi e la risposta agli incidenti.

La complessità regolamentare

In secondo luogo, il provvedimento introduce una complessità regolamentare che interesserà in modo significativo l’intero ecosistema distributivo.

I rivenditori, i fornitori di servizi internet che distribuiscono router ai propri abbonati, e i produttori stessi si trovano davanti a un processo di approvazione la cui durata e i cui criteri pratici non sono ancora stati completamente definiti.

Nel breve periodo, il rischio è quello di una contrazione dell’offerta disponibile, con potenziali ripercussioni sui prezzi e sulla disponibilità di dispositivi aggiornati per i consumatori.

La rilocalizzazione di componenti critiche

Sul piano più ampio della politica industriale, il provvedimento si legge come un segnale chiaro nella direzione della rilocalizzazione di componenti considerate critiche per la sicurezza delle infrastrutture digitali.

È una tendenza che si manifesta in più settori contemporaneamente, dai
semiconduttori alle telecomunicazioni, e che risponde a una valutazione strategica condivisa da diversi governi occidentali, seppur con strumenti e tempi diversi.

Il caso dei router consumer è particolarmente significativo perché coinvolge dispositivi di massa, diffusi capillarmente nelle famiglie, e non soltanto apparati industriali o governativi.

Questo significa che l’impatto della misura, nel medio termine, riguarderà potenzialmente ogni utente di internet negli Usa, rendendo la scelta del router un elemento non più neutro nella catena della sicurezza digitale personale e collettiva.