FCC cambia idea sui router stranieri per evitare rischi cyber

Bloccare gli aggiornamenti software di router e droni prodotti da aziende straniere avrebbe potuto trasformarsi in un problema di sicurezza ancora più grave di quello che si cercava di prevenire.

Per questo motivo la Federal Communications Commission statunitense ha cambiato approccio: i dispositivi già presenti sul mercato potranno continuare a ricevere patch e firmware fino al 2029, anche se provenienti da produttori inclusi nelle liste di controllo americane. Una decisione che rivela quanto sia difficile separare sicurezza nazionale e sicurezza informatica pratica.

Il tema si inserisce nello scontro tecnologico tra Stati Uniti e Cina che coinvolge telecomunicazioni, semiconduttori e dispositivi IoT. Negli ultimi anni Washington ha imposto limitazioni contro aziende come Huawei, ZTE, Hikvision e DJI, accusate di rappresentare un rischio per le reti critiche americane.

Molti di questi dispositivi restano però largamente utilizzati in abitazioni, imprese, università e amministrazioni locali: interrompere improvvisamente gli aggiornamenti firmware avrebbe creato un problema operativo enorme, lasciando milioni di endpoint vulnerabili direttamente connessi a Internet.

Il paradosso che ha spinto l’FCC a fare marcia indietro

La motivazione principale indicata dall’agenzia riguarda proprio il rischio cyber.

Un router o un drone senza aggiornamenti di sicurezza diventa rapidamente vulnerabile a exploit pubblici, malware e compromissioni remote.

Botnet come Mirai e varianti successive hanno già dimostrato quanto sia semplice sfruttare firmware non aggiornati per costruire reti di attacco distribuite. L’FCC ha quindi riconosciuto un paradosso evidente: impedire gli update per motivi di sicurezza nazionale avrebbe ridotto la sicurezza reale delle reti americane.

I router moderni non sono più i semplici dispositivi NAT dei primi anni 2000. Integrano stack complessi con supporto WPA3, VPN, firewall avanzati, gestione mesh e funzioni cloud. Un firmware non aggiornato può contenere vulnerabilità nei componenti OpenSSL, nei kernel Linux embedded o nei driver Wi-Fi. Il problema si amplifica considerando che molti utenti non sostituiscono i router per cinque o dieci anni, spesso ben oltre il ciclo di supporto ufficiale. Anche i droni dipendono fortemente dagli update: patch mancanti possono introdurre problemi sia cyber sia operativi, dal bypass delle restrizioni di volo alla compromissione del controllo remoto.

Una soluzione temporanea con molte domande aperte

Resta comunque aperta una questione delicata: aggiornare dispositivi provenienti da produttori considerati potenzialmente rischiosi significa continuare a fidarsi del loro software proprietario.

Le autorità americane temono da tempo la possibilità di backdoor o funzionalità di sorveglianza integrate nei firmware di rete. Il firmware embedded moderno è estremamente difficile da verificare completamente: driver closed source, bootloader proprietari e componenti cloud spesso non sono accessibili alla revisione indipendente. Per questo cresce l’interesse verso soluzioni open source come OpenWrt, anche se molti dispositivi commerciali non consentono facilmente la sostituzione del firmware originale.

La proroga concessa dall’FCC non risolve il problema a lungo termine. Entro il 2029 aziende e utenti dovranno probabilmente sostituire parte dell’hardware coinvolto o migrare verso dispositivi considerati più sicuri. La decisione mostra però un principio importante: nel mondo digitale moderno interrompere gli aggiornamenti software può diventare più pericoloso che mantenerli attivi, indipendentemente dalla provenienza geografica del produttore.