Il 24 marzo 2026 la Federal Communications Commission (FCC) ha annunciato un divieto che riguarda l’importazione e la vendita di router consumer prodotti al di fuori degli Stati Uniti, giustificandolo con rischi per la sicurezza nazionale. La decisione si basa su una determinazione di un organismo interagenzia convocato dalla Casa Bianca, che ha evidenziato la possibilità che vulnerabilità nella supply chain possano essere sfruttate per attacchi capaci di danneggiare infrastrutture critiche e cittadini.
Il provvedimento si inserisce nella più ampia strategia promossa dall’amministrazione Trump per ridurre la dipendenza da forniture estere di componenti fondamentali. Sebbene il fine dichiarato sia la difesa della rete e delle infrastrutture, esperti del settore mettono in guardia su rischi pratici e paradossi operativi legati all’applicazione di un divieto così esteso.
Che cosa prevede il divieto
L’FCC ha aggiunto alla cosiddetta Covered List i router prodotti all’estero, impedendo che dispositivi non autorizzati ricevano l’equipment authorisation necessaria per l’importazione, la commercializzazione o la vendita negli USA. Per “prodotto” l’agenzia ha specificato che rientrano tutte le principali fasi del processo, tra cui produzione, assemblaggio, design e sviluppo. Rimangono valide le autorizzazioni già concesse e il testo include una possibilità di deroga: produttori possono richiedere una approvazione condizionale, mentre il Dipartimento della Difesa (rinominato dal governo in alcune comunicazioni come Department of War (DoW)) e il Dipartimento per la Sicurezza Interna possono concedere esenzioni.
Limiti temporali e aggiornamenti firmware
Un aspetto critico segnalato dalle autorità e dai media riguarda gli aggiornamenti firmware.
L’FCC ha ammesso che i dispositivi già autorizzati possono continuare a ricevere patch almeno fino al 1° marzo 2027; oltre tale data la manutenzione software dipenderà dallo status delle approvazioni. Questo introduce un vincolo pratico per i consumatori: un router che non riceve più firmware aggiornato diventa rapidamente vulnerabile, aumentando l’esposizione di reti domestiche e piccole imprese.
Impatto sulle catene di fornitura e sul mercato
La misura implica un forte impatto sulle catene di fornitura globali: la maggior parte dei grandi produttori di router, inclusi marchi con sede negli USA, fa assemblaggio e produzione in paesi come Taiwan, Vietnam o Cina. Solo alcune eccezioni, come i nuovi dispositivi di Starlink prodotti in Texas, sfuggono al divieto. Spostare intere linee produttive negli Stati Uniti richiederebbe anni e investimenti rilevanti; nel breve termine è realistico solo un trasferimento parziale delle attività, ad esempio assemblaggio domestico di componenti importati.
Costi e fattibilità
Gli esperti sottolineano che il semplice cambiamento geografico della produzione non annulla i rischi: componenti, strumenti di sviluppo e strumenti software possono già contenere backdoor o vulnerabilità integrate in fasi precedenti della catena. Inoltre, le economie di scala e le infrastrutture regionali che reggono l’industria elettronica sono difficili da replicare rapidamente; ciò può tradursi in rincari per i consumatori e in carenze sul mercato.
Il paradosso dei dispositivi già installati
Un tema spesso evocato dagli analisti è quello della base installata: milioni di router in case e uffici rimarranno in funzione per anni, molti dei quali esposti a internet, con credenziali deboli o firmware non aggiornati. Studi di laboratorio, come il report “The riskiest connected devices in 2026” di Vedere Labs, mostrano che i router sono diventati tra i dispositivi più a rischio, rappresentando circa un terzo delle vulnerabilità critiche identificate e con una media di 32 vulnerabilità per dispositivo nelle reti monitorate.
La diversificazione delle tipologie di dispositivi vulnerabili è aumentata: exploit su infrastrutture di rete sono cresciuti, passando al 19% degli eventi osservati nel 2026 rispetto al 14% del 2026. Perciò, mentre il divieto mira a contenere nuove minacce, non risolve il problema operativo di dispositivi vecchi, non patchati o obsoleti che rimarranno un vettore primario per gli attacchi.
Conclusioni e strade possibili
La decisione dell’FCC segna un cambio di passo nella politica industriale e di cybersicurezza degli Stati Uniti, ma apre scenari complessi: esigenze di sicurezza nazionale, costi di riorganizzazione delle filiere e la gestione di una vasta base di dispositivi già in uso. Le soluzioni alternative includono potenziare laboratori di verifica indipendenti, incentivi per la produzione nazionale di componenti critici e programmi di sostituzione o supporto per dispositivi vulnerabili.
In definitiva, l’obiettivo dichiarato di ridurre l’esposizione a rischi gravi è comprensibile, ma la transizione richiederà scelte bilanciate tra politica, industria e tutela dei consumatori per evitare effetti collaterali indesiderati.
