Negli ultimi anni, studi della Commissione europea e di varie autorità nazionali hanno individuato un numero crescente di dispositivi wireless che presentano vulnerabilità che possono avere significativi impatti.
La Commissione europea ha adottato l’atto delegato alla direttiva sulle apparecchiature radio 2014/53/EU (RED) che mira a garantire che tutti i dispositivi wireless destinati da qualsiasi produttore (anche extra UE) al mercato dell’UE, siano sicuri prima di essere venduti in Europa, coerentemente con il quadro normativo già delineato.
La direttiva invero destinata alla individuazione dei requisiti essenziali per la sicurezza e la salute, la compatibilità elettromagnetica e l’uso efficiente dello spettro radio, fornisce anche la base al provvedimento delegato per un’ulteriore regolamentazione delle caratteristiche tecniche per la protezione della dei dati personali e la prevenzione delle frodi nonché per l’interoperabilità, l’accesso ai servizi di emergenza e la compliance relativa alla interazione tra devices radio e software.
Del resto, telefoni cellulari, smartwatch, fitness tracker e giocattoli wireless sono sempre più presenti nella nostra vita quotidiana ed accedono ormai sempre più di frequente alle nostre informazioni personali, utilizzando le reti di comunicazione.
Peraltro, la pandemia di COVID-19 ha anche notevolmente aumentato l’uso di apparecchiature radio per scopi professionali o personali.
Negli ultimi anni, studi della Commissione europea e di varie autorità nazionali hanno individuato un numero crescente di dispositivi wireless che presentano vulnerabilità che possono avere significativi impatti.
Non a caso, oggi le apparecchiature wireless sono l’obiettivo di oltre l’80% degli attacchi alla sicurezza informatica, rispetto ai dispositivi cablati.
Per queste ragioni, l’atto delegato è preordinato a creare le condizioni per una sicurezza by design di alcune categorie di dispositivi wireless che utilizzano la tecnologia radio, selezionati su un approccio risk-based e in base ai risultati di un’analisi costi-benefici.
In tale direzione, sulla base di una serie di requisiti formulati dal provvedimento, vengono declinati una serie di obiettivi generali, indicati come necessari, di cui i produttori di classi e categorie specifiche di apparecchiature radio dovranno tenere conto nella progettazione e produzione dei prodotti interessati in quanto preordinati a:
- migliorare la resilienza della rete prevedendo per i produttori di dispositivi e prodotti wireless lo sviluppo di funzionalità idonee ad evitare il danneggiamento delle reti di comunicazione ovvero l’interruzione delle funzionalità di siti Web o di altri servizi;
- proteggere più efficacemente la privacy dei consumatori attraverso l’attuazione a cura dei produttori di nuove misure per impedire l’accesso non autorizzato o la trasmissione di dati personali;
- ridurre il rischio di frode monetaria nei pagamenti elettronici attraverso lo sviluppo di idonee funzionalità che garantiscano un migliore controllo dell’autenticazione dell’utente al fine di evitare pagamenti fraudolenti.
I produttori avranno comunque la possibilità di scegliere le soluzioni tecniche specifiche per l’attuazione di questi obiettivi.
Conseguentemente, l’atto delegato e la direttiva sulle apparecchiature radio sono stati così resi coerenti con i principi di armonizzazione tecnica stabiliti dal nuovo quadro legislativo (NLF) applicabile dal 2008.
L’atto delegato sarà poi integrato dal Cyber Resilience Act che darà seguito alle azioni annunciate nella nuova strategia dell’UE sulla cybersecurity presentata nel dicembre 2020 e rientra altresì tra gli obiettivi dichiarati dalla Presidente VdL al fine di aumentare resilienza europea attraverso la creazione di standard comuni europei di sicurezza informatica per i prodotti ed i servizi del mercato unico digitale unitamente alla creazione di polo informativo comune sulla sicurezza del quinto dominio europeo.
Più specificamente, la normativa si applica alle seguenti apparecchiature:
- Dispositivi in grado di comunicare via Internet, quali smartphone, tablet, dispositivi elettronici, fotocamere; apparecchiature di telecomunicazione, nonché le apparecchiature dell’IoT (Internet of Things);
- Giocattoli e attrezzature per l’infanzia;
- Wearables, ossia dispositivi come smartwatch e fitness tracker.
Non rientrano invece nell’alveo applicativo dell’atto delegato e della Direttiva, perché disciplinati da specifica normativa, i veicoli a motore, i sistemi di telepedaggio stradale, le apparecchiature per il controllo a distanza degli aeromobili senza pilota, nonché le apparecchiature radio specifiche non aviotrasportate che possono essere installate sugli aeromobili.
Inoltre, nessuno dei requisiti dell’atto delegato si applica ai dispositivi medici e ai dispositivi medici in vitro, specificamente disciplinati da normativa settoriale dedicata.
Sulla base dell’atto delegato, la Commissione europea avvierà una richiesta di normazione agli organismi europei di normazione al fine di sviluppare norme armonizzate a sostegno.
Conseguentemente, gli standard saranno sviluppati con la partecipazione dell’industria e saranno valutati dalla Commissione rispetto ai requisiti essenziali stabiliti dal quadro giuridico dell’UE.
Una volta stabilito che le soluzioni tecniche specifiche descritte in tali norme sono conformi ai requisiti giuridici applicabili, tali norme potranno fornire una presunzione di conformità all’atto delegato.
I produttori, a questo punto, nell’eseguono le procedure di valutazione della conformità prima di immettere i loro prodotti sul mercato unico, avranno la possibilità di scegliere tra due opzioni:
- eseguire un’autovalutazione, allorquando il prodotto è stato progettato in conformità con gli standard armonizzati;
- fare affidamento su una valutazione di terze parti eseguita da un organismo di ispezione indipendente.
L’atto delegato, salve obiezioni delle altre Istituzioni europee, entrerà in vigore dopo un periodo di controllo di due mesi e si applicherà a tutti i dispositivi di qualunque produttore immessi sul mercato UE.
Conseguentemente, i produttori e l’industria in generale avranno un periodo di transizione di 30 mesi per iniziare a conformarsi ai nuovi requisiti legali, adattando i prodotti pertinenti prima che i nuovi requisiti diventino applicabili (a partire dalla metà del 2024).
Frattanto, durante il periodo transitorio, i vecchi dispositivi immessi sul mercato dell’UE, potranno continuare ad essere utilizzati senza la necessità di adattamenti specifici fino alla fine del loro ciclo di vita.