Il 1° agosto 2024 ha segnato un punto di svolta per il mercato dei dispositivi connessi: da quella data è infatti entrato in vigore l’aggiornamento della Direttiva Radio Equipment (RED) che introduce, per la prima volta, obblighi di cyber-sicurezza stringenti per qualsiasi apparecchiatura radio capace di dialogare in rete – dagli smartphone agli oggetti IoT più impensabili. La notizia, riportata in anteprima da Telecompaper Telecompaper, è passata un po’ in sordina fuori dai corridoi degli addetti ai lavori, ma i suoi effetti diventeranno tangibili per costruttori, importatori e – indirettamente – per tutti noi consumatori a partire dal 1° agosto 2025, quando scatterà l’obbligo di conformità piena.
Le nuove regole nascono dal Regolamento delegato (UE) 2022/30, pubblicato in Gazzetta Ufficiale il 12 gennaio 2022 e formalmente applicabile dal 1° agosto 2024 EUR-Lex. Il testo integra tre nuovi requisiti essenziali – i famosi punti (d), (e) e (f) dell’art. 3(3) della RED – che impongono: protezione delle reti da abusi, tutela di dati e privacy degli utenti e meccanismi anti-frode per i dispositivi che effettuano transazioni di denaro. Sul piano operativo, questi requisiti sono stati “tradotti” nella serie di norme armonizzate EN 18031, pubblicate nell’Official Journal il 30 gennaio 2025 e destinate a entrare in applicazione vincolante proprio il 1° agosto 2025 EUR-Lex.
Perché due date? Semplice: il legislatore europeo ha voluto concedere un anno di transizione ai fabbricanti per adeguare progettazione, firmware, supply-chain e documentazione tecnica. Una finestra che, confessa più di un operatore del settore, “passa in fretta” se l’azienda non aveva già iniziato a lavorare su secure-by-design e secure-update nei mesi precedenti exein.io.
Cosa cambia in concreto
Dire che la RED “adesso parla di cyber-security” è riduttivo: dagli aggiornamenti automatici sicuri, alla gestione delle credenziali di default, fino alla cifratura dei dati personali, tutto diventa requisito legale per ottenere (e conservare) il marchio CE. Il sistema di auto-certificazione finora sufficiente per gran parte dei prodotti wireless non scompare, ma chi non può garantire l’aderenza completa a EN 18031 dovrà rivolgersi a un Notified Body indipendente con costi e tempi extra Zühlke.
I tre pilastri della norma – protezione di rete, tutela privacy, anti-frode – si calano in decine di prescrizioni tecniche: dalla necessità di implementare meccanismi di blocco al traffico anomalo, al divieto di password hard-coded, fino alla conservazione dei log critici. Chi produce giocattoli smart, droni o wearable che trasmettono telemetria dovrà dimostrare di aver integrato cifratura e autenticazione robuste; le aziende fintech che vendono POS portatili dovranno mostrare controlli anti-manomissione e canali di pagamento sicuri.
Il legame (e le differenze) con il Cyber Resilience Act
Molti si chiedono se la nuova RED non venga “sostituita” dal Cyber Resilience Act (CRA), approvato definitivamente nell’ottobre 2024 Wikipedia. In realtà i due testi sono complementari: la RED resta la lex specialis per tutto ciò che ha un modulo radio, mentre il CRA – di natura regolamentare e quindi auto-applicativo – copre qualsiasi “prodotto con elementi digitali”, anche privo di connettività radio. Chi commercializza, per esempio, un dispositivo Bluetooth dovrà rispettare entrambi: RED per l’interfaccia radio e CRA per l’intero ciclo di vita del software.
Reazioni dell’industria e stato dell’arte
Se da un lato i grandi gruppi di elettronica di consumo avevano anticipato la stretta – Apple, Samsung e altri già parlano di “security-by-default” nei propri bilanci ESG – le PMI europee hanno manifestato più di una preoccupazione intertek.com. Non si tratta solo di costi di testing: la sfida più grande è culturale, richiede skill di secure coding e processi di patch-management che molte realtà non hanno mai formalizzato.
Gli organismi di certificazione, nel frattempo, fanno gli straordinari: i laboratori accreditati per EN 18031 sono ancora pochi e la domanda di servizi di conformity assessment cresce a doppia cifra. Alcuni esperti temono colli di bottiglia nell’estate 2025, quando tutti cercheranno di ottenere i documenti di conformità nello stesso periodo. In questa corsa contro il tempo si inseriscono società di consulenza specializzate – Exein, SG-S, Intertek – che offrono pacchetti “full-service” dal threat-modeling al fascicolo tecnico exein.ioSGSCorpintertek.com.
Il mio punto di vista
Da osservatore del mercato non posso che accogliere positivamente un framework che alza l’asticella della sicurezza per l’ecosistema IoT europeo. Certo, la burocrazia è impegnativa e il rischio di rallentare l’innovazione è reale. Ma la storia recente – dalle baby-cam hackerate ai pacemaker vulnerabili – dimostra che la sicurezza “lasciata alla buona volontà” non funziona. La RED aggiornata impone requisiti minimi obbligatori che diventeranno la nuova baseline, e ciò renderà più facile differenziare i prodotti davvero sicuri da quelli che “raccontano” di esserlo.
Allo stesso tempo servirà flessibilità per le micro-imprese: l’iter semplificato previsto da EN 18031 per i prodotti a basso rischio va nella direzione giusta, ma non basterà se non si affiancherà a incentivi o voucher per la cyber-compliance. In fondo, la missione UE di costruire un Mercato Unico digitale sicuro vale poco se i player più piccoli restano fuori dal gioco.
In definitiva, il conto alla rovescia verso agosto 2025 è iniziato. Le aziende che hanno iniziato a prepararsi in tempo scopriranno che investire in sicurezza non è solo una grana normativa: è il miglior biglietto da visita per un consumatore sempre più attento alla protezione dei propri dati.
