ISSN 2784-9635

Vulnerabilità dei dispositivi wireless: potenziamento della sicurezza da parte Commissione Europea entro il 2024

Francesca Del Gaudio - 14/11/2021

Da studi della Commissione Europea e di altre Autorità nazionali, svolti negli ultimi anni, è emersa una crescente e diffusa vulnerabilità dei dispositivi wireless che può comportare impatti significativi sulla sicurezza e riservatezza dei dati.

Ad oggi, le apparecchiature wireless configurano l’obiettivo della stragrande maggioranza degli attacchi alla sicurezza informatica ed è per tale ragione che la Commissione Europea ha adottato, il 29 ottobre 2021, l’atto delegato che integra la Radio Equipment Directive (2014/53/EU[1]), al fine di garantire una maggiore sicurezza per tutti i dispositivi wireless destinati al mercato dell’Unione Europea, ovunque prodotti.

Consiglio e Parlamento europeo, in più occasioni, hanno espresso ed evidenziato la necessità di rafforzare la sicurezza informatica nell’Unione Europea.

Nello specifico, con tale atto delegato, la Commissione Europea ha individuato nuovi requisiti[2] di sicurezza informatica per le aziende produttrici di dispostivi wireless di vario tipo, come ad esempio: cellulari, tablet, smartwatch e fitness tracker (i c.d. wearables) ed attrezzatture per l’infanzia in grado di comunicare su Internet come i baby monitor. Per completezza, occorre specificare che non rientrano nell’alveo applicativo dell’atto delegato, in quanto disciplinati in normative specifiche, i veicoli a motore, le apparecchiature radio specifiche non aviotrasportate, il telepedaggio stradale e tutte le apparecchiature di controllo a distanza degli aeromobili senza pilota.

Inoltre, non si applicano i requisiti dell’atto delegato a dispositivi medici, i quali sono disciplinati in maniera specifica da una normativa di settore ad essi dedicata.

Nella nota esecutivo UE si evince che tale atto: «stabilisce nuovi requisiti legali per le garanzie di sicurezza informatica, di cui i produttori dovranno tenere conto nella progettazione e produzione dei prodotti interessati».

Ebbene, la protezione della privacy e dei dati personali dei cittadini preverrà rischi di frode monetaria e garantirà una maggiore resilienza delle nostre reti di comunicazione.

Orbene, obiettivo primario è l’accrescimento della sicurezza di tali dispositivi in ogni fase del ciclo produttivo, al fine di potenziarne la sicurezza.

Da tale primario obiettivo ne scaturiscono di altri, più specifici, tra i quali:

  • proteggere la privacy del consumatore attuando nuove misure in caso di accessi non autorizzati o la trasmissione di dati personali;
  • ridurre il rischio di frode monetaria nei pagamenti elettronici, per evitare pagamenti fraudolenti, sviluppando funzioni atte a garantire un più pregnante controllo dell’autenticazione dell’utente;
  • sviluppare funzionalità idonee ad evitare danni alle reti comunicative o l’interruzione delle funzionalità di siti

L’atto delegato analizza, in via preliminare, il contesto da cui origina il bisogno di tali nuove normative.

Tutti i dispositivi menzionati sono sempre più presenti nella quotidianità di ognuno ed accedono, con sempre più frequenza, ad informazioni personali e dati sensibili; per tale ragione, come affermato altresì da Margrethe Vestager, vice presidente esecutivo della Commissione UE, è emersa la volontà di mettere in sicurezza la quasi totalità di prodotti di cui usufruiamo quotidianamente, così da affidare a tali dispositivi numerosi aspetti della nostra vita senza il rischio di attacchi cyber. Un ecosistema digitale è sicuro se sicuri sono tutti i suoi componenti.

Il Commissario per il Mercato Interno, Thierry Breton, ha sottolineato il bisogno di unificare il sistema di sicurezza europeo così pronunciandosi: «con i requisiti che stiamo introducendo oggi miglioreremo notevolmente la sicurezza di un’ampia gamma di prodotti e rafforzeremo la nostra resilienza contro le minacce informatiche, in linea con le nostre ambizioni digitali in Europa. Si tratta di un passo significativo nella creazione di una serie completa di standard europei comuni di sicurezza informatica per i prodotti (compresi gli oggetti connessi) e i servizi portati sul nostro mercato».

Sono numerosi gli “anelli” della catena interessati per garantire che l’intero “ecosistema digitale” rimanga sicuro. Pertanto, risultano coinvolti:

  • i produttori, nella cura della sicurezza nel processo di progettazione dei prodotti;
  • i fornitori di servizi e gli operatori di rete, i quali si occupano della sicurezza delle piattaforme;
  • gli utenti stessi nel dover riconoscere i rischi che comportano le loro azioni nell’uso dei dispositivi;
  • gli stessi Stati membri nello stabilire priorità.

Ursula von der Leyen, Presidente dell’Unione Europea, ha già affermato che tale atto delegato sarà integrato anche da una legge sulla resilienza informatica (Cyber Resilience Act[3]) per mettere sotto protezione sempre più dispositivi nell’arco di tutto il loro ciclo vitale.

La proposta di regolamento resterà in consultazione per una durata di 2 mesi prima dell’ufficiale entrata in vigore; dopodiché le aziende avranno 30 mesi di tempo per adeguarsi alle nuove norme di sicurezza.

L’entrata in vigore effettiva è prevista per la seconda metà del 2024 ed avverrà direttamente senza necessità di trasposizione nella legislazione nazionale.

[1] Il testo integrale della direttiva 2014/53/UE del Parlamento europeo e del Consiglio, del 16 aprile 2014, concernente l’armonizzazione delle legislazioni degli Stati membri relative alla messa a disposizione sul mercato di apparecchiature radio è consultabile in https://eur-lex.europa.eu/legal-content/IT/ALL/?uri=celex:32014L0053.

[2] Tali nuovi requisiti, ha affermato la Commissione Europea, saranno formulati in termini di obiettivi e verrà fatta una richiesta di normazione al fine di armonizzare la normativa a sostegno di tale atto legislativo. Per dimostrare la conformità, tutti i produttori potranno scegliere se affidarsi ad una valutazione ad opera di terzi, e quindi eseguita da un organismo indipendente di ispezione, oppure di auto valutarsi.

[3] L’atto delegato del 29 ottobre scorso sarà, appunto, implementato con una legge sulla resilienza informatica, il Cyber Resilience Act, all’interno della strategia dell’Unione Europea sulla cyber security al fine di prevedere standard comuni europei, insieme alla strutturazione di un polo informativo comune del quinto dominio europeo.