Approvato dalla Commissione europea un provvedimento sulla sicurezza dei dispositivi senza fili
La Commissione europea ha previsto con un provvedimento del 29 ottobre nuove misure per aumentare la cybersicurezza dei dispositivi senza fili disponibili sul mercato europeo. Poiché i telefoni cellulari, gli smartwatch, i fitness tracker ed i giocattoli senza fili sono sempre più presenti nella nostra vita quotidiana, le minacce informatiche rappresentano ormai un rischio crescente per tutti i consumatori. L'atto delegato emanato dalla Commissione relativo alla direttiva sulle apparecchiature radio mira, quindi, a garantire la sicurezza di tutti i dispositivi senza fili venduti sul mercato dell'UE.
(Nella foto: Michele Iaselli, Coordinatore del Comitato Scientifico di Federprivacy)
Queste nuove misure di sicurezza dovranno essere rispettate da tutti i produttori già al momento della progettazione e successiva distribuzione dei prodotti interessati nel rispetto dei principi generali del GDPR.
Le nuove misure contribuiranno a:
- aumentare la resilienza della rete: i dispositivi e i prodotti senza fili dovranno incorporare caratteristiche che permettano di prevenire danni alle reti di comunicazione e di prevenire un utilizzo volto ad alterare la funzionalità di siti web o di altri servizi;
- proteggere meglio la privacy dei consumatori: i dispositivi e i prodotti senza fili dovranno avere caratteristiche tali da garantire la protezione dei dati personali. La tutela dei diritti dei minori diventerà un elemento essenziale di tale legislazione;
- prevenire o ridurre al minimo i rischi di frode finanziaria con riferimento a tali tipologie di prodotti. Ad esempio, garantire un migliore controllo dell'autenticazione dell'utente al fine di evitare pagamenti fraudolenti.
L'atto delegato, che assume la forma di regolamento, entrerà in vigore dopo un periodo di controllo di due mesi, a condizione che il Consiglio e il Parlamento non sollevino obiezioni. A seguito dell'entrata in vigore, i fabbricanti disporranno di un periodo transitorio di 30 mesi per iniziare a conformarsi alle nuove prescrizioni. In questo modo il settore disporrà del tempo sufficiente per adattare i prodotti in questione prima dell'entrata in vigore delle nuove prescrizioni, prevista per la metà del 2024.
L'atto delegato impone requisiti essenziali, formulati in termini generali come obiettivi da raggiungere, ritenuti necessari per garantire un adeguato livello di sicurezza informatica, protezione dei dati personali e riservatezza. I produttori avranno la possibilità di scegliere le soluzioni tecniche specifiche per l'attuazione di questi obiettivi.
La Commissione avvierà una richiesta di normazione agli organismi europei competenti in tale settore al fine di sviluppare norme armonizzate a sostegno di questo atto legislativo. Gli standard saranno sviluppati con la partecipazione dell'industria e saranno valutati dalla Commissione rispetto ai requisiti essenziali stabiliti dal quadro giuridico dell'UE. Una volta stabilito che le soluzioni tecniche specifiche descritte in tali norme sono conformi ai requisiti giuridici applicabili, tali norme possono fornire una presunzione di conformità all'atto delegato.
Concretamente, ciò implicherebbe che per beneficiare della presunzione che il loro prodotto sia conforme ai requisiti legali applicabili, i produttori devono adottare una determinata soluzione tecnica descritta in una norma armonizzata.
I fabbricanti, quando eseguono le procedure di valutazione della conformità prima di immettere i loro prodotti sul mercato dell'UE, potranno scegliere tra due possibilità:
- Eseguire un'autovalutazione, quando il loro prodotto è stato progettato in conformità con gli standard armonizzati.
- Fare affidamento su una valutazione di terze parti eseguita da un organismo di ispezione indipendente, indipendentemente dal fatto che sia stata utilizzata o meno una norma armonizzata.
L'atto delegato è applicabile non solo all'industria europea, ma a qualsiasi produttore che intenda immettere un prodotto sul mercato dell'UE.
Lo stesso provvedimento sarà integrato da una legge sulla cyber resilienza, recentemente annunciata dalla presidente Von der Leyen nel discorso sullo stato dell'Unione , che si applicherà ad un maggior numero di prodotti, tenendo conto del loro intero ciclo di vita. La proposta, così come la futura legge sulla cyber resilienza, fanno seguito alle azioni annunciate nella nuova strategia dell'Unione europea per la cybersicurezza presentata a dicembre 2020.
Ormai i dispositivi senza fili sono diventati un elemento chiave della vita dei cittadini: accedono alle nostre informazioni personali e si avvalgono delle reti di comunicazione. Inoltre la pandemia di COVID-19 ha incrementato notevolmente l'uso di apparecchiature radio per scopi professionali o personali.
In particolare, la normativa si applica alle seguenti apparecchiature:
- Dispositivi in grado di comunicare via Internet: Esempi di tali apparecchiature includono dispositivi elettronici come smartphone, tablet, dispositivi elettronici, fotocamere; apparecchiature di telecomunicazione e apparecchiature che costituiscono l'"Internet delle cose". A causa della sicurezza insufficiente, tali dispositivi presentano il rischio che terze parti possano accedere e condividere in modo improprio i dati personali, anche a fini di frode, o che tali apparecchiature vengano utilizzate in modo improprio per danneggiare la rete.
- Giocattoli e attrezzature per l'infanzia: i giocattoli e i baby monitor possono essere vulnerabili alle minacce alla sicurezza informatica che monitorano o raccolgono informazioni sui bambini. Pertanto, la tutela dei diritti dei bambini costituisce un elemento essenziale di tale normativa.
- Wearables: dispositivi come smartwatch e fitness tracker sono sempre più presenti nelle nostre vite e raccolgono dati biometrici.
