Cyber Resilience Act: lettura critica del nuovo Regolamento europeo sulla sicurezza degli oggetti digitali

Secondo uno studio realizzato da Netgear e Bitdefender, società specializzate nella sicurezza informatica, gli oggetti connessi a Internet ricevono una media di 10 attacchi ogni 24 ore. Videocamere, baby monitor, serrature connesse, router e smart tv sono oggetto di continui tentativi di violazione e manomissione - spesso nella completa inconsapevolezza dei loro utilizzatori - con conseguenze potenzialmente gravi per la privacy, la sicurezza, l'incolumità di persone e abitazioni, come ho ricostruito nel primo capitolo del mio libro “L’uomo senza proprietà | Chi possiede veramente gli oggetti digitali?”.

Di fronte a numeri di questo tipo, è lecito stupirsi del fatto che il primo regolamento comunitario sui requisiti di sicurezza minimi degli oggetti connessi alla Rete troverà piena applicazione non prima dell'11 dicembre 2027, a distanza di più di tre anni dalla sua pubblicazione sulla Gazzetta Ufficiale dell'Unione Europea. In un contesto dove gli oggetti connessi venduti sul mercato unico sono nell’ordine delle centinaia di milioni, di cui 140 milioni solo in Italia (secondo i dati del Politecnico di Milano), il Regolamento UE 2024/2847 - conosciuto come Cyber Resilience Act, o “CRA” - resterà purtroppo allo stato di promessa ancora per tre, lunghissimi anni di attesa.

Un Regolamento che arriva con qualche anno di ritardo rispetto allo sviluppo del mercato, e che troverà piena applicazione solo l’11/12/2027

Queste tempistiche stupiscono, tuttavia, solo i non addetti ai lavori: per i legislatori europei evidentemente oltre mille giorni sono un tempo adeguato a far sì che gli Stati, i fabbricanti, le autorità di vigilanza e di verifica della conformità possano prepararsi all'entrata in applicazione delle nuove norme, nella tacita speranza che in questo triennio i 71 articoli del regolamento non diventeranno - nel frattempo - obsoleti, superati dall'evoluzione tecnologica, dal mutato contesto geopolitico e dai suoi effetti sulla sicurezza e le caratteristiche dei prodotti digitali.

L'applicazione concreta del Cyber Resilience Act avverrà in ritardo, e non avrà neppure effetto retroattivo. Secondo l’articolo 69, infatti, i prodotti digitali esistenti che non verranno modificati in maniera "sostanziale" dopo la scadenza del 2027 potranno continuare a essere venduti e utilizzati senza sottostare ai requisiti previsti, ma solo all'obbligo di notifica in caso di scoperta di nuove vulnerabilità informatiche. Dopo quella data, potremo quindi avere in circolazione prodotti conformi e non, in attesa che questi ultimi vengano ritirati dal commercio pur continuando a essere utilizzati dai consumatori fino all’esaurimento completo della loro vita utile.

Le nuove tutele per i consumatori e gli obblighi per fabbricanti di oggetti digitali di assicurare gli aggiornamenti di sicurezza per almeno cinque anni dalla vendita

Queste incongruenze non devono, tuttavia, far trascurare la portata delle innovazioni introdotte dal Regolamento 2024/2847. Per la prima volta viene stabilito per legge – come si legge nell’"articolo 13 sugli Obblighi dei fabbricanti - che gli oggetti digitali dovranno ricevere aggiornamenti di sicurezza per almeno cinque anni, che la data finale del periodo di aggiornamento dovrà essere comunicata in maniera esplicita al momento dell'acquisto, che gli aggiornamenti dovranno essere garantiti per l'ultima versione compatibile del software e che i fabbricanti dovranno fornire un punto di contatto unico con i clienti, presidiato da operatori umani.

L'allegato I del Regolamento, in particolare, chiarisce come i prodotti ritenuti conformi - e che per questo motivo potranno essere venduti con marcatura “CE” - saranno solo quelli che installeranno gli aggiornamenti di sicurezza in maniera automatica (salvo una disattivazione a piacere da parte del consumatore), che segnaleranno eventuali accessi non autorizzati agli account di controllo degli oggetti e dove sarà sempre possibile rimuovere in modo "sicuro e agevole" tutti i dati personali, segnando un punto a favore nell'esercizio dei diritti previsti dal GDPR. In caso di fallimento dei produttori/fabbricanti, i venditori/distributori di oggetti digitali saranno tenuti ad avvisare i consumatori del venir meno degli aggiornamenti sui prodotti acquistati.

Il superamento della fiducia nella responsabilizzazione dei produttori e i nuovi controlli “a tappeto” che l’articolo 60 autorizza a compiere

I vantaggi per i consumatori introdotti dal Regolamento non finiscono qui, ma è importante notare come le categorie di prodotti considerati più o meno sicuri, più o meno “critici” di altri verranno definite solo nel corso del tempo (e che alcuni oggetti digitali, come quelli utilizzati in ambito militare, saranno sempre esclusi dall'applicazione delle nuove norme). Una flessibilità che, se ad alcuni può apparire eccessiva poiché fornisce alle autorità un potere di veto sulla commercializzazione di nuovi prodotti, appare funzionale in una prospettiva di "salvaguardia" futura nei confronti dell'uso distorto che governi o aziende di altri Stati possono fare degli oggetti digitali per colpire i cittadini europei.

Il Cyber Resilience Act può essere letto, in questo senso, sia come un passo tardivo ma necessario per stabilire un livello minimo di fiducia nel mercato unico dei prodotti connessi a Internet - grazie all’apposizione della marcatura “CE” su quelli conformi al regolamento - sia come uno strumento di pressione “politica” su Paesi terzi e aziende multinazionali che non si conformeranno ai suoi requisiti, fornendo alla Commissione e alle autorità nazionali degli Stati europei il potere di esaminare, sanzionare e ritirare dal mercato qualsiasi oggetto connesso e che potrebbe costituire una minaccia per i diritti dei cittadini dell’Unione.

Rispetto ad altri regolamenti promulgati nel corso degli ultimi anni (come il Digital Services Act o lo stesso GDPR) che avrebbero dovuto garantire una maggiore sicurezza degli spazi digitali facendo leva sulla responsabilizzazione delle aziende, le segnalazioni volontarie delle irregolarità da parte dei cittadini e il potere dissuasivo delle sanzioni verso i violatori delle norme, il Cyber Resilience Act sembra inaugurare inoltre una nuova stagione fatta di controlli più capillari, frequenti e incisivi sui prodotti ritenuti maggiormente a rischio.

L’articolo 60, infatti, fornisce alle Autorità nazionali e alla Commissione il potere di compiere delle indagini “a tappeto” su determinate categorie di oggetti digitali, anche attraverso un acquisto di prova sotto la copertura dell'anonimato. Una conseguenza, probabilmente, del fatto che troppi dubbi sono andati sedimentandosi nel corso degli ultimi anni sull'efficacia degli impianti sanzionatori nel prevenire gli abusi più gravi: detto in altri termini, i 15 milioni di euro e il 2,5% del fatturato globale di massimale delle sanzioni previste dal "CRA" appaiono fin d'ora insufficienti nei confronti di aziende o potenze straniere interessate a servirsi degli oggetti digitali per minacciare la sicurezza dei cittadini dell'Unione.

La frammentazione delle Autorità di controllo e la scarsa educazione digitale tra gli elementi di maggiore dubbio

Per chi ha già letto il mio libro "L'uomo senza proprietà", il Cyber Resilience Act sembra essere sulla carta la migliore risposta possibile a molte delle casistiche di vulnerabilità degli oggetti digitali, documentate più volte nel corso degli ultimi anni. Resta, tuttavia, il forte dubbio che l'applicazione del Regolamento possa scontrarsi con i limiti con cui hanno dovuto scontrarsi negli ultimi anni altre norme che hanno cercato di porre un limite agli abusi commessi tramite la Rete, salvo poi tradursi in un onere non indifferente per consumatori e imprese e inadeguati a prevenire per tempo gli abusi di maggior gravità.

Non aiuta, neppure in questo caso, la persistente frammentazione delle autorità di vigilanza su base nazionale, le differenti risorse e competenze di cui queste ultime potranno essere dotate (secondo quanto si legge nell’articolo 35), l'accentramento dei poteri di controllo e coordinamento in una Commissione già gravata da altri compiti di supervisione del mercato unico , uniti a una scarsa conoscenza dei più basilari principi di cybersicurezza da parte della maggioranza dei cittadini europei. Elementi che pongono un grosso punto interrogativo sulle concrete possibilità di migliorare la sicurezza dei prodotti digitali senza fare distinzioni – a livello di leggi - tra prodotti “made in Europe” e prodotti “made Elsewhere”, tra prodotti destinati al mercato dei consumatori e quelli destinati al mercato delle aziende, e che non troverà risposta prima di tre anni almeno.

Letture consigliate per approfondire:

• Andrea Michinelli e Michele Pellerzi, Cyber Resilience Act, cosa cambia per la sicurezza dei prodotti digitali e IoT (CyberSecurity 360) sul tema dell'esclusione dei pezzi di ricambio e di determinate categorie di prodotti dall'applicabilità del Regolamento, sui punti di contatto e intersezione con l'AI Act, il Data Governance Act, il Data Act e la Direttiva NIS2
• Anna Maria Mandalari, Cyber Resilience Act: strategie di sicurezza digitale in Europa (Agenda Digitale) sulle difficoltà di implementazione del nuovo regolamento dal punto di vista degli sviluppatori di software, i limiti degli attuali metodi di verifica della sicurezza dei prodotti, i rischi per la sostenibilità economica dei processi di adeguamento da parte delle PMI
• Marta Abbà, Perché per l'open source le nuove regole europee sulla cybersecurity sono un bel rompicampo (Wired) sulle criticità del rapporto tra gli estensori del regolamento e il mondo del software open source, e la necessità di prevedere un sostegno anche di tipo finanziario a chi opera nell'ambito del software libero

Altre notizie da conoscere dal mondo degli oggetti digitali per approfondire, per tutelarsi, per chiedere che venga fatta chiarezza:

• Molti dati richiesti, forse troppi. Alcune friggitrici, aspirapolveri, frigoriferi e altri oggetti connessi alla Rete hanno bisogno di molti dati, forse troppi, per poter funzionare, come si legge in un report di Which?, la rivista britannica dedicata ai consumatori, (Fonte: Login)
• Non tutti sono "proprietari" allo stesso livello, e finalmente anche Google se n'è accorta. Le nuove versioni di Google Home offriranno la possibilità di definire diversi livelli di autorizzazione nell'utilizzo degli oggetti connessi della smart home, distinguendo tra "Admin" e "Member" (Punto Informatico)
• Lo sapevi? Temu, una delle app più scaricate al mondo, potrebbe essere stata programmata per modificare le proprie funzionalità e contenuti senza aggiornamenti tramite App Store e per inviare dati potenzialmente critici in maniera nascosta, secondo una ricerca di Ntc, l'Istituto Nazionale di Test per la Cybersicurezza svizzero. Ma il 2027 è ancora lontano (Login)
• Le criticità del Data Privacy Framework e l'assenza di controlli sul comportamento delle aziende statunitensi nelle modalità di trattamento dei dati personali estratti dagli utenti europei e trasferiti oltreoceano. Timori, ben riassunti da Guido Scorza su Startupitalia, ai quali potrebbero aggiungersene altri in occasione della nuova presidenza Trump, e che potrebbero incentivare un maggiore "sovranismo digitale" europeo. A quale prezzo?

Lo sapevi? "L'uomo senza proprietà" è anche su podcast: ascolta la puntata "Voci d'Autore" di Egea dedicata al libro e per capire come cambia, irreversibilmente, il rapporto tra le persone e le cose mediato dalla tecnologia.

Arrivederci al 2025 con nuovi contenuti e appuntamenti!