Negli ultimi anni, la Commissione Europea, unitamente alle autorità nazionali impegnate su tale fronte, ha messo in luce numerose criticità emerse in seguito all’analisi del funzionamento dei dispositivi wireless, con significative ripercussioni sul piano della protezione e della riservatezza dei dati personali. Per questa ragione, l’istituzione europea ha predisposto un piano di attività con l’obiettivo di introdurre regole stringenti riguardanti specificamente il settore della cybersecurity, indirizzate ai produttori di dispositivi wireless operanti all’interno del Mercato Unico Europeo, a prescindere dalla circostanza che abbiano sede anche al di fuori del territorio dell’Unione.
L’atto delegato del 29 ottobre
Lo scorso 29 ottobre, la Commissione Europea ha adottato l’atto delegato alla Direttiva sulle apparecchiature radio 2014/53/EU (RED) prevedendo nuove prescrizioni in materia di cybersicurezza applicabili ai dispositivi in grado di sfruttare la rete Internet per consentire le comunicazioni. Le misure proposte riguarderanno dispositivi wireless quali i telefoni cellulari, i tablet, i giocattoli e le attrezzature per l’infanzia e i wereables come smartwatch e fitness tracker, mentre sono esclusi dall’ambito di applicazione i veicoli a motore, i sistemi di pedaggio stradale elettronico e le apparecchiature per il controllo da remoto di aeromobili senza equipaggio in quanto – come asserito dall’istituzione europea – la sicurezza informatica di questi dispositivi è già adeguatamente garantita sulla base dell’esistente normativa europea.
L’atto delegato assumerà la forma di Regolamento europeo, di conseguenza diverrà direttamente applicabile all’interno degli Stati membri ed entrerà in vigore successivamente al trascorrere di un periodo di due mesi senza che Parlamento e Consiglio abbiano sollevato obiezioni; è, inoltre, stabilito un periodo transitorio di 30 mesi finalizzati a consentire ai produttori di conformarsi alle nuove prescrizioni.
Gli obiettivi posti a fondamento dell’atto delegato
Le nuove misure di sicurezza contenute nell’atto in esame dovranno essere rispettate fin dalla progettazione dei prodotti nel rispetto del principio generale di privacy by design e di privacy by default di cui all’art. 25 del GDPR e contribuiranno, nel complesso, a:
- aumentare la resilienza della rete con l’incorporazione, nei nuovi dispositivi, di caratteristiche idonee a prevenire danni alle reti di comunicazione e ad impedire un utilizzo che possa alterare la funzionalità dei siti web;
- proteggere la privacy degli utenti, specie ove venga posto in essere un trattamento di dati personali riferibili a soggetti minori di età;
- ridurre al minimo i rischi di frode finanziaria attraverso la predisposizione di processi di autenticazione degli utenti sempre più efficienti e sicuri finalizzati ad evitare pagamenti fraudolenti.
Tale provvedimento sarà, in ogni caso, integrato da una legge specifica che riguarderà la materia della cybersicurezza e della cyber resilienza che si colloca, a sua volta, nel contesto dei progetti annunciati a dicembre 2020 nella nuova strategia dell'Unione europea per la cybersicurezza.
Avv. Rossella Bucca e Dott. Lorenzo Pinci
