UniverseIT UniverseIT

Radio Equipment Directive (RED): stretta dell’UE per la cybersecurity dei dispositivi connessi

Autore: Massimo Montedoro

Dal 1° agosto 2025, l’accesso al mercato dell’Unione Europea per la maggior parte dei dispositivi wireless e connessi è vincolato al rispetto di nuovi e stringenti requisiti di cybersicurezza. Il Regolamento Delegato (UE) 2022/30, che integra la Direttiva sulle Apparecchiature Radio (RED – Radio Equipment Directive 2014/53/UE), è diventato infatti obbligatorio, imponendo a produttori, importatori e distributori di garantire la security by design, cioè che i loro prodotti siano sicuri fin dalla progettazione.

Un cambiamento che nasce da lontano

La storia inizia nel gennaio 2022, quando il Regolamento Delegato è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 12 gennaio 2022. Ma perché questa urgenza? La risposta risiede nella vulnerabilità crescente del nostro mondo iperconnesso. Router compromessi che diventano botnet, wearable che espongono dati sanitari sensibili, giocattoli smart che si trasformano in finestre aperte sulla privacy dei bambini. Ogni dispositivo connesso rappresenta simultaneamente un’opportunità e un rischio.

La mossa dell’UE mira, infatti, a innalzare il livello di sicurezza di un mercato in rapidissima espansione, che include un’ampia gamma di prodotti di uso quotidiano: dai dispositivi IoT (Internet of Things) e wearable, come smartwatch e fitness tracker, fino a router, baby monitor, elettrodomestici smart e giocattoli connessi. L’obiettivo è proteggere i cittadini europei e le infrastrutture di rete da minacce informatiche sempre più sofisticate.

Chi deve prepararsi? La mappa dei dispositivi coinvolti dalla Radio Equipment Directive

La portata del regolamento è vasta e tocca categorie di prodotti che forse non vi aspettereste:

  • dispositivi capaci di comunicare via Internet: questa categoria abbraccia praticamente tutto ciò che può connettersi alla rete, direttamente o attraverso altri dispositivi. Smartphone, tablet, smart TV, sistemi domotici, telecamere di sorveglianza connesse, persino gli elettrodomestici intelligenti;
  • wearable e dispositivi indossabili: i dispositivi wearable come fitness tracker e cuffie raccolgono, processano e ritrasmettono un vasto numero di dati sensibili degli utenti nel tempo, inclusi posizione, temperatura, pressione sanguigna, frequenza cardiaca. Ogni smartwatch, ogni fitness band diventa soggetto a questi requisiti;
  • giocattoli e prodotti per l’infanzia connessi, una categoria particolarmente sensibile che richiede protezioni aggiuntive per salvaguardare i minori;
  • dispositivi che gestiscono transazioni finanziarie: qualsiasi dispositivo radio che permette trasferimenti di denaro, valore monetario o valute virtuali.

Esistono tuttavia delle eccezioni: i dispositivi già coperti dai Regolamenti CE 2019/21446 (esame di tipo per veicoli), 2018/11397 (aviazione civile) o dalla Direttiva 2019/520 (sistemi di pedaggio elettronico) che hanno requisiti di sicurezza simili non ricadono sotto la nuova regolamentazione RED.

I tre pilastri della sicurezza: cosa richiede veramente la RED

Il Regolamento si concentra su tre aree critiche, definite negli articoli 3.3(d), 3.3(e) e 3.3(f) della direttiva RED.

Articolo 3.3(d): protezione delle reti

Non si tratta solo di proteggere il singolo dispositivo. L’Articolo 3.3(d) migliora la protezione della rete. I produttori dovranno includere funzionalità che evitino di danneggiare le reti di comunicazione e impediscano al dispositivo di interrompere la funzionalità. Pensate a un attacco DDoS lanciato da migliaia di dispositivi IoT compromessi: questo è esattamente ciò che l’articolo intende prevenire.

Articolo 3.3(e): salvaguardia dei dati personali e della privacy

L’Articolo 3.3(e) rafforza la protezione dei dati personali e della privacy. Ad esempio, i produttori dovranno implementare misure per prevenire l’accesso non autorizzato o la trasmissione dei dati personali dei consumatori. Ogni dispositivo dovrà essere progettato con la privacy al centro, non come ripensamento.

Articolo 3.3(f): prevenzione delle frodi

Per i dispositivi che gestiscono transazioni finanziarie o valute virtuali, sono richieste misure specifiche antifrode. Un requisito che diventa sempre più rilevante con la diffusione dei pagamenti contactless e delle criptovalute.

EN 18031: lo standard che traduce i principi in pratica

Come si traducono questi principi in requisiti tecnici concreti? La risposta sta nella serie di standard EN 18031, pubblicata ufficialmente nell’agosto 2024 e armonizzata nel gennaio 2025.

La serie si compone di tre parti interconnesse:

  • EN 18031-1: requisiti di sicurezza per dispositivi radio connessi a Internet
  • EN 18031-2: requisiti per dispositivi che processano dati personali, inclusi wearable, giocattoli e dispositivi per l’infanzia
  • EN 18031-3: requisiti per dispositivi che gestiscono valute virtuali o valore monetario

Ma attenzione: gli standard EN 18031 sono stati armonizzati “con restrizioni” dalla Commissione Europea. Questo significa che in alcuni casi specifici, la conformità agli standard non garantisce automaticamente la presunzione di conformità, e potrebbe essere necessario coinvolgere un Organismo Notificato.

Il percorso verso la conformità alla Radio Equipment Directive

Per produttori, importatori e distributori di dispositivi wireless la scadenza del 1° agosto 2025 ha richiesto azioni immediate per garantire che i prodotti fossero conformi e potessero ottenere la marcatura CE aggiornata. Questi i passaggi principali per il percorso verso la conformità normativa:

  1. verificare la conformità: analizzare i prodotti alla luce dei nuovi requisiti degli articoli 3.3(d), (e) e (f). Per agevolare questo processo, come accennato sono state finalizzate e pubblicati le norme tecniche armonizzate, come la serie EN 18031. Queste norme forniscono le specifiche tecniche dettagliate per dimostrare la presunzione di conformità alla direttiva;
  2. aggiornare il fascicolo tecnico: la documentazione tecnica del prodotto deve essere aggiornata per includere le prove della valutazione dei rischi di cybersicurezza e delle soluzioni implementate. Questo include l’analisi delle minacce (threat model), i test di vulnerabilità eseguiti e le misure di mitigazione adottate;
  3. implementare un processo di gestione delle vulnerabilità: la sicurezza non è un traguardo, ma un processo continuo. Le aziende devono dotarsi di un solido processo di vulnerability handling per identificare, valutare e correggere le vulnerabilità di sicurezza che potrebbero emergere dopo l’immissione del prodotto sul mercato. Questo include la capacità di rilasciare aggiornamenti software di sicurezza in modo tempestivo e sicuro.

Cybersecurity by design: un cambio di paradigma

L’obiettivo deve essere “security by design”. Non si tratta più di aggiungere la sicurezza come strato finale, ma di integrarla fin dalle prime fasi di progettazione. Questo richiede:

  • analisi precoce dei rischi: condurre valutazioni di sicurezza nelle prime fasi del processo di progettazione;
  • implementazione olistica: la cybersicurezza non riguarda solo hardware e software, ma anche policy, procedure di aggiornamento, sistemi di segnalazione vulnerabilità;
  • processo continuo: la sicurezza deve essere mantenuta lungo tutto il ciclo di vita del prodotto.

Oltre la RED: uno sguardo al futuro con il Cyber Resilience Act

Il panorama normativo continua a evolversi. Il Cyber Resilience Act (Regolamento 2024/2847) è una normativa UE che richiede a tutti i prodotti con elementi digitali di soddisfare requisiti orizzontali di cybersicurezza. Mentre la RED si concentra sui dispositivi radio connessi a Internet, il CRA avrà una portata ancora più ampia, coprendo tutti i prodotti con elementi digitali.

Massimo Montedoro
Tutti gli articoli di Massimo Montedoro

Articoli correlati