Il Cyber Resilience Act definisce il contesto, non solo normativo, per spingere i produttori a rafforzare la cybersecurity dei device connessi.

Annunciato nel 2021, il Cyber Resilience Act è la proposta di legge europea che introduce nuovi requisiti per la produzione di device connessi. L’obiettivo finale è responsabilizzare i produttori al fine di avere sul mercato esclusivamente prodotti tecnologici progettati seguendo elevati standard di sicurezza.

I prodotti su cui ricade l’Atto sono i più vari: PC, laptop, smartphone, software, dispositivi wireless, assistenti vocali, smart tv, sistemi di videosorveglianza, automobili con autopilot, tutto il mondo della domotica e dell’IoT, l’Internet of Things.

Il contesto da cui nasce il Cyber Resilience Act

La proposta di legge della Commissione Europea sulla cyber resilienza deriva dalla constatazione di due problemi.

Il primo è la maggiore esposizione di cittadini e imprese agli attacchi informatici dovuta al crescente utilizzo di device connessi. Questo maggiore rischio dipende da due fatti legati tra loro:

l’aumento generale dei cyber attacchi.
Secondo il Rapporto Clusit 2022, durante il 2021 gli attacchi a livello mondiale sono aumentati del 10% rispetto all’anno precedente. Inoltre, gli attacchi non solo sono cresciuti in quantità, ma anche in qualità e severità dell’impatto;

– la presenza sul mercato di prodotti con vulnerabilità che i cyber criminali possono sfruttare.

Il secondo problema è la scarsa consapevolezza degli utenti in materia di cybersicurezza, che deriva da un’insufficiente accesso alle informazioni sui prodotti che permetterebbero loro di scegliere quelli più protetti o di utilizzarli in modo sicuro.

Nel caso in cui un cyber criminale fosse in grado di prendere il controllo di un dispositivo o di installarvi malware, le conseguenze potrebbero essere innumerevoli: furto di dati personali e aziendali, interruzione di servizi, intercettazione di conversazioni, danni fisici a cose e persone, danni reputazioni, e molto altro. 

Con il Cyber Resilience Act, l’Europa vuole dare una risposta alle nuove sfide in materia di cybersicurezza, privacy e protezione dei dati, mettendo in capo ai produttori la responsabilità della tutela dei consumatori.

I rischi principali

Vediamo più nel dettaglio alcune delle mancanze che attanagliano i device connessi:

– Vulnerabilità dell’IoT e dei sistemi basati sull’Intelligenza Artificiale

I dispositivi IoT espongono i consumatori a rischi informatici per diversi motivi. Il primo è l’uso di password deboli, che i cybercriminali possono facilmente compromettere. Tuttavia, la loro attività è facilitata anche dai device stessi che, spesso, mancano di un hardening, ovvero una configurazione software ma anche hardware che minimizzi l’impatto di eventuali azioni malevoli.

Inoltre, spesso i device IoT non possiedono sistemi sicuri di archiviazione e trasferimento dei dati, né queste attività vengono monitorate. La conseguenza è duplice: nuove opportunità per i cyber criminali e incapacità di identificare e affrontare le aggressioni. Anche i device basati sull’AI sono soggetti alle medesime minacce, con, in più, una maggiore difficoltà nell’individuare eventuali compromissioni.

– Reti non sicure

Per i cybercriminali è facile “bucare” le reti sprovviste di sistemi di sicurezza o dotate di scarsa protezione. In particolare, le reti non sicure sono soggette agli attacchi man-in-the-middle, durante i quali i cybercriminali si inseriscono nella comunicazione tra due parti al fine di estorcere informazioni o credenziali di accesso ad account e dispositivi.

Le soluzioni del Cyber Resilience Act

Con il Cyber Resilience Act l’Europa vuole creare le condizioni:

  • per lo sviluppo di prodotti hardware e software sicuri, spingendo i produttori a rendere la cybersecurity un elemento primario di tutto il ciclo di vita di un prodotto;
  • che permettano ai consumatori di considerare la sicurezza informatica sia nella scelta che nell’utilizzo di device connessi.

Per questo, l’Atto identifica quattro obiettivi specifici:

  • garantire che i produttori migliorino la sicurezza dei prodotti sin dalla fase di progettazione;
  • costituire un quadro di sicurezza informatica coerente all’interno dell’Unione Europea, facilitando la conformità dei prodotti hardware e software;
  • migliorare la trasparenza sulle condizioni di sicurezza dei device a favore degli utenti.

Come garantire la sicurezza dei device

Vi sono due paradigmi di sicurezza che permettono ai produttori di immettere sul mercato device più sicuri: security-by-design e security-by-default.

Con security-by-design si intende la progettazione di device che fin dalla prima fase rispetti requisiti per limitare le vulnerabilità informatiche. In parole semplici, i prodotti sono creati mettendo la cybersecurity al centro del loro sviluppo.

Invece, la security-by-default prevede che la configurazione predefinita dei device sia già settata sulle impostazioni più sicure possibili, anche se queste non sono le più intuitive. Oggi, al contrario, la configurazione è generalmente impostata sui i livelli più bassi (pensiamo alla tipica password di default 1111), il problema è che molti utenti non modificano mai queste impostazioni deboli.

Le sanzioni previste dalla proposta di legge sulla cyber resilienza

Dunque, la proposta della Commissione Europea prevede che i produttori rispettino determinati standard per commercializzare i propri device in UE. Tuttavia, cosa succede se questi non si adeguano?

Il Cyber Resilience Act prevede sia sanzioni pecuniarie che il ritiro del prodotto dal mercato. Le multe variano in base al tipo di violazione:

  • 10 milioni di euro, o il 2% delle vendite annuali, per violazioni meno gravi;
  • 15 milioni di euro, oppure il 2,5% del fatturato annuo globale dell’azienda, per violazioni più gravi;
  • 5 milioni di euro, o fino all’1% del fatturato annuo, nel caso in cui il produttore dovesse fornire informazioni errate o incomplete.

Per valutare la conformità dei dispositivi presenti sul mercato, la Commissione Europea può incaricare i singoli stati membri o l’Agenzia dell’Unione Europea per la Cybersicurezza (ENISA) di svolgere indagini.