Le nuove regole sulla sicurezza dei prodotti: ecco le ricadute per il digitale, inclusa l’AI

La “tempesta” di innovazioni normative europee è tutt’altro che placata. Il 13 dicembre 2024 (tranne per ambiti già regolati da altre norme settoriali, come gli alimenti), pur in vigore da maggio 2023, è applicabile in tutti gli Stati membri dell’Unione Europea il Regolamento (UE) 2023/988, noto come General Product Safety Regulation (GPSR). Che sostituisce e abroga la precedente Direttiva 2001/95/CE sulla sicurezza generale dei prodotti (recepita localmente nel nostro Codice del Consumo) oltre che la direttiva Direttiva 87/357/CEE sull’aspetto dei prodotti. Perché questa innovazione abbia importanti ricadute sugli ambiti cyber security e digitali in genere è il tema di questo contributo.

Partiamo da considerazioni generali: il nuovo Regolamento vuole introdurre standard più rigorosi per affrontare le trasformazioni tecnologiche e le dinamiche del mercato digitale e delle vendite online, garantendo una maggiore tutela della sicurezza (fisica e non) consumatori europei. Il tema è quello della “safety”, cioè della sicurezza “orizzontale” dei prodotti, che va improntata al principio di precauzione. Venduti online o meno, il canale di vendita è indifferente, ma alcune delle maggiori innovazioni toccano l’e-commerce e il digitale.

Questa revisione si è resa necessaria prevalentemente a causa degli sviluppi connessi alle nuove tecnologie, proprio per tutelare i consumatori dai rischi finora trascurati della digitalizzazione e del commercio online. Per meglio dire, alcune normative trattano alcuni di questi aspetti ma non in maniera completa e mirata (pensiamo per es. al tema degli update di software per la sicurezza), richiedendo una norma-cerniera a completare le tutele richieste dai nuovi prodotti.

Il tema è considerato talmente importante, come si può notare, da essere passati da una Direttiva a un Regolamento, dunque con un impatto che si vorrebbe uniforme.

I prodotti dovranno essere valutati non solo in base ai rischi legati al loro uso previsto ma anche considerando eventuali pericoli derivanti dall’utilizzo delle nuove tecnologie in essi integrate (software e hardware, intelligenza artificiale inclusa).

Di seguito si può vedere uno schema dalla valutazione di impatto precedente al Regolamento, utile per capire la ratio dell’innovazione normativa.

Segnaliamo un altro dato importante, a premessa: non sussistono eccezioni applicative per le PMI, solo alcune facilitazioni (come orientamenti ad hoc della Commissione, ancora in fieri) e un vago richiamo al principio di proporzionalità.

Tanto più importante se pensiamo alle sanzioni: in attesa della normativa italiana di attuazione dell’art. 44 del Regolamento, rimangono vigenti le sanzioni previste dal Codice del consumo attinenti agli obblighi da questo prescritti (sanzioni penali e civili, per es. per i produttori la violazione delle disposizioni relative agli obblighi di sicurezza, informazione e collaborazione con le autorità è soggetto a una sanzione amministrativa pecuniaria da 1.500 a 30.000 euro).

“Prodotto” in senso esteso

Il Regolamento si applica a tutti i “prodotti” immessi sul mercato UE, (inclusi quelli usati, ricondizionati o riparati), sia che vengano venduti attraverso negozi fisici, sia che vengano venduti attraverso la vendita online. A condizione che non vi siano disposizioni specifiche con lo stesso obiettivo previste dal diritto dell’UE che regolano la sicurezza dei prodotti in questione.

Si applica pertanto a qualsiasi “articolo”, interconnesso o meno ad altri articoli, fornito o reso disponibile a titolo oneroso o gratuito, – anche nel quadro di una prestazione di servizi – ai consumatori o suscettibile, in condizioni ragionevolmente prevedibili, di essere utilizzato dai consumatori. Quindi un “prodotto” non è limitato a un oggetto fisico ma può includere prodotti digitali, come un software.

Si badi che il Regolamento, però, non si applica ai software venduti o distribuiti come prodotti puramente digitali, come per es. un software di elaborazione testi o un videogioco scaricato da internet. Lo è invece un software integrato in uno smartphone, in un’automobile o in un giocattolo. Oltre al software che – venduto separatamente, standalone – potrebbe essere soggetto al Regolamento se può influenzare la sicurezza di un prodotto fisico.

Detto ciò, la valutazione della sicurezza di un prodotto dovrebbe tenere conto dei rischi per la salute posti dai prodotti digitalmente connessi, anche per quanto riguarda i rischi per la salute mentale dei consumatori. Ciò suggerisce che il Regolamento consideri esplicitamente i prodotti digitali come parte del suo campo di applicazione.

Non solo: è il Mimit stesso a precisare nelle sue FAQ sulla nuova regolazione che il regolamento si applica anche a prodotti utilizzabili sia da professionisti che (se ragionevolmente prevedibile) consumatori. La mera dicitura “per uso professionale” non è di per sé sufficiente a esimere dall’applicazione del Regolamento.

Il nuovo “prodotto sicuro”

Il testo ridefinisce e amplia la nozione di “prodotto sicuro” per la salute e la sicurezza dei consumatori, introducendo criteri di valutazione più rigorosi. Ricordiamo che i danni coperti dalla normativa non comprendono quelli alle cose, salvo che non siano collegati alla sicurezza o saluta della persona consumatore.

La sicurezza, a seconda dei casi, potrebbe non essere assoluta ma presentare un rischio “accettabile”. La precedente Direttiva stabiliva che la sicurezza del prodotto dovesse tenere in considerazione le sue caratteristiche, il suo imballaggio, il suo effetto su altri prodotti, la sua presentazione, la sua etichettatura e le categorie di consumatori.

Con il nuovo Regolamento, tali criteri vengono integrati e ampliati per includere rischi legati alle nuove tecnologie e all’intero ciclo di vita del prodotto, includendo la security nella safety. Ad esempio, dispositivi connessi o prodotti digitalmente avanzati, per essere sicuri, devono essere esaminati quanto ai rischi legati alla cybersicurezza – come il rischio di attacco hacker.

Nello studio sull’impatto del progetto di Regolamento, si menziona l’esempio di un’auto, notificata nel Safety Gate/RAPEX, la cui radio connessa potrebbe aver presentato alcune vulnerabilità di sicurezza software che consentivano l’accesso non autorizzato ai sistemi di controllo interconnessi del veicolo. Se queste vulnerabilità di sicurezza software fossero state sfruttate da terzi per scopi dannosi, si sarebbe potuto verificare un incidente stradale.

Un altro esempio riguarda la sicurezza personale che può essere messa in pericolo dall’accesso di terze parti alle loro informazioni: un altro caso segnalato riguardava uno smartwatch per bambini. In assenza di un livello minimo di sicurezza, potrebbe essere facilmente utilizzato come strumento potenziale, da parte di chiunque, per accedere alla posizione del bambino.

Il Regolamento introduce dunque l’obbligo di progettare tali prodotti secondo il principio di sicurezza (security) by design, e che prevede l’integrazione della sicurezza sin dalle prime fasi di sviluppo del prodotto. Questo include, implicitamente, la protezione dei dati personali eventualmente coinvolti nell’uso del prodotto.

La sicurezza deve inoltre essere garantita durante l’uso del prodotto, tenendo conto di aggiornamenti software, manutenzione e altri fattori che possano influire sulla sicurezza nel tempo. In aggiunta ai tradizionali rischi fisici e meccanici.

Il Regolamento richiede, inoltre, che la documentazione sulla sicurezza sia costantemente aggiornata per riflettere eventuali variazioni nei rischi, come nuovi protocolli di sicurezza o aggiornamenti software.

Nello specifico, l’art. 6 richiede che vengano presi in considerazione tra l’altro:

1. le interazioni con altri prodotti; il testo non menziona esplicitamente la sicurezza dei beni in relazione ai prodotti di consumo, tuttavia, la valutazione della sicurezza del prodotto deve tenere conto dell’effetto del prodotto su altri prodotti se è ragionevolmente prevedibile che verrà utilizzato con altri prodotti;
2. l’etichettatura sull’idoneità all’età, le eventuali avvertenze e istruzioni per l’uso e lo smaltimento sicuri nonché qualsiasi altra indicazione o informazione relativa al prodotto;
3. le categorie di consumatori che utilizzano il prodotto, in particolare valutando i rischi per i consumatori vulnerabili – come i bambini, gli anziani e le persone con disabilità – nonché l’impatto delle differenze di genere sulla salute e la sicurezza;
4. l’aspetto del prodotto, quando può indurre i consumatori a utilizzarlo in modo diverso da quello per cui è stato progettato;
5. gli aspetti legati alla cyber security, la protezione da attacchi esterni che possano incidere sul prodotto, la possibile perdita di interconnessione.

Va segnalato che sussistono possibili presunzioni di sicurezza, se si è conformi a normative esistenti in ambito di marcatura eccetera.

Sul punto della cybersicurezza, più precisamente il Regolamento richiede che i prodotti siano dotati di adeguate caratteristiche per proteggerli da influenze esterne, compresi i terzi malintenzionati. Queste influenze, se non mitigate, potrebbero compromettere la sicurezza del prodotto e causare danni agli utenti, “se tale influenza potrebbe avere un impatto sulla sicurezza del prodotto, compresa la possibile perdita di interconnessione”.

Questo significa che i fabbricanti devono valutare i rischi di cibersicurezza specifici per i loro prodotti e adottare le misure necessarie per mitigarli, garantendo che i prodotti siano sufficientemente protetti.

Obblighi principali degli operatori nella supply chain

Il Regolamento in parola coinvolge tutti gli attori della catena di fornitura, dai produttori agli importatori, dai distributori alle piattaforme di vendita online. Introduce una profonda revisione normativa, adeguando le regole esistenti alle dinamiche dei mercati digitali e alla crescente diffusione di prodotti tecnologici, vendite a distanza, marketplace ed e-commerce.

Il legislatore europeo punta a una maggiore responsabilizzazione di tutti gli operatori economici, che assumono un ruolo attivo non solo nel processo economico, ma anche in quello di compliance, con l’obiettivo di garantire una maggiore tutela dei consumatori.

I fabbricanti (come quelli che appongono il proprio marchio sul prodotto) sono i primi responsabili della sicurezza dei prodotti e devono rispettare diversi obblighi specifici, tra cui:

1. analisi dei rischi: effettuare un’analisi dei rischi legati al prodotto prima dell’immissione sul mercato, effettuando test di conformità, anche tramite terzi qualificati;
2. documentazione tecnica: predisporre e conservare per un periodo di almeno 10 anni tutta la documentazione tecnica necessaria per attestare la conformità del prodotto alle norme di sicurezza UE;
3. tracciabilità dei prodotti: fornire informazioni identificative del prodotto e del fabbricante (sul prodotto, sull’imballaggio o su documenti accompagnatori) tramite mezzi tradizionali o digitali, come QR code, includendo istruzioni e avvertenze sulla sicurezza (in una lingua comprensibile ai consumatori dello Stato membro in cui il prodotto è distribuito);
4. canali di comunicazione: garantire ai consumatori un accesso semplice a canali per presentare reclami o segnalare problemi di sicurezza, come numeri di telefono, indirizzi e-mail o sezioni dedicate sul sito web.

Gli importatori che introducono prodotti nell’Unione Europea devono d’altro canto:

1. informazioni identificative del prodotto, delle istruzioni e delle avvertenze sulla sicurezza.

In caso di prodotti pericolosi, gli importatori devono agire rapidamente adottando le misure correttive necessarie, informando i consumatori e le autorità competenti. Inoltre, sono tenuti a collaborare con fabbricanti e distributori per risolvere i problemi di sicurezza.

I distributori sono tenuti a interrompere la vendita e segnalare alle autorità eventuali anomalie di sicurezza riscontrate. Sono anche responsabili della verifica che i prodotti siano corredati dalle istruzioni e dalle informazioni sulla sicurezza e devono agire prontamente in caso di richiami del prodotto.

Gli e-commerce e i prodotti online

Le piattaforme di vendita online di prodotti – come Amazon, Ebay, Aliexpress – assumono un ruolo attivo nel mercato digitale, passando da semplici intermediari a soggetti direttamente responsabili per i prodotti offerti tramite i loro servizi.

Secondo l’art. 3 del Regolamento, queste piattaforme sono definite come fornitori di un servizio di intermediazione (marketplace) che utilizzano un’interfaccia online per consentire ai consumatori di concludere contratti a distanza con operatori commerciali per la vendita di prodotti.

In base all’art. 4 del Regolamento, i prodotti venduti online o attraverso mezzi di vendita a distanza si considerano immessi sul mercato UE se l’offerta è rivolta ai consumatori dell’Unione. Un’offerta è considerata rivolta ai consumatori dell’UE se l’operatore economico utilizza qualsiasi mezzo per indirizzare le proprie attività verso uno, o più, Stati membri. Pertanto, il Regolamento si applica anche ai venditori online con sede al di fuori dell’UE.

Le piattaforme online devono ora implementare controlli rigorosi per garantire la conformità dei prodotti alle normative di sicurezza, con l’obbligo di rimuovere prontamente i prodotti non sicuri o non conformi.

Tra gli obblighi principali previsti dall’art. 22 del testo, le piattaforme devono:

• registrarsi sul portale europeo Safety Gate (noto finora coma RAPEX), che consente ai consumatori di presentare reclami, scambiare informazioni tra autorità nazionali e la Commissione, e segnalare incidenti o prodotti pericolosi;
• fornire un punto di contatto unico, per consentire ai destinatari dei prodotti di comunicare direttamente con loro tramite il portale Safety Gate (già obbligatorio ai sensi del Reg. 2022/2065, cioè il Digital Services Act, norma che vede diversi aspetti integrati dal nuovo Regolamento);
• adottare processi interni per monitorare la sicurezza dei prodotti offerti e rimuovere prontamente quelli pericolosi o non conformi ai requisiti del Regolamento;
• rendere disponibili ai consumatori informazioni sul fabbricante o sulla persona responsabile dell’immissione sul mercato (art. 16), oltre a dettagli sull’identificazione del prodotto, avvertenze sui rischi e istruzioni per un uso sicuro.

Le autorità di vigilanza possono inoltre emettere specifici ordini, obbligando i fornitori di piattaforme online a rimuovere contenuti relativi a prodotti pericolosi o ad aggiungere avvertenze specifiche alle offerte.

Con questa evoluzione normativa, le piattaforme online non si limitano più al ruolo commerciale di intermediazione, ma diventano attori attivi nel controllo della conformità dei prodotti, assumendo responsabilità dirette in caso di violazioni.

La conformità deve passare internamente da una procedura che comprenda un’analisi dei rischi di safety, un fascicolo tecnico apposito, tutte le informazioni pertinenti già citate su istruzioni d’uso e manutenzione del prodotto.

Prodotti con intelligenza artificiale: che fare?

Sul mercato stanno dilagando i prodotti che dichiarano l’uso di AI, in vari modi. Ora il Regolamento ne impone una chiara copertura quanto alla safety, assommandosi alle altre norme rilevanti come l’AI Act.

Già in fase dello studio della Commissione del 2020 (“Commission Report on safety and liability implications of AI, the Internet of Things and Robotics”, si era stabilito che per l’AI fossero necessarie regole chiare circa la safety.

Pur non menzionando espressamente l’AI, il testo del Regolamento si riferisce palesemente al tema quando prevede aspetti come:

1. sottolineare l’importanza di valutare i rischi per la salute, inclusa la salute mentale, posti dai prodotti digitalmente connessi, in particolare per i consumatori vulnerabili come i minori; vi sono infatti evidenze che i prodotti connessi possono essere causa di depressione, perdita di sonno, alterazioni della funzione cerebrale, miopia o cecità precoce in studenti e bambini;
2. menzionare la necessità di considerare le funzionalità evolutive, di apprendimento e predittive del prodotto nella valutazione della sicurezza. Queste caratteristiche sono chiaramente associabili all’AI e richiedono un’attenta valutazione dei potenziali rischi, rappresentando una delle sfide più difficili della disciplina;
3. prevedere la possibilità di istituire un sistema di tracciabilità per determinati prodotti, categorie o gruppi di prodotti che possono presentare un rischio grave per la salute e la sicurezza dei consumatori – questo sistema potrebbe essere applicato anche ai prodotti basati sull’AI per garantire la trasparenza e la responsabilità nell’uso dei dati.

Il problema è tutto applicativo: per es. sussiste uno standard internazionale per la safety dei prodotti elettronici (incluso il software), lo IEC 61508, ma pare inadeguato per le caratteristiche peculiari dell’AI. Quale lo sia e se sussista, al momento, è una domanda a dir poco incerta, e dovrebbe essere una priorità delle istituzioni europee di standardizzazione (come il CEN/CENELEC che sta già lavorando agli standard indicati nell’AI Act).

Circa l’interazione con l’AI Act: il Regolamento prevede che si applichi ai prodotti “nella misura in cui non esistano disposizioni specifiche del diritto dell’Unione aventi lo stesso obiettivo che disciplinano la sicurezza dei prodotti in questione”. E se i prodotti sono soggetti a specifici requisiti di sicurezza prescritti da norme europee, il Regolamento si applica unicamente per gli aspetti e i rischi o le categorie di rischi non soggetti a tali requisiti.

D’altro canto, l’AI Act cita il Regolamento come una “rete di sicurezza” complementare, per i sistemi di IA collegati a prodotti che “non sono considerati ad alto rischio” (ai sensi dell’AI Act). Quindi possiamo affermare che per i prodotti con sistemi di AI (non ad alto rischio) i requisiti di safety non sono quelli dell’AI Act (con relative, prossime scadenze per l’applicabilità) bensì quelli del Regolamento, già a decorrere dal 13 dicembre 2024 per i nuovi prodotti. Quanti operatori se ne saranno accorti?

Dati personali dei consumatori e obblighi normativi

Merita una menzione il testo ove specifica che il trattamento dei dati personali, quando necessario ai fini del Regolamento, deve essere effettuato in conformità alla normativa data protection. Per esempio, in ambito di data retention e proporzionalità:

1. quando i consumatori segnalano un prodotto nel portale Safety Gate, i dati personali necessari per la segnalazione del prodotto pericoloso devono essere conservati per un periodo non superiore a cinque anni dopo l’inserimento di tali dati;
2. i fabbricanti e gli importatori devono conservare il registro dei reclami dei consumatori solo per il tempo necessario ai fini del Regolamento;
3. se i fabbricanti e gli importatori sono persone fisiche, devono divulgare i loro nominativi per garantire che il consumatore sia in grado di identificare il prodotto ai fini della tracciabilità;
4. il Regolamento incoraggia gli operatori economici e i fornitori di mercati online a raccogliere i dati personali dei loro clienti al fine di informarli direttamente in caso di richiami o avvisi di sicurezza; questo può essere fatto attraverso sistemi di registrazione dei prodotti o programmi di fidelizzazione dei clienti – tuttavia, i dati personali raccolti a tale scopo devono essere limitati al minimo necessario e utilizzati solo per contattare i consumatori in caso di richiamo o avviso di sicurezza.

Conclusioni

Con il Regolamento UE 2023/988, l’Unione Europea compie un passo che si vuole decisivo verso un mercato più sicuro e responsabile, affrontando i rischi connessi al commercio digitale e alle nuove tecnologie. Gli obblighi assai più stringenti per fabbricanti, importatori, distributori e piattaforme online ridefiniscono le regole di sicurezza dei prodotti, con un focus inedito sulla cybersicurezza.

Le piattaforme online, da semplici intermediari, assumono un ruolo attivo nella conformità dei prodotti, con l’obbligo di rimuovere rapidamente articoli non sicuri e di collaborare con le autorità di vigilanza. Questo approccio promuove trasparenza e sicurezza, proteggendo consumatori e dati personali nell’ecosistema digitale.

Non sarà così semplice: nonostante sia già applicabile, la norma pare passata in sordina anche da parte delle istituzioni. La Commissione, in particolare, sembra aver subito le vicissitudini elettorali per essere arrivata al 13 dicembre senza aver emanato i dovuti atti delegati. Una mancanza piuttosto grave, alla luce di quanto visto sopra.

E non mancano altri rilievi critici da più parti: un primo rilievo riguarda i tempi troppo stretti, tra entrata in vigore e applicazione, per poter adempiere al nuovo plesso normativo. Va precisato però che i prodotti immessi sul mercato prima del 13 dicembre 2024 – e conformi solo alla Direttiva 2001/95/CE – possono continuare ad essere venduti. Gli altri dovranno essere a regime col Regolamento. Questa disposizione vuole garantire una transizione graduale dal vecchio al nuovo regime, evitando di creare troppi disagi agli operatori economici e ai consumatori.

Altri hanno evidenziato che si introducono nuovi obblighi per la supply chain che potrebbero comportare costi aggiuntivi e complessità operative, specialmente per le piccole e medie imprese, con ricadute ovvie sui prezzi ai consumatori. In particolare, le piattaforme online sono ora tenute a garantire la conformità dei prodotti venduti da terzi attraverso i loro canali con obblighi di tracciabilità e responsabilità in caso di prodotti non sicuri. Questo potrebbe richiedere investimenti significativi in sistemi di monitoraggio e controllo, aumentando la pressione sulle piattaforme digitali.

Infine, alcuni esperti hanno evidenziato che le definizioni presenti nel Regolamento – come quelle già citate e relative alle caratteristiche di cibersicurezza o alle funzionalità evolutive dei prodotti – potrebbero risultare troppo vaghe, generando incertezze nell’applicazione pratica. Qui potrà supplire la Commissione con il suo ruolo di indirizzo e specificazione.

Non resta che aggiungere che gli operatori dovranno tenere conto anche della complessità applicativa nell’ecosistema europeo, visto che potrebbero dover computare nella loro gestione dei rischi e di compliance anche le norme su AI, prodotti difettosi (v. Direttiva 2024/2853), ecc. Nuovamente con incertezze applicative.

Il Regolamento è un test cruciale per la capacità dell’Unione Europea di adattarsi a un mercato globale sempre più interconnesso e digitale.

Il successo di questo ambizioso framework normativo dipenderà non solo dall’adesione dei principali attori economici, ma anche dalla capacità dell’UE di chiarire, armonizzare e far rispettare le sue disposizioni in modo chiaro e tempestivo. O si rischia di rivelare l’ennesima sovrastruttura normativa che rallenta i progressi anziché guidarli? Sarà il tempo a dirlo: le scelte compiute ora plasmeranno il futuro delle dinamiche di sicurezza, responsabilità e fiducia nell’ecosistema economico dell’Unione.

E in questo equilibrio delicato, il margine di errore è davvero sottile.