La Commissione europea dovrebbe annunciare la prossima settimana una proposta di legge, denominata Cyber Resilience Act, che prevede diversi obblighi per i produttori di dispositivi IoT in termini di sicurezza. I prodotti connessi ad Internet, dalle smart TV ai frigoriferi, sono sempre più spesso utilizzati come “porta di ingresso” per attacchi informatici, in quanto ricevono aggiornamenti meno frequenti rispetto a computer, tablet e smartphone.
Multe e sospensione della vendita
Thierry Breton, Commissario per il mercato interno, aveva evidenziato i rischi circa un anno fa. Gli “oggetti connessi” possono essere utilizzati per effettuare attacchi su larga scala (spesso di tratta di DDoS). È quindi necessaria una legge che imponga specifici requisiti ai produttori. Uno studio europeo ha rilevato che molti dispositivi IoT hanno un livello di sicurezza molto basso. Sfruttando le loro vulnerabilità, i cybercriminali potrebbero colpire altri prodotti collegati alla stessa rete.
Il Cyber Resilience Act prevede il rispetto di determinati requisiti prima del lancio del dispositivo sul mercato. Il produttore deve rilasciare aggiornamenti di sicurezza gratuiti durante l’interno ciclo di vita.
I prodotti devono inoltre conservare i dati degli utenti in forma cifrata e usare solo quelli strettamente necessari. I produttori devono segnalare le vulnerabilità e ogni incidente di sicurezza alle autorità.
In caso di violazione della legge può essere applicata una multa fino a 15 milioni di euro o al 2,5% delle entrate globali. I prodotti che non rispettano i requisiti minimi non potranno essere venduti in Europa. Il Cyber Resilience Act dovrebbe essere approvato entro il 2024.