Regolamento macchine UE 2023/1230: sicurezza, software e cyberattacchi nell’industria digitale

Dal gennaio 2027 entrerà in piena applicazione il Regolamento (UE) 2023/1230, destinato a sostituire la Direttiva 2006/42/CE. Il nuovo testo normativo rappresenta un cambiamento radicale nella gestione della sicurezza delle macchine industriali, allineando l’impianto regolatorio alle sfide dell’industria 4.0. A cambiare non è solo il linguaggio giuridico, ma la sostanza tecnica e progettuale del concetto stesso di “sicurezza”.

Uno dei temi centrali del nuovo regolamento è l’ampliamento della definizione di “componente di sicurezza”. Come spiega Ernesto Capelletti, responsabile tecnico di Quadra, intervenuto durante il webinar dedicato al regolamento in europeo in esame, realizzato in collaborazione con Tritecnica, un componente di sicurezza può essere oggi fisico o digitale, e tra i componenti digitali rientrano anche i software.

Nel Regolamento 2023/1230 anche il software acquisisce importanza

Se un software svolge una funzione di sicurezza ed è immesso sul mercato separatamente, viene equiparato a un prodotto autonomo. In questo caso deve essere marcato CE, corredato di dichiarazione UE di conformità e accompagnato da istruzioni chiare su come integrarlo in modo sicuro all’interno della macchina.

Diversamente, se il software è sviluppato dal costruttore della macchina e non viene commercializzato separatamente, la sua conformità è coperta dalla marcatura CE dell’intera macchina, proprio come avviene per i ripari fisici integrati. Questa novità impone una riflessione operativa a molte aziende.

Laddove il software venga affidato a fornitori esterni, questi ultimi diventano a tutti gli effetti produttori di componenti di sicurezza. Devono quindi assumersi le responsabilità normative previste dal regolamento, con obblighi chiari in termini di documentazione tecnica, verifica della conformità e gestione della sicurezza d’uso.

Istruzioni per l’uso in formato cartaceo o solo digitale?

Un altro elemento cardine del nuovo testo riguarda la gestione delle istruzioni d’uso. Il regolamento prevede la possibilità di fornire le istruzioni esclusivamente in formato digitale, a condizione che siano facilmente accessibili, scaricabili, stampabili e disponibili online per almeno dieci anni.

Tuttavia, nel caso di utenti non professionali o su richiesta specifica dell’acquirente, le istruzioni devono comunque essere fornite gratuitamente anche in formato cartaceo. Inoltre, il testo stabilisce che la lingua delle istruzioni deve essere facilmente comprensibile dagli utenti finali, secondo quanto stabilito da ciascun Stato membro.

La sicurezza informatica delle macchine industriali

Il cambiamento più significativo, tuttavia, riguarda l’introduzione sistematica del concetto di sicurezza informatica. Per la prima volta, il regolamento riconosce esplicitamente che una macchina può essere soggetta ad attacchi da parte di soggetti malevoli, con intenti illegali.

Finora, la normativa si era limitata a considerare l’uso scorretto ragionevolmente prevedibile, senza contemplare l’uso illecito. Oggi si prende atto del fatto che attori esterni possono compromettere i sistemi di controllo delle macchine attraverso attacchi informatici, come i sempre più frequenti ransomware.

Non si tratta solo di un rischio teorico: ogni giorno linee di produzione sono bloccate da attacchi che causano fermi impianto con danni economici enormi, anche nell’ordine delle centinaia di migliaia di euro. L’obiettivo principale degli attaccanti è solitamente economico, ma le conseguenze operative possono risultare drammatiche, fino a generare condizioni di pericolo per le persone.

La macchina, una volta compromessa, può infatti comportarsi in modo non previsto, ad esempio modificando la velocità massima di un asse da 5 a 50 metri al secondo, oppure ignorando i segnali di sicurezza provenienti da interblocchi o sensori.

Ciò significa che, pur in assenza di una volontà deliberata di far male, il risultato di un attacco informatico può essere un comportamento pericoloso che mette a rischio l’incolumità degli operatori.

Per questo motivo, il regolamento introduce il nuovo requisito essenziale 1.1.9, che impone che il collegamento alla macchina di qualsiasi dispositivo, sia esso fisico o wireless, non debba mai determinare una situazione pericolosa. Questo obbligo implica la necessità di proteggere ogni possibile porta d’ingresso al sistema: dalle classiche porte USB e Ethernet fino a quelle radio o seriali.

La macchina diventa un punto critico

L’intera architettura di comunicazione della macchina diventa un punto critico, così come tutti i dispositivi programmabili o parametrizzabili che influenzano la sicurezza, come i drive dei motori, i laser scanner, i termostati di sicurezza o i software che delimitano le aree operative di un robot.

La visione introdotta dal nuovo regolamento va quindi ben oltre il classico concetto di “PLC di sicurezza”. Occorre invece estendere la protezione a tutta la catena digitale che incide sul comportamento della macchina in termini di sicurezza. Tutti i dati, i parametri, le configurazioni software che, se alterati, possono causare un comportamento pericoloso, devono essere protetti contro la corruzione, la modifica non autorizzata e la compromissione esterna.

In parallelo, il Regolamento (UE) 2024/2847, che entrerà in vigore nel dicembre 2027, impone requisiti aggiuntivi per la cybersecurity dei prodotti digitali, tra cui la valutazione dei rischi informatici, la documentazione tecnica obbligatoria e la notifica tempestiva di vulnerabilità sfruttate attivamente o di incidenti gravi agli enti competenti europei. L’approccio integrato tra sicurezza funzionale e sicurezza digitale diventa così imprescindibile.

Adeguarsi a questi nuovi obblighi non sarà una semplice formalità, ma una vera revisione del modo in cui si concepiscono, progettano e gestiscono le macchine. Il software non è più un elemento accessorio: è parte integrante della conformità.

E come osserva Capelletti, «chi scrive software per funzioni di sicurezza dovrà fare tutto ciò che è richiesto per un prodotto: marcatura CE, dichiarazione UE e istruzioni per l’uso. È un passaggio culturale, oltre che tecnico».

Per le imprese del settore manifatturiero e dell’automazione, è il momento di avviare un percorso di aggiornamento normativo e tecnologico, ripensando l’intera catena di responsabilità lungo il ciclo di vita del prodotto. Non si tratta solo di rispettare un nuovo regolamento, ma di costruire macchine realmente sicure in un contesto industriale dove il rischio digitale è diventato una variabile strutturale.