IoT & Dati: valorizzazione, sicurezza e normativa

I dispositivi IoT raccolgono un enorme quantità di dati che possono essere sfruttati in diversi modi e per diversi obiettivi. Da un lato, l’utilizzo dei dati può migliorare le performance del business attuale tramite, ad esempio, l’efficientamento delle operations o il miglioramento dell’offerta. Dall’altro, permette alle imprese di espandere il proprio business o modificarne la natura, abilitando servizi aggiuntivi per i propri clienti e nuovi modelli di business basati sulla servitizzazione.
L’effettiva capacità di sfruttare l’enorme potenziale dei dati generati dagli oggetti smart rappresenta però ancora una sfida per le aziende. Infatti, su questi temi c’è ancora molta strada da fare: solo una grande azienda su due¹ utilizza i dati raccolti dai macchinari connessi, valore che si riduce ad una azienda su tre² se si considerano invece le piccole-medie imprese. Le cause sono da ricercare principalmente nella mancanza di competenze e di figure specifiche per la loro valorizzazione e nella mancanza di comprensione del reale valore dei dati.

Collateralmente, il tema dei dati porta con sé quello legato alla privacy e alla cybersecurity, importanti per garantire la protezione dei dati e la sicurezza delle informazioni. Sempre in riferimento al mondo industriale, il 96% delle grandi imprese e l’82% delle PMI considera rilevante il tema della sicurezza informatica, anche se solo il 54% e il 35%, rispettivamente, ha già valutato le misure da implementare a riguardo.
Il tema non è percepito come rilevante solo in ambito B2B, ma anche in ambito consumer, anche se la sensibilità degli utenti varia significativamente a seconda del tipo di applicazione considerata. Ad esempio, ben il 45% dei consumatori italiani³ si dichiara preoccupato per l’utilizzo dei dati raccolti dagli oggetti smart in casa, mentre “solo” il 28% lo è in relazione ai dati di un’auto connessa. Ci sono due fattori che influenzano queste percentuali. Il primo è legato alla diffusione: la sensibilità dei clienti Smart Home è aumentata notevolmente al crescere delle vendite di dispositivi per la casa, perché il tema è risultato più tangibile. Il secondo è il fronte su cui è necessario agire: la ritrosia alla condivisione dei dati è spesso legata alla difficoltà – da parte dei consumatori – di comprendere il vantaggio derivante dalla condivisione. La proposta di servizi il cui valore sia chiaramente percepito dai clienti può rappresentare una leva importante per superare la reticenza degli utenti (basti pensare a quanti dati i consumatori sono disposti a condividere tramite altri strumenti: smartphone, social network, carte fedeltà, etc.).

Dal punto di vista normativo, sul fronte della privacy le aziende operanti in Europa nel mercato IoT (e non solo) devono dimostrare di essersi conformate al Regolamento europeo GDPR (General Data Protection Regulation), già attivo da maggio 2018. Invece, sul fronte della sicurezza informatica, la Commissione Europea ha rilasciato il “Cyber Resilience Act” (CRA) a settembre 2022, un nuovo regolamento che introduce norme per produttori e venditori di prodotti digitali, volte a garantire la sicurezza informatica del consumatore.

In particolare, il regolamento si fonda su quattro principi chiave. Il primo riguarda la “cyber security by design”, secondo cui i produttori dovranno migliorare la sicurezza dei dispositivi già in fase di progettazione e sviluppo, nonché durante l’intero ciclo di vita, impegnandosi a rilasciare continui aggiornamenti di sicurezza. Il secondo principio, il “vulnerability management”, prevede che le aziende garantiscano l’assenza di vulnerabilità note su tutti i prodotti venduti e notifichino tempestivamente l’ENISA (l’agenzia europea per la sicurezza informatica) circa l’insorgere di qualsiasi vulnerabilità o incidente di sicurezza che interessi i propri prodotti. Il terzo, il principio del “market surveillance” sancisce la presenza di un’autorità di vigilanza del mercato alla quale tutti i produttori sono tenuti a fornire informazioni sulla conformità con il CRA. Infine, il principio del “transparency of security properties of products” guida le aziende verso una maggiore trasparenza delle proprietà di sicurezza informatica che caratterizzano i propri prodotti.
Per quanto riguarda l’iter di applicazione della normativa, l’ultimo aggiornamento risale a gennaio 2023, quando la Commissione Europea ha terminato la raccolta di feedback e proposte da parte di tutti gli attori interessati. Dal momento in cui entrerà in vigore, le organizzazioni avranno a disposizione 24 mesi per far sì che i propri prodotti siano conformi.

Non è ancora chiaro se per i dispositivi IoT si applicheranno tutti i principi sopra menzionati. Infatti, il Cyber Resilience Act prevede che tali principi siano adottati solo da prodotti digitali “critici” di classe I e II – come gestori di password e sistemi operativi – nelle quali gli oggetti smart al momento non sembrano rientrare (ad eccezione dello smart meter). Diverse associazioni di consumatori chiedono, però, che l’esclusione dei prodotti IoT consumer venga riconsiderata. Tali dispositivi sono in grado di raccogliere e memorizzare numerosi dati, talvolta sensibili, e se hackerati potrebbero provocare danni notevoli. Dall’altro lato, le associazioni delle imprese produttrici sostengono, invece, che classificare tutti i componenti dei prodotti IoT come critici porterebbe a considerevoli ritardi nello sviluppo dei prodotti stessi.

¹Fonte: survey CAWI rivolta alle grandi imprese italiane, Ott. 2022.
²Fonte: survey CAWI rivolta alle PMI italiane, Ott. 2022.
³Fonte: survey CATI realizzata in collaborazione con Doxa, Dic. 2022.