Riepilogo

Dal 1° agosto 2025, entreranno in vigore le disposizioni sulla sicurezza informatica della Direttiva UE sulle apparecchiature radio (RED) per i prodotti connessi. Per la ricarica dei veicoli elettrici, qualsiasi caricabatterie con Wi-Fi, rete cellulare o BLE deve soddisfare requisiti di sicurezza fin dalla progettazione; i dispositivi che elaborano dati personali devono aggiungere protezioni per la privacy; e i prodotti che consentono i pagamenti devono implementare controlli antifrode.

La Commissione Europea ha elencato la norma EN 18031-1/-2/-3:2024 come norma armonizzata per la presunzione di conformità. Gli elenchi pubblicati sulla GUUE includono restrizioni, pertanto solo le clausole normative correttamente applicate garantiscono la presunzione. I dispositivi privi di moduli wireless sono generalmente esclusi dall'articolo 3(3), ma la conformità a livello di sistema si applica comunque al caricabatterie nel suo complesso.

Cosa è cambiato e perché è importante

• L'ambito ora va oltre la conformità RF. La funzionalità connessa prevede controlli obbligatori di sicurezza, privacy e antifrode.

• Esiste un chiaro percorso di conformità. L'adozione della norma EN 18031 può fornire una presunzione; in caso contrario, è necessario utilizzare il percorso di un Organismo Notificato.

• Gli appalti saranno più severi. Le gare d'appalto e gli audit dell'UE richiederanno aggiornamenti firmati, policy sulle credenziali, SBOM, gestione delle vulnerabilità e guida per gli utenti.

Chi è interessato nell'ecosistema di ricarica

• Caricabatterie CC e CA con connettività integrata (LTE, Wi-Fi, BLE).

• Funzionalità integrate nel back-office che si basano sulle credenziali del dispositivo, sui registri o sugli aggiornamenti OTA.

• Caricabatterie che accettano pagamenti ad hoc o supportano token di pagamento.

• Gli accessori hardware senza moduli wireless sono solitamente esclusi dall'ambito, mentre il caricabatterie come sistema rimane nell'ambito.

Date e traguardi chiave

Nota: gli elenchi EN 18031 nella GUUE includono restrizioni; solo le disposizioni normative applicate correttamente garantiscono la presunzione di conformità.

Milestone | Cosa significa per la ricarica dei veicoli elettrici

30 gennaio 2025 | EN 18031-1/-2/-3:2024 pubblicata nella Gazzetta Ufficiale, che consente la presunzione di conformità se applicata correttamente.

1° agosto 2025 | Le disposizioni sulla sicurezza informatica RED (articoli 3(3)(d)(e)(f)) sono applicabili alle apparecchiature radio rientranti nell'ambito di applicazione, compresi i caricabatterie collegati.

2025–2026 | Produttori e operatori allineano i pacchetti di documentazione (valutazione del rischio, rapporti di prova, SBOM, politica di aggiornamento) e implementano il rafforzamento sul campo.

Criteri di valutazione del fornitore per caricabatterie per veicoli elettrici conformi alla direttiva RED UE (lista di controllo EN 18031)

Utilizzare la seguente checklist EN 18031 per esaminare rapidamente i sistemi.

Sicurezza e aggiornamenti del firmware (immagini firmate, protezione rollback, canali crittografati, rotazione delle chiavi).

Chiarificatore: impedisce l'immissione di codice non autorizzato e garantisce un ripristino sicuro.

Controllo degli accessi (nessuna password predefinita o vuota, modifica al primo accesso, blocco e limitazione della velocità, account con privilegi minimi).

Chiarificatore: blocca le effrazioni facili e limita i movimenti laterali.

Protezione dagli abusi di rete per OCPP/MQTT/HTTPS (limitazione, rilevamento anomalie, protezioni da replay e flood, servizi rafforzati).

Chiarimento: fermare l'iscrizione alle botnet e le tempeste di traffico.

Privacy e registri (minimizzazione dei dati, programmi di conservazione, informativa sulla privacy rivolta all'utente, esportazione sicura dei registri).

Chiarificatore: raccogli solo ciò di cui hai bisogno e tienilo al sicuro.

Pagamenti, se presenti (crittografia e firma end-to-end, design antimanomissione, doppio controllo per rimborsi e transazioni).

Chiarificatore: proteggere il trasferimento di valore e ridurre il rischio di frode.

Pacchetto di prove (matrice di copertura EN 18031, report di prova, divulgazione delle vulnerabilità e SLA delle patch, sezione sulla sicurezza del manuale utente, dichiarazione di conformità UE, indice dei fascicoli tecnici).

Chiarimento: mostra le prove, non le promesse.

Mappa dei requisiti rispetto ai casi d'uso

Requisito RED | Tipico caso d'uso di ricarica EV | Esempi di controlli accettabili

3(3)(d) Uso improprio della rete | Prevenire l'iscrizione a botnet o DDoS tramite il modem del caricabatterie | Firewalling, limiti di velocità, autenticazione reciproca TLS, servizi rafforzati

3(3)(e) Protezione dei dati | Gestire gli identificatori del conducente, i dati di sessione, i metadati | Minimizzazione dei dati, pseudonimizzazione, registrazione degli accessi, politica di conservazione

3(3)(f) Prevenzione delle frodi | Pagamenti ad hoc tramite codice QR o carta | Prove crittografiche, elementi sicuri o HSM, doppio controllo sui rimborsi

Come rendere operativa la conformità (flusso pronto per il campo)

Identificare l'ambito → Valutazione delle minacce e delle lacune → Implementare i controlli (firmware, credenziali, comunicazioni, pagamento, privacy) → Convalidare (test interni e, se necessario, un organismo notificato) → Compilare il fascicolo tecnico (analisi dei rischi, SBOM, report di prova, mappatura EN 18031, istruzioni per l'utente) → Emettere la DoC e l'etichetta UE → Monitorare e correggere con SLA di divulgazione e correzione definiti.

Piano d'azione di 30-60-90 giorni

Giorni 0–30: confermare quali modelli includono moduli wireless; mappare l'applicabilità dell'articolo 3(3)(d)(e)(f); redigere la bozza di SBOM e la valutazione iniziale del rischio; allineare la copertura EN 18031.

Giorni 31–60: Definire le policy sulle credenziali e gli aggiornamenti sicuri; rafforzare OCPP/MQTT/HTTPS; ridurre al minimo e documentare i dati; definire i controlli antifrode per i flussi di pagamento; pianificare la revisione da parte di terzi o di un organismo notificato se non completamente allineato alla norma EN 18031.

Giorni 61–90: finalizzare i test, il fascicolo tecnico e la DoC UE; etichettare e rilasciare; rafforzare il campo pilota su siti selezionati; pubblicare gli SLA di gestione delle vulnerabilità e di patch.

Impatto sulle roadmap dei prodotti

• I caricabatterie abilitati per 15118 e i back-end OCPP 2.x enfatizzeranno una gestione più efficace delle credenziali e dei certificati.

• Le RFP valuteranno le operazioni di aggiornamento della sicurezza e la qualità delle prove tanto quanto la potenza nominale.

• Un'OTA affidabile riduce le visite al sito e consente di ridurre i costi del ciclo di vita.

Nota di Workersbee

Workersbee supporta progetti vincolati all'UE con assemblaggi di connettori e cavi e allinea le linee guida per l'integrazione dei caricabatterie ai controlli di sicurezza informatica RED. Per i programmi DC che richiedono la presunzione di conformità, il nostro team di ingegneri può fornire una checklist sintetica di copertura EN 18031 e un esempio di documentazione tecnica tramite i link: Guida ingegneristica Workersbee, Know-how sui connettori DC Workersbee.

Domande frequenti

D: Se un caricabatterie non ha una funzione di pagamento, si applica comunque l'articolo 3(3)(f)?

R: No. Solo i dispositivi che consentono pagamenti o trasferimenti di valore monetario rientrano nell'articolo 3(3)(f). Lo stesso caricabatterie potrebbe comunque dover soddisfare gli articoli 3(3)(d) e 3(3)(e).

D: Ho bisogno di un organismo notificato se adotto completamente la norma EN 18031?

R: L'applicazione completa e corretta delle norme armonizzate può garantire la presunzione. In caso di adozione parziale o incertezza, il ricorso a un Organismo Notificato riduce il rischio.

D: Le restrizioni relative al GU implicano che la norma EN 18031 sia sempre sufficiente?

R: No. Solo le clausole normative applicate correttamente garantiscono la presunzione. In caso di divergenze o casi ambigui, è consigliabile rivolgersi a un Organismo Notificato.

D: Quali prove solitamente richiedono per prime i revisori?

A: Criteri di aggiornamento firmato, criteri di password, SBOM, flusso di lavoro di gestione delle vulnerabilità, tabella di mappatura EN 18031 e dichiarazione di conformità UE.