Se dovessimo spiegare con un paragone il regolamento europeo “Data Act” lo potremmo definire “il GDPR dei dati delle macchine”. Come sappiamo il regolamento GDPR stabilisce chiaramente che i dati delle persone sono dati sensibili e che possono essere liberamente condivisi soltanto dal titolare (persona), mentre tutti gli altri soggetti che ne vengono a conoscenza sono obbligati a seguire specifiche regole di condotta, riservatezza e restituzione/cancellazione dei suddetti dati a semplice richiesta del titolare.
Il Data Act specifica che tutti i dati generati da un qualsiasi sistema o macchinario automatico digitale (la norma si estende anche oltre le applicazioni industriali) sono di proprietà dell’utilizzatore della macchina (l’Utente) che deve essere libero di utilizzarli e condividerli gratuitamente con chi vuole. Chi riceve questi dati è soggetto a speciali obblighi per cui deve restituirli/cancellarli a semplice richiesta del titolare e non può utilizzarli per finalità non preventivamente concordate.
A confermare questa impostazione normativa basti ricordare che la gestione dei contenziosi e dei controlli per entrambi i regolamenti europei, GDPR e Data Act, è in capo al Garante per la Privacy. Anche l’entità delle sanzioni per chi non rispetta il Data Act è molto ingente e possono raggiungere il 4% del fatturato annuale del fabbricante e, nel caso la non conformità rilevata perduri, il Garante potrà vietare la vendita nel mercato europeo dei prodotti non conformi.
Queste semplici dichiarazioni di principio, in linea di massima ampiamente condivisibili, hanno risvolti tecnici ed economici assolutamente rilevanti che devono essere valutati con grande cura dai costruttori di macchine industriali automatiche, ovvero dotate di PLC, CNC, o semplici microcontrollori e che sono quindi capaci di generare dei dati.
Implicazioni commerciali per i costruttori di impianti
Cominciamo ad analizzare le implicazioni commerciali sui modelli di business che un OEM potrebbe aver sviluppato basandosi sui dati telemetrici provenienti dai macchinari che vende o commercializza. Il primo punto è che tutti i dati prodotti dalla macchina devono essere accessibili gratuitamente all’utente, o direttamente tramite dei protocolli standard (OPC-UA, MQTT…) a bordo macchina o, se non è possibile, attraverso la piattaforma Cloud almeno sotto forma di file. Per coloro che hanno privilegiato integrazioni verticale chiuse macchina-cloud questo obbligo di apertura dei dati crea un potenziale problema economico perché i dati devono comunque essere salvati e resi disponibili su un’infrastruttura cloud (che ha spesso costi rilevanti di esercizio) per tutta la vita utile della macchina, anche in assenza di qualsiasi ricavo, come un abbonamento alla piattaforma di monitoraggio remoto o acquisto di ricambi.
Questa imposizione normativa rende quindi imprescindibile l’attivazione di un protocollo aperto a bordo macchina per ridurre al minimo i costi di distribuzione dei dati all’utente, considerando che non potranno mai essere nulli perché, a seguito della nuova direttiva macchine e per il Cyber Resilience Act, anche questa componente software dovrà essere mantenuta e aggiornata per almeno 5 anni o comunque per la vita utile attesa del macchinario.
Implicazioni tecniche
Analizziamo adesso agli aspetti tecnici che un costruttore deve affrontare per cambiare radicalmente i macchinari industriali prima della fine del 2026 per evitare di incorrere nelle enormi sanzioni descritte prima. A bordo macchina il costruttore di trova a dover gestire per la prima volta la “data governance” dei dati prodotti dai sistemi elettronici che installa e deve farlo fare direttamente all’utente che deve essere libero di eseguire ogni possibile scelta di condivisione dei suoi dati senza richiedere l’intervento del costruttore e comunque gratuitamente.
La messa a disposizione di un protocollo moderno, dotato di autenticazione come OPC-UA, MQTT o REST non è di per sé sufficiente alla conformità del DataAct. Si deve infatti garantire all’utente di poter creare/modificare gli utenti e le credenziali di accesso di questi servizi che spesso sono gestiti direttamente dal PLC o CNC i cui accessi di amministrazione non sono quasi mai condivisi con l’utente. Questo punto è critico perché il costruttore risponde del proprio software di automazione, della sua cyber-sicurezza, della sua sicurezza e chiaramente delle prestazioni del macchinario e non può dare accesso ai sistemi di controllo all’utente senza esporsi a gravi rischi, compreso quello del furto della propria proprietà intellettuale.
Il ruolo strategico dei gateway IoT di nuova generazione
In questo nuovo scenario diventano indispensabili gli IoT gateway di ultima generazione, non più riservati alla sola teleassistenza, alla connessione con piattaforme cloud di un vendor specifico, o pensati per fare la semplice conversione di protocollo. Il gateway IoT “DataAct ready” oggi è sempre più spesso fornito come semplice applicazione in container da eseguire all’interno dei moderni controllori, switch, router, HMI o PC e fornisce un rigido confine tra cose è riservato al costruttore e l’orchestrazione dei dati telemetrici che sono nella disponibilità dell’utente. Da notare che nelle nuove macchine, anche le connessioni verso le piattaforme cloud degli OEM dovranno passare attraverso l’IoT Gateway per dare la possibilità all’utente di modificare la quantità e la frequenza di invio dei dati ed eventualmente interrompere completamente la trasmissione. Per non perdere le proprie possibilità di ricavo sui servizi che usano i dati dell’utente è inoltre importante verificare che l’IoT Gateway scelto permetta l’attivazione di un numero cospicuo di connessioni simultanee verso più destinatari e con contenuti informativi differenziati, così da non dover mettere l’utente nelle condizioni di dover scegliere a chi poter inviare i propri dati.
Il Data Act è già entrato in vigore da Settembre 2025 in tutti i paesi europei e il periodo transitorio terminerà a Ottobre 2026 per le prime disposizioni qui descritte. Le imprese italiane sembrano aver sottovalutato l’impatto di questa regolamentazione che ha invece attivato investimenti significativi all’estero.