RELAZIONE
1.CONTESTO DELL'ATTO DELEGATO
Il regolamento (UE) 2018/858 obbliga i costruttori a permettere agli operatori indipendenti un accesso senza restrizioni, standardizzato e non discriminatorio alle informazioni diagnostiche di bordo (OBD) dei veicoli, alle attrezzature diagnostiche e altre apparecchiature, agli strumenti, compresi i riferimenti completi e i download disponibili del software applicabile, nonché alle informazioni sulla riparazione e la manutenzione del veicolo. Le prescrizioni specifiche e le disposizioni applicabili che disciplinano tale accesso sono stabilite nell'allegato X di detto regolamento.
D'altro canto, il regolamento (UE) 2019/2144 (regolamento sulla sicurezza generale o GSR) impone ai costruttori di garantire che veicoli, sistemi, componenti ed entità tecniche indipendenti siano conformi ai requisiti applicabili in materia di protezione dagli attacchi informatici. Le prescrizioni pertinenti sono state introdotte con il regolamento delegato (UE) 2022/1398 della Commissione, con riferimento al regolamento ONU n. 155. Come vi si legge, quest'ultimo regolamento lascia tuttavia "impregiudicat[e] le normative regionali o nazionali che disciplinano l'accesso di parti autorizzate al veicolo, ai suoi dati, alle sue funzioni e alle sue risorse, nonché le condizioni di tale accesso". Pertanto l'applicazione delle norme sulla cibersicurezza non potrebbe giustificare alcuna misura che comporti una limitazione dell'accesso alle informazioni OBD del veicolo non esplicitamente prevista dal regolamento (UE) 2018/858.
Nella sentenza relativa alla causa C-296/22, A.T.U. Auto-Teile-Unger e Carglass, del 5 ottobre 2023, la Corte di giustizia dell'Unione europea ha confermato tale interpretazione e ha stabilito che i costruttori dei veicoli non sono autorizzati a subordinare l'accesso alle informazioni OBD dei veicoli a condizioni diverse da quelle previste dal regolamento (UE) 2018/858. La Corte ha inoltre confermato che le prescrizioni tecniche applicabili alla cibersicurezza dei veicoli (regolamento ONU n. 155) non pregiudicano le prescrizioni di omologazione relative all'accesso ai dati dei veicoli, come l'allegato X del regolamento (UE) 2018/858.
La normativa vigente impedisce ai costruttori dei veicoli di applicare misure efficaci di protezione dei veicoli dagli attacchi informatici connessi all'accesso alle informazioni OBD dei veicoli. L'allegato X di detto regolamento deve essere pertanto modificato in modo che sia garantito l'accesso sicuro alle informazioni OBD, specificando le misure che i costruttori dei veicoli sono autorizzati ad attuare a tal fine, tenendo conto dei requisiti di cibersicurezza di cui al regolamento (UE) 2019/2144.
È inoltre opportuno che le disposizioni dell'allegato X siano aggiornate e chiarite per tenere conto del progresso tecnologico e, in particolare, per consentire aggiornamenti più rapidi del software da parte degli operatori indipendenti e facilitare la riparazione e la manutenzione delle batterie dei veicoli e dei veicoli dotati di sistemi avanzati di assistenza alla guida, nonché per garantire parità di accesso alle informazioni OBD con mezzi diversi dal connettore standardizzato. Si prevede che le nuove misure miglioreranno in modo significativo la riparabilità e ridurranno i costi di riparazione dei veicoli elettrici. La presente iniziativa è stata annunciata nell'ambito del piano d'azione industriale per il settore automobilistico europeo, di recente adozione, che mira ad accelerare la diffusione dei veicoli a emissioni zero.
2.CONSULTAZIONI PRECEDENTI L'ADOZIONE DELL'ATTO
Nella fase preparatoria del presente atto, la Commissione ha consultato gli Stati membri e i portatori di interessi, tra cui le organizzazioni di categoria degli operatori indipendenti dell'UE, in occasione delle riunioni del gruppo di lavoro sui veicoli a motore tenutesi il 17 marzo 2025, il 12 giugno 2025 e il 19 gennaio 2026.
I rappresentanti degli Stati membri hanno approvato il progetto di atto durante la riunione del gruppo di esperti degli Stati membri (MSEG) tenutasi il 28 gennaio 2026.
Conformemente alle norme per legiferare meglio, l'atto delegato è rimasto pubblicato sul portale "Di' la tua" per un periodo di quattro settimane, dal 4 novembre 2025 al 2 dicembre 2025, al fine di raccogliere osservazioni. In totale si sono espressi 54 portatori di interessi. La Commissione ha esaminato attentamente tutte le osservazioni ricevute e ne ha preso atto.
3.ELEMENTI GIURIDICI DELL'ATTO DELEGATO
La base giuridica del presente atto delegato è costituita dall'articolo 61, paragrafo 11, del regolamento (UE) 2018/858.
Il regolamento delegato modifica i punti 1, 2, 6 e 7 dell'allegato X al fine di chiarire e specificare le prescrizioni in merito alle informazioni necessarie per la riparazione e la manutenzione delle batterie dei veicoli e dei sistemi avanzati di assistenza alla guida e le prescrizioni relative alla condivisione delle informazioni rilevanti con gli editori di informazioni tecniche. Consente inoltre la riprogrammazione delle centraline e la messa a disposizione delle informazioni OBD con mezzi diversi dalla porta OBD.
Prevede inoltre modifiche alle attuali appendici 2 e 3 e introduce una nuova appendice 4 che stabilisce in particolare le condizioni e le procedure per l'applicazione delle misure di sicurezza all'accesso alle informazioni OBD.
REGOLAMENTO DELEGATO (UE) …/... DELLA COMMISSIONE
del 23.3.2026
recante modifica del regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio per quanto riguarda l'accesso standardizzato alle informazioni diagnostiche di bordo dei veicoli e alle informazioni sulla riparazione e la manutenzione dei veicoli, oltre che le prescrizioni e le procedure relative all'accesso sicuro alle informazioni diagnostiche di bordo
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio, del 30 maggio 2018, relativo all'omologazione e alla vigilanza del mercato dei veicoli a motore e dei loro rimorchi, nonché dei sistemi, dei componenti e delle entità tecniche indipendenti destinati a tali veicoli, che modifica i regolamenti (CE) n. 715/2007 e (CE) n. 595/2009 e abroga la direttiva 2007/46/CE, in particolare l'articolo 61, paragrafo 11,
considerando quanto segue:
(1)Il regolamento (UE) 2018/858 obbliga i costruttori dei veicoli a permettere agli operatori indipendenti un accesso senza restrizioni, standardizzato e non discriminatorio alle informazioni diagnostiche di bordo (OBD) dei veicoli, alle attrezzature diagnostiche e altre apparecchiature, agli strumenti, compresi i riferimenti completi e i download disponibili del software applicabile, nonché alle informazioni sulla riparazione e la manutenzione del veicolo.
(2)L'articolo 4, paragrafo 5, lettera d), del regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio (norme di cibersicurezza dell'Unione) stabilisce che i costruttori sono tenuti a rispettare le prescrizioni applicabili in merito alla protezione dei veicoli dagli attacchi informatici. Le prescrizioni tecniche e le procedure di prova adottate a tale fine fanno riferimento alle prescrizioni del regolamento ONU n. 155.
(3)A norma del regolamento ONU n. 155, le prescrizioni tecniche e le procedure di prova ivi previste non pregiudicano comunque la normativa dell'Unione che disciplina l'accesso di parti autorizzate al veicolo, ai suoi dati, alle sue funzioni e alle sue risorse, nonché le condizioni di tale accesso.
(4)Il regolamento (UE) 2018/858 vieta ai costruttori dei veicoli di subordinare l'accesso, anche in scrittura, degli operatori indipendenti alle informazioni sulla riparazione e la manutenzione dei veicoli e alle informazioni OBD a condizioni diverse da quelle ivi stabilite, ad esempio per ragioni di cibersicurezza.
(5)Il quadro giuridico dell'Unione che disciplina le misure di cibersicurezza da applicarsi all'accesso alle informazioni OBD del veicolo è incompleto. Le norme dell'Unione sulla cibersicurezza impongono ai costruttori di proteggere i veicoli dagli attacchi informatici, ma limitano l'effetto delle prescrizioni tecniche che specificano le misure applicabili per quanto riguarda l'accesso ai dati dei veicoli. D'altro canto, le norme relative all'accesso alle informazioni OBD dei veicoli non tengono sufficientemente conto della cibersicurezza. Di conseguenza, i costruttori dei veicoli si trovano di fronte importanti vincoli giuridici che impediscono loro di applicare misure efficaci di protezione dei veicoli dagli attacchi informatici connessi all'accesso alle informazioni OBD dei veicoli.
(6)È pertanto necessario fare sì che i costruttori di automobili siano autorizzati ad applicare misure di cibersicurezza efficaci e proporzionate, garantendo al contempo l'accesso alle informazioni OBD.
(7)L'aumento delle minacce alla cibersicurezza e la correlata adozione delle norme dell'Unione che impongono ai costruttori di veicoli di proteggere i veicoli dagli attacchi informatici costituiscono sviluppi tecnici e normativi che giustificano tali modifiche dell'allegato X.
(8)Per consentire ai costruttori di rispondere a tali minacce preservando l'accesso effettivo degli operatori indipendenti alle informazioni OBD dei veicoli, è opportuno che il regolamento (UE) 2018/858 contenga le condizioni e le procedure che i costruttori di veicoli sono autorizzati ad applicare per garantire l'accesso sicuro degli operatori indipendenti alle informazioni OBD.
(9)A seconda della natura e delle conseguenze dell'accesso richiesto, i costruttori dei veicoli dovrebbero poter richiedere ai costruttori degli strumenti diagnostici utilizzati per accedere alle informazioni OBD di autenticare lo strumento e l'operatore indipendente che richiede l'accesso, o il suo dipendente, e di garantire la tracciabilità mediante la registrazione e la memorizzazione delle informazioni di rilievo per l'accesso. In casi specifici, dovrebbero inoltre essere autorizzati a esigere la connessione al server del costruttore del veicolo.
(10)Per tutelare le pari condizioni di concorrenza, le informazioni sugli operatori indipendenti che richiedono l'accesso alle informazioni OBD dei veicoli dovrebbero essere pseudonimizzate.
(11)Onde consentire loro di gestire le dipendenze, come previsto dalle norme applicabili sulla cibersicurezza dei veicoli, è opportuno che i costruttori dei veicoli siano autorizzati a verificare che gli strumenti diagnostici e i relativi costruttori siano conformi alle norme del caso in tema di cibersicurezza e alle prescrizioni di sicurezza.
(12)In caso di incidenti riguardanti la cibersicurezza, abusi gravi o incidenti che comportino la responsabilità del costruttore del veicolo, occorre che i costruttori dei veicoli abbiano la possibilità di ottenere informazioni relative a casi specifici di accesso e sospendere temporaneamente, se del caso e sotto il controllo dell'autorità di omologazione, l'accesso a uno strumento concesso a un operatore indipendente o a un suo dipendente.
(13)I costruttori dei veicoli dovrebbero fornire tutte le informazioni tecniche necessarie ai costruttori di strumenti diagnostici generici con sufficiente anticipo rispetto all'immissione sul mercato di un veicolo, per consentire loro di fornire un servizio adeguato agli autoriparatori indipendenti.
(14)Oltre alle condizioni e alle procedure per un accesso sicuro alle informazioni OBD, il presente regolamento dovrebbe agevolare ulteriormente l'accesso alle informazioni OBD e alle informazioni sulla riparazione e la manutenzione dei veicoli, tenendo conto del progresso tecnico.
(15)Il catalogo delle informazioni che i costruttori dei veicoli sono tenuti a mettere a disposizione dovrebbe essere chiarito e aggiornato, in particolare tenendo conto delle esigenze relative alla riparazione e alla manutenzione delle batterie dei veicoli e dei nuovi sistemi di assistenza alla guida.
(16)Ogniqualvolta i costruttori di veicoli, ai fini dell'accesso alle informazioni OBD del veicolo, di diagnosi, riparazione e manutenzione, monitoraggio e ispezione, consentono l'accesso al flusso di dati di bordo del veicolo con mezzi diversi dalla porta seriale del connettore standardizzato, il medesimo accesso e le medesime informazioni dovrebbero essere disponibili a condizioni non discriminatorie per tutti gli operatori indipendenti.
(17)Riconoscendo il ruolo degli editori di dati nell'agevolare le attività di riparazione e manutenzione dei veicoli, è opportuno chiarire ulteriormente le prescrizioni vigenti per la divulgazione delle informazioni dei costruttori di veicoli.
(18)Al fine di consentire ai riparatori indipendenti di riprogrammare le centraline dei veicoli alle stesse condizioni dei costruttori dei veicoli e dei riparatori autorizzati, è necessario stabilire prescrizioni aggiuntive che impongano ai costruttori di mettere a disposizione dei costruttori di strumenti diagnostici indipendenti software specifici o determinate informazioni.
(19)Il rispetto di tali prescrizioni obbliga però i costruttori dei veicoli ad attuare importanti misure preparatorie; l'applicazione delle prescrizioni dovrebbe essere pertanto differita per prevedere tempi di attuazione adeguati.
(20)Il presente regolamento si applica fatti salvi il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e la direttiva 2002/58/CE del Parlamento europeo e del Consiglio. In particolare, gli obblighi dei costruttori di fornitura agli operatori indipendenti dell'accesso alle informazioni OBD dei veicoli a norma del presente regolamento lasciano impregiudicati i diritti degli interessati e gli obblighi dei costruttori di veicoli, dei costruttori di strumenti diagnostici e degli operatori indipendenti a norma di tali atti legislativi.
(21)Conformemente all'articolo 42, paragrafo 1, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, il Garante europeo della protezione dei dati è stato consultato e ha formulato il suo parere il 20 febbraio 2026.
(22)È pertanto opportuno modificare di conseguenza il regolamento (UE) 2018/858,
HA ADOTTATO IL PRESENTE REGOLAMENTO:
Articolo 1
L'allegato X del regolamento (UE) 2018/858 è modificato conformemente all'allegato del presente regolamento.
Articolo 2
Il presente regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Il presente regolamento è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri.
Fatto a Bruxelles, il 23.3.2026
Per la Commissione
La presidente
Ursula VON DER LEYEN
ALLEGATO
L'allegato X del regolamento (UE) 2018/858 è così modificato:
(1)il punto 1 è sostituito dal seguente:
"1. Introduzione
Il presente allegato contiene le prescrizioni tecniche relative all'accesso alle informazioni OBD del veicolo e alle informazioni sulla riparazione e la manutenzione del veicolo, indipendentemente dal tipo di gruppo propulsore del veicolo.";
(2)al punto 2.1, la seconda frase è sostituita dalla seguente:
"Si ritiene che il costruttore adempia l'obbligo di fornire sui propri siti web in un formato standardizzato le informazioni relative al sistema OBD del veicolo e alla riparazione e manutenzione del veicolo conformandosi alla parte 1, "Informazioni generali e definizione dei casi di utilizzo", alla parte 2, "Requisiti tecnici", alla parte 3, "Requisiti funzionali dell'interfaccia per l'utilizzatore", e alla parte 4, "Prove di conformità", della norma EN ISO 18541-2021, nonché alla parte 5, "Disposizioni specifiche per veicoli pesanti – Veicoli stradali – Accesso normalizzato alle informazioni sulla riparazione e manutenzione degli autoveicoli (RMI)", della norma EN ISO 18541 – 2018.";
(3)al punto 2.5, la frase introduttiva è sostituita dalla seguente:
"2.5. Nelle informazioni sulla riparazione e la manutenzione del veicolo devono figurare i seguenti dati:";
(4)il punto 2.5.1. è sostituito dal seguente:
"2.5.1. un'identificazione inequivocabile del veicolo e il conseguente elenco delle opzioni montate in fabbrica, nonché dei sistemi, dei componenti, delle entità tecniche indipendenti, delle parti o degli accessori di cui è responsabile il costruttore;";
(5)il punto 2.5.4. è sostituito dal seguente:
"2.5.4. informazioni su sistemi, componenti, entità tecniche indipendenti, parti, accessori e diagnosi (compresi i valori di misurazione teorici minimi e massimi), tra cui informazioni sulle funzioni e le capacità necessarie per la taratura e la riparazione dei sistemi avanzati di assistenza alla guida (ADAS) o dei sistemi di assistenza al controllo del conducente (DCAS) e dei relativi componenti);";
(6)il punto 2.5.7. è sostituito dal seguente:
"2.5.7. informazioni necessarie per stabilire se per una specifica operazione di riparazione e manutenzione sia necessario un aggiornamento del software o occorra codificare le varianti;";
(7)è inserito il seguente punto 2.5.7 bis.:
"2.5.7 bis. informazioni necessarie per l'identificazione del corretto aggiornamento del software o la codifica delle varianti per ciascun sistema, componente, entità tecnica indipendente, parte o accessorio per cui è necessario un aggiornamento del software.
In deroga al punto 2.1, se per la determinazione della versione corretta del software o per la codifica delle varianti è necessaria una connessione back-end, il costruttore non è tenuto a pubblicare sul sito web le informazioni necessarie per l'identificazione dell'aggiornamento corretto del software o la codifica delle varianti per ciascun sistema, componente, entità tecnica indipendente, parte o accessorio per cui è necessario un aggiornamento del software;";
(8)il punto 2.5.8. è così modificato:
"2.5.8. informazioni relative a strumenti e accessori brevettati fornite per mezzo di tali strumenti e accessori, comprese informazioni su eventuali strumenti aggiuntivi o accessori e istruzioni per l'uso supplementari necessari per eseguire la taratura di un componente o di un sistema;";
(9)sono aggiunti i seguenti punti 2.5.12 e 2.5.13:
"2.5.12. informazioni fornite dal costruttore ai suoi partner, concessionari e riparatori autorizzati, o utilizzate dal costruttore per le riparazioni e la manutenzione, necessarie per la diagnosi e, se del caso, la riparazione di sistemi di batterie di trazione e relative unità sostituibili, tra cui moduli di batteria;
2.5.13. informazioni specifiche sul tipo di veicolo necessarie per la manipolazione sicura di parti e componenti, in particolare informazioni necessarie per la protezione dai pericoli elettrici, termici e chimici derivanti dalle batterie di trazione, quali a disposizione del costruttore del veicolo o dei suoi partner.";
(10)il punto 2.6.2. è sostituito dal seguente:
"2.6.2. le informazioni che seguono:
a) dati di descrizione diagnostica di cui all'appendice 2, punto 3. Il costruttore deve fare in modo che per tali dati siano rispettate le prescrizioni seguenti:
i) i dati sono messi a disposizione sotto forma di insiemi di dati direttamente trattabili elettronicamente;
ii) sono caratterizzati dallo stesso livello di dettaglio garantito dagli strumenti diagnostici proprietari del costruttore del veicolo;
iii) sono documentati in modo esaustivo;
b) descrizioni delle interazioni a bordo ed esterne necessarie per il completamento di eventuali lavori di riparazione e manutenzione.
Il costruttore del veicolo deve mettere a disposizione le informazioni di cui alla lettera a) soltanto per i tipi di veicoli per i quali il certificato di omologazione è stato rilasciato per la prima volta dopo il 1º settembre 2020. ";
(11)è inserito il seguente punto 2.6.3.:
"2.6.3. informazioni su come acquistare strumenti e accessori brevettati.";
(12)sono inseriti i seguenti punti 2.6 bis e 2.6 ter:
"2.6 bis. Il costruttore deve mettere a disposizione dei costruttori di apparecchiature per la riparazione e di strumenti diagnostici generici tutte le informazioni, le specifiche tecniche e le istruzioni d'uso per la riparazione, la manutenzione e la diagnosi dei sistemi ADAS/DCAS mediante strumenti diagnostici.
2.6 ter. Le informazioni di cui ai punti 2.6 e 2.6 bis devono essere messe a disposizione conformemente ai termini e alle condizioni stabiliti dal costruttore in conformità al presente regolamento, compresi i termini di pagamento e le condizioni o i limiti d'uso e le spese di cui all'articolo 63, paragrafo 1.";
(13)il punto 2.9. è sostituito dal seguente:
"2.9. Ai fini dell'accesso alle informazioni OBD, alla diagnostica, alla riparazione e manutenzione, al monitoraggio e all'ispezione del veicolo, il costruttore del veicolo deve permettere l'accesso bidirezionale al flusso di dati di bordo del veicolo attraverso tutti i mezzi che seguono:
(a)la porta seriale del connettore normalizzato per la trasmissione dei dati di cui all'allegato C5, appendice 1, punto 6.5.3, del regolamento ONU n. 154, in conformità all'allegato 9B, punto 4.7.3, e alle norme di riferimento di cui all'appendice 6 di tale allegato del regolamento ONU n. 49;
(b)qualsiasi altro mezzo di accesso di bordo fornito dal costruttore ai suoi partner, concessionari e riparatori autorizzati o utilizzato dal costruttore a fini di riparazione e manutenzione, compresi i connettori Ethernet, i pin non standardizzati sulla porta OBD standardizzata, le interfacce di programmazione delle applicazioni utilizzate per l'integrazione del servizio postvendita e le reti locali senza fili;
(c)qualsiasi sistema fornito dal costruttore ai suoi partner, concessionari e riparatori autorizzati o utilizzato dal costruttore per consentire l'accesso da remoto alle informazioni OBD del veicolo per la riparazione e la manutenzione, compresi monitoraggio e ispezione (se effettuati a fini di riparazione e manutenzione) o servizi di riparazione e di diagnostica a distanza.
Laddove il veicolo sia in movimento, il costruttore può decidere di rendere disponibile il flusso di dati soltanto per le funzioni di sola lettura, a condizione che applichi la stessa restrizione ai propri partner, concessionari e riparatori autorizzati.
Il costruttore può stabilire condizioni per l'accesso al flusso di dati del veicolo, nella misura in cui ciò sia necessario e proporzionato ai fini della conformità all'articolo 4, paragrafo 5, lettera d), all'allegato II, riga D4, del regolamento (UE) 2019/2144, e all'articolo 4, paragrafi 7 e 8, e all'articolo 6, paragrafo 3, del regolamento (UE) 2024/1257. Per l'accesso mediante i mezzi di cui al punto 2.9, lettere a) e b), tali condizioni non devono andare oltre le condizioni che il costruttore è autorizzato ad applicare a norma dell'appendice 4 del presente allegato.";
* Regolamento n. 154 della Commissione economica per l'Europa delle Nazioni Unite (UNECE) — Disposizioni uniformi relative all'omologazione di veicoli leggeri per passeggeri e commerciali per quanto riguarda le emissioni di riferimento, le emissioni di biossido di carbonio e il consumo di carburante e/o la misurazione del consumo di energia elettrica e dell'autonomia in modalità elettrica (WLTP) [2021/2039] (GU L 423 del 26.11.2021, pag. 1, ELI:
https://eur-lex.europa.eu/eli/reg/2021/2039/oj
).
** Regolamento n. 49 della Commissione economica per l'Europa delle Nazioni Unite (UNECE) — Prescrizioni uniformi relative ai provvedimenti da prendere contro le emissioni di inquinanti gassosi e di particolato prodotte dai motori ad accensione spontanea e dai motori ad accensione comandata destinati alla propulsione di veicoli [2023/64] (GU L 14 del 16.1.2023, pag. 1, ELI: https://eur-lex.europa.eu/eli/reg/2023/64/oj);
(14)il punto 6.1. è sostituito dal seguente:
"6.1.
Si presume che il costruttore adempia l'obbligo di fornire le informazioni sulla riparazione e la manutenzione del veicolo sul proprio sito web in un formato standardizzato conformandosi alle parti delle norme da ISO 18541-1:2021 a ISO 18541-4:2021 e ISO 18541-5:2018, di cui al punto 2.1.
Coloro che chiedono il diritto di duplicare o ripubblicare tali informazioni devono avviare trattative dirette con il costruttore interessato. Devono essere disponibili anche materiali didattici, che possono essere veicolati attraverso canali diversi dai siti internet.
6.1.1. Ai fini della pubblicazione delle informazioni sulla riparazione e la manutenzione, il costruttore deve mettere a disposizione le informazioni sotto forma di file nel formato utilizzato per il trattamento elettronico diretto degli insiemi di dati contenuti in tali file. Le informazioni devono possedere lo stesso livello di dettaglio utilizzato dal costruttore per le riparazioni e la manutenzione. Devono essere documentate a fini interpretativi e aggiornate con la frequenza concordata con il gestore indipendente. Gli aggiornamenti devono essere disponibili con la stessa frequenza e tempistica di cui dispongono i concessionari e i riparatori autorizzati. Le informazioni devono essere fornite in fascicoli basati sulle informazioni tecniche per caso d'uso, come disponibili al costruttore. Le informazioni di cui alla prima frase del presente punto devono essere fornite sulla base dei termini e delle condizioni stabiliti dal costruttore in conformità al presente regolamento, quali i termini di pagamento ed eventuali condizioni o limiti d'uso compatibili e spese di cui all'articolo 63, paragrafo 1, del presente regolamento. I fascicoli di omologazione definiti in base a criteri che rispecchiano le prescrizioni in tema di informazioni per i casi d'uso 5.1.1, 5.1.2, 5.2, 5.3, 5.4, 5.5, 5.7, 5.8, 5.9, 8 e 11 della norma ISO 18541-1 2021 sono considerati conformi.
Il costruttore deve fornire unicamente, a decorrere dal [OP: inserire la data corrispondente a 12 mesi dopo l'entrata in vigore del presente regolamento], fascicoli di omologazione definiti sulla base di criteri che rispecchino le prescrizioni in tema di informazioni necessarie per il caso d'uso 5.3 e il caso d'uso 5.4 nella norma ISO 18541-1:2021 disponibili soltanto per numero di identificazione del veicolo (VIN) qualora un riparatore indipendente ne faccia richiesta tramite un'interfaccia di programmazione di un'applicazione (API). In tali casi, il riparatore indipendente deve trasmettere una richiesta specifica per VIN al costruttore tramite un terzo che agisca sulla base di un accordo con il costruttore.
Se i fascicoli di omologazione sono definiti sulla base di criteri che riflettono le prescrizioni in tema di informazioni per il caso d'uso 8 nella norma ISO 18541-1:2021, il costruttore deve fornire a tale soggetto terzo, a decorrere dal [OP: inserire la data corrispondente a 12 mesi dopo l'entrata in vigore del presente regolamento], un'API che consenta al riparatore indipendente di visualizzare e aggiornare i dati sulla cronologia elettronica della manutenzione, fatte salve le condizioni supplementari specificate nella norma ISO e, se del caso, le condizioni del costruttore e i processi utilizzati per ottenere il consenso del cliente. Il costruttore deve procedere sulla base degli stessi processi, o di processi equivalenti, e delle stesse informazioni prescritte specificate nel suo sito web dedicato alle informazioni sulla riparazione e la manutenzione. In tali casi il riparatore indipendente, con il consenso del cliente, può trasmettere al costruttore una richiesta di aggiornamento dei dati sulle riparazioni o manutenzioni tramite un terzo che agisca sulla base di un accordo con il costruttore. Per verificare l'identità del riparatore indipendente può essere utilizzato un certificato conforme alla raccomandazione ITU-T X.509 dell'Unione internazionale delle telecomunicazioni.
L'accesso a tali API, anche per l'aggiornamento delle voci della cronologia elettronica della manutenzione, è soggetto all'articolo 63, paragrafo 1.
Le informazioni devono essere strutturate in modo che sia successivamente possibile cercare e filtrare le informazioni contenute nel fascicolo in base a criteri di classificazione relativi al tipo di modello e ad altri criteri di classificazione utilizzati dalla rete del costruttore del veicolo.
6.1.2. Le informazioni relative a tutte le parti di cui il veicolo, identificato dal VIN e da ogni altro criterio aggiuntivo come interasse, potenza del motore, tipo di rifinitura o di opzioni, è dotato dal costruttore del veicolo e che possono essere sostituite da pezzi di ricambio offerti dal costruttore del veicolo ai suoi concessionari o meccanici autorizzati o a terzi mediante un riferimento a un numero di ricambi originali, devono essere rese disponibili, sotto forma di insiemi di dati leggibili a macchina e trattabili elettronicamente, in una banca dati facilmente accessibile agli operatori indipendenti.
Tale banca dati deve comprendere il VIN, i numeri delle apparecchiature originali, la denominazione delle apparecchiature originali, le indicazioni di validità (inizio e fine di validità), le indicazioni di montaggio e, ove applicabile, le caratteristiche di struttura.
Le informazioni presenti nella banca dati devono essere aggiornate regolarmente. Se tali informazioni sono disponibili per i concessionari autorizzati, gli aggiornamenti devono comprendere tutte le modifiche apportate a singoli veicoli dopo la loro produzione.";
(15)il punto 6.2.2. è sostituito dal seguente:
"6.2.2. deve essere usato lo standard https//ssl-tls (RFC5246) o altro standard successivo;";
(16)il punto 6.2.3. è sostituito dal seguente:
"6.2.3. per la reciproca autenticazione tra operatori indipendenti e costruttori si devono utilizzare certificati di sicurezza conformi alla norma internazionale ISO/IEC 9594-8:2020;";
(17)il punto 6.4. è sostituito dal seguente:
"
6.4. La riprogrammazione delle centraline, la codifica delle varianti e l'attivazione dei pezzi di ricambio sono da effettuarsi utilizzando hardware non proprietario, senza alcuna dipendenza dall'hardware del costruttore conformemente a quanto segue:
a) norma internazionale ISO/22900-2;
b) SAE J2534-1;
c) SAE J2534-2;
d) TMC RP1210B;
e) norma SOVD-ISO/DIS 17978-1.
Qualora sia utilizzato Ethernet, la riprogrammazione delle centraline, la codifica delle varianti e l'attivazione dei pezzi di ricambio sono da effettuarsi conformemente alla norma ISO22900-2 o J2534-2.
Per convalidare la compatibilità dell'applicazione specifica del costruttore e delle interfacce di comunicazione dei veicoli (VCI) conformi alla norma internazionale ISO 22900-2, SAE J2534-1, SAE J2534-2 oppure TMC RP1210B, il costruttore deve offrire una convalida di VCI sviluppata in modo indipendente oppure le informazioni e il prestito di qualsiasi hardware speciale necessari a un costruttore VCI per effettuare la convalida.
Il costruttore può chiedere la corresponsione di commissioni ragionevoli e proporzionate per tale convalida o per le informazioni e l'hardware. Tali commissioni non devono scoraggiare l'uso della convalida né delle informazioni e dell'hardware.";
(18)è inserito il seguente punto 6.4 bis:
"6.4 bis. A decorrere dal [OP: inserire la data corrispondente a 6 mesi dopo l'entrata in vigore del presente regolamento], il costruttore del veicolo deve mettere a disposizione dei costruttori di strumenti diagnostici indipendenti uno dei seguenti software, o informazioni, per il tipo di veicolo per cui il certificato di omologazione è stato rilasciato per la prima volta dopo il 1º settembre 2020:
a) il software o le interfacce di servizi web che i costruttori indipendenti di strumenti diagnostici possono integrare, al fine di consentire la codifica delle varianti, abbinando a un veicolo un pezzo di ricambio originale (compresa una parte compatibile con il software e l'hardware (quale definita dal costruttore del veicolo) rifabbricata o riutilizzata) o un pezzo di ricambio autorizzato dal costruttore del veicolo, nonché la riprogrammazione delle centraline con il software di dotazione originale del veicolo secondo le istruzioni del costruttore del veicolo, oppure;
b) le informazioni, i processi e le risorse necessari per eseguire la riprogrammazione e la codifica delle varianti in uno strumento diagnostico indipendente del costruttore indipendente dello strumento diagnostico.
Tuttavia, in deroga al termine di cui alla prima frase del presente punto, il costruttore del veicolo mette a disposizione il software o le informazioni di cui alle precedenti lettere a) e b) a decorrere dalle date che seguono:
i)[OP: inserire la data corrispondente a 12 mesi dopo l'entrata in vigore del presente regolamento], per quanto riguarda i veicoli per i quali l'omologazione è stata rilasciata per la prima volta dopo il 1º settembre 2020 ma prima del 6 luglio 2022;
ii)[OP: inserire la data corrispondente a 24 mesi dopo l'entrata in vigore del presente regolamento] per qualsiasi operazione che comporti l'esecuzione di aggiornamenti del software o che dipenda da aggiornamenti del software.";
(19)è inserito il seguente punto 6.4 ter:
"6.4 ter. Fino a quando il costruttore del veicolo non mette a disposizione il software o le informazioni per tipo di veicolo, di cui al punto 6.4 bis, e per i due anni successivi a tale data, l'uso dell'hardware diagnostico e del software diagnostico del costruttore del veicolo da parte dei fornitori di servizi a distanza, di cui al punto 1.2 dell'appendice 4, ai fini della riprogrammazione e della codifica delle varianti o dell'attivazione di pezzi di ricambio, deve essere soggetto alle medesime commissioni e condizioni di pagamento applicabili ai riparatori indipendenti, indipendentemente dal fatto che gli strumenti diagnostici siano utilizzati a distanza.
Il costruttore del veicolo deve inoltre condividere con tutti i costruttori di strumenti diagnostici interessati, non appena disponibili:
(a)le informazioni necessarie per l'attuazione dell'API tra i sistemi rilevanti del costruttore del veicolo e dei costruttori di strumenti diagnostici;
(1)non oltre il [OP: inserire la data corrispondente a 12 mesi dopo l'entrata in vigore del presente atto] per qualsiasi operazione che comporti l'esecuzione di aggiornamenti del software o che dipenda da aggiornamenti del software,
(2)per le altre operazioni, non oltre il [OP: inserire la data corrispondente a 3 mesi dopo l'entrata in vigore del presente atto] o,
(3)per quanto riguarda i veicoli per i quali l'omologazione è stata rilasciata per la prima volta prima del 6 luglio 2022, entro il [OP: inserire la data corrispondente a 6 mesi dopo l'entrata in vigore del presente atto];
(b)le informazioni necessarie per testare la funzionalità di aggiornamento e l'interazione per l'hardware, entro il [OP: inserire la data corrispondente a 18 mesi dopo l'entrata in vigore del presente atto] per qualsiasi operazione che comporti l'esecuzione di aggiornamenti del software o che dipenda da aggiornamenti del software.";
(20)è inserito il seguente punto 6.4 quater:
"6.4 quater. Il disaccoppiamento di componenti, entità tecniche indipendenti, parti e accessori, ad eccezione di quelli originariamente progettati per non essere disaccoppiati, deve essere eseguito secondo il processo di cui al presente punto. Non deve essere soggetto a condizioni diverse da quelle indicate al presente punto.
Il costruttore deve mettere in atto un processo per il disaccoppiamento di componenti, entità tecniche indipendenti, parti e accessori. Per il montaggio di componenti, entità tecniche indipendenti, parti o accessori riutilizzati, i processi definiti dal costruttore del veicolo possono prevedere l'obbligo di fornire l'identificativo unico (compreso, se del caso, il numero di serie dell'unità) del componente o dell'entità tecnica indipendente, parte o accessorio in questione e il VIN del veicolo, oltre all'obbligo di ottenere l'autorizzazione del proprietario o del locatario del veicolo, qualora identificabili. L'autorizzazione, quando necessaria, può essere fornita anche in tempi diversi rispetto allo smontaggio dell'elemento in questione.
Ai fini della rifabbricazione nell'ambito di un processo industriale in cui un componente o entità tecnica indipendente, parte o accessorio usurato o guasto è riportato alle specifiche originali, il VIN del veicolo originale non sarà necessario per il disaccoppiamento dal veicolo originale. In tale caso possono essere necessari l'identificativo unico del componente e l'autorizzazione del proprietario o del locatario del veicolo, se identificabili.
Tutti gli operatori indipendenti, compresi i rifabbricanti e i ricondizionatori, autenticati conformemente alle prescrizioni dell'appendice 4, devono avere pari accesso a tali processi.
Per l'autenticazione di un tale operatore, qualora il processo di disaccoppiamento del costruttore del veicolo debba essere completato su sue piattaforme esterne, devono essere accettate le credenziali di autenticazione rilasciate conformemente all'appendice 4, punto 9.2, o le credenziali utilizzate per l'accesso al sito web RMI del costruttore del veicolo.";
(21)i punti 7.2. e 7.3. sono soppressi;
(22)il punto 7.4. è sostituito dal seguente:
"7.4. L'autorità di omologazione può presumere che il costruttore abbia applicato disposizioni e procedure adeguate riguardo all'accesso alle informazioni OBD del veicolo e alle informazioni sulla riparazione e la manutenzione del veicolo sulla base del certificato relativo all'accesso alle informazioni OBD e sulla riparazione e la manutenzione del veicolo, debitamente compilato, purché non siano stati presentati reclami.";
(23)è aggiunto il seguente punto 7.5.:
"7.5. Le informazioni OBD del veicolo e le informazioni sulla riparazione e la manutenzione del veicolo devono essere fornite agli operatori indipendenti al più tardi alla data in cui il veicolo è immesso sul mercato.";
(24)nell'appendice 2, il punto 3 è sostituito dal seguente:
"3. Informazioni necessarie per la fabbricazione di strumenti diagnostici
Per favorire la produzione di strumenti di diagnosi generici per le officine di riparazione multimarca, il costruttore del veicolo deve mettere a disposizione le informazioni di cui ai punti 3.1, 3.2 e 3.3. Tali informazioni devono comprendere tutte le funzioni degli strumenti di diagnosi e tutti i link alle informazioni sulla riparazione e alle istruzioni per individuare e risolvere problemi (troubleshooting). L'accesso alle informazioni può essere subordinato al pagamento di una commissione ragionevole.";
(25)l'appendice 3 è così modificata:
(a)al punto 2 sono aggiunti i seguenti punti 2.1.14 e 2.1.15:
"2.1.14. Fornitore di servizi a distanza (RSS)"
Per "fornitore di servizi a distanza (RSS - remote service supplier)" si intende un fornitore di servizi che esegue a distanza, come servizio fornito all'OI nell'ambito delle sue attività relative al SERMI, la programmazione, il montaggio o l'attivazione su un veicolo di parti e accessori.
2.1.15. "Dipendente di un RSS"
Per "dipendente di un RSS" si intende il dipendente di un fornitore di servizi a distanza approvato che, previa autorizzazione dell'organismo di valutazione della conformità, avrà accesso alle RMI connesse alla sicurezza.";
(b)al punto 3, il terzo e quarto punto sono sostituiti dai seguenti:
"Gli OI che desiderano ricevere RMI connesse alla sicurezza devono ottenere un certificato ispettivo di approvazione da un CAB accreditato.
I dipendenti di un OI che tratteranno le RMI connesse alla sicurezza devono ottenere un certificato ispettivo di autorizzazione da un CAB accreditato.";
(c)al punto 4.1.1 è aggiunta la lettera f) seguente:
"f) il SERMI gestisce un elenco di interpretazioni approvate, da utilizzare esclusivamente ai fini dell'interpretazione del regime.";
(d)è aggiunto il seguente punto 4.4.2:
"4.4.2. L'RSS è soggetto alle responsabilità e alle prescrizioni di cui al punto 4.4.1.";
(e)è aggiunto il seguente punto 4.5.2:
"4.5.2. Il dipendente di un RSS è soggetto alle responsabilità e alle prescrizioni di cui al punto 4.5.1.";
(26)è aggiunta la seguente appendice 4:
"Appendice 4
Condizioni e procedura di accesso alle informazioni OBD del veicolo
1.
Ambito di applicazione
1.1.
La presente appendice reca le uniche condizioni di accesso che il costruttore è autorizzato a stabilire e le uniche procedure che il costruttore del veicolo deve applicare, o che può richiedere ad altre parti di applicare, quando attua le misure di sicurezza per l'accesso alle informazioni OBD di cui al punto 2.9, lettere a) e b), del presente allegato.
1.2.
Qualsiasi riferimento nella presente appendice a operatori indipendenti o a partner, concessionari e riparatori autorizzati dal costruttore, nonché a un costruttore di veicoli che agisca a fini di riparazione e manutenzione, comprende qualsiasi persona o operatore che agisca per loro conto, come un fornitore di servizi che esegue a distanza, come servizio fornito all'operatore indipendente, la programmazione, il montaggio o l'attivazione su un veicolo di parti e accessori (fornitori di servizi a distanza).
2.
Obblighi del costruttore
2.1.
Il costruttore del veicolo è responsabile di garantire il rispetto di tutti i prerequisiti tecnici per l'applicazione delle procedure di cui alla presente appendice, tra cui le credenziali di accesso quali certificati o token software e gli accordi necessari con i costruttori di strumenti diagnostici.
2.2.
Il costruttore del veicolo deve dimostrare all'autorità di omologazione che il veicolo è progettato per consentire l'accesso alle informazioni OBD, conformemente alle prescrizioni della presente appendice, mediante strumenti diagnostici multimarca.
2.3.
Il costruttore del veicolo deve fornire ai costruttori di strumenti diagnostici le informazioni di cui al punto 11 della presente appendice.
2.4.
Il costruttore del veicolo deve garantire che il server utilizzato per consentire l'accesso a norma del punto 2.9 del presente allegato offra agli operatori indipendenti, in maniera non discriminatoria, la stessa disponibilità e le stesse prestazioni del sistema di informazione che offre ai partner, concessionari e riparatori autorizzati del costruttore del veicolo, o che è utilizzato dal costruttore stesso a tale fine.
Il costruttore del veicolo deve garantire che qualsiasi server utilizzato per consentire l'accesso a norma del punto 2.9 del presente allegato sia accessibile senza interruzioni, salvo circostanze eccezionali e imprevedibili al di fuori del suo controllo e non imputabili a sua negligenza, o come necessario ai fini della manutenzione del sistema di informazione. In caso di manutenzione, il periodo di indisponibilità non deve superare il periodo di manutenzione di qualsiasi altro server utilizzato dal costruttore per consentire l'accesso ai fini di cui al punto 2.9 del presente allegato. Le informazioni sulla manutenzione programmata devono essere messe a disposizione dei costruttori di strumenti diagnostici con sufficiente anticipo.
Su richiesta, il costruttore del veicolo mette a disposizione dell'autorità di omologazione le informazioni statistiche annuali sulla disponibilità del server. I casi di indisponibilità dei server devono essere prontamente segnalati dal costruttore del veicolo al forum OBD di cui al punto 12.
2.5.
Il costruttore del veicolo non deve limitare l'accesso alle informazioni OBD oltre le restrizioni di cui alla presente appendice, se non altrimenti specificamente previsto dal presente regolamento. Il costruttore del veicolo, inoltre, non deve limitare l'accesso degli operatori indipendenti alle informazioni OBD oltre le restrizioni applicabili ai suoi partner, concessionari e riparatori autorizzati o al costruttore del veicolo che accede alle informazioni OBD a fini di riparazione e manutenzione.
2.6.
Il costruttore del veicolo deve fare in modo che le misure di cibersicurezza applicate, anche in relazione ai requisiti di compatibilità di cui al punto 6.2, non comportino una limitazione o un ostacolo all'accesso alle informazioni OBD di cui alla presente appendice oltre quanto necessario e proporzionato ai fini della conformità all'articolo 4, paragrafo 5, lettera d), e all'allegato II, riga D4, del regolamento (UE) 2019/2144. Le misure possono essere rivolte a rischi e minacce future qualora il costruttore del veicolo possa dimostrarne l'impatto e la probabilità.
2.7.
Le misure applicate dal costruttore del veicolo per prevenire manomissioni delle emissioni e frodi relative al contachilometri non devono limitare né ostacolare l'accesso alle informazioni OBD al di là di quanto necessario e proporzionato a fini della conformità all'articolo 4, paragrafi 7 e 8, del regolamento (UE) 2024/1257.
3.
Autenticazione
3.1.
Come condizione per il rilascio delle credenziali di accesso, il costruttore del veicolo può esigere l'autenticazione del costruttore dello strumento diagnostico e dello strumento diagnostico utilizzato, eccetto che per le operazioni di riparazione e manutenzione che seguono:
a)
lettura dei codici diagnostici di guasto;
b)
lettura del VIN del veicolo;
c)
lettura dei dati e azzeramento dei codici diagnostici di guasto qualora sia necessario un accesso illimitato con uno scanner generico o uno scanner OBD a norma del regolamento (UE) 2017/1151 o del regolamento (UE) 2024/1257; o di cui al regolamento ONU n. 49, n. 83*, n. 168** o n. 154.
3.2.
Qualora l'accesso alle informazioni OBD comporti modifiche al veicolo, il costruttore del veicolo può, come condizione per il rilascio delle credenziali di accesso, esigere l'autenticazione dell'operatore. Nel caso dei dispositivi utilizzati a fini di monitoraggio, se i dati sono soltanto letti e trasmessi autonomamente al server del costruttore dello strumento diagnostico in assenza di interazione umana, il costruttore del veicolo non deve esigere l'autenticazione dell'operatore.
3.3.
Qualora l'accesso alle informazioni OBD comporti una modifica del software del veicolo o della sua configurazione o dei suoi parametri consistente in una riprogrammazione del codice software del veicolo che implica un'alterazione del comportamento previsto del veicolo e persiste oltre le operazioni di riparazione e manutenzione, così da poter essere invertita o sovrascritta soltanto dall'esecuzione di un'operazione equivalente, il costruttore del veicolo può esigere l'autenticazione del dipendente dell'operatore che intende accedere alle informazioni OBD, a meno che il costruttore dello strumento diagnostico non attesti al costruttore del veicolo che, sulla base del risultato di un'ispezione indipendente effettuata non prima di tre anni dalla richiesta, l'operatore dispone di un sistema che consente di identificare in modo inequivocabile il dipendente che richiede l'accesso.
3.4.
I casi di accesso di cui al punto 3.2 comprendono operazioni di riparazione e manutenzione quali l'attivazione di attuatori e routine di prove funzionali, l'azzeramento di codici diagnostici di guasto, il rispristino delle impostazioni di fabbrica delle luci di servizio, il rispristino delle impostazioni di fabbrica dei parametri di apprendimento adattativo e la sostituzione di parti, compresa l'inizializzazione di dati relativi a componenti non intelligenti e alla lettura mediante identificativo, tranne nel caso in cui siano utilizzati ai fini dell'ispezione tecnica periodica con valori comparabili a quelli definiti nella norma ISO20730-3, allegato B, a condizione che tali valori siano disponibili nel veicolo.
3.5.
I casi di accesso di cui al punto 3.2 devono comprendere la taratura, intesa come processo di regolazione o allineamento dei parametri software e hardware del veicolo, secondo quanto stabilito dal costruttore del veicolo e in assenza di codifica delle varianti o di modifica del software del veicolo.
3.6.
Ai fini dell'autenticazione di cui ai punti da 3.1 a 3.3, il costruttore del veicolo può esigere dal costruttore dello strumento utilizzato per accedere alle informazioni OBD che questi gli attesti quanto segue:
a)
l'identità dello strumento diagnostico;
b)
se l'accesso alle informazioni OBD comporta modifiche del veicolo, di cui al punto 3.2, l'identità dello strumento diagnostico, l'identità pseudonimizzata dell'operatore e il possesso, da parte dell'operatore, dei requisiti per l'autorizzazione di cui al punto 8.1;
c) se l'accesso alle informazioni OBD comporta una modifica del software del veicolo o della sua configurazione o dei suoi parametri consistente in una riprogrammazione del codice software del veicolo, che implichi un'alterazione del comportamento previsto del veicolo e persista oltre le operazioni di riparazione e manutenzione, così da poter essere invertita o sovrascritta soltanto dall'esecuzione di un'operazione equivalente, di cui al punto 3.3, l'identità pseudonimizzata del dipendente dell'operatore e il possesso da parte del dipendente dei requisiti per l'autorizzazione di cui al punto 8.2.
3.7.
Nei casi di cui al punto 3.6, lettere b) e c), l'identità dell'operatore e, se del caso, del suo dipendente, e il possesso da parte loro dei requisiti per l'autorizzazione di cui ai punti 8.1 e 8.2; in alternativa, le credenziali possono essere accertate mediante un certificato di autorizzazione di cui al punto 9.2.
3.8.
Il costruttore del veicolo non deve esigere il pagamento di commissioni per l'accesso a norma del punto 2.9 dell'allegato X. Tuttavia il costruttore del veicolo può chiedere la corresponsione di commissioni giustificate e proporzionate per l'uso del sistema a distanza di cui al punto 2.9, lettera c).
4.
Prescrizioni relative alla connessione
4.1.
Ad eccezione dei casi di accesso di cui al punto 3.1, lettere da a) a c), il costruttore del veicolo può richiedere una connessione online una tantum dallo strumento diagnostico, attraverso il server del costruttore dello strumento, al server del costruttore del veicolo per ricevere le credenziali. In seguito alla fornitura delle credenziali di accesso, per l'accesso non deve essere necessaria una connessione online.
4.2.
Qualora l'accesso alle informazioni OBD comporti una modifica del software del veicolo o della sua configurazione o dei suoi parametri, che implichi un'alterazione del comportamento previsto del veicolo che persiste oltre le operazioni di riparazione e manutenzione, e che può essere invertita o sovrascritta solo dall'esecuzione di un'operazione equivalente, il costruttore del veicolo può richiedere una connessione online continua al momento dell'esecuzione della riparazione dallo strumento diagnostico al server del costruttore dello strumento diagnostico e dal costruttore dello strumento diagnostico al server del costruttore del veicolo.
4.3.
I casi di accesso di cui al punto 4.2 includono:
a) le operazioni di riparazione e manutenzione come l'impostazione di un componente di ricambio e delle preferenze del cliente, l'identificazione di una centralina elettronica (ECU) e la codifica delle varianti, l'inizializzazione di una ECU e di un componente, la codifica delle varianti in caso di sostituzione di componenti esistenti e la codifica delle varianti in caso di aggiunta di un nuovo componente;
b) le operazioni di riparazione e manutenzione di cui al punto 5.5.
4.4.
I casi di accesso di cui al punto 4.2 non comprendono le operazioni di riparazione e manutenzione indicate ai punti 3.4 e 3.5.
4.5.
Tuttavia, in deroga al punto 4.4, i casi di accesso di cui al punto 4.2 comprendono le operazioni di riparazione e manutenzione di cui al punto 3.5 laddove sia necessario convalidare i valori di taratura soggetti a prescrizioni normative o qualora la taratura non possa essere completata senza i dati specifici del singolo componente o dell'entità tecnica indipendente, necessari per completare la riparazione e ricavati dal server del costruttore nell'ambito di un processo di codifica delle varianti.
5.
Prescrizioni relative alla tracciabilità
5.1.
Ad eccezione dei casi di accesso di cui al punto 3.1, lettere da a) a c), il costruttore del veicolo può esigere dal costruttore dello strumento diagnostico che questi raccolga e conservi il VIN del veicolo e l'identificativo unico dello strumento diagnostico.
5.2.
Qualora l'accesso alle informazioni OBD comporti modifiche del veicolo, il costruttore del veicolo può esigere dal costruttore dello strumento diagnostico che questi raccolga e conservi traccia delle informazioni relative a tutte le operazioni diagnostiche eseguite (ad esempio ID-servizio e sottofunzione), dei parametri/attributi utilizzati e della data e dell'ora UTC di ciascuna interazione con il veicolo.
5.3.
I casi di accesso di cui al punto 5.2 comprendono le operazioni di riparazione e manutenzione di cui ai punti 3.4, 3.5, 4.3 e 4.5.
5.4.
Qualora l'accesso alle informazioni OBD comporti una modifica del software del veicolo o della sua configurazione o dei suoi parametri consistente in una riprogrammazione del codice software del veicolo che implichi un'alterazione del comportamento previsto del veicolo e persista oltre le operazioni di riparazione e manutenzione, così da poter essere invertita o sovrascritta soltanto dall'esecuzione di un'operazione equivalente, il costruttore del veicolo può esigere dal costruttore dello strumento diagnostico che questi raccolga e trasmetta i risultati dell'ispezione della topologia di rete del veicolo, lo stato iniziale del veicolo al momento della connessione, comprese le versioni hardware/software di tutte le centraline elettroniche installate sul veicolo, i risultati di tutte le interazioni dei moduli e delle routine di funzionamento (ad esempio i parametri di ritorno) e il resoconto del controllo finale dello stato di salute del veicolo dopo la riparazione.
5.5.
I casi di accesso di cui al punto 5.4 comprendono le operazioni di riparazione e manutenzione come l'abbinamento di un pezzo di ricambio originale (compresa la parte compatibile con il software e l'hardware, quale definita dal costruttore del veicolo, rifabbricata o riutilizzata) o di un pezzo di ricambio autorizzato dal costruttore di un veicolo utilizzando uno strumento diagnostico indipendente, nonché la riprogrammazione di un modulo mediante il software della dotazione originale del veicolo e il software della programmazione originale del veicolo conformemente alle istruzioni del costruttore del veicolo. Comprendono anche i casi di disaccoppiamento o cancellazione di una parte da un veicolo.
5.6.
I casi di accesso di cui al punto 5.4 non comprendono le operazioni di riparazione e manutenzione indicate ai punti 3.4, 3.5, 4.3 e 4.5.
6.
Requisiti di cibersicurezza dello strumento diagnostico
6.1.
Fatta eccezione per i casi di accesso di cui al punto 3.1, lettere da a) a c), il costruttore del veicolo può esigere che lo strumento diagnostico utilizzato per accedere alle informazioni OBD sia conforme alle prescrizioni pertinenti del regolamento (UE) 2024/2847 e che il costruttore dello strumento diagnostico rispetti il Trusted Information Security Assessment Exchange (TISAX), al livello specificato dal costruttore del veicolo conformemente al punto 2.5, o alla norma ISO 27001.
6.2.
Ogniqualvolta l'accesso alle informazioni OBD comporti modifiche del veicolo, di cui al punto 3.2, il costruttore del veicolo può esigere che lo strumento diagnostico utilizzato per accedere alle informazioni OBD e il costruttore dello strumento diagnostico rispettino le prescrizioni relative all'implementazione della sicurezza da parte del costruttore del veicolo.
6.3.
Le prescrizioni relative all'implementazione della sicurezza da parte del costruttore del veicolo non devono eccedere quelle previste per lo strumento diagnostico del costruttore del veicolo o per i suoi fornitori di strumenti e la sua organizzazione e devono essere applicate in maniera non discriminatoria.
6.4.
Il costruttore del veicolo può esigere dal costruttore dello strumento diagnostico che questi effettui prove per verificare la conformità dello strumento diagnostico alle prescrizioni specificate. Un accordo sul livello dei servizi deve garantire che qualsiasi verifica dei risultati di tali prove effettuata dal costruttore del veicolo sia effettuata tempestivamente. Nel caso in cui la conformità del costruttore dello strumento diagnostico alle prescrizioni del presente punto non sia confermata, il costruttore del veicolo deve fornire una chiara motivazione della non conformità, unitamente alle misure che il costruttore dello strumento diagnostico deve adottare.
6.5.
I casi di accesso di cui al punto 6.2 comprendono le operazioni di riparazione e manutenzione di cui ai punti 3.4 e 3.5.
6.6.
Ogniqualvolta l'accesso alle informazioni OBD comporti una modifica del software del veicolo o della sua configurazione o dei suoi parametri che implichi un'alterazione del comportamento previsto del veicolo e persista oltre le operazioni di riparazione e manutenzione, così da poter essere invertita o sovrascritta soltanto dall'esecuzione di un'operazione equivalente, il costruttore del veicolo può esigere che lo strumento diagnostico utilizzato per accedere alle informazioni OBD e il costruttore dello strumento diagnostico rispettino le prescrizioni relative all'attuazione del sistema di gestione degli aggiornamenti del software del costruttore del veicolo (secondo la definizione contenuta nel regolamento ONU n. 156***). Tali prescrizioni non devono eccedere quelle previste per lo strumento diagnostico, i fornitori di strumenti e l'organizzazione del costruttore del veicolo e devono essere applicate in maniera non discriminatoria.
6.7.
I casi di accesso di cui al punto 6.6 comprendono le operazioni di riparazione e manutenzione di cui ai punti 4.3, 4.5 e 5.5 e non comprendono quelle di cui ai punti 3.4 e 3.5.
7.
Accesso alle credenziali
7.1.
Qualora siano soddisfatte tutte le condizioni di cui ai punti 3, 4 e 6, il costruttore del veicolo deve fornire senza indugio al costruttore dello strumento diagnostico le credenziali di accesso sufficienti a consentire l'accesso alle informazioni OBD richieste.
7.2.
Le credenziali di accesso possono essere specifiche per VIN.
7.3.
Le credenziali di accesso devono essere valide per almeno 30 giorni dal momento in cui sono fornite.
7.4.
Laddove però l'accesso alle informazioni OBD comporti una modifica del veicolo, il costruttore del veicolo può limitare la validità delle credenziali di accesso a 24 ore.
7.5.
I casi di accesso di cui al punto 7.4 comprendono le operazioni di riparazione e manutenzione di cui ai punti 3.4, 3.5, 4.3, 4.5 e 5.5.
8.
Criteri di autorizzazione e certificati di autorizzazione
8.1.
Nei casi di cui al punto 3.2, il costruttore del veicolo può rifiutare di rilasciare le credenziali di accesso se il costruttore dello strumento diagnostico utilizzato per accedere alle informazioni OBD non attesta che l'operatore che richiede l'accesso:
a)
dispone di un'assicurazione di responsabilità civile con un importo minimo di copertura di 1 milione di EUR per lesioni personali e di 0,5 milioni di EUR per danni materiali;
b)
esercita un'attività commerciale legittima nel settore automobilistico di cui al punto 6.3 del presente allegato.
Il costruttore del veicolo non deve imporre altre condizioni per il rilascio delle credenziali di accesso oltre a quelle specificate alle lettere a) e b).
8.2.
Nei casi di cui al punto 5.4, se il costruttore del veicolo esige l'autenticazione del dipendente dell'operatore e a meno che il costruttore dello strumento diagnostico non attesti al costruttore del veicolo, nel rispetto delle condizioni di cui al punto 3.3, che l'operatore dispone di un sistema che consente l'identificazione inequivocabile del dipendente che richiede l'accesso, il costruttore del veicolo può rifiutarsi di rilasciare credenziali di accesso qualora il costruttore dello strumento diagnostico utilizzato per accedere alle informazioni OBD non attesti, oltre alle condizioni di cui al punto 8.1, che il dipendente che richiede l'accesso alle informazioni OBD è titolare di un contratto di lavoro con l'operatore che richiede tale accesso e che il dipendente in questione è in possesso di una specifica carta d'identità nazionale in corso di validità o di un documento equivalente.
8.3.
Per poter beneficiare della procedura di autenticazione di cui alla presente appendice, il costruttore dello strumento diagnostico deve essersi impegnato ad accettare, nelle condizioni generali dei contratti con gli operatori, su richiesta dell'operatore indipendente e al fine di attestare la conformità alle prescrizioni di cui ai punti 8.1 e 8.2, un certificato di cui al punto 9.2 della presente appendice rilasciato non prima di 60 mesi dalla richiesta di accesso. Se però l'operatore non chiede di essere autenticato sulla base di tale certificato, il costruttore dello strumento diagnostico può, ai fini dell'autenticazione, scegliere di verificare l'identità dell'operatore o del relativo dipendente e la conformità ai criteri di autorizzazione con procedure proprie.
9.
Organismo di valutazione della conformità e centro protezione
9.1.
I certificati di cui ai punti 3.7 e 8.3 devono essere rilasciati da un centro protezione di cui all'appendice 3, punto 2.1.6, sulla base delle risultanze di un organismo di valutazione della conformità di cui all'appendice 3, punto 4.2.2, per quanto riguarda le circostanze di cui al punto 9.2.
9.2.
Ai fini del rilascio dei certificati di autorizzazione da parte di un centro protezione, l'organismo di valutazione della conformità deve:
a)
rispettare le prescrizioni dell'allegato X, appendice 3, punto 4.3.1, lettere a), b), d), e), f), g), h), i), k), l), n) e p);
b)
verificare e confermare le circostanze di cui all'allegato X, appendice 3, punto 4.3.3, lettere d) e g). Nei casi di cui al punto 5.4, se il costruttore del veicolo esige l'autenticazione del dipendente dell'operatore, la verifica e la conferma di tali circostanze devono riferirsi al dipendente dell'operatore.
9.3.
Ai fini del rilascio dei certificati di autorizzazione nei casi di cui al punto 9.1, il centro protezione deve:
a)
rispettare le prescrizioni dell'appendice 3, punto 4.6;
b)
fornire al costruttore dello strumento diagnostico tutte le informazioni necessarie per l'integrazione dei certificati nei loro strumenti diagnostici.
10.
Accesso del costruttore del veicolo alle informazioni relative all'operatore
10.1. Su richiesta, il costruttore del veicolo deve ottenere dal costruttore dello strumento diagnostico l'accesso alle informazioni relative a singoli interventi di riparazione o manutenzione registrati conformemente al punto 5 soltanto se ciò è necessario in relazione ai lavori di riparazione o manutenzione effettuati su un singolo veicolo per:
a)
reagire a un ragionevole sospetto di grave uso improprio dell'accesso al veicolo;
b)
svolgere indagini in caso di responsabilità per danni da prodotti difettosi o di richieste di interventi in garanzia;
c)
indagare sugli incidenti di cibersicurezza o le alterazioni illecite, rispondere alle domande del proprietario del veicolo o di un'autorità pubblica.
Nei casi di cui alle lettere b) e c), le informazioni comprendono, se del caso, le informazioni riguardanti l'operatore e/o i suoi dipendenti. Nei casi in cui per l'autenticazione il costruttore dello strumento diagnostico si è basato su un certificato fornito dal centro protezione, il CAB competente deve fornire le informazioni necessarie sulla base della sua valutazione di una richiesta documentata del costruttore del veicolo.
Il costruttore del veicolo deve garantire che le informazioni relative a un singolo intervento di riparazione o manutenzione cui si accede per gli scopi di cui alle lettere da a) a c) non siano utilizzate per altri fini.
10.2.
Nei casi di cui al punto 10.1, il costruttore dello strumento diagnostico deve informare senza indugio l'operatore indipendente e, se del caso, il relativo dipendente in merito all'accesso alle informazioni relative a un singolo intervento di riparazione o manutenzione o alle informazioni riguardanti l'operatore e/o i relativi dipendenti.
10.3.
Nei casi di cui al punto 10.1, lettere a) e c), e ove ciò sia necessario e proporzionato al fine di prevenire ulteriori usi impropri o affrontare rischi connessi alla cibersicurezza, il costruttore del veicolo può sospendere temporaneamente o limitare l'accesso dello strumento diagnostico in questione o chiedere al costruttore dello strumento diagnostico interessato di adottare misure immediate per limitare temporaneamente l'accesso dell'operatore, dello strumento diagnostico o del dipendente alle informazioni OBD relative ai veicoli del costruttore.
10.4.
In casi eccezionali, in risposta a un incidente di cibersicurezza significativo presente o imminente, il costruttore del veicolo può sospendere l'accesso alle informazioni OBD, al livello più granulare possibile, qualora sia necessario e proporzionato rispondere all'incidente in questione.
10.5.
Nei casi di cui ai punti 10.3 e 10.4, il costruttore del veicolo deve allo stesso tempo notificare la sospensione all'autorità di omologazione, unitamente ai motivi della sospensione e a tutti gli elementi di prova del caso. La sospensione deve essere revocata quando l'incidente è risolto o l'autorità di omologazione ne fa richiesta al costruttore del veicolo.
Entro 10 giorni dalla data della notifica, l'autorità di omologazione deve esaminare i motivi della sospensione e, qualora questa sia manifestamente ingiustificata o sproporzionata, chiedere al costruttore del veicolo o al costruttore dello strumento diagnostico in questione di ripristinare l'accesso.
Qualora ritenga che siano venuti meno i motivi della sospensione, l'autorità di omologazione può richiedere in qualsiasi momento al costruttore del veicolo e al costruttore dello strumento diagnostico interessato di ripristinare l'accesso.
11.
Informazioni da fornire ai costruttori degli strumenti diagnostici
11.1.
Il sistema RMI del costruttore del veicolo deve mostrare i dati di contatto e le informazioni sul processo per l'ottenimento delle informazioni richieste, come specificato alle lettere a), b), c) e d), riguardanti l'integrazione dello strumento diagnostico, al momento dell'omologazione.
a)
Informazioni di contatto per le richieste di natura tecnica e commerciale.
b)
Descrizione del processo di integrazione, comprese le tempistiche indicative.
c)
Termini e condizioni generali per l'integrazione degli strumenti diagnostici da parte del costruttore dello strumento diagnostico.
d)
Schema delle commissioni per i servizi connessi all'integrazione.
11.2.
Fatta salva la conclusione di un accordo di riservatezza, il costruttore del veicolo deve mettere a disposizione, su richiesta, le informazioni che seguono a qualsiasi operatore indipendente conforme al TISAX, al livello specificato dal costruttore del veicolo conformemente al punto 2.5, o alla norma ISO 27001:
a)
a titolo di riferimento, un modello di accordo sull'integrazione della sicurezza, che indichi chiaramente i termini da includere in tutti gli accordi conclusi tra il costruttore del veicolo e i costruttori di strumenti diagnostici in materia;
b)
descrizione dei requisiti e dei processi per l'integrazione sicura dello strumento diagnostico, comprese le tempistiche indicative.
11.3.
Il costruttore del veicolo deve fornire al costruttore dello strumento diagnostico le informazioni che seguono e mettere a sua disposizione i servizi di seguito indicati al momento della conclusione di un accordo sull'integrazione dello strumento diagnostico:
a)
requisiti, processi e specifiche tecniche dettagliati e aggiornati in modo tempestivo per l'integrazione sicura dello strumento diagnostico, comprese le prescrizioni di implementazione della sicurezza;
b)
a fronte di una remunerazione ragionevole, come indicato al punto 2.3, assistenza tecnica di risposta istantanea per l'integrazione della sicurezza e la verifica degli strumenti diagnostici.
11.4.
Le prescrizioni relative all'implementazione della sicurezza di cui al punto 11.3 devono essere accompagnate dalla spiegazione delle relative motivazioni. Il costruttore del veicolo può limitarsi a indicare le prescrizioni necessarie, senza spiegazioni dettagliate, in casi eccezionali in cui:
a)
la divulgazione degli obiettivi specifici alla base di una prescrizione potrebbe compromettere informazioni proprietarie o segreti commerciali; oppure
b)
la divulgazione della motivazione rivelerebbe una strategia di cibersicurezza più ampia che deve rimanere riservata per preservare l'integrità del sistema.
11.5.
Le informazioni di cui ai punti da 11.1 a 11.3 devono essere fornite insieme alla domanda di omologazione.
12.
Forum OBD
12.1.
Il forum sull'accesso alle informazioni relative ai veicoli (forum OBD) è incaricato di coordinare e monitorare l'applicazione delle procedure di:
a) autenticazione e autorizzazione degli operatori indipendenti, come descritto ai punti 3 e 8 della presente appendice, compresi i processi adoperati dai costruttori degli strumenti diagnostici per la verifica dei criteri di autorizzazione, come descritto al punto 3 della presente appendice;
b) rilascio delle credenziali di accesso di cui al punto 7 della presente appendice, compreso il rispetto delle prescrizioni relative alla tracciabilità e alla connettività;
c) divulgazione delle informazioni relative all'accesso e alla sospensione o limitazione dell'accesso, come descritto al punto 10 della presente appendice.
12.2. Il forum deve:
a)
fornire consulenza alla Commissione in merito all'applicazione della presente appendice;
b) fornire consulenza alle autorità di omologazione in merito alle controversie relative all'interpretazione e all'applicazione della presente appendice;
c)
fornire consulenza ai costruttori dei veicoli, ai costruttori degli strumenti diagnostici e agli operatori indipendenti in merito a quanto segue:
i) interpretazione dell'appendice;
ii) aspetti pratici delle procedure di cui al punto 12.1;
iii) orientamenti per la risoluzione delle controversie relative all'applicazione delle procedure di cui al punto 12.1.
12.3.
I membri del forum OBD devono essere costituiti da costruttori di veicoli e operatori indipendenti coinvolti nell'applicazione e nell'uso delle procedure e dei processi di cui al punto 12.1.
12.4.
Il forum OBD deve operare nell'ambito della struttura giuridica e organizzativa comune come il "Forum per l'accesso alle RMI del veicolo connesse alla sicurezza" di cui al punto 2.1.12 dell'appendice 3.".
* Regolamento n. 83 della Commissione economica per l'Europa delle Nazioni Unite (UN/ECE) — Disposizioni uniformi relative all'omologazione dei veicoli per quanto riguarda le emissioni inquinanti in base al carburante utilizzato dal motore (GU L 42 del 15.2.2012, pag. 1, ELI:
https://eur-lex.europa.eu/eli/reg/2012/83/oj/
).
** Regolamento n. 168 della Commissione economica per l'Europa delle Nazioni Unite (UN/ECE) — Disposizioni uniformi relative all'omologazione dei veicoli leggeri per passeggeri e commerciali per quanto riguarda le emissioni reali di guida (RDE) [2024/211] (GU L, 2024/211, 12.1.2024, ELI: http://data.europa.eu/eli/reg/2024/211/oj).
*** Regolamento n. 156 della Commissione economica per l'Europa delle Nazioni Unite (UN/ECE) — Disposizioni uniformi relative all'omologazione dei veicoli per quanto riguarda gli aggiornamenti del software e il relativo sistema di gestione [2021/388] (GU L 82 del 9.3.2021, pag. 60, ELI: https://eur-lex.europa.eu/eli/reg/2021/388/oj).