La città che impara, la strada che comunica: la legge di delegazione europea ridisegna le regole della mobilità e degli spazi urbani digitali

Città e strade sempre più smart. Cybersicurezza per ogni oggetto connesso, scambio automatizzato di dati sulle infrazioni stradali tra tutti gli Stati europei, protezione delle infrastrutture digitali urbane dagli attacchi informatici, certificazione obbligatoria dei servizi di sicurezza. La legge di delegazione europea 2025, approvata in via definitiva l’11 marzo, non parla esplicitamente di smart city. Ma disegna, norma per norma, l’infrastruttura giuridica dentro cui vivrà la città intelligente. Il Governo ha pochi mesi per tradurre tutto questo in decreti legislativi concreti.

La città è già connessa. Le regole arrivano adesso.

In una smart city il semaforo sa quante auto stanno arrivando. Il lampione misura la qualità dell’aria. Il parchimetro è aggiornato in tempo reale. Il mezzo di trasporto pubblico trasmette la sua posizione ogni trenta secondi. L’ascensore del palazzo comunale invia un alert prima ancora di guastarsi.

Tutto questo è già realtà in molte città italiane ed europee. Quello che non era ancora realtà — o lo era in modo frammentato e insufficiente — era il quadro normativo capace di governare questo ecosistema. Le regole sulla sicurezza dei dispositivi connessi. Le garanzie sullo scambio automatizzato di dati tra sistemi pubblici di Stati diversi. La certificazione dei servizi che proteggono le infrastrutture digitali urbane dagli attacchi informatici.

La Legge di delegazione europea 2025, approvata dal Parlamento l’11 marzo e in attesa di pubblicazione definitiva, colma questa lacuna. Non lo fa con un unico articolo dedicato alla smart city. Lo fa in modo sistematico, norma per norma, costruendo mattone per mattone un’architettura giuridica dentro cui la città digitale può finalmente operare con regole certe, sanzioni precise e responsabilità chiare.

Il Governo ha pochi mesi. I decreti legislativi attuativi sono vincolanti, con scadenze definite. Questo articolo spiega cosa sta per cambiare, e perché riguarda chiunque viva, lavori o si muova in una città.

Il Cyber Resilience Act, ogni oggetto connesso deve essere sicuro per costruzione

Il fulcro tecnologico della riforma è l’articolo 15 della legge di delegazione, che delega il Governo ad adeguare la normativa italiana al Regolamento (UE) 2024/2847 — meglio noto come Cyber Resilience Act (CRA). La delega deve essere esercitata entro sei mesi.

Cosa prevede il CRA? Una rivoluzione nel modo in cui vengono progettati, prodotti e immessi sul mercato i dispositivi digitali connessi. Ogni prodotto con elementi digitali — dagli smartphone ai router, dai sensori IoT ai sistemi di controllo degli edifici pubblici, dai contatori intelligenti ai dispositivi medicali — dovrà rispettare requisiti essenziali di cybersicurezza già in fase di progettazione, non come aggiunta successiva.

È il principio del security by design reso obbligatorio per legge. Chi produce un dispositivo connesso non potrà più delegare la sicurezza a patch successive o aggiornamenti rilasciati quando il problema è già emerso. Dovrà garantire che il prodotto nasca sicuro.

Per la smart city questo cambia tutto. I sensori ambientali installati nelle piazze, i totem interattivi nei trasporti pubblici, i sistemi SCADA che gestiscono illuminazione e reti idriche, i gateway di comunicazione tra infrastrutture — tutti questi dispositivi, se immessi sul mercato dopo l’entrata in applicazione del regolamento, dovranno rispettare standard di sicurezza certificati e verificati.

Il CRA stabilisce tre livelli di intervento. Il primo riguarda i requisiti essenziali di cybersicurezza per la progettazione e lo sviluppo dei prodotti. Il secondo disciplina la gestione delle vulnerabilità da parte dei fabbricanti per tutta la durata di vita prevista del prodotto — non solo al momento della vendita, ma per gli anni in cui il dispositivo rimane in uso. Il terzo introduce norme cogenti di vigilanza del mercato: qualcuno deve verificare che le regole vengano rispettate.

L’Autorità designata è l’ACN

In Italia, l’articolo 15 della legge di delegazione designa l’Agenzia per la cybersicurezza nazionale (ACN) come autorità di notifica e come autorità di vigilanza del mercato ai sensi del regolamento. Vengono stanziati fondi specifici: oltre 2 milioni di euro per il 2026, quasi 6 milioni per il 2027, più di 9 milioni per il 2028, e circa 7 milioni annui a partire dal 2029. Non è una norma senza copertura. È una scelta di politica industriale con risorse dedicate.

La parte del regolamento relativa agli obblighi di notifica delle vulnerabilità si applica dall’11 settembre 2026. Il resto dal dicembre 2027. Il tempo stringe, e il Governo italiano deve muoversi entro la finestra della delega.

La smart road che non conosce confini, il nuovo sistema europeo di scambio dati sulle infrazioni stradali

Avete mai guidato all’estero e superato il limite di velocità senza conseguenze, semplicemente perché eravate “stranieri” e le autorità locali non riuscivano a rintracciare i dati del veicolo immatricolato nel vostro Paese? Quel regime di relativa impunità è destinato a finire.

La Direttiva (UE) 2024/3237, che modifica la direttiva 2015/413, introduce un sistema pienamente digitale e automatizzato di scambio transfrontaliero di informazioni sulle infrazioni stradali. Il termine di recepimento per gli Stati membri è fissato al 20 luglio 2027.

Il meccanismo centrale è semplice nella sua logica: se un veicolo immatricolato in Germania commette un’infrazione in Italia, le autorità italiane potranno effettuare ricerche automatizzate nel registro di immatricolazione tedesco per recuperare i dati dell’intestatario, e successivamente notificare l’infrazione nella lingua del documento di immatricolazione del veicolo, con tutti i dettagli giuridici necessari perché il conducente possa comprenderla e contestarla.

EUCARIS

Il sistema tecnologico che abilita questo scambio è EUCARIS, il sistema europeo d’informazione sui veicoli e le patenti di guida, attraverso cui tutti gli Stati membri devono canalizzare le richieste e le risposte in modo standardizzato e altamente sicuro.

Le infrazioni per le quali si applica il meccanismo sono state significativamente ampliate rispetto alla versione precedente della direttiva. Non più solo eccesso di velocità e guida sotto l’influenza di alcol o droghe. La nuova lista comprende: mancato rispetto della distanza di sicurezza, sorpasso pericoloso, sosta o fermata pericolosa, attraversamento di strisce longitudinali continue, guida contromano, mancato rispetto delle norme sui corridoi di emergenza, uso di un veicolo sovraccarico, violazione delle restrizioni di accesso dei veicoli, incidente con fuga del conducente, mancato rispetto delle norme ai passaggi a livello ferroviari.

Un dettaglio tecnico rilevante per le città: entro il 20 luglio 2029, gli Stati membri dovranno garantire che le autorità competenti non deleghino a soggetti privati le attività connesse all’attuazione della direttiva. Chi controlla le telecamere di rilevamento delle infrazioni, chi gestisce i dati dei veicoli, chi invia le notifiche: tutto questo dovrà rimanere in mano pubblica o sotto controllo pubblico effettivo.

Sul fronte dell’informazione al cittadino, la Commissione europea creerà e gestirà un portale online sulle infrazioni stradali — il “portale CBE” — disponibile in tutte le lingue ufficiali dell’Unione, con informazioni sulle norme vigenti in ciascun Paese, sui diritti del conducente, sulle modalità di pagamento delle sanzioni e sui mezzi di ricorso. Una vera mappa digitale delle regole stradali europee, accessibile a chiunque prima di mettersi al volante in un Paese straniero.

Il Cyber Solidarity Act, proteggere le infrastrutture digitali urbane dagli attacchi informatici

Le città intelligenti sono vulnerabili. Un attacco informatico al sistema di gestione del traffico di una metropoli può generare blocchi e incidenti. Una compromissione dei sistemi di controllo delle reti idriche o elettriche può colpire centinaia di migliaia di persone. Non è fantascienza: episodi di questo tipo si sono verificati in Europa negli ultimi anni.

L’articolo 17 della legge di delegazione europea 2025 recepisce il Regolamento (UE) 2025/38, il Cyber Solidarity Act, con una delega da esercitare entro nove mesi.

Il regolamento istituisce tre strumenti operativi. Il primo è il sistema europeo di allerta per la cybersicurezza: una rete paneuropea di infrastrutture costituita da poli informatici nazionali e transfrontalieri, progettati per rilevare e analizzare le minacce informatiche in tempo reale, condividendo informazioni tra Stati membri con la possibilità di includere dati raccolti tramite telemetria, sensori e registrazioni. Per le città, questo significa che un attacco rilevato in Barcellona può generare un allerta che rafforza le difese di Milano o Roma prima che l’attacco si propaghi.

Il secondo strumento è il meccanismo per le emergenze di cybersicurezza: un fondo e una struttura operativa per sostenere gli Stati membri nella risposta agli incidenti significativi e su vasta scala, con la possibilità di richiedere supporto entro 48 ore dalla presentazione della richiesta.

Il terzo è la riserva dell’UE per la cybersicurezza: fornitori di servizi di sicurezza certificati e “di fiducia” — selezionati attraverso un processo di qualificazione europeo — pronti a intervenire in caso di incidenti gravi.

La delega legislativa prevede che l’Italia partecipi a tutti e tre questi sistemi, con l’Agenzia per la cybersicurezza nazionale designata come polo informatico nazionale all’interno del sistema europeo di allerta.

La certificazione dei servizi di sicurezza, chi protegge le infrastrutture deve essere verificato

Un aspetto spesso trascurato nel dibattito sulla smart city è quello dei servizi di sicurezza gestiti: le aziende che offrono monitoraggio degli incidenti, test di penetrazione, audit di sicurezza, gestione dei rischi informatici per conto dei gestori di infrastrutture urbane — comuni, utility, operatori di trasporto.

L’articolo 16 della legge di delegazione delega il Governo — entro tre mesi — ad adeguare la normativa italiana al Regolamento (UE) 2025/37, che estende il sistema europeo di certificazione della cybersicurezza proprio a questi servizi.

In pratica: chi vende servizi di sicurezza gestita a un operatore di trasporto pubblico, a una centrale di controllo del traffico o a un gestore di reti idriche dovrà poter esibire una certificazione europea che attesti la qualità e l’affidabilità del proprio servizio. La certificazione definisce standard minimi: competenza e perizia dei professionisti, protezione dei dati contro accessi non autorizzati, ripristino rapido in caso di incidente, accesso esclusivo ai sistemi per persone e macchine autorizzate, registrazione degli accessi.

Non è un obbligo astratto. È la risposta concreta alla domanda: come facciamo a sapere che chi ci protegge è davvero affidabile? Con una certificazione europea, verificata da organismi di valutazione della conformità accreditati e supervisionata dall’Agenzia per la cybersicurezza nazionale.

Il Net Zero Industry Act e la nuova infrastruttura energetica urbana

La transizione verso la mobilità sostenibile — veicoli elettrici, stazioni di ricarica, reti di distribuzione dell’energia integrate con la generazione distribuita — si intreccia direttamente con la smart city. L’articolo 18 della legge di delegazione recepisce il Net Zero Industry Act (Regolamento UE 2024/1735), con una delega da esercitare entro sei mesi.

Il regolamento punta a rafforzare la produzione europea di tecnologie a zero emissioni nette — pannelli solari, batterie, pompe di calore, elettrolizzatori, turbine eoliche — attraverso procedure autorizzative semplificate, lo Sportello unico per le attività produttive (SUAP) come punto di contatto unico per i proponenti, e la creazione di distretti di accelerazione per le tecnologie net-zero: aree destinate ad aggregare attività industriali a basse emissioni e a testare tecnologie innovative.

Per le città, l’impatto è diretto: le infrastrutture di ricarica per veicoli elettrici, i sistemi di accumulo energetico distribuito, i pannelli fotovoltaici integrati negli edifici pubblici — tutto ciò che abilita la mobilità urbana sostenibile — beneficerà di percorsi autorizzativi più rapidi e certi, con termini massimi definiti per legge.

Le macchine diventano digitali, il nuovo Regolamento Macchine

Un terzo elemento rilevante per la smart city e la smart industry è contenuto nell’articolo 9 della legge di delegazione, che recepisce il Regolamento (UE) 2023/1230 sulle macchine, con delega da esercitare entro sei mesi.

Il nuovo regolamento, che sostituirà la direttiva 2006/42/CE a partire dal 20 gennaio 2027, aggiorna le regole per la progettazione, costruzione e immissione sul mercato di macchine e prodotti correlati, incorporando per la prima volta in modo sistematico i requisiti legati alla sicurezza dei sistemi digitali integrati nei macchinari. Automazione, robotica collaborativa, sistemi di controllo digitale: tutte realtà sempre più presenti nei contesti urbani e industriali, che ora devono rispettare standard di sicurezza aggiornati.

Cosa cambia concretamente, una mappa per chi governa le città

Per i sindaci e gli assessori all’innovazione, per i responsabili IT delle utility pubbliche, per i gestori del trasporto urbano, per i progettisti di infrastrutture stradali intelligenti, questa legge di delegazione ridisegna il perimetro entro cui operare. Eccolo in sintesi:

Ogni dispositivo connesso installato sul territorio urbano — dalla telecamera ai sensori, dal contatore intelligente al sistema di controllo del parcheggio — dovrà essere conforme ai requisiti del Cyber Resilience Act entro dicembre 2027. I bandi di gara per l’acquisizione di questi dispositivi dovranno incorporare questi requisiti già a partire dall’entrata in vigore dei decreti attuativi.

Le infrazioni stradali commesse da veicoli stranieri saranno perseguite attraverso un sistema automatizzato e digitale, con ricerche sui registri di immatricolazione europei e notifiche standardizzate nella lingua del conducente. Per le città con alto traffico turistico internazionale, questo significa un cambio significativo nell’efficacia dell’enforcement stradale.

I fornitori di servizi di cybersicurezza che lavorano per infrastrutture urbane dovranno dotarsi di certificazione europea. Chi acquista questi servizi — comuni, aziende pubbliche di trasporto, gestori di reti — dovrà verificare la qualità dei fornitori attraverso standard certificati.

Le autorizzazioni per impianti di tecnologie a zero emissioni nette, inclusa la rete di ricarica per veicoli elettrici, seguiranno procedure semplificate con un unico interlocutore pubblico e tempi certi.

La finestra di tempo si sta chiudendo

La legge di delegazione europea 2025 è una legge cornice. Il lavoro vero inizia ora, con l’adozione dei decreti legislativi attuativi, ciascuno con la propria scadenza, ciascuno con i propri principi e criteri direttivi vincolanti.

Non è la prima volta che l’Italia riceve deleghe europee da esercitare in tempi stretti. Non è la prima volta che quei tempi rischiano di slittare. Eppure questa volta le scadenze hanno un peso specifico diverso: i mercati europei dei prodotti digitali connessi si stanno allineando ai nuovi standard, le infrastrutture stradali e di mobilità si stanno integrando con sistemi di scambio dati paneuropei, gli attacchi informatici alle infrastrutture urbane sono in aumento.

Restare indietro non significa semplicemente essere in ritardo sull’attuazione. Significa lasciare i cittadini, le imprese e le amministrazioni locali in un vuoto normativo mentre il contesto tecnologico corre avanti.

Il futuro della città intelligente ha già la sua cornice giuridica. Mancano i quadri interni. Il Governo ha i mesi contati.