SERMI 2025: come ottenere e gestire l’accesso sicuro ai dati RMI?

Nel 2025 lo schema SERMI entra a pieno regime in tutta l’Unione europea, imponendo un modello unico di accesso sicuro alle informazioni di riparazione e manutenzione legate alla sicurezza (RMI) per immobilizer, chiavi e sistemi antintrusione. Per le officine indipendenti e per i costruttori, questo implica processi strutturati di autorizzazione, tracciabilità e auditing, con responsabilità specifiche per l’azienda e per ogni dipendente che svolge attività sensibili. Questa guida normativa, orientata agli operatori italiani, sintetizza finalità, requisiti e buone pratiche per ottenere e gestire correttamente l’accesso SERMI, minimizzando i rischi e preservando l’efficienza operativa e la fiducia dei clienti.

A cosa serve SERMI e quali dati protegge su immobilizer e antintrusione

Lo schema SERMI (Security-Related Repair and Maintenance Information) definisce come gli operatori indipendenti possano accedere in modo controllato alle RMI necessarie per interventi che, se abusati, potrebbero compromettere la sicurezza del veicolo o favorire frodi e furti. L’obiettivo è creare un equilibrio tra diritto alla concorrenza nella manutenzione e tutela degli utenti, assicurando che funzioni come programmazione chiavi, gestione immobilizer, reset di centraline con protezioni anti‑furto e modifiche ai sistemi di allarme siano eseguite solo da soggetti verificati. In pratica, SERMI standardizza procedure di autenticazione, autorizzazione e logging, così che i costruttori possano offrire accesso selettivo alle RMI sensibili, mantenendo evidenza delle operazioni e degli operatori coinvolti.

Rientrano nell’ambito “security‑related” i dati e i flussi necessari a: codificare o sostituire chiavi e telecomandi, allineare moduli immobilizer, configurare centraline anti‑intrusione, gestire blocchi elettronici, calibrare componenti con protezioni legate all’antifurto e, più in generale, attivare procedure che bypassano o ripristinano barriere di sicurezza. Tali RMI sono distinte dalle informazioni tecniche “ordinarie” e sono accessibili solo tramite certificazioni personali e aziendali rilasciate da organismi accreditati. Il quadro è fissato dal regolamento europeo che modifica l’allegato X del Regolamento (UE) 2018/858, definendo requisiti, ruoli e meccanismi di controllo per l’accesso sicuro alle RMI legate alla sicurezza (Regolamento delegato (UE) 2021/1244).

Dal punto di vista operativo, il costruttore mette a disposizione portali o API RMI che, per le attività sensibili, richiedono autenticazione forte dell’azienda e del singolo dipendente. L’autorizzazione avviene tramite certificati digitali e meccanismi di controllo emessi da un Trust Centre riconosciuto dallo schema SERMI; ciascun accesso e ciascuna operazione rilevante sono tracciati con log contenenti identità, timestamp, veicolo e tipo di funzione utilizzata. Questo consente di prevenire abusi, abilitare revoche rapide in caso di violazioni e fornire evidenze in sede di audit. L’operatore, a sua volta, deve assicurare che le postazioni siano protette e che le credenziali non siano condivise o riutilizzate impropriamente.

È importante distinguere tra l’accesso standardizzato alla diagnostica OBD e l’accesso alle RMI di sicurezza. Per molte riparazioni tradizionali, l’officina può operare con le informazioni tecniche e gli strumenti abituali. Quando però un intervento tocca immobilizer, codifiche anti‑furto o funzioni che incidono sulle misure di protezione del veicolo, lo schema SERMI diventa la porta d’ingresso obbligata. Questo comporta processi di verifica dell’identità del cliente e del veicolo, controlli di congruità dell’intervento e la disponibilità di infrastrutture digitali conformi, inclusi browser e sistemi aggiornati, per interagire con i portali dei costruttori nel rispetto delle regole di sicurezza.

Requisiti di certificazione, responsabilità e formazione del personale

Per ottenere l’abilitazione SERMI, l’operatore indipendente deve rivolgersi a un Conformity Assessment Body (CAB) accreditato, che verifica l’idoneità dell’azienda e approva nominalmente i dipendenti che svolgeranno attività sulle RMI di sicurezza. Il processo include controlli sull’identità legale dell’impresa, l’assenza di precedenti rilevanti per reati che impattano la fiducia, l’adeguatezza delle procedure interne e dei locali, nonché la formazione del personale. Solo dopo l’approvazione, i dipendenti ricevono credenziali/certificati digitali personali per autenticarsi presso i portali dei costruttori. L’azienda è responsabile di mantenere aggiornato l’elenco degli autorizzati, revocando tempestivamente gli accessi quando un dipendente cambia ruolo o lascia l’organizzazione.

Dal punto di vista documentale, la domanda verso il CAB include tipicamente: dati societari, evidenze sui processi di sicurezza (gestione degli accessi, conservazione dei log, controllo dei dispositivi), tracciati di formazione e impegni deontologici sottoscritti. La dimensione operativa viene verificata in audit con sopralluoghi o verifiche remote, valutando postazioni, strumenti di programmazione e gestione delle chiavi, conservazione delle credenziali e misure fisiche (armadi chiusi, controllo dei visitatori). Una descrizione pratica dei passaggi per ottenere la certificazione e per accedere ai portali RMI dei costruttori è riportata dal canale informativo dell’Automobile Club d’Italia (procedura di certificazione SERMI descritta da ACI).

Le responsabilità si ripartiscono tra azienda e personale autorizzato. L’impresa deve definire un responsabile SERMI, presidiare la segregazione dei compiti (chi valida, chi esegue, chi controlla), mantenere inventario dei dispositivi che possono interagire con i portali dei costruttori, e documentare le verifiche di liceità degli interventi richiesti. Ogni dipendente autorizzato è personalmente responsabile dell’uso delle proprie credenziali, del rispetto delle procedure, della custodia delle chiavi fisiche e digitali e del non condivisione di account. L’uso improprio può comportare sospensione o revoca, con impatti immediati sulla continuità operativa dell’officina.

La formazione è essenziale: deve coprire aspetti tecnici (flussi di codifica, protocolli diagnostici, differenze tra RMI ordinaria e security‑related), aspetti organizzativi (verifiche sul cliente, tracciabilità, gestione documentale) e aspetti di sicurezza informatica (phishing, gestione password, uso sicuro dei dispositivi di programmazione). Sono raccomandati aggiornamenti periodici, esercitazioni su scenari realistici e valutazioni di efficacia. Ogni percorso formativo va registrato, con data, contenuti e firma del partecipante, per fornire evidenza in sede di audit. La formazione deve essere proporzionata ai ruoli: chi opera sulle funzioni più sensibili necessita di una profondità maggiore, anche in termini di consapevolezza delle implicazioni legali.

Processi di audit e gestione incidenti di sicurezza

Lo schema SERMI prevede audit iniziali e periodici sull’operatore e controlli sul personale autorizzato. Il CAB valuta la conformità ai requisiti documentali e operativi, la sicurezza delle postazioni e la robustezza procedurale in tema di accesso alle RMI di sicurezza. Gli audit verificano la corrispondenza tra processi dichiarati e pratiche reali: gestione degli accessi nominativi, separazione dei ruoli, protezione dei dispositivi, qualità dei log e loro integrità. Le risultanze possono includere osservazioni, non conformità minori o maggiori, con obbligo di implementare azioni correttive e di fornire evidenze del rientro entro termini stabiliti dal CAB.

Durante le verifiche, sono esaminati documenti chiave come policy e procedure, valutazioni dei rischi, registro degli asset, piano di gestione delle modifiche, registri di formazione, schede di consegna e custodia delle chiavi, oltre ai log delle sessioni presso i portali dei costruttori. Questi log devono consentire la tracciabilità di “chi ha fatto cosa, quando e su quale veicolo”, con correlazione all’identità del cliente e al mandato di riparazione. Il costruttore può effettuare controlli di coerenza tra gli eventi lato portale e le evidenze dell’officina, mentre il Trust Centre gestisce eventuali revoche/sospensioni dei certificati in caso di anomalie significative.

La gestione degli incidenti richiede processi di rilevazione, classificazione, contenimento e notifica. Esempi di incidenti includono: tentativi non autorizzati di programmazione, furto o smarrimento di dispositivi di programmazione, compromissione di credenziali, accessi anomali ai portali o uso di RMI di sicurezza in assenza di mandato legittimo. Il personale deve sapere come isolare tempestivamente i sistemi, come disabilitare credenziali o dispositivi, e a chi notificare (responsabile SERMI, CAB, costruttore e, se del caso, autorità). La rapidità nel contenimento riduce il rischio di revoche estese e di interruzioni dell’operatività.

Dopo il contenimento, l’officina conduce un’analisi delle cause e attua misure correttive e preventive: aggiornamento delle procedure, rafforzamento dei controlli, formazione mirata, sostituzione o hardening dei dispositivi coinvolti. È buona prassi predisporre modelli di report di incidente che includano cronologia, impatti, decisioni e responsabilità, così da fornire un quadro chiaro a CAB e costruttori. Nei casi più gravi, può essere avviata una revisione straordinaria della conformità. Tutta la documentazione dell’incidente e del follow‑up deve essere archiviata e resa disponibile per i successivi audit, a dimostrazione della maturità del sistema di gestione della sicurezza.

Impatto sui tempi di lavorazione e sul rapporto con i clienti

L’introduzione di SERMI incide sui tempi di lavorazione per le attività sensibili, poiché aggiunge fasi di verifica e autenticazione. Prima di programmare una chiave o intervenire su un immobilizer, l’officina deve validare l’identità del cliente, accertare il legittimo possesso del veicolo, raccogliere consensi e allegare evidenze al mandato. L’accesso ai portali dei costruttori può richiedere autenticazione forte e, talvolta, passaggi di approvazione contestuale. La qualità del processo interno determina la rapidità: checklist chiare, documenti standardizzati e postazioni dedicate riducono gli intoppi. Anche la disponibilità delle piattaforme dei costruttori e la connettività influiscono sul lead time dell’intervento.

Sul piano della relazione con il cliente, la trasparenza è cruciale. Spiegare in anticipo perché servono documenti e perché certe procedure richiedono più tempo aiuta a impostare attese realistiche e a valorizzare la sicurezza come parte del servizio. La richiesta di dati deve rispettare il principio di minimizzazione e le norme sulla protezione dei dati personali, conservando solo quanto necessario e per il tempo utile a dimostrare la liceità dell’intervento. Nel panorama italiano dell’aftermarket, l’attenzione alla conformità e a processi uniformi è stata sottolineata anche dalla filiera, che vede in SERMI un fattore di competitività e fiducia per gli operatori indipendenti (posizionamento della filiera secondo ANFIA).

Per ridurre l’impatto operativo, molte officine introducono un pre‑check amministrativo prima dell’appuntamento: raccolta documentale, verifica preliminare del VIN e delle funzioni richieste, test di accesso ai portali e controllo dello stato dei dispositivi. In presenza di attività seriali (es. flotte), la pianificazione a finestre orarie dedicate limita i tempi morti e consente di ottimizzare l’uso di postazioni e tecnici autorizzati. È utile prevedere procedure di continuità in caso di indisponibilità temporanea dei portali o della rete, per proseguire le attività non sensibili e ricalendarizzare quelle SERMI‑related senza disservizi per il cliente.

Infine, il presidio dei KPI permette di misurare l’efficienza del nuovo modello: tempi medi per pratica SERMI, percentuale di first‑time‑fix su attività di codifica, tasso di rework, incidenza di non conformità documentali in audit interni. Il miglioramento continuo passa da micro‑ottimizzazioni (template precompilati, workflow digitali, formazione mirata) e da investimenti selettivi (postazioni dedicate, reti segmentate, strumenti aggiornati). Comunicare al cliente il valore aggiunto in termini di sicurezza e tracciabilità rafforza la reputazione dell’officina, evitando che l’aumento di complessità percepita si traduca in resistenze o incomprensioni.

Best practice per proteggere dati e dispositivi in officina

La governance è il primo baluardo. Nominare un Responsabile SERMI con mandato chiaro e definire una matrice di responsabilità (chi approva, chi esegue, chi verifica) rende i processi ripetibili e auditabili. È essenziale adottare il principio del “least privilege”: ogni dipendente accede solo a ciò che serve, per il tempo necessario. Il ciclo “joiner‑mover‑leaver” va strutturato: onboarding con formazione e consegna credenziali, aggiornamento dei profili al cambio ruolo, revoca immediata alla cessazione. Completano il quadro un registro degli strumenti che possono accedere ai portali dei costruttori e un calendario di verifiche interne, con controllo a campione dei fascicoli di intervento e dei log associati.

Sul piano tecnico, la postazione SERMI dovrebbe essere dedicata e hardenizzata: sistema operativo e browser aggiornati, cifratura del disco, endpoint protection, disabilitazione dell’autosalvataggio delle credenziali, schermata bloccata in inattività. La rete dell’officina va segmentata separando traffico amministrativo, diagnostica e guest Wi‑Fi; l’uso di VLAN e di firewall interni riduce i rischi di movimento laterale. I dispositivi di programmazione e gli adattatori OBD devono essere inventariati, aggiornati e utilizzati solo su postazioni autorizzate. È utile prevedere un “gold image” per ripristinare rapidamente le postazioni e un processo di patch management coordinato, per evitare finestre prolungate di vulnerabilità.

La sicurezza fisica tutela quanto quella logica. Chiavi e telecomandi sono beni sensibili: vanno custoditi in armadi chiusi, con registro di presa e consegna, e mai lasciati incustoditi in aree aperte al pubblico. Le aree di lavoro per attività SERMI dovrebbero essere controllate negli accessi, evitando la presenza di visitatori non accompagnati; badge, videosorveglianza nel rispetto delle norme e politiche “clean desk” riducono il rischio di sottrazioni o errori. La gestione dei media rimovibili (USB, schede SD) va limitata e monitorata; se indispensabili, devono essere cifrati e sottoposti a scansione. Le procedure di emergenza devono includere chi contattare e come preservare le evidenze in caso di incidente.

Infine, curare l’igiene operativa nel quotidiano: password robuste e univoche, autenticazione a più fattori dove supportata, disabilitazione degli account non utilizzati, backup periodici delle configurazioni critiche e test di ripristino. La formazione anti‑phishing, con campagne periodiche e momenti di condivisione delle “lezioni apprese”, riduce il rischio umano. È utile adottare checklist operative per gli interventi SERMI che includano: verifica del mandato e della documentazione cliente; controllo del VIN; test preliminari degli strumenti; acquisizione e salvataggio dei log; validazione finale e archiviazione. Una cultura della sicurezza praticata ogni giorno rende più fluidi audit e ispezioni, perché le evidenze vengono generate “by design” e non rincorse ex post.

In sintesi, SERMI non è solo una “chiave digitale” per operare su immobilizer e antintrusione: è un sistema di governance che allinea industria e aftermarket su standard comuni di sicurezza, responsabilità e trasparenza. Prepararsi per tempo, con processi solidi, formazione mirata e infrastrutture adeguate, consente di ridurre l’impatto sui tempi di lavorazione, aumentare la fiducia dei clienti e affrontare con consapevolezza audit e controlli. Nel 2025, la differenza competitiva tra operatori sarà determinata dalla capacità di integrare SERMI nella routine quotidiana, coniugando rigore normativo ed efficienza operativa.