WP.29, la normativa que deberán cumplir los coches desde 2024

Días atrás, generó mucho ruido la noticia de que Porsche discontinuará el Macan con motor de combustión interna en Europa desde 2024. El motivo para semejante decisión excede a los trabajos que la marca está realizando para lanzar una versión electrificada de este modelo. En realidad, corresponde a la imposibilidad de cumplir con la normativa de ciberseguridad WP.29 que entrará en plena vigencia a partir del próximo año.

¿Pero qué es la normativa WP.29 y cómo afecta a los fabricantes? Vale mencionar que, en realidad, WP.29 es como se conoce al Foro Mundial para la Armonización de la Reglamentación sobre Vehículos, que pertenece a la Comisión Económica de las Naciones Unidas para Europa (UNECE). Lo que ahora entra en juego es el reglamento UNECE/TRANS/WP.29/2020/79, que se aprobó en 2020. Específicamente, las normas UN R155 y UN R156.

Estas exigen que los fabricantes incluyan en sus coches un sistema de gestión de ciberseguridad o CSMS, por sus siglas en inglés. Como así también que todos los coches alcanzados por la normativa WP.29 integren un sistema de actualización de software.

Como se podrán imaginar, el punto que verdaderamente está haciendo ruido es el de la integración de un sistema de gestión de ciberseguridad. En tal sentido, todos los coches deben recibir una certificación que garantiza que son seguros ante la posibilidad de que actores maliciosos intenten explotar alguna vulnerabilidad en su software, sensores o servicios conectados.

La normativa WP.29 quiere coches protegidos contra múltiples amenazas de ciberseguridad

Si bien en la Unión Europea la normativa WP.29 ya rige para los vehículos cuya homologación se haya realizado desde el 1 de julio de 2022, entrará en vigor definitivamente el 1 de julio de 2024. Esto significa que, desde esa fecha, los coches que no cumplan con la regulación de ciberseguridad ya no podrán ofrecerse en el mercado.

Es por ello que Porsche ha decidido retirar el Macan de los mercados europeos. Al ser un vehículo con casi 10 años de antigüedad en el mercado, la automotriz no piensa actualizarlo para que cumpla la reglamentación. Eso sí, continuará fabricándose hasta fines de 2025 y se seguirá ofreciendo en el Reino Unido y en otros mercados internacionales donde no rija la normativa WP.29, confirmaron a Autocar.

Los nuevos reglamentos de la normativa WP.29 establecen que los sistemas de gestión de ciberseguridad creados por los fabricantes tendrán que proteger a sus automóviles de nada menos que 70 amenazas. De lo contrario, los vehículos no recibirán la certificación necesaria para su comercialización en la Unión Europea.

Entre las vulnerabilidades que deben cubrirse se hace especial mención tanto a aquellas que pueden afectar a los coches en sí, como a la infraestructura de servicios y servidores que utilicen las automotrices.

En busca de coches más (ciber)seguros

Estos son algunos ejemplos de las amenazas de ciberseguridad que se deben impedir, según lo establecido por la normativa WP.29:

• El robo o la filtración de datos de forma involuntaria desde los servidores o las redes internas del fabricante.
• La inyección de software malicioso a través de los canales que utiliza el automóvil para conectarse con el exterior.
• La instalación inadvertida de virus por parte del dueño del vehículo o las personas con acceso a él —mecánicos, por ejemplo—, con la intermediación de un pirata informático.
• En el caso de la venta del coche, el traspaso de información personal del primer propietario al segundo.
• Que la descarga de actualizaciones al software del vehículo no se vea comprometida por ningún tipo de amenaza informática.
• La manipulación de sensores y funciones de forma remota, como el sistema para trabar las puertas, entre otros.
• La intromisión en los sistemas para mostrar información alterada como la velocidad a la que se transita, indicaciones incorrectas en la navegación o un kilometraje mayor o menor al real.

Cómo se certifica la normativa WP.29

Para que los coches sean certificados como ciberseguros, según lo establecido por la normativa WP.29, los fabricantes deberán solicitar su evaluación por parte de una entidad autorizada. Los vehículos deben cumplir obligatoriamente con los 70 requisitos de ciberseguridad estipulados y, a su vez, presentar toda la documentación requerida por los encargados de examinarlos. En caso de que no se respete alguno de estos puntos, no se otorgará el apto de cumplimiento.

Si los fabricantes reciben la autorización para los modelos evaluados, la misma tendrá una vigencia de tres años. Una vez cumplido ese período, tendrán que volver a certificarlos o solicitar la extensión del apto vigente. En el caso de que se realicen modificaciones al sistema de gestión de ciberseguridad de los automóviles antes de cumplirse los tres años, será obligatoria la recertificación.

Los vehículos que deberán recibir la certificación como ciberseguros según la normativa WP.29 en la Unión Europea son:

• Categoría M: autobuses, autocaravanas y turismos.
• Categoría N: camiones y furgonetas.
• Categoría O: caravanas y remolques con unidad de control electrónico.

Vale mencionar que la nueva reglamentación también incluye a las categorías L6 y L7. Es decir, cuatriciclos o quads con y sin cabina. La gran salvedad aquí es que solamente serán abarcados por la normativa WP.29 aquellos modelos que cuenten con sistemas de conducción automatizada de nivel 3 o superior.

Las sanciones por incumplimiento en la Unión Europea

Como pueden imaginar, el incumplimiento a la normativa de ciberseguridad WP.29 traerá duros castigos a las automotrices. En la Unión Europea, los fabricantes que no cumplan a rajatabla con lo establecido por el reglamento se expondrán a multas de hasta 30.000 euros por cada unidad del modelo en infracción.

No obstante, la historia no termina allí. Las autoridades europeas también tendrán el poder de retirar la homologación de los coches que no cumplan los requisitos de seguridad informática. De esta forma, se podrá frenar su comercialización y quitarlos del mercado.

El Porsche Macan es el primer caso confirmado de un coche que dejará de venderse en Europa como consecuencia de la normativa WP.29. Aunque de seguro no será el único. Cualquier modelo actual que no se actualice para adaptarse a la regulación, ya no podrá registrarse en la UE desde el 1 de julio próximo.

Esto es algo que seguramente ya provoca disconformidad en las automotrices, como cada vez que una nueva regulación entra en curso. Pero también las obligará a acelerar los planes de modernización de sus catálogos.