Registro DPP dell’UE: cosa prevede il progetto della Commissione del 29 aprile
BlogRegolamentazione30.04.2026

Registro DPP dell’UE: cosa prevede il progetto della Commissione del 29 aprile

La Commissione ha pubblicato la bozza del regolamento di attuazione relativo al registro DPP. Cosa prevede, quali sono le implicazioni per i produttori e in che modo Transpareo implementa le funzionalità richieste.

Il 29 aprile 2026 la Commissione europea ha pubblicato il progetto di regolamento di esecuzione relativo al registro del passaporto digitale del prodotto (Ares(2026)4424976). Esso specifica l’articolo 13, paragrafo 5, dell’ESPR (Regolamento 2024/1781) e definisce le modalità di funzionamento tecnico e organizzativo del registro gestito dalla Commissione.

Il testo è contrassegnato come bozza e non è ancora stato adottato. Tuttavia, i meccanismi essenziali sono già chiaramente riconoscibili e hanno conseguenze immediate per ogni produttore che, a partire dal 2027, dovrà rilasciare un DPP.

Che cos’è il registro - e che cosa non è

Una precisazione preliminare: il registro dell’UE non memorizza i dati del DPP stessi. Si tratta di un servizio di directory centrale che, per ogni registrazione, conserva un ID univoco, il codice merceologico, l’identità dell’operatore economico, un hash della versione del DPP e un riferimento alla copia di backup presso il fornitore del servizio DPP.

Il considerando 3 lo definisce un «modello decentralizzato»: i dati di prodotto continuano a risiedere presso il produttore o sulla sua piattaforma DPP. Il registro è l’elenco di indirizzi di riferimento, non un silo di dati.

Dal punto di vista funzionale, il registro è costituito da:

  • un’interfaccia web e un’API per le registrazioni
  • una piattaforma di verifica per gli operatori economici
  • un elenco dei fornitori di servizi DPP autorizzati
  • un repository semantico (multilingue, strutturato secondo lo standard DCAT-AP) come riferimento per attributi dei dati, strutture dei modelli e ruoli
  • un sistema di registrazione con periodi di conservazione graduali

Verifica prima della registrazione

Nessun DPP viene inserito nel registro prima che l’operatore economico richiedente sia registrato come operatore economico verificato (art. 4). La verifica viene effettuata direttamente dal registro e si avvale degli strumenti eIDAS previsti dal Regolamento 910/2014:

  • Persona giuridica nell’UE: sigillo elettronico qualificato o certificato di attributo elettronico
  • Persona fisica in qualità di imprenditore individuale nell’UE: firma elettronica qualificata, eID di livello «alto» o certificato di attributi
  • Operatori al di fuori dell’UE: firma o sigillo elettronico qualificato oppure certificato di attributi

La verifica ha validità massima di tre anni. Chi non provvede al rinnovo viene contrassegnato come «non verificato» e perde il diritto di registrare nuovi DPP o di modificare quelli esistenti (art. 4, par. 4).

Tale verifica costituisce il presupposto giuridico. Essa è di competenza del produttore e della Commissione e non viene delegata nemmeno nel caso in cui un fornitore di servizi come Transpareo si occupi della registrazione operativa.

Granularità: modello, lotto o articolo

L’articolo 8 richiede che i DPP siano registrati al livello di granularità previsto dal rispettivo atto normativo di settore: modello, ## lottoo articolo. Se viene creato un DPP a livello di articolo e esistono ID di lotto o di modello, questi devono essere riportati. Per i DPP relativi a un lotto, vale lo stesso principio per gli ID del modello.

Per i produttori ciò significa che i dati anagrafici interni devono presentare una gerarchia chiara tra modello, lotto e singolo prodotto. Senza questo collegamento, la convalida automatica della registrazione fallisce.

Versioni, hash e conservazione

Ogni versione del DPP è collegata all’ID di registrazione originale. Ad ogni modifica, il registro richiede un hash della versione attuale del DPP - verificabile crittograficamente, non generabile manualmente.

La prova di registrazione (art. 9) è un documento elettronico che la Commissione sigilla con un sigillo qualificato e dota di un timbro temporale. Contenuto minimo: ID di registrazione, codice merce, identità dell’operatore, data e hash dell’ultima versione. Valido per 90 giorni, rigenerabile a piacimento.

Conservazione standard: 10 anni dalla registrazione, a meno che il diritto dell’Unione o il diritto settoriale non prevedano un termine diverso (art. 10, paragrafo 3, del regolamento di esecuzione relativo al registro DPP). Neanche l’insolvenza o la liquidazione del produttore esonerano dall’obbligo di disponibilità (ESPR, art. 11, lett. e)).

Sistema di registrazione

Il registro effettua una registrazione su tre livelli (art. 14):

  • Accessi e autenticazioni: 6 mesi
  • Modifiche dei dati: per tutta la durata della registrazione
  • Azioni amministrative e scambio di dati: 5 anni

Le autorità nazionali hanno accesso ai dati in caso di incidenti, audit o controlli a campione.

Dati personali: cosa conserva la Commissione

L’articolo 18 elenca i dati conservati esclusivamente dal registro: nome e cognome di ogni utente, credenziali di accesso, token di autenticazione, indirizzo postale, e-mail. Per le persone fisiche, inoltre, numero di passaporto o di carta d’identità, eID, codice fiscale. Questi dati non vengono comunicati al fornitore di servizi DPP. La Commissione è il titolare del trattamento di questi dati relativi all’account, mentre l’operatore economico rimane il titolare del trattamento dei propri dati DPP.

Come Transpareo soddisfa i requisiti

La maggior parte dei requisiti riguarda scelte architetturali che Transpareo adotta già in questa forma. Nello specifico:

Modello decentralizzato. Transpareo è una piattaforma multi-tenant con un database isolato per ciascun cliente. I dati DPP risiedono nel database dell’operatore economico, non in un pool centrale: esattamente l’architettura prevista dal considerando 3.

Ruolo del responsabile del trattamento chiaramente definito. Gli articoli 19, paragrafo 5, e 20, paragrafo 3, prevedono che l’operatore economico rimanga il titolare del trattamento anche se incarica un terzo della registrazione. Transpareo opera già oggi come responsabile del trattamento con un accordo sui responsabili del trattamento (AVV): i ruoli sono chiari.

URL di backup stabili per ogni DPP. Ogni DPP di Transpareo è accessibile tramite un URL permanente, che non cambia nemmeno in caso di modifiche di versione. È esattamente ciò che richiede l’articolo 8, paragrafo 6, lettera d), come «link al backup ospitato da un DPP-SP».

Granularità. Il modello di dati di Transpareo distingue tra modello di prodotto, lotto e singolo prodotto e consente collegamenti lungo la gerarchia: il presupposto per soddisfare l’articolo 8, paragrafi 3 e 4.

Mappatura semantica multilingue. Il repository della Commissione è multilingue secondo lo standard DCAT-AP. Transpareo gestisce ogni dato in 39 lingue, comprese tutte le 24 lingue ufficiali dell’UE, con la traduzione inclusa nel prezzo.

Hash di versione. La serializzazione deterministica secondo lo schema di canonicalizzazione JSON (RFC 8785) e un hash SHA-256 per ogni versione DPP sono già disponibili. Resta da definire solo l’esatto formato di hash-pinning del registro dell’UE; non appena la Commissione lo pubblicherà, provvederemo a integrarlo.

Inserimento nell’elenco dei fornitori di servizi DPP. Transpareo presenterà la propria candidatura per l’inserimento nell’elenco ufficiale dei fornitori di servizi DPP (art. 2 n. 32 dell’ESPR) non appena sarà pubblicata la procedura di ammissione.

Registrazione per conto terzi. Stiamo preparando il servizio per effettuare la registrazione per conto di clienti autorizzati; la responsabilità legale del cliente rimane inalterata ai sensi dell’art. 19, comma 4.

Calendario

L’entrata in vigore è disciplinata dall’articolo 23: 20 giorni dopo la pubblicazione nella Gazzetta ufficiale. La data esatta dipenderà dal momento in cui la Commissione adotterà la versione definitiva. Il mandato principale di cui all’articolo 13, paragrafo 5, dell’ESPR è fissato al 19 luglio 2026: entro tale data il registro dovrà essere operativo.

Si prevede che il registro diventi pienamente operativo solo a partire dal 18 febbraio 2027: in tale data entrerà in vigore l’articolo 77 del Regolamento UE sulle batterie 2023/1542, e il DPP diventerà obbligatorio per le batterie industriali, per veicoli elettrici (EV) e per sistemi di gestione dell’energia (LMT) con capacità superiore a 2 kWh. Abbiamo riportato i dettagli e le questioni aperte relative all’atto di esecuzione nel calendario ESPR 2027. Mancano circa nove mesi a tale data. Chi sta pianificando contratti con i fornitori, la migrazione dei dati anagrafici e le approvazioni interne sa bene che il tempo a disposizione è poco, non abbondante.

Cosa resta da definire

Il regolamento stesso descrive la struttura organizzativa. Ciò che manca è la specifica tecnica dell’API: il formato esatto dell’interfaccia, gli schemi, le regole di convalida. Questa dovrebbe seguire sotto forma di linea guida separata della Commissione ai sensi dell’art. 15(1), presumibilmente nel corso del 2026.

Fino ad allora, però, la direzione da seguire è chiara: architettura decentralizzata, soggetti verificati, firme qualificate, ID di registrazione univoci, concatenamento delle versioni, interoperabilità semantica. Tutti concetti che non scompariranno più.

L’iniziativa di consultazione ufficiale della Commissione è disponibile su Have Your Say.

Aggiornamenti sul regolamento relativo al registro DPP

Seguiamo da vicino la versione definitiva del regolamento di attuazione e vi inviamo mensilmente le modifiche più importanti nella vostra casella di posta elettronica.