Introduzione: perché questo regolamento cambia il gioco
Il Regolamento di esecuzione (UE) 2025/1290 dà forma operativa alla digitalizzazione delle spedizioni di rifiuti prevista dal Regolamento (UE) 2024/1157. L’idea è semplice ma ambiziosa: fare in modo che tutte le informazioni e i documenti necessari per una spedizione transfrontaliera di rifiuti viaggino solo per via elettronica, in tempo reale, in modo sicuro e tracciabile. Questo migliora controlli, trasparenza e capacità di reazione degli organi ispettivi, ma richiede adattamenti tecnici e organizzativi da parte di Stati, autorità e operatori.

Sistema centrale, sistemi locali e software — chi fa cosa
La Commissione gestisce un sistema centrale che consente lo scambio in tempo reale dei documenti tra i sistemi locali delle autorità e i software degli operatori. Esistono tre “contenitori” funzionali: il sistema centrale (Commissione), i sistemi locali (autorità competenti nazionali) e i software privati (operatori/fornitori). Tutti devono essere interoperabili, secondo il protocollo tecnico previsto negli allegati.

Per l’impresa: cosa significa?

• Potrai continuare ad usare il tuo gestionale, ma dovrà essere in grado di dialogare — via API — con il sistema centrale, oppure usare la GUI fornita. Se il tuo software non è compatibile, dovrai prevedere integrazioni o usare la GUI.

Ruoli, registrazioni e identificazione
Il regolamento definisce i ruoli (notificatore, produttore, vettore, autorità di spedizione/transito/destinazione, impianto ricevente, autorità di ispezione, ecc.) e stabilisce che gli operatori devono essere identificati con un numero di identificazione principale (per gli operatori doganali è l’EORI; per gli altri, il numero sarà definito dagli Stati membri). La registrazione di operatori e siti avviene tramite autorità competenti entro tempi predefiniti e con procedure di verifica dell’identità.

Modalità di accesso e tempistiche obbligatorie

• Entro il 3 febbraio 2026 le autorità devono dichiarare alla Commissione come accederanno al sistema centrale (GUI, API o mix). Questa data è fondamentale per la pianificazione nazionale.
• Le autorità che scelgono l’accesso via API devono completare le prove tecniche almeno 25 giorni lavorativi prima dell’attivazione effettiva. Ciò implica che la finestra di test e deploy va pianificata con netto anticipo.

Impatti pratici: Organizzare risorse IT, fare test end-to-end con le autorità, prevedere un utente master e procedure interne per la gestione degli account.

Autenticazione, allegati e formati
Tutti i documenti rilevanti (notifica, documento di movimento, modulo allegato VII, certificati di recupero/smaltimento, presa in carico del vettore ecc.) devono essere autenticati digitalmente (con marcatura temporale, identificazione dell’utente e ruolo) e trasmessi in formati previsti (PDF o JPEG per gli allegati, con limite 32 MB per file). I sistemi devono mantenere log di audit recuperabili.

Numerazione univoca e tracciabilità
Il regolamento stabilisce regole precise per generare numeri di notifica, documenti di movimento e numeri dell’allegato VII: numeri univoci, strutturati (es. codice autorità + anno + progressivo), con formati standard che facilitano il tracciamento e le interrogazioni. Questo migliora la correlazione tra documenti e la ricostruzione della logistica della spedizione.

Impianti con “autorizzazione preventiva”
Il sistema deve includere un registro degli impianti che dispongono dello status di autorizzazione preventiva, con i rifiuti e le operazioni consentite e i periodi di validità. Le spedizioni verso questi impianti avranno procedure semplificate gestite dal sistema centrale. È una semplificazione operativa importante per catene di trattamento certificate.

Conservazione dei dati e protezione dei dati personali

• Periodi di conservazione: 10 anni per le notifiche e 5 anni per i documenti dell’allegato VII (salvo casi particolari). Se i certificati non vengono rilasciati entro 1 anno dalla scadenza, valgono le regole di conservazione estesa (10/5 anni). Il trattamento dei dati personali deve rispettare GDPR e gli altri atti UE sulla protezione dei dati.

Cosa consigliare alle imprese: rivedere le policy di retention dei dati, aggiornare i contratti con i fornitori di software per garantire conformità e prevedere misure di sicurezza e pseudonimizzazione dove necessario.

Protocollo tecnico e allegati — cosa contiene
Gli allegati includono il protocollo per lo scambio dati, i campi obbligatori per ogni tipo di documento, i parametri per le API, le chiamate per ottenere documenti e allegati, l’elenco dei metadati da registrare (es. ID operatori, ID allegato, marcature temporali, massa/volume, codici R/D ecc.). Chi sviluppa software deve attenersi a questi schemi.

Funzionalità per le autorità di ispezione
Il sistema consente alle autorità di ispezione di estrarre dati e documenti per pianificare ed eseguire controlli più mirati ed efficienti. Questo aumenta la probabilità di individuare spedizioni irregolari, ma impone agli operatori di mantenere dati coerenti e aggiornati.

Impatti operativi e passi pratici consigliati (checklist)
Per non restare indietro, ecco cosa suggerisco come immediato e prioritario per un’impresa che effettua o organizza spedizioni internazionali di rifiuti:

• Mappare i ruoli interni (chi è notificatore, chi è master, chi compila il movimento).
• Verificare il numero di identificazione principale (EORI o altro) e la correttezza dei dati aziendali.
• Contattare il fornitore del gestionale per confermare compatibilità API con il protocollo dell’Allegato II o pianificare integrazione.
• Predisporre formazione per almeno 1 utente master e gli utenti operativi (autenticazione digitale, log, gestione allegati).
• Rivedere policy di retention e sicurezza dati per rispettare i termini 10/5 anni e GDPR.
• Pianificare test con l’autorità competente locale (se essa userà API) in vista della scadenza del 3/2/2026 e prevedere i 25 gg lavorativi per i test.

Conclusione — cosa cambia nella sostanza
Il Regolamento 2025/1290 non è una rivoluzione fine a sé stessa: è l’attivazione pratica di una piattaforma europea che rende obbligatoria la gestione elettronica, strutturata e tracciabile delle spedizioni di rifiuti. Per le imprese significa automatizzare, standardizzare e rendere audit-proof la documentazione; per le autorità significa migliore sorveglianza e controllo. Dal punto di vista operativo, la vera sfida è la transizione: integrazione software, governance interna, adattamento delle procedure e formazione degli utenti. Chi si attiva ora potrà trasformare l’obbligo in un vantaggio operativo (meno errori, meno ritardi, maggiore sicurezza giuridica).