Il 19 luglio 2026, il Registro centrale dei passaporti digitali di prodotto dell'Unione Europea entrerà in funzione — la scadenza legale fissata dall'Articolo 13 del Regolamento (UE) 2024/1781, il Regolamento Ecodesign per i Prodotti Sostenibili (ESPR). È una vera pietra miliare infrastrutturale e sarà ampiamente fraintesa. Quello che si apre il 19 luglio è un risolutore. Il livello di fiducia — la governance degli attori che gestiranno i servizi DPP, e qualsiasi verifica indipendente della verità dei dati dei passaporti — non si apre con esso.
Registri, risolutori, dati federati, parti responsabili: il vocabolario sarà familiare a chiunque abbia progettato infrastrutture di condivisione dati. Ciò che è meno noto è vedere un progetto su scala continentale entrare in vigore mentre il suo quadro fiduciario è ancora un documento di consultazione. Quella lacuna — non la data di lancio — è la storia.
Un resolver non è un archivio dati
L'architettura del Registro è volutamente sottile. A parte gli identificatori principali e un collegamento web, i dati del passaporto non sono memorizzati centralmente: rimangono all'operatore economico o al suo fornitore di servizi, e il Registro determina un identificatore di prodotto alla posizione decentralizzata dei dati. Il contrasto con EPREL — il database UE sulle etichette energetiche, che ospita le informazioni sul prodotto stesso — è esplicito e intenzionale. La Questione e Risposta del DPP della Commissione Europea (gennaio 2026) descrive il Registro come il sistema centrale di indicizzazione per tutti i DPP e colloca l'interconnessione doganale che consente controlli automatici di frontiera entro quattro anni dal lancio — il che lo colloca intorno al 2029.
Per un pubblico che ha passato anni a costruire schemi federati di condivisione dei dati, questo è il modello riconoscibile: i dati rimangono alla fonte, sotto il controllo della parte responsabile, e il livello centrale contiene solo identificatori e puntatori. È il giusto disegno per la scala e per la sovranità dei dati. Comporta anche una conseguenza che tende a essere sottovalutata: un solver eredita l'affidabilità di ciò che indica. Il Registro può confermare che un passaporto esiste, dove si trova e che sia strutturalmente ben formato. Non può rendere vero ciò che trova lì.
Il lancio stesso è organizzato. Secondo il progetto di Regolamento di Applicazione (Ares(2026)4424976), presentato nel webinar CIRPASS-2 EWG1 del 17 giugno 2026, il Registro inizia con il Passaporto a Batteria, un ambiente di test rimane online almeno fino a febbraio 2027 e non tutti i componenti saranno pronti il primo giorno. (CIRPASS-2 è un'azione di Coordinamento e Supporto finanziata dalla Commissione Europea, non da un organismo di standardizzazione o certificazione; Contribuo ai suoi gruppi di lavoro di esperti EWG1 ed EWG3.)
La lettura corretta del 19 luglio è quindi ristretta: un indice entra in attività, puntualmente, a fasi. Necessario. Non basta.
Il regolamento del Registro non è ancora legge
Ecco il dettaglio che la maggior parte delle coperture non farà notare. Al momento della stesura di questo documento — 8 luglio 2026 — il Regolamento di Applicazione che stabilisce il funzionamento del Registro non è stato adottato né pubblicato sul Journal Ufficiale. Esiste come bozza, riferimento Ares(2026)4424976, la cui consultazione pubblica è stata aperta il 27 aprile 2026 e chiusa il 27 maggio 2026. Undici, prima della scadenza legale del Registro, le sue regole operative sono ancora un documento di consultazione. Non è una nota a piè di pagina sul lancio; È un riassunto equo di dove si trova l'intero quadro.
La bozza è comunque precisa su ciò che il Registro controllerà. Ai sensi dell'articolo 6 della bozza, la verifica alla registrazione è automatica e strutturale: che gli attributi dati obbligatori esistano e siano conformi semanticamente; che il livello di granularità — modello, lotto o voce — corrisponda a quanto richiesto dagli atti delegati applicabili ai sensi del Regolamento (UE) 2024/1781; che il codice delle merci rientra nell'intervallo consentito per il gruppo di prodotti; che il collegamento al backup di terze parti sia presente dove rilevante; e che il passaporto porti una firma o un sigillo elettronico qualificato secondo il quadro eIDAS. Questi sono i controlli corretti per un indice: la completezza semantica è verificabile da una macchina su scala continentale, e la verità sostanziale no.
Ma il limite deve essere espresso chiaramente quanto il progetto: il Registro non verifica — per costruzione, non per omissione — se i dati all'interno di un passaporto siano corretti. Un passaporto che dichiara il 40% di contenuto riciclato e semanticamente completo registra esattamente con la stessa fluidità di uno vero.
Il livello mancante è quello del provider
L'articolo 3(f) della stessa bozza elenca un registro dei fornitori di servizi DPP come componente formale del Registro. Il componente è nel blueprint; la governance dietro di esso non lo è. I requisiti che questi fornitori devono soddisfare — i criteri che separerebbero un operatore serio da uno improvvisato — sono ancora in consultazione pubblica. Ho risposto a quella consulenza in qualità di esperto CIRPASS-2, e posso testimoniare che le domande che pone sono quelle giuste. Sono anche, per ora, solo domande.
La domanda e risposta della Commissione riconosce il punto più profondo scritto (Q25): al momento non esiste alcun requisito universale per la certificazione o la valutazione della conformità da parte di terzi delle informazioni divulgate in un DPP. Tali requisiti possono arrivare più tardi, gruppo per gruppo di prodotto, tramite atti delegati — se gli studi approfonditi li ritengono necessari.
Metti insieme le due cose. Il livello infrastrutturale arriva a una data fissa, garantita da una scadenza legale. Il livello attore-governance è un sondaggio aperto. Tra loro si trova un mercato.
Selezione avversa, per costruzione
L'economia di quel mercato non è nuova. Dove gli acquirenti non possono osservare la qualità prima dell'acquisto, i venditori che investono nell'aspetto superano quelli che investono nella sostanza — il classico problema dei limoni, trapiantato nell'infrastruttura di conformità. Senza una verifica indipendente, un acquirente non può distinguere un fornitore con una vera architettura di verifica da uno con una landing page. La facciata costa come l'architettura, e di solito sotto di essa, perché le facciate sono economiche da costruire.
Le PMI pagano prima di tutto, e il quadro stesso spiega il perché. La sessione di domande e risposte della Commissione indirizza i piccoli operatori verso i fornitori di servizi DPP proprio per sostenere l'onere tecnico — incluso il backup dati di terze parti obbligato per legge (Q8; ESPR Articolo 10(4)). Il fornitore dovrebbe essere la scorciatoia per il PME attraverso la complessità. Ma oggi una PMI che sceglie un fornitore sta scegliendo contro criteri che non sono ancora fissati legalmente, senza un marchio di accreditamento da verificare e senza un registro da consultare. La parte meno attrezzata per auditare l'architettura di un fornitore è quella che il framework invia prima a fare acquisti.
Ho descritto il modello di business risultante a maggio come "fingi finché non ce la fai": codici QR che si risolvono in PDF, fogli di calcolo passaporti rinominati, conformità promessa ora e ingegnerizzata in seguito. In un'app consumer, questa è una strategia di crescita. In una dichiarazione legale secondo la legge UE, si tratta di un trasferimento di passività — dal bilancio del fornitore a quello del cliente. L'attuale sequenza non punisce quel modello. Lo sovvenziona.
L'applicazione dell'applicazione che arriva per prima è frammentata
Mentre il livello dati DPP si centralizza, quello di enforcement delle richieste si frammenta. La Direttiva (UE) 2024/825, la Direttiva sull'Empowerment dei Consumatori — una base giuridica separata dall'Articolo 13 dell'ESPR — si applica dal 27 settembre 2026 e vieta le affermazioni ambientali non comprovate in tutto il mercato unico. (Non è la Direttiva sulle Richieste Verdi; quella proposta è stata ritirata nel 2025 e le due sono ancora regolarmente confuse.) Italia trasposta anticipatamente: il Decreto Legislativo 30/2026, pubblicato il 9 marzo 2026, rende una causa verde non documentata una pratica commerciale sleale applicata dall'autorità della concorrenza AGCM, con sanzioni che raggiungono il 4% del fatturato. La Germania ha modificato la sua Legge sulla Concorrenza Sleale. E il 28 maggio 2026 la Commissione ha emesso lettere di avviso formale — il primo passo della procedura per la violazione, non una constatazione di violazione — a 20 Stati membri che avevano mancato la scadenza per la trasposizione, inclusi Francia e Paesi Bassi.
Queste due capitali comprimono il modello in una singola giurisdizione: attivismo nazionale unilaterale su un percorso, ritardo su quello armonizzato. La Francia, in mancanza di trasposizione, ha adottato la propria legge anti-fast-fashion il 29 giugno 2026 — non ancora promulgata, una misura nazionale autonoma piuttosto che una trasposizione, e già ristretta dopo due dettagliati pareri emessi dalla Commissione il 29 settembre 2025 nell'ambito della procedura di notifica TRIS. I Paesi Bassi gestiscono un regime vincolante di responsabilità estesa del produttore per i tessuti (UPV Textiel) dal 1° luglio 2023 — con un aumento degli obiettivi di riutilizzo e riciclo, con il riciclo fibra-fibra che passa dal 25% al 33% — e hanno ricevuto la stessa lettera del 28 maggio sulla Direttiva 2024/825. Un risolvere centralizzato a Bruxelles; Ventisette regimi di controllo che si muovono a velocità diverse, alcuni su percorsi nazionali paralleli. Il fornitore di facciate opera proprio in quella zona.
Il divario è l'opportunità
Per gli operatori, lo stesso gap si legge in modo diverso. Nulla nel regolamento in corso impedisce a un fornitore di costruire oggi ciò che il framework richiederà alla fine — e i componenti non sono né esotici né speculativi.
Passaporti emessi come credenziali verificabili, con prove crittografiche ancorate a identificatori risolvibili pubblicamente, così che qualsiasi verificatore conforme possa verificare l'emittente e l'integrità dei dati senza dover chiamare l'API proprietaria del fornitore. Verifica del bilancio di massa per unità, perché il divario tra certificazione e dichiarazione è strutturale: gli schemi di certificazione certificano volumi — chilogrammi di materiale in una finestra temporale — mentre un passaporto è una dichiarazione per prodotto, e conciliare i due è un problema algoritmico che quantifica, unità per unità, quanto volume certificato effettivamente supporti la rivendicazione. Ho misurato cosa succede quando nessuno esegue quella riconciliazione: in un audit triennale di 656.309 yard di materiale certificato, ogni Certificato di Transazione era formalmente valido — e il 44,21% del volume ha fallito la verifica del bilancio masso per unità rispetto alla fonte primaria (dataset pubblico su Zenodo, DOI 10.5281/zenodo.19206500). E dati sul ciclo di vita generati come sottoprodotto di un vero tracciamento della catena di approvvigionamento, raccolti da eventi già registrati, invece che ricostruiti retrospettivamente come un esercizio di consulenza separato.
La legge delegata tessile ai sensi dell'ESPR non è ancora stata adottata — ed è proprio questo il punto. Aspettare che lo faccia produca altre facete. Costruire architettura verificabile ora trasforma il vuoto di responsabilità in una posizione difendibile: quando i requisiti dei fornitori diventeranno legge, gli operatori che trattavano la verifica come architettura si conformeranno già, e quelli che l'hanno trattata come marketing avranno un prodotto da ricostruire.
Per chiunque consigli un acquirente quest'anno, un test falsificabile taglia il rumore: chiedere al fornitore di dimostrare, su infrastrutture attive, come una dichiarazione dichiarata viene verificata rispetto alle prove — e cosa riporta il sistema quando le prove finiscono. La risposta ti dirà tutto ciò che devi sapere.
Il Registro aprirà secondo i tempi previsti. Lo strato di fiducia no. A settembre tornerò alla seconda metà di questa storia: cosa significa l'ondata di applicazione dell'applicazione ai sensi della Direttiva (UE) 2024/825 per l'infrastruttura di fiducia — e chi sarà pronto ad affrontarla.
Stefano Cipriani è un Membro Esperto CIRPASS-2 (EWG1/EWG3) e il fondatore di Reeco.