El IoT en retail, en el punto de mira: sin seguridad, no se venderá en la UE

La cuenta atrás ha comenzado. A partir del 1 de agosto, ningún dispositivo conectado —incluidos terminales de punto de venta, sistemas de pago, dispositivos de gestión logística o soluciones de retail tech— podrá venderse en la Unión Europea si no cumple con los requisitos de ciberseguridad establecidos en la nueva norma armonizada EN 18031. Una regulación que afecta de lleno al ecosistema de proveedores, fabricantes y distribuidores que operan en el canal retail.

El objetivo, según marca la Decisión de Ejecución (UE) 2025/138, es claro: garantizar la seguridad de las redes, proteger los datos personales y blindar las operaciones frente a fraudes y accesos no autorizados. En un entorno comercial donde la tecnología conectada es clave para la gestión del negocio y la experiencia de cliente, las implicaciones para el sector retail son inmediatas.

Los dispositivos sujetos a la directiva son todos aquellos que se conectan mediante tecnología de radiofrecuencia o red —desde smartphones y tablets hasta TPV, etiquetas electrónicas, sensores IoT o soluciones de smart retail—.

Para poder obtener el marcado CE, indispensable para su comercialización en la UE, los fabricantes y distribuidores deberán acreditar que sus productos cumplen tres bloques de requisitos:

• Protección de las redes de telecomunicaciones, sin dañarlas ni consumir recursos de manera excesiva.

• Garantía de la privacidad y protección de datos personales, en línea con el Reglamento General de Protección de Datos (GDPR).

• Prevención del fraude, asegurando controles contra accesos no autorizados y manipulación de la información.

Requisitos técnicos y advertencias para el sector

El cumplimiento de la norma EN 18031 no será automático. La Comisión Europea ha puntualizado que solo los dispositivos con medidas efectivas —como sistemas de autenticación robusta, controles parentales en juguetes conectados o mecanismos reforzados en soluciones de pago— serán considerados conformes.

Esto afecta directamente a dispositivos de retail y distribución que gestionen transacciones, monitorización de stock o datos de cliente, donde la ciberseguridad y la trazabilidad son factores críticos para la confianza del consumidor y el cumplimiento legal.

Según Fortune Business Insights, el mercado global del IoT alcanzó los 600 000 millones de dólares en 2023 y podría superar los 4 billones en 2032. En este contexto, el retail y la distribución están entre los sectores más impactados, al integrar soluciones conectadas en tiendas físicas, plataformas logísticas y gestión omnicanal. “El hecho de que existan miles de millones de dispositivos conectados convierte al IoT en una potencial puerta de entrada para ciberataques, incluso desde los dispositivos más simples”, advierte Xabier Olea, Tech Manager en Wireless Logic España.