CRA IoT Classi di Prodotti Importatori

Le telecamere intelligenti sono Prodotti Importanti ai sensi del Cyber Resilience Act UE?

Le telecamere di sicurezza connesse sono classificate come Prodotti Importanti (Classe I) ai sensi dell'Allegato III del CRA. Cosa significa per produttori, importatori e distributori.

CRA Evidence Team
Autore
25 febbraio 2026
11 min di lettura
Telecamera di sicurezza professionale con un'interfaccia digitale sovrapposta che mostra un sigillo 'CRA Compliant' su un tablet che visualizza un Software Bill of Materials
In this article

Mentre un tostapane connesso può seguire il percorso di conformità CRA standard, alle telecamere di sicurezza intelligenti non è concesso questo lusso. L'UE le ha esplicitamente inserite nell'Allegato III come Prodotti Importanti, Classe I: un gradino sopra la maggior parte dell'IoT consumer, con requisiti di conformità più stringenti per chiunque produca, importi o distribuisca questi dispositivi.

Una convinzione diffusa è che le telecamere siano "Prodotti Critici." Non è così. Ma Importante Classe I rappresenta già un salto significativo. Ecco cosa sapere.

In sintesi

  • Le telecamere di sicurezza intelligenti sono Prodotti Importanti, Classe I ai sensi dell'Allegato III del CRA, Punto 17 — non "Prodotti Critici"
  • La Classe I consente l'autovalutazione solo se si applicano integralmente gli standard armonizzati; in caso contrario, è richiesta una verifica da parte di terzi
  • Le password predefinite sono vietate — al primo utilizzo devono essere imposte credenziali univoche o un'autenticazione sicura
  • I produttori devono gestire le vulnerabilità e fornire aggiornamenti di sicurezza per almeno 5 anni
  • Un SBOM (Software Bill of Materials) è obbligatorio
  • Gli importatori sono personalmente responsabili della verifica della conformità del produttore prima dell'immissione sul mercato UE
  • Tutti gli obblighi si applicano a partire dall'11 dicembre 2027

Cosa dice effettivamente il CRA sulle telecamere

Esiste molta confusione sulle categorie di prodotti del CRA, quindi è opportuno essere precisi. Il regolamento definisce tre livelli:

CLASSIFICAZIONE DEI PRODOTTI CRA

CATEGORIA PREDEFINITA (Autovalutazione — Modulo A):
  → La maggior parte dell'IoT consumer: altoparlanti smart, termostati, ecc.

PRODOTTI IMPORTANTI — Allegato III:
  Classe I (Autovalutazione con standard armonizzati OPPURE terzi):
    → Telecamere di sicurezza per la casa intelligente  ← LE TELECAMERE SONO QUI
    → Serrature smart, baby monitor, sistemi d'allarme
    → Router, modem, sistemi operativi, gestori di password
  Classe II (Verifica di terzi obbligatoria):
    → Firewall, sistemi di rilevamento/prevenzione delle intrusioni

PRODOTTI CRITICI — Allegato IV (Verifica di terzi obbligatoria, sempre):
  → Moduli di sicurezza hardware, gateway per contatori intelligenti, smart card

Il testo giuridico esatto

Allegato III, Classe I, Punto 17 del Regolamento (UE) 2024/2847:

"Prodotti per la casa intelligente con funzionalità di sicurezza, compresi serrature intelligenti per porte, telecamere di sicurezza, sistemi di monitoraggio dei bambini e sistemi di allarme"

Il Regolamento di esecuzione (UE) 2025/2392 della Commissione chiarisce ulteriormente l'ambito tecnico, utilizzando l'espressione "sistemi di telecamere" — leggermente più ampia rispetto a "telecamere di sicurezza" del regolamento principale.

Un qualificatore importante: il prodotto deve avere "funzionalità di sicurezza" in un contesto di casa intelligente. Una semplice webcam per videochiamate non rientra automaticamente nella Classe I. Una telecamera di sorveglianza connessa che monitora un'abitazione o un'attività commerciale, invece, sì.

Perché l'UE ha puntato i riflettori sulle telecamere

Non si tratta di una scelta arbitraria. Le telecamere IP si sono guadagnate la reputazione di anello debole della sicurezza di rete, e i dati lo confermano:

  • La botnet Mirai (dal 2016 in poi) ha costruito eserciti di oltre 150.000 telecamere e DVR compromessi per lanciare massicci attacchi DDoS (ENISA Threat Landscape 2020 — Botnet Report)
  • Gli attacchi DDoS hanno rappresentato il 77% di tutti gli incidenti informatici segnalati nel 2024–2025, molti dei quali alimentati da dispositivi IoT compromessi (ENISA Threat Landscape 2025)
  • Le varianti di Mirai sono ancora attive — sono state individuate mentre sfruttavano telecamere GeoVision già nell'aprile 2025
  • Ogni giorno circa 7,7 milioni di nuovi dispositivi IoT si connettono a Internet; solo 1 su 20 è protetto da un firewall

Il pattern è evidente: le telecamere sono sempre accese, sempre connesse, spesso scarsamente protette e custodiscono dati sensibili (i vostri flussi video). È esattamente il profilo di rischio che il CRA intende affrontare.

Cosa significa la Classe I per la valutazione di conformità

Ai sensi dell'Articolo 32(2), i produttori di Classe I dispongono di due percorsi, e quale sia percorribile dipende da un elemento ancora in evoluzione.

Percorso 1: Autovalutazione (Modulo A)

È possibile procedere con l'autovalutazione interna, ma solo se si applicano standard armonizzati che coprono tutti i requisiti essenziali di cybersicurezza. Una copertura parziale non è sufficiente — basta che manchi un requisito per dover ricorrere al Percorso 2.

Il problema: a febbraio 2026, gli standard armonizzati nell'ambito del CRA sono ancora in fase di definizione da parte di CEN/CENELEC. Finché non saranno pubblicati nella Gazzetta Ufficiale, la maggior parte dei produttori non potrà percorrere questa strada.

Percorso 2: Valutazione di terzi

In assenza di una copertura completa degli standard armonizzati, è necessario ricorrere a:

  • Modulo B + C — Esame UE del tipo da parte di un organismo notificato, seguita da conformità al tipo
  • Modulo H — Sistema di garanzia della qualità completo certificato da un organismo notificato

Entrambe le opzioni comportano costi maggiori e tempi più lunghi rispetto all'autovalutazione. La capacità degli organismi notificati si ridurrà man mano che ci avvicineremo a dicembre 2027: tutti si affolleranno all'ultimo momento.

Requisiti essenziali per le telecamere intelligenti

Ogni telecamera connessa deve soddisfare i requisiti essenziali di cybersicurezza del CRA (Allegato I), indipendentemente dal percorso di conformità scelto. Quelli che impattano maggiormente i produttori di telecamere:

1. Nessuna password predefinita

L'Articolo 13 e l'Allegato I, Parte I impongono una configurazione "sicura per impostazione predefinita". In termini concreti:

  • Niente più admin/admin o admin/password preimpostati su ogni unità
  • Ogni dispositivo deve avere una password univoca, o deve imporre la configurazione di credenziali sicure al primo utilizzo
  • Autenticazione a più fattori laddove tecnicamente fattibile

Questo requisito da solo costringerà a riprogettare un numero elevatissimo di linee di prodotti di telecamere.

2. Gestione delle vulnerabilità (minimo 5 anni)

L'Allegato I, Parte II impone ai produttori di:

  • Definire una politica di divulgazione coordinata delle vulnerabilità (CVD)
  • Fornire ai ricercatori di sicurezza un canale chiaro per segnalare i problemi
  • Correggere le vulnerabilità senza ritardo per l'intera durata del periodo di supporto
  • Supportare il prodotto per almeno 5 anni dall'immissione sul mercato
  • Segnalare le vulnerabilità attivamente sfruttate a ENISA entro 24 ore (obbligo operativo dall'11 settembre 2026)

Cinque anni di aggiornamenti obbligatori rappresentano una svolta radicale per i produttori di telecamere abituati al modello "distribuisci e dimentica."

3. Software Bill of Materials (SBOM)

Ogni componente software del firmware della telecamera deve essere documentato: il kernel Linux, le librerie di streaming RTSP, il framework dell'interfaccia web, lo stack TLS, tutto. Lo SBOM deve:

  • Utilizzare un formato leggibile automaticamente (CycloneDX o SPDX)
  • Coprire almeno le dipendenze di primo livello
  • Far parte della documentazione tecnica
  • Essere aggiornato per tutta la durata del periodo di supporto

4. Meccanismo di aggiornamento sicuro

Le telecamere devono supportare aggiornamenti firmware sicuri e autenticati:

  • Distribuiti su canali cifrati
  • Con verifica dell'integrità del firmware prima dell'installazione
  • Aggiornamenti di sicurezza automatici abilitati per impostazione predefinita (con possibilità di disattivazione da parte dell'utente)
  • Capacità di rollback raccomandata

5. Minimizzazione dei dati e privacy

Le telecamere che raccolgono dati video devono:

  • Trattare solo i dati necessari per la funzione del prodotto
  • Cifrare i dati archiviati e trasmessi
  • Consentire agli utenti di eliminare i propri dati in modo sicuro
  • Proteggere i dati a riposo contro accessi fisici non autorizzati

Il ruolo di importatori e distributori

Importatori: siete i guardiani del mercato UE

Se importate telecamere dall'esterno dell'UE (e la realtà è che la maggior parte delle telecamere intelligenti viene prodotta in Asia), l'Articolo 19 vi rende direttamente responsabili. Siete personalmente responsabili di verificare che il produttore abbia svolto il proprio lavoro di conformità prima che il prodotto entri nel mercato UE.

Lista di controllo prima di immettere una telecamera sul mercato UE:

  • [ ] Il produttore ha completato la valutazione di conformità appropriata (Classe I)
  • [ ] Esiste una Dichiarazione di Conformità UE (DoC) che fa riferimento al CRA
  • [ ] La marcatura CE è applicata correttamente
  • [ ] La documentazione tecnica è disponibile e adeguata
  • [ ] Le informazioni di contatto del produttore sono riportate sul prodotto o sull'imballaggio
  • [ ] Lo SBOM è disponibile come parte della documentazione tecnica

Se anche una sola verifica fallisce, non potete legalmente vendere il prodotto. Punto. Dovete informare il produttore e, in presenza di un rischio di cybersicurezza, notificare le autorità di sorveglianza del mercato.

Sanzioni per gli importatori: Fino a 10 milioni di EUR o il 2% del fatturato annuo mondiale (Articolo 64).

Distributori: obblighi più leggeri, conseguenze reali

I distributori hanno meno verifiche da effettuare ai sensi dell'Articolo 20, ma gli obblighi sono comunque vincolanti:

  • La marcatura CE è presente sul prodotto
  • Il nome e i recapiti del produttore e dell'importatore sono visibili
  • Le condizioni di stoccaggio e trasporto non compromettono la conformità
  • Non vendere prodotti di cui si ha motivo di ritenere che siano non conformi

Sanzioni per i distributori: Fino a 5 milioni di EUR o l'1% del fatturato annuo mondiale (Articolo 64).

La trappola del rebranding

Attenzione: se importate una telecamera e la commercializzate con il vostro marchio, o se apportate modifiche sostanziali al firmware o agli elementi digitali, il CRA vi considera a tutti gli effetti il produttore. Questo significa l'intero set di obblighi del produttore: valutazione di conformità, SBOM, gestione delle vulnerabilità per 5 anni, tutto quanto.

Calendario di conformità 

CALENDARIO CRA PER LE TELECAMERE INTELLIGENTI

11 set 2026 ─── Entrano in vigore gli obblighi di segnalazione delle vulnerabilità
                (Segnalazione a ENISA entro 24h per sfruttamento attivo)

11 dic 2027 ─── Piena conformità CRA obbligatoria
                (Tutti i requisiti essenziali, valutazione di conformità,
                 marcatura CE, SBOM, documentazione tecnica)

Se producete o importate telecamere intelligenti e non avete ancora avviato il vostro percorso di conformità, siete già in ritardo. Gli standard armonizzati sono ancora in fase di sviluppo, i posti presso gli organismi notificati si stanno esaurendo e il dicembre 2027 è più vicino di quanto sembri.

Cosa fare adesso

Produttori

  1. Classificate il vostro prodotto. Una telecamera di sicurezza in un contesto di casa intelligente? È Classe I. I sistemi TVCC professionali possono rientrare nell'ambito generale del CRA, ma non necessariamente nel Punto 17 dell'Allegato III.
  2. Eliminate le password predefinite. Su tutta la vostra linea di prodotti, subito.
  3. Costruite il vostro SBOM. In formato CycloneDX o SPDX. Partite dall'albero delle dipendenze del firmware della telecamera.
  4. Definite una politica CVD. Un file security.txt e un canale chiaro per la segnalazione delle vulnerabilità.
  5. Scegliete il percorso di conformità. Monitorate CEN/CENELEC per i progressi sugli standard armonizzati. Se non saranno pronti in tempo, contattate un organismo notificato per tempo.
  6. Prezzate 5 anni di supporto. L'aggiornamento continuo della sicurezza non è più facoltativo: incorporatelo nei vostri margini.

Importatori

  1. Verificate i vostri fornitori. Richiedete a ogni produttore di telecamere con cui collaborate prove di conformità, SBOM e Dichiarazioni di Conformità.
  2. Aggiornate i contratti di approvvigionamento. Inserite clausole di conformità CRA prima della scadenza, non dopo.
  3. Verificate i prodotti a vostro marchio. Vendete telecamere con il vostro nome? Potreste essere il produttore ai sensi del CRA.

Distributori

  1. Identificate i prodotti Classe I nel vostro catalogo. Sapete quali telecamere comportano requisiti di conformità più elevati.
  2. Raccogliete le prove di marcatura CE e le DoC dalla vostra filiera.
  3. Pianificate le procedure di ritiro per i prodotti che non saranno conformi entro dicembre 2027.

Importante: Le telecamere intelligenti con funzionalità di sicurezza (sorveglianza, monitoraggio) sono classificate come Classe I Importante ai sensi dell'Allegato III, Parte I.

Suggerimento: Le password predefinite sulle telecamere sono esplicitamente vietate dal CRA. Ogni dispositivo deve avere credenziali uniche o richiedere la configurazione da parte dell'utente.

Guide Correlate

Fonti ufficiali

Argomenti trattati in questo articolo

Condividi questo articolo

Articoli correlati

Does the CRA apply to your product?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell’ambito del Cyber Resilience Act dell’UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni
Torna a tutti gli articoli