Telecamere intelligenti: prodotti importanti per il CRA?

Le telecamere di sicurezza connesse sono Prodotti Importanti (Classe I) nell'Allegato III del CRA. Cosa significa per fabbricanti e importatori.

CRA Evidence Team Pubblicato 25 febbraio 2026 Aggiornato 31 maggio 2026
Scheda di anteprima del blog con il titolo 'Le telecamere intelligenti sono Prodotti Importanti secondo il CRA?' sul template normativo di CRA Evidence
In questo articolo

Mentre un tostapane connesso può seguire il percorso di conformità CRA standard, alle telecamere di sicurezza intelligenti non è concesso questo lusso. L'UE le ha esplicitamente inserite nell'Allegato III come Prodotti Importanti, Classe I, un gradino sopra la maggior parte dell'IoT consumer, con requisiti di conformità più stringenti per chiunque produca, importi o distribuisca questi dispositivi.

Una convinzione diffusa è che le telecamere siano "Prodotti Critici". Non è così. Ma Classe I Importante rappresenta già un salto significativo.

In sintesi

  • Le telecamere di sicurezza intelligenti sono Prodotti Importanti, Classe I ai sensi dell'Allegato III del CRA, Punto 17. Non "Prodotti Critici"
  • La Classe I consente l'autovalutazione solo se si applicano integralmente gli standard armonizzati, altrimenti è richiesta una verifica da parte di terzi
  • Le password predefinite sono vietate. Al primo utilizzo devono essere imposte credenziali univoche o un'autenticazione sicura
  • I fabbricanti devono gestire le vulnerabilità e fornire aggiornamenti di sicurezza per almeno 5 anni
  • Un SBOM (Software Bill of Materials) è obbligatorio
  • Gli importatori sono personalmente responsabili della verifica della conformità del fabbricante prima dell'immissione sul mercato UE
  • Tutti gli obblighi si applicano a partire dall'11 dicembre 2027
150.000+
Telecamere compromesse
e DVR, picco della botnet Mirai (dal 2016 in poi)
77%
Incidenti informatici segnalati
sono stati DDoS nel 2024-2025
5 anni
Periodo minimo di supporto
per le telecamere di Classe I (art. 13(8))
11 dic 2027
Piena applicazione del CRA
marcatura CE e conformità obbligatorie

Fonti: ENISA Threat Landscape 2020 e 2025, Regolamento (UE) 2024/2847, articoli 13 e 71.

Cosa dice effettivamente il CRA sulle telecamere

Esiste molta confusione sulle categorie di prodotti del CRA, quindi è opportuno essere precisi. Il regolamento definisce tre livelli:

Livelli di prodotto del CRA che collocano le telecamere di sicurezza intelligenti nella Classe I Importante, Allegato III, Punto 17. La categoria Predefinita copre la maggior parte dell'IoT consumer, come altoparlanti intelligenti e termostati. La Classe I comprende telecamere di sicurezza per la casa intelligente, serrature intelligenti, baby monitor, sistemi d'allarme, router, modem, sistemi operativi e gestori di password. La Classe II comprende firewall e sistemi di rilevamento e prevenzione delle intrusioni. La categoria Critici, Allegato IV, comprende moduli di sicurezza hardware, gateway per contatori intelligenti e smartcard.
La collocazione delle telecamere di sicurezza intelligenti nella classificazione dei prodotti CRA.

Il testo giuridico esatto

Allegato III, Classe I, Punto 17 del Regolamento (UE) 2024/2847:

"Prodotti per la casa intelligente con funzionalità di sicurezza, compresi serrature intelligenti per porte, telecamere di sicurezza, sistemi di monitoraggio dei bambini e sistemi di allarme"

Il Regolamento di esecuzione (UE) 2025/2392 della Commissione chiarisce ulteriormente l'ambito tecnico, utilizzando l'espressione "sistemi di telecamere", leggermente più ampia rispetto a "telecamere di sicurezza" del regolamento principale.

Un qualificatore importante: il prodotto deve avere "funzionalità di sicurezza" in un contesto di casa intelligente. Una semplice webcam per videochiamate non rientra automaticamente nella Classe I. Una telecamera di sorveglianza connessa che monitora un'abitazione o un'attività commerciale, invece, sì.

Perché l'UE ha puntato i riflettori sulle telecamere

Non si tratta di una scelta arbitraria. Le telecamere IP si sono guadagnate la reputazione di anello debole della sicurezza di rete, e i dati lo confermano:

  • La botnet Mirai (dal 2016 in poi) ha costruito eserciti di oltre 150.000 telecamere e DVR compromessi per lanciare massicci attacchi DDoS (ENISA Threat Landscape 2020: Botnet Report)
  • Gli attacchi DDoS hanno rappresentato il 77% di tutti gli incidenti informatici segnalati nel 2024-2025, molti dei quali alimentati da dispositivi IoT compromessi (ENISA Threat Landscape 2025)
  • Le varianti di Mirai sono ancora attive e sono state individuate mentre sfruttavano telecamere GeoVision già nell'aprile 2025
  • Ogni giorno circa 7,7 milioni di nuovi dispositivi IoT si connettono a Internet, e solo 1 su 20 è protetto da un firewall

Il pattern è evidente: le telecamere sono sempre accese, sempre connesse, spesso scarsamente protette e custodiscono dati sensibili (i flussi video). È esattamente il profilo di rischio che il CRA intende affrontare.

Cosa significa la Classe I per la valutazione di conformità

Ai sensi dell'articolo 32(2), i fabbricanti di Classe I dispongono di due percorsi, e quale sia percorribile dipende da un elemento ancora in evoluzione.

Percorso 1: Autovalutazione (Modulo A)

È possibile procedere con l'autovalutazione interna, ma solo se si applicano standard armonizzati che coprono tutti i requisiti essenziali di cybersicurezza. Una copertura parziale non è sufficiente. Basta che manchi un requisito per dover ricorrere al Percorso 2.

Il problema: a febbraio 2026, gli standard armonizzati nell'ambito del CRA sono ancora in fase di definizione da parte di CEN/CENELEC. Finché non saranno pubblicati nella Gazzetta Ufficiale, la maggior parte dei fabbricanti non potrà percorrere questa strada.

Percorso 2: Valutazione di terzi

In assenza di una copertura completa degli standard armonizzati, è necessario ricorrere a:

  • Modulo B + C: esame UE del tipo da parte di un organismo notificato, seguita da conformità al tipo
  • Modulo H: sistema di garanzia della qualità completo certificato da un organismo notificato

Entrambe le opzioni comportano costi maggiori e tempi più lunghi rispetto all'autovalutazione. La capacità degli organismi notificati si ridurrà man mano che ci avvicineremo a dicembre 2027. Tutti si affolleranno all'ultimo momento.

Requisiti essenziali per le telecamere intelligenti

Ogni telecamera connessa deve soddisfare i requisiti essenziali di cybersicurezza del CRA (Allegato I), indipendentemente dal percorso di conformità scelto. Quelli che impattano maggiormente i fabbricanti di telecamere:

1. Nessuna password predefinita

L'articolo 13 e l'Allegato I, Parte I impongono una configurazione "sicura per impostazione predefinita". In termini concreti:

  • Niente più admin/admin o admin/password preimpostati su ogni unità
  • Ogni dispositivo deve avere una password univoca, o deve imporre la configurazione di credenziali sicure al primo utilizzo
  • Autenticazione a più fattori laddove tecnicamente fattibile

Questo requisito da solo costringerà a riprogettare un numero elevatissimo di linee di prodotti di telecamere.

2. Gestione delle vulnerabilità (minimo 5 anni)

L'Allegato I, Parte II impone ai fabbricanti di:

  • Definire una politica di divulgazione coordinata delle vulnerabilità (CVD)
  • Fornire ai ricercatori di sicurezza un canale chiaro per segnalare i problemi
  • Correggere le vulnerabilità senza ritardo per l'intera durata del periodo di supporto
  • Supportare il prodotto per almeno 5 anni dall'immissione sul mercato
  • Segnalare le vulnerabilità attivamente sfruttate entro 24 ore dalla presa di conoscenza, simultaneamente al CSIRT designato come coordinatore e a ENISA tramite la Piattaforma di segnalazione unica (obbligo operativo dall'11 settembre 2026)

Cinque anni di aggiornamenti obbligatori rappresentano una svolta radicale per i fabbricanti di telecamere abituati al modello "distribuisci e dimentica".

3. Software Bill of Materials (SBOM)

Ogni componente software del firmware della telecamera deve essere documentato: il kernel Linux, le librerie di streaming RTSP, il framework dell'interfaccia web, lo stack TLS, tutto. Lo SBOM deve:

  • Utilizzare un formato leggibile automaticamente (CycloneDX o SPDX)
  • Coprire almeno le dipendenze di primo livello
  • Far parte della documentazione tecnica
  • Essere aggiornato per tutta la durata del periodo di supporto

4. Meccanismo di aggiornamento sicuro

Le telecamere devono supportare aggiornamenti firmware sicuri e autenticati:

  • Distribuiti su canali cifrati
  • Con verifica dell'integrità del firmware prima dell'installazione
  • Aggiornamenti di sicurezza automatici abilitati per impostazione predefinita (con possibilità di disattivazione da parte dell'utente)
  • Capacità di rollback raccomandata

5. Minimizzazione dei dati e privacy

Le telecamere che raccolgono dati video devono:

  • Trattare solo i dati necessari per la funzione del prodotto
  • Cifrare i dati archiviati e trasmessi
  • Consentire agli utenti di eliminare i propri dati in modo sicuro
  • Proteggere i dati a riposo contro accessi fisici non autorizzati

Il ruolo di importatori e distributori

Importatori: il presidio d'ingresso al mercato UE

Se si importano telecamere dall'esterno dell'UE (e la realtà è che la maggior parte delle telecamere intelligenti viene prodotta in Asia), l'articolo 19 rende l'importatore direttamente responsabile. Si è personalmente responsabili di verificare che il fabbricante abbia svolto il proprio lavoro di conformità prima che il prodotto entri nel mercato UE.

Lista di controllo prima di immettere una telecamera sul mercato UE:

  • [ ] Il fabbricante ha completato la valutazione di conformità appropriata (Classe I)
  • [ ] Esiste una Dichiarazione di Conformità UE (DoC) che fa riferimento al CRA
  • [ ] La marcatura CE è applicata correttamente
  • [ ] La documentazione tecnica è disponibile e adeguata
  • [ ] Le informazioni di contatto del fabbricante sono riportate sul prodotto o sull'imballaggio
  • [ ] Lo SBOM è disponibile come parte della documentazione tecnica

Se anche una sola verifica fallisce, non è possibile vendere legalmente il prodotto. Punto. Occorre informare il fabbricante e, in presenza di un rischio di cybersicurezza, notificare le autorità di vigilanza del mercato.

Sanzioni per gli importatori: fino a 10 milioni di EUR o il 2% del fatturato annuo mondiale (articolo 64).

Distributori: obblighi più leggeri, conseguenze reali

I distributori hanno meno verifiche da effettuare ai sensi dell'articolo 20, ma gli obblighi sono comunque vincolanti:

  • La marcatura CE è presente sul prodotto
  • Il nome e i recapiti del fabbricante e dell'importatore sono visibili
  • Le condizioni di stoccaggio e trasporto non compromettono la conformità
  • Non si vendono prodotti che si ha motivo di ritenere non conformi

Sanzioni per i distributori: fino a 10 milioni di EUR o il 2% del fatturato annuo mondiale (articolo 64(3), gli obblighi dei distributori di cui all'articolo 20 rientrano nell'intervallo degli articoli 18-23).

La trappola del rebranding

Attenzione: se si importa una telecamera e la si commercializza con il proprio marchio, o se si apportano modifiche sostanziali al firmware o agli elementi digitali, il CRA considera l'operatore a tutti gli effetti il fabbricante. Questo significa l'intero set di obblighi del fabbricante: valutazione di conformità, SBOM, gestione delle vulnerabilità per 5 anni, tutto quanto.

Calendario di conformità 

CALENDARIO CRA PER LE TELECAMERE INTELLIGENTI

11 set 2026 --- Entrano in vigore gli obblighi di segnalazione delle vulnerabilità
                (segnalazione simultanea al CSIRT coordinatore e a ENISA tramite la Piattaforma di segnalazione unica entro 24h dalla presa di conoscenza)

11 dic 2027 --- Piena conformità CRA obbligatoria
                (tutti i requisiti essenziali, valutazione di conformità,
                 marcatura CE, SBOM, documentazione tecnica)

Se si producono o si importano telecamere intelligenti e non si è ancora avviato il percorso di conformità, si è già in ritardo. Gli standard armonizzati sono ancora in fase di sviluppo, i posti presso gli organismi notificati si stanno esaurendo e il dicembre 2027 è più vicino di quanto sembri.

Importante

Le telecamere intelligenti con funzionalità di sicurezza (sorveglianza, monitoraggio) sono classificate come Classe I Importante ai sensi dell'Allegato III, Parte I.

Suggerimento

Le password predefinite sulle telecamere sono esplicitamente vietate dal CRA. Ogni dispositivo deve avere credenziali univoche o richiedere la configurazione da parte dell'utente.

Fonti ufficiali

Domande frequenti

Le telecamere di sicurezza intelligenti sono Classe I o Critici ai sensi del CRA?

Classe I. L'Allegato III, Classe I, Punto 17 del Regolamento (UE) 2024/2847 elenca "prodotti per la casa intelligente con funzionalità di sicurezza, compresi serrature intelligenti per porte, telecamere di sicurezza, sistemi di monitoraggio dei bambini e sistemi di allarme". I Prodotti Critici si trovano nell'Allegato IV e comprendono moduli di sicurezza hardware, gateway per contatori intelligenti e smartcard, non telecamere. Il Regolamento di esecuzione (UE) 2025/2392 della Commissione utilizza l'espressione leggermente più ampia "sistemi di telecamere" per la stessa categoria. Una semplice webcam per videochiamate non rientra automaticamente in questa classe, il qualificatore è il contesto di casa intelligente con una funzione di sicurezza.

I fabbricanti di telecamere possono autovalutarsi con il Modulo A o è obbligatorio un organismo notificato?

L'autovalutazione è consentita solo se si applicano integralmente standard armonizzati che coprono tutti i requisiti essenziali di cybersicurezza. Una copertura parziale impone il percorso di terzi: Modulo B+C (esame UE del tipo da parte di un organismo notificato, seguita da conformità al tipo) oppure Modulo H (sistema di garanzia della qualità completo certificato da un organismo notificato). A febbraio 2026 gli standard armonizzati del CRA sono ancora in fase di definizione da parte di CEN/CENELEC, quindi la maggior parte dei fabbricanti non potrà ancora imboccare la via dell'autovalutazione.

Le password predefinite sulle telecamere intelligenti sono davvero vietate?

Sì. L'articolo 13 e l'Allegato I, Parte I impongono una configurazione "sicura per impostazione predefinita". In pratica questo significa niente più admin/admin o admin/password preimpostati su ogni unità. Ogni dispositivo deve avere credenziali univoche, o deve imporre all'utente la configurazione di credenziali sicure al primo utilizzo, con autenticazione a più fattori laddove tecnicamente fattibile. Questo singolo requisito da solo costringerà a riprogettare una quota significativa del mercato delle telecamere.

Per quanto tempo un fabbricante di telecamere deve fornire aggiornamenti di sicurezza?

Almeno cinque anni dall'immissione sul mercato, ai sensi dell'articolo 13(8), o la durata di vita attesa del prodotto se inferiore. In tale periodo, i fabbricanti devono gestire una politica di divulgazione coordinata delle vulnerabilità (CVD), fornire ai ricercatori di sicurezza un canale chiaro per segnalare i problemi e correggere le vulnerabilità senza ritardo. Gli aggiornamenti devono essere distribuiti su canali autenticati, con verifica dell'integrità del firmware prima dell'installazione, e con gli aggiornamenti di sicurezza automatici abilitati per impostazione predefinita (l'utente può disattivarli).

Qual è la responsabilità dell'importatore che immette telecamere sul mercato UE?

Ai sensi dell'articolo 19, gli importatori sono personalmente responsabili di verificare che il fabbricante abbia completato la valutazione di conformità, che una Dichiarazione di Conformità UE faccia riferimento al CRA, che la marcatura CE sia applicata correttamente, che la documentazione tecnica e lo SBOM siano disponibili, e che i recapiti del fabbricante siano riportati sul prodotto o sull'imballaggio. Se anche una sola verifica fallisce, il prodotto non può essere legittimamente immesso sul mercato. Le sanzioni raggiungono 10 milioni di EUR o il 2% del fatturato annuo mondiale (articolo 64). Un importatore che effettua il rebranding di una telecamera o apporta modifiche sostanziali è considerato fabbricante e assume l'intero set di obblighi del fabbricante.

Quando inizia per le telecamere l'obbligo di segnalazione delle vulnerabilità entro 24 ore?

L'11 settembre 2026. Da quella data, le vulnerabilità attivamente sfruttate devono essere segnalate entro 24 ore dalla presa di conoscenza, simultaneamente al CSIRT designato come coordinatore e a ENISA tramite la Piattaforma di segnalazione unica, ai sensi dell'articolo 14. La piena applicazione del CRA, compresa la marcatura CE, la valutazione di conformità, lo SBOM e la documentazione tecnica, segue l'11 dicembre 2027. I fabbricanti e gli importatori che non hanno ancora progettato la propria pipeline ai sensi dell'articolo 14 sono già in ritardo, gli standard armonizzati sono ancora in fase di sviluppo e la capacità degli organismi notificati si ridurrà con l'avvicinarsi del 2027.

Prossimi passi

Cosa fare entro dicembre 2027

  1. Classifichi il suo prodotto rispetto al Punto 17 dell'Allegato III. Contesto di casa intelligente con una funzione di sicurezza significa Classe I, la videosorveglianza professionale può rientrare nell'ambito generale del CRA.
  2. Elimini le password predefinite su tutta la linea di telecamere. Ogni unità esce con credenziali univoche, o impone la configurazione sicura al primo utilizzo.
  3. Generi uno SBOM CycloneDX o SPDX per il firmware. Copra almeno le dipendenze di primo livello e lo mantenga aggiornato per l'intero periodo di supporto di 5 anni.
  4. Pubblichi una politica di divulgazione coordinata delle vulnerabilità e un security.txt con un contatto raggiungibile.
  5. Scelga il percorso di conformità. Se gli standard armonizzati di CEN/CENELEC non saranno definitivi in tempo, coinvolga subito un organismo notificato. Veda la guida alla scelta della valutazione di conformità.
  6. Se importa telecamere prodotte fuori dall'UE, verifichi le prove di conformità di ciascun fornitore prima dell'immissione sul mercato. Veda la guida alla verifica degli obblighi dell'importatore.

Il presente articolo ha finalità puramente informative e non costituisce consulenza legale. Per indicazioni di conformità specifiche, consulti un legale qualificato.

CRA IoT Classi di Prodotti Importatori
Share

Articoli correlati

Torna a tutti gli articoli

Il CRA si applica al tuo prodotto?

Rispondi a 6 semplici domande per scoprire se il tuo prodotto rientra nell'ambito del Regolamento sulla ciberresilienza dell'UE. Ottieni il risultato in meno di 2 minuti.

Verifica ora

Pronto a raggiungere la conformità CRA?

Inizia a gestire i tuoi SBOM e la documentazione di conformità con CRA Evidence.

Inizia Prova Gratuita di 14 Giorni

Approfondimento sulle tematiche CRA

Guide sempreverdi su requisiti, processi e ruoli definiti dal Regolamento sulla cibersicurezza (CRA).

Dichiarazione UE di conformità

Cosa deve contenere la Dichiarazione di conformità, chi la firma e quando è richiesta.

Leggi la guida →
Valutazione della conformità

Come funziona la valutazione della conformità ai sensi del CRA e quando è richiesto un organismo notificato.

Leggi la guida →
Documentazione tecnica

Cosa deve contenere la documentazione tecnica CRA (Allegato VII sezione per sezione) e come i produttori dovrebbero strutturarla.

Leggi la guida →
Requisiti SBOM

Cosa richiede il CRA per gli SBOM e come BSI TR-03183 definisce i criteri di qualità.

Leggi la guida →
Segnalazione delle vulnerabilità

Come funziona il requisito di notifica all'ENISA entro 24 ore e cosa conta come vulnerabilità attivamente sfruttata.

Leggi la guida →
Obblighi dell'importatore

Cosa richiede l'articolo 19 agli importatori e come verificare la conformità del produttore.

Leggi la guida →
Pianificazione del periodo di supporto

Cosa implica l'obbligo del periodo di supporto CRA per gli aggiornamenti di sicurezza e la pianificazione della fine vita.

Leggi la guida →
View full CRA compliance guide