Il Cyber Resilience Act (Regolamento (UE) 2024/2847) impone ai fabbricanti di indicare la data di fine del periodo di supporto nelle informazioni che accompagnano il prodotto, prima dell'acquisto. È la controparte rivolta all'utente delle regole di durata previste dall'articolo sul periodo di supporto e dell'obbligo di comunicazione della fine del ciclo di vita al momento dell'acquisto. Per i meccanismi di durata consulti il Periodo di Supporto CRA: Basi; per la consegna delle patch consulti gli Aggiornamenti di Sicurezza CRA.
Sintesi
- Requisito pre-acquisto, con visibilità al momento dell’acquisto. La data di fine supporto deve essere chiara e accessibile al momento dell’acquisto: sul prodotto o sull’imballaggio, oppure tramite mezzi digitali. Deve comparire nelle istruzioni utente. L’acquirente deve poterla vedere prima di impegnarsi all’acquisto.
- Notifica al raggiungimento della fine del supporto. Dove tecnicamente fattibile, il fabbricante dovrebbe informare gli utenti nel momento in cui il prodotto raggiunge la fine del periodo di supporto.
- Collegata alla conservazione del fascicolo tecnico. Il fascicolo tecnico, comprese le informazioni utente, deve essere conservato per 10 anni dalla messa sul mercato o per il periodo di supporto se più lungo.
- L’esposizione sanzionatoria è separata. La mancata divulgazione può creare rischio di enforcement, ma i livelli di sanzione appartengono alla guida a sanzioni ed enforcement, non a questa checklist.
I quattro riferimenti della divulgazione di fine supporto: momento, canale, conservazione e modello sanzionatorio.
Cosa deve vedere l'utente prima dell'acquisto
Le informazioni utente richieste hanno due parti pratiche: il tipo di supporto tecnico di sicurezza offerto e la data di fine del periodo di supporto. Per la data finale, pagina prodotto, imballaggio, scheda tecnica, pagina di download o materiale pre-acquisto equivalente dovrebbero chiarire quattro cose:
- La data di fine è indicata nella documentazione del prodotto fornita al momento della vendita o del download, o prima.
- Appare prima che l'utente completi l'acquisto, non in un'e-mail di benvenuto post-acquisto o nelle condizioni di servizio.
- Se il fabbricante usa un periodo d'uso previsto più breve, la divulgazione rivolta all'utente riflette la data finale reale più breve, non una stima arrotondata di cinque anni.
- La stessa data finale è registrata nel fascicolo tecnico e conservata con le prove di conformità trattenute.
Implicazione pratica: la data di fine del periodo di supporto è una specifica di prodotto, non un impegno commerciale. È registrata nel fascicolo tecnico, mostrata agli utenti prima dell'acquisto e aggiornata ogni volta che una versione del prodotto viene rinnovata o cambia la valutazione della vita utile prevista.
Dove deve comparire la divulgazione, per canale
La divulgazione della data di fine è soddisfatta solo quando la data raggiunge l'utente prima che il denaro cambi di mano. Il luogo in cui deve comparire dipende dal canale; la tabella seguente associa ciascun canale alla collocazione che soddisfa l'obbligo e a quella che non è sufficiente.
| Canale | La divulgazione deve comparire | Non sufficiente |
|---|---|---|
| Vendita al dettaglio fisica | Sulla confezione o nella documentazione disponibile prima dell'apertura del sigillo | Etichetta leggibile solo dopo l'apertura della confezione |
| E-commerce | Pagina di dettaglio del prodotto, scheda ciclo di vita/specifiche o link pre-acquisto chiaramente etichettato prima che l'acquirente si impegni | Conferma dell'ordine, e-mail post-acquisto o collocazione solo nel checkout dopo l'impegno |
| SDK / sviluppatori | Pagina pubblica della documentazione dell'API o del componente, consultata prima dell'integrazione | README all'interno del pacchetto scaricato |
| Appalti B2B | Scheda tecnica, datasheet o risposta a RFP valutati prima della firma | Documento di onboarding post-contratto |
| Software scaricabile | Pagina di download o riepilogo pre-installazione del programma di installazione | Schermata nell'app visibile solo dopo il primo avvio |
Collocazione per canale. Il principio è uniforme per tutti e cinque: la data di fine fa parte della decisione di acquisto e deve essere disponibile nel momento in cui l'acquirente la sta prendendo.
Esempio pratico: divulgazione per versione su una timeline
Un fabbricante immette sul mercato UE il prodotto v1.0 a gennaio 2028 con un impegno di supporto quinquennale, poi aggiorna a v1.1 a luglio 2028 con un proprio impegno quinquennale. La divulgazione è agganciata alla versione, non alla data di acquisto dell'acquirente.
Collegamento al fascicolo tecnico e alla DoC UE
Una divulgazione accurata sulla pagina del prodotto ma assente dal fascicolo tecnico, oppure presente nel fascicolo tecnico ma non visibile all'acquirente, non soddisfa l'obbligo. Tre elementi devono allinearsi contemporaneamente:
| Elemento | Cosa deve allinearsi |
|---|---|
| Fascicolo tecnico | Il fascicolo tecnico conservato dovrebbe contenere la stessa data di fine supporto rivolta all'utente che appare su pagina prodotto, imballaggio, scheda tecnica o pagina di download. Consulti la Documentazione Tecnica CRA. |
| Dichiarazione UE di conformità | La DoC attesta la conformità ai requisiti del fabbricante, ma non sostituisce la divulgazione pre-acquisto della data finale. Consulti la Dichiarazione CRA di Conformità. |
| Aggiornamenti di sicurezza | Fino alla data finale comunicata, il fabbricante deve mantenere il processo di gestione delle vulnerabilità e consegna degli aggiornamenti descritto negli Aggiornamenti di Sicurezza CRA. Per i livelli sanzionatori, usi la guida a sanzioni ed enforcement. |
Domande frequenti
Cosa deve comparire nelle informazioni rivolte all'utente in merito al periodo di supporto?
Il tipo di supporto tecnico di sicurezza offerto e la data di fine del periodo di supporto, indicati nelle informazioni fornite agli utenti al momento della vendita o prima di essa. La data deve essere specifica (ad esempio, "Aggiornamenti di sicurezza forniti fino all'11 dicembre 2032") e deve riflettere l'impegno effettivo, inclusa qualsiasi deroga per vita attesa ridotta. Le e-mail post-acquisto o i blocchi dei termini di servizio non soddisfano l'obbligo. Se il prodotto viene aggiornato con una nuova versione che azzera il conteggio del supporto, la divulgazione rivolta all'utente deve essere aggiornata per riflettere la nuova data di fine.
"Almeno cinque anni dall'acquisto" è sufficiente, oppure la divulgazione deve indicare una data specifica?
No, è richiesta una data di fine concreta. Una formulazione relativa come "aggiornamenti di sicurezza per almeno cinque anni dall'acquisto" non costituisce una data di fine e non soddisfa la divulgazione. Il livello di precisione può essere mese e anno ("dicembre 2032") anziché un giorno di calendario esatto, ma è necessario un riferimento temporale fisso affinché l'acquirente possa calcolare il supporto residuo prima del pagamento. La data di fine è inoltre quella che viene registrata nel fascicolo tecnico, quindi una formulazione relativa non trova collocazione nella catena documentale.
Dove deve comparire la data di fine in una pagina di prodotto e-commerce?
Sulla pagina di dettaglio del prodotto stessa, oppure raggiungibile tramite un unico link chiaramente etichettato da essa (ad esempio una scheda "Specifiche", "Ciclo di vita" o "Supporto"). La collocazione esclusivamente nei termini di servizio, esclusivamente in una sezione FAQ o esclusivamente nella pagina di conferma post-checkout non soddisfa il requisito pre-acquisto. Il principio è che un acquirente ragionevole che sta valutando il prodotto prima di fare clic su "acquista" deve poter vedere la data di fine del periodo di supporto senza essersi già impegnato nell'acquisto.
Se estendo il periodo di supporto dopo il lancio, devo aggiornare la divulgazione?
Sì. Le informazioni per l'utente fanno parte della documentazione tecnica e devono riflettere l'impegno effettivo. Se il fabbricante estende il periodo di supporto, sia la divulgazione rivolta all'utente (pagina del prodotto, confezione, scheda tecnica, riepilogo del programma di installazione) sia il fascicolo tecnico conservato devono essere aggiornati per indicare la nuova data di fine. La data di fine originale rimane nel fascicolo conservato come prova della divulgazione applicata alle vendite precedenti, in modo che la traccia documentale resti integra per le unità già immesse sul mercato.