L'app sul suo telefono dialoga con un server che ha costruito Lei. Ai sensi del Cyber Resilience Act quel server non è una cosa a sé che si possa accantonare. È parte del prodotto. L'esempio guida del regolamento per l'elaborazione dati da remoto è proprio un'applicazione mobile che richiede l'accesso a un'API o a un database forniti tramite un servizio che ha sviluppato Lei. Quindi il backend dietro la sua app non è un vicino del prodotto. È dentro il prodotto.
Questa pagina Le dà il test, poi smista ogni backend con cui dialoga una tipica app in tre categorie: soluzione di elaborazione dati da remoto, componente e fuori ambito. Abbiamo riassunto il test nell'analisi degli orientamenti della Commissione di marzo 2026. Questa è la versione svolta passo dopo passo per chiunque rilasci un'app mobile, un'API o un backend cloud.
Riepilogo
- L'elaborazione dati da remoto è parte del prodotto. Il CRA tratta un prodotto connesso come il dispositivo o l'app più il backend che ha costruito e che serve loro per funzionare. La soluzione di elaborazione dati da remoto si abbrevia spesso in RDPS, e questa pagina usa quella sigla.
- Un test, tre condizioni da soddisfare insieme. Un backend è elaborazione dati da remoto quando viene eseguito a distanza, il suo prodotto ne ha bisogno per svolgere una funzione e lo ha costruito Lei o lo ha fatto costruire per sé. Se manca anche una sola delle tre, non lo è.
- L'esempio da manuale è un'app e la sua API. Il caso guida del regolamento è un'applicazione mobile che richiede l'accesso a un'API o a un database forniti tramite un servizio costruito da Lei.
- Tre categorie, nient'altro. Ogni backend con cui la sua app dialoga è una soluzione di elaborazione dati da remoto, un componente oppure fuori ambito.
- Un SaaS già pronto non è RDPS, ma resta un suo problema. Un servizio che Lei si limita a licenziare è un componente. Lei ne valuta comunque il rischio di integrazione e svolge la due diligence sul fornitore.
- La rete 5G è del tutto fuori. Una rete cellulare è un abilitatore di connettività, come un router o un segnale Wi-Fi. Non deve all'operatore alcuna due diligence.
- CI/CD e CRM sono fuori. Il CRA non disciplina la sua rete aziendale nel suo complesso. Pipeline interne, payroll e infrastruttura di red team restano fuori.
L'elaborazione dati da remoto in quattro numeri: le condizioni da verificare, le due domande che decidono, le categorie in cui può cadere una dipendenza e l'esempio con cui il regolamento apre.
Cosa significa davvero elaborazione dati da remoto
Il regolamento la riduce a un'idea sola, e tre condizioni devono valere nello stesso momento. I dati devono essere trattati altrove rispetto al dispositivo dell'utente. Il suo prodotto deve aver bisogno di quel trattamento per svolgere una delle sue funzioni. E Lei deve aver costruito il servizio, o averlo fatto costruire sotto la sua responsabilità. Se le tre condizioni valgono tutte, ha una soluzione di elaborazione dati da remoto. Se ne manca una, no.
Legga le tre condizioni separatamente, perché ciascuna manda fuori strada un team diverso.
- Trattati a distanza. L'elaborazione avviene fuori dal dispositivo o dall'ambiente dell'utente. Può stare ai margini della rete, su un collegamento via cavo o su uno senza fili. Un'app mobile che richiede una funzione cloud è parte dell'elaborazione che avviene nel cloud.
- Necessario per una funzione. Senza il servizio, il prodotto non può svolgere una delle sue funzioni. Il regolamento parla di funzioni, non di funzionalità principali, e la differenza conta. La sezione successiva mostra quanto è ampia.
- Costruito da o per Lei. Lei ha progettato e sviluppato il servizio, oppure un fornitore lo ha costruito sotto la sua responsabilità. Affittare lo spazio per eseguirlo non cambia la risposta.
Due punti spiazzano i team ancora prima che inizino a smistare:
- È il suo software, non l'hardware su cui viene eseguito. La soluzione di elaborazione dati da remoto è il codice che ha costruito Lei e che esegue a distanza. L'hypervisor o il runtime del fornitore al di sotto è un componente, e l'hardware fisico su cui tutto poggia è l'ambiente del prodotto. Nessuno dei due è la sua soluzione di elaborazione dati da remoto, e Lei valuta il rischio di entrambi.
- Non deve essere cloud pubblico. Una soluzione di elaborazione dati da remoto può essere eseguita sui suoi server on premise o su un cloud privato nelle sue strutture. Il test è la progettazione, lo sviluppo e la necessità, non il luogo fisico in cui sta la macchina.
Le tre domande
Faccia passare ogni backend da cui la sua app dipende attraverso tre domande, in ordine. Ciascun percorso porta in una delle tre categorie.
La prima domanda esclude tutto ciò che non lascia mai il dispositivo. Le due successive sono la coppia decisiva, ed entrambe devono dare sì. Tre cose conviene fissarle prima di iniziare:
- Funzioni è più ampio di funzionalità principali. Copre qualsiasi cosa sostenga il modo in cui il prodotto opera, non solo la funzionalità di punta. Inviare comandi a un dispositivo, sincronizzare file, fare l'onboarding di un utente, configurazione e personalizzazione, ricevere aggiornamenti incluse le patch di sicurezza, e autenticare gli utenti contano tutte come funzioni. Se un backend serve per anche una sola di esse, la seconda domanda dà sì.
- Un'alternativa manuale non La esenta. Una lampadina che Lei può accendere da un'app o da un interruttore fisico resta una soluzione di elaborazione dati da remoto per il percorso remoto. L'opzione manuale non porta la funzione fuori ambito.
- Costruito da o per Lei non è chi lo gestisce. Lei può affidare la gestione a un terzo e restare responsabile. Sotto la sua responsabilità significa su misura, costruito per suo conto secondo le sue specifiche, e di sua proprietà anziché licenziato. Licenziare un prodotto esistente, o una sua versione leggermente modificata, non è costruito da o per Lei.
Il caso da manuale: la sua app, la sua API, il suo database
Parta dal caso che il regolamento stesso usa come esempio. Un'applicazione mobile ha bisogno di un'API o di un database, e quell'API o quel database è eseguito su un servizio che ha costruito Lei. In quel caso il servizio è una soluzione di elaborazione dati da remoto, punto. Questa è l'immagine su cui costruisce il resto della pagina.
Faccia passare un'app per le note attraverso le tre domande. L'app sincronizza i file tramite la sua API REST e il suo database. Trattati a distanza, sì. Necessario per una funzione, sì, perché la sincronizzazione dei file è una funzione. Costruito da o per Lei, sì, perché Lei ha progettato l'API e lo schema del database. Tre sì. La sua API e il suo database sono una soluzione di elaborazione dati da remoto. Stanno dentro l'ambito di conformità del prodotto.
La piattaforma cloud al di sotto è un'altra questione. Se Lei affitta l'infrastruttura e vi rilascia il proprio codice, la piattaforma che affitta non è la soluzione di elaborazione dati da remoto. Lo è il suo codice. L'IaaS al di sotto è un componente. Lei documenta la dipendenza, valuta il rischio di integrazione e può chiedere al fornitore le evidenze di sicurezza.
Le tre categorie a colpo d'occhio
Ogni dipendenza cade in esattamente una categoria. Entrambe le domande decisive con sì è una soluzione di elaborazione dati da remoto. Necessario per una funzione ma non sotto la sua responsabilità è un componente. Non necessario per una funzione è fuori ambito, e Lei verifica il rischio che comunque introduce.
| Categoria | Quando si applica | Significato | Cosa deve fare |
|---|---|---|---|
| Soluzione di elaborazione dati da remoto | a distanza, necessario per una funzione, e costruito da o per Lei | Parte del prodotto stesso | Soddisfare i requisiti essenziali dell'Allegato I. Inserirla nella valutazione del rischio del prodotto. Coprirla nella dichiarazione UE di conformità e nella documentazione tecnica. Gestire e segnalare le vulnerabilità per tutto il periodo di assistenza |
| Componente | a distanza e necessario per una funzione, ma non costruito da o per Lei | Una parte di terzi su cui il prodotto si appoggia | Valutare il rischio di integrazione. Mitigare a livello di prodotto, tramite autenticazione, controlli di integrità, isolamento e verifica delle risposte. Svolgere la due diligence sul fornitore e inserire le garanzie di sicurezza nel contratto di servizio. Riusare le evidenze che il fornitore già possiede, come una marcatura CE, un certificato ISO/IEC 27001 o 27017, un certificato di cibersicurezza UE, le evidenze degli obblighi NIS2 del fornitore, o dei suoi obblighi DORA dove si applicano |
| Fuori ambito | non necessario per una funzione, o pura connettività | Né una soluzione di elaborazione dati da remoto né un componente | Nessun obbligo di conformità né di componente. Lei valuta comunque ogni rischio introdotto dalla comunicazione. La pura connettività, come la rete cellulare, il Wi-Fi o un router, è l'unico caso in cui non deve nulla al fornitore |
Il nostro parere: in pratica il test raramente cade sulle prime due domande. Quasi tutto ciò con cui un'app dialoga è eseguito a distanza ed è necessario per qualcosa. La risposta si gioca sulla terza domanda, la titolarità, ed è lì che vediamo i team scivolare. Se un servizio è stato costruito per Lei e Lei ne è titolare, lo tratti come in ambito e prosegua. L'errore costoso che continuiamo a vedere è archiviare un backend su misura sotto la voce componente solo perché a gestirlo è un fornitore.
Esempi svolti
La bozza di orientamenti ragiona su un insieme di prodotti archetipici e immaginari, e la galleria qui sotto la rispecchia. Dove nomina una categoria tecnologica reale, classifica lo schema tipico. La risposta si gioca su come Lei usa la cosa, costruita in proprio contro già pronta su licenza, mai un verdetto giuridico su un fornitore con nome e cognome.
A. Il suo backend di sincronizzazione
Prodotto: un'app per le note o per la produttività. L'app si collega alla sua API REST e al suo database su infrastruttura affittata. Trattati a distanza, sì. Necessario per una funzione, sì, la sincronizzazione dei file. Costruito da o per Lei, sì. Questa è una soluzione di elaborazione dati da remoto. L'infrastruttura affittata al di sotto è un componente. È il caso da manuale della sezione precedente.
B. App companion per la casa intelligente
Prodotto: un termostato o una lampadina con la sua app companion. L'app dialoga con il suo backend cloud, che Lei ha costruito ed esegue su infrastruttura di terze parti. Il dispositivo funziona anche con un interruttore manuale. Trattati a distanza, sì. Necessario per una funzione, sì, inviare comandi a un dispositivo, e l'alternativa manuale non lo cambia. Costruito da o per Lei, sì. Questa è una soluzione di elaborazione dati da remoto. L'infrastruttura al di sotto è un componente. Il regolamento conferma che il controllo cloud di un fabbricante di dispositivi per la casa intelligente rientra nell'ambito.
C. App bancaria, il caso con tutte e tre le categorie
Prodotto: l'app bancaria. Un'app, quattro dipendenze, tre categorie.
- Il suo strato API self-hosted è una soluzione di elaborazione dati da remoto. Lo ha costruito Lei, l'app ne ha bisogno, è eseguito a distanza.
- Il sistema di gestione conti e il sistema di registro che l'app non tocca mai direttamente sono fuori ambito, una dipendenza esterna. Restano comunque oggetto di valutazione del rischio. Lei applica una forte autenticazione delle interfacce di backend, protezione dell'integrità e verifica delle risposte.
- Un SaaS di chat di supporto di terze parti è un componente. Lei lo isola dal flusso bancario centrale, valida il contenuto che restituisce e svolge la due diligence.
- Il suo codice di notifiche push su un PaaS di terze parti è una soluzione di elaborazione dati da remoto. La piattaforma PaaS in sé è un componente. Il suo codice è il software che ha progettato Lei. La piattaforma è lo strato affittato al di sotto.
D. Identità e accesso
Prodotto: qualsiasi app. Autenticare gli utenti è una funzione, quindi l'identità è in gioco.
- Il suo servizio di autenticazione che emette token è una soluzione di elaborazione dati da remoto. Lo ha costruito Lei, l'app ne ha bisogno per autenticare gli utenti.
- Un fornitore di identità di terze parti che Lei si limita a licenziare già pronto è un componente, non una soluzione di elaborazione dati da remoto. Lei valuta il rischio di integrazione e svolge la due diligence.
- Un fornitore che costruisce un servizio di identità su misura solo per Lei, di sua proprietà, torna a essere una soluzione di elaborazione dati da remoto. Stesso fornitore, contratto diverso, risposta diversa.
E. Storage SaaS già pronto
Prodotto: un'app di media o un e-reader che archivia i contenuti acquistati in un generico storage SaaS di terze parti. Trattati a distanza, sì. Necessario per una funzione, sì. Costruito da o per Lei, no, perché Lei ha licenziato un prodotto esistente già pronto. Questo è un componente, non una soluzione di elaborazione dati da remoto. Lei mette in sicurezza l'autenticazione, la cifratura e l'integrità della comunicazione, e svolge la due diligence. Lo confronti con l'esempio A. Lo stesso compito, l'archiviazione dei file, cade in una categoria diversa per via di chi ha costruito il servizio.
F. Funzionalità di IA e LLM
Prodotto: un'app con una funzionalità di IA.
- Il suo modello o servizio di inferenza che Lei ha costruito ed esegue su infrastruttura di terze parti è una soluzione di elaborazione dati da remoto.
- Un'API di modello di terze parti che Lei si limita a licenziare già pronta è un componente, non una soluzione di elaborazione dati da remoto. Lei valuta il rischio di integrazione e svolge la due diligence.
- I dati inviati solo per l'addestramento del modello o per statistiche, non necessari per una funzione del prodotto, sono probabilmente fuori ambito. Lei valuta comunque ogni rischio che quella comunicazione aggiunge.
G. L'insieme fuori ambito
Fuori ambito non è una cosa sola. Ha due sotto-zone, e portano un lavoro diverso.
- Nulla è dovuto al fornitore. La rete 5G o cellulare, il Wi-Fi dell'utente e il router sono abilitatori di connettività. Non sono una soluzione di elaborazione dati da remoto né un componente. Lei non deve all'operatore alcuna due diligence.
- Non una soluzione di elaborazione dati da remoto, comunque un controllo del rischio. La telemetria di crash o di utilizzo raccolta solo a fini statistici o per lo sviluppo futuro del prodotto non è una soluzione di elaborazione dati da remoto, ma Lei valuta ogni rischio di comunicazione che aggiunge. Anche un sito di marketing o un help center a cui l'app si limita a rimandare non è una soluzione di elaborazione dati da remoto.
- La sua rete. CRM interno, HR, payroll, pipeline CI/CD, la distribuzione interna degli aggiornamenti verso i punti edge, e l'infrastruttura di pen test o red team non sono una soluzione di elaborazione dati da remoto. Il CRA non disciplina la sua rete aziendale nel suo complesso.
A cosa La obbliga ciascuna categoria
La categoria non è un'etichetta. Stabilisce il lavoro.
La linea si sposta col modello cloud. Su infrastruttura affittata, il software che Lei rilascia può essere una soluzione di elaborazione dati da remoto, l'hypervisor del fornitore al di sotto è un componente, e l'hardware fisico è l'ambiente del prodotto. Su una piattaforma affittata, il suo codice applicativo può essere una soluzione di elaborazione dati da remoto e la piattaforma di runtime è un componente. Un'applicazione SaaS già pronta è un componente, non una soluzione di elaborazione dati da remoto.
Soluzione di elaborazione dati da remoto. È dentro il prodotto. Lei soddisfa i requisiti essenziali dell'Allegato I, la inserisce nella valutazione del rischio del prodotto, la copre nella dichiarazione UE di conformità e nella documentazione tecnica, e gestisce e segnala le vulnerabilità per tutto il periodo di assistenza.
Componente. È una parte di terzi su cui il prodotto si appoggia. Lei valuta il rischio di integrazione e mitiga a livello di prodotto, tramite autenticazione, controlli di integrità, isolamento e verifica delle risposte. Lei svolge la due diligence sul fornitore e inserisce le garanzie di sicurezza nel contratto di servizio. Lei può riusare le evidenze che il fornitore già possiede, come una marcatura CE, un certificato ISO/IEC 27001 o 27017, un certificato di cibersicurezza UE, le evidenze degli obblighi NIS2 del fornitore, o dei suoi obblighi DORA dove si applicano. Una modifica che un fornitore terzo apporta al proprio servizio non è una modifica sostanziale del suo prodotto.
Fuori ambito. Nessun obbligo di conformità né di componente. Lei valuta comunque ogni rischio introdotto dalla comunicazione, salvo il caso della connettività in cui non deve nulla al fornitore.
Scriva le soluzioni di elaborazione dati da remoto e la dipendenza da terzi nella sua documentazione tecnica. La valutazione del rischio copre le soluzioni di elaborazione dati da remoto, la dipendenza da terzi e l'ambiente del prodotto.
Non deve far passare l'intero backend attraverso la conformità. Il CRA raggiunge solo le parti dei suoi sistemi che conservano o elaborano i dati di cui una funzione del prodotto ha bisogno. Separare quelle parti dal resto, come l'app bancaria tiene il suo registro distinto dall'API, restringe ciò che cade nella valutazione. E se un solo backend serve più prodotti, lo dichiari nella documentazione tecnica di ciascun prodotto. Lei può riusare quella documentazione dalla valutazione di un prodotto alla successiva.
Errori frequenti
- Trattare tutto il cloud come in ambito. Il CRA non raggiunge la sua rete aziendale nel suo complesso. CI/CD, CRM, HR e payroll sono fuori.
- Dare per scontato che a decidere sia chi lo gestisce. La gestione non è il test. Lo sono progettazione, sviluppo e titolarità.
- Dimenticare che i componenti richiedono comunque lavoro. Fuori dall'ambito di conformità non è fuori dagli obblighi. Un componente richiede una valutazione del rischio di integrazione, mitigazioni a livello di prodotto e due diligence sul fornitore.
- Pensare che la telemetria La trascini dentro. La telemetria a soli fini statistici non è una soluzione di elaborazione dati da remoto. Riceve comunque un controllo del rischio di comunicazione, ma non è parte del prodotto.
- Confondere gli aggiornamenti del prodotto con la distribuzione interna degli aggiornamenti. Un prodotto che riceve aggiornamenti, incluse le patch di sicurezza, è una funzione, quindi il servizio di consegna degli aggiornamenti che Lei costruisce può essere una soluzione di elaborazione dati da remoto. La distribuzione interna di quegli aggiornamenti tra i suoi punti edge è infrastruttura interna ed è fuori ambito.
Domande frequenti
L'API REST della mia app rientra nell'ambito del CRA?
Sì, se l'ha costruita Lei e la sua app ne ha bisogno per svolgere una funzione. L'esempio del regolamento è un'applicazione mobile che richiede l'accesso a un'API o a un database forniti tramite un servizio costruito dal fabbricante, e questo porta la sua API dentro l'ambito di conformità del prodotto. La piattaforma cloud su cui la esegue è una questione a parte, ed è trattata come un componente.
Se ospito il mio backend su un cloud di terze parti, il cloud rende l'intero stack una soluzione di elaborazione dati da remoto?
No. La soluzione di elaborazione dati da remoto è il software che Lei ha progettato e sviluppato, non la piattaforma al di sotto. Quella piattaforma è del fornitore, non sua, quindi l'infrastruttura affittata è un componente. Lei ne valuta il rischio di integrazione e svolge la due diligence sul fornitore.
Un fornitore di accesso di terze parti è una soluzione di elaborazione dati da remoto?
Dipende da come lo usa. Un fornitore di identità di terze parti che Lei licenzia già pronto è un componente, non una soluzione di elaborazione dati da remoto, anche se autenticare gli utenti è una funzione. Se invece un fornitore costruisce un servizio di identità su misura solo per Lei e Lei ne è titolare, torna a essere una soluzione di elaborazione dati da remoto. Stesso fornitore, contratto diverso, risposta diversa.
Il CRA copre la mia pipeline CI/CD interna e il CRM?
No. Il CRA non disciplina la sua rete aziendale e i sistemi informativi nel loro complesso. CRM interno, payroll, pipeline CI/CD, la distribuzione interna degli aggiornamenti verso i punti edge, e il pen test o il red team stanno tutti fuori. Sono la sua rete, non una soluzione di elaborazione dati da remoto da cui il suo prodotto dipende.
La rete mobile su cui gira la mia app rientra nell'ambito?
No. Una rete 5G o cellulare è un abilitatore di connettività, come un router, un cavo Ethernet o un segnale Wi-Fi. Non è né una soluzione di elaborazione dati da remoto né un componente, e Lei non deve all'operatore di rete alcuna due diligence. È l'unico caso fuori ambito che non porta alcun obbligo verso il fornitore.
Qual è la differenza tra una soluzione di elaborazione dati da remoto e un componente?
Entrambi possono essere eseguiti a distanza ed entrambi possono essere necessari per una funzione. La differenza è chi ha costruito il servizio. Una soluzione di elaborazione dati da remoto è progettata e sviluppata da Lei, o sotto la sua responsabilità, quindi sta dentro l'ambito di conformità del prodotto. Un componente è una parte di terzi che Lei licenzia, quindi resta fuori dalla conformità ma richiede comunque una valutazione del rischio di integrazione, mitigazioni a livello di prodotto e due diligence. Si veda Cos'è un prodotto con elementi digitali per dove si colloca l'elaborazione dati da remoto nel test di ambito più ampio.
Questo articolo ha finalità puramente informative e non costituisce consulenza legale. Gli esempi svolti seguono la bozza di orientamenti della Commissione europea, Comunicazione Ares(2026)2319816 del 3 marzo 2026, la cui consultazione si è chiusa il 13 aprile 2026 e che non è ancora formalmente adottata. Per indicazioni specifiche sulla conformità, si rivolga a un consulente legale qualificato.