Il Regolamento sulla cibersicurezza dell'UE (Regolamento (UE) 2024/2847) tratta l'importatore come il canale legale attraverso cui un fabbricante extra-UE raggiunge il mercato dell'Unione. Dall'11 dicembre 2027, l'articolo 19 rende l'importatore personalmente responsabile di verificare la conformità CRA prima che qualsiasi prodotto con elementi digitali sia immesso sul mercato dell'Unione. Questa pagina copre le quattro verifiche pre-immissione sul mercato dell'articolo 19, paragrafo 2, gli obblighi successivi all'immissione dei paragrafi da 3 a 8, la regola di conservazione e i confini di ruolo che decidono se Lei sia davvero l'importatore ai sensi dell'articolo 3, punti 13 e 16.
Sintesi
- Quattro verifiche pre-immissione sul mercato (articolo 19, paragrafo 2): valutazione di conformità eseguita, documentazione tecnica redatta, CE + DoC UE + lingua dell'allegato II presenti, conformità all'articolo 13, paragrafi 15, 16 e 19.
- Dovere di rifiuto (articolo 19, paragrafo 3): se il prodotto o i processi del fabbricante non sono conformi, non immetta sul mercato; informi il fabbricante e le autorità di vigilanza del mercato qualora vi sia un rischio significativo per la cibersicurezza.
- Obblighi successivi all'immissione (articolo 19, paragrafi da 5 a 8): misure correttive e ritiro ove necessari, segnalazione di consapevolezza delle vulnerabilità, cooperazione con la vigilanza del mercato, segnalazione qualora il fabbricante cessi le attività.
- Conservazione (articolo 19, paragrafo 6): 10 anni o periodo di supporto, a seconda di quale sia più lungo.
- Non è importatore se commercializza con il proprio nome. L'articolo 3, punto 13 La classifica come fabbricante, con l'intero impianto di obblighi degli articoli 13 e 14.
Quattro verifiche, conservazione superiore a dieci anni, due livelli di sanzione a seconda che Lei sia davvero l'importatore.
La marcatura CE è la dichiarazione del fabbricante che il prodotto è conforme. L'articolo 19, paragrafo 2 rende l'importatore responsabile della verifica della documentazione che sostiene tale dichiarazione. Una marcatura CE priva di DoC e di disponibilità della documentazione tecnica non costituisce una difesa; attiva l'articolo 19, paragrafo 3 per rifiutare l'immissione sul mercato.
Chi è importatore secondo il CRA?
L'articolo 3, punto 16 definisce l'importatore alla lettera:
«Importatore»: una persona fisica o giuridica stabilita nell'Unione che immette sul mercato un prodotto con elementi digitali recante il nome o il marchio di una persona fisica o giuridica stabilita al di fuori dell'Unione.
È importatore ai fini del CRA se tutte e tre le condizioni sono soddisfatte:
| Elemento | Test |
|---|---|
| Stabilito nell'Unione | La sua entità giuridica è registrata in uno Stato membro dell'UE |
| Immissione sul mercato | È il primo a rendere il prodotto disponibile sul mercato dell'Unione per la distribuzione o l'uso nel corso di un'attività commerciale (articolo 3, punti 21 e 22) |
| Reca un nome o marchio extra-UE | Il nome o marchio sul prodotto, sull'imballaggio o sulla documentazione è quello di una persona stabilita al di fuori dell'Unione |
Se uno qualsiasi dei tre requisiti non è soddisfatto, non è l'importatore. Se il prodotto reca il suo nome o marchio è il fabbricante ai sensi dell'articolo 3, punto 13. Se non è la prima entità UE a immettere il prodotto sul mercato dell'Unione è il distributore ai sensi dell'articolo 3, punto 17. Se un fabbricante extra-UE La ha designato a operare per suo conto con mandato scritto senza che Lei stesso immetta il prodotto sul mercato, è il rappresentante autorizzato ai sensi dell'articolo 18 e dell'articolo 3, punto 15, non l'importatore.
L'importatore è il primo canale legale attraverso cui un fabbricante extra-UE raggiunge il mercato dell'Unione e porta responsabilità personale per quanto transita attraverso quel canale.
L'articolo 19 in sintesi
| Paragrafo | Dovere | Punto chiave |
|---|---|---|
| 19, paragrafo 1 | Conformità generale | Immettere sul mercato solo prodotti conformi alla Parte I dell'Allegato I, con processi del fabbricante conformi alla Parte II. |
| 19, paragrafo 2 | Verifica pre-immissione (a) - (d) | Valutazione di conformità + documentazione tecnica + CE/DoC/Allegato II + articolo 13, paragrafi 15, 16 e 19. L'importatore deve essere in grado di fornire i documenti che provano l'adempimento. |
| 19, paragrafo 3 | Dovere di rifiuto | Non immettere sul mercato se il prodotto o i processi non sono conformi. Informare il fabbricante e la vigilanza del mercato in caso di rischio significativo per la cibersicurezza. I fattori di rischio non tecnici attivano l'articolo 54, paragrafo 2. |
| 19, paragrafo 4 | Identificazione dell'importatore | Nome proprio, nome commerciale o marchio, indirizzo postale e contatto digitale sul prodotto, sull'imballaggio o sul documento di accompagnamento. |
| 19, paragrafo 5 | Misure correttive successive all'immissione | Ritiro o richiamo se del caso. Consapevolezza delle vulnerabilità: informare il fabbricante senza indebito ritardo; informare le autorità di vigilanza del mercato di ogni Stato membro di fornitura in caso di rischio significativo per la cibersicurezza. |
| 19, paragrafo 6 | Conservazione | Tenere la DoC a disposizione delle autorità per 10 anni o per il periodo di supporto, a seconda di quale sia più lungo. Garantire che la documentazione tecnica possa essere messa a disposizione su richiesta. |
| 19, paragrafo 7 | Cooperazione | Su richiesta motivata della vigilanza del mercato, fornire ogni informazione e documentazione in una lingua compresa dall'autorità. |
| 19, paragrafo 8 | Cessazione delle attività del fabbricante | Informare le autorità di vigilanza del mercato e, con ogni mezzo disponibile, gli utenti. |
Nessuno di questi obblighi prevede una soglia per le PMI. L'esenzione dell'articolo 64, paragrafo 10 è limitata alle scadenze di livello fabbricante dell'articolo 14, paragrafo 2, lettera (a) e dell'articolo 14, paragrafo 4, lettera (a), nonché ai gestori di software open source.
Importatore vs Distributore
Il criterio legale è quale parte immette per prima il prodotto sul mercato dell'Unione.
| Aspetto | Importatore (articolo 19) | Distributore (articolo 20) |
|---|---|---|
| Posizione | Stabilito nell'Unione; immette sul mercato un prodotto recante il nome di una persona extra-UE | Chiunque renda il prodotto disponibile dopo l'importatore, senza incidere sulle sue proprietà |
| Verifica | Articolo 19, paragrafo 2 completo, lettere (a) - (d) inclusi articolo 13, paragrafi 15, 16 e 19 | Verifica della CE, più presenza dell'articolo 13, paragrafi 15, 16, 18, 19, 20 e dell'articolo 19, paragrafo 4 |
| Documentazione | Deve essere in grado di fornire i documenti che provano l'articolo 19; garantisce che l'Allegato VII possa essere messo a disposizione | Coopera con le autorità; verifica basata sulla presenza |
| Rifiuto | Articolo 19, paragrafo 3 | Articolo 20 |
| Consapevolezza delle vulnerabilità | Articolo 19, paragrafo 5 | Articolo 20 |
| Conservazione | DoC per 10 anni o periodo di supporto, a seconda di quale sia più lungo | Nessuna specifica; cooperare su richiesta |
| Livello di sanzione | 10 milioni di euro o 2% (articolo 64, paragrafo 3) | 10 milioni di euro o 2% (articolo 64, paragrafo 3) |
Denominare il ruolo «distribuzione» in un accordo privato non sposta l'obbligo di diritto pubblico. Se la sua entità immette per prima sul mercato dell'Unione un prodotto extra-UE, è l'importatore.
Le quattro verifiche pre-immissione sul mercato
1. Valutazione di conformità eseguita (articolo 19, paragrafo 2, lettera (a); articolo 32)
Il fabbricante deve aver eseguito il percorso di valutazione appropriato alla classe del prodotto. Richieda la Dichiarazione UE di conformità che nomina il modulo di valutazione utilizzato e, ove sia stato coinvolto un organismo notificato, il numero del certificato e il numero di identificazione a quattro cifre dell'organismo dopo la marcatura CE.
| Modulo | Quando |
|---|---|
| A controllo interno della produzione | Solo prodotti di classe predefinita |
| B + C esame UE del tipo + controllo della produzione | Classe Importante II per impostazione predefinita; Classe I ove non sia applicata una norma armonizzata pertinente |
| H garanzia qualità completa | Alternativa per prodotti Importanti; obbligatoria per prodotti Critici in assenza di uno schema europeo di certificazione della cibersicurezza |
Consulti la guida al cluster sulla valutazione della conformità.
2. Documentazione tecnica redatta (articolo 19, paragrafo 2, lettera (b); articolo 31; Allegato VII)
L'importatore non è tenuto a detenere il fascicolo Allegato VII completo, ma deve essere in grado di provare l'adempimento dell'articolo 19 (frase di chiusura del paragrafo 2) e garantire che il fascicolo possa essere messo a disposizione delle autorità su richiesta (articolo 19, paragrafo 6). Richieda: un indice che copra ogni sezione dell'Allegato VII e un impegno scritto del fabbricante a produrre il fascicolo sottostante entro una finestra e in una lingua definite. Consulti la guida al cluster sulla documentazione tecnica.
3. CE + DoC UE + Allegato II nella lingua appropriata (articolo 19, paragrafo 2, lettera (c); articoli 28 e 30; Allegato II)
Tre artefatti devono accompagnare il prodotto.
| Artefatto | Vincolo |
|---|---|
| Marcatura CE (articolo 30) | Almeno 5 mm di altezza, visibile, leggibile, indelebile, sul prodotto o sulla targhetta. Il numero di identificazione dell'organismo notificato segue la marcatura ove applicabile. La CE solo sul cartone esterno non è conforme. |
| DoC UE (articolo 13, paragrafo 20, contenuto completo ai sensi dell'articolo 28 + Allegato V) | DoC integrale con il prodotto oppure DoC semplificata che riporti l'esatto indirizzo internet della DoC integrale. Generici «requisiti di cibersicurezza» privi di citazione dell'Allegato I sono un difetto. |
| Informazioni e istruzioni dell'Allegato II | In una lingua facilmente comprensibile dagli utenti e dalla vigilanza del mercato dello Stato membro interessato. Identità del fabbricante, destinazione d'uso prevista, data di fine del periodo di supporto, configurazione sicura, dismissione sicura, indirizzo per la segnalazione di vulnerabilità. |
4. Identificazione e tracciabilità (articolo 19, paragrafo 2, lettera (d); articolo 13, paragrafi 15, 16 e 19)
Tre doveri distinti del fabbricante richiamati dall'articolo 19, paragrafo 2, lettera (d):
| Citazione | Dovere | Verifica dell'importatore |
|---|---|---|
| 13, paragrafo 15 | Tipo, lotto o numero di serie per l'identificazione del prodotto (o sull'imballaggio se il prodotto non può recarlo) | Confermare l'elemento sul prodotto o sull'imballaggio |
| 13, paragrafo 16 | Nome del fabbricante, nome commerciale o marchio, indirizzo postale, contatto digitale, riprodotti anche nell'Allegato II | Confermare sul prodotto, sull'imballaggio o sul documento di accompagnamento |
| 13, paragrafo 19 | Data di fine del periodo di supporto specificata al momento dell'acquisto, comprensiva almeno di mese e anno | Confermare mese + anno visibili al punto vendita |
Un prodotto privo di una data di fine espressa con mese e anno non è conforme all'articolo 19, paragrafo 2, lettera (d) sul fronte dell'articolo 13, paragrafo 19, indipendentemente dal superamento di ogni altra verifica.
Dovere adiacente da trattare come motivo di rifiuto: articolo 13, paragrafo 17, punto di contatto unico. L'articolo 13, paragrafo 17 richiede che gli utenti possano scegliere il mezzo di comunicazione preferito e che il mezzo non sia limitato a strumenti automatizzati. Un contatto solo chatbot non è conforme. Senza un punto di contatto unico funzionante a monte, il flusso di segnalazione delle vulnerabilità ai sensi dell'articolo 14 è interrotto fin dal primo giorno.
Verifica della Conformità del Fabbricante Extra-UE
Le assicurazioni verbali dei contatti commerciali non costituiscono prove ai sensi dell'articolo 19(1). L'importatore deve raccogliere documentazione, valutarla e decidere.
Modello di Richiesta di Documentazione
Inviate quanto segue prima di firmare qualsiasi contratto di importazione:
OGGETTO: Richiesta Documentazione Conformità CRA
Stiamo valutando [prodotto / modello] per l'importazione nell'Unione Europea ai sensi
del Regolamento (UE) 2024/2847 (Cyber Resilience Act).
Si prega di fornire quanto segue prima di procedere con l'importazione:
1. Dichiarazione di Conformità UE, firmata e datata, che citi i requisiti
essenziali dell'Allegato I e il modulo di valutazione della conformità
ai sensi dell'articolo 32 utilizzato, con il numero del certificato
dell'Organismo Notificato ove applicabile.
2. Indice della documentazione tecnica dell'Allegato VII, più un impegno
scritto a fornire il fascicolo sottostante alle autorità di sorveglianza
del mercato UE su richiesta, entro [X] giorni lavorativi, in [lingua].
3. Conferma del periodo di supporto (minimo 5 anni dall'immissione sul
mercato ai sensi dell'articolo 13(8), o il periodo di utilizzo previsto
del prodotto se inferiore, con la data e la motivazione).
4. Politica di gestione delle vulnerabilità e punto di contatto unico (URL
o email) ai sensi dell'articolo 13(16), con conferma che è monitorato.
5. Politica di divulgazione coordinata delle vulnerabilità ai sensi
dell'Allegato I Parte II.
6. Evidenza del posizionamento della marcatura CE (fotografia della marcatura
sul prodotto o sulla targhetta; riferimento a dimensioni e indelebilità).
7. Istruzioni per l'utente dell'Allegato II in [lingua dello Stato membro target].
Non possiamo immettere il prodotto sul mercato UE senza questa documentazione.
Finestra di risposta richiesta: [X] giorni lavorativi.
Valutazione delle Risposte
| Risposta | Azione |
|---|---|
| Documentazione completa fornita | Procedere con la revisione della verifica ai sensi dell'articolo 19(1) |
| Documentazione parziale, residuo "in corso" | Sospendere l'importazione; documentare la lacuna; non immettere sul mercato |
| "Siamo marcati CE ai sensi di un'altra normativa" | Insufficiente; CE ai sensi di EMC, RED o LVD non soddisfa il CRA. Richiedere DoC e Allegato VII specifici per il CRA. |
| "Il nostro prodotto è fuori dall'ambito del CRA" | Richiedere un'analisi dell'ambito per iscritto che citi l'articolo 2 e l'Allegato III/IV; non importare sulla base di una dichiarazione di ambito verbale |
| "Il certificato dell'Organismo Notificato è in attesa" | L'articolo 32 deve essere completato prima dell'immissione sul mercato; non importare |
| Rifiuto o mancata risposta | Non importare |
Segnali d'Allarme
- Testo della DoC copiato da un modello, senza una mappatura specifica del prodotto all'Allegato I.
- Data della DoC anteriore all'11 dicembre 2027 senza indicazione di una versione aggiornata specifica per il CRA.
- Numero dell'Organismo Notificato mancante su un prodotto che rientra nella Classe II dell'Allegato III o nell'Allegato IV (Critical).
- Nessun punto di contatto unico per le vulnerabilità, o un contatto che non risponde al test.
- Periodo di supporto dichiarato inferiore a cinque anni senza giustificazione ai sensi dell'articolo 13(8).
- Istruzioni disponibili solo nella lingua nazionale del fabbricante per un mercato target con una lingua ufficiale diversa.
Quando la Verifica Fallisce: Passo per Passo
L'articolo 19(2) crea un dovere di fermarsi e informare. La sequenza è la seguente:
- Fermarsi. Non immettere il prodotto sul mercato UE. Le merci possono ancora entrare nei magazzini doganali o essere riesportate, ma l'immissione sul mercato è vietata fino a quando la non conformità non è risolta.
- Documentare. Registrare quale controllo dell'articolo 19(1) ha fallito, quale evidenza era mancante o inadeguata, la data della determinazione e la sequenza di comunicazioni con il fabbricante.
- Notificare il fabbricante per iscritto. Indicare la lacuna di conformità specifica, la documentazione richiesta, la tempistica per la risposta e la conseguenza (nessuna importazione fino alla risoluzione).
- Valutare il rischio per la cybersecurity. Se il prodotto presenta un rischio significativo per la cybersecurity (secondo periodo dell'articolo 19(2)), informare l'autorità di sorveglianza del mercato dello Stato membro interessato e fornire tutta la documentazione disponibile.
- Risolvere o rifiutare. Procedere con l'importazione solo quando tutti e sei i controlli dell'articolo 19(1) sono soddisfatti e le preoccupazioni di rischio sono chiuse. Se la lacuna non può essere colmata entro la finestra dichiarata dal fabbricante, rifiutare l'importazione.
Confini del ruolo: è davvero l'importatore?
La domanda di classificazione più difficile non è «cosa fa un importatore», ma «sono davvero io l'importatore». Il Regolamento sulla cibersicurezza risponde attraverso le definizioni dell'articolo 3, non attraverso l'articolo 22.
Articolo 3, punto 13, fabbricante: chi sviluppa o fa progettare, sviluppare o fabbricare prodotti con elementi digitali, e li immette sul mercato con il proprio nome o marchio.
Articolo 3, punto 16, importatore: persona stabilita nell'Unione che immette sul mercato un prodotto recante il nome o il marchio di una persona stabilita al di fuori dell'Unione.
Letti insieme: lo stesso atto logistico è «importazione» soltanto se il prodotto reca il nome del soggetto extra-UE. Lo si commercializza con il proprio marchio e si rientra nell'articolo 3, punto 13, non nel punto 16. In tal caso si è, e si è sempre stati, fabbricante per quel prodotto. Non esiste alcuna «escalation dell'articolo 22» per gli importatori. L'articolo 22 esclude esplicitamente gli importatori («diversi dal fabbricante, dall'importatore o dal distributore»): copre i modificatori terzi quali integratori di sistema o rivenditori a valore aggiunto, esterni alla catena dell'articolo 3.
Test del marchio
| Situazione | Classificazione |
|---|---|
| Vendita con marchio «AcmeTech» | Fabbricante (articolo 3, punto 13) |
| «Distribuito da AcmeTech» accanto al marchio originale ben visibile | Importatore (articolo 3, punto 16) |
| Sostituzione di tutto il branding originale con il proprio | Fabbricante (articolo 3, punto 13) |
| Piccolo adesivo del distributore accanto al branding originale | Dipende dalla prominenza; test dell'acquirente ragionevole |
| Comunicazione che presenta il rivenditore come fonte anche se il dispositivo riporta lo stabilimento a monte | Fabbricante (articolo 3, punto 13) |
Test della modifica sostanziale (articolo 3, punto 30)
Una modifica successiva all'immissione sul mercato che incide sulla conformità all'Allegato I Parte I o altera la destinazione d'uso prevista per la quale il prodotto è stato valutato.
| Probabilmente sostanziale | Probabilmente non sostanziale |
|---|---|
| Installazione di firmware personalizzato | Patch di sicurezza emesse dal fabbricante che preservano la destinazione d'uso |
| Aggiunta di gestione remota o telemetria | Localizzazione della documentazione cartacea |
| Modifiche hardware alle funzioni di sicurezza | Modifiche all'imballaggio esterno |
| Sostituzione delle implementazioni crittografiche | Aggregazione di accessori compatibili senza integrazione |
| Modifica dell'autenticazione o dell'autorizzazione | |
| Aggiunta di connettività di rete a un prodotto prima offline |
Quando un importatore modifica sostanzialmente un prodotto, l'articolo 22 non si applica formalmente (esclude gli importatori). La lettura difendibile è la seguente: la modifica sostanziale fa uscire il rivenditore dall'articolo 3, punto 16, perché il prodotto non è più lo stesso che il fabbricante extra-UE aveva immesso sul mercato. La via prudente è trattare il modificatore come fabbricante di quella variante ai sensi dell'articolo 3, punto 13.
Costo della riclassificazione
| Voce di costo | Importatore (articolo 3, punto 16) | Fabbricante (articolo 3, punto 13) |
|---|---|---|
| Valutazione della conformità | Verificare quella del fabbricante | Eseguirla in proprio (Modulo A) o ricorrere a un organismo notificato (Modulo B+C, Modulo H) |
| Documentazione tecnica | Verificare l'accesso | Redigerla e mantenerla (articolo 31, Allegato VII) |
| Gestione delle vulnerabilità | Trasferire le segnalazioni a monte; misure correttive (articolo 19, paragrafo 5) | Gestire intake, triage, rimedio, politica CVD, segnalazione ai sensi dell'articolo 14 |
| Aggiornamenti di sicurezza | Trasmissione passiva | Sviluppo, firma e distribuzione per il periodo di supporto; conservazione per 10 anni o per il residuo (articolo 13, paragrafo 9) |
| Esposizione sanzionatoria | Fino a 10 milioni di euro o 2% (articolo 64, paragrafo 3) | Fino a 15 milioni di euro o 2,5% (articolo 64, paragrafo 2) |
Scenari pratici
| Scenario | Classificazione |
|---|---|
| Tablet white-label venduti con il marchio del soggetto UE | Fabbricante (articolo 3, punto 13) dal primo giorno |
| Router enterprise preconfigurati con marchio originale e profili di configurazione rilevanti per la sicurezza | Fabbricante (articolo 3, punto 13) per la variante configurata; in alternativa, concordare con il fabbricante originale che la sua DoC copra la variante |
| Patch di sicurezza del fabbricante applicate prima della vendita | Importatore (articolo 3, punto 16); documentare che le patch provengono dal fabbricante |
| Build di firmware personalizzato per clienti enterprise | Doppio binario: SKU standard come importatore, SKU personalizzato come fabbricante |
| Bundle commercializzato come sistema integrato | Fabbricante del bundle (articolo 3, punto 13) |
Strategie per restare importatore
- Mantenere visibili il nome del fabbricante originale e l'identificazione «fabbricato da». La propria identificazione resta come «importato da» ai sensi dell'articolo 19, paragrafo 4.
- Applicare solo patch emesse dal fabbricante che preservino la destinazione d'uso prevista.
- Non modificare la configurazione rilevante per la sicurezza prima della rivendita; instradare la personalizzazione del cliente attraverso il fabbricante originale.
- Documentare ogni prodotto come «non modificato dall'importatore», con una checklist mappata all'articolo 3, punto 30.
Documentazione e Conservazione
L'articolo 19(6) richiede all'importatore di tenere una copia della Dichiarazione di Conformità UE a disposizione delle autorità di sorveglianza del mercato per 10 anni dalla data in cui l'ultima unità coperta da quella DoC è stata immessa sul mercato UE. In pratica l'importatore conserva:
- La Dichiarazione di Conformità UE, firmata e datata, con tutti gli allegati citati.
- L'indice dell'Allegato VII e l'impegno scritto del fabbricante a fornire il fascicolo sottostante su richiesta dell'autorità, con la finestra concordata e la lingua.
- Il proprio registro di verifica ai sensi dell'articolo 19(1) (checklist in sei punti, decisione, data, firmatario).
- Comunicazioni con il fabbricante relative a richieste di documentazione, lacune identificate e relative risoluzioni.
- Registrazioni delle importazioni: documentazione doganale, spedizione, identificatori di lotto e data della prima immissione sul mercato per lotto.
- Ove si applichi la riclassificazione ai sensi dell'articolo 3, punto 13 (o la riclassificazione conseguente a una modifica sostanziale ai sensi dell'articolo 3, punto 30), il fascicolo completo da fabbricante: valutazione dei rischi, documentazione tecnica, prove della valutazione di conformità, DoC emessa dall'importatore, registrazioni di gestione delle vulnerabilità, dichiarazione del periodo di supporto, timestamp di notifica ai sensi dell'articolo 14 ove applicabili.
Lo storage digitale è accettabile. L'importatore deve garantire che i file rimangano accessibili e leggibili per l'intero periodo di conservazione e possano essere prodotti entro una finestra ragionevole su richiesta dell'autorità, in una lingua comprensibile all'autorità.
Errori Comuni
"La marcatura CE significa che sono conformi." La marcatura CE è la dichiarazione del fabbricante. L'articolo 19(1) richiede all'importatore di verificare la documentazione sottostante. Una marcatura CE senza DoC è il motivo di rifiuto più comune.
"Il nostro fornitore è affidabile da anni." La conformità passata a EMC, RED o LVD non si trasferisce al CRA. Il CRA introduce obblighi (gestione delle vulnerabilità dell'Allegato I Parte II, periodo di supporto dell'articolo 13(8), segnalazione ai sensi dell'articolo 14) che la precedente normativa UE sui prodotti non copre.
"Assicurazioni verbali dal nostro contatto commerciale." L'articolo 19(1) richiede documentazione. L'assicurazione di un rappresentante commerciale non ha peso legale ai sensi del CRA. Ottenerla per iscritto, oppure rifiutare l'importazione.
"Verificheremo dopo l'arrivo della spedizione." La verifica ai sensi dell'articolo 19(1) deve avvenire prima dell'immissione sul mercato. Le merci possono entrare nei magazzini doganali, ma non possono essere vendute o altrimenti rese disponibili sul mercato UE fino al completamento della verifica.
"È solo un adesivo con il nostro logo." L'articolo 3, punto 13 non ha una soglia dimensionale. Un adesivo che presenta l'importatore come fabbricante classifica il soggetto sotto l'articolo 3, punto 13 indipendentemente da qualsiasi altra modifica; non è necessario invocare l'articolo 22, perché la qualifica di fabbricante discende direttamente dalla definizione.
"Stiamo migliorando la sicurezza, non modificandola." I miglioramenti che alterano l'architettura di sicurezza, la superficie di attacco o i meccanismi di autenticazione sono sostanziali ai sensi dell'articolo 3, punto 30. Il fatto che un miglioramento aumenti la sicurezza non lo esclude dalla nozione di modifica sostanziale né dalle conseguenze di riclassificazione che ne derivano.
"Il fabbricante ha detto che potevamo fare il rebranding." Il consenso del fabbricante non trasferisce gli obblighi da fabbricante. La qualifica di fabbricante ai sensi dell'articolo 3, punto 13 è un criterio di diritto pubblico; gli accordi privati non possono escluderlo.
Domande Frequenti
Che cos'è un importatore ai sensi del CRA?
Un'entità UE che immette un prodotto di marchio non-UE sul mercato dell'Unione. Devono essere presenti tutti e tre gli elementi: essere stabiliti nell'Unione, essere i primi a rendere il prodotto disponibile sul mercato dell'Unione, e il prodotto reca il nome o il marchio di una persona stabilita fuori dall'Unione. Se il prodotto porta il proprio marchio, non si è l'importatore: si è il fabbricante (articolo 3(16); prima messa a disposizione all'articolo 3(21); il cambio di marchio vi rende fabbricante ai sensi dell'articolo 3(13)).
Sono importatore o distributore?
La linea di demarcazione è la prima immissione sul mercato. Si è l'importatore se si è la prima entità UE a immettere sul mercato dell'Unione un prodotto di marchio non-UE. Si è il distributore se si rende il prodotto disponibile dopo l'importatore, senza modificarne le proprietà. Se si acquista un prodotto non-UE da un'altra società UE che lo ha già importato, quell'altra società è l'importatore e si è il distributore. Se si acquista direttamente dal fabbricante non-UE e si immette il prodotto sul mercato UE, si è l'importatore (articoli 3(16) e 3(17); obblighi dell'importatore all'articolo 19; obblighi del distributore all'articolo 20).
Importatore e rappresentante autorizzato: qual è la differenza?
Lavori diversi. Il rappresentante autorizzato è la custodia documentale per il fabbricante; l'importatore mette fisicamente il prodotto sul mercato. Il rappresentante autorizzato tiene la DoC UE e la documentazione tecnica a disposizione delle autorità di sorveglianza del mercato e coopera con tali autorità, ma non immette il prodotto sul mercato. L'importatore porta il dovere di verifica in quattro punti prima dell'immissione sul mercato. Un fabbricante non-UE può nominare un rappresentante autorizzato per la documentazione e la cooperazione; ha comunque bisogno di un importatore (o di una propria entità UE) per immettere effettivamente il prodotto sul mercato. La nomina del rappresentante autorizzato non trasferisce gli obblighi di ingegneria, valutazione dei rischi, gestione delle vulnerabilità o valutazione della conformità (mandato all'articolo 3(15) e 18(1)-(3); importatore agli articoli 3(16) e 19; il mandato non può coprire gli articoli 13(1)-(11), 13(12) primo comma, né 13(14)).
Esistono esenzioni per le PMI importatrici?
Nessuna esenzione dagli obblighi stessi. L'articolo 19 si applica agli importatori indipendentemente dalle dimensioni. La concessione CRA per le PMI sulle sanzioni riguarda i fabbricanti, non gli importatori, e solo per le scadenze della notifica preliminare di 24 ore. L'esenzione per i gestori di software open source si applica ai gestori, non agli importatori. Le autorità devono tenere debito conto delle dimensioni del soggetto (incluse PMI e startup) nel determinare l'importo delle sanzioni nei singoli casi, ma si tratta di un fattore di commisurazione, non di un'esenzione dall'obbligo (l'articolo 19 si applica a tutte le dimensioni; la concessione PMI all'articolo 64(10)(a) riguarda i fabbricanti, non gli importatori, e solo per le scadenze degli articoli 14(2)(a) e 14(4)(a); esenzione per i gestori di OSS all'articolo 64(10)(b); fattore di commisurazione all'articolo 64(5)(c)).
Quando si applicano gli obblighi CRA per gli importatori?
Dall'11 dicembre 2027. Da quella data, nessun prodotto con elementi digitali può essere immesso sul mercato UE senza che l'importatore abbia eseguito la verifica ai sensi dell'articolo 19(2). La segnalazione ai sensi dell'articolo 14 inizia prima (11 settembre 2026) ma è un obbligo del fabbricante; il ruolo dell'importatore è verificare che il punto di contatto unico del fabbricante sia attivo e non limitato a strumenti automatizzati (applicabilità all'articolo 71; articolo 19 dall'11 dicembre 2027; la segnalazione ai sensi dell'articolo 14 dall'11 settembre 2026 è a carico del fabbricante; il ruolo dell'importatore è verificare il punto di contatto unico ai sensi dell'articolo 13(17)).
Il solo rebranding rende l'importatore un fabbricante?
No. Il cambio di marchio rivela che si è sempre stati il fabbricante. La definizione di importatore è circoscritta alle persone che immettono sul mercato prodotti recanti il nome di una persona non-UE. Commercializzare con il proprio marchio fa uscire dalla categoria importatore e colloca nella categoria fabbricante. La DoC e la marcatura CE del fabbricante originale non coprono più il prodotto ribattezzato. Non vi è alcuna escalation ai sensi dell'articolo 22: l'articolo 22 copre i modificatori terzi, non gli importatori (articolo 3(13); la definizione di importatore all'articolo 3(16) è circoscritta ai marchi non-UE; l'articolo 22 copre i modificatori terzi, non gli importatori).
Le patch di sicurezza costituiscono mai una modifica sostanziale?
Non quando le patch sono emesse dal fabbricante originale e preservano la destinazione d'uso prevista, il comportamento e l'architettura di sicurezza del prodotto. Una patch che fa più che correggere una vulnerabilità, ad esempio aggiunge funzionalità, modifica l'autenticazione o espande la superficie di attacco, esce dall'esenzione (articolo 3(30); l'Allegato I Parte II tratta gli aggiornamenti di sicurezza emessi dal fabbricante come parte della gestione delle vulnerabilità).
Per quanto tempo un importatore deve conservare la Dichiarazione di Conformità UE?
Almeno 10 anni dall'immissione del prodotto sul mercato o per la durata del periodo di supporto, a seconda di quale sia più lungo. Un prodotto immesso nel 2028 con un periodo di supporto di 12 anni impone la conservazione fino al 2040. Lo stesso obbligo richiede all'importatore di garantire che la documentazione tecnica possa essere messa a disposizione su richiesta. Lo storage digitale è accettabile (articolo 19(6)).
Cosa deve fare l'importatore se la documentazione presenta lacune?
Fermare e informare. Non immettere sul mercato fino a quando la lacuna non è colmata. Notificare il fabbricante per iscritto. Laddove il prodotto presenti un rischio significativo per la cybersicurezza, informare le autorità di sorveglianza del mercato dello Stato membro interessato. L'obbligo si estende anche ai fattori di rischio non tecnici. Le merci possono restare in deposito doganale mentre la lacuna è aperta (articolo 19(3); i fattori di rischio non tecnici attivano l'articolo 54(2)).
Cosa accade alla marcatura CE del fabbricante originale quando l'entità UE diventa il fabbricante?
Non copre più il prodotto così come l'entità UE lo immette sul mercato. L'entità UE emette la propria DoC e appone la marcatura CE sotto la propria responsabilità (articolo 3(13); nuova DoC ai sensi dell'articolo 13(20); nuova CE ai sensi dell'articolo 30).
Il periodo di supporto di cinque anni riparte quando l'entità UE diventa il fabbricante?
Sì. Il periodo di supporto decorre dalla data in cui l'entità UE immette il prodotto ribattezzato o modificato sul mercato. Il minimo di cinque anni si applica, con l'eccezione che i prodotti la cui vita d'uso prevista è inferiore a cinque anni adottano un periodo di supporto pari alla vita d'uso prevista. Il costo ricade sulle risorse di supporto e sui contratti con i fornitori a monte (articolo 13(8)).
L'entità UE ha bisogno di un organismo notificato se il fabbricante originale ne ha usato uno?
Per prodotti di Classe II o Critical sostanzialmente modificati, quasi sempre sì. Il certificato originale era legato al prodotto così come progettato; la modifica sostanziale lo invalida. Anche il solo rebranding di un prodotto di Classe II o Critical richiede una nuova DoC a nome dell'entità UE. Consultate la guida alla valutazione della conformità e la guida alla classificazione dei prodotti (articolo 3(30); il Modulo A è disponibile solo per prodotti di classe predefinita; il Modulo B+C o H richiede un organismo notificato per la Classe II e i prodotti Critical).