Sanzioni CRA: multe, richiami e vigilanza del mercato

Le sanzioni CRA possono raggiungere 15 000 000 EUR o il 2,5 % del fatturato annuo mondiale, a seconda di quale importo sia maggiore per le imprese. Il Cyber Resilience Act conferisce alle autorità di vigilanza del mercato due tipi di leva: sanzioni amministrative pecuniarie e misure sul prodotto, come azioni correttive, ritiro, richiamo o restrizioni alla messa a disposizione.

Questa pagina spiega cosa significano questi poteri in pratica e quali evidenze un operatore economico dovrebbe avere pronte prima che un'autorità ne faccia richiesta.

Sintesi

  • Il CRA prevede tre fasce sanzionatorie. La fascia più alta riguarda i requisiti essenziali di cibersicurezza e i principali obblighi del fabbricante.
  • L'importo fisso in euro non è sempre il tetto. Per le imprese si applica la percentuale del fatturato quando è superiore all'importo fisso.
  • Le sanzioni pecuniarie sono solo uno strumento. Le autorità possono imporre azioni correttive, ritiro, richiamo o restrizioni alla messa a disposizione.
  • La vigilanza del mercato parte dalle evidenze. Documentazione tecnica, dichiarazione UE di conformità, evidenze SBOM, registri di gestione delle vulnerabilità e registri sul periodo di assistenza sono ciò che l'autorità può usare per verificare la dichiarazione di conformità.
  • La dimensione dell'operatore conta, ma non è un lasciapassare. Le autorità devono tener conto della dimensione, comprese microimprese, PMI e start-up, nel determinare le sanzioni.
15M € / 2,5 %
Fascia sanzionatoria di vertice
Il valore più elevato
11 set 2026
Avvio dell'applicazione delle notifiche
Obbligo di notifica degli incidenti gravi
11 dic 2027
Applicazione del regime pieno
Sanzioni e misure sul prodotto
4 misure
Misure sul prodotto
Azione correttiva, ritiro, richiamo, restrizione

I quattro punti di riferimento dell'applicazione: la sanzione massima, la data di avvio delle notifiche, la data di applicazione piena e le misure sul prodotto a disposizione delle autorità di vigilanza del mercato.

Quali sanzioni amministrative possono applicarsi?

Il Regolamento fissa i massimali UE per le sanzioni amministrative pecuniarie. Gli Stati membri stabiliscono le regole di dettaglio, ma queste devono restare nel quadro del CRA e le sanzioni devono essere effettive, proporzionate e dissuasive.

Categoria di violazione Cosa la attiva Sanzione amministrativa pecuniaria massima
Obblighi centrali di sicurezza del prodotto Requisiti essenziali di cibersicurezza e obblighi centrali del fabbricante, inclusi gestione delle vulnerabilità, aggiornamenti di sicurezza, prove sul periodo di supporto e notifiche obbligatorie 15 000 000 EUR o, per le imprese, 2,5 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore
Accesso al mercato e conformità Controlli di importatori e distributori, marcatura CE, dichiarazioni, valutazione della conformità, cooperazione con organismi notificati e obblighi di vigilanza del mercato 10 000 000 EUR o, per le imprese, 2 % del fatturato mondiale totale annuo, se superiore
Informazioni fuorvianti Fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorità di vigilanza del mercato 5 000 000 EUR o, per le imprese, 1 % del fatturato mondiale totale annuo, se superiore

La sanzione massima è quella che la maggior parte dei fabbricanti dovrebbe comprendere per prima. Copre la sostanza della sicurezza del prodotto e gli obblighi operativi del fabbricante: valutazione del rischio di cibersicurezza, gestione delle vulnerabilità, aggiornamenti di sicurezza, divulgazione del periodo di assistenza e notifica di incidenti gravi o vulnerabilità attivamente sfruttate.

Documentazione tecnica, dichiarazione UE di conformità e marcatura CE ricadono invece nella fascia intermedia (10 000 000 EUR o 2%), poiché riguardano principalmente i requisiti di accesso al mercato e di conformità documentale.

Quali violazioni pesano di più?

Il CRA non gradua ogni possibile fattispecie. Fissa delle cornici legali. In pratica, l'esposizione più seria nasce da carenze che incidono sulla sostanza della sicurezza del prodotto, sulla veridicità della dichiarazione di conformità o sulla capacità delle autorità di valutare il rischio.

Schema Perché rileva Area legale probabile
Prodotto immesso sul mercato UE senza rispettare i requisiti essenziali dell'Allegato I La dichiarazione di sicurezza del prodotto è sbagliata all'origine Sanzione massima
Nessun processo efficace di gestione delle vulnerabilità durante il periodo di assistenza La gestione delle vulnerabilità non è operativa durante il periodo di assistenza Sanzione massima
Omessa notifica di un incidente grave o di una vulnerabilità attivamente sfruttata quando si applica la notifica obbligatoria L'obbligo di notifica inizia prima del regime pieno Sanzione massima
Percorso di conformità errato per un prodotto importante o critico La dichiarazione di conformità poggia su un percorso di valutazione sbagliato Sanzione massima o intermedia, a seconda dell'obbligo violato
Dichiarazione UE di conformità, marcatura CE o dati dell'operatore mancanti o non validi La documentazione di accesso al mercato è difettosa Sanzione intermedia
Informazioni fuorvianti a un organismo notificato o a un'autorità di vigilanza del mercato Le autorità non possono fare affidamento su quanto fornito Sanzione per informazioni fuorvianti, e potenzialmente peggio se sono presenti altre violazioni

Il modo più sicuro di leggere le fasce non è "quale sanzione riceveremo?", ma "quali evidenze siamo in grado di produrre?". Una dichiarazione di conformità firmata senza fascicolo tecnico, evidenze SBOM, registri di gestione delle vulnerabilità e razionale della valutazione di conformità è una posizione fragile di fronte all'autorità.

Come l'autorità determina l'importo della sanzione

L'importo non è un calcolo meccanico per percentuale. Nel determinarlo, l'autorità deve considerare la violazione, l'eventuale presenza di precedenti sanzioni analoghe a carico dello stesso operatore e la dimensione dell'operatore.

Fattore Significato pratico
Natura, gravità e durata della violazione e relative conseguenze Una lacuna documentale di breve durata è diversa da un prodotto immesso sul mercato con una debolezza sfruttabile.
Eventuali sanzioni già inflitte allo stesso operatore economico per violazioni analoghe La reiterazione attraverso più Stati membri può aggravare l'esito.
Dimensione dell'operatore economico e quota di mercato Microimprese, PMI e start-up devono essere considerate nella determinazione delle sanzioni.

Questo non significa che i piccoli operatori possano ignorare la norma. Significa che la sanzione deve essere proporzionata. Un piccolo fabbricante deve comunque disporre di un percorso di conformità reale, documentazione tecnica, processo di gestione delle vulnerabilità e capacità di notifica quando si applicano i relativi obblighi.

Poteri di vigilanza del mercato oltre le sanzioni

Le sanzioni non sono l'unico rischio. L'applicazione del CRA si colloca nel quadro UE di vigilanza del mercato, compreso il Regolamento (UE) 2019/1020. Il CRA aggiunge poi la procedura nazionale per i prodotti con elementi digitali che presentano un rischio significativo di cibersicurezza.

Se l'autorità valuta un prodotto e accerta una non conformità, può chiedere all'operatore economico interessato di adottare opportune misure correttive, rendere il prodotto conforme, ritirarlo dal mercato o richiamarlo entro un termine ragionevole. Se l'operatore non adotta misure correttive adeguate, l'autorità può limitare o vietare la messa a disposizione sul mercato.

Misura Cosa significa sul piano operativo
Azione correttiva Correggere la non conformità, aggiornare la documentazione, rimediare alle vulnerabilità, aggiornare le istruzioni o modificare il prodotto prima di proseguirne la commercializzazione.
Ritiro Interrompere la messa a disposizione del prodotto sul mercato. Di norma riguarda le scorte invendute e i canali distributivi.
Richiamo Recuperare o rimediare i prodotti già forniti agli utenti quando il rischio lo giustifica.
Restrizione o divieto Limitare o bloccare la messa a disposizione del prodotto sul mercato nazionale, con possibili conseguenze a livello UE attraverso il coordinamento.

La conformità formale non è uno scudo. Un prodotto può soddisfare la documentazione e presentare comunque un rischio significativo di cibersicurezza; in tal caso l'autorità può imporre misure aggiuntive per affrontare il rischio ai sensi dell'Articolo 57. La sola documentazione formale non basta se il prodotto resta rischioso.

Cosa può attivare l'attenzione dell'autorità?

Il CRA non pubblica un elenco fisso di trigger. La vigilanza del mercato può essere proattiva o reattiva. Queste sono le situazioni che con maggiore probabilità portano un prodotto sotto i radar dell'autorità:

Trigger Cosa l'autorità chiederà probabilmente
Vulnerabilità attivamente sfruttata o incidente grave Evidenze di notifica, triage delle vulnerabilità, versioni interessate, comunicazioni ai clienti, tempistiche di rimedio.
Segnalazione di un concorrente, di un cliente o di un ricercatore Fascicolo tecnico, registri di gestione delle vulnerabilità, evidenze di valutazione di conformità e razionale di sicurezza del prodotto.
Campionamento o campagna settoriale Dichiarazione UE di conformità, informazioni per l'utente, marcatura CE, evidenze SBOM e evidenze di test.
Dubbio di un importatore o di un distributore Identità del fabbricante, dati dell'importatore, dichiarazione di conformità, informazioni sul periodo di assistenza e tracciabilità.
Messaggi pubblici incoerenti Evidenze del fatto che marketing, dichiarazioni sul periodo di assistenza, impegni sugli aggiornamenti di sicurezza e fascicolo tecnico coincidano.

Il rischio di applicazione è più alto quando l'azienda non sa spiegare perché il prodotto rientra nell'ambito, quale ruolo svolge, quale percorso di conformità ha utilizzato, quali evidenze sostengono la dichiarazione di conformità e come gestisce le vulnerabilità durante il periodo di assistenza.

Come può presentarsi una richiesta dell'autorità

Una richiesta della vigilanza del mercato è in primo luogo un problema di evidenze, poi un problema di contenzioso. La richiesta esatta dipende dallo Stato membro, dal prodotto e dal rischio, ma un fascicolo CRA pronto deve rendere recuperabili questi elementi:

Area di evidenze Esempi
Identità e ambito del prodotto Modello, versione, finalità prevista, versioni software o firmware, soluzione di trattamento dei dati a distanza, classe del prodotto.
Dichiarazione di conformità Dichiarazione UE di conformità, norme applicate, modulo di valutazione di conformità, certificato dell'organismo notificato ove pertinente.
Documentazione tecnica Fascicolo tecnico dell'Allegato VII, valutazione del rischio di cibersicurezza, architettura, test, controlli di produzione.
Evidenze SBOM SBOM corrente, perimetro dei componenti, metodo di generazione, processo di aggiornamento, gestione delle SBOM dei fornitori.
Gestione delle vulnerabilità Politica CVD, contatto di sicurezza, registri di triage, registri di rimedio, processo degli aggiornamenti di sicurezza.
Notifiche obbligatorie Registri decisionali su incidenti gravi e vulnerabilità attivamente sfruttate, registri di notifica a ENISA e ai CSIRT ove applicabili.
Periodo di assistenza Periodo di assistenza divulgato, data di fine del supporto, disponibilità degli aggiornamenti, registri delle comunicazioni ai clienti.

Il test pratico è semplice: se l'autorità chiede oggi il fascicolo, il team può produrre evidenze coerenti senza ricostruirle a memoria?

Cosa tenere pronto prima dell'arrivo di una richiesta

Usi questa checklist prima della prima scadenza di applicazione:

Area Stato di prontezza
Ambito e ruolo È in grado di spiegare perché si applica il CRA, quale ruolo dell'Articolo 3 svolge e se si applica una qualsiasi esclusione dell'Articolo 2.
Classificazione del prodotto Sa se il prodotto è ordinario, importante di classe I, importante di classe II o critico.
Percorso di conformità È in grado di giustificare il modulo A, B+C, H o un altro percorso ammesso.
Fascicolo tecnico Le evidenze dell'Allegato VII esistono, sono versionate e corrispondono al prodotto venduto.
Dichiarazione e marcatura CE La DoC è firmata, accurata e allineata al fascicolo di evidenze.
SBOM La SBOM è generata, mantenuta e legata alle versioni immesse sul mercato.
Gestione delle vulnerabilità Ricezione, triage, rimedio, divulgazione e consegna degli aggiornamenti sono operativi.
Notifiche Decisione ed escalation sono pronte prima dell'11 settembre 2026.
Comunicazioni Le comunicazioni con clienti, distributori, importatori e autorità sono documentate.

PMI, micro e piccoli fabbricanti e gestori di software open source

Gli operatori più piccoli ricevono sfumature importanti, ma non un'esenzione dalla conformità CRA.

Microimprese, PMI e start-up. Nel determinare le sanzioni, le autorità devono considerare la dimensione dell'operatore, compresa la qualifica di microimpresa, PMI o start-up. Ciò incide sulla proporzionalità, non sull'esistenza dell'obbligo sottostante.

Micro e piccoli fabbricanti. Esiste un alleggerimento ristretto per due scadenze di preallarme di 24 ore mancate. Non elimina l'intero obbligo di notifica, le relazioni finali né altri obblighi CRA.

Gestori di software open source. I gestori sono esclusi dalla maggior parte delle sanzioni amministrative pecuniarie, ma il regime per i gestori resta concreto: devono avere una politica di cibersicurezza e cooperare con le autorità di vigilanza del mercato su richiesta motivata. Un'azienda a valle che inserisce software open source nel proprio prodotto commerciale è di norma fabbricante di quel prodotto, non gestore.

Domande frequenti

Qual è la sanzione massima del CRA?

La fascia sanzionatoria più alta del CRA è di 15 000 000 EUR o, per le imprese, del 2,5 % del fatturato mondiale totale annuo dell'esercizio precedente, a seconda di quale importo sia maggiore. Tale fascia copre la non conformità ai requisiti essenziali di cibersicurezza e ai principali obblighi del fabbricante.

L'applicazione del CRA può iniziare prima dell'11 dicembre 2027?

Sì, per la notifica degli incidenti gravi. Il regime pieno del CRA si applica dall'11 dicembre 2027, ma gli obblighi di notifica per le vulnerabilità attivamente sfruttate e gli incidenti gravi si applicano dall'11 settembre 2026. Anche i prodotti già immessi sul mercato sono coperti da tale obbligo di notifica a partire da quella data.

È sempre garantito un avviso prima di una sanzione?

No. La vigilanza del mercato spesso inizia con richieste di informazioni, una valutazione e l'adozione di azioni correttive, ma il CRA non garantisce un avviso prima di ogni sanzione o misura sul prodotto. La risposta dell'autorità dipende dal rischio, dalla violazione, dalla cooperazione dell'operatore e dalle regole sanzionatorie nazionali.

Un'autorità può ordinare un richiamo anche se non è stata inflitta alcuna sanzione?

Sì. Le misure sul prodotto e le sanzioni amministrative pecuniarie sono strumenti distinti. Quando ricorrono le condizioni, le autorità di vigilanza del mercato possono imporre azioni correttive, ritiro, richiamo o restrizioni alla messa a disposizione per affrontare un rischio significativo di cibersicurezza. Il richiamo riguarda il controllo del rischio, non solo la punizione.

Le piccole imprese hanno un'esenzione dalle sanzioni CRA?

In generale no. La dimensione dell'operatore è un fattore di proporzionalità nella determinazione delle sanzioni. Il CRA prevede inoltre un alleggerimento ristretto per micro e piccoli fabbricanti su due specifiche scadenze di preallarme di 24 ore, e i gestori di software open source sono esclusi dalla maggior parte delle sanzioni amministrative pecuniarie. Ciò non rimuove il resto degli obblighi CRA.

Dove andare ora

  1. Confermi se il CRA si applica con Che cos'è il Cyber Resilience Act? e Chi deve conformarsi al CRA?.
  2. Identifichi il suo ruolo: fabbricante, importatore, distributore o mandatario.
  3. Prepari le evidenze che l'autorità può richiedere: documentazione tecnica, dichiarazione UE di conformità, evidenze SBOM e gestione delle vulnerabilità.