Lumantis · Guida per costruttori

Sanzioni CRA: cosa rischia davvero un costruttore di macchine

Aggiornato al 12 luglio 2026

Quando si parla di Cyber Resilience Act, la domanda che i costruttori fanno per prima è sempre la stessa: cosa succede se non sono in regola. La risposta sta nell'articolo 64 del Regolamento UE 2024/2847, ed è più severa di quanto molti si aspettino. Soprattutto per un motivo che quasi nessuno ha notato.

15 milioni di euro
oppure il 2,5% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore

È questo il massimale previsto dall'articolo 64, paragrafo 2, per la non conformità ai requisiti essenziali di cibersicurezza e agli obblighi degli articoli 13 e 14. L'articolo 14 è quello dell'obbligo di segnalazione, quello che diventa applicabile l'11 settembre 2026.

Il dettaglio che quasi nessuno nota

Quella cifra non è il massimale generico del regolamento. È il più alto dei tre previsti dall'articolo 64, ed è riservato proprio agli obblighi di segnalazione e ai requisiti essenziali. Per capire il peso della scelta, basta guardare gli altri due.

15 M€ / 2,5%requisiti essenziali di cibersicurezza e obblighi degli articoli 13 e 14 (segnalazione)
10 M€ / 2%la gran parte degli altri obblighi del regolamento
5 M€ / 1%informazioni inesatte, incomplete o fuorvianti a organismi notificati e autorità di vigilanza

In altre parole: tra tutti gli obblighi che il CRA impone a un fabbricante, il legislatore europeo ha messo la sanzione più severa proprio su quello che scatta per primo, l'11 settembre 2026. Non è un caso, ed è il segnale più chiaro di quanto l'obbligo di segnalazione sia considerato centrale.

Cosa prevede davvero per le imprese più piccole

Su questo punto circolano versioni imprecise, e conviene essere esatti. Il regolamento prevede due cose, diverse tra loro.

La prima. Tra i criteri che le autorità devono considerare nel decidere l'importo ci sono le dimensioni dell'impresa, con un riferimento esplicito a microimprese, piccole e medie imprese e start-up, e la sua quota di mercato. Essere piccoli pesa nella commisurazione. È un criterio di valutazione, non uno sconto automatico.

La seconda è più netta, ma molto più ristretta di quanto si creda. Il regolamento esclude le sanzioni pecuniarie per i fabbricanti che sono microimprese o piccole imprese, e soltanto per il mancato rispetto del termine delle 24 ore del preallarme. La deroga non copre le medie imprese. Non copre la notifica delle 72 ore, né la relazione finale, né l'obbligo di segnalazione in quanto tale. E non copre il caso più comune tra chi oggi è scoperto, perché chi non ha inventario né monitoraggio non sfora il termine del preallarme, semplicemente non segnala nulla.

Resta fermo, per tutti, che i massimali si misurano sul fatturato, non sull'utile. Per un'azienda manifatturiera con margini normali, il 2,5% del fatturato può valere una fetta significativa del risultato di un anno intero.

Come si calcola la sanzione, in concreto

I numeri sopra sono massimali, non importi automatici. Nel decidere l'importo, l'articolo 64 indica tre criteri. La natura, la gravità e la durata della violazione e delle sue conseguenze. Le sanzioni già applicate allo stesso operatore per violazioni analoghe. Le dimensioni e la quota di mercato di chi ha commesso la violazione. E prima ancora dei tre criteri, il regolamento mette una clausola generale che li governa tutti, perché la decisione deve tenere conto di tutte le circostanze pertinenti della situazione specifica.

È dentro quella clausola che si gioca la partita di chi si prepara adesso. Un costruttore che ha costruito l'inventario dei suoi componenti, ha un monitoraggio attivo e un processo di segnalazione pronto, ma che per una circostanza sfortunata sfora un termine, sta in una posizione molto diversa da un costruttore che non ha fatto nulla e non è nemmeno in grado di sapere cosa monta nelle proprie macchine. Non perché la preparazione compaia come criterio testuale nell'elenco, ma perché una preparazione dimostrabile è esattamente il tipo di circostanza pertinente che un'autorità pesa quando decide.

Una nota onesta sui tempi, che va detta invece di essere nascosta. L'articolo 14, cioè l'obbligo di segnalazione, si applica dall'11 settembre 2026. Il regolamento nel suo complesso, articolo 64 sulle sanzioni compreso, si applica dall'11 dicembre 2027. Cosa questo comporti esattamente per una violazione commessa tra le due date è una questione che va posta ai propri consulenti legali, e chi vi dice di avere una risposta certa probabilmente sta semplificando. Quello che è certo è che l'obbligo esiste da settembre 2026, e che il massimale previsto per la sua violazione è il più alto del regolamento.

Perché il vero rischio non è la multa

Concentrarsi solo sulla sanzione, però, è un errore di prospettiva. Per un costruttore di macchine il danno più probabile non arriva da un'autorità di vigilanza, arriva dal mercato.

Una vulnerabilità sfruttata attivamente su un componente delle vostre macchine, scoperta e comunicata da qualcun altro invece che da voi, è un evento che i vostri clienti vedono. L'Articolo 14 obbliga il fabbricante anche a informare gli utilizzatori interessati, e prevede che se il fabbricante non lo fa tempestivamente possa farlo il CSIRT nazionale al posto suo. Il silenzio verso i propri clienti, in altre parole, non è una scelta che resta privata.

E c'è il lato commerciale: la conformità informatica del prodotto sta diventando un requisito d'acquisto, non solo di legge. Nei capitolati dei clienti più grandi, la domanda "avete un SBOM e un processo di gestione delle vulnerabilità" comincia già a comparire. Chi arriva pronto a settembre non evita solo una sanzione: si presenta con un argomento in più.

Siete pronti o scoperti? Verificatelo in due minuti

Cinque domande sul vostro prodotto, un verdetto sulle tre capacità che l'obbligo richiede. Gratuito, senza registrazione per vedere il risultato.

Fai la verifica

Per capire nel dettaglio cosa richiede l'obbligo di segnalazione, i tre tempi e le due piste, leggi la guida all'Articolo 14.

Fonti. Regolamento (UE) 2024/2847 (Cyber Resilience Act), articolo 64 sulle sanzioni (paragrafi 2, 3, 4, 5 e 10) e considerando 120, articolo 14 sugli obblighi di segnalazione dei fabbricanti, articolo 71 su entrata in vigore e applicazione. Testo ufficiale su EUR-Lex.

Questa pagina è un orientamento pratico e non costituisce consulenza legale. Per la posizione della vostra azienda fa fede il testo del regolamento, la normativa nazionale di attuazione e il parere dei vostri consulenti.

Lumantis S.r.l. · Via Valparaiso 1, 20144 Milano · P.IVA IT12825000966 · cra@lumantis.it