Nel marzo 2026, l'ANACOM portoghese ha multato Fnac Portugal per 95.625 euro e ha ordinato la confisca allo Stato di 17 dispositivi radio. Il verbale di contestazione si legge come un elenco di conformità andato storto: quattro modelli privi della marcatura CE, cinque senza identificazione di tipo, lotto o numero di serie, sette venduti senza manuali di istruzioni in portoghese, e dieci modelli per cui Fnac non è riuscita a produrre una valida dichiarazione di conformità UE quando richiesta dall'ANACOM. Oltre confine, in Germania, il monitoraggio del mercato 2025 della Bundesnetzagentur ha segnalato 7,7 milioni di dispositivi singoli non conformi, in aumento rispetto ai 5,3 milioni del 2024, e la sua cooperazione doganale ha bloccato alla frontiera oltre 359.000 articoli dopo aver rilevato che l'89% delle spedizioni segnalate era non conforme.

Questi numeri di enforcement fanno da sfondo a un calendario normativo più intenso del solito. L'atto delegato sulla cybersicurezza della Radio Equipment Directive è pienamente applicabile da meno di un anno, la prima scadenza vincolante del Cyber Resilience Act arriva l'11 settembre 2026, e un set riscritto di esenzioni al piombo del RoHS è diventato applicabile il 1° luglio 2026, poche settimane prima di questo articolo. Nessuno di questi regimi è un accessorio opzionale: si aggiungono alla marcatura CE che ogni dispositivo radio, di telecomunicazione ed elettrico deve già avere per circolare nell'UE, nel Regno Unito e in Svizzera.

Per un team di compliance che gestisce SKU su tutti e tre i mercati, il 2026 è l'anno in cui tre orologi separati convergono contemporaneamente su un'unica linea di prodotto.

Quali regolatori applicano realmente la conformità RF ed elettrica in Europa?

Nessuna singola agenzia dell'UE sorveglia le apparecchiature radio ed elettriche; ogni Stato membro gestisce la propria autorità di vigilanza di mercato secondo le stesse regole armonizzate. In Francia, l'Agence Nationale des Frequences (ANFR) ispeziona rivenditori e annunci online in base al Code des postes et des communications electroniques, e può emettere una mise en demeure (diffida formale a mettersi in regola) prima di procedere a una sanzione amministrativa, attualmente limitata a 7.500 euro per una persona giuridica e 15.000 euro in caso di violazioni concorrenti. La Bundesnetzagentur tedesca svolge la funzione equivalente per la Radio Equipment Directive (2014/53/UE) e la direttiva EMC (2014/30/UE), controllando sia gli annunci online sia i punti vendita fisici. L'ANACOM portoghese, come dimostra il caso Fnac, segue la stessa logica di escalation: identificare la non conformità, richiedere un'azione correttiva e sanzionare solo se l'operatore non si adegua.

Al di fuori dell'UE, l'Office for Product Safety and Standards del Regno Unito supervisiona le Radio Equipment Regulations 2017, mentre l'OFCOM svizzero amministra l'Ordinanza sugli impianti di telecomunicazione (OIT) e l'Ordinanza sulla compatibilità elettromagnetica (OCEM). Poiché ogni autorità agisce in base a una normativa nazionale che recepisce (o rispecchia) le stesse direttive UE, un unico SKU non conforme può innescare indagini parallele in più paesi contemporaneamente, esattamente il tipo di schema cross-giurisdizionale facile da perdere senza un monitoraggio per singolo paese. Il monitoraggio normativo di Obsidian traccia ANFR, Bundesnetzagentur, ANACOM, OPSS e OFCOM come fonti tier-0 separate anziché come un unico flusso "UE" generico, perché le loro soglie e procedure di enforcement non sono identiche.

Cosa scatena realmente una sanzione, e quanto può essere elevata?

Il caso Fnac Portugal mostra lo schema che si ripete nelle azioni di enforcement in questo settore: marcatura CE mancante, identificazione del prodotto mancante e documentazione in lingua portoghese mancante, combinate con la mancata azione dopo la notifica. La decisione dell'ANACOM rileva esplicitamente che in quattro casi il distributore non ha adottato misure correttive dopo essere stato interpellato. In Francia, il tetto è più basso in termini assoluti, 7.500 euro per un'azienda ai sensi dell'articolo L.43 II bis del CPCE, ma il modus operandi dell'ANFR è identico: una richiesta di correzione di primo livello per problemi minori, una mise en demeure formale con ritiro dal mercato per problemi ripetuti o gravi, e solo dopo una sanzione amministrativa o un deferimento penale al pubblico ministero, poiché immettere sul mercato francese un dispositivo radio non conforme è di per sé classificato come una contravvenzione penale di quinta classe.

L'esperienza tedesca dimostra che il problema di scala è strutturale, non occasionale: la Bundesnetzagentur ha controllato quasi 2.100 tipi di apparecchiature nel 2025 e ha comunque rilevato 1.266 tipi non conformi venduti solo online. Una campagna di test separata finanziata dall'UE (JACOP 2025), condotta dalla DG GROW della Commissione europea, ha testato 173 prodotti elettronici per sostanze pericolose e documentazione CE; 91 di essi, il 53%, sono risultati non conformi ai limiti sulle sostanze RoHS o alla marcatura CE mancante o illeggibile. Per un responsabile compliance, la lezione riguarda meno l'entità di una singola sanzione e più il tasso di base: circa la metà dell'elettronica di consumo testata fallisce su qualche parte di questa checklist, il che rende la verifica di marcatura e documentazione meno una formalità burocratica e più l'attività di compliance a più alto rendimento disponibile.

Il regolamento delegato sulla cybersicurezza della RED è ancora attivo, e per quanto tempo?

Sì, ed è già efficace oggi. Il regolamento delegato (UE) 2022/30 della Commissione, che attiva i requisiti essenziali di cybersicurezza della Radio Equipment Directive ai sensi dell'articolo 3(3), lettere d), e) ed f), è applicabile dal 1° agosto 2025 alle apparecchiature radio connesse a internet, ai dispositivi per la prima infanzia e indossabili, e alle apparecchiature che gestiscono valore monetario. La decisione di esecuzione (UE) 2025/138, pubblicata il 30 gennaio 2025, ha elencato le norme armonizzate EN 18031-1, -2 e -3:2024 con restrizioni allegate: un prodotto che consente all'utente di saltare l'impostazione di una password, ad esempio, perde la presunzione di conformità su quella clausola e richiede il coinvolgimento di un organismo notificato invece dell'autodichiarazione.

Questo regime ha ora una data di scadenza messa nero su bianco. La Commissione europea ha adottato il regolamento delegato (UE) 2026/339 il 16 febbraio 2026, che abroga il regolamento (UE) 2022/30 a partire dall'11 dicembre 2027, esattamente la data in cui il più ampio Cyber Resilience Act raggiunge la piena applicazione. Qualsiasi produttore che immetta sul mercato UE apparecchiature radio connesse a internet tra oggi e quella data ricade sotto il regime di cybersicurezza della RED; dall'11 dicembre 2027 in poi, lo stesso prodotto ricadrà invece sotto il CRA. Tracciare quale atto delegato disciplina un determinato SKU in una data specifica è esattamente il tipo di domanda a cui il companion AI di Obsidian può rispondere basandosi sul testo normativo sottostante, anziché su un memo di compliance che diventa obsoleto non appena viene pubblicato un nuovo atto delegato.

Cosa richiede realmente la scadenza di settembre 2026 del Cyber Resilience Act?

L'articolo 14 del Cyber Resilience Act, regolamento (UE) 2024/2847, diventa applicabile l'11 settembre 2026, oltre un anno prima che gli obblighi principali di valutazione della conformità del CRA entrino in vigore l'11 dicembre 2027. Da quella data, qualsiasi produttore di un prodotto con elementi digitali venduto nell'UE, indipendentemente da dove abbia sede, deve segnalare le vulnerabilità attivamente sfruttate e gli incidenti gravi secondo un calendario scaglionato: un allarme precoce entro 24 ore dalla presa di conoscenza, una notifica più completa entro 72 ore e un rapporto finale entro 14 giorni per le vulnerabilità o entro un mese per gli incidenti. Le segnalazioni passano una sola volta attraverso la Single Reporting Platform (SRP) dell'ENISA, che instrada la notifica al CSIRT nazionale competente e a ogni altro CSIRT di uno Stato membro in cui il prodotto è disponibile.

L'attuazione francese aggiunge una sfumatura giurisdizionale da monitorare direttamente: il disegno di legge DDADUE designa l'ANFR come autorità francese di vigilanza di mercato per il CRA, con questa missione che entra in vigore l'11 settembre 2026, la stessa data dell'obbligo dell'articolo 14, mentre il relativo regime sanzionatorio, con multe fino a 15 milioni di euro o al 2,5% del fatturato mondiale, si attiva solo l'11 dicembre 2027 insieme alla piena applicazione del CRA. La stessa SRP non è ancora operativa: l'ENISA ha confermato che sarà attiva entro l'11 settembre 2026, senza API al lancio, il che significa che la prima ondata di segnalazioni obbligatorie in questo settore verrà presentata manualmente tramite un portale web.

RegimeCosa si applica ora o a breveData chiave
Regolamento delegato sulla cybersicurezza RED (UE) 2022/30Requisiti essenziali obbligatori per le apparecchiature radio connesse a internet; serie EN 18031 con restrizioniApplicabile dal 1° agosto 2025; abrogato l'11 dicembre 2027
Cyber Resilience Act, articolo 14Segnalazione di vulnerabilità e incidenti entro 24 ore/72 ore/14 giorni tramite la SRP dell'ENISAApplicabile dall'11 settembre 2026
Cyber Resilience Act, piena applicazioneMarcatura CE e valutazione di conformità per la cybersicurezza; regime sanzionatorio ANFR in Francia11 dicembre 2027
Esenzioni al piombo dell'Allegato III RoHS (ristrutturate)Sotto-voci più ristrette sostituiscono le esenzioni storiche 6(a)/6(b)/6(c)/7(a)/7(c), la maggior parte in scadenza 2026-2027Applicabile dal 1° luglio 2026
Riconoscimento della marcatura CE nel Regno Unito (Radio Equipment Regulations 2017)La CE è accettata indefinitamente sul mercato GB; la UKCA resta facoltativaIn vigore dal 1° ottobre 2024

Il RoHS conta ancora se un dispositivo ha già superato la marcatura CE per RED ed EMC?

Sì, e l'elenco delle esenzioni su cui un produttore faceva affidamento l'anno scorso potrebbe non essere più quello attuale. Tre direttive delegate della Commissione, (UE) 2025/1802, 2025/2363 e 2025/2364, pubblicate il 21 novembre 2025 ed entrate in vigore l'11 dicembre 2025, hanno sostituito le ampie esenzioni storiche al piombo 6(a), 6(b), 6(c), 7(a) e 7(c) dell'Allegato III della direttiva 2011/65/UE con sotto-voci più ristrette e specifiche per applicazione, con proprie date di scadenza, la maggior parte comprese tra dicembre 2026 e dicembre 2027. Gli Stati membri avevano tempo fino al 30 giugno 2026 per il recepimento, e le nuove voci sono diventate applicabili il 1° luglio 2026. L'esenzione 6(a), relativa al piombo come elemento di lega in acciaio, alluminio e rame, non verrà rinnovata affatto e decade l'11 dicembre 2026 per qualsiasi categoria di prodotto ancora dipendente da essa.

Un produttore la cui distinta base cita ancora il vecchio codice di esenzione su una dichiarazione di conformità sta ora facendo riferimento a una disposizione che non esiste più oppure ha una data di scadenza precisa allegata. Si tratta di un problema documentale tanto quanto chimico, e si applica in aggiunta, non in sostituzione, alla certificazione RED ed EMC che un prodotto già possiede.

Cosa dovrebbe controllare realmente un team di compliance prima del prossimo audit?

Si parta dalla stessa checklist usata dall'ANACOM contro Fnac: ogni SKU riporta un marchio CE visibile, un identificativo di lotto o serie e una dichiarazione di conformità che un distributore può produrre entro pochi giorni dalla richiesta di un regolatore, non settimane. Poi si mappi quali prodotti rientrano nell'ambito del regolamento delegato sulla cybersicurezza della RED, ovvero apparecchiature radio connesse a internet, per la prima infanzia, indossabili o che gestiscono valore monetario, e si verifichi se le restrizioni EN 18031 si applicano all'implementazione, dato che una configurazione predefinita priva di password fa perdere l'autodichiarazione. Infine, si confrontino i riferimenti della distinta base RoHS con le voci ristrutturate dell'Allegato III prima che un vecchio codice di esenzione scada silenziosamente.

Obsidian traccia ANFR, Bundesnetzagentur, ANACOM, OPSS, OFCOM e gli strumenti RED, EMC, RoHS e Cyber Resilience Act della Commissione europea come fonti tier-0 collegate, con avvisi quando un atto delegato come il 2026/339 modifica una scadenza di compliance o una nuova decisione di esecuzione restringe l'ambito di una norma armonizzata. Consulta i piani pensati per i team di compliance di prodotto e affari regolatori che monitorano apparecchiature in più giurisdizioni europee, oppure collega l'MCP di Obsidian direttamente ai tuoi strumenti se il tuo flusso di lavoro passa già da un assistente AI.