L'11 settembre 2025 la FCC ha chiuso un'indagine su T-Mobile per un singolo errore: l'operatore aveva iniziato a commercializzare lo smartphone REVVL 7 PRO 5G il 14 maggio 2024, nove giorni prima che il dispositivo ricevesse l'autorizzazione FCC per le apparecchiature. Migliaia di telefoni venduti in quella finestra temporale erano, tecnicamente, dispositivi a radiofrequenza non autorizzati. Il costo della transazione è stato contenuto, un contributo volontario di 7.000 dollari, ma la revisione della compliance che lo ha accompagnato non lo è stata affatto: un responsabile della conformità designato, un Manuale di Conformità scritto, formazione obbligatoria e tre anni di rapporti annuali alla Commissione.
Quel caso è un avvertimento sui tempi, non sulla tecnologia. Un caso ben più ampio, una sanzione proposta di 1.202.454 dollari contro Sound Around, Inc. nel dicembre 2023 per la commercializzazione di 33 modelli RF non autorizzati dopo essere già stata sanzionata in precedenza, mostra cosa succede quando la non conformità diventa un pattern. Tra questi due estremi si colloca ogni azienda che immette apparecchiature radio, di telecomunicazione o elettriche sul mercato statunitense o canadese nel 2026, in un momento in cui sia la FCC sia Innovation, Science and Economic Development Canada (ISED) stanno riscrivendo le regole che governano l'approvazione di tali apparecchiature.
La posta in gioco cresce perché le regole stesse sono in movimento. La FCC ha adottato modifiche di ampia portata al proprio programma di autorizzazione delle apparecchiature il 30 aprile 2026, mirate all'integrità dei laboratori di prova e alla sicurezza nazionale. ISED ha chiuso una consultazione pubblica il 29 maggio 2026 riguardante la prima riscrittura del proprio standard fondamentale di conformità radio dal 2018. E per qualsiasi produttore nordamericano che esporta verso l'UE, il conto alla rovescia verso la prima scadenza vincolante del Cyber Resilience Act, l'11 settembre 2026, è già iniziato.
Quali autorità regolano davvero la conformità di apparecchiature RF ed elettriche in Nord America?
Due enti federali controllano l'accesso al mercato, e nessuno dei due delega agli stati o alle province i requisiti tecnici fondamentali. Negli Stati Uniti, la FCC amministra l'autorizzazione delle apparecchiature ai sensi del 47 CFR Part 2 (Subpart J) e i limiti tecnici di emissione ai sensi del Part 15, traendo la propria autorità di applicazione dalla Section 302 del Communications Act. In Canada, ISED stabilisce i requisiti tramite le Radio Standards Specifications (serie RSS) per gli apparati radio e gli Interference-Causing Equipment Standards (serie ICES) per la compatibilità elettromagnetica, entrambi amministrati ai sensi del Radiocommunication Act.
I due regimi sono proceduralmente simili ma non identici. La FCC suddivide l'autorizzazione in due percorsi: la Certification, che richiede una revisione da parte di terzi da un Telecommunication Certification Body (TCB) e si conclude con un FCC ID pubblico, e la Supplier's Declaration of Conformity (SDoC), un'autodichiarazione senza deposito presso l'autorità governativa. ISED utilizza la stessa logica di autodichiarazione per la maggior parte delle apparecchiature, ma nell'ambito dei propri requisiti generali RSS-Gen e ICES-Gen. Un dispositivo che trasmette intenzionalmente energia RF, come un apparato Wi-Fi o Bluetooth, necessita della Certification FCC e di un numero di certificazione radio ISED. Un dispositivo che genera RF solo incidentalmente, come circuiteria digitale, ad esempio la scheda madre di un laptop, può tipicamente utilizzare la SDoC su entrambi i lati del confine, e i test secondo la metodologia CISPR 32 o ANSI C63.4 possono soddisfare simultaneamente il Part 15B della FCC e l'ICES-003 di ISED. Tenere traccia di quale percorso si applica a quale linea di prodotto, e di dove i due ordinamenti divergono, è esattamente il tipo di dettaglio per giurisdizione che il monitoraggio regolamentare di Obsidian è progettato per far emergere automaticamente.
Cosa ha appena cambiato la FCC riguardo a chi può testare le vostre apparecchiature?
Il 30 aprile 2026, la Commissione ha adottato una regola finale nel fascicolo ET Docket No. 24-136, "Promoting the Integrity and Security of Telecommunications Certification Bodies, Measurement Facilities, and the Equipment Authorization Program", pubblicata il 1° maggio 2026 ed entrata in vigore 30 giorni dopo la pubblicazione sul Federal Register del 15 maggio 2026. La regola risponde a un problema documentato: nel 2024, solo il 3,6% dei dispositivi che hanno ricevuto un FCC ID è stato testato da laboratori situati negli Stati Uniti, e solo un ulteriore 12,5% da laboratori in paesi con un Mutual Recognition Agreement (MRA), il che significa che oltre l'80% dei test di autorizzazione delle apparecchiature avveniva al di fuori di qualsiasi quadro di fiducia allineato agli Stati Uniti.
La correzione crea un sistema a due livelli. I TCB devono ora richiedere l'indicazione della Commissione prima di approvare apparecchiature presenti in un elenco pubblicato "Pre-Approval Guidance (PAG) List", ma le domande testate in "Trusted Test Labs", ossia laboratori situati negli Stati Uniti o in un paese con un MRA o un accordo commerciale equivalente, ottengono una revisione prioritaria accelerata. I TCB e i laboratori accreditati hanno inoltre acquisito nuovi obblighi di comunicazione: la segnalazione del numero e della localizzazione dei dipendenti impegnati in attività di test o certificazione riconosciute dalla FCC e, per i TCB più grandi, la certificazione di non essere di proprietà o controllati da un'entità vietata, con tempistiche di comunicazione dei cambi di proprietà ora allineate ai requisiti di divulgazione della SEC. Se la vostra roadmap dipende da un laboratorio di prova estero specifico, questa regola cambia la velocità con cui i risultati di tale laboratorio procedono nella revisione FCC a partire dalla metà del 2026.
ISED sta per cambiare il modo in cui le apparecchiature radio vengono etichettate e testate in Canada?
Sì, e la finestra di consultazione si è appena chiusa. ISED ha aperto la consultazione pubblica il 26 febbraio 2026 sulle bozze RSS-Gen Issue 6 e RSS-310 Issue 6, lo standard generale di conformità e lo standard per apparecchiature di Categoria II esenti da licenza che insieme definiscono la base per la maggior parte degli apparati radio certificati in Canada. I commenti si sono chiusi il 29 maggio 2026 e, una volta che ISED pubblicherà le versioni definitive, si applicherà un periodo di transizione standard di sei mesi durante il quale sarà accettata sia l'edizione uscente sia quella entrante.
Le modifiche sostanziali contano per i cicli di progettazione dei prodotti, non solo per la burocrazia. RSS-Gen Issue 6 estende i requisiti di misurazione delle emissioni indesiderate fino a 750 GHz, impone intervalli di calibrazione definiti per le apparecchiature di prova e richiede che i siti di prova delle emissioni radiate soddisfino la convalida del sito secondo ANSI/USEMCSC C63.25.1, C63.25.2 o CISPR 16-1-4. Consente inoltre per la prima volta l'etichettatura tramite codice QR ed elettronica, un reale risparmio sui costi per i prodotti di consumo ad alto volume, spostando al contempo i tag RFID passivi e i dispositivi solo riceventi fuori dal proprio ambito e dentro RSS-310, che elimina la vecchia esenzione generale per i trasmettitori sotto i 6 nW o sotto i 9 kHz a favore di esenzioni più circoscritte e specifiche. Un produttore che progetta oggi secondo RSS-Gen Issue 5 deve verificare, una volta pubblicata la Issue 6 definitiva, se la classificazione del proprio dispositivo o l'accreditamento del proprio sito di prova siano ancora validi.
| Regime | Cosa cambia | Data chiave |
|---|---|---|
| Autorizzazione apparecchiature FCC (ET Docket 24-136) | Corsia accelerata Trusted Test Lab, divulgazione della proprietà dei TCB, controllo delle entità vietate | Efficace dal 15 giugno 2026 (30 giorni dopo la pubblicazione sul Federal Register del 15 maggio) |
| ISED RSS-Gen / RSS-310, Issue 6 | Soglia di emissione a 750 GHz, intervalli di calibrazione, etichettatura QR/elettronica, RFID e dispositivi solo riceventi spostati su RSS-310 | Consultazione chiusa il 29 maggio 2026; transizione di sei mesi dopo la pubblicazione |
| Regolamento delegato UE sulla cibersicurezza RED (UE) 2022/30 | Requisiti obbligatori di cibersicurezza (art. 3(3)(d)/(e)/(f)) per le apparecchiature radio connesse vendute nell'UE, inclusi gli esportatori nordamericani | Applicabile dal 1° agosto 2025; abrogato l'11 dicembre 2027 quando subentra il CRA |
| Cyber Resilience Act dell'UE (Regolamento (UE) 2024/2847) | Segnalazione obbligatoria entro 24 ore delle vulnerabilità attivamente sfruttate e degli incidenti gravi per i prodotti con elementi digitali venduti nell'UE | L'obbligo di segnalazione si applica dall'11 settembre 2026; piena applicazione l'11 dicembre 2027 |
Cosa considera davvero la FCC un caso di applicazione grave rispetto a uno risolvibile?
La differenza tra un consent decree da 7.000 dollari e una sanzione a sette cifre si riduce a due elementi: se la violazione è stata una singola svista sui tempi o un pattern ricorrente, e se l'azienda ha collaborato con l'Enforcement Bureau della FCC oppure lo ha ostacolato. Il caso REVVL 7 PRO di T-Mobile riguardava uno scarto di due settimane nella commercializzazione prima dell'autorizzazione, un rimedio documentato e piena collaborazione, con conseguente contributo volontario ai sensi della Section 2.803(b) delle regole della FCC. Il caso Sound Around riguardava 33 modelli distinti non autorizzati, un precedente Forfeiture Order del 2022 per la stessa condotta e, secondo quanto descritto nel Notice of Apparent Liability della Commissione, risposte incomplete a due Letters of Inquiry, fattori che hanno spinto la sanzione proposta oltre 1,2 milioni di dollari, a circa 35.000 dollari per modello.
Al di sotto di questa soglia, il processo di citazione della Commissione offre ai piccoli trasgressori la possibilità di correggere la rotta prima che siano in gioco somme reali: una citazione del 2022 contro il rivenditore di droni Ride208 ha avvertito di sanzioni fino a 22.021 dollari per ogni giorno di violazione continuata e 165.159 dollari per singolo atto, ma solo se la condotta fosse proseguita o l'azienda avesse ignorato l'ordine. Lo schema in tutti e tre i casi è lo stesso: importare, commercializzare o vendere un dispositivo RF prima che l'autorizzazione sia completa, e la risposta della FCC scala in base a quanto è durata la violazione e a come l'azienda ha reagito una volta scoperta. Ottenere un quadro chiaro di quali SKU dispongano già di un FCC ID valido o di un numero di certificazione ISED, e quali siano invece a metà del processo di autorizzazione, è il tipo di domanda di incrocio dati a cui il companion AI di Obsidian può rispondere sulla base di dati regolamentari verificati, invece di un foglio di calcolo aggiornato trimestralmente da qualcuno.
Perché una regola di cibersicurezza dell'UE riguarda un produttore statunitense o canadese?
Perché l'accesso al mercato dell'UE passa attraverso lo stesso prodotto, non un binario di conformità separato. Il Regolamento delegato (UE) 2022/30 nell'ambito della Direttiva sulle apparecchiature radio si applica dal 1° agosto 2025 alle apparecchiature radio connesse a internet, richiedendo ai produttori, compresi quelli nordamericani che esportano nell'UE, di soddisfare i requisiti essenziali di cibersicurezza previsti dall'articolo 3(3)(d), (e) e (f) del RED prima della marcatura CE. Lo standard armonizzato EN 18031 ha ottenuto uno status di presunzione di conformità limitata nella Gazzetta Ufficiale il 28 gennaio 2025: i prodotti che evitano le sue clausole limitate, ad esempio consentendo agli utenti di saltare l'impostazione di una password, possono autocertificarsi; i prodotti che attivano una clausola limitata necessitano del coinvolgimento di un Organismo Notificato.
Quel regime non durerà per sempre, e la sua sostituzione arriva secondo una tempistica che vale la pena pianificare fin da ora. La Commissione europea ha adottato il Regolamento delegato (UE) 2026/339 il 16 febbraio 2026, abrogando il (UE) 2022/30 con effetto dall'11 dicembre 2027, esattamente la data in cui il più ampio Cyber Resilience Act raggiunge la piena applicazione. Nel frattempo, l'11 settembre 2026, l'obbligo di segnalazione degli incidenti previsto dall'articolo 14 del CRA diventa obbligatorio in modo autonomo, richiedendo a qualsiasi produttore il cui prodotto connesso sia venduto nell'UE di segnalare vulnerabilità attivamente sfruttate o incidenti gravi entro 24 ore, indipendentemente da dove il produttore abbia sede. Un'azienda elettronica nordamericana che vende lo stesso SKU a Toronto, Dallas e Berlino si trova davanti a tre regimi su tre orologi diversi, che convergono verso uno solo nel 2027.
Cosa dovrebbe fare concretamente un team di compliance nei prossimi sei mesi?
Iniziate con una domanda di inventario, non una domanda regolamentare: per ogni SKU spedito verso gli Stati Uniti o il Canada, quale percorso di autorizzazione si applica, e se il rapporto di prova attuale è precedente agli standard ora in transizione. Un prodotto testato secondo RSS-Gen Issue 5 oggi non è fuori conformità, ma richiederà una decisione documentata, un nuovo test, un emendamento o l'attesa della finestra di transizione, una volta che ISED avrà finalizzato la Issue 6.
Poi mappate l'esposizione per localizzazione del laboratorio di prova. Se una linea di prodotto si basa su test offshore al di fuori di un paese MRA, il quadro Trusted Test Lab della FCC di giugno 2026 significa che l'autorizzazione di quel prodotto ora procede attraverso una corsia di revisione più lenta, una variabile reale di time-to-market che i team di ingegneria e affari regolamentari dovrebbero discutere insieme. Obsidian traccia i regimi della FCC, di ISED e del RED e Cyber Resilience Act dell'UE come fonti tier-0 collegate, con avvisi quando una data di efficacia si sposta o un atto delegato come il 2026/339 modifica l'orologio di conformità, così la domanda "quale regola si applica a questo prodotto, in quale mercato, a partire da quale data" ha una risposta con fonte, non una supposizione. Consultate i piani pensati per i team di compliance di prodotto e affari regolamentari, oppure collegate l'MCP di Obsidian direttamente ai vostri strumenti se il vostro flusso di lavoro passa già attraverso un assistente AI.