Il CRA si applica al mio prodotto? / App Android
Il Cyber Resilience Act si applica alle app Android?
Sì. Un'app Android che raggiunge utenti UE via Google Play, F-Droid, sideloading o download diretto dell'APK è un prodotto con elementi digitali. L'«attività commerciale» si interpreta in senso ampio: pubblicità, acquisti in-app, monetizzazione dei dati o il bundle con un servizio a pagamento bastano.
Cosa significa concretamente per te
- ▸Dipendenze Gradle, librerie native (.so) e SDK di terze parti incorporati (analytics, pubblicità, crash reporting) vanno nella SBOM — gli SDK pubblicitari sono esattamente dove gli auditor si aspettano le vulnerabilità.
- ▸Chi distribuisce fuori da Google Play (APK sul proprio sito) si assume anche gli obblighi del canale: aggiornamenti firmati, integrità del download.
- ▸Le policy di Google Play (target API level, modulo Data Safety) non c'entrano nulla con i requisiti essenziali del CRA e non li soddisfano.
- ▸Classe standard: autovalutazione e marcatura CE autoemessa consentite — nessun organismo notificato.
La trappola in cui cade la maggior parte dei team
Dimenticare gli SDK di terze parti nella SBOM. Un SDK pubblicitario obsoleto con una CVE nota è esattamente ciò che l'allegato I parte II impone di correggere «senza indebito ritardo».
Le scadenze
2026-09-11
Inizio degli obblighi di segnalazione: le vulnerabilità attivamente sfruttate e gli incidenti gravi vanno segnalati entro 24 h / 72 h tramite la piattaforma unica dell'ENISA.
2027-12-11
Applicazione piena: requisiti essenziali, documentazione tecnica, dichiarazione di conformità UE e marcatura CE diventano obbligatori per vendere nell'UE.
A che punto è il tuo prodotto, concretamente?
Il Risk Check gratuito (in inglese) ti dà in 3 minuti il verdetto sull'ambito, la classe di rischio, un punteggio di preparazione e una lista di azioni prioritizzata. Senza registrazione.
Oppure lascia fare a CRAdar in modo continuativo — ti avvisiamo al lancio:
Altri tipi di prodotto
Guida editoriale sul regolamento (UE) 2024/2847 — non è consulenza legale.