CCTVplanner.io
    Conformità15 minuti di lettura

    Software di origine russa nei progetti di videosorveglianza dell'UE (2026): revisione in materia di conformità, sanzioni e appalti.

    Una revisione fattuale e incentrata sugli appalti per progettisti, integratori e autorità aggiudicatrici dell'UE che si pongono la stessa domanda ricorrente nel 2026: come si applicano le norme in materia di origine, sanzioni e residenza dei dati quando è coinvolto un software di progettazione per sistemi di videosorveglianza? Questo articolo riassume il quadro normativo disponibile pubblicamente. Non costituisce consulenza legale: ogni decisione concreta in materia di appalti deve essere confermata da un consulente legale specializzato in appalti.

    Importante: questa è una recensione basata su fatti concreti, non una consulenza legale.

    Le sanzioni, i controlli sulle esportazioni e le norme sugli appalti pubblici cambiano frequentemente e vengono interpretate in modo diverso nei vari Stati membri dell'UE. Nulla di quanto contenuto in questo articolo deve essere considerato una consulenza legale per una specifica transazione. Per decisioni vincolanti, si prega di consultare un legale specializzato in appalti pubblici nella giurisdizione competente. I riferimenti a norme, regolamenti e giurisprudenza pubblicamente disponibili sono accurati al meglio delle nostre conoscenze a maggio 2026.

    Indice

    Perché questa domanda è importante negli appalti pubblici dell'UE del 2026

    Dal 2022 l'UE ha adottato diversi pacchetti di sanzioni successive contro la Russia, parallelamente a un'evoluzione delle norme sugli appalti pubblici degli Stati membri. L'effetto cumulativo sugli appalti di software è stato sostanziale: le amministrazioni aggiudicatrici che in precedenza non chiedevano informazioni sull'origine del software ora includono sistematicamente requisiti di divulgazione dell'origine nella fase di qualificazione, e le offerte che non possono dimostrare un'origine non soggetta a sanzioni vengono comunemente scartate prima della valutazione commerciale.

    Il software di progettazione per sistemi di videosorveglianza rientra in una particolare categoria di rischio poiché gli elementi che produce – planimetrie, posizionamento delle telecamere, topologia di rete, BOM – sono sensibili sia dal punto di vista della sicurezza che da quello operativo. Anche laddove uno strumento sanzionatorio non riguardi esplicitamente un particolare strumento di progettazione per sistemi di videosorveglianza, le autorità appaltanti tendono ad adottare un approccio precauzionale, soprattutto nei settori della difesa, della pubblica amministrazione, delle infrastrutture critiche e dei grandi progetti sanitari o di trasporto.

    Questo articolo è la guida esplicativa che avremmo voluto avere a disposizione quando i clienti integratori hanno iniziato a chiederci informazioni sull'origine del software nelle risposte alle gare d'appalto. È descrittivo, non prescrittivo: il suo scopo è quello di illustrare il quadro di riferimento in un linguaggio semplice, in modo che un progettista di sistemi di videosorveglianza possa porre le domande giuste al proprio consulente per gli acquisti, senza sostituirsi a tale colloquio.

    Il quadro attuale delle sanzioni dell'UE: sintesi di alto livello

    Le misure restrittive dell'UE nei confronti della Russia sono attuate tramite regolamenti del Consiglio pubblicati nella Gazzetta ufficiale dell'Unione europea e aggiornati attraverso successivi pacchetti di emendamenti. Il quadro normativo si articola su tre pilastri principali, rilevanti per gli appalti di software.

    Tre pilastri rilevanti per il software

    • Comandi di esportazione. Restrizioni sulla fornitura alla Russia di beni, servizi, tecnologie e software specifici, con particolare attenzione ai settori a duplice uso, alla difesa e ad alcune categorie industriali.
    • Sanzioni finanziarie. Congelamento dei beni e divieto di mettere a disposizione fondi o risorse economiche a persone ed entità quotate. Il test di "proprietà e controllo" è specifico per ogni singolo caso e si applica anche quando un fornitore non è esso stesso quotato, ma è posseduto o controllato da un'entità quotata.
    • Filtri per gli appalti pubblici. Le disposizioni del regolamento (UE) n. 833/2014 del Consiglio (e successive modifiche) che vietano l'aggiudicazione di appalti pubblici a determinate persone ed entità russe, sono state recepite e integrate in vari modi dalla legislazione degli Stati membri in materia di appalti pubblici.

    Oltre al quadro normativo a livello UE, Stati membri come Germania, Francia, Polonia, i Paesi nordici e gli Stati baltici hanno introdotto proprie normative in materia di appalti pubblici con criteri più rigorosi. Di conseguenza, lo stesso fornitore può essere accettato in una giurisdizione UE e escluso in un'altra, anche in assenza di una specifica indicazione esplicita da parte di alcuno strumento normativo. I team addetti agli appalti tendono quindi ad applicare come riferimento interno la normativa più restrittiva dello Stato membro di riferimento.

    Lato statunitense: NDAA §889 e ordini esecutivi ICTS

    Sul versante statunitense, due strumenti vengono regolarmente citati, anche dai funzionari addetti agli appalti dell'UE, come parametri di riferimento informali. La sezione 889 NDAA (il John S. McCain National Defense Authorization Act per l'anno fiscale 2019) vieta alle agenzie federali e agli appaltatori federali di acquistare o utilizzare apparecchiature di telecomunicazione e videosorveglianza da determinati produttori cinesi specificati. Gli ordini esecutivi in materia di tecnologie dell'informazione e della comunicazione e servizi (ICTS), principalmente l'ordine esecutivo 13873 e i successivi, conferiscono al Dipartimento del Commercio degli Stati Uniti ampi poteri di controllo sulle transazioni che coinvolgono avversari stranieri.

    Nessuno dei due strumenti è applicabile per legge a un tipico appalto UE. Tuttavia, vengono spesso utilizzati come formulazioni standard nei modelli di gara. Un'amministrazione aggiudicatrice dell'UE del 2026, nella redazione di un bando di gara per la videosorveglianza, richiederà comunemente al fornitore di dichiarare che il suo software, l'hosting e il personale non sarebbero esclusi ai sensi delle norme equivalenti all'articolo 889, anche quando l'articolo 889 stesso è irrilevante per il contratto. I fornitori che non sono in grado di rilasciare tale dichiarazione si trovano in una posizione di svantaggio competitivo, a prescindere dalla legittimità della loro offerta.

    Impatto diretto degli appalti sul software di progettazione CCTV

    Le categorie seguenti rappresentano le quattro aree in cui, nei progetti di videosorveglianza dell'UE del 2026, emergono con maggiore frequenza questioni relative all'origine del software.

    Appalti del settore pubblico

    Le gare d'appalto pubbliche, della difesa, della sanità e dell'istruzione includono sempre più spesso clausole esplicite di divulgazione dell'"origine del software". Il fattore scatenante è solitamente una delle disposizioni di filtro per gli appalti pubblici discusse in precedenza, applicata tramite recepimento a livello nazionale. Anche laddove la soglia legale sia discutibile, nella pratica le offerte che non sono in grado di dimostrare un'origine accettabile vengono scartate già nella fase di qualificazione. I progettisti che risponderanno alle gare d'appalto del settore pubblico nel 2026 dovranno aspettarsi di rilasciare dichiarazioni esplicite sull'origine di ogni strumento software utilizzato nel processo di progettazione, non solo dell'hardware di sorveglianza stesso.

    Contratti per infrastrutture critiche

    Gli appalti nei settori dell'energia, dei trasporti, dei servizi bancari e idrici sono regolati dalla direttiva NIS2 (Direttiva (UE) 2022/2555) e da norme settoriali sovrapposte. Sebbene la direttiva NIS2 sia basata sul rischio piuttosto che sull'origine, le valutazioni del rischio che ne derivano identificano comunemente l'origine della catena di fornitura come un fattore rilevante, e gli operatori di servizi essenziali l'hanno integrata nei propri quadri di appalto. Il livello di prova dell'origine del software nei progetti di infrastrutture critiche è significativamente più elevato rispetto a quello richiesto per gli appalti commerciali in generale.

    Audit di conformità delle imprese private

    Le grandi imprese, dotate di propri framework ESG, di gestione della catena di fornitura o di rischio informatico, sottopongono regolarmente a verifiche i propri fornitori e subfornitori. Anche in assenza di una gara d'appalto specifica, un integratore che utilizza software di cui non è possibile dimostrare l'origine potrebbe essere escluso da un elenco di fornitori preferenziali durante una revisione annuale. Questa dinamica si è intensificata notevolmente tra il 2024 e il 2025 e prosegue nel 2026.

    Incarichi di integrazione transfrontalieri

    Gli integratori che operano sia in giurisdizioni UE che extra-UE si trovano ad affrontare un'ulteriore complessità a causa delle diverse normative in materia di appalti pubblici. Uno strumento accettabile per un progetto commerciale privato in una giurisdizione potrebbe non superare i controlli previsti per un progetto pubblico in un'altra. Molti integratori hanno ovviato a questo problema standardizzando l'utilizzo di strumenti di origine UE per tutti i progetti, semplificando così la risposta a qualsiasi futura gara d'appalto, indipendentemente dal luogo in cui verrà indetta.

    Come gli acquirenti verificano l'origine del software

    Un responsabile degli acquisti che effettua una verifica dell'origine dispone di una serie di strumenti piuttosto standard. Nessuna di queste verifiche, presa singolarmente, dimostra l'origine: esse contribuiscono a costruire un quadro complessivo a partire da informazioni pubbliche.

    • Registro WHOIS sul dominio del fornitore: paese del registrar, organizzazione del registrante, ASN del nameserver.
    • Comunicazione da parte del fornitore della ragione sociale, del paese di registrazione e del codice fiscale — generalmente richiesta in fase di qualificazione.
    • Revisione del provider di hosting: la regione cloud in cui l'infrastruttura SaaS è fisicamente in esecuzione, comprovata da un'attestazione o da un contratto di hosting con terze parti.
    • Documenti societari pubblici: registri dei titolari effettivi, struttura della società madre ed eventuali riferimenti incrociati alle liste di sanzioni.
    • Attestazione della catena di fornitura: una dichiarazione scritta del fornitore che descrive dove il software viene sviluppato, ospitato e supportato, e che elenca eventuali subappaltatori.

    Per gli appalti ad alto rischio (difesa, infrastrutture critiche), la valutazione può estendersi alla provenienza del codice sorgente, ai test di sicurezza di terze parti e a un parere legale indipendente. Il costo marginale della valutazione di livello superiore non è trascurabile e le amministrazioni aggiudicatrici in genere la commissionano solo quando il valore o la delicatezza del contratto lo giustificano.

    Angolo di trasferimento verso paesi terzi GDPR

    Gli articoli da 44 a 49 GDPR disciplinano il trasferimento di dati personali verso paesi al di fuori dello Spazio economico europeo. La regola generale prevede che tale trasferimento sia vietato, a meno che non si applichi una delle garanzie specificate: una decisione di adeguatezza della Commissione europea, un meccanismo di trasferimento approvato, come le clausole contrattuali standard con opportune misure integrative, oppure una deroga per situazioni specifiche.

    La Corte di giustizia europea, nella sentenza Schrems II (causa C-311/18, 2020), ha chiarito che le clausole contrattuali standard devono essere integrate da una valutazione d'impatto del trasferimento che tenga conto delle leggi del paese di destinazione e della loro effettiva equivalenza in termini di protezione. La Russia non è inclusa nell'elenco di adeguatezza della Commissione europea e, secondo l'interpretazione prevalente, raggiungere una protezione "sostanzialmente equivalente" per i trasferimenti verso la Russia risulta difficile, dato il quadro giuridico vigente. Di conseguenza, qualsiasi strumento di progettazione di sistemi di videosorveglianza che trasmetta dati personali a server in Russia o a entità soggette alla giurisdizione russa, è soggetto a un onere significativo in termini di valutazione d'impatto del trasferimento, onere che gli strumenti ospitati nell'UE non devono affrontare.

    Per i progetti di videosorveglianza, questo aspetto è fondamentale perché gli strumenti di progettazione accedono ai dati personali più spesso di quanto si pensi: metadati del progetto, informazioni sul sito del cliente finale, indirizzi e-mail degli account, contenuto dei ticket di assistenza. Un acquirente che prende sul serio GDPR vorrà la garanzia che nessuno di questi dati esca dall'UE/SEE in un modo che possa far scattare il controllo previsto dal Capitolo V.

    Perché esiste CCTVplanner: ospitato nell'UE, sviluppato nell'UE

    CCTVplanner è gestito da DEFENSAR, società registrata in Polonia, con il frontend ospitato in Polonia e il backend su un'infrastruttura cloud dell'UE. Questo è il significato dello slogan "100% progettato e ospitato nell'UE": l'entità legale, la progettazione e l'hosting sono tutti all'interno dell'Unione Europea e non sono presenti sub-processori di paesi terzi nell'architettura predefinita.

    Per i team addetti agli acquisti, questo si traduce in una risposta breve e dichiarativa alle domande sulla divulgazione dell'origine descritte in precedenza. Non vi è alcun sub-responsabile del trattamento dei dati con giurisdizione russa, cinese o statunitense in nessuna fase del percorso dei dati. Non sussiste alcun onere di valutazione dell'impatto del trasferimento ai sensi del Capitolo V GDPR, poiché i dati non escono dall'UE. Non vi è alcun elemento di esclusione equivalente alla Sezione 889 nella catena di fornitura. Riconosciuta dagli integratori di tutto il mondo, l'architettura "UE per impostazione predefinita" è la caratteristica che emerge più frequentemente nelle conversazioni sugli acquisti nel 2026.

    La posizione dell'UE in un paragrafo

    • DEFENSAR è un'entità operativa registrata e residente fiscalmente in Polonia.
    • Il frontend è ospitato in Polonia; il backend si trova sul cloud della regione UE (eu-west).
    • Nell'architettura predefinita non sono previsti sub-responsabili dell'elaborazione dati di paesi terzi.
    • Conformità GDPR per impostazione predefinita: non è richiesta alcuna valutazione d'impatto separata sul trasferimento per gli acquirenti dell'UE.

    La realtà del "passaggio da JVSG "

    Una domanda pratica che ci viene posta dagli integratori nel 2026 è: "Siamo soddisfatti del nostro attuale strumento di progettazione CCTV, ma il team acquisti ha segnalato la divulgazione dell'origine del software come un rischio. Come si svolge la transizione?" La risposta è principalmente di natura tecnica: esportare la planimetria in formato DXF, importarla in CCTVplanner, sostituire le telecamere da un catalogo di oltre 65.000 modelli, adattare le soglie DORI, riorganizzare il cablaggio ed esportare il documento PDF multipagina. Abbiamo redatto una guida dettagliata passo passo nella sezione dedicata alla migrazione, disponibile al link sottostante. Nessuno dei passaggi è particolarmente difficile. La parte più complessa è generalmente la decisione di effettuare il cambiamento, non il cambiamento in sé.

    Nello specifico, per i cambiamenti dettati da esigenze di approvvigionamento, consigliamo di documentare la transizione per iscritto: l'evento scatenante, le alternative valutate, il sostituto scelto e la data in cui lo strumento esistente viene dismesso dal flusso di lavoro. Sia i consulenti in materia di approvvigionamento che i revisori ESG apprezzano le decisioni documentate, e un registro scritto della transizione è un documento comune nei pacchetti di due diligence.

    Dichiarazione di non responsabilità finale

    Questo articolo è un'analisi fattuale basata su standard, regolamenti e giurisprudenza pubblicamente disponibili a maggio 2026. Non costituisce consulenza legale e non sostituisce la consulenza di un avvocato specializzato in appalti pubblici nella vostra giurisdizione. Sanzioni, controlli sulle esportazioni e norme sugli appalti pubblici sono in continua evoluzione e vengono interpretati in modo diverso nei vari Stati membri dell'UE. Ogni decisione concreta in materia di appalti pubblici dovrebbe essere confermata da un legale esperto nell'ente appaltante, nel settore e nella giurisdizione specifici.

    Nessuna affermazione contenuta in questo articolo intende denigrare alcun paese, azienda o categoria di fornitore. L'obiettivo è descrivere il quadro degli appalti pubblici così come verrà percepito dagli acquirenti nel 2026, in modo che gli integratori possano preparare le risposte alle offerte e progettare flussi di lavoro che superino la fase di qualificazione.

    Domande frequenti

    Is software of Russian origin banned from EU public procurement in 2026?

    There is no single blanket EU rule that says "all software of Russian origin is banned". Instead, several layered EU instruments — sanctions regulations, public-procurement rules, sectoral export controls and member-state interpretations — combine to make Russian-origin software difficult or impossible to procure in many specific contexts (defence, public administration, critical infrastructure, financial services). Whether your specific procurement is permitted depends on the contracting authority, the sector and the country. Always consult your in-house counsel or external procurement advisor for a binding determination.

    Does the EU sanctions framework apply to design software, not just hardware?

    Sanctions instruments commonly cover "goods, services, technology and software" — software is treated as a category of its own, separate from physical hardware. Whether a particular CCTV design tool falls inside or outside a specific sanctions instrument is a fact-specific legal question. Public-sector tenders increasingly include explicit "software origin" disclosure requirements, and a vendor unable to evidence non-Russian origin is usually filtered out at the qualification stage regardless of the underlying sanctions analysis.

    How does GDPR interact with Russian-hosted software?

    GDPR Articles 44 to 49 govern personal-data transfers to third countries. Russia is not on the European Commission's list of countries with an adequacy decision, and standard contractual clauses to Russian processors face additional scrutiny under the Schrems II reasoning of the European Court of Justice. In practice this means that any CCTV design tool that transmits personal data — project metadata, account information, customer-site details — to servers in Russia or to entities under Russian jurisdiction faces a meaningful GDPR transfer-impact assessment burden that EU-hosted tools do not.

    What is NDAA §889 and does it apply outside the United States?

    NDAA §889 is a US federal procurement rule that prohibits federal agencies and federal contractors from buying or using telecommunications and video-surveillance equipment from certain named Chinese companies. It is a US instrument with US scope, but it is increasingly cited as a procurement template by EU and UK contracting authorities updating their own rules. Procurement officers in 2026 routinely ask vendors whether their products would qualify under §889 even when §889 itself does not legally apply to the contract.

    What practical due-diligence does a procurement team perform on software origin?

    Standard checks include WHOIS lookups on the vendor domain, verification of the legal entity name and registration country, review of hosting providers (where the SaaS infrastructure physically runs), inspection of public corporate filings, and a request for a written supply-chain attestation from the vendor. For higher-risk procurements (defence, critical infrastructure) the assessment can extend to source-code provenance, third-party penetration testing, and an independent legal opinion. None of this is a substitute for advice from procurement counsel, which is why the recurring recommendation in this article is to consult one.

    Articoli correlati

    CCTVplanner contro JVSG

    Confronto affiancato che include la posizione relativa alla residenza dei dati.

    Passaggio da JVSG : Guida alla migrazione 2026

    Manuale dettagliato per una transizione guidata dagli acquisti.

    I migliori software gratuiti per la progettazione di sistemi di videosorveglianza (2026)

    Le opzioni gratuite sono state verificate in base all'origine UE e alla conformità GDPR.

    EN 62676-4 :2025 OODPCVS Aggiornamento (2026)

    Aggiornamento degli standard in relazione alla normativa sugli appalti pubblici dell'UE.

    Calcolatrice DORI

    Calcolatrice per browser ospitata nell'UE, non richiede installazione.

    Calcolatrice EN 62676-4

    Raccomandazione di lenti conforme agli standard, ospitata nell'UE.

    ← Torna al blog

    © 2026 CCTVplanner. © 2026 CCTVplanner. Tutti i diritti riservati.