Art. 10 Quadro sanzionatorio 1. L'Agenzia, anche ai sensi dell'articolo 7, comma 1, lettera e), del decreto-legge 14 giugno 2021, n. 82, convertito, con modificazioni, dalla legge 4 agosto 2021, n. 109, in caso di violazione degli obblighi del quadro europeo di certificazione della cybersicurezza, ai sensi degli articoli 58, paragrafo 8, lettera f), e 65 del Regolamento irroga sanzioni pecuniarie ed accessorie, chiedendo la cessazione immediata della violazione. Si applica, in quanto compatibile, la disciplina della legge 24 novembre 1981, n. 689. 2. Salvo che il fatto costituisca reato, l'organismo di valutazione della conformita' che emette un certificato di cybersicurezza non conforme e' punito con la sanzione del pagamento di una somma da 15.000 euro a 75.000 euro. In caso di omessa revoca di un certificato da parte dell'organismo su richiesta dell'Agenzia ai sensi dell'articolo 5, comma 5, si applica la sanzione del pagamento di una somma da 30.000 euro a 150.000 euro. 3. Salvo che il fatto costituisca reato, il fabbricante o fornitore che emette una dichiarazione UE di conformita' volontaria non conforme e' punito con la sanzione del pagamento di una somma da 15.000 euro a 75.000 euro. In caso di omessa revisione o revoca di dichiarazione UE di conformita' volontaria o obbligatoria ai sensi dell'articolo 7, comma 3, si applica la sanzione del pagamento di una somma da 30.000 euro a 150.000 euro. 4. Salvo che il fatto costituisca reato, in caso di obbligatorieta' di una dichiarazione UE di conformita', ai sensi dell'articolo 7, comma 4, o di un certificato di cybersicurezza, ai sensi dell'articolo 6, comma 3, il fabbricante o fornitore che mette a disposizione sul mercato un prodotto TIC o servizio TIC privo di dichiarazione UE di conformita' obbligatoria o con dichiarazione UE di conformita' obbligatoria non conforme o in assenza del certificato di cybersicurezza obbligatorio, e' punito con la sanzione del pagamento di una somma da 30.000 euro a 150.000 euro. Alla medesima sanzione e' assoggettato il fabbricante o fornitore che per la messa a disposizione sul mercato di un prodotto TIC o di un servizio TIC si avvale di un processo TIC privo di dichiarazione UE di conformita' obbligatoria o con dichiarazione UE di conformita' obbligatoria non conforme o in assenza di certificato di cybersicurezza obbligatorio. 5. Nei casi di cui al comma 4 oppure ove, in esito ad un accertamento di non conformita' ai sensi dei commi 4, 5 o 6 dell'articolo 5, sia revocato o decada un certificato obbligatorio per la messa a disposizione sul mercato di un prodotto TIC o di un servizio TIC, l'Agenzia dispone il ritiro del prodotto o l'inibizione del servizio dal mercato a carico esclusivo del fabbricante o del fornitore indicando i tempi ed eventuali modalita' per il richiamo dei prodotti gia' immessi sul mercato o per l'inibizione del servizio; 6. Salvo che il fatto costituisca reato, il fabbricante che non ottempera a quanto prescritto al comma 5 per il richiamo di prodotti gia' immessi sul mercato e' assoggettato alla sanzione del pagamento di una somma da 60.000 euro a 300.000 euro. Nel caso in cui il fabbricante non ottemperi al richiamo di prodotti dal mercato, l'Agenzia, trascorsi sei mesi dalla scadenza fissata, puo' provvedere, al sequestro dei prodotti in questione dal mercato, a spese del fabbricante. 7. Salvo che il fatto costituisca reato, il fornitore che non ottempera a quanto prescritto al comma 5 per l'inibizione del servizio dal mercato e' assoggettato alla sanzione amministrativa da 60.000 euro a 300.000 euro. 8. Salvo che il fatto costituisca reato, Il titolare di un certificato europeo di cybersicurezza che non notifichi, ai sensi dell'articolo 56, paragrafo 8, del Regolamento, eventuali vulnerabilita' o irregolarita' rilevate in relazione alla sicurezza dei prodotti TIC, servizi TIC o processi TIC certificati e' punito con la sanzione del pagamento di una somma da 60.000 euro a 300.000 euro. Alla medesima sanzione e' assoggettato l'organismo di valutazione della conformita' emittente un certificato di cybersicurezza o il suo titolare ovvero il fornitore o fabbricante emittente una dichiarazione UE di conformita', che dovesse rilevare o venire a conoscenza della presenza di vulnerabilita' nel prodotto TIC, servizio TIC o processo TIC certificato o dichiarato conforme, che non siano state riscontrate durante il processo di valutazione, e non ottemperi agli obblighi riguardanti il modo in cui segnalare e trattare le vulnerabilita' previste per lo specifico sistema di certificazione ai sensi dell'articolo 54, paragrafo 1, lettera m), del Regolamento. 9. Salvo che il fatto costituisca reato, il fabbricante o fornitore che non renda disponibile, per il periodo stabilito ai sensi dell'articolo 54, paragrafo 1, lettera q), del Regolamento, la dichiarazione UE di conformita' o la documentazione tecnica o tutte le altre informazioni pertinenti o non trasmetta una copia della dichiarazione UE di conformita' all'Agenzia o ad ENISA ai sensi dell'articolo 53, paragrafo 3, del Regolamento ovvero non renda disponibili pubblicamente una o piu' delle informazioni previste ai sensi dell'articolo 55 del Regolamento o non rispetti il formato o le procedure di aggiornamento delle stesse informazioni ai sensi dell'articolo 54, paragrafo 1, lettera v), del Regolamento o pubblichi informazioni non corrette sui certificati detenuti o sulle dichiarazioni UE di conformita' emesse, e' assoggettato alla sanzione del pagamento di una somma da 30.000 euro a 150.000 euro. Alla medesima sanzione e' assoggettato il fornitore o fabbricante che non comunichi la revisione o la revoca di una dichiarazione UE di conformita' ai sensi dell'articolo 7, comma 3, del presente decreto. 10. Salvo che il fatto costituisca reato, l'organismo di valutazione della conformita' che non ottempera agli obblighi di divulgazione dei certificati europei di cybersicurezza rilasciati, modificati o revocati come previsto nell'ambito dello specifico sistema di certificazione, ai sensi dell'articolo 54, paragrafo 1, lettera s), del Regolamento, nonche' secondo le modalita' di cui all'articolo 5, comma 6, e' assoggettato alla sanzione del pagamento di una somma da 30.000 euro a 150.000 euro. Alla medesima sanzione e' assoggettato l'organismo di valutazione della conformita' autorizzato dall'Agenzia ai sensi dell'articolo 60, paragrafo 3, del Regolamento, che non specifichi nella procedura per i reclami definita ai sensi dell'articolo 11, comma 2, l'inoltro degli stessi per conoscenza anche all'Agenzia. 11. Salvo che il fatto costituisca reato, nel caso di accertamento di esercizio di organismo di valutazione della conformita' senza autorizzazione di cui all'articolo 60, paragrafo 3, del Regolamento si applica la sanzione del pagamento di una somma da 120.000 euro a 600.000 euro e al soggetto non possono essere rilasciate ulteriori autorizzazioni nei successivi tre anni dall'accertamento della violazione. Se l'autorizzazione e' scaduta da meno di un anno la sanzione e' compresa tra 30.000 euro e 150.000 euro ed il soggetto puo' richiedere il rilascio di nuova autorizzazione. 12. Salvo che i fatti costituiscano reato, il richiedente di una certificazione che nell'ambito dello svolgimento dell'attivita' di valutazione e di rilascio dei certificati, scientemente, fornisce dati, informazioni o documentazione falsi o ometta informazioni necessarie per espletare la certificazione, in violazione dell'articolo 54, paragrafo 1, lettera h), e dell'articolo 56, paragrafo 7, del Regolamento, e' assoggettato alla sanzione del pagamento di una somma da 90.000 euro a 450.000 euro. Alla medesima sanzione e' assoggettato il soggetto che, scientemente, durante le verifiche di vigilanza, a cui e' sottoposto, ai sensi dell'articolo 5, comma 8, fornisce dati, informazioni o documentazione falsi. 13. Salvo che il fatto costituisca reato, il fabbricante che viola le condizioni di utilizzo degli eventuali marchi o etichette previste da un sistema europeo di certificazione, ai sensi dell'articolo 54, paragrafo 1, lettera i), del Regolamento, e' assoggettato alla sanzione del pagamento di una somma da 30.000 euro a 150.000 euro. 14. Salvo che il fatto costituisca reato, l'organismo di valutazione della conformita' che non ottempera agli eventuali obblighi riguardanti la conservazione dei registri di cui all'articolo 54, paragrafo 1, lettera n), del Regolamento, e' assoggettato alla sanzione del pagamento di una somma da 45.000 euro a 225.000 euro. 15. L'Agenzia puo' impartire ordini o intimare diffide ai soggetti che operano in contrasto con quanto previsto dal quadro europeo di certificazione. Ai soggetti che non ottemperano nel termine indicato nell'ordine o nella diffida l'Agenzia commina la sanzione del pagamento di una somma da 200.000 euro ad 1.000.000 di euro. Se le violazioni riguardano provvedimenti adottati dall'Agenzia nei confronti di soggetti con fatturato pari almeno a 200.000.000 euro, si applica a ciascun soggetto interessato una sanzione amministrativa pecuniaria non inferiore allo 0,3 per cento e non superiore all'1,5 per cento del fatturato, restando comunque fermo il limite massimo di 5.000.000 di euro. Come riferimento per il fatturato si assume il valore realizzato dallo stesso soggetto nell'esercizio precedente a quello in cui sia stato impartito l'ordine o sia stata intimata la diffida. 16. Fermo restando il limite massimo di 5.000.000 di euro per la sanzione, i valori minimi e massimi delle sanzioni pecuniarie dal comma 2 al comma 15, sono triplicati, se la violazione ha riguardato un certificato relativo ad un prodotto TIC, ad un servizio TIC o ad un processo TIC rilasciato nell'ambito di un sistema di certificazione destinato, ai sensi dell'articolo 54, paragrafo 1, lettere a) o b), del Regolamento, all'utilizzo con le finalita' o nell'ambito di un servizio essenziale ai sensi dell'allegato II del decreto legislativo 18 maggio 2018, n. 65, o di un servizio di comunicazione elettronica ai sensi dell'articolo 2, comma 1, lettera fff), del decreto legislativo 1° agosto 2003, n. 259. 17. I criteri di graduazione nell'irrogazione delle sanzioni pecuniarie sono definiti con successivo provvedimento dell'Agenzia, adottato secondo la procedura di cui all'articolo 5, comma 3, alinea, del decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223. Nelle more dell'adozione del provvedimento di definizione dei criteri di graduazione si applicano i criteri di cui all'articolo 11 della legge 24 novembre 1981, n. 689. 18. Fermo restando il limite massimo di 5.000.000 di euro per la sanzione, le sanzioni amministrative pecuniarie previste ai commi dal 2 al 14 sono rivalutate ogni cinque anni con provvedimento dell'Agenzia, adottato secondo la procedura di cui all'articolo 5, comma 3, alinea, del regolamento adottato con decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223, in misura pari all'indice ISTAT dei prezzi al consumo previo arrotondamento all'unita' di euro secondo il seguente criterio: se la parte decimale e' inferiore a 50 centesimi l'arrotondamento va effettuato per difetto, se e' uguale o superiore a 50 centesimi l'arrotondamento va effettuato per eccesso. L'importo della sanzione pecuniaria rivalutato secondo i predetti criteri si applica esclusivamente per le violazioni commesse successivamente alla data di entrata in vigore del provvedimento che lo prevede. 19. L'autorizzazione di un organismo di valutazione della conformita' ad operare nel sistema europeo di certificazione ai sensi dell'articolo 60, paragrafo 3, del Regolamento, ove prevista, e' sospesa per 6 mesi o revocata nel caso di piu' di due violazioni del quadro europeo di certificazione rispettivamente in un quinquennio o in un biennio. In caso di revoca dell'autorizzazione, il trasgressore non puo' ottenere nuova autorizzazione nei successivi cinque anni dal provvedimento di revoca. 20. L'Agenzia notifica alla Commissione europea il quadro sanzionatorio di cui al presente articolo entro sessanta giorni dalla data di entrata in vigore del presente decreto e provvede poi a dare notifica delle eventuali modifiche entro sessanta giorni successivi alle stesse.
Note all'art. 10: - Per il testo dell'articolo 7, comma 1, lettera e), del decreto-legge 14 giugno 2021, n. 82, si rimanda nelle note alle premesse. - Per i riferimenti alla legge 24 novembre 1981, n. 689, si rimanda nelle note alle premesse. - Per i riferimenti al decreto legislativo 18 maggio 2018, n. 65, si rimanda nelle note all'articolo 5. - Per il testo dell'articolo 2, comma 1, lettera fff), del decreto legislativo 1° agosto 2003, n. 259, si rimanda nelle note all'articolo 5. - Per il testo dell'articolo 5, comma 3, del decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223, si rimanda nelle note all'articolo 4. - Si riporta il testo dell'articolo 11 della citata legge 24 novembre 1981, n. 689: «Art. 11 (Criteri per l'applicazione delle sanzioni amministrative pecuniarie). - Nella determinazione della sanzione amministrativa pecuniaria fissata dalla legge tra un limite minimo ed un limite massimo e nell'applicazione delle sanzioni accessorie facoltative, si ha riguardo alla gravita' della violazione, all'opera svolta dall'agente per la eliminazione o attenuazione delle conseguenze della violazione, nonche' alla personalita' dello stesso e alle sue condizioni economiche.». - Per il testo all'articolo 5, comma 3, del decreto del Presidente del Consiglio dei ministri 9 dicembre 2021, n. 223, si rimanda nelle note all'articolo 4.