Ordinanza sui sistemi di gestione delle identità e sui servizi di elenchi della Confederazione (OIAM)

La presente ordinanza disciplina le competenze, il trattamento e la comunicazione di dati personali e i requisiti in materia di sicurezza delle informazioni per i sistemi di gestione delle identità (sistemi IAM ⁷ ), i servizi di elenchi e l’archivio centralizzato delle identità della Confederazione.

Gli articoli 24 e 25 LSIn e la presente ordinanza si applicano:

1. alle unità amministrative dell’Amministrazione federale centrale secondo l’articolo 7 dell’ordinanza del 25 novembre 1998⁹ sull’organizzazione del Governo e dell’Amministrazione (OLOGA);
2. all’esercito.

L’applicabilità della presente ordinanza alle unità amministrative dell’Amministrazione federale decentralizzata secondo l’articolo 2 capoverso 3 LOGA e alle organizzazioni secondo l’articolo 2 capoverso 4 LOGA si fonda sull’articolo 2 capoverso 2 lettera b e 3 dell’ordinanza dell’8 novembre 2023 ¹⁰ sulla sicurezza delle informazioni (OSIn).

Lo scopo di un sistema IAM consiste nell’amministrare in modo raggruppato i dati sull’identità e sui diritti di persone, macchine e sistemi per metterli a disposizione, su richiesta, di sistemi a valle e di altri sistemi IAM.

I sistemi a valle sono applicazioni specifiche oppure sistemi che consentono di accedere a informazioni, strumenti informatici, locali e altre infrastrutture.

In quanto sistema a monte, il sistema IAM verifica l’identità e determinate caratteristiche, rilevanti ai fini dei diritti, di persone, macchine e sistemi che vogliono accedere a un sistema a valle e ne trasmette il risultato al sistema d’informazione a valle affinché possa accertare tali diritti.

Lo scopo di un servizio di elenchi consiste nel gestire informazioni sugli utenti delle infrastrutture della Confederazione al fine di identificare le persone e amministrare i dispositivi, le connessioni, i dati relativi ai contatti e simili a loro assegnati.

I seguenti organi federali sono responsabili dei sottostanti sistemi IAM dell’Amministrazione federale centrale:

1. il settore Trasformazione digitale e governance delle TIC della Cancelleria federale (settore TDT) per:¹²1.tutti i sistemi IAM offerti come servizi standard o esplicitamente attribuiti al settore TDT¹³ inclusa la relativa messa a disposizione dei Cantoni e dei Comuni nonché delle organizzazioni e delle persone di diritto pubblico o privato conformemente all’articolo 11 capoverso 3 LMeCA,2.tutti i sistemi IAM dei processi di supporto legati a finanze, acquisti, immobili e logistica, compresi i collegamenti cloud;
2. la Direzione delle risorse del Dipartimento federale degli affari esteri (DFAE) per il sistema IAM gestito dall’unità Informatica DFAE;
3. la Segreteria generale del Dipartimento federale della difesa, della protezione della popolazione e dello sport per i sistemi IAM gestiti dall’Aggruppamento Difesa (Aggruppamento D);
4. l’Amministrazione federale delle finanze per il sistema IAM gestito in seno all’Ufficio centrale di compensazione per il trattamento dei sistemi di assicurazioni sociali del 1° pilastro e il relativo supporto ai processi;
5. la Segreteria generale del Dipartimento federale dell’economia, della formazione e della ricerca (DEFR) per il sistema IAM gestito presso il Centro servizi informatici DEFR (CSIeco);
6. l’Ufficio federale delle strade per il suo sistema IAM destinato all’esercizio degli equipaggiamenti di esercizio e sicurezza delle strade nazionali.

Provvedono affinché la liceità del trattamento dei dati personali nei sistemi IAM dei quali sono responsabili sia verificata almeno ogni quattro anni da un servizio esterno.

I seguenti organi federali sono responsabili dei sottostanti sistemi IAM:

1. l’Aggruppamento D per i sistemi IAM dell’esercito;
2. le rispettive unità amministrative per i sistemi IAM dell’Amministrazione federale decentralizzata;
3. le rispettive organizzazioni per i sistemi IAM delle organizzazioni secondo l’articolo 2 capoverso 4 LOGA.

Le autorità assoggettate secondo l’articolo 2 capoverso 1 lettere a e c–e LSIn, alle quali la presente ordinanza si applica secondo l’articolo 84 capoverso 3 LSIn, stabiliscono quali sono gli organi federali responsabili nel loro settore.

La responsabilità del sistema a valle, in particolare dell’accesso ad esso, rimane al servizio tecnico cui spetta la relativa competenza.

Gli organi federali responsabili dei servizi di elenchi esterni ai sistemi IAM sono:

1. ¹⁴ per i mezzi TIC messi a disposizione a livello centralizzato dal settore TDT: il settore TDT;
2. per gli altri elenchi, i fornitori di prestazioni informatiche che gestiscono tali sistemi, più precisamente:1.l’unità Informatica DFAE della Direzione delle risorse del DFAE,2.il Centro servizi informatici del Dipartimento federale di giustizia e3.¹⁵l’Aggruppamento D,4.l’Ufficio federale dell’informatica e della telecomunicazione (UFIT),5.il CSIeco.

Le persone interessate fanno valere i propri diritti relativi ai sistemi IAM e ai servizi di elenchi presso i seguenti servizi:

1. diritto di lettura: presso gli organi responsabili;
2. ¹⁶ diritto di correzione e cancellazione dei dati:1.presso il servizio del personale della loro unità amministrativa od organizzazione oppure presso il servizio competente per l’aggiornamento dei loro dati,2.nel caso di cui all’articolo 9 lettera b: presso gli organi responsabili.

Nei sistemi IAM e nei servizi di elenchi possono essere trattati dati relativi alle seguenti persone:

1. collaboratori dell’Amministrazione federale centrale secondo l’articolo 7 OLOGA¹⁷;
2. collaboratori dell’Amministrazione federale decentralizzata secondo l’articolo 7a OLOGA;
3. membri dell’Assemblea federale e collaboratori dei Servizi del Parlamento secondo il titolo quarto, capitolo 7 della legge del 13 dicembre 2002¹⁸ sul Parlamento;
4. persone elette dall’Assemblea federale secondo l’articolo 168 della Costituzione federale¹⁹;
5. collaboratori del Tribunale federale, del Tribunale amministrativo federale, del Tribunale penale federale e del Tribunale federale dei brevetti, sempre che la legislazione non preveda diversamente;
6. collaboratori del Ministero pubblico della Confederazione secondo gli articoli 7–22 della legge del 19 marzo 2010²⁰ sull’organizzazione delle autorità penali (LOAP);
7. collaboratori della segreteria dell’autorità di vigilanza sul Ministero pubblico della Confederazione secondo l’articolo 27 capoverso 2 LOAP;
8. ²¹ militari e militi della protezione civile.

Inoltre possono essere trattati dati di collaboratori delle seguenti imprese a condizione che essi siano regolarmente in contatto con i servizi di cui al capoverso 1:

1. Ferrovie federali svizzere;
2. La Posta Svizzera;
3. RUAG;
4. Istituto nazionale svizzero di assicurazione contro gli infortuni.

Nei sistemi IAM e nei servizi di elenchi possono essere inoltre trattati dati sulle seguenti persone:

1. persone esterne che svolgono attività per i servizi di cui ai capoversi 1 o 2;
2. persone esterne che per altri motivi hanno accesso a informazioni, strumenti informatici, locali e altre infrastrutture dell’Amministrazione federale.

Oltre ai dati di cui all’articolo 8, nei sistemi IAM possono essere trattati dati delle persone seguenti:

1. collaboratori di autorità cantonali o comunali se queste persone utilizzano sistemi informatici messi a disposizione dalla Confederazione;
2. ²² privati e rappresentanti di organizzazioni che accedono a sistemi informatici, come le applicazioni per il Governo elettronico, messi a disposizione dalla Confederazione o, per l’esecuzione del diritto cantonale, dai Cantoni e dai Comuni nonché dalle organizzazioni e dalle persone di diritto pubblico o privato.

Oltre ai dati di cui all’articolo 8, nei servizi di elenchi possono essere trattati dati di collaboratori di autorità cantonali o comunali nonché di altre imprese vicine alla Confederazione diverse da quelle menzionate nell’articolo 8 capoverso 2, che utilizzano un certificato digitale della Confederazione.

Nei sistemi IAM, nei servizi di elenchi e nell’archivio centralizzato delle identità di cui all’articolo 13 possono essere trattati dati personali conformemente all’allegato.

In questi sistemi non può essere effettuata alcuna profilazione secondo l’articolo 5 lettere f e g della legge federale del 25 settembre 2020 ²³ sulla protezione dei dati. ²⁴

In assenza di una base legale specifica in materia, in questi sistemi non possono essere trattati dati personali degni di particolare protezione. È fatto salvo il trattamento di dati biometrici con sistemi IAM per l’identificazione delle persone in funzione dei rischi secondo gli articoli 8 e 9 lettera a (art. 20 cpv. 2 LSIn). ²⁵

I dati riguardanti persone secondo l’articolo 8 che nell’allegato sono contrassegnati con un asterisco possono essere pubblicati in un elenco di persone accessibile a tutti coloro che vi sono riportati.

I sistemi IAM e i servizi di elenchi possono ottenere automaticamente dati delle persone registrate nel sistema d’informazione per la gestione dei dati del personale (SIGDP) conformemente all’articolo 34 dell’ordinanza del 22 novembre 2017 ²⁶ sulla protezione dei dati personali del personale federale. ²⁷

Possono ottenere automaticamente dai rispettivi servizi di cui all’articolo 8 dati di persone non registrate in SIGDP ²⁸ , a condizione che il gruppo di persone interessato necessiti di principio l’accesso a sistemi d’informazione o ad altre risorse della Confederazione.

Possono ottenere automaticamente dai singoli sistemi d’informazione dati di persone esterne che accedono regolarmente alle risorse della Confederazione.

Possono ottenere automaticamente dati di persone esterne dai sistemi IAM esterni collegati ai sistemi IAM della Confederazione secondo gli articoli 21–24. ²⁹

L’UFIT gestisce un archivio centralizzato delle identità per distribuire dati degli utenti ai diversi sistemi IAM e ai servizi di elenchi. In questo archivio possono essere trattati tutti i dati personali conformemente all’allegato. L’organo federale responsabile è il settore TDT.

La SIGDP trasmette regolarmente, se disponibili, i dati conformemente all’allegato all’archivio centralizzato delle identità. Tutti i dati personali ottenuti automaticamente dalla SIGDP sono distribuiti mediante questo archivio. Fanno eccezione i dati personali di base nel sistema SAP standard ottenuti direttamente per i sistemi SAP autorizzati.

I dati personali secondo l’articolo 8 capoverso 1 lettera c e capoverso 3 sono messi a disposizione dei Servizi del Parlamento affinché possano essere ripresi e armonizzati.

I dati possono essere messi a disposizione automaticamente di altri sistemi d’informazione interni alla Confederazione per essere ripresi e armonizzati a condizione che il sistema interessato:

1. ³⁰ sia dotato di una base legale che prevede il trattamento dei dati da mettere a disposizione e di un regolamento per il trattamento secondo l’articolo 6 dell’ordinanza del 31 agosto 2022³¹ sulla protezione dei dati (OPDa); e
2. sia notificato all’Incaricato federale della protezione dei dati e della trasparenza secondo l’articolo 12 capoverso 4 della legge federale del 25 settembre 2020³² sulla protezione dei dati (LPD).³³

Il numero AVS è messo a disposizione a condizione che la sua utilizzazione sia annunciata all’Ufficio centrale di compensazione secondo l’articolo 134 ^ter dell’ordinanza del 31 ottobre 1947 ³⁴ sull’assicurazione per la vecchiaia e per i superstiti. ³⁵

I dati necessari per la pubblicazione nell’Annuario federale secondo l’articolo 5 dell’ordinanza del 29 ottobre 2008 ³⁶ sull’organizzazione della Cancelleria federale sono trasmessi regolarmente alla Cancelleria federale.

Se una persona non rientra più nel campo d’applicazione della presente ordinanza, i suoi dati nei sistemi IAM e nei servizi di elenchi sono distrutti al più tardi dopo due anni.

Sono fatte salve le disposizioni sulla distruzione dei dati biometrici secondo l’articolo 20 capoverso 2 LSIn. ³⁷

Se un sistema d’informazione in precedenza autonomo viene connesso a un sistema IAM e se a quest’ultimo viene affidata la verifica delle identità e di determinate proprietà personali rilevanti ai fini dei diritti, i relativi dati personali possono essere importati nel sistema IAM.

Nel sistema IAM, per ogni sistema d’informazione a valle deve essere tenuto un elenco dei dati personali che possono essere comunicati al sistema d’informazione a valle in base alla presente ordinanza e alle basi legali del sistema a valle.

Il sistema IAM autentica persone, macchine o sistemi che richiedono l’accesso a un sistema d’informazione a valle, verifica i dati necessari concernenti l’identità e le altre proprietà e attestazioni necessarie e trasmette al sistema a valle il risultato di tale verifica con i dati concernenti l’identità, le proprietà e le attestazioni rilevati.

Se un sistema d’informazione della Confederazione è gestito su mandato di quest’ultima da un gestore esterno oppure se persone di cui all’articolo 8 capoversi 1 o 3 lettera a devono accedere a sistemi d’informazione esterni, i dati personali necessari a tale fine possono essere comunicati in modo automatizzato al gestore esterno a partire da sistemi d’informazione concernenti il personale, dall’archivio centralizzato delle identità o da sistemi IAM.

A tal fine il servizio competente del sistema d’informazione gestito esternamente o che necessita l’accesso al sistema d’informazione esterno formula una richiesta scritta, specificando le persone interessate, e la invia tramite il consulente per la protezione dei dati competente all’organo federale responsabile del sistema d’informazione che fornisce i dati richiesti. ³⁸

Nella richiesta il servizio responsabile secondo il capoverso 2 si impegna per scritto a rispettare la legislazione federale sulla protezione dei dati, a utilizzare i dati esclusivamente per lo scopo previsto e a proteggerli conformemente allo stato della tecnica. All’organo federale responsabile del sistema d’informazione che fornisce i dati richiesti deve essere accordato un diritto di ispezione.

Le persone interessate devono essere previamente informate.

I gestori interni ed esterni di componenti di un sistema IAM e di un servizio di elenchi devono disporre di direttive scritte sulla sicurezza delle informazioni e sulla gestione dei rischi. In particolare, ogni organo responsabile secondo la presente ordinanza di un sistema o di un servizio di elenchi emana un regolamento per il trattamento secondo l’articolo 6 OPDa ⁴⁰ . ⁴¹

I sistemi IAM e i servizi di elenchi che non sono gestiti da servizi secondo l’articolo 2 o su loro mandato, possono essere collegati a sistemi IAM o servizi di elenchi interni alla Confederazione soltanto se soddisfano i requisiti minimi in materia di sicurezza delle informazioni. ⁴²

Per accedere a determinati sistemi d’informazione il servizio competente o il settore TDT possono esigere il rispetto di requisiti più severi e la presenza di determinate certificazioni.

Il settore TDT disciplina in istruzioni i requisiti in materia di sicurezza e le procedure da rispettare.

Per verificare l’identità del richiedente, l’emittente di uno strumento di identificazione può esigere l’esibizione del passaporto, della carta d’identità svizzera o di un documento d’identità riconosciuto per l’ingresso in Svizzera.

Può registrare una foto o una firma del richiedente oppure può utilizzare foto o firme già memorizzate nel sistema per confrontarle con il documento d’identità.

I dati utilizzati per l’identificazione sono salvati insieme a quelli relativi allo strumento di identificazione. Se i requisiti in materia di sicurezza concernenti lo strumento di identificazione interessato lo esigono, può essere salvata anche una copia dei documenti d’identità utilizzati per l’identificazione.

I sistemi IAM della Confederazione possono essere collegati tra loro e con i sistemi IAM esterni di cui all’articolo 21 al fine di costituire un sistema globale.

I seguenti sistemi esterni IAM possono essere collegati ai sistemi IAM della Confederazione per consentire l’accesso delle persone ivi registrate alle risorse della Confederazione, sempre che siano soddisfatte le condizioni e le procedure secondo gli articoli 22 e 23 e i loro gestori s’impegnino a rispettare la presente ordinanza e le direttive emanate in virtù della stessa oppure, nel caso dei Cantoni, tali sistemi garantiscano una sicurezza delle informazioni almeno equivalente:⁴⁴

1. ⁴⁵ sistemi IAM comprendenti collaboratori cantonali e comunali secondo l’articolo 9 lettera a e i sistemi IAM del Principato del Liechtenstein;
2. sistemi IAM riconosciuti dal settore TDT previsti per la rete per le identificazioni nell’ambito del Governo elettronico;
3. sistemi IAM esteri o reti estere per le identificazioni il cui collegamento è previsto in un trattato internazionale; oppure
4. registri degli attributi che mettono a disposizione per l’utilizzo dati relativi alle funzioni professionali conformemente alla lettera b dell’allegato.

Il servizio competente invia la richiesta di collegamento di un sistema IAM esterno a un sistema IAM della Confederazione all’organo federale responsabile secondo l’articolo 5.

La richiesta contiene in particolare:

1. lo scopo del collegamento;
2. le basi legali e le altre regolamentazioni relative al sistema da collegare;
3. una descrizione tecnica del sistema da collegare;
4. i documenti che comprovano il rispetto dei requisiti in materia di sicurezza dell’informazione secondo l’articolo 18 capoverso 2 o 3;
5. un parere favorevole del dipartimento competente;
6. il parere a sostegno espresso da almeno un servizio responsabile di un sistema a valle al quale si intende accedere attraverso il sistema IAM da collegare.

La decisione in merito alla richiesta di collegamento spetta all’organo federale responsabile del sistema IAM della Confederazione interessato.

Se il sistema IAM esterno deve essere collegato, oltre al sistema IAM direttamente collegato, anche ad altri sistemi IAM della Confederazione, per l’approvazione della richiesta è necessario il consenso del settore TDT.

L’organo federale responsabile stipula l’accordo con il servizio richiedente, ne informa il settore TDT e conferisce il mandato per il collegamento al fornitore di prestazioni competente.

Le richieste di modiche o disattivazioni sono trattate analogamente alle richieste di collegamento.

I sistemi IAM della Confederazione possono essere collegati, in qualità di fornitori di informazioni inerenti all’identificazione e all’autenticazione, a un sistema IAM esterno o a una rete esterna per le identificazioni alle seguenti condizioni:

1. ⁴⁶ il collegamento serve a concedere alle persone di cui agli articoli 8 o 9 l’accesso:1.ai sistemi d’informazione gestiti da un gestore esterno su mandato della Confederazione o a sistemi d’informazione terzi ai quali devono accedere per poter eseguire i loro compiti legali, oppure2.ai sistemi d’informazione, come le applicazioni per il Governo elettronico, messi a disposizione per l’esecuzione del diritto cantonale dai Cantoni e dai Comuni nonché dalle organizzazioni e dalle persone di diritto pubblico o privato;
2. tra la Confederazione e il gestore del sistema d’informazione beneficiario esiste un accordo che disciplina il rapporto sotto il profilo legale, organizzativo e tecnico;
3. il collegamento è configurato in modo da permettere unicamente un accesso a sistemi d’informazione predefiniti.

Il settore TDT disciplina in istruzioni i requisiti da soddisfare in materia di sicurezza, d’intesa con l’organo responsabile per il corrispondente sistema IAM, e periodicamente ne verifica il rispetto.

È altresì possibile partecipare a una rete internazionale per le identificazioni sulla base di un trattato internazionale a condizione che sia garantito il rispetto dei requisiti in materia di sicurezza delle informazioni.

Il sistema IAM verbalizza le autenticazioni e la comunicazione di dati concernenti l’identità solo per il tempo e nella misura necessari per consentire una gestione sicura e ordinata dei propri sistemi e dei sistemi a valle.

I dati verbalizzati sono conservati separatamente dal sistema in cui sono trattati i dati personali e distrutti entro due anni. Essi non sono archiviati. ⁴⁷

È fatta salva una verbalizzazione più dettagliata, una conservazione prolungata o un’archiviazione dei dati protocollati concernenti gli accessi a un determinato sistema d’informazione se lo prevede su una base legale particolare.

I gestori di sistemi IAM della Confederazione possono trasmettere al servizio competente del sistema a valle i dati verbalizzati inerenti all’autenticazione e alla comunicazione di dati concernenti l’identità.

A tal fine, tramite il consulente per la protezione dei dati, deve essere inviata all’organo responsabile del sistema IAM una richiesta scritta in cui vengono indicati lo scopo e la base legale. La trasmissione può essere concordata in maniera analoga anche nell’accordo di gestione stipulato tra l’organo responsabile e il gestore del sistema IAM. ⁴⁸

In base ai principi vigenti per l’ottenimento di servizi informatici in seno alla Confederazione la trasmissione può essere soggetta a pagamento.

Per far fronte alle esigenze del servizio competente del sistema IAM o del sistema d’informazione a valle possono essere elaborate statistiche sugli accessi. I dati personali devono essere resi anonimi.

Ogni organo che secondo la presente ordinanza è responsabile di un sistema IAM, un servizio di elenchi o un altro sistema d’informazione tiene un inventario su:

1. i propri sistemi IAM e i propri servizi di elenchi;
2. i sistemi d’informazione da cui sono ottenuti automaticamente dati;
3. i sistemi d’informazione i cui dati sono messi a disposizione automaticamente;
4. tutti i sistemi IAM con cui è collegato il proprio sistema IAM.

I documenti e i giustificativi importanti, in particolare le richieste secondo la presente ordinanza, devono essere conservati almeno finché sono validi.

Il settore TDT emana le istruzioni amministrative e tecniche per realizzare e gestire i sistemi IAM della Confederazione.

L’ordinanza del 6 dicembre 2013 ⁴⁹ sui servizi di elenchi della Confederazione è abrogata.

La presente ordinanza entra in vigore il 1° gennaio 2017.