Lexipedia

20.4594 · Postulato · 2020-12-17

Dipartimento della difesa, della protezione della popolazione e dello sport

Liquidato

Wortlaut

Il Consiglio federale è incaricato di esaminare in che misura l'hackeraggio etico possa essere istituzionalizzato come principio per aumentare la cibersicurezza e promosso nell'Amministrazione federale e nelle imprese parastatali con le seguenti misure.

1. L'Amministrazione federale e le imprese parastatali elaborano direttive per la divulgazione ("vulnerability disclosure guidelines") che prevedano una procedura chiaramente regolamentata per individuare le falle di sicurezza nei sistemi di trattamento dei dati e garantiscano la divulgazione coordinata ("coordinated disclosure") da parte di terzi.

In particolare, le direttive definiscono quali sistemi devono essere controllati, quali test sono consentiti a tal fine e dove può essere segnalata una falla. Tali direttive creano la certezza del diritto per i cosiddetti hacker etici disciplinando la rinuncia al procedimento penale se questi ultimi rispettano le condizioni previste nelle direttive.

2. Le imprese fanno verificare in modo proattivo i loro sistemi di trattamento dei dati attraverso programmi cosiddetti "bug bounty" affinché vengano individuate le vulnerabilità. Sono esclusi i sistemi classificati. Siccome il successo di questi programmi dipende generalmente dai premi offerti, i budget delle imprese statali e parastatali dovranno essere adeguati di conseguenza.

3. Il Centro nazionale per la cibersicurezza (NCSC) sostiene attivamente questo processo e ne segue l'attuazione.

Begründung

La digitalizzazione sostenibile richiede elevati standard di sicurezza. Una protezione coerente dei sistemi informatici aumenta il livello generale di sicurezza e la reputazione della piazza economica in qualità di centro sicuro di stoccaggio dei dati. A tale scopo è indispensabile individuare ed eliminare sistematicamente le vulnerabilità nei sistemi informatici. È qui che gli hacker etici (i ricercatori in materia di sicurezza) svolgono un ruolo importante. Cercano le vulnerabilità del sistema con l'intento di migliorare la sicurezza della rete e correggere le lacune riscontrate durante i test. Finora in Svizzera il potenziale dell'hackeraggio etico è stato poco sfruttato.

Le direttive per la divulgazione forniscono agli hacker etici il quadro di riferimento in cui procedere per individuare una vulnerabilità e poter così dare il loro contributo nel colmare la lacuna. Le direttive segnalano l'interesse delle imprese a collaborare con gli hacker etici, che altrimenti correrebbero un rischio a livello giuridico. Secondo il diritto svizzero, essi sono potenzialmente perseguibili se accedono a un sistema di trattamento dei dati.

È quindi essenziale che le direttive disciplinino chiaramente le condizioni per l'esclusione della punibilità. Inoltre, è nell'interesse sia dell'impresa sia degli hacker etici che venga concordata una divulgazione coordinata per informare il pubblico una volta colmata la lacuna. In particolare nei Paesi Bassi tali direttive si dimostrano efficaci da anni.

Con i programmi "bug bounty" gli hacker etici analizzano sistematicamente un sistema di sicurezza su richiesta delle imprese e cercano così in modo mirato le vulnerabilità.

Le imprese statali e quelle parastatali hanno un ruolo esemplare da svolgere per l'economia e la società. Istituzionalizzando l'hackeraggio etico, esse segnaleranno la loro ferma volontà di difendere i propri sistemi informatici.

Antrag des Bundesrates

Il Consiglio federale propone di accogliere il postulato.

Stellungnahme des Bundesrates

Il Consiglio federale propone di accogliere il postulato.