21.4163 · Interpellanza · 2021-09-30
Cancelleria federale
Liquidato
Wortlaut
Come è stato recentemente annunciato, Amazon, IBM, Oracle, Microsoft e Alibaba si sono aggiudicati il concorso OMC (20007) 608 "Cloud pubblico della Confederazione".Anche il progetto CEBA agil (Project Cloud Enabling BA) è collegato al cloud di Microsoft. Questo progetto è finalizzato a ottenere servizi Office dal cloud in futuro.In questo contesto, chiedo al Consiglio federale di rispondere alle seguenti domande:1. Attaverso l'applicazione vengono trasmessi a Microsoft dati telemetrici o dati specifici dell'utente? Se sì, quali?2. I dipendenti formuleranno gli acquisti anche sul Cloud M365. È garantito che nessun metadato passerà a Microsoft?3. È garantito che i server possano essere utilizzati in ogni momento?4. Office 365 riconosce automaticamente i documenti confidenziali o segreti? Se sì, esiste un algoritmo in background che analizza tutti i documenti dal profilo dei loro contenuti? Dove vengono elaborati questi contenuti?5. Il Consiglio federale ha considerato la possibilità di dotarsi di un'infrastruttura cloud indipendente per la Svizzera?
Stellungnahme des Bundesrates
1. Microsoft persegue la strategia "Cloud first" e ha annunciato che offrirà applicazioni soltanto in versione cloud. Questo pone questioni fondamentali per l'Amministrazione federale, che impiega software di Microsoft. Per affrontare questa sfida tempestivamente l'Amministrazione federale ha lanciato il progetto "Cloud Enabling Office Automation" (CEBA). Il progetto CEBA elabora la messa a punto e valuta l'eventualità di utilizzare in futuro Microsoft 365 (M365), che Microsoft fornisce sotto forma di "Software as a Service" (SaaS). Nell'ambito di questo progetto ci si prefigge di esaminare se l'eventuale utilizzazione futura dei servizi di cloud di Microsoft possa essere coordinata con la strategia cloud dell'Amministrazione federale e in particolare se possa venire adattata ai requisiti in materia di protezione dei dati e delle informazioni. Saranno analizzate le basi legali ed elaborati anche un piano di sicurezza dell'informazione e di protezione dei dati nonché un'analisi dei rischi.La fase concettuale del progetto CEBA non è ancora terminata. Il Consiglio federale non è pertanto ancora in grado di dare una risposta compiuta alla domanda se e quali dati, in caso di utilizzazione futura, verranno effettivamente salvati sul cloud pubblico di Microsoft. In generale vale quanto segue: per poter utilizzare i software, occorre aprire conti utente nel cloud pubblico di Microsoft. Normalmente, creando l'account e utilizzando le applicazioni e i servizi di M365, vengono salvati nel cloud pubblico di Microsoft dati telemetrici e dati specifici dell'utente quali il nome utente, il cognome, il nome, l'indirizzo di posta elettronica e i dati di connessione (data, utente, indirizzo IP, posizione). Quando i documenti sono memorizzati in Microsoft Teams, in generale vengono salvati anche i metadati degli utenti.Nell'ambito dell'elaborazione concettuale di CEBA è stata allestita "CEBA agil", una piattaforma di prova separata dall'infrastruttura della Confederazione che consente ai collaboratori dell'Amministrazione federale di utilizzare Microsoft Teams e di acquisire le prime esperienze nell'uso dei prodotti basati su cloud di Microsoft. In questo contesto sono salvati nel cloud dati non degni di particolare protezione. Si tratta principalmente dei nomi e degli indirizzi di posta elettronica dei collaboratori che partecipano al test. Gli utenti non possono salvare sulla piattaforma di prova dati degni di particolare protezione, documenti confidenziali e neppure dati che sottostanno al segreto d'ufficio.2. Nell'ambito del progetto CEBA vengono esaminati anche meccanismi tecnici e di cifratura intesi a garantire il trattamento sicuro dei dati degni di protezione - che possono includere informazioni sugli appalti - anche nei cloud esterni. I risultati non sono ancora disponibili.3. La disponibilità di Microsoft 365 come soluzione "Software as a Service" è concordata contrattualmente. Nell'ambito del progetto CEBA la Confederazione esamina anche la possibilità per l'Amministrazione federale di fare una copia (backup) dei dati salvati in M365. Vengono inoltre elaborati scenari per garantire la gestione della continuità degli affari.4. Le applicazioni M365 possono riconoscere documenti classificati soltanto se l'utente vi ha registrato le informazioni corrispondenti. Le misure di protezione (p. es. mediante cifratura) per i dati classificati e per i dati personali sono analizzate durante la fase concettuale. Soltanto dopo questa fase si deciderà se M365 potrà essere utilizzato in modo produttivo. Resta altresì da decidere se la piattaforma potrà essere utilizzata anche per il trattamento di informazioni classificate CONFIDENZIALI. Si esclude il trattamento su un cloud pubblico delle informazioni classificate SEGRETE. L'accesso di Microsoft ai dati dei clienti nel cloud SaaS è disciplinato dalle disposizioni contrattuali e legali che si applicano nel singolo caso e, all'occorrenza, da misure tecniche.5. Il Consiglio federale ha esaminato la messa a punto di un cosiddetto "Swiss Cloud". È giunto alla conclusione che il fabbisogno di uno "Swiss Cloud" in forma di un'infrastruttura tecnica autonoma di diritto pubblico non è comprovato (cfr. comunicato stampa dell'11 dicembre 2020).