Legge federale sulla sicurezza delle informazioni (LSIn)

Le autorità e organizzazioni assoggettate provvedono affinché le necessità di protezione delle informazioni per le quali sono competenti siano valutate sotto il profilo di un eventuale pregiudizio degli interessi di cui all’articolo 1 capoverso 2.

Provvedono affinché, conformemente alle rispettive necessità di protezione, tali informazioni:

1. siano accessibili soltanto alle persone autorizzate (confidenzialità);
2. siano disponibili quando sono necessarie (disponibilità);
3. non possano essere modificate senza autorizzazione o per inavvertenza (integrità);
4. siano trattate in maniera documentabile (tracciabilità).

Provvedono affinché i mezzi informatici che esse impiegano per l’adempimento dei loro compiti legali siano protetti dall’utilizzazione abusiva e dalle perturbazioni.

Al riguardo, tengono conto dei principi di adeguatezza, economicità e facilità d’uso.

Le autorità assoggettate provvedono, nel rispettivo ambito di competenza, affinché la sicurezza delle informazioni sia organizzata, applicata e verificata secondo lo stato della scienza e della tecnica.

Stabiliscono:

1. i loro obiettivi in materia di sicurezza delle informazioni;
2. i parametri per la gestione dei rischi;
3. le conseguenze in caso di inosservanza delle prescrizioni.

Le autorità e organizzazioni assoggettate provvedono affinché nel rispettivo ambito di competenza i rischi per la sicurezza delle informazioni siano costantemente valutati.

Adottano le misure necessarie per evitare i rischi o ridurli a un livello accettabile.

I rischi considerati accettabili devono essere formalmente accettati.

Le autorità e organizzazioni assoggettate che collaborano con terzi provvedono affinché i requisiti e le misure previsti dalla presente legge siano iscritti nelle convenzioni e nei contratti corrispondenti.

Provvedono a un’adeguata verifica dell’applicazione delle misure.

Le autorità e organizzazioni assoggettate provvedono affinché le violazioni della sicurezza delle informazioni siano individuate tempestivamente, le loro cause accertate e le eventuali ripercussioni ridotte al minimo.

Le autorità assoggettate provvedono affinché in vista di eventuali violazioni gravi della sicurezza delle informazioni, tali da compromettere l’adempimento di compiti indispensabili della Confederazione, siano stabilite pianificazioni preventive e svolte corrispondenti esercitazioni.

Le autorità e organizzazioni assoggettate possono trattare i dati personali utili a garantire la sicurezza delle informazioni, in particolare nei sistemi d’informazione previsti a tale scopo (applicazioni ISMS).

Possono scambiarsi i dati personali di cui al capoverso 1 reciprocamente nonché con organizzazioni di diritto pubblico svizzere, internazionali ed estere, sempre che:

1. ciò sia utile al fine di garantire la sicurezza delle informazioni;
2. non sia violato alcun obbligo legale o contrattuale di serbare il segreto;
3. siano rispettate le disposizioni della legislazione federale sulla protezione dei dati; e
4. queste organizzazioni assumano compiti legali nell’ambito della sicurezza delle informazioni corrispondenti a quelli dell’autorità o dell’organizzazione che ha trasmesso la comunicazione.

Le autorità e organizzazioni assoggettate possono collegare tra loro i propri sistemi d’informazione, in particolare le applicazioni ISMS, e scambiarsi dati automaticamente o su richiesta tramite interfacce.

Possono gestire moduli digitali finalizzati alla presentazione e al trattamento di richieste e segnalazioni nell’ambito della sicurezza delle informazioni e collegarli alle proprie applicazioni ISMS o ad altri sistemi d’informazione.

Se necessario per far fronte a violazioni della sicurezza delle informazioni o per eliminare vulnerabilità, le autorità e organizzazioni assoggettate possono eseguire con i dati personali degni di particolare protezione ai sensi dell’articolo 5 lettera c della legge federale del 25 settembre 2020¹⁴ sulla protezione dei dati (LPD) di persone che sono o potrebbero essere coinvolte in tali violazioni o vulnerabilità o che sono o potrebbero esserne interessate le operazioni seguenti:

1. trattarli;
2. scambiarseli reciprocamente o scambiarli con organizzazioni di diritto pubblico svizzere, internazionali ed estere, sempre che la condizione di cui al capoverso 2 lettera b sia soddisfatta.

Le autorità e organizzazioni assoggettate possono conservare i dati personali degni di particolare protezione fino a due anni dopo aver affrontato la violazione della sicurezza delle informazioni o dopo che è stata eliminata la vulnerabilità, ma al massimo per dieci anni.

L’archiviazione dei dati è retta dalle disposizioni della legislazione in materia di archiviazione.

Il trattamento dei dati personali da parte del UFCS ¹⁵ nel quadro dell’adempimento dei suoi compiti è retto dagli articoli 75–79.

Le autorità e organizzazioni assoggettate provvedono affinché le informazioni che soddisfano i criteri di cui all’articolo 13 siano classificate.

La classificazione è ridotta allo stretto necessario e per quanto possibile limitata nel tempo.

Le autorità assoggettate designano le persone e i servizi competenti per la classificazione delle informazioni (servizi incaricati della classificazione).

Le classificazioni possono essere modificate o soppresse soltanto dal servizio incaricato della classificazione o dal servizio al quale esso è subordinato.

Il Consiglio federale disciplina la declassificazione degli archivi.

Sono classificate «ad uso interno» le informazioni la cui conoscenza da parte di persone non autorizzate può pregiudicare gli interessi di cui all’articolo 1 capoverso 2 lettere a‒d.

Sono classificate «confidenziale» le informazioni la cui conoscenza da parte di persone non autorizzate può pregiudicare considerevolmente gli interessi di cui all’articolo 1 capoverso 2 lettere a‒d.

Sono classificate «segreto» le informazioni la cui conoscenza da parte di persone non autorizzate può pregiudicare gravemente gli interessi di cui all’articolo 1 capoverso 2 lettere a‒d.

Ottengono l’accesso a informazioni classificate soltanto le persone che offrono la garanzia di gestirle in modo appropriato e che:

1. necessitano delle informazioni per l’adempimento di un compito legale; o
2. dispongono di un’autorizzazione di accesso convenuta contrattualmente e necessitano delle informazioni per l’adempimento dei compiti loro affidati.

L’accesso ad archivi classificati è retto dalle disposizioni della legislazione in materia di archiviazione.

Sono fatte salve le limitazioni di accesso disciplinate da trattati internazionali secondo l’articolo 87.

L’accesso a informazioni classificate in seno all’Assemblea federale, ai Servizi del Parlamento, ai tribunali e ai ministeri pubblici è retto dal rispettivo diritto procedurale applicabile.

Prima di decidere di concedere l’accesso a un’informazione secondo il capoverso 1, l’organo parlamentare o il tribunale competente può consultare il servizio incaricato della classificazione.

Le autorità assoggettate stabiliscono una procedura per garantire la sicurezza delle informazioni nell’impiego di mezzi informatici (procedura di sicurezza).

La procedura di sicurezza comprende in particolare:

1. la valutazione della necessità di protezione delle informazioni prima dell’impiego di mezzi informatici;
2. l’applicazione delle misure di sicurezza e la relativa verifica;
3. la determinazione della competenza per il rilascio del nullaosta di sicurezza relativo ai mezzi informatici;
4. la procedura in caso di mutamento dei rischi.

Per l’esecuzione della procedura di sicurezza è competente l’autorità od organizzazione assoggettata che decide l’impiego dei mezzi informatici.

Il livello di sicurezza «protezione di base» si applica a tutti i mezzi informatici, salvo a quelli che devono essere attribuiti a un livello di sicurezza più elevato.

Ai mezzi informatici si applica il livello di sicurezza «protezione elevata» se:

1. una violazione della confidenzialità, della disponibilità, dell’integrità o della tracciabilità delle informazioni che trattano può pregiudicare considerevolmente gli interessi di cui all’articolo 1 capoverso 2;
2. la loro utilizzazione abusiva o la loro perturbazione può pregiudicare considerevolmente gli interessi di cui all’articolo 1 capoverso 2.

Ai mezzi informatici si applica il livello di sicurezza «protezione molto elevata» se:

1. una violazione della confidenzialità, della disponibilità, dell’integrità o della tracciabilità delle informazioni che trattano può pregiudicare gravemente gli interessi di cui all’articolo 1 capoverso 2;
2. la loro utilizzazione abusiva o la loro perturbazione può pregiudicare gravemente gli interessi di cui all’articolo 1 capoverso 2.

Le autorità assoggettate stabiliscono i requisiti minimi per i livelli di sicurezza di cui all’articolo 17.

Tutti i mezzi informatici devono soddisfare i requisiti minimi del livello di sicurezza «protezione di base».

Per i mezzi informatici del livello di sicurezza «protezione molto elevata» l’efficacia delle misure deve essere verificata periodicamente.

Le autorità e organizzazioni assoggettate garantiscono la sicurezza dei mezzi informatici che gestiscono per loro stesse o su mandato di un’altra autorità od organizzazione.

Il trattamento di dati personali nell’ambito della sorveglianza delle reti è retto per analogia dagli articoli 57 i ‒57 q LOGA ¹⁶ .

Le autorità e organizzazioni assoggettate provvedono affinché le persone che hanno accesso a informazioni, mezzi informatici, locali e altre infrastrutture della Confederazione:

1. siano scelte con cura;
2. siano identificate in funzione dei rischi;
3. seguano formazioni e formazioni continue adeguate al loro livello;
4. se necessario, siano tenute a mantenere il segreto.

Possono impiegare metodi di verifica biometrici se è necessario per l’identificazione delle persone in funzione dei rischi. I dati biometrici sono distrutti allo scadere dell’autorizzazione d’accesso.

Come identificatore di persone possono inoltre utilizzare sistematicamente il numero AVS di cui all’articolo 50 c della legge federale del 20 dicembre 1946 ¹⁷ sull’assicurazione per la vecchiaia e per i superstiti. ¹⁸

Le autorità e organizzazioni assoggettate provvedono affinché autorizzazioni d’accesso a informazioni, mezzi informatici, locali e altre infrastrutture della Confederazione siano rilasciate soltanto alle persone che ne hanno bisogno per l’adempimento dei loro compiti.

Le autorizzazioni sono revocate al termine del rapporto di lavoro o del contratto oppure all’adempimento del compito. Possono essere bloccate o revocate senza preavviso se sussistono indizi concreti di un pericolo per la sicurezza.

Le autorità e organizzazioni assoggettate provvedono a garantire una protezione fisica adeguata delle informazioni e dei mezzi informatici di cui sono responsabili contro gli abusi e le perturbazioni.

Le autorità e organizzazioni assoggettate possono designare come zone di sicurezza settori e locali nei quali:

1. sono trattate frequentemente informazioni classificate «confidenziale» o «segreto»; o
2. sono impiegati mezzi informatici del livello di sicurezza «protezione elevata» o «protezione molto elevata».

Sono autorizzate a:

1. proibire l’introduzione di determinati oggetti, in particolare apparecchi per registrazioni audiovisive;
2. sorvegliare i settori sensibili sotto il profilo della sicurezza con apparecchi per registrazioni audiovisive;
3. eseguire perquisizioni di borse e persone;
4. eseguire senza preavviso controlli di locali, anche in assenza degli impiegati.

Nelle zone di sicurezza nelle quali sono trattate frequentemente informazioni classificate «segreto» oppure sono impiegati mezzi informatici del livello di sicurezza «protezione molto elevata», le autorità e organizzazioni assoggettate possono operare impianti di telecomunicazione che provocano interferenze secondo l’articolo 34 capoverso 1 ^ter della legge del 30 aprile 1997 ¹⁹ sulle telecomunicazioni (LTC).

Sono fatte salve le prescrizioni particolari per le zone di sicurezza definite in virtù di trattati internazionali secondo l’articolo 87 nonché le prescrizioni applicabili alle zone di protezione di opere secondo la legislazione sulla protezione delle opere militari.

Ai fini della gestione centralizzata dei dati per l’identificazione delle persone che hanno accesso a informazioni, mezzi informatici, locali e altre infrastrutture, le autorità assoggettate possono gestire appositi sistemi d’informazione (sistemi di gestione delle identità).

I sistemi di gestione delle identità verificano l’identità e le caratteristiche relative alle autorizzazioni di persone, macchine e sistemi. Trasmettono il risultato ai sistemi d’informazione collegati affinché questi possano accertare le autorizzazioni.

Le autorità assoggettate designano un servizio responsabile per ogni sistema di gestione delle identità.

I sistemi di gestione delle identità possono scambiare e armonizzare dati con i sistemi d’informazione collegati, con registri di persone e di utenti nonché con altri sistemi di gestione delle identità di autorità assoggettate.

Lo scambio e l’armonizzazione sono limitati ai dati il cui trattamento è autorizzato nel rispettivo sistema.

Le autorità assoggettate emanano disposizioni esecutive concernenti in particolare:

1. la protezione e la sicurezza dei dati;
2. i dati personali trattati;
3. lo scambio e l’armonizzazione di dati con altri sistemi;
4. la verbalizzazione e la trasmissione dei relativi dati ai sistemi d’informazione collegati;
5. il controllo periodico del trattamento dei dati personali da parte di un organo esterno.

Il controllo di sicurezza relativo alle persone serve a valutare se l’esercizio di un’attività sensibile sotto il profilo della sicurezza da parte di una persona, nel quadro della sua funzione o di un mandato, possa costituire un rischio per la sicurezza delle informazioni.

A tal fine sono raccolti dati rilevanti per la sicurezza concernenti il modo di vita della persona da controllare, in particolare le sue relazioni personali strette e quelle familiari, la sua situazione finanziaria e i suoi rapporti con l’estero.

I dati concernenti l’esercizio dei diritti costituzionali possono essere trattati unicamente qualora sussista un sospetto concreto che la persona da controllare eserciti tali diritti per preparare o compiere attività che potrebbero pregiudicare considerevolmente gli interessi di cui all’articolo 1 capoverso 2.

Le autorità assoggettate emanano, per il rispettivo ambito di competenza, un elenco delle funzioni che implicano l’esercizio di un’attività sensibile sotto il profilo della sicurezza.

Verificano periodicamente la correttezza dell’elenco e lo adeguano.

Sono sottoposti a un controllo di sicurezza relativo alle persone:

1. gli impiegati della Confederazione, i collaboratori esterni e i militari che esercitano una funzione prevista in un elenco secondo l’articolo 28;
2. gli impiegati cantonali che esercitano un’attività sensibile sotto il profilo della sicurezza;
3. i terzi che eseguono per un’autorità od organizzazione assoggettata un mandato che implica l’esercizio di un’attività sensibile sotto il profilo della sicurezza;
4. le persone che devono essere sottoposte a un controllo di sicurezza in virtù di un trattato internazionale secondo l’articolo 87.

Le persone alle quali un’autorità estera o un’organizzazione internazionale intende affidare l’esercizio di un’attività sensibile sotto il profilo della sicurezza sono sottoposte a un controllo di sicurezza se la Svizzera ha concluso con lo Stato o l’organizzazione internazionale interessati un trattato internazionale secondo l’articolo 87.

Le persone che esercitano una funzione che non figura ancora in un elenco secondo l’articolo 28 possono, previo consenso dell’autorità assoggettata, essere sottoposte in via eccezionale a un controllo di sicurezza. L’elenco in questione deve essere adeguato alla prima occasione.

I candidati alle seguenti funzioni non sono assoggettati al controllo di sicurezza relativo alle persone:

1. membro dell’Assemblea federale;
2. membro del Consiglio federale o cancelliere della Confederazione;
3. giudice di un tribunale della Confederazione;
4. procuratore generale della Confederazione;
5. membro dell’Autorità di vigilanza sul Ministero pubblico della Confederazione;
6. ²⁰ capo dell’Incaricato federale della protezione dei dati e della trasparenza;
7. generale;
8. magistrato cantonale eletto dal Popolo o dal parlamento cantonale.

Le autorità assoggettate attribuiscono alle attività sensibili sotto il profilo della sicurezza uno dei livelli di controllo seguenti:

1. il controllo di sicurezza di base, alle attività sensibili sotto il profilo della sicurezza il cui esercizio contrario alle prescrizioni o non appropriato può pregiudicare considerevolmente gli interessi di cui all’articolo 1 capoverso 2;
2. il controllo di sicurezza ampliato, alle attività sensibili sotto il profilo della sicurezza il cui esercizio contrario alle prescrizioni o non appropriato può pregiudicare gravemente gli interessi di cui all’articolo 1 capoverso 2.

Le autorità assoggettate e i Cantoni designano i servizi competenti per:

1. avviare i controlli di sicurezza relativi alle persone (servizi promotori);
2. decidere di affidare l’esercizio dell’attività sensibile sotto il profilo della sicurezza (servizi decisori).

Per l’esecuzione dei controlli di sicurezza relativi alle persone il Consiglio federale designa uno o più servizi specializzati (servizi specializzati CSP). Nell’effettuare la loro valutazione essi non sono vincolati a istruzioni.

I controlli di sicurezza relativi alle persone possono essere eseguiti unicamente con il consenso della persona da controllare.

Le persone soggette all’obbligo di leva, i militari e i militi della protezione civile possono essere sottoposti al controllo di sicurezza senza il loro consenso.

La persona da controllare è tenuta a collaborare all’accertamento dei fatti.

Per le persone di cui all’articolo 29 capoverso 1 lettere a e b, il controllo di sicurezza dev’essere avviato prima dell’attribuzione della funzione.

Per le persone di cui all’articolo 29 capoverso 1 lettera a la cui nomina compete al Consiglio federale, il controllo di sicurezza dev’essere concluso prima che la persona sia proposta per la nomina.

Per le persone di cui all’articolo 29 capoverso 1 lettera c, il controllo di sicurezza dev’essere concluso prima che sia affidato loro l’esercizio dell’attività sensibile sotto il profilo della sicurezza.

Per le persone di cui all’articolo 29 capoverso 1 lettera d, il controllo di sicurezza ha luogo nel momento previsto dal corrispondente trattato.

Per il controllo di sicurezza di base, il servizio specializzato CSP può raccogliere dati sulla persona da controllare dalle fonti seguenti:

1. dal casellario giudiziale;
2. presso le autorità penali, tramite richiesta di informazioni e atti concernenti procedimenti penali in corso, conclusi o abbandonati;
3. presso gli organi di sicurezza della Confederazione, il Servizio delle attività informative della Confederazione (SIC), gli organi dell’esercito nonché altri organi della Confederazione, sempre che trattino dati necessari per la valutazione del rischio per la sicurezza;
4. dai registri e dagli atti degli organi di sicurezza dei Cantoni e della polizia;
5. dai registri delle autorità di esecuzione e fallimento;
6. dagli atti di precedenti controlli di sicurezza relativi alle persone;
7. da fonti pubblicamente accessibili.

Per il controllo di sicurezza ampliato, può inoltre raccogliere dati dalle fonti seguenti:

1. presso le autorità fiscali federali e cantonali;
2. dai registri dei controlli degli abitanti;
3. presso istituti finanziari e banche con i quali la persona da controllare intrattiene relazioni d’affari;
4. mediante audizione della persona da controllare.

Se dai dati raccolti risultano indizi concreti di un rischio per la sicurezza oppure se per la valutazione non sono disponibili dati sufficienti relativi a un periodo di tempo adeguato, il servizio specializzato CSP può procedere all’audizione della persona da controllare. Con il consenso di quest’ultima può procedere anche all’audizione di terzi; rende attenti detti terzi che essi sono liberi di fornire le informazioni o meno.

I dati relativi a terzi che sono indissolubilmente connessi con dati relativi alla persona da controllare possono essere trattati unicamente se è indispensabile per la valutazione del rischio per la sicurezza. Il servizio specializzato CSP informa i terzi interessati in merito a tale trattamento.

I dati che devono essere raccolti presso un’autorità estera o un’organizzazione internazionale lo sono per il tramite dell’autorità o dell’organizzazione competente secondo l’articolo 34.

Se dai dati raccolti risultano indizi concreti di criminalità organizzata o internazionale, il servizio specializzato CSP consulta gli uffici centrali di polizia giudiziaria della Confederazione. Tali uffici comunicano al servizio specializzato CSP unicamente i dati personali rilevanti sotto il profilo della sicurezza.

Le autorità e organizzazioni di diritto pubblico presso le quali è consentito raccogliere dati o che devono collaborare alla procedura sono tenute a collaborare gratuitamente.

I terzi per i quali la collaborazione implica un onere considerevole sono indennizzati.

La Confederazione si assume le spese dei controlli di sicurezza relativi alle persone effettuati sugli impiegati cantonali di cui all’articolo 29 capoverso 1 lettera b.

Il servizio specializzato CSP abbandona la procedura di controllo se la persona da controllare revoca il suo consenso o non entra più in considerazione per la funzione o il mandato.

Comunica l’abbandono della procedura di controllo alla persona interessata e al servizio promotore. La persona interessata è considerata non controllata.

Sussiste un rischio per la sicurezza se, sulla base dei dati raccolti, vi sono indizi concreti che con elevata probabilità la persona controllata eserciterà l’attività sensibile sotto il profilo della sicurezza in maniera contraria alle prescrizioni o non appropriata.

La probabilità di un esercizio contrario alle prescrizioni o non appropriato dell’attività sensibile sotto il profilo della sicurezza può essere considerata elevata in particolare quando sussistono indizi concreti che la persona presenta una delle caratteristiche seguenti:

1. mancanza di integrità personale o di affidabilità;
2. ricattabilità o corruttibilità; o
3. facoltà di giudizio o di decisione compromessa.

La valutazione del rischio per la sicurezza deve fondarsi, a prescindere dalla colpa della persona sottoposta al controllo, sulle circostanze oggettive inerenti alla sua situazione personale.

Quale risultato della valutazione, il servizio specializzato CSP rilascia una delle dichiarazioni seguenti, avente il significato indicato qui appresso:

1. dichiarazione di sicurezza, non sussiste alcun rischio per la sicurezza;
2. dichiarazione di sicurezza con riserva, sussiste un rischio per la sicurezza che può essere ridotto a un livello accettabile definendo determinate condizioni; il servizio specializzato CSP raccomanda tali condizioni;
3. dichiarazione di rischio, sussiste un rischio per la sicurezza;
4. dichiarazione di constatazione, per la valutazione del rischio per la sicurezza non sono disponibili dati sufficienti relativi a un periodo di tempo adeguato.

Prima di rilasciare una dichiarazione secondo il capoverso 1 lettere b‒d, il servizio specializzato CSP offre alla persona sottoposta al controllo la possibilità di esprimersi al riguardo.

Il servizio specializzato CSP comunica per scritto la sua dichiarazione alla persona controllata e al servizio decisore.

Per le persone la cui nomina compete al Consiglio federale il servizio specializzato CSP comunica la sua dichiarazione al dipartimento proponente.

Il servizio specializzato CSP può comunicare la sua dichiarazione a un altro servizio decisore se la persona controllata:

1. è soggetta a un controllo di sicurezza relativo alle persone secondo la presente legge per un’altra attività sensibile sotto il profilo della sicurezza;
2. è soggetta a una verifica dell’affidabilità secondo un’altra legge federale;
3. in quanto militare è soggetta a una valutazione secondo l’articolo 113 della legge militare del 3 febbraio 1995²¹.

Se già prima della conclusione della valutazione dispone di indizi concreti secondo i quali potrebbe sussistere un rischio per la sicurezza, il servizio specializzato CSP può comunicare per scritto le constatazioni provvisorie ai servizi di cui ai capoversi 1‒3 nonché alla persona sottoposta al controllo.

Le dichiarazioni dei servizi specializzati CSP hanno carattere di raccomandazione.

Il servizio di cui all’articolo 31 capoverso 1 lettera b stabilisce, dopo aver preso atto della dichiarazione, se la persona controllata può esercitare l’attività sensibile sotto il profilo della sicurezza.

Può vincolare l’esercizio dell’attività sensibile sotto il profilo della sicurezza a determinate condizioni.

Comunica la propria decisione al servizio specializzato CSP.

È possibile rinunciare all’esecuzione del controllo di sicurezza relativo alle persone se alla persona interessata è già stata rilasciata una dichiarazione per un livello di controllo almeno equivalente:

1. per un’altra attività sensibile sotto il profilo della sicurezza secondo la presente legge;
2. nel quadro di una verifica dell’affidabilità secondo un’altra legge federale.

Il controllo di sicurezza relativo alle persone è ripetuto come segue:

1. il controllo di sicurezza di base, al più presto dopo cinque e al più tardi dopo dieci anni;
2. il controllo di sicurezza ampliato, al più presto dopo tre e al più tardi dopo cinque anni.

Il Consiglio federale può rinunciare alla ripetizione del controllo di sicurezza di base per talune funzioni dell’esercito e della protezione civile.

Se ha motivo di presumere che dall’ultimo controllo sono emersi nuovi rischi, il servizio promotore o il servizio decisore può chiedere al servizio specializzato CSP, con motivazione scritta, la ripetizione del controllo di sicurezza relativo alle persone.

Dopo aver ricevuto la dichiarazione secondo l’articolo 39 capoverso 1, la persona controllata ha 30 giorni di tempo per:

1. consultare i documenti relativi al controllo;
2. esigere la rettifica dei dati errati o la distruzione dei dati non più attuali;
3. far apporre una menzione che rileva il carattere contestato dei dati.

La restrizione del diritto d’accesso è retta dall’articolo 26 LPD ²² . ²³

La dichiarazione costituisce un atto materiale secondo l’articolo 25 a della legge federale del 20 dicembre 1968 ²⁴ sulla procedura amministrativa. La persona controllata può interporre ricorso contro una dichiarazione secondo l’articolo 39 capoverso 1 lettere b−d presso il Tribunale amministrativo federale entro 30 giorni dalla sua ricezione.

Se il servizio decisore è il Tribunale federale o il Tribunale amministrativo federale, si applica per analogia l’articolo 36 capoversi 2 e 4 della legge del 24 marzo 2000 ²⁵ sul personale federale.

Del rimanente, la procedura di ricorso è retta dalle disposizioni generali sull’amministrazione della giustizia federale.

I servizi specializzati CSP gestiscono un sistema d’informazione. Quest’ultimo serve per l’esecuzione:

1. dei controlli di sicurezza relativi alle persone;
2. delle valutazioni del potenziale di pericolo o di abuso per quanto riguarda l’arma personale;
3. dei controlli dell’affidabilità;
4. dei controlli dell’attendibilità.²⁶

Ciascun servizio specializzato CSP è responsabile della liceità del trattamento dei dati personali contenuti nel sistema d’informazione.

Nel sistema d’informazione possono essere trattati dati personali degni di particolare protezione secondo l’articolo 5 lettera c LPD ²⁷ , sempre che sia necessario per la valutazione del rischio per la sicurezza. ²⁸

Con i dati del sistema d’informazione può essere eseguita una profilazione, compresa una profilazione a rischio elevato, secondo la LPD per analizzare, valutare, qualificare o prevedere i seguenti aspetti personali di una persona fisica concernenti gli scopi del trattamento secondo il capoverso l:

1. rischio per la sicurezza;
2. potenziale di pericolo e di abuso per quanto riguarda l’arma personale.²⁹

Il sistema d’informazione contiene i dati seguenti:

1. ³⁰ dati sull’identità delle persone da sottoporre al controllo o controllate, compreso il numero AVS e il numero del passaporto;
2. i dati secondo gli articoli 34 e 35;
3. la valutazione del rischio per la sicurezza;
4. la dichiarazione secondo l’articolo 39 capoverso 1;
5. la decisione del servizio decisore;
6. dati e atti di procedure di ricorso;
7. elenchi e statistiche che contengono dati secondo le lettere a‒f.

Il trattamento dei dati di cui al capoverso 4 al di fuori del sistema d’informazione dev’essere menzionato nel sistema d’informazione.

I dati di cui al capoverso 4 possono essere raccolti automaticamente e sistematicamente mediante interrogazione dei seguenti sistemi d’informazione:

1. ³¹ casellario giudiziale informatizzato VOSTRA conformemente alla legge del 17 giugno 2016³² sul casellario giudiziale;
2. registro nazionale di polizia di cui all’articolo 17 della legge federale del 13 giugno 2008³³ sui sistemi d’informazione di polizia della Confederazione;
3. INDEX SIC di cui all’articolo 51 della legge federale del 25 settembre 2015³⁴ sulle attività informative;
4. ³⁵ le banche dati dell’Ufficio centrale Armi secondo l’articolo 32a capoverso 1 della legge del 20 giugno 1997³⁶ sulle armi.

I servizi seguenti hanno accesso, mediante procedura di richiamo, ai dati qui appresso contenuti nel sistema d’informazione:

1. i servizi promotori, ai dati di cui all’articolo 45 capoverso 4 lettera b che hanno registrato essi stessi in occasione dell’avvio del controllo nonché ai dati di cui all’articolo 45 capoverso 4 lettere a, d ed e;
2. i servizi decisori, ai dati di cui all’articolo 45 capoverso 4 lettere a, d ed e;
3. gli incaricati della sicurezza delle informazioni secondo l’articolo 81, per l’adempimento dei loro compiti di controllo, ai dati di cui all’articolo 45 capoverso 4 lettere a, d ed e;
4. i servizi della Confederazione e dei Cantoni presso i quali vengono raccolti dati secondo l’articolo 37, ai dati di cui all’articolo 45 capoverso 4 lettera a.

I servizi seguenti hanno accesso, tramite un’interfaccia, ai dati qui appresso contenuti nel sistema d’informazione:

1. il servizio specializzato di cui all’articolo 51 capoverso 2, per l’esecuzione della procedura di sicurezza relativa alle aziende secondo gli articoli 49‒73, tramite il sistema d’informazione di cui all’articolo 70, ai dati di cui all’articolo 45 capoverso 4 lettere a, d ed e;
2. l’Aggruppamento Difesa:1.per l’adempimento dei suoi compiti secondo l’articolo 13 della legge federale del 3 ottobre 2008³⁷ sui sistemi d’informazione militari (LSIM), tramite il sistema di gestione del personale dell’esercito di cui all’articolo 12 LSIM, ai dati di cui all’articolo 45 capoverso 4 lettere a, d ed e,2.per l’adempimento dei suoi compiti secondo l’articolo 19 LSIM, tramite il sistema d’informazione per il reclutamento di cui all’articolo 18 LSIM, ai dati di cui all’articolo 45 capoverso 4 lettere a ed e,3.per l’adempimento dei suoi compiti secondo l’articolo 157 LSIM, tramite il sistema d’informazione per le richieste di visita di cui all’articolo 156 LSIM, ai dati di cui all’articolo 45 capoverso 4 lettere a ed e,4.per l’adempimento dei suoi compiti secondo l’articolo 163 LSIM, tramite il sistema d’informazione per i controlli dell’accesso di cui all’articolo 162 LSIM, ai dati di cui all’articolo 45 capoverso 4 lettere a ed e;
3. il servizio competente per le attestazioni di sicurezza internazionali di cui all’articolo 48 lettera c, ai dati di cui all’articolo 45 capoverso 4 lettere a, d ed e.

I servizi specializzati CSP possono inoltre comunicare ad altri servizi della Confederazione dati di cui all’articolo 45 capoverso 4 lettere a ed e, sempre che sia necessario per il controllo dell’accesso a una zona di sicurezza.

Possono comunicare alle autorità e organizzazioni assoggettate elenchi e statistiche di cui all’articolo 45 capoverso 1 lettera g, sempre che sia necessario per l’adempimento dei rispettivi compiti di controllo secondo la presente legge.

I servizi specializzati CSP possono registrare le audizioni secondo l’articolo 34 capoversi 2 lettera d e 3 con apparecchiature tecniche e conservare le registrazioni su supporti di dati.

Conservano i dati fintanto che la persona interessata esercita l’attività sensibile sotto il profilo della sicurezza, ma al massimo per dieci anni.

L’archiviazione dei dati è retta dalle prescrizioni della legislazione in materia di archiviazione.

Se la procedura di controllo è abbandonata oppure la persona controllata non assume la funzione prevista o rifiuta il mandato, tutti i dati e i documenti connessi con il controllo di sicurezza relativo alle persone sono distrutti al più tardi dopo tre mesi.

Il Consiglio federale disciplina:

1. la procedura del controllo di sicurezza relativo alle persone;
2. l’organizzazione dei servizi specializzati CSP;
3. le modalità di rilascio delle attestazioni di sicurezza per le persone che operano nel contesto internazionale;
4. la responsabilità della protezione dei dati in relazione con il sistema d’informazione di cui all’articolo 45 e la sicurezza dei dati;
5. il controllo periodico del trattamento dei dati personali da parte di un organo esterno.

La procedura di sicurezza relativa alle aziende ha lo scopo di garantire la sicurezza delle informazioni in occasione dell’adempimento di mandati pubblici da parte di imprese, imprese subappaltatrici o loro parti (aziende), sempre che i mandati comportino l’esercizio di un’attività sensibile sotto il profilo della sicurezza (mandati sensibili).

Possono essere sottoposte alla procedura di sicurezza relativa alle aziende:

1. le aziende alle quali un’autorità od organizzazione assoggettata intende assegnare un mandato sensibile;
2. le aziende con sede in Svizzera che si candidano per un mandato per il quale necessitano di un’attestazione di sicurezza aziendale secondo l’articolo 66.

La procedura può essere eseguita soltanto con il consenso dell’azienda.

Le aziende di cui al capoverso 1 lettera b assumono i costi della procedura.

La procedura di sicurezza relativa alle aziende è abbandonata se l’azienda:

1. revoca il suo consenso o non collabora alla procedura;
2. ritira la sua offerta;
3. non entra più in considerazione per il mandato.

Il servizio specializzato competente per l’esecuzione della procedura di sicurezza relativa alle aziende (Servizio specializzato PSA) comunica l’abbandono della procedura all’azienda e all’autorità od organizzazione aggiudicante (mandante).

Le autorità e organizzazioni assoggettate che intendono assegnare un mandato sensibile domandano l’avvio della procedura al Servizio specializzato PSA.

Le autorità assoggettate designano i servizi competenti per la presentazione della domanda.

Per le aziende di cui all’articolo 50 capoverso 1 lettera b, la domanda è presentata dall’autorità estera o dall’organizzazione internazionale competente.

Il Servizio specializzato PSA esamina la domanda e avvia la procedura.

Può, d’intesa con il mandante, rinunciare all’avvio della procedura se con altre misure il rischio per la sicurezza può essere ridotto a un livello accettabile. Raccomanda misure in tal senso.

Il Servizio specializzato PSA definisce, d’intesa con il mandante, i requisiti in materia di sicurezza delle informazioni per la procedura di aggiudicazione e per l’adempimento del mandato.

Il mandante comunica al Servizio specializzato PSA quali aziende entrano in considerazione per l’esecuzione del mandato sensibile.

Il Servizio specializzato PSA valuta se tali aziende sono idonee per l’esecuzione del mandato sensibile o se sussiste un rischio per la sicurezza.

Nell’effettuare la sua valutazione non è vincolato a istruzioni.

Per la valutazione dell’idoneità, il Servizio specializzato PSA può raccogliere dati:

1. presso l’azienda;
2. presso il SIC;
3. da fonti pubblicamente accessibili.

Può chiedere a servizi esteri e internazionali di trasmettergli i corrispondenti dati. Le richieste a servizi d’informazioni esteri avvengono per il tramite del SIC.

Sussiste un rischio per la sicurezza se, sulla base dei dati raccolti, vi sono indizi concreti che con elevata probabilità l’azienda eseguirà il mandato sensibile in maniera contraria alle prescrizioni o non appropriata.

La probabilità di un’esecuzione contraria alle prescrizioni o non appropriata del mandato sensibile può essere considerata elevata in particolare se:

1. l’azienda manca d’integrità o affidabilità;
2. l’azienda è controllata da Stati esteri o da organizzazioni estere di diritto pubblico o privato oppure è sotto il loro influsso e tale controllo o influsso è incompatibile con la tutela degli interessi di cui all’articolo 1 capoverso 2;
3. per impiegati dell’azienda indispensabili all’esecuzione del mandato sensibile è stata rilasciata una dichiarazione di rischio.

La valutazione del rischio per la sicurezza deve fondarsi, a prescindere dalla colpa, sulle circostanze oggettive inerenti all’azienda interessata.

Il Servizio specializzato PSA comunica la sua valutazione al mandante e la notifica all’azienda mediante decisione.

Se il Servizio specializzato PSA giunge alla conclusione che l’esecuzione del mandato sensibile presenta un rischio per la sicurezza, il mandante esclude l’azienda dalla procedura di aggiudicazione.

Se presso tutte le aziende prese in considerazione l’esecuzione del mandato sensibile presenta un rischio per la sicurezza, il mandante può comunque assegnare il mandato a una di esse. Il Servizio specializzato PSA abbandona la procedura di sicurezza relativa alle aziende. Il mandante applica per analogia le misure secondo gli articoli 59, 60, 63 e 64.

Il mandante comunica al Servizio specializzato PSA quale azienda ha ottenuto il mandato.

L’azienda allestisce un piano in materia di sicurezza secondo le direttive del Servizio specializzato PSA.

Il Servizio specializzato PSA esamina il piano in materia di sicurezza. Può raccogliere i dati necessari per scritto o mediante un’ispezione dell’azienda.

Gli impiegati dell’azienda ai quali si intende affidare l’esercizio di un’attività sensibile sotto il profilo della sicurezza sono sottoposti a un controllo di sicurezza relativo alle persone.

Il Servizio specializzato PSA è competente per la decisione secondo l’articolo 41 capoverso 2. Se la procedura è abbandonata perché non vi è nessuna azienda idonea per l’esecuzione del mandato (art. 58 cpv. 3), la decisione è di competenza del mandante.

Il Servizio specializzato PSA rilascia all’azienda una dichiarazione di sicurezza aziendale sotto forma di decisione non appena l’azienda ha attuato in maniera comprovata il piano in materia di sicurezza.

Rifiuta di rilasciare la dichiarazione di sicurezza aziendale e abbandona la procedura di sicurezza relativa alle aziende se l’azienda non attua il piano in materia di sicurezza. Pronuncia una decisione corrispondente.

Le decisioni secondo i capoversi 1 e 2 sono comunicate al mandante.

Il mandante è vincolato alla decisione del Servizio specializzato PSA; è fatto salvo l’articolo 58 capoverso 3.

La durata di validità della dichiarazione di sicurezza aziendale è di cinque anni.

Il mandante può autorizzare l’esecuzione di un mandato sensibile soltanto dopo che il Servizio specializzato PSA ha rilasciato la dichiarazione di sicurezza aziendale.

Le aziende titolari di una dichiarazione di sicurezza aziendale devono applicare in permanenza le misure del piano in materia di sicurezza.

Annunciano senza indugio al Servizio specializzato PSA e al mandante tutti i cambiamenti e gli incidenti rilevanti sotto il profilo della sicurezza.

Il Servizio specializzato PSA è autorizzato a:

1. ispezionare senza preavviso i settori nei quali è eseguito il mandato sensibile;
2. consultare i documenti rilevanti per il mandato.

Se sussistono indizi concreti che in un’azienda la sicurezza delle informazioni è minacciata, il Servizio specializzato PSA può adottare immediatamente le misure di protezione necessarie e in particolare mettere al sicuro documenti e materiale.

Le aziende titolari di una dichiarazione di sicurezza aziendale sono considerate idonee per altri mandati sensibili. Il Servizio specializzato PSA verifica se il piano in materia di sicurezza dev’essere adeguato.

Il Servizio specializzato PSA rilascia all’azienda interessata, su richiesta, un’attestazione internazionale di sicurezza aziendale.

Il Servizio specializzato PSA revoca la dichiarazione di sicurezza aziendale se:

1. l’azienda non adempie i propri obblighi secondo l’articolo 63;
2. nel quadro di una ripetizione della procedura emerge un rischio per la sicurezza.

Comunica la revoca all’azienda e al mandante mediante decisione.

Se la dichiarazione di sicurezza aziendale è revocata, il mandante ritira immediatamente il mandato; è fatto salvo l’articolo 58 capoverso 3. L’azienda non ha diritto ad alcun indennizzo.

La procedura di sicurezza relativa alle aziende è ripetuta se:

1. al momento della scadenza della validità della dichiarazione di sicurezza aziendale è in corso l’esecuzione di un mandato sensibile;
2. vi sono indizi concreti che in seguito a cambiamenti sostanziali in seno all’azienda sono emersi nuovi rischi per la sicurezza.

Dopo la notifica di una decisione del Servizio specializzato PSA, l’azienda ha 30 giorni di tempo per:

1. consultare i documenti;
2. esigere la rettifica dei dati errati o la distruzione dei dati non più attuali;
3. far apporre una menzione che rileva il carattere contestato dei dati;
4. interporre ricorso presso il Tribunale amministrativo federale.

La restrizione del diritto d’accesso è retta dall’articolo 26 LPD ³⁸ . ³⁹

Il Servizio specializzato PSA gestisce un sistema d’informazione per l’esecuzione e la gestione della procedura di sicurezza relativa alle aziende.

Nel sistema d’informazione possono essere trattati dati personali degni di particolare protezione secondo l’articolo 5 lettera c LPD ⁴⁰ , sempre che sia necessario per l’esecuzione della procedura di sicurezza relativa alle aziende. ⁴¹

Il sistema d’informazione contiene i dati seguenti:

1. i dati secondo gli articoli 56 e 59 capoverso 3;
2. il risultato della valutazione secondo l’articolo 55 capoverso 2;
3. i risultati dei controlli di sicurezza relativi alle persone secondo l’articolo 60 capoverso 1 necessari per la procedura di sicurezza relativa alle aziende;
4. la decisione del Servizio specializzato PSA secondo l’articolo 60 capoverso 2;
5. i nomi di tutte le aziende titolari di una dichiarazione di sicurezza aziendale;
6. le misure risultanti da eventuali controlli secondo l’articolo 64;
7. dati e atti di procedure di ricorso.

Il Servizio specializzato PSA è responsabile della sicurezza del sistema d’informazione e della liceità del trattamento dei dati personali.

I servizi seguenti hanno accesso, mediante procedura di richiamo, ai dati qui appresso:

1. i mandanti, ai dati di cui all’articolo 70 capoverso 3 lettere b e d‒g;
2. le aziende interessate, sempre che siano state autorizzate dal Consiglio federale, in virtù dell’articolo 31 capoverso 1 lettera a, ad avviare controlli di sicurezza relativi alle persone nel rispettivo ambito di competenza, ai dati di cui all’articolo 70 capoverso 3 lettera d.

Il Servizio specializzato PSA può inoltre comunicare ad altri servizi della Confederazione i dati di cui all’articolo 70 capoverso 3 lettere b‒d, sempre che sia necessario per garantire la sicurezza delle informazioni.

Il Servizio specializzato PSA conserva i dati fintanto che l’azienda interessata è in possesso di una dichiarazione di sicurezza aziendale, ma al massimo per dieci anni.

L’archiviazione dei dati è retta dalle disposizioni della legislazione in materia di archiviazione.

Se la procedura di sicurezza relativa alle aziende è abbandonata, tutti i relativi dati e atti sono distrutti al più tardi dopo tre mesi.

Il Consiglio federale disciplina:

1. i dettagli della procedura di sicurezza relativa alle aziende;
2. l’applicazione alle imprese subappaltatrici della procedura di sicurezza relativa alle aziende;
3. l’organizzazione del Servizio specializzato PSA;
4. la sicurezza dei dati nel sistema d’informazione secondo l’articolo 70;
5. il controllo periodico del trattamento dei dati personali da parte di un organo esterno.

Per proteggere la Svizzera dalle ciberminacce, il UFCS effettua analisi tecniche al fine di valutare e contrastare ciberincidenti e ciberminacce, nonché di indentificare ed eliminare vulnerabilità.

Sulla base delle analisi, il UFCS svolge in particolare i seguenti compiti:

1. sensibilizzare e avvisare il pubblico riguardo alle ciberminacce;
2. avvisare le autorità, le organizzazioni e le persone interessate in caso di ciberminacce imminenti o di ciberattacchi in corso;
3. pubblicare informazioni sulla cibersicurezza e raccomandazioni per l’adozione di misure preventive e reattive contro i ciberincidenti;
4. ricevere e trattare le segnalazioni riguardanti ciberincidenti e ciberminacce;
5. sostenere i gestori di infrastrutture critiche.

Il UFCS è il destinatario delle segnalazioni riguardanti ciberincidenti e ciberminacce. Le segnalazioni possono essere anonime.

Il UFCS analizza le segnalazioni in relazione alla loro rilevanza per la protezione della Svizzera dalle ciberminacce. Su richiesta, il UFCS emana una raccomandazione su come procedere, sempre che non siano necessari ulteriori analisi e chiarimenti.

Se viene a conoscenza di vulnerabilità, il UFCS informa immediatamente il produttore dell’hardware o del software interessato e gli fissa un congruo termine per eliminarle. Gli indica che un’inosservanza può essere sanzionata secondo il diritto in materia di appalti pubblici (art. 44 cpv. 1 lett. f ^bis della legge federale del 21 giugno 2019 ⁴⁶ sugli appalti pubblici) e che il UFCS, allo scadere del termine, può rendere pubblica la vulnerabilità ai sensi dell’articolo 73 c capoverso 2.

Il UFCS può pubblicare informazioni relative a ciberincidenti, sempre che ciò serva alla protezione contro le ciberminacce. Queste informazioni possono contenere dati relativi alla persona fisica o giuridica interessata soltanto se quest’ultima vi acconsente e se i dati concernono le caratteristiche d’identificazione e gli elementi d’indirizzo che sono stati utilizzati in modo abusivo.

Il UFCS può pubblicare informazioni relative a vulnerabilità indicando l’hardware o il software interessato, sempre che il produttore vi acconsenta o non abbia eliminato la vulnerabilità entro il termine di cui all’articolo 73 b capoverso 3.

Il UFCS può inoltrare informazioni provenienti da segnalazioni ad autorità e organizzazioni attive nel settore della cibersicurezza. Queste informazioni possono contenere dati personali soltanto se la persona interessata vi acconsente.

Se dalla segnalazione di un ciberincidente o dalla sua analisi emergono informazioni necessarie a individuare tempestivamente e sventare minacce per la sicurezza interna o esterna, a valutare la situazione di minaccia o ad assicurare un servizio di preallerta informativa per la protezione di infrastrutture critiche secondo l’articolo 6 capoversi 1 lettera a, 2 e 5 della legge federale del 25 settembre 2015 ⁴⁹ sulle attività informative (LAIn), il UFCS inoltra queste informazioni al SIC.

I collaboratori del UFCS che nell’ambito di una segnalazione o della sua analisi constatano indizi di un possibile reato lo denunciano unicamente al direttore del UFCS, in deroga all’articolo 22 a capoverso 1 della legge del 24 marzo 2000 ⁵⁰ sul personale federale. Se la gravità del possibile reato lo esige, il direttore del UFCS può sporgere denuncia presso le autorità di perseguimento penale.

Il UFCS può inoltrare informazioni che rivelano segreti protetti dal diritto penale unicamente secondo quanto disposto dall’articolo 320 del Codice penale ⁵¹ .

Il UFCS sostiene i gestori di infrastrutture critiche nella protezione contro le ciberminacce.

Mette loro a disposizione gratuitamente per l’utilizzo su base volontaria in particolare i seguenti strumenti:

1. un sistema di comunicazione per lo scambio sicuro delle informazioni;
2. informazioni tecniche sulle ciberminacce attuali e raccomandazioni per l’adozione di misure preventive e reattive contro i ciberincidenti;
3. strumenti tecnici e istruzioni per l’individuazione di ciberincidenti che rispondono alle elevate esigenze di protezione delle infrastrutture critiche.

Il UFCS può fornire loro consulenza e sostegno nel far fronte a ciberincidenti ed eliminare vulnerabilità se il funzionamento dell’infrastruttura critica interessata rischia di essere compromesso e, nel caso si tratti di gestori privati, se non è possibile procurarsi per tempo un sostegno equivalente sul mercato.

Previo consenso del gestore interessato, il UFCS può accedere alle informazioni e ai mezzi informatici di quest’ultimo per analizzare un ciberincidente.

Le autorità e le organizzazioni di cui all’articolo 74 b provvedono affinché i ciberattacchi verso i loro mezzi informatici siano segnalati all’UFCS.

Il UFCS informa le autorità e organizzazioni interessate sul loro eventuale assoggettamento all’obbligo di segnalazione; su richiesta, pronuncia una decisione sull’assoggettamento a tale obbligo.

La segnalazione di un ciberattacco conferisce alle autorità e organizzazioni assoggettate all’obbligo di segnalazione il diritto a ottenere sostegno dall’UFCS nel far fronte all’incidente secondo l’articolo 74 capoverso 3.

L’obbligo di segnalazione è finalizzato soltanto a consentire all’UFCS di individuare tempestivamente il modo operativo utilizzato negli attacchi contro infrastrutture critiche, così da avvisare possibili interessati e raccomandare loro misure di prevenzione e di difesa adeguate.

L’obbligo di segnalazione si applica:

1. alle scuole universitarie secondo l’articolo 2 capoverso 2 della legge federale del 30 settembre 2011⁵³ sulla promozione e sul coordinamento del settore universitario svizzero;
2. alle autorità federali, cantonali e comunali nonché alle organizzazioni intercantonali, cantonali e intercomunali; è eccettuato l’Aggruppamento Difesa, laddove l’esercito presti servizio d’appoggio secondo articolo 67 o servizio attivo secondo l’articolo 76 della legge militare del 3 febbraio 1995⁵⁴;
3. alle organizzazioni cui sono affidati compiti di diritto pubblico nei settori della sicurezza e del salvataggio, dell’approvvigionamento di acqua potabile, del trattamento delle acque di scarico e dello smaltimento dei rifiuti;
4. alle imprese attive nel settore dell’approvvigionamento energetico secondo l’articolo 6 capoverso 1 della legge federale del 30 settembre 2016⁵⁵ sull’energia, nonché nel commercio, nella misurazione e nella gestione dell’energia; sono esentati i titolari di licenze conformemente alla legge federale del 21 marzo 2003⁵⁶ sull’energia nucleare, per quanto riguarda i ciberattacchi effettuati contro un impianto nucleare;
5. alle imprese che sottostanno alla legge dell’8 novembre 1934⁵⁷ sulle banche, alla legge del 17 dicembre 2004⁵⁸ sulla sorveglianza degli assicuratori o alla legge del 19 giugno 2015⁵⁹ sull’infrastruttura finanziaria;
6. agli stabilimenti che figurano nell’elenco cantonale di cui all’articolo 39 capoverso 1 lettera e della legge federale del 18 marzo 1994⁶⁰ sull’assicurazione malattie;
7. ai laboratori medici che dispongono di un’autorizzazione secondo l’articolo 16 capoverso 1 della legge del 28 settembre 2012⁶¹ sulle epidemie;
8. alle imprese che dispongono di un’omologazione secondo la legge del 15 dicembre 2000⁶² sugli agenti terapeutici per la fabbricazione, l’immissione in commercio e l’importazione di medicamenti;
9. alle organizzazioni che forniscono prestazioni volte a coprire le conseguenze di malattie, infortuni, incapacità al lavoro e al guadagno, vecchiaia, invalidità e grande invalidità;
10. alla Società svizzera di radiotelevisione;
11. alle agenzie di stampa d’importanza nazionale;
12. ai fornitori di servizi postali registrati presso la Commissione delle poste secondo l’articolo 4 capoverso 1 della legge del 17 dicembre 2010⁶³ sulle poste;
13. alle imprese ferroviarie secondo gli articoli 5 o 8c della legge federale del 20 dicembre 1957⁶⁴ sulle ferrovie e alle imprese che gestiscono impianti di trasporto a fune, linee filoviarie, autobus e battelli e sono titolari di una concessione secondo l’articolo 6 della legge del 20 marzo 2009⁶⁵ sul trasporto di viaggiatori;
14. alle imprese dell’aviazione civile che dispongono di un’autorizzazione dell’Ufficio federale dell’aviazione civile e agli aeroporti nazionali conformemente al Piano settoriale dei trasporti, Parte Infrastruttura aeronautica;
15. alle imprese che trasportano merci sul Reno secondo la legge federale del 23 settembre 1953⁶⁶ sulla navigazione marittima sotto bandiera svizzera e alle imprese che gestiscono l’iscrizione, il carico o lo scarico nei porti di Basilea;
16. alle imprese che riforniscono la popolazione di beni indispensabili di uso quotidiano e il cui dissesto totale o parziale comporterebbe considerevoli difficoltà di approvvigionamento;
17. ai fornitori di servizi di telecomunicazione registrati presso l’Ufficio federale delle comunicazioni secondo l’articolo 4 capoverso 1 LTC⁶⁷;
18. ai gestori di registri e ai centri di registrazione di domini Internet secondo l’articolo 28b LTC;
19. ai fornitori e ai gestori di servizi e infrastrutture che servono all’esercizio dei diritti politici;
20. ai fornitori e ai gestori di servizi di nuvole informatiche, motori di ricerca o servizi di sicurezza e fiduciari digitali nonché ai centri di calcolo, sempre che abbiano una sede in Svizzera;
21. ai produttori di hardware o software i cui prodotti sono utilizzati da infrastrutture critiche, sempre che tali hardware o software abbiano un accesso remoto per la manutenzione o siano impiegati per uno dei seguenti scopi:1.la gestione e il monitoraggio di sistemi e processi tecnici,2.la garanzia della sicurezza pubblica.

Le autorità e organizzazioni che esercitano anche attività non rientranti nel campo di applicazione del capoverso 1 non hanno l’obbligo di segnalare i ciberattacchi che hanno ripercussioni unicamente su queste attività.

L’obbligo di segnalazione di cui al capoverso 1 si applica a ciberattacchi che hanno ripercussioni in Svizzera anche se i mezzi informatici interessati si trovano all’estero.

Il Consiglio federale esenta le autorità e organizzazioni dall’obbligo di segnalazione di cui all’articolo 74 b per quanto riguarda i ciberattacchi che causano guasti funzionali con ripercussioni minime sul funzionamento dell’economia o sul benessere della popolazione.

Un ciberattacco deve essere segnalato se:

1. compromette il funzionamento dell’infrastruttura critica interessata;
2. ha comportato una manipolazione o una fuga di informazioni;
3. non è stato identificato per un periodo prolungato, in particolare se vi sono indizi secondo cui potrebbe essere stato effettuato per preparare altri ciberattacchi; o
4. è connesso al reato di estorsione, minaccia o coazione.

La segnalazione deve avvenire entro le 24 ore successive all’individuazione del ciberattacco.

Contiene informazioni sull’autorità o sull’organizzazione assoggettata all’obbligo di segnalazione, sul tipo di ciberattacco e sulla sua esecuzione, sulle sue ripercussioni, sulle misure adottate e, se note, sulle misure previste.

Se al momento della segnalazione non sono ancora note tutte le informazioni necessarie, l’autorità o l’organizzazione assoggettata all’obbligo di segnalazione completa la stessa non appena dispone di nuove informazioni.

Chi deve adempiere l’obbligo di segnalazione per conto di un’autorità o di un’organizzazione non è tenuto, nel quadro della segnalazione, a fornire indicazioni che lo rendono penalmente perseguibile.

Il UFCS informa l’autorità o l’organizzazione assoggettata all’obbligo di segnalazione non appena ha ricevuto tutte le informazioni che consentono di adempiere tale obbligo.

L’UFCS mette a disposizione un sistema sicuro con cui trasmettergli per via elettronica le segnalazioni di ciberattacchi.

Il sistema deve permettere alle autorità e organizzazioni assoggettate all’obbligo di segnalazione di trasmettere anche ad altre autorità la segnalazione del ciberattacco o delle sue ripercussioni, sia nella sua totalità sia in parte.

Se per adempiere un obbligo di segnalazione nei confronti di altre autorità sono necessarie informazioni che vanno oltre quelle menzionate all’articolo 74 e , il sistema deve permettere alle autorità e organizzazioni assoggettate a tale obbligo di trasmettere queste informazioni direttamente alle autorità interessate, senza che il UFCS vi acceda.

Se vi sono indizi di una violazione dell’obbligo di segnalazione, il UFCS informa l’autorità o l’organizzazione assoggettata a tale obbligo e le impartisce un congruo termine entro il quale adempierlo.

Se l’autorità o l’organizzazione assoggettata all’obbligo di segnalazione non adempie il proprio obbligo entro il termine impartito, il UFCS emana una decisione fissando un nuovo termine, sotto la comminatoria della multa di cui all’articolo 74 h .

Chi, intenzionalmente, non ottempera a una decisione del UFCS passata in giudicato intimatagli sotto la comminatoria prevista dal presente articolo o a una decisione dell’autorità di ricorso, è punito con la multa sino a 100 000 franchi.

In caso di infrazioni di cui al capoverso 1 commesse nell’azienda è applicabile l’articolo 6 della legge federale del 22 marzo 1974 ⁶⁸ sul diritto penale amministrativo (DPA).

Se l’importo presumibile della multa non supera i 20 000 franchi e se la determinazione delle persone punibili secondo l’articolo 6 DPA esige provvedimenti d’inchiesta sproporzionati all’entità della pena, l’autorità può prescindere dal perseguimento di dette persone e, in loro vece, condannare l’azienda al pagamento della multa.

In caso di inosservanza di una decisione del UFCS, il perseguimento e il giudizio competono ai Cantoni.

Per l’adempimento dei propri compiti, il UFCS può trattare dati personali, compresi elementi di indirizzo di cui all’articolo 3 lettera f LTC⁷¹ e i relativi dati personali degni di particolare protezione, che contengono informazioni su:

1. opinioni religiose, filosofiche o politiche; il trattamento è ammesso unicamente qualora sia necessario per la valutazione di minacce e pericoli concreti nell’ambito della cibersicurezza;
2. perseguimenti o sanzioni di carattere amministrativo o penale.

In caso di trattamento di dati personali o di indizi concreti di usurpazione d’identità o di utilizzazione non autorizzata di elementi di indirizzo, il UFCS informa le persone interessate, sempre che ciò non comporti un onere sproporzionato e nessun interesse pubblico preponderante vi si opponga.

Il UFCS e i gestori di infrastrutture critiche possono comunicarsi reciprocamente dati personali, sempre che ciò sia necessario alla protezione contro le ciberminacce.

Il UFCS e i fornitori di servizi di telecomunicazione possono comunicarsi reciprocamente elementi di indirizzo e i relativi dati personali, sempre che ciò sia necessario alla protezione contro le ciberminacce.

Il UFCS sostiene il SIC con valutazioni periodiche sul numero, sul tipo e sulla portata dei ciberattacchi e, su richiesta, con analisi tecniche delle ciberminacce.

Concede al SIC l’accesso a informazioni che riguardano l’identità e il modo di operare degli autori di ciberattacchi al fine di individuare tempestivamente e sventare minacce alla sicurezza interna o esterna, valutare la situazione di minaccia e assicurare un servizio di preallerta informativa per la protezione di infrastrutture critiche secondo l’articolo 6 capoversi 1 lettera a, 2 e 5 LAIn ⁷⁴ .

Il UFCS concede alle autorità di perseguimento penale l’accesso a informazioni che riguardano l’identità e il modo di operare degli autori di ciberattacchi.

Concede ai servizi cantonali competenti per la cibersicurezza l’accesso alle informazioni necessarie alla protezione contro le ciberminacce.

Il UFCS può scambiare con servizi esteri e internazionali competenti per la cibersicurezza informazioni che permettono di stabilire l’identità e il modo di operare degli autori di ciberattacchi, se detti servizi necessitano di tali informazioni per l’adempimento di compiti che corrispondono a quelli del UFCS. Se lo scambio di informazioni concerne anche dati personali, vanno osservati gli articoli 16 e 17 LPD ⁷⁵ .

Lo scambio di informazioni di cui al capoverso 1 è ammesso soltanto se i servizi esteri e internazionali garantiscono che i dati sono trattati per i fini previsti.

Il UFCS conserva i dati personali soltanto fino a che sono utili per individuare ciberminacce o far fronte a ciberincidenti, ma al massimo per cinque anni dall’ultimo utilizzo a tale scopo. Per i dati personali degni di particolare protezione il termine è di due anni. ⁷⁷

L’archiviazione dei dati è retta dalle disposizioni della legislazione in materia di archiviazione.

Le autorità e organizzazioni seguenti designano per il rispettivo ambito di competenza un incaricato della sicurezza delle informazioni e un sostituto:

1. il Consiglio federale;
2. la Delegazione amministrativa dell’Assemblea federale;
3. i tribunali della Confederazione;
4. il Ministero pubblico della Confederazione;
5. la Banca nazionale svizzera;
6. i dipartimenti e la Cancelleria federale.

Gli incaricati della sicurezza delle informazioni hanno i compiti seguenti:

1. offrono consulenza e assistenza ai servizi competenti, nel rispettivo ambito, per l’adempimento dei compiti e degli obblighi secondo la presente legge;
2. dirigono, su incarico della rispettiva autorità od organizzazione, l’organizzazione specialistica in materia di sicurezza delle informazioni e la relativa gestione dei rischi;
3. verificano, su incarico della rispettiva autorità od organizzazione, il rispetto delle direttive in materia di sicurezza delle informazioni, redigono rapporti e propongono le misure necessarie;
4. possono annunciare incidenti rilevanti sotto il profilo della sicurezza al Servizio specializzato della Confederazione per la sicurezza delle informazioni e ai servizi di cui all’articolo 74 capoverso 5.

Agli incaricati della sicurezza delle informazioni non sono attribuiti compiti suscettibili di generare un conflitto d’interessi con i compiti di cui al capoverso 2.

La Conferenza degli incaricati della sicurezza delle informazioni è composta degli incaricati della sicurezza delle informazioni secondo l’articolo 81 capoverso 1, di due rappresentanti dei Cantoni e dell’Incaricato federale della protezione dei dati e della trasparenza.

Ha i compiti seguenti:

1. promuove l’esecuzione uniforme della presente legge;
2. partecipa alla standardizzazione dei requisiti e delle misure secondo l’articolo 85;
3. offre consulenza al Servizio specializzato della Confederazione per la sicurezza delle informazioni in tutte le questioni relative al coordinamento dell’esecuzione e in questioni d’importanza strategica;
4. provvede allo scambio di informazioni, in particolare in relazione con la gestione dei rischi nonché con problemi e incidenti nell’ambito della sicurezza delle informazioni;
5. provvede al coordinamento con altri servizi che adempiono compiti nell’ambito della sicurezza delle informazioni.

Adotta un proprio regolamento interno.

Il Servizio specializzato della Confederazione per la sicurezza delle informazioni ha i compiti seguenti:

1. offre consulenza e assistenza alle autorità assoggettate, ai loro incaricati della sicurezza delle informazioni e ai Cantoni nell’esecuzione della presente legge;
2. può formulare raccomandazioni in caso di minacce per la sicurezza delle informazioni della Confederazione;
3. può eseguire verifiche su richiesta delle autorità assoggettate;
4. può valutare, su richiesta delle autorità assoggettate, i rischi per la sicurezza delle informazioni connessi con l’impiego di nuove tecnologie;
5. può verificare, su richiesta delle autorità e organizzazioni assoggettate, se i loro processi, mezzi, installazioni, oggetti e prestazioni soddisfano i requisiti in materia di sicurezza delle informazioni;
6. può dirigere e coordinare, su richiesta delle autorità assoggettate, la sicurezza delle informazioni nel quadro di progetti importanti che coinvolgono più autorità;
7. è l’interlocutore per i contatti specialistici con servizi svizzeri, esteri e internazionali;
8. redige annualmente per il Consiglio federale un rapporto sullo stato della sicurezza delle informazioni della Confederazione.

L’Incaricato del Consiglio federale per la sicurezza delle informazioni è nel contempo capo del Servizio specializzato della Confederazione per la sicurezza delle informazioni.

Il Consiglio federale disciplina l’organizzazione del Servizio specializzato della Confederazione per la sicurezza delle informazioni. Può assegnargli ulteriori compiti a favore dell’Amministrazione federale e dell’esercito.

Le autorità assoggettate emanano le disposizioni esecutive. Il Consiglio federale può delegare alla Cancelleria federale l’emanazione di disposizioni esecutive per gli affari del Consiglio federale.

Nel caso dell’Assemblea federale, le competenze che la presente legge attribuisce alle autorità assoggettate sono assunte dalla sua Delegazione amministrativa.

Le disposizioni esecutive del Consiglio federale si applicano per analogia alle autorità assoggettate, sempre che esse non emanino disposizioni esecutive proprie.

Il Consiglio federale stabilisce, secondo lo stato della scienza e della tecnica, requisiti standardizzati nonché misure organizzative, tecniche, edili e riguardanti il personale standardizzate per garantire la sicurezza delle informazioni.

Può delegare tale compito.

I requisiti e le misure standardizzati hanno carattere di raccomandazione, sempre che non siano dichiarati vincolanti dalle autorità assoggettate.

I Cantoni provvedono alla verifica periodica dell’applicazione e dell’efficacia della sicurezza delle informazioni secondo l’articolo 3.

Informano il Servizio specializzato della Confederazione per la sicurezza delle informazioni sull’esito delle verifiche secondo il capoverso 1.

Ogni Cantone designa un servizio quale interlocutore delle autorità assoggettate per le questioni inerenti alla sicurezza delle informazioni.

Il Consiglio federale stabilisce in quali casi i Cantoni possono ricorrere alle prestazioni dei servizi specializzati secondo la presente legge per la loro sicurezza delle informazioni. Le prestazioni sono soggette al pagamento di un emolumento. Il Consiglio federale stabilisce l’ammontare degli emolumenti.

Il Consiglio federale è autorizzato a concludere trattati internazionali nel campo della sicurezza delle informazioni per:

1. lo scambio di informazioni su pericoli, vulnerabilità e incidenti in tale ambito, in particolare per quanto riguarda le infrastrutture critiche;
2. lo scambio di informazioni classificate;
3. l’esecuzione di controlli di sicurezza relativi alle persone e di procedure di sicurezza relative alle aziende;
4. il riconoscimento di dichiarazioni di sicurezza;
5. l’esecuzione di controlli.

Il Consiglio federale provvede affinché l’applicazione, l’adeguatezza, l’efficacia e l’economicità della presente legge siano periodicamente verificate da un servizio indipendente quale il Controllo federale delle finanze.

Redige periodicamente un rapporto per le commissioni competenti dell’Assemblea federale.