Quali standard minimi applicare e quali responsabilità assegnare ai fornitori di servizi informatici?
22.4211 · Interpellanza · 2022-09-30
Dipartimento delle Finanze
Liquidato
Wortlaut
Da anni si registrano numerosi casi di fuga di dati, di hacking e di attacchi informatici e altre problematiche legate alle tecnologie che hanno conseguenze potenzialmente molto gravi per le aziende e le organizzazioni vittime, come pure per i loro clienti e amministrati.
Benché il rischio zero non esista, una parte di queste problematiche è riconducibile all'impreparazione delle aziende alle attuali minacce nel settore della sicurezza digitale. Non è plausibile pretendere che tutte le aziende possiedano le competenze specialistiche necessarie per far fronte a queste minacce, tantomeno che siano in grado di giudicare autonomamente la competenza di un fornitore di servizi informatici.
Invito il Consiglio federale a rispondere alle seguenti domande.
- È vero quanto riportato dal quotidiano "24 heures" l'8 agosto 2022 secondo cui, se le competenze informatiche di un'azienda non sono sufficientemente affidabili e qualcuno denuncia pubblicamente il caso, tale persona rischia un processo in tribunale?
- Il Consiglio federale ritiene possibile migliorare in qualche modo la trasparenza in materia di competenze informatiche dei fornitori di servizi informatici?
- Nello specifico, l'Esecutivo intende semplificare la procedura di denuncia nei confronti delle aziende attive nel settore della sicurezza informatica, introdurre standard minimi o riflettere a una strategia di classificazione (label)?
- Il Consiglio federale crede che i ciber-rischi possano avere ripercussioni gravi sulla popolazione o sull'economia tali da giustificare una regolamentazione più severa rispetto ai settori immuni da tali rischi (analogamente alla regolamentazione nei settori come la sanità, l'energia, le telecomunicazioni, l'armamento ecc.)?
Stellungnahme des Bundesrates
Ad domanda 1: in virtù dell'articolo 3 capoverso 1 lettera a della legge federale contro la concorrenza sleale (LCSI), le persone colpite da esternazioni pubbliche sulla qualità dei loro servizi possono considerare tali affermazioni come inesatte, fallaci o inutilmente lesive e, dunque, come atto sleale. In tal caso l'azienda interessata potrebbe adottare i provvedimenti di diritto civile e penale previsti nella LCSI. Avrebbe altresì la possibilità di invocare i delitti contro l'onore del Codice penale o la protezione della personalità del diritto civile. Un tribunale dovrebbe allora stabilire se si è in presenza di un atto illecito. Secondo il Consiglio federale è più efficace dare risalto alle aziende che attribuiscono la debita considerazione alla cibersicurezza anziché denunciare gli esempi negativi.
Ad domande 2 e 3: il Consiglio federale considera la trasparenza un aspetto molto importante nel campo della cibersicurezza. Per far sì che i fornitori di servizi informatici siano incoraggiati a investire nella cibersicurezza, quest'ultima deve essere percepita come un valore aggiunto per i clienti. Si può raggiungere questo obiettivo creando dei label.
Per questa ragione la creazione di label è promossa nel quadro dell'attuazione della Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC; a tale proposito si veda il "Rapporto sullo stato di attuazione della Strategia nazionale per la protezione della Svizzera contro i cyber-rischi 2018-2022" dell'agosto 2021).
I label sono uno strumento efficace anche nell'applicazione di standard minimi. Inoltre, l'attuazione della SNPC contribuisce a promuovere lo sviluppo e la concretizzazione di tali standard. In questo contesto va menzionato lo standard minimo per le TIC elaborato dall'Ufficio federale per l'approvvigionamento economico del Paese.
Per contro, il Consiglio federale ritiene che le misure tese ad agevolare le denunce non rappresentino un mezzo appropriato per rafforzare la cibersicurezza. Infatti, se devono temere che i loro sforzi in materia di cibersicurezza possano essere criticati a dispetto delle restrizioni imposte dal diritto sulla concorrenza sleale, i fornitori di servizi informatici non saranno incoraggiati a investire in questo campo.
Ad domanda 4: sì, il Consiglio federale è del parere che le ciberminacce possano avere ripercussioni importanti sull'economia e sulla popolazione. Consapevole del fatto che tutti i settori dell'economia ne sono toccati, valuta costantemente la necessità di adottare nuove misure di regolamentazione, oltre a quelle esistenti. Dal momento che i servizi informatici dispiegano i loro effetti in più settori dell'economia, è importante armonizzare le misure di tutti i settori toccati tenendo contemporaneamente conto della differente esposizione ai rischi nei settori e nelle aziende.
Risposta del Consiglio federale.