Lexipedia

10.4020 · Mozione · 2010-12-16

Dipartimento delle Finanze

Liquidato

Wortlaut

Il Consiglio federale è incaricato di adottare misure immediate per potenziare la Centrale svizzera d'annuncio e d'analisi per la sicurezza dell'informazione (Centrale Melani) affinché possa offrire i suoi servizi di attestata qualità all'intera economia nazionale.

Begründung

Nel 2010 il Center for Security Studies (CSS) del Politecnico federale di Zurigo ha presentato uno studio consacrato alla valutazione e allo sviluppo della Centrale Melani. Lo studio attribuisce buone note a Melani ma rileva che la centrale è giunta al limite delle proprie capacità. Infatti, i membri della cerchia chiusa auspicano servizi e informazioni che non potrebbero ottenere altrove. Tale richiesta non può essere soddisfatta senza potenziamento e segmentazione della centrale. In tutti i casi, sarebbe impossibile continuare con i mezzi attualmente disponibili, neppure mantenendo invariata la cerchia attuale dei clienti. Per di più, gli stessi clienti della centrale si lamentano del fatto che tanto per le piccole e medie imprese quanto per il largo pubblico non sembra esistere nessuna istituzione responsabile a livello di Confederazione. A causa delle forti interdipendenze che caratterizzano i sistemi TIC, questa lacuna comporta carenze a livello di protezione, ragion per cui dal punto di vista delle imprese sarebbe auspicabile che Melani svolgesse un ruolo più attivo anche in questo ambito.

Oggi come oggi, il mandato della centrale non è quello di essere a disposizione di tutti. L'unico documento strategico attualmente disponibile sul ruolo di Melani risale al 2003 e quindi non tiene conto del travolgente sviluppo dei sistemi TIC al quale abbiamo assistito da allora e pertanto non costituisce una base sufficiente. Ora, il Consiglio federale ha già sul tavolo diversi interventi concernenti l'elaborazione di una strategia generale per la sicurezza cibernetica. In questo senso si è proceduto alla nomina di un responsabile di progetto per la "Cyber defence" incaricato di elaborare una strategia globale della Confederazione contro le cyberminacce. La Centrale Melani sarà sicuramente inclusa nel quadro di questa strategia, ma siccome il processo seguito per definire una strategia richiede spesso parecchio tempo, bisogna impedire che conoscenze già oggi acquisite rimangano inutilizzate e che in questo modo il necessario sviluppo di Melani sia bloccato: la necessità di potenziare e segmentare Melani è scientificamente attestata e altrettanto evidente è la necessità di impostare il sostegno accessorio in funzione dell'intera economia. Il Politecnico di Zurigo ha proposto tre varianti: il "modello dei fiori" è atto a soddisfare la presente richiesta quale misura immediata.

Antrag des Bundesrates

Il Consiglio federale propone di respingere la mozione.

Stellungnahme des Bundesrates

In base a una strategia sviluppata dall'Organo strategia informatica della Confederazione (OSIC) per la protezione contro i cyber-attacchi, nel 2003 il Consiglio federale ha istituito la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione (Melani). Dopo averla sottoposta a una valutazione, l'ha definitivamente attivata nel 2007. I compiti principali di Melani sono la raccolta e l'analisi di informazioni riguardanti minacce provenienti dal ciberspazio e destinate a infrastrutture critiche, il supporto agli operatori di tali infrastrutture nel caso in cui simili eventi dovessero verificarsi, il coordinamento interno e intersettoriale nel caso di una crisi causata da attacchi informatici nonché l'attuazione di misure di prevenzione. Inoltre, nell'ambito delle sue risorse Melani informa gli altri settori economici e la popolazione su minacce e possibili misure protettive. Il personale di Melani è costituito da collaboratori dell'OSIC (direzione strategica e assistenza tecnica tramite GovCERT.ch) nonché del Servizio delle attività informative della Confederazione (SIC, centro operativo: Operations and Information Centre). Melani funziona come una public private partnership con gli operatori di infrastrutture critiche nei seguenti settori: amministrazione pubblica, finanza, chimica/farmaceutica, approvvigionamento energetico, sanità, industria, telecomunicazioni, trasporti e logistica nonché assicurazioni.

Attualmente nell'ambito di Melani circa cento aziende fanno parte di questa forma di collaborazione tra settore pubblico e privato. Esse hanno competenze tecniche proprie e devono essenzialmente garantire autonomamente il funzionamento delle loro infrastrutture considerate critiche. Questa cerchia di partner relativamente facile da gestire consente una collaborazione molto stretta, basata sulla fiducia reciproca e sullo scambio di informazioni. Se il mandato di base di Melani fosse esteso alla protezione dell'intera economia da minacce informatiche, la cerchia dei clienti aumenterebbe potenzialmente a circa 300 000 imprese, la maggior parte delle quali dispongono di competenze tecniche minime o molto limitate e non gestiscono infrastrutture critiche in senso stretto. Non sarebbe quindi applicabile lo stesso modello. Una tale estensione richiede prestazioni completamente diverse, e le risorse necessarie alla loro predisposizione superano abbondantemente i mezzi di cui Melani dispone. Inoltre, essa limiterebbe notevolmente la qualità e l'intensità della collaborazione nonché dello scambio di know-how. Già oggi Melani non dispone di risorse umane sufficienti per garantire lo svolgimento dei compiti chiave in tutti i settori. Inoltre, si pone la questione di delimitare i compiti spettanti al settore dell'economia privata e quelli statali. Attualmente Melani opera esclusivamente in via sussidiaria.

La proposta di mettere a disposizione di tutte le imprese svizzere - quale misura immediata - non solo i rapporti di situazione, ma pure le prestazioni di servizi che Melani offre agli esercenti di infrastrutture critiche, attualmente non è quindi un'alternativa praticabile. Per contro, nell'ambito del gruppo di lavoro approvato dal Consiglio federale il 10 dicembre 2010 e diretto dal DDPS viene elaborata una nuova strategia interdipartimentale della Confederazione contro le minacce informatiche (cfr. anche il progetto "Sicurezza e fiducia" dell'UFCOM, di cui il Consiglio federale ha preso conoscenza l'11 giugno 2010). Questa strategia viene definita congiuntamente alla strategia di base del Consiglio federale per la protezione delle infrastrutture critiche (PIC) - già in corso di attuazione - e all'allestimento di una strategia nazionale riguardante il settore PIC, elaborata sotto la direzione dell'Ufficio federale della protezione della popolazione (UFPP), che sarà presentata al Consiglio federale entro la primavera del 2012. A ciò si aggiungono un'analisi aggiornata delle minacce informatiche, un elenco esplicativo delle misure di protezione e di difesa disponibili nonché l'indicazione di misure necessarie per colmare eventuali lacune. La strategia sarà presentata entro la fine del 2011.

Il Consiglio federale propone di respingere la mozione.