Qual è la posizione del Consiglio federale in merito alle critiche mosse da parte della Delegazione delle Commissioni della gestione al Servizio delle attività informative?
13.3825 · Interpellanza · 2013-09-26
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
Il 30 agosto 2013 la Delegazione delle Commissioni della gestione (DelCG) ha pubblicato un rapporto concernente l'ispezione relativa alla sicurezza informatica in seno al Servizio delle attività informative della Confederazione (SIC). Il rapporto si basa su un'ispezione formale e contiene 11 raccomandazioni al Consiglio federale. Esso evidenzia lacune importanti per quanto riguarda la sicurezza informatica in seno al SIC. Poiché il SIC tratta dati sensibili nell'ambito del terrorismo, dell'estremismo, del commercio illegale di armi e di materiale radioattivo nonché della sicurezza interna, le lacune a livello di sicurezza sono una minaccia per la protezione dei cittadini svizzeri e dei loro diritti fondamentali. Evidentemente il Dipartimento competente (DDPS) non condivide tali conclusioni, poiché in un rapporto dell'11 aprile 2013, pubblicato dal DDPS ancora prima della fine dell'ispezione della DelCG, il lavoro del SIC viene lodato e non si fa riferimento ai problemi già noti. Il Consiglio federale è quindi invitato a rispondere alle seguenti domande:
1. Il rapporto del DDPS dell'11 aprile 2013 è stato presentato al Consiglio federale e discusso?
2. Come si spiegano le notevoli differenze tra le analisi e le conclusioni del rapporto del DDPS e quelle della DelCG?
3. Condivide la convinzione del DDPS che in seguito al furto di dati ("diverse migliaia di dati") o ad altre lacune a livello di sicurezza oggi note, "nessun dato è entrato in possesso di persone non autorizzate" (rapporto del DDPS dell'11 aprile 2013)?
4. Secondo la DelCG, "dopo il furto di dati, il direttore del SIC non ha assunto con sufficiente coerenza il proprio compito di vigilanza e non ha affidato all'organo corretto all'interno del servizio l'indagine interna". Mancano inoltre una gestione dei rischi seria nonché misure tecniche e organizzative minime per la sicurezza informatica. Il Consiglio federale condivide l'opinione secondo cui la gestione dei rischi, i processi di sicurezza e la pianificazione delle risorse fanno parte dei compiti fondamentali di un dirigente, in particolare se del SIC? È disposto a tollerare che dirigenti scelti dallo stesso Consiglio federale svolgano tali compiti fondamentali in modo lacunoso?
5. Un'importante parte di responsabilità per i problemi del SIC spetta al DDPS. Il Consiglio federale quando è stato informato per la prima volta sulle conseguenze delle scarse risorse di personale? Ritiene che le misure intraprese dal capo del DDPS per l'analisi e la gestione delle crisi nonché per il miglioramento della cultura del rischio e della sicurezza siano sufficienti ed efficaci?
Stellungnahme des Bundesrates
1. Il 22 aprile 2013 il DDPS ha sottoposto il suo rapporto "Fuga di dati evitata in seno al Servizio delle attività informative della Confederazione" al Consiglio federale, che ne ha preso atto nella sua seduta del 24 aprile 2013.
2. Il Consiglio federale è consapevole delle analisi e delle conclusioni parzialmente divergenti del DDPS e della Delegazione delle Commissioni della gestione. Ritiene tuttavia che entrambi i rapporti siano contributi utili a chiarire i fatti relativi alla fuga di dati sventata in seno al SIC. Su tale base, il 30 ottobre 2013 il Consiglio federale ha fornito il suo parere sul rapporto della Delegazione delle Commissioni della gestione ed effettuato una valutazione del caso e della sua elaborazione successiva in seno al SIC e al DDPS. In tale contesto è giunto alla conclusione che un resoconto delle evidenti lacune in un sottosettore del servizio informazioni senza un contemporaneo riconoscimento delle prestazioni globali di tale servizio sia in contrasto con l'effettiva percezione da parte dei suoi mandanti e dei beneficiari delle sue prestazioni.
3. Nel quadro delle proprie operazioni d'inchiesta il Ministero pubblico della Confederazione ha potuto recuperare la totalità dei supporti di dati sottratti. Le autorità di perseguimento penale hanno esaminato tali supporti di dati e sono giunte alla conclusione che non vi è alcun indizio che i dati sottratti siano stati copiati o trasmessi.
4. Nel suo parere il Consiglio federale sottolinea che, dopo la fusione, il SIC è riuscito, senza perdite a livello di conoscenze o gravi problemi di personale, ad assicurare la legalità del proprio lavoro, a consolidare una cultura professionale comune e, contemporaneamente, a continuare a fornire prestazioni di elevata qualità. Il Consiglio federale constata inoltre che dopo la fusione la fiducia dei partner esteri nel SIC è aumentata. Infine, considera positivamente il fatto che nel frattempo il SIC e il DDPS abbiano avviato l'eliminazione delle lacune e dei punti deboli individuati.
5. Il Consiglio federale è stato reso attento per la prima volta in occasione del rapporto del DDPS del 26 aprile 2013, in relazione con il furto di dati, in merito alla carenza di risorse di personale per quanto riguarda la sicurezza informatica. Immediatamente dopo il problema di sicurezza del maggio 2012, numerosi servizi interni ed esterni al DDPS sono stati incaricati di eseguire un'analisi della situazione e di illustrare il fabbisogno d'intervento. Il Consiglio federale considera queste misure - unitamente ad altre da esso adottate o ancora da adottare sulla base delle raccomandazioni della Delegazione delle Commissioni della gestione - come sufficienti e appropriate.
Risposta del Consiglio federale.