14.3379 · Interpellanza · 2014-05-08
Dipartimento delle Finanze
Liquidato
Wortlaut
Vi è il rischio che gli Stati Uniti abbiano accesso ai dati dei conti bancari svizzeri attraverso imprese statunitensi? Se il rischio esiste, la Confederazione non dovrebbe garantire la sicurezza dei siti svizzeri tramite le imprese svizzere che appartengono a strutture svizzere?
Begründung
L'accanimento della giustizia statunitense contro le banche svizzere solleva degli interrogativi relativi alla confidenzialità dei dati dei clienti svizzeri, segnatamente per gli accessi ai siti di e-banking. Infatti sembra tecnicamente possibile che gli Stati Uniti siano in possesso di dati confidenziali ottenuti presso imprese statunitensi costrette a fornire informazioni poiché legate al Patriot Act.
In teoria, il legame tra il client e la banca di appartenenza è debole: un'autorità di certificazione è incaricata di attestare che la comunicazione tra il client e il server è ben crittografata dalla società presso la quale si trova il server. In realtà, però, tecnicamente il legame tra il client di una banca e la banca stessa può essere "corrotto" a diversi livelli: server, autorità di certificazione, router, server DNS o client. Gli Stati Uniti possono lavorare a diversi livelli, in particolare l'autorità di certificazione e i router. Nel caso delle nostre grandi banche, le informazioni sono certificate e passano, tra l'altro, attraverso diverse imprese statunitensi, ad esempio Veri Sign, Cisco e Juniper (si veda Sercomm). Veri Sign, ad esempio, garantisce la sicurezza di Crédit Suisse gestendo un'ampia infrastruttura di rete che comprende due dei 13 root nameserver del DNS. Negli Stati Uniti la giustizia federale stabilisce che un'impresa statunitense debba fornire dati alle autorità (Patriot Act, 2001). La regola si applica anche se queste informazioni sono salvate al di fuori del territorio statunitense, compresa l'Europa. Ciò solleva tre domande:
1. La Svizzera è in grado di proteggere i dati dei clienti e delle imprese contro questa forma di "spionaggio ufficiale"?
2. Non dovremmo affidare la garanzia della sicurezza degli indirizzi ".ch" a delle imprese svizzere che appartengono a strutture svizzere come Switch, in particolare nel caso dei settori sensibili come quello bancario?
3. Lasceremmo gestire ad altri Paesi una parte della nostra sicurezza, del nostro esercito, della nostra polizia? Perché allora accettiamo di farlo con Internet?
Stellungnahme des Bundesrates
Il Consiglio federale è consapevole che sulla base del Patriot Act 2001 le imprese statunitensi possono essere tenute a trasmettere informazioni ai servizi di intelligence statunitensi. Questo principio si applica anche alle filiali di queste imprese all'estero, poiché la legge in vigore nel loro Paese d'origine prevale sistematicamente su quella nazionale del Paese in cui si trovano queste filiali. È incontestato che gran parte dell'infrastruttura necessaria per la gestione del world wide web è prodotta, gestita e manutenuta negli Stati Uniti. Vi rientrano sia componenti hardware che software come ad esempio server, router, browser, ecc.
1. È irrealistico pensare che si possa avere una protezione assoluta contro lo spionaggio cibernetico dei sistemi collegati in rete. In linea di principio le imprese svizzere sono responsabili dell'adeguata protezione dei loro dati. Inoltre, la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione Melani supporta i gestori di infrastrutture critiche.
Secondo l'articolo 7 della legge sulla protezione dei dati (LPD), i dati personali devono essere protetti contro il trattamento non autorizzato, mediante adeguati provvedimenti tecnici e organizzativi appropriati. Inoltre si applicano i requisiti minimi per la sicurezza dei dati previsti dall'ordinanza relativa alla legge sulla protezione dei dati (art. 8 segg. e art. 20 segg. OLPD). Per la trasmissione di dati personali dalla Svizzera all'estero devono essere rispettate le disposizioni svizzere sulla protezione dei dati (in particolare l'art. 6 LPD che riguarda la comunicazione transfrontaliera di dati personali, ma anche i principi generali sulla protezione dei dati previsti dalla LPD). Secondo l'articolo 2 capoverso 2 lettera c, la LPD non è applicabile se le autorità estere, nell'ambito dell'assistenza giudiziaria, chiedono alla Svizzera la pubblicazione di dati. Considerati i progressivi sviluppi tecnologici e sociali, il Consiglio federale ha inoltre incaricato il Dipartimento federale di giustizia e polizia di esaminare le misure legislative per rafforzare la protezione dei dati.
A livello internazionale la Svizzera ritiene che tutti gli Stati che hanno aderito al Patto internazionale relativo ai diritti civili e politici (Patto II dell'ONU) sono in linea di massima tenuti ad osservare le disposizioni (segnatamente l'art. 17) anche per le attività sovranazionali svolte all'estero.
Se i dati vengono trasmessi dalla Svizzera ai servizi di intelligence esteri o vengono direttamente acquisiti da loro, deve essere esaminata l'applicabilità delle disposizioni penali nel settore informatico (ad es. art. 143 CP concernente l'acquisizione illecita di dati; art. 143bis CP concernente l'accesso indebito a un sistema per l'elaborazione di dati) o reati contro lo Stato (ad es. art. 271 CP riguardante gli atti compiuti senza autorizzazione per conto di uno Stato estero). Inoltre, è possibile applicare diverse disposizioni del diritto penale accessorio (ad es. art. 47 cpv. 1 a e b della legge federale sulle banche, concernente la violazione del segreto professionale).
2. I nomi di domini con il suffisso .ch possono essere utilizzati sia da imprese svizzere che estere. La fondazione Switch è incaricata della manutenzione dei domini Internet con il suffisso .ch e, a determinate condizioni, ha la possibilità di bloccare il nome di un dominio secondo l'articolo 14fbis capoverso 2 dell'ordinanza concernente gli elementi d'indirizzo nel settore delle telecomunicazioni (RS784.104) del 6 ottobre 1997.
3. Per la suddetta ragione per cui gran parte dell'hardware e del software per la gestione di Internet è prodotto in gran parte negli Stati Uniti, è difficile impedire che i relativi prodotti siano impiegati nella realizzazione e nella gestione delle infrastrutture TIC. Ogni impresa deve decidere autonomamente se vuole trasmettere i propri dati su Internet e come intende proteggere i propri dati e le proprie infrastrutture.
Con la decisione del 28 gennaio 2014, il Consiglio federale ha tenuto conto della sicurezza dei dati nell'amministrazione federale. In questo contesto ha stabilito che le prestazioni per la gestione della trasmissione dei dati in territorio svizzero, se non sono stati forniti all'interno della Confederazione, devono essere assegnate per quanto possibile solo a imprese che per la fornitura della prestazione operano esclusivamente secondo il diritto svizzero, sono prevalentemente di proprietà svizzera e forniscono complessivamente la prestazione all'interno dei confini del nostro Paese. Inoltre, ha incaricato il Servizio delle attività informative della Confederazione di effettuare ulteriori valutazioni della situazione di minaccia e il Dipartimento federale delle finanze di elaborare in base a tali valutazioni i principi per la fornitura di prestazioni TIC per l'amministrazione federale.
Risposta del Consiglio federale.