Lexipedia

15.3396 · Interpellanza · 2015-05-04

Dipartimento delle Finanze

Liquidato

Wortlaut

Invito il Consiglio federale a rispondere alle seguenti domande:

1. Quali dati vengono trattati nell'ambito del mandato assegnato all'impresa Hewlett Packard citata nella motivazione?

2. Quali garanzie ha ottenuto il Consiglio federale, affinché questi dati non siano divulgati ai servizi d'informazione di altri Stati, in particolare agli Stati Uniti?

3. In che modo il Consiglio federale intende accertarsi che tali garanzie siano rispettate? In caso di mancato rispetto, quali sanzioni sono previste?

4. Il comunicato stampa del 23 aprile 2015 cita il "rispetto delle direttive dell'amministrazione federale". A quali direttive si fa riferimento?

5. Dove saranno archiviati i dati? Saranno soggetti in qualsiasi momento esclusivamente alla legislazione svizzera?

6. Se i dati sono esclusivamente archiviati in Svizzera, il Consiglio federale può garantire che non saranno fornite alcune copie ad altri Paesi?

7. Cosa accadrebbe ai dati in caso di fallimento del servizio di hosting (cfr. risposta del Consiglio federale all'interrogazione 14.1064)?

8. Perché si è ricorso a imprese private straniere anziché a un'impresa svizzera o perché non è stato effettuato uno sviluppo interno?

9. Perché l'Ufficio federale dell'informatica e della telecomunicazione (UFIT) non ha fatto valere le eccezioni previste dall'articolo 3 capoverso 2 LAPub?

Begründung

Il 23 aprile 2015 l'UFIT ha assegnato due mandati per un importo totale di 197 milioni di franchi. L'UFIT svilupperà il cloud in collaborazione con l'impresa Hewlett Packard e realizzerà il progetto di data warehousing, che ammonta a 137 milioni di franchi, d'intesa con la ditta Teradata. Hewlett Packard è un'impresa statunitense e Teradata (Svizzera) GmbH è una filiale di un'impresa statunitense. Secondo le legislazioni in materia di terrorismo degli Stati Uniti (ad es. FISA cfr. interpellanza 13.3033), queste imprese possono essere chiamate a trasmettere tutti i dati in loro possesso ai servizi d'informazione, senza avvisare i detentori. Bisogna evitare che i dati della Confederazione vengano trasmessi.

Stellungnahme des Bundesrates

Occorre innanzitutto osservare in generale che con questo bando l'Ufficio federale dell'informatica e della telecomunicazione (UFIT) ha creato una piattaforma per un "private cloud" interno alla Confederazione gestita dallo stesso UFIT. Non si tratta quindi, come si potrebbe desumere dalle domande, di una prestazione in cloud pubblico gestito da un fornitore esterno.

1. In qualità di fornitore di servizi, su questa piattaforma l'UFIT mette a disposizione dei beneficiari di prestazioni (uffici federali interessati e altre unità amministrative della Confederazione) servizi di cloud computing privati standardizzati, come ad esempio server virtuali. Spetta alle singole unità amministrative decidere quali dati vengano gestiti per mezzo della piattaforma; è da presumere che sulla piattaforma vengano trattati o memorizzati sia dati non classificati, che dati classificati come ad uso "Interno" e "Confidenziali". Questa piattaforma sostituirà in prosieguo di tempo una piattaforma simile, la quale è già gestita dall'UFIT con tecnologie della Hewlett Packard nei centri di calcolo dell'UFIT. Al riguardo, ai clienti dell'UFIT verranno messe a disposizione nuove funzionalità che offriranno una maggiore flessibilità e automatizzazione nell'approntamento e nell'uso della piattaforma.

2./3. La piattaforma cloud viene gestita nei centri di calcolo dell'UFIT dai collaboratori dell'UFIT. Ai fini del rispetto delle direttive dell'amministrazione federale ciò è ottimale, in particolare nell'ottica della sicurezza. Hewlett Packard mette a disposizione unicamente l'hardware. Per ridurre ulteriormente il rischio di una fuga di dati, i servizi di manutenzione del fornitore vengono effettuati in modo da poter essere sorvegliati. Per questa ragione, le garanzie date da Hewlett Packard, che sono quelle richieste normalmente dalla Confederazione ai fornitori di materiale informatico, nella fattispecie sono sufficienti. Diverso sarebbe il caso per le prestazioni di servizi gestite dal fornitore. Queste garanzie comprendono il rispetto dell'obbligo di mantenere il segreto e quello di salvaguardare la protezione dei dati, che sono definiti come criteri obbligatori nel progetto di contratto accluso all'offerta d'appalto, criteri accettati da Hewlett Packard. Inoltre, in caso di furto di dati si applicano le disposizioni del Codice penale (ad es. art. 143bis, 144bis CP).

4. Le suddette direttive contengono in particolare le istruzioni del Consiglio federale del 14 agosto 2013 sulla sicurezza TIC nell'amministrazione federale, che sono state rielaborate ed entreranno in vigore nella nuova forma il 1° gennaio 2016 (istruzioni dell'1° luglio 2015). In queste direttive rientrano anche le prescrizioni dell'ODIC sulla sicurezza TIC (vedi www.isb.admin.ch > Temi > Sicurezza > Basi per la sicurezza > Istruzioni sulla sicurezza informatica). Inoltre, deve essere rispettata la legislazione svizzera in materia, come ad esempio l'ordinanza del 9 dicembre 2011 sull'informatica nell'amministrazione federale (OIAF; RS 172.010.58), l'ordinanza del 4 luglio 2007 sulla protezione delle informazioni (OprI; RS 510.411), la legge federale del 19 giugno 1992 sulla protezione dei dati (LPD; RS 235.1), l'ordinanza del 14 giugno 1993 relativa alla legge federale sulla protezione dei dati (OLPD; RS 235.11), così come la legge del 21 marzo 1997 sull'organizzazione del governo e dell'amministrazione (LOGA; RS 172.010). Il 29 gennaio 2014 il Consiglio federale ha deciso l'elaborazione di norme e principi per minimizzare il rischio di spionaggio elettronico da parte di servizi d'informazione per il tramite dei fornitori di infrastrutture TIC strumentalizzati. Quale nuovo elemento della procedura di sicurezza TIC per acquisti delicati, dalla fine del 2014 viene testato un concetto di verifica. Questo metodo di gestione del rischio per ridurre lo spionaggio dei servizi d'informazione (RINA) è stato ripreso nelle istruzioni del Consiglio federale sulla sicurezza TIC nell'amministrazione federale. Nel quadro di questi lavori è stato esaminato anche l'acquisto di una piattaforma cloud mentre le soluzioni legate all'organizzazione e alla sicurezza sono state giudicate opportune.

5./6. I dati sono archiviati sulla piattaforma cloud, gestita nei centri di calcolo dell'UFIT dai collaboratori dell'UFIT. Di conseguenza i dati restano sempre sottoposti al diritto svizzero. I servizi di manutenzione del fornitore vengono eseguiti in modo da poter essere monitorati. In tal modo si minimizza il rischio di un deflusso di dati. Poiché, per quanto riguarda il furto di dati, ogni piattaforma di dati è comunque esposta a un rischio residuo, non è possibile rilasciare una garanzia formale contro il furto di dati.

7. Poiché non è prevista una memorizzazione dei dati da parte di imprese private, la questione in ordine a un eventuale fallimento del servizio di hosting non si pone.

8./9. Da un lato, va precisato che non esistono imprese svizzere che producono questi sistemi integralmente in Svizzera in grado di soddisfare le condizioni del mandato per quanto riguarda la tecnologia e in particolare l'hardware. D'altro lato, si ricorda che gli appalti dell'amministrazione federale sono soggetti alla legislazione dell'OMC che si basa sul principio della non discriminazione.

In virtù della costante giurisprudenza, l'applicazione della clausola delle eccezioni secondo l'articolo 3 capoverso 2 della legge federale del 16 dicembre 1994 sugli acquisti pubblici (RS 172.056.1) è soggetta a severe condizioni. Occorre dimostrare che sono state esaminate misure alternative, con effetti meno distorsivi della concorrenza e che tali misure non si rivelano idonee, vale a dire non comportano una sufficiente riduzione del rischio. Nella fattispecie l'applicazione di una simile eccezione non era giustificata.

Risposta del Consiglio federale.