Lexipedia

16.3186 · Mozione · 2016-03-17

Dipartimento delle Finanze

Liquidato

Wortlaut

Il Consiglio federale è invitato a indicare nel quadro della verifica sulla strategia nazionale per la protezione della Svizzera contro i cyberrischi (SNPC) da presentare dopo cinque anni (nell'estate del 2017), in che modo sia possibile delimitare in maniera giuridicamente chiara la protezione dei dati, la sicurezza dei dati e la lotta contro i cyberattacchi (criminalità, spionaggio, furto della proprietà intellettuale) affinché i dati possano essere protetti e lo scambio di informazioni tecniche sia comunque possibile. Per lo scambio di informazioni tecniche occorre creare una base giuridica.

Begründung

Nella SNPC il Consiglio federale ha più volte evidenziato la necessità di cooperazione tra istanze statali e private. Nel comunicato stampa del 5 giugno 2015 relativo al rapporto annuale 2014 sulla SNPC è stato osservato che deve essere rafforzata la collaborazione tra la Confederazione e l'economia attraverso la rete di competenza "Swiss Cyber Experts".

Alla luce della sensibilità dei dati di vittime di cyberattacchi e della complessità tecnica sembra essere urgente distinguere chiaramente i temi della protezione dei dati, sicurezza della lore e della lotta contro i cyberattacchi, così come creare la pertinente base giuridica che permetta lo scambio di informazioni tecniche a determinate condizioni.

Antrag des Bundesrates

Il Consiglio federale propone di respingere la mozione.

Stellungnahme des Bundesrates

Le condizioni quadro giuridiche sono le seguenti:

In occasione di un'inchiesta penale, il diritto processuale penale definisce l'eventuale segretezza o pubblicità del procedimento.

Qualora le informazioni riguardino i servizi d'informazione, questo viene disciplinato nella nuova legge sul servizio informazioni (al riguardo è comunque riuscito il referendum).

Le informazioni tecniche che vengono elaborate in relazione ai cyberattacchi non rappresentano di regola dati personali; in questi casi manca il riferimento alla persona. Costituiscono un'eccezione le informazioni che consentono di risalire alle persone o alle aziende interessate. Di conseguenza le informazioni tecniche non rientrano nel campo d'applicazione della legge federale sulla protezione dei dati (legge federale del 19 giugno 1992 sulla protezione dei dati, LPD; RS 235.1). A questo riguardo non sussiste pertanto alcun bisogno (supplementare) di delimitazione o di protezione; in questi casi il rischio di una lesione della personalità è estremamente basso.

Nel regime della LPD, i dati (personali) riguardanti le vittime di cyberattacchi rappresentano già dati personali degni di particolare protezione (purché riguardino sanzioni/procedimenti amministrativi o penali non pendenti). Essi sono assoggettati a un'accresciuta e sufficiente protezione tecnica e organizzativa.

Il Consiglio federale interpreta la mozione nel senso che ai fini della prevenzione debba essere possibile scambiare informazioni tecniche tra Stato ed economia privata.

Dal 2004, nel settore delle infrastrutture critiche esiste un partenariato pubblico-privato tra Stato ed economia privata, vale a dire Melani, la Centrale d'annuncio e d'analisi per la sicurezza dell'informazione, dove collaborano partner attivi nel campo della sicurezza di sistemi informatici e di Internet, nonché della protezione delle infrastrutture critiche svizzere. Affinché le informazioni vengano scambiate tra i partner, questa collaborazione richiede un elevato grado di fiducia.

Un importante criterio al riguardo consiste nel fatto che il fornitore delle informazioni deve classificare tali informazioni secondo un sistema concordato. Nel caso in cui queste fossero classificate come riservate o addirittura segrete, il fornitore può confidare che lo Stato non le divulghi. Questo concerne anche informazioni di natura tecnica poiché sulla loro base è spesso possibile risalire al fornitore, ovvero la parte lesa. Lo scambio di informazioni con altre cerchie può avvenire solo in questo contesto. Nell'ottica odierna non è previsto di modificare questa prassi in quanto ciò potrebbe compromettere l'ottima collaborazione tra Melani e i gestori di infrastrutture critiche.

Lo scambio di informazioni tra Melani e gli esercenti di infrastrutture critiche è pure oggetto della prevista legge sulla sicurezza delle informazioni (LSIn). La trasmissione del relativo messaggio all'attenzione del Parlamento è prevista entro l'estate del 2016 al termine della consultazione.

Dato che numerosi ambiti giuridici sono interessati dalle molteplici interfacce, d'intesa con i servizi della Confederazione responsabili dei settori, il Servizio di coordinamento della SNPC presta attenzione affinché durante i lavori legislativi e in occasione dell'esecuzione sia coerentemente garantita la collaborazione coordinata che permette di affrontare le nuove sfide in modo rapido e adeguato.

Le suddette misure vengono già attuate anche senza l'accettazione della mozione. Secondo il Consiglio federale un'ulteriore regolamentazione non è necessaria.

Il Consiglio federale propone di respingere la mozione.