18.3562 · Interpellanza · 2018-06-14
Dipartimento delle Finanze
Liquidato
Wortlaut
La cyber criminalità diventa una crescente preoccupazione per i privati e soprattutto per le imprese. Secondo gli ultimi dati, l'88 per cento delle imprese subiscono ogni anno cyber attacchi. Soltanto una minoranza di esse si avvale della possibilità di notificare il fatto su base volontaria alla Centrale d'annuncio e d'analisi della Confederazione per la sicurezza dell'informazione (Melani). Infatti molte ditte non ammettono di aver subìto un cyber attacco perché temono per la loro reputazione, minimizzano la gravità dell'attacco o esitano a segnalarlo per paura di ulteriori attacchi. Questa reticenza può tuttavia ostacolare la lotta alla cyber criminalità, perché si tende a sottovalutare il fenomeno, riguardo sia al numero di attacchi sia alla diffusione di specifici metodi di attacco.
L'introduzione dell'obbligo di notifica, perlomeno per le imprese, non solo consentirebbe di raccogliere una sufficiente quantità di dati nell'ambito dei cyber-rischi, ma anche di sensibilizzare maggiormente privati e imprese sulla problematica e di esercitare un effetto deterrente sui cyber criminali. Il Consiglio federale intende esaminare la possibilità di un obbligo di notifica nel quadro della Strategia nazionale per la protezione della Svizzera contro i cyber-rischi 2018-2022.
Chiedo pertanto al Consiglio federale di rispondere alle seguenti domande:
1. Fino a quando dureranno i lavori per esaminare la possibilità di introdurre l'obbligo di notifica per i cyber attacchi? In quale ambito il Consiglio federale presenterà i risultati di questi lavori e deciderà di introdurre o meno tale obbligo?
2. In che misura il Consiglio federale tiene conto, riflettendo su un eventuale obbligo di notifica, delle conseguenze negative legate a una maggiore burocrazia?
3. Riguardo alla possibilità di notifica su base volontaria, in passato ci sono state preoccupazioni da parte delle imprese o addirittura fughe di dati relativi a attacchi segnalati?
4. Qualora l'obbligo di notifica non vada in porto, il Consiglio federale ha già riflettuto su quali mezzi adottare per incoraggiare le imprese a segnalare eventuali cyber attacchi?
5. Fino a che punto la scarsità dei dati attualmente disponibili impedisce miglioramenti nell'ambito della cyber sicurezza?
Stellungnahme des Bundesrates
Il Consiglio federale condivide il parere che un obbligo di notifica per qualsiasi tipo di cyber attacco possa sensibilizzare maggiormente ai rischi e quindi rafforzare la protezione della Svizzera dai cyber-rischi. Esperienze fatte all'estero dimostrano che un obbligo di notifica produce l'effetto desiderato solo se il dispendio per le imprese che la presentano è sostenibile e tale notifica offre degli incentivi positivi. Il Consiglio federale risponde alle domande come segue:
1. Dopo aver approvato la "Strategia nazionale per la protezione della Svizzera contro i cyber-rischi 2018-2022" sono stati avviati i lavori per fornire chiarimenti sull'introduzione di un obbligo di notifica. L'obiettivo è predisporre le basi entro l'estate del 2019 che consentiranno di prendere una decisione di principio sull'introduzione dell'obbligo di notifica. Al Parlamento verrà presentato un rapporto nell'ambito dell'adempimento del postulato Graf-Litscher 17.3475.
2. Il Consiglio federale è consapevole che l'introduzione dell'obbligo di notifica comporta inevitabilmente un certo onere amministrativo per le aziende e ne tiene conto nel valutare i vantaggi e gli svantaggi di tale obbligo e nell'esaminare i vari modelli per la sua possibile implementazione.
3. Non ci sono indicazioni sul fatto che le segnalazioni di attacchi a Melani siano mai state oggetto di una fuga di dati. Non si può affermare con certezza se alcuni incidenti non siano stati segnalati per preoccupazioni legate alla protezione dei dati. Tuttavia, Melani è stata in grado di creare rapporti di fiducia con le aziende che operano nella sua rete e tra le aziende stesse. Questo è stato confermato da un sondaggio del 2015, effettuato tra i membri della cerchia chiusa di clienti di Melani, riservata ai gestori di infrastrutture critiche. Queste imprese hanno anche sottoscritto un accordo di non divulgazione ("non disclosure agreement") con Melani che disciplina l'utilizzo delle informazioni condivise.
4. Per esperienza, i migliori incentivi per incoraggiare le aziende a segnalare un incidente sono l'offerta di supporto per la sua risoluzione, la possibilità di scambiare informazioni in forma anonima con altre strutture interessate e di accedere alla rete di esperti di sicurezza a livello nazionale e internazionale. Questi incentivi funzionano molto bene nel modello esistente, caratterizzato da una ristretta rete di partecipanti. Melani sta lavorando a modelli che possono garantire questi incentivi anche ad una clientela più vasta.
5. Grazie alle notifiche della cerchia ristretta di clienti e alla rete nazionale (e internazionale) di Melani, i dati disponibili sono sufficienti per fare una valutazione solida e aggiornata nel settore cyber. Più dati permetterebbero di fare analisi più precise e si può supporre che un obbligo di notifica aumenterebbe l'attenzione per i cyber-rischi.
Risposta del Consiglio federale.