18.4197 · Interpellanza · 2018-12-12
Dipartimento delle Finanze
Liquidato
Wortlaut
La discussione sulla sicurezza informatica delle infrastrutture critiche dovrebbe concentrarsi maggiormente sullo spionaggio industriale. La progressiva digitalizzazione della nostra società farà aumentare notevolmente la quantità di dati sensibili. Le nostre imprese saranno sempre più interconnesse e automatizzate. Il flusso di dati che ne risulterà non potrà essere controllato, oppure potrà esserlo solo in parte. L'infrastruttura informatica di tali imprese diventerà così la vittima ideale dello spionaggio industriale, che potrà provocare una perdita in termini di conoscenze e innovazione e dunque di posti di lavoro. In questo contesto, dato anche il forte legame delle imprese straniere con gli organi statali e militari dei loro Paesi di origine, sorgono domande centrali che riguardano il nostro benessere e la nostra sicurezza nazionale. Altre nazioni industrializzate come Germania, Stati Uniti, Australia e, più recentemente, il Giappone, vietano in parte di ricorrere a fornitori stranieri o di acquistare da taluni Paesi. È opportuno discutere urgentemente l'approccio della Svizzera di fronte a questi pericoli e valutare l'adozione di apposite misure.
Alla luce di questa situazione, chiedo al Consiglio federale di rispondere alle seguenti domande:
1. In base alla legislazione vigente, quali possibilità ha la Confederazione di contrastare l'influenza dei fornitori stranieri sull'infrastruttura informatica critica?
2. Quali ulteriori misure si potrebbero adottare contro la crescente influenza esercitata dalle imprese straniere su alcuni componenti dell'infrastruttura informatica critica del nostro Paese?
3. In che modo le nostre infrastrutture di rete fissa e mobile sono protette dalla criminalità finanziaria, tanto più che tutti i fornitori di componenti delle nostre reti sono attualmente stranieri?
4. Secondo la revisione della legge sulle telecomunicazioni, i fornitori di servizi di telecomunicazione devono lottare contro le manipolazioni non autorizzate degli impianti di telecomunicazione. Come si assicura lo svolgimento dei relativi controlli?
5. Il Consiglio federale dispone di mezzi sufficienti per garantire in ogni momento la sicurezza informatica nell'acquisto e nella gestione delle infrastrutture informatiche critiche, oppure occorrono nuove basi legali?
Stellungnahme des Bundesrates
1. Conformemente all'articolo 3 della legge federale del 16 dicembre 1994 sugli acquisti pubblici (LAPub; RS 172.056.1), la Confederazione può limitare in via eccezionale la concorrenza per i propri acquisti se la sua sicurezza è minacciata. In base alla situazione giuridica attuale il Consiglio federale non può emanare prescrizioni riguardo all'ammissione di offerenti stranieri nei confronti dei gestori privati e cantonali di infrastrutture critiche.
2. L'influsso degli offerenti stranieri sull'infrastruttura informatica nazionale non potrà essere ridotto in misura significativa a breve termine. Per la maggior parte dei prodotti mancano alternative indigene. È però possibile arginare il rischio di abuso da parte degli offerenti stranieri. Al riguardo è importante stabilire i rischi esistenti, compito che spetta al Servizio delle attività informative della Confederazione e alla Centrale d'annuncio e d'analisi per la sicurezza dell'informazione. Per farlo, i due organismi si basano su analisi proprie e di altri servizi specializzati della Confederazione (come armasuisse o la Base di aiuto alla condotta BAC), che esaminano il rischio di impiego abusivo delle TIC e sviluppano misure per ridurlo in collaborazione con la ricerca e l'industria. Si potrebbero anche definire dei requisiti di sicurezza per le infrastrutture critiche tramite certificazioni e standardizzazioni, oppure si potrebbe esigere l'esecuzione di procedure di sicurezza relative alle aziende per prestazioni di servizi critiche.
3. Solitamente l'infrastruttura di rete fissa e di rete mobile non è l'obiettivo dei criminali economici, bensì il mezzo utilizzato per rubare informazioni. Il livello di sicurezza di queste infrastrutture dipende direttamente da come queste tecnologie sono state configurate dagli utenti. I mezzi adeguati permettono di raggiungere un elevato livello di protezione. Occorre esaminare con attenzione e in modo autonomo la sicurezza delle TIC impiegate e non affidarsi esclusivamente a quanto indicato dall'offerente.
4. La revisione della legge del 30 aprile 1997 sulle telecomunicazioni (LTC; RS 784.10) introduce l'obbligo per tutti i fornitori di servizi di telecomunicazione di lottare contro le manipolazioni non autorizzate degli impianti di telecomunicazione attraverso trasmissioni mediante telecomunicazione. La vigilanza compete all'Ufficio federale delle comunicazioni (UFCOM), a cui i fornitori sono tenuti a dare tutte le informazioni necessarie all'esecuzione della legge. Se ci fossero motivi per sospettare che i fornitori non proteggono a sufficienza i propri impianti dalle suddette manipolazioni, l'UFCOM può intervenire nel quadro delle sue competenze di vigilanza. Vige inoltre il segreto delle telecomunicazioni.
5. Con l'introduzione della legge sulla sicurezza delle informazioni (LSIn; 17.028) il Consiglio federale propone nuove basi giuridiche per migliorare la sicurezza informatica delle infrastrutture che appartengono alla Confederazione. Le aziende che forniscono prestazioni di servizi informatiche critiche alla Confederazione devono sottoporsi a un'apposita procedura di sicurezza. In questo caso la nazionalità dell'azienda può essere considerata un fattore di rischio. La LSIn non offre una base per escludere a priori i fornitori stranieri, ma permetterebbe di verificarne l'affidabilità e la sicurezza durante l'esecuzione del mandato. Secondo il disegno di legge, il campo d'applicazione della LSIn rimarrebbe di principio limitato ai mandati della Confederazione, ma in virtù dell'articolo 2 capoverso 5 potrebbe essere esteso tramite legislazione speciale anche ai mandati di gestori di infrastrutture critiche.
Risposta del Consiglio federale.