19.3602 · Interpellanza · 2019-06-13
Dipartimento delle Finanze
Liquidato
Wortlaut
Con l'avanzare del processo di digitalizzazione, la dipendenza dai sistemi e da singoli componenti chiave digitali si fa più sentita in tutti gli ambiti della società. Questa situazione comporta elevati rischi di sicurezza. Questi rischi vengono esaminati attentamente nell'ultimo rapporto riguardante la sicurezza dell'informazione (Melani), presentato dal Consiglio federale nel mese di aprile 2019. In particolar modo, il rapporto tratta delle "backdoor" (porte sul retro), ovvero programmi o dispositivi integrati prima della consegna con lo scopo di facilitare a terzi l'accesso ai sistemi informatici per ragioni di spionaggio o sabotaggio. Il Consiglio federale raccomanda la creazione di una gestione sistematica del rischio che affronti i rapporti con i produttori, i fornitori e i subfornitori dei componenti chiave digitali. Inoltre, il rapporto stabilisce che per i produttori esteri il mero obbligo contrattuale di attenersi al diritto svizzero non rappresenta una garanzia sufficiente. Il controllo della catena di distribuzione di hardware e software risulta problematico, poiché è fortemente ramificata e spesso ripartita su diversi Paesi. In questo contesto occorre chiedersi quali ulteriori provvedimenti possono essere adottati per contenere i rischi connessi alla dipendenza dai singoli componenti chiave digitali.
La Confederazione e i Cantoni hanno creato, in numerosi ambiti, strumenti adatti al controllo di qualità dei beni di consumo e delle infrastrutture principali. L'Ispettorato federale degli impianti a corrente forte, ad esempio, ispeziona i prodotti elettrici con lo scopo di individuare eventuali carenze in materia di sicurezza. Il Laboratorio federale di prova dei materiali e di ricerca è nato dalla necessità di testare i materiali usati nella realizzazione di infrastrutture quali strade e ponti. Inoltre, la Confederazione dispone di meccanismi che garantiscono il rispetto delle norme fondamentali in materia di sicurezza alimentare.
Considerata l'importanza strategica e la vulnerabilità dei sistemi informatici, è necessario creare adeguati strumenti di controllo e verifica relativi ai componenti chiave digitali. Un organismo di verifica indipendente non avrebbe soltanto l'effetto di migliorare la gestione del rischio in settori sensibili; esso offrirebbe anche l'opportunità di sfruttare in maniera mirata i vantaggi derivanti della posizione strategica della Svizzera in un mercato orientato al futuro come quello della sicurezza informatica. A fronte di una rivalità crescente nel settore informatico a livello globale e della concentrazione della produzione in mano a poche grandi potenze, un organismo di controllo che risieda in un Paese neutrale e politicamente stabile come la Svizzera disporrebbe dei migliori presupposti per offrire a clienti Svizzeri ed esteri un servizio con l'etichetta "swiss secure".
Invito pertanto il Consiglio federale a rispondere ai seguenti quesiti:
1. Come giudica la proposta di creare un organismo di controllo che si occupi, in modo analogo agli strumenti creati in altri settori, di ridurre i rischi per la sicurezza legati ai componenti chiave digitali?
2. Su quali strutture preesistenti si potrebbe appoggiare un organismo di controllo di questo tipo?
3. Come giudica le possibilità di collaborazione con il settore informatico svizzero, le scuole universitarie e le associazioni di categoria, volta a creare un organismo di controllo per i componenti chiave digitali? Secondo quali modalità potranno essere definiti lo statuto organizzativo dell'organismo di controllo, il suo finanziamento e mandato, e il ruolo della Confederazione?
4. Considerate le attuali tensioni geopolitiche nel settore informatico, il Consiglio federale condivide l'opinione secondo cui la Svizzera ha tutti i presupposti per assumere un ruolo centrale nel contenimento dei rischi sistemici relativi ai componenti chiave digitali?
5. Alla luce di queste considerazioni, la creazione di un organismo di controllo indipendente può essere considerata un'opportunità per sfruttare in modo mirato i vantaggi della posizione strategica della Svizzera in un mercato orientato al futuro come quello della sicurezza informatica? Quali ulteriori provvedimenti intende prendere il Consiglio federale per rafforzare la posizione della Svizzera in questo ambito?
Stellungnahme des Bundesrates
Il Consiglio federale condivide la preoccupazione riguardo ai rischi per la sicurezza rappresentati dalle "backdoor" integrate in componenti critici hardware e software. Il Centro di competenza per la cibersicurezza della Confederazione mantiene relazioni con tutti gli attori interessati al fine di elaborare misure volte a minimizzare tali rischi.
1. Alla luce del gran numero di elementi che compongono prodotti hardware e software, e considerato il carattere internazionale dei processi di produzione e le dinamiche di mercato, l'esame sistematico dei componenti chiave digitali risulterebbe molto complesso. Un organismo di controllo potrebbe senz'altro essere d'aiuto nell'individuare i rischi con più prontezza e in modo più preciso, poiché fungerebbe da polo di conoscenze specialistiche e disporrebbe delle risorse necessarie per attuare procedimenti tecnici molto onerosi volti a esaminare i componenti hardware e software. Tuttavia sarebbe necessario verificare in modo approfondito se l'organismo possa anche emettere certificazioni per il conferimento di marchi. Di solito i processi di certificazione sono molto lunghi e raramente possono essere svolti in maniera esaustiva. In particolare, nel caso dei componenti hardware e software integrati, risulta quasi impossibile individuare tutte le "backdoor" e le carenze relative alla sicurezza. In aggiunta, la certificazione di hardware o software è rilasciata sulla base della situazione rilevata al momento dell'analisi, e tale situazione può variare nel corso del tempo. Questo accade in particolare nel caso dei software; pertanto, risulterebbe probabilmente difficile aggiornare le certificazioni restando al passo con il ritmo di rilascio delle versioni software. Va inoltre considerato il fatto che quasi tutti gli apparecchi elettronici in circolazione al giorno d'oggi sono dotati di tecnologie dell'informazione integrate. Ciò renderebbe il perimetro delle verifiche estremamente ampio e i processi poco standardizzati. Prima di procedere all'istituzione di un organismo di controllo sarebbe pertanto necessario valutare, per mezzo di un'attenta analisi dei costi e dei vantaggi, se il rilascio di certificazioni sia appropriato e, in tal caso, quali modalità di esame adottare e quale tipologia di certificazione rilasciare.
2. La protezione della Svizzera contro i ciber-rischi è un compito comune della società, dell'economia, della scienza e anche dello Stato, il quale ha un ruolo sussidiario. Nell'eventualità della creazione di un organismo di controllo, il Consiglio federale ritiene prioritario istituire un organo esterno all'amministrazione. La soluzione più ragionevole sarebbe dunque integrare l'organismo di controllo nelle strutture delle scuole universitarie. Inoltre, sarebbe necessario valutare in che modo si possa beneficiare delle competenze delle imprese private in questo ambito. Una struttura all'interno dell'amministrazione potrebbe essere rappresentata dal nuovo Centro di competenza per la cibersicurezza, ove necessario in collaborazione con il Cyber Defence Campus di armasuisse. Tale centro dovrebbe tuttavia venire ampliato in modo considerevole.
3. Coinvolgere gli attori economici e le scuole universitarie nell'eventualità della creazione di un organismo di controllo sarebbe di importanza fondamentale. La Confederazione sta considerando la possibilità di creare un organismo di controllo e ricerca in collaborazione con partner del settore economico, tra i quali la Commissione per la cibersicurezza di ICTSwitzerland (associazione mantello dell'economia TIC) e il Comitato consultivo Trasformazione digitale. I potenziali compiti di un tale organismo di controllo non sono ancora stati definiti e lo statuto organizzativo e le modalità di finanziamento relativi potranno essere stabiliti solo in un secondo momento.
4. Le tensioni geopolitiche nel settore informatico offrono di fatto alla Svizzera diverse opportunità per affermarsi come centro per la cibersicurezza. Sul piano internazionale, la Svizzera gode di un'ottima reputazione anche nel settore della cibersicurezza: è considerata un attore attendibile e affidabile, e per questo è anche apprezzata. Allo stesso tempo, il potere della Svizzera sul mercato dei componenti digitali rimane basso nel confronto internazionale, a causa della scarsa importanza attribuita alla Svizzera quale centro di produzione per componenti informatici. Per arginare in modo efficace i rischi sistemici a livello internazionale, è necessaria una stretta collaborazione con partner affidabili che si trovino in una situazione analoga a quella della Svizzera. Pertanto, una collaborazione con altri Paesi europei nella ricerca in questo ambito risulta di particolare importanza.
5. Ad oggi, i marchi e le certificazioni esistenti nell'ambito della cibersicurezza non godono di grande diffusione; ciò induce a pensare che la domanda sia limitata. Conseguenze indirette, quali il consolidamento della Svizzera come centro di competenza nella ricerca, sono tuttavia prevedibili. Un'economia della sicurezza delle TIC forte e innovativa è di grande importanza per il Consiglio federale; con la misura 3 "Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC)", esso si adopera a creare condizioni quadro vantaggiose per la sua realizzazione. Il Consiglio federale prevede in particolare la creazione e lo sviluppo di centri di innovazione nel settore della sicurezza informatica ed esaminerà, entro la fine del 2020, le misure da utilizzare per promuovere l'innovazione in questo contesto. Per contro, il Consiglio federale rinuncia volutamente a misure di sostegno diretto di carattere politico-industriale per le aziende che operano nel settore della sicurezza delle TIC, in quanto tali misure si opporrebbero ai principi di politica economica della Svizzera.
Risposta del Consiglio federale.