20.1000 · Interrogazione urgente · 2020-03-05
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
Prima ancora dell'elaborazione a livello giuridico e politico del caso di spionaggio relativo alla Crypto SA, è già chiaro che la reputazione della Svizzera come Stato di diritto e Paese neutrale e affidabile è stata gravemente danneggiata. In quanto sede di numerose organizzazioni internazionali, Paese con una lunga tradizione di buoni uffici e una delle più importanti piazze economiche digitali, la Svizzera deve assolutamente provvedere a un chiarimento senza lacune di quanto accaduto e dimostrare rapidamente alla comunità internazionale che intende percorrere con decisione e in maniera credibile nuove vie.
1. Mediante quali misure il Consiglio federale intende ristabilire la fiducia di altri Stati nella politica di neutralità svizzera dopo il caso Crypto?
2. Come valuta il Consiglio federale il parere secondo cui attività di spionaggio o un sostegno da parte della Svizzera a attività di spionaggio di terzi non sono compatibili con un posizionamento credibile della Svizzera come sede neutrale di numerose organizzazioni internazionali, Paese con una lunga tradizione di buoni uffici e una delle più importanti piazze economiche in grado di offrire, tra l'altro, fornitori affidabili di software negli ambiti della sicurezza, della cifratura e della cibersicurezza?
3. Quali rischi supplementari si presentano per la popolazione e l'economia, secondo il Consiglio federale, dal fatto che autorità statali (quali autorità di perseguimento penale e il SIC) partecipano, a scopi di sorveglianza, allo scambio e al commercio di lacune di sicurezza negli ambienti IT (quali zero day exploit) o cofinanziano lo sfruttamento di lacune di sicurezza, anziché colmarle, mediante l'acquisto di prodotti di sorveglianza (quali cavalli di Troia)? Quali modifiche legislative pianifica il Consiglio federale per ridurre i rischi in tal senso?
4. È necessario istituire un nuovo organo competente al quale debbano essere obbligatoriamente notificate le lacune di sicurezza note, che ricerchi attivamente i punti deboli a livello digitale e che comunichi successivamente in maniera trasparente ai produttori di software e anche al pubblico le lacune di sicurezza individuate o tale mandato può essere assegnato a un organo già esistente? Il Consiglio federale come intende garantire a livello di legge che, ai sensi della sicurezza delle informazioni, siano notificate (e non celate) anche informazioni in merito a lacune di sicurezza detenute da autorità (per es. dal SIC)?
5. Ogni crisi comporta anche delle opportunità. Quali opportunità intravvede il Consiglio federale in relazione con il caso Crypto?
Stellungnahme des Bundesrates
Osservazioni generali
Il 21 febbraio 2020 la Delegazione delle Commissioni della gestione delle Camere federali (DelCG) ha comunicato al Consiglio federale la sua intenzione di revocare la sua autorizzazione riguardo al proseguimento delle indagini da parte dell'ex giudice federale Niklaus Oberholzer e di voler assumere la direzione dei chiarimenti nel caso della Crypto SA. Tale decisione è stata pubblicata il 26 febbraio 2020.
Il Consiglio federale è in attesa del rapporto della DelCG. Non adotterà decisioni suscettibili di pregiudicare le indagini o influenzare conclusioni o eventuali raccomandazioni nel quadro dell'alta vigilanza parlamentare.
Il Consiglio federale risponde come segue alle singole domande:
1. La credibilità della politica estera svizzera è fondata sulla sua tradizionale stabilità e affidabilità. Il Consiglio federale non ha motivo di credere che la fiducia degli altri Stati nella politica di neutralità della Svizzera sia intaccata. Anche il numero di reazioni ufficiali di Stati terzi relative alla Svizzera è tuttora ridotto. Considerato, in particolare, che il Consiglio federale intende attendere i risultati delle indagini della DelCG, non si impongono al momento misure.
2. Come ogni Stato, la Svizzera dispone e ha bisogno di un servizio informazioni quale strumento per l'individuazione tempestiva e l'analisi di minacce e rischi determinanti per la politica di sicurezza. Nel quadro della legge federale sulle attività informative (LAIn; RS 121) sono stati definiti i settori di compiti, i mezzi, i limiti e i controlli delle attività informative. Per quanto concerne le attività di acquisizione di informazioni all'estero, l'articolo 36 capoverso 3 LAIn stabilisce che "i rischi in occasione dell'acquisizione" non devono essere "sproporzionati rispetto al valore atteso delle informazioni". Di conseguenza vanno e sono ponderati in ogni caso, da un lato, i benefici a livello di intelligence e, dall'altro, altre considerazioni di carattere politico. Il Consiglio federale è pertanto del parere che il quadro legale e politico dell'acquisizione di informazioni all'estero è stato sufficientemente stabilito.
3. Nella sfera di responsabilità degli Stati rientra il compito di garantire la sicurezza. Ciò significa in primo luogo che gli Stati svolgono un ruolo importante nel quadro della comunicazione di punti deboli del settore IT - al fine di proteggere la società, l'economia e le infrastrutture critiche -, e che devono assumersi le relative responsabilità. In secondo luogo, gli Stati devono anche provvedere affinché gli organi determinanti in materia di sicurezza, quali le autorità di perseguimento penale o i servizi informazioni, siano in grado di assumere i loro compiti legali anche nel contesto digitalizzato. La Svizzera dispone di basi legali chiare e, se paragonate a livello internazionale, restrittive nel cui quadro è consentito, a determinate condizioni, lo sfruttamento di punti deboli degli ambienti IT a favore della sicurezza interna o nell'ambito del perseguimento penale. Anche in tal caso vanno attentamente ponderati i rischi e i benefici di simili possibilità. Le basi legali vigenti e le procedure di autorizzazione su di esse fondate garantiscono che le necessarie ponderazioni degli interessi siano effettuate nella prassi.
4. È prassi comune che le lacune di sicurezza siano notificate ai produttori. Se il produttore non affronta il problema, il punto debole è di solito reso noto da chi lo ha individuato. Secondo le stime attuali, non sono pertanto necessarie misure supplementari.
5. Il Consiglio federale rinvia alle indagini in corso della DelCG, i cui risultati consentiranno una più solida valutazione fattuale e politica degli eventi.
Risposta del Consiglio federale.