20.3496 · Interpellanza · 2020-06-03
Dipartimento delle Finanze
Liquidato
Wortlaut
In un'intervista rilasciata al Tages-Anzeiger, la consigliera federale Viola Amherd ha evocato la possibilità di dotare l'esercito di una cibertruppa d'intervento che aiuterebbe i gestori di infrastrutture critiche e aziende private a respingere i ciberattacchi. Come indicato nel rapporto del 27 novembre 2019 relativo all'organizzazione della Confederazione per l'attuazione della Strategia nazionale per la protezione della Svizzera contro i cyber-rischi, il Consiglio federale ritiene che il compito principale dell'esercito riguardi il settore della ciberdifesa: l'esercito deve proteggere la propria infrastruttura e difendersi contro gli attacchi nel ciberspazio. Il settore della cibersicurezza è invece integrato nel Dipartimento federale delle finanze (DFF).
In questo contesto, invito il Consiglio federale a rispondere alle domande seguenti.
1. La creazione di una cibertruppa d'intervento non è in contraddizione con la Strategia nazionale per la protezione della Svizzera contro i cyber-rischi? Questo genere di truppa può eseguire compiti che vanno oltre il quadro definito dal Consiglio federale nell'ordinanza sulla ciberdifesa militare (OCDM; RS 510.921)?
2. Oltre all'autoprotezione e all'autodifesa, all'esercito spetta anche il compito di proteggere le aziende private e i gestori civili di infrastrutture critiche contro i ciberattacchi? Qual è la soglia oltre la quale lo Stato interviene, se la responsabilità individuale delle aziende e dei gestori di infrastrutture critiche è messa a dura prova? Quali sono i servizi dello Stato che intervengono per primi? Non è problematico se l'esercito si accaparra gli specialisti, in un mercato del lavoro limitato?
3. Come sono ripartite le risorse in seno alla Confederazione? Quanti posti sono previsti per i compiti relativi alla difesa, alla sicurezza e alla criminalità? A quali Uffici sono destinati?
4. Vi è una delimitazione chiara delle competenze fra esercito e servizi civili nel campo della cibersicurezza? Ci sono doppioni? Il primato della politica e della condotta civile è sempre garantito?
5. C'è chi accusa una rivalità fra DDPS e DFF in tale ambito. Cosa pensa il Consiglio federale di questa critica?
Stellungnahme des Bundesrates
Il Consiglio federale prende posizione come segue.
1. La Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC) presenta i compiti principali dell'esercito nel ciberspazio e il suo ruolo sussidiario di supporto delle autorità civili. Si tratta di compiti dell'esercito sanciti nella legge, che sussistono indipendentemente dalla SNCP, ma che fanno parte di questa strategia. L'ordinanza sulla ciberdifesa militare (OCDM; RS 510.921) disciplina le misure e le competenze per l'autoprotezione e l'autodifesa dell'esercito in caso di attacco ai rispettivi sistemi d'informazione e alle rispettive reti informatiche. In virtù della legge militare (LM; RS 510.10, art. 1 e artt. 68-75), l'esercito può fornire supporto sussidiario anche nel settore del ciberspazio per un compito d'interesse pubblico, se le autorità civili non dispongono di risorse sufficienti e richiedono tale appoggio.
2. La protezione delle imprese contro i ciber-rischi non è in prima linea compito dell'esercito né dello Stato. Di norma, le imprese sono responsabili della propria sicurezza informatica. Gli enti statali, le autorità civili o l'esercito forniscono supporto unicamente su richiesta delle imprese; un intervento attivo da parte dello Stato è possibile solo se un ciberattacco può essere classificato come un'aggressione armata contro la Svizzera. In ogni caso, spetta alle autorità politiche valutare l'attacco e stabilire se è necessario mobilitare le forze armate per respingerlo. L'impiego sussidiario dell'esercito nell'ambito della protezione contro i ciber-rischi avviene in conformità alle disposizioni legali vigenti (cfr. risposta alla domanda 1).
Nell'ambito del suo corso di formazione cyber, l'esercito forma ogni anno 40 specialisti in cibersicurezza e contribuisce in tal modo a ridurre la carenza di personale qualificato in Svizzera.
3. I ciber-rischi sono parte integrante dell'attività di tutti collaboratori dell'Amministrazione federale che svolgono compiti relativi alla sicurezza interna o esterna. Per questa ragione non è possibile fornire una panoramica completa delle risorse impiegate. Possono essere enumerati gli specialisti i cui compiti concernono esclusivamente i ciber-rischi: il Centro nazionale per la cibersicurezza (NCSC), che è in pieno sviluppo, conta attualmente, e fino a fine 2021, 43 posti. Il NCSC è supportato da altri 26 posti decentralizzati nel DFAE, nel DFI, nel DATEC e nel DEFR. Il DDPS dispone di 175 posti specializzati per adempiere i compiti del DDPS nell'ambito della SNPC e sostenere il NCSC, nonché per svolgere i compiti legati alla ciberdifesa.
Anche il personale che lavora nell'ambito del perseguimento penale è confrontato con gli aspetti digitali nel corso delle sue indagini. fedpol conta 41,5 specialisti in cibersicurezza, uno dei quali è distaccato presso il Centro Europeo contro il cybercrimine dell'Europol. fedpol partecipa inoltre alla Rete nazionale di sostegno alle indagini nella lotta contro la criminalità informatica (NEDIK), gestita congiuntamente dalla Confederazione e dai Cantoni, e alla "Plateforme d'Information de la Criminalité Sérielle En Ligne" (PICSEL).
4. Il primato del potere politico e il principio della condotta civile dell'esercito sono generalmente validi e sanciti nella Costituzione, nella LM e nell'OCDM. Le competenze e le delimitazioni nel settore del ciberspazio in seno alla Confederazione sono disciplinate in maniera chiara nella legge federale sulle attività informative (LAIn; RS 510.921) e nella nuova ordinanza sulla protezione contro i ciber-rischi nell'amministrazione federale (OCiber).
5. Il DDPS e il DFF lavorano in stretta collaborazione e sulla base dei compiti e delle competenze disciplinati nella legge. Il DFF ha un ruolo di coordinamento a livello federale ed è responsabile della cibersicurezza, mentre il DDPS è responsabile della ciberdifesa. Il Consiglio federale ha espresso a più riprese la volontà di rafforzare il coordinamento tra i dipartimenti per quanto concerne la protezione contro i ciber-rischi. Con l'istituzione del cibercomitato del Consiglio federale, del Comitato ristretto per la cibersicurezza e del Comitato direttivo della SNPC, l'Esecutivo ha creato gli organi e le condizioni necessari a tal fine.
Risposta del Consiglio federale.