21.4187 · Mozione · 2021-09-30
Dipartimento delle Finanze
Liquidato
Wortlaut
Il Consiglio federale è incaricato di estendere la protezione federale contro i ciberattacchi ai Cantoni, ai Comuni e alle piccole e medie imprese nel loro insieme.
Begründung
La Confederazione deve garantire la protezione contro i ciberattacchi a livello nazionale. Solo essa dispone delle risorse adeguate e delle competenze atte a garantire questa protezione. Attualmente, solo le infrastrutture critiche beneficiano della protezione federale contro i ciberattacchi. Tuttavia non esiste alcuna protezione per le amministrazioni pubbliche e per le PMI nel loro insieme. Sia le PMI che le amministrazioni pubbliche cantonali e comunali sono però infrastrutture essenziali per il buon funzionamento del Paese.
Ogni anno il numero di ciberattacchi contro le infrastrutture digitali in Svizzera aumenta, con conseguenze sempre più gravi. Colpiscono principalmente piccole strutture, come le PMI o i servizi online dei Comuni. Da un lato, bisogna sottolineare che le amministrazioni pubbliche e le PMI non hanno i mezzi per proteggersi efficacemente dai ciberattacchi e sono dunque vulnerabili. Perciò è necessario estendere la protezione nazionale a queste figure di vitale importanza per il nostro Paese. Ad esempio, i dati di un Comune vodese (Rolle) sono stati rubati e pubblicati sul Dark Web. Apparentemente si trattava di numerosi dati sensibili come dati fiscali, carte di credito utilizzate dai cittadini per pagare le prestazioni online, numeri AVS degli impiegati e altro ancora. Dall'altro, bisogna aggiungere che molti attori privati e pubblici hanno dovuto reinventarsi e trovare soluzioni digitali per assicurare la continuità delle loro prestazioni durante la crisi dovuta alla COVID-19. Il rischio di ciberattacchi è dunque aumentato e i cibercriminali si sono rafforzati.
La necessità di agire è reale e gli sforzi di alcuni Cantoni lo dimostrano, come i due progetti lanciati di recente dal Cantone di Zugo: un centro di controllo della cibersicurezza (Nationales Testinstitut für Cybersicherheit, NTC) e un servizio di informazione e confronto per le PMI (ITSec4KMU). Tuttavia, le iniziative cantonali da sole non bastano. Progetti di questo tipo dovrebbero essere di portata e utilità nazionali.
Dato che le PMI e le amministrazioni pubbliche sono infrastrutture essenziali esposte a un rischio crescente, è necessario agire a livello federale per migliorare da un lato la protezione di questi attori in maniera equa in tutto il Paese e dall'altro la gestione dei ciberrischi che la transizione digitale comporta per tutti i settori di attività, che siano pubblici o privati, e per la popolazione.
Antrag des Bundesrates
Il Consiglio federale propone di respingere la mozione.
Stellungnahme des Bundesrates
Il Consiglio federale concorda sull'importanza di proteggere le autorità cantonali e comunali e le PMI dai ciberattacchi. Tuttavia, non è vero che la Confederazione non ha ancora adottato alcuna misura per proteggerle. Diverse misure sono già state attuate nell'ambito della Strategia nazionale per la protezione della Svizzera contro i ciber-rischi (SNPC).
Di importanza centrale in questo contesto è il Centro nazionale per la cibersicurezza (NCSC) creato nel 2019, che riceve le segnalazioni di ciberincidenti e fornisce agli interessati raccomandazioni su come procedere. L'NCSC contribuisce anche alla prevenzione pubblicando sul suo sito avvisi riguardanti le nuove ciberminacce o quelle particolarmente recenti, così come informazioni e istruzioni tecniche su come proteggersi dai ciberattacchi. Inoltre, la Confederazione ha collaborato con organizzazioni partner per elaborare strumenti ausiliari come lo standard minimo per le TIC o il test rapido di cibersicurezza per le PMI, ha partecipato allo sviluppo di marchi di cibersicurezza per i Comuni e le PMI nonché per i loro fornitori di servizi informatici, e ha condotto campagne di sensibilizzazione. La Confederazione fornisce anche supporto tecnico per i progetti menzionati nella mozione.
L'Esecutivo è disposto a sviluppare ulteriormente le prestazioni della Confederazione a favore delle autorità e delle PMI in base alle loro esigenze e a creare le relative basi legali. Tuttavia, sostiene esplicitamente che, tenuto conto del principio di sussidiarietà, la responsabilità della protezione dai ciberattacchi non può essere assunta dalla Confederazione, ma deve rimanere in capo alle autorità e alle PMI stesse. Questo vale anche per i gestori delle infrastrutture critiche, che sebbene siano sostenuti dalla Confederazione nella protezione dai ciberattacchi, devono assumersene la piena responsabilità.
Obbligare la Confederazione a garantire la protezione delle autorità e delle PMI significherebbe, tra l'altro, che essa dovrebbe avere la competenza di ordinare misure di protezione e di verificarne l'attuazione. Questo comporterebbe una forte ingerenza nella sovranità dei Cantoni e nella libertà economica delle PMI.
Il Consiglio federale rimane convinto che la protezione contro i ciberattacchi possa essere migliorata attraverso una buona collaborazione e che non sia necessario né opportuno delegare unilateralmente questi compiti alla Confederazione.
Il Consiglio federale propone di respingere la mozione.