Lexipedia

22.3749 · Interpellanza · 2022-06-16

Dipartimento della difesa, della protezione della popolazione e dello sport

Liquidato

Wortlaut

È ormai risaputo che la cibersicurezza non è il punto forte di certi settori. In particolare nel settore sanitario si stanno accumulando i rapporti su falle di sicurezza talvolta molto gravi. A tal proposito si potrebbe menzionare il recente furto di dati sanitari personali sensibili di decine di migliaia di pazienti a scopo di estorsione ai danni di diversi studi medici nella Svizzera occidentale. Un altro caso molto preoccupante è l'episodio disastroso concernente il portale meineimpfungen.ch.

Inoltre, l'uso dei sistemi decisionali automatizzati ("Automated Decision Making", ADM, spesso basati su metodi di apprendimento automatico) costituisce un'altra minaccia alla sicurezza informatica. Da un lato, a causa degli effetti indesiderati, come le diagnosi errate fatte a pazienti affetti da cancro e, dall'altro, a causa dell'uso improprio di questi sistemi, come la creazione di falsi video (cosiddetti "deepfake"). L'ordinanza sui ciber-rischi (OCiber) include già l'intelligenza artificiale nella definizione di ciberincidente che, a differenza di un ciberattacco, non viene causato da un aggressore esterno ma riguarda disfunzioni non intenzionali.

Ora, la mancanza di cibersicurezza e la crescente complessità sono diventate un problema generale. Tuttavia, esistono differenze concernenti il livello di sensibilità agli incidenti. Alcuni settori sembrano essere meno colpiti da attacchi riuisciti, ad esempio il settore finanziario. Secondo i rapporti del Centro nazionale per la cibersicurezza (NCSC), questo settore sembra essere meno vulnerabile rispetto, ad esempio, a quello della sanità o dell'istruzione.

Il motivo per cui il settore finanziario non sta riscontrando problemi è semplice: oltre a essere uno dei settori più fortemente e velocemente digitalizzati, ha anche compiuto di sua iniziativa grandi sforzi in termini di cibersicurezza. Inoltre è strettamente monitorato dall'Autorità federale di vigilanza sui mercati finanziari (FINMA), che da diversi anni chiede sistematicamente agli istituti finanziari di essere vigili nel gestire i ciber-rischi.

In questo contesto, il Consiglio federale è chiamato a rispondere alle seguenti domande:

1. Come valuta il Consiglio federale le grandi differenze riscontrate in alcuni settori per quanto riguarda la cibersicurezza e come intende affrontarle nell'ambito della sua sfera di competenza?

2. Quali sono i settori identificati dal Consiglio federale che, in considerazione delle minacce incombenti sui singoli individui e sulle imprese, richiederebbero un'applicazione più rapida e coerente di uno standard maggiore in materia di cibersicurezza rispetto ad altri?

3. Quali sono le autorità di controllo esistenti che potrebbero assumere tali compiti nei rispettivi settori, analogamente alla FINMA nel mercato finanziario?

4. L'NCSC ha già registrato attacchi informatici specifici ai sistemi di intelligenza artificiale, ad esempio nei settori dell'energia o della finanza?

5. Il Consiglio federale sarebbe disposto a fare luce sul problema in un rapporto?

Stellungnahme des Bundesrates

Domanda 1: il Consiglio federale ritiene che vi siano grandi differenze tra i settori sia per quanto riguarda il livello di maturità della cibersicurezza che le varie minacce. Sotto la guida dell'Ufficio federale per l'approvvigionamento economico del Paese (UFAE), la Confederazione ha elaborato per questo motivo alcuni standard minimi TIC settoriali. Conformemente a tali standard, il Consiglio federale intende fissare alcune direttive sulla cibersicrezza in ciascuna delle basi legali dei settori.

Domanda 2: il Consiglio federale ha individuato la necessità di intervenire nei settori dell'energia, della sanità, delle finanze e delle telecomunicazioni.

Per quanto riguarda il settore dell'energia, il Consiglio federale suggerisce l'introduzione di un obbligo che imponga l'adozione di misure di protezione contro i ciber-rischi negli ambiti della gestione della rete, della produzione e dell'archiviazione. Tale proposta è contenuta nel progetto concernente l'introduzione, nella legge sulla sicurezza delle informazioni (LSin), di un obbligo di notifica dei ciberattacchi per i gestori di infrastrutture critiche.

Per quanto concerne il settore della sanità, la Conferenza svizzera delle direttrici e dei direttori cantonali della sanità (CDS) e l'NCSC hanno messo a punto un elenco completo contenente raccomandazioni in materia di cibersicurezza per tutti i fornitori di prestazioni di questo ambito.

La cibersicurezza nel settore delle finanze è stata rafforzata, da un lato per mano deIla FINMA, dall'altro grazie alla collaborazione tra l'NCSC e lo Swiss Financial Sector Cyber Security Centre (Swiss FS-CSC).

Infine, per rafforzare la cibersicurezza nel settore delle telecomunicazioni, il Consiglio federale verifica le disposizioni di esecuzione rivedute dell'ordinanza sui servizi di telecomunicazione (OST) al fine di imporre misure di sicurezza ai fornitori di servizi di accesso a Internet. Sono altresì previste misure, orientate a quelle adottate nell'Unione europea, volte a potenziare la cibersicurezza di determinati dispositivi senza fili, disponibili sul mercato nazionale.

Domanda 3: le competenze in materia di controllo e sorveglianza sono concepite in modo da tener conto al meglio delle esigenze specifiche nei confronti dei singoli settori e sono spesso ripartite tra la Confederazione e i Cantoni.

Pertanto, il Consiglio federale incoraggia la comunicazione tra tutti gli organi competenti. L'NCSC collabora direttamente con tali organi per potenziare la cibersicurezza in tutti i settori.

Domanda 4: l'NCSC non ha registrato attacchi specifici ai sistemi di intelligenza artificiale.

Domanda 5: il Consiglio federale sta esaminando tale tematica nel quadro dell'attuazione della Strategia nazionale per la protezione della Svizzera contro i cyber-rischi (SNPC) e ha approfondito la questione in relazione con l'istituzione di un nuovo ufficio federale per la cibersicurezza. Il Consiglio federale informa regolarmente il Parlamento in merito all'avanzamento dei lavori.

Risposta del Consiglio federale.