22.4283 · Interpellanza · 2022-11-28
Cancelleria federale
Liquidato
Wortlaut
Durante la pandemia di COVID-19, e attualmente con la crisi energetica e di approvvigionamento, si è resa manifesta l'importanza di disporre di competenze nazionali atte a fornire prestazioni essenziali alla Confederazione.
Se molte aziende hanno preso coscienza di questa situazione e hanno approntato una strategia di produzione e di approvvigionamento di prossimità, ci chiediamo quale sia la strategia adottata dalla Confederazione per i suoi propri servizi.
Gli sforzi in tal senso si concentrano perlopiù sulle merci, ma è necessario prestare un'attenzione particolare anche ai servizi essenziali, segnatamente alla fornitura e alla manutenzione dei nostri sistemi informatici, siano esse relative al materiale ma anche, e soprattutto, al software.
- Il Consiglio federale è in grado di indicare se vi sono settori strategici che fanno capo a fornitori esteri per l'elaborazione e la manutenzione di software e le ragioni che hanno indotto la Confederazione a conferire uno o più mandati all'estero?
- Quali sono i Paesi coinvolti in questi mandati esterni? Vi è la garanzia che i dati messi a disposizione siano utilizzati in modo confidenziale, senza che vi sia alcun rischio per la sicurezza informatica del nostro Paese?
Stellungnahme des Bundesrates
In merito alla domanda 1. Il rapporto annuale sugli acquisti pubblici dei servizi centrali d'acquisto della Confederazione (armasuisse, USTRA, UFCL e Centrale viaggi della Confederazione nel DFAE) fornisce informazioni riguardanti anche il numero di contratti conclusi con offerenti svizzeri ed esteri. Dal 2022 l'Amministrazione federale pubblica inoltre l'elenco degli appalti d'importo uguale o superiore a 50'000 franchi, corredato, fra l'altro, da indicazioni concernenti l'oggetto dell'appalto, il luogo e l'unità amministrativa committente. Tanto il rapporto quanto l'elenco possono essere consultati sul sito della Conferenza degli acquisti della Confederazione CA (alla rubrica "Rapporti sugli appalti pubblici"). Nel 2021 questo elenco faceva stato di 1480 contratti per prestazioni di servizi informatici, software per sistemi militari, software e licenze, nonché per la manutenzione di software e di hardware; 100 di questi appalti (il 7% del totale) erano stati aggiudicati a offerenti con sede all'estero.
Secondo la legge federale sugli appalti pubblici (LAPub, RS 172.056.1), le commesse pubbliche sono per principio soggette alla concorrenza. Secondo le disposizioni, vincolanti per la Svizzera, dell'Accordo riveduto sugli appalti pubblici (RS 0.632.231.422), la concorrenza deve essere aperta anche agli offerenti esteri provenienti dagli Stati membri dell'accordo. Se un offerente estero presenta l'offerta più vantaggiosa ottiene l'aggiudicazione (art. 41 LAPub).
Le commesse pubbliche possono essere aggiudicate direttamente a un offerente solo a titolo eccezionale. Le condizioni per un'aggiudicazione per incarico diretto sono disciplinate dalla legge (cfr. art. 21 LAPub) e i motivi concreti dipendono dai singoli casi.
In merito alla domanda 2. Gli offerenti che hanno la loro sede in Paesi dell'Europa dell'ovest ottengono soprattutto commesse nelle categorie menzionate nella risposta alla prima domanda. Nel 2021 i contratti di maggior valore sono stati conclusi con offerenti provenienti da Francia, Israele, Grecia, Paesi Bassi e Austria.
Per tutti gli acquisti di mezzi o di servizi informatici operati dalla Confederazione, l'Amministrazione federale è tenuta a garantire il rispetto delle direttive vigenti in materia di sicurezza informatica e delle procedure di sicurezza (art. 14 cpv. 3 lett. b dell'ordinanza sui ciber-rischi, OCiber, RS 120.73; risp. art. 9 della legge sulla sicurezza delle informazioni, LSIn, la cui entrata in vigore è prevista nell'autunno 2023). L'analisi del bisogno di protezione fa parte delle procedure di sicurezza (art. 14b segg. OCiber). Essa permette di stabilire se vi sono rischi elevati che rendono necessaria l'adozione di misure di protezione supplementari. Dato però che queste prescrizioni amministrative non si applicano direttamente alle parti contraenti del settore privato, le autorità devono provvedere che il rispetto di queste prescrizioni sia iscritto nei contratti corrispondenti (art. 14 cpv. 3 lett. d OCiber; risp. art. 9 della legge sulla sicurezza delle informazioni, LSIn, la cui entrata in vigore è prevista nell'autunno 2023). Le aziende e i terzi che eseguono mandati classificati (cfr. art. 4 segg. dell'ordinanza sulla protezione delle informazioni, OPrI, RS 510.411) devono inoltre sottomettersi alla procedura di tutela del segreto, rispettivamente alla procedura di sicurezza relativa alle aziende. L'obiettivo di queste procedure è evitare che un'aggiudicazione crei dei rischi non accettabili.
(Sull'argomento si vedano anche i n. 3 e 4 del rapporto del Consiglio federale del 24 novembre 2021 in adempimento dei postulati Dobler 19.3135 "Abbiamo sotto controllo la cibersicurezza nel settore degli acquisti dell'esercito?" e 19.3136 "Infrastrutture critiche. Abbiamo il controllo sui componenti hardware e software?" del 18 marzo 2019).
Risposta del Consiglio federale.