22.4344 · Interpellanza · 2022-12-13
Dipartimento della difesa, della protezione della popolazione e dello sport
Liquidato
Wortlaut
L'incidente occorso in Germania alcune settimane fa suscita scalpore. Alcuni sabotatori hanno tagliato in diversi punti i cavi del sistema di comunicazione della Deutsche Bahn. Il traffico ferroviario è stato paralizzato e la comunicazione tra macchinisti e i posti di comando è stata interrotta.
Uno scenario simile sarebbe ipotizzabile ovunque. In Svizzera, nel contesto della Confederazione, la sicurezza sul lavoro e un ambiente di lavoro basato sulla fiducia sono considerati elementi chiave.
Tuttavia esistono sempre locali ed edifici in cui gli impiegati federali devono lavorare e tenere conversazioni confidenziali. Non sempre è possibile escludere che questi ambienti siano sicuri. Negli stessi edifici troviamo anche gli uffici di altre imprese, i cui cavi informatici vanno a finire negli stessi locali adibiti ai server, utilizzati dai servizi della Confederazione. Pertanto non si può escludere categoricamente un'azione di sabotaggio o l'ascolto mirato.
In questo contesto invito il Consiglio federale a rispondere alle domande seguenti:
1. La Confederazione ha una visione d'insieme per verificare se tutti gli Uffici rilevanti per la sicurezza possano lavorare in modo "sicuro"?
2. Vi sono sospetti di operazioni sotto copertura da parte di altri Stati in questo ambito?
3. Negli edifici in cui vi sono più locatori (Confederazione ed esterni), esisteva/esiste un controllo istituzionalizzato di queste persone/imprese?
4. Quali provvedimenti sono stati presi sinora per garantire che tutti gli Uffici rilevanti per la sicurezza possano lavorare in modo "sicuro"?
5. Esiste una differenza/classificazione per Ufficio o divisione riguardo al livello di fiducia (o di sicurezza) che deve essere attribuito per l'esecuzione delle attività?
6. I provvedimenti sinora presi sono ritenuti sufficienti per garantire una protezione contro le azioni di sabotaggio e/o i sistemi di ascolto?
Stellungnahme des Bundesrates
1. No, non esiste una visione d'insieme consolidata a livello di Confederazione degli uffici rilevanti per la sicurezza e dei loro standard di sicurezza. Gli uffici federali sono responsabili della propria sicurezza. Nel quadro della gestione dei rischi, devono valutare i rischi di intercettazione e di sabotaggio e attuare le necessarie misure di sicurezza. In caso di eventuali maggiori rischi in materia di sicurezza devono informare il proprio dipartimento, che può esigere l'adozione di ulteriori misure.
2. Sì, esistono segnali concreti di tentativi di intercettazione in edifici federali in Svizzera e all'estero. Ulteriori informazioni sono disponibili nel rapporto del SIC "La sicurezza della Svizzera 2022" ( https://www.admin.ch/gov/it/pagina-iniziale/documentazione/comunicati-stampa.msg-id-89472.html) .
3. No, non esiste un controllo istituzionalizzato delle persone e delle imprese esterne negli edifici in cui vi sono più locatari. A tale scopo mancano anche le necessarie basi legali. Gli uffici federali devono valutare i rischi di una locazione in edifici in cui vi sono più locatari e decidere se sono accettabili.
4. Le misure di protezione della Confederazione contro le intercettazioni e i sabotaggi si situano a vari livelli:
- L'ordinanza sulla protezione delle informazioni (RS 510.411) e l'ordinanza sui ciber-rischi (RS 120.73) definiscono in funzione dei rischi le misure per la protezione di informazioni classificate e di mezzi informatici contro l'intercettazione e il sabotaggio. Se si trattano informazioni sensibili o si utilizzano mezzi informatici sensibili sotto il profilo della sicurezza, gli uffici devono effettuare un'analisi dei rischi ed elaborare un concetto di sicurezza su tale base. Nel concetto di sicurezza sono definite in particolare le misure organizzative, personali, tecniche ed edilizie, al fine di garantire la protezione contro le intercettazioni e il sabotaggio.
- L'ordinanza sulla protezione di persone ed edifici di competenza federale (RS 120.72) disciplina le misure di protezione degli edifici dell'Amministrazione federale. L'Ufficio federale di polizia (fedpol) valuta i rischi per gli edifici, gli impianti e le strutture di sua competenza, assegna loro un livello di minaccia e stabilisce gli obiettivi di protezione. Sulla base di tale analisi dei rischi l'Ufficio federale delle costruzioni e della logistica elabora la pianificazione delle misure architettoniche e tecniche e concorda con fedpol la pianificazione definitiva delle misure. Inoltre fedpol raccomanda misure organizzative in materia di sicurezza ai titolari del diritto di polizia. I titolari del diritto di polizia decidono quali misure architettoniche, tecniche e organizzative in materia di sicurezza vanno attuate. Per gli edifici, gli oggetti e gli impianti dell'Aggruppamento Difesa, il settore Sicurezza integrale dello Stato maggiore dell'esercito elabora i cosiddetti "Concetti di sicurezza integrale", in cui si indicano le varie misure da attuare.
- L'ordinanza sui controlli di sicurezza relativi alle persone (RS 120.4) disciplina i controlli di sicurezza dei collaboratori della Confederazione, dei militari e di terzi che svolgono compiti della Confederazione sensibili sotto il profilo della sicurezza. Il controllo di sicurezza relativo alle persone serve in particolare a proteggere da intercettazioni e sabotaggi da parte di persone che agiscono dall'interno.
- Il Servizio delle attività informative della Confederazione e il Servizio informazioni militare informano gli uffici o l'Aggruppamento Difesa se dispongono di indizi su una minaccia concreta.
5. Sulla base della sua analisi dei rischi, fedpol assegna gli edifici dell'Amministrazione federale civile a quattro livelli di minaccia aventi obiettivi di protezione e misure di sicurezza diversi. All'interno degli edifici stessi, i locali sono suddivisi in varie zone in funzione della sensibilità delle attività o dei contenuti. I locali server, ad esempio, sono generalmente designati quale zona di sicurezza e sottostanno a una protezione particolare. In ultima analisi, tuttavia, è il titolare del diritto di polizia a decidere sulle misure da attuare. Per gli edifici militari si applicano concetti delle zone analoghi.
6. A condizione che gli uffici applichino in modo coerente le prescrizioni e le misure in materia di sicurezza delle informazioni e degli oggetti della Confederazione, tali prescrizioni e misure garantiscono una protezione adeguata contro le intercettazioni e i sabotaggi. Tuttavia, con la crescente digitalizzazione, il collegamento in rete e la miniaturizzazione dei dispositivi di intercettazione, le minacce sono diventate più complesse. Inoltre la tendenza verso uffici open space e forme di lavoro mobili rappresenta un'ulteriore sfida. È compito degli uffici monitorare l'evoluzione delle minacce nel quadro della gestione dei rischi, verificare e mettere in discussione regolarmente l'efficacia delle misure di protezione e formare i propri collaboratori. A tal fine sono coadiuvati dagli organi di sicurezza della Confederazione.
In relazione all'attuazione della legge del 18 dicembre 2020 sulla sicurezza delle informazioni, la cui entrata in vigore è prevista per il 2023, le misure della Confederazione per la protezione contro le intercettazioni e i sabotaggi saranno aggiornate.
Risposta del Consiglio federale.