Lexipedia

23.4461 · Interpellanza · 2023-12-21

Dipartimento della difesa, della protezione della popolazione e dello sport

Liquidato

Wortlaut

Nel 2022 sono stati comunicati gli esiti dell’inchiesta amministrativa Oberholzer in relazione alle acquisizioni di informazioni da parte del Servizio delle attività informative della Confederazione (SIC) in ambito ciber. Poco prima il Consiglio federale aveva deciso di aggregare il Centro nazionale per la cibersicurezza (NCSC) al DDPS a partire dal 1° gennaio 2024.

Il rapporto Oberholzer raccomandava di «prendere in considerazione uno scorporo integrale del settore ciber dal SIC e la creazione di un pool autonomo di esperti per l’analisi di dati del traffico di rete». Il rapporto afferma che «probabilmente è opportuno aggregarlo all’NCSC di modo che sia a disposizione di tutte le unità organizzative della Confederazione attive nell’ambito della cibersicurezza».

Il 7 dicembre 2023, ovvero poco prima che l’NCSC venisse trasferito al DDPS, i media hanno riferito di un vero e proprio esodo di esperti di alto livello: sei dei nove specialisti del gruppo di intervento rapido in ambito ciber «GovCERT» non sarebbero passati al DDPS e complessivamente circa il 20 per cento dei dipendenti avrebbe lasciato l’NCSC. Vi sarebbero «conflitti di carattere etico» e i collaboratori dell’NCSC si impegnerebbero per colmare le lacune in materia di sicurezza a tutela della società civile e dell’economia. Il SIC e il DDPS avrebbero un interesse a non colmare le lacune in materia di sicurezza, perché intendono utilizzarle per raccogliere informazioni.

Nell’inchiesta amministrativa svolta nel 2022 viene affermato che il capo dell’epoca del settore ciber del SIC ha manifestato scarsa comprensione «per disposizioni giuridiche e processi istituzionalizzati di un servizio statale» e che il suo capo lo ha lasciato fare.

  1. Il Consiglio federale ha sottovalutato la diversità degli obiettivi e la diversità delle culture aziendali che ne deriva tra l’NCSC e il SIC/DDPS?

  2. In che modo il Consiglio federale assicura che l’NCSC, sotto la guida del DDPS, si concentri sugli interessi della società civile e dell’economia allo scopo di colmare lacune in materia di sicurezza in rete e non sugli interessi di natura opportunistica del SIC di sfruttare lacune in materia di sicurezza?

  3. Com’è organizzata l’interfaccia tra l’NCSC e il SIC per lo scambio automatizzato di dati e come viene svolta l’attività di vigilanza al riguardo?

  4. In che modo il Consiglio federale assicura che gli specialisti dell’NCSC abbiano la possibilità di trasmettere eventuali interpretazioni errate delle basi legali nel settore ciber del SIC in maniera rapida e sicura all’organo di vigilanza competente (AVI-Ain, DelCG)?

Stellungnahme des Bundesrates

In merito alla domanda 1: Il nuovo Ufficio federale della cibersicurezza (UFCS) si occupa dei medesimi compiti del Centro nazionale per la cibersicurezza (NCSC), i quali sono complementari rispetto ai compiti del Servizio delle attività informative della Confederazione (SIC). Il SIC è uno strumento di politica di sicurezza a effetto preventivo. È competente per l’individuazione tempestiva e la prevenzione di minacce per la sicurezza interna o esterna derivanti tra l’altro dai ciberattacchi.Sia il SIC che l’UFCS sono sottoposti alla direzione diretta del capo del DDPS. Entrambi sviluppano la loro cultura aziendale in modo tale da essere in grado di adempiere nel migliore dei modi i loro compiti previsti dalla Strategia nazionale per la protezione della Svizzera contro i ciber-rischi (SNPC). La SNPC definisce le responsabilità e le competenze della società, dell’economia e dello Stato. Tutti i dipartimenti e tutti gli uffici dell’Amministrazione federale lavorano in maniera complementare per raggiungere il medesimo obiettivo: aumentare la protezione della popolazione dai ciber-rischi. Questo vale anche per l’UFCS e il SIC. In merito alla domanda 2: Il 29 settembre 2023 il Parlamento ha approvato la revisione della legge sulla sicurezza delle informazioni (LSIn; RS 128) con l’introduzione di un obbligo di segnalare ciberattacchi a infrastrutture critiche. L’articolo 73b capoverso 3 prevede l’obbligo futuro a carico dell’UFCS di informare immediatamente i produttori di hardware o software se viene a conoscenza di una vulnerabilità in questi prodotti. In questo modo il fatto che l’UFCS mette in atto il processo della divulgazione coordinata di vulnerabilità viene disciplinato a livello di legge.I compiti del SIC sono disciplinati nell’articolo 6 della legge federale sulle attività informative (LAIn; RS 121). Tutte le attività di intelligence del SIC di natura offensiva (ad es. lo sfruttamento di vulnerabilità, cfr. art. 26 LAIn) vengono svolte secondo una procedura di autorizzazione definita dalla legge. In merito alla domanda 3: Non vi è uno scambio automatico. Inoltre il SIC non ha accesso a informazioni dell’UFCS relative a vulnerabilità. L’UFCS concede accesso al SIC a informazioni che riguardano l’identità e il modo di procedere di aggressori. Le attività di vigilanza sul trattamento delle informazioni da parte del SIC vengono svolte nel quadro della vigilanza sulle attività del SIC. Anche lo scambio di dati consolidato in passato tra UFCS (o in precedenza il NCSC) e il SIC viene portato avanti nella medesima forma ed è disciplinato nella LAIn e nella LSIn sottoposta a revisione. Questa prassi non subisce variazioni in seguito all’aggregazione dell’UFCS al DDPS. In merito alla domanda 4: Nel suo articolo 22a, la legge sul personale federale (LPers; RS 172.220.1) disciplina gli obblighi di denuncia e i diritti di segnalazione di tutti i collaboratori della Confederazione. Gli impiegati soggetti alla LPers sono tenuti a denunciare alle autorità di perseguimento penale, ai loro superiori o al Controllo federale delle finanze (CDF) i crimini e i delitti perseguibili d’ufficio che constatano o sono loro segnalati nell’esercizio della loro funzione (cpv. 1). Il capoverso 4 prevede un diritto generale secondo cui gli impiegati hanno il diritto di segnalare al CDF altre irregolarità constatate o loro segnalate nell’esercizio della loro funzione. Grazie alla sua funzione, nel quadro delle sue attività di vigilanza il CDF è in grado di verificare in maniera discreta e in loco la plausibilità delle accuse mosse. Per legge è tenuto a comunicare irregolarità nell’organizzazione, nella gestione amministrativa o nell’adempimento dei compiti rilevate nell’esercizio della sua attività di vigilanza all’unità amministrativa competente e a far redigere a quest’ultima un rapporto sulle misure adottate (art. 13 cpv. 2 della legge sul Controllo delle finanze, RS 614.0). Il sistema di segnalazione esistente vale per tutti gli impiegati della Confederazione. La possibilità di effettuare segnalazioni dirette all’AVI-AIn o alla DelCG non è né prevista, né necessaria.