25.4530 · Interpellanza · 2025-12-15
Dipartimento dell'economia, della formazione e della ricerca
La dichiarazione sull’intervento è disponibile
Wortlaut
Chiedo al Consiglio federale di rispondere alle seguenti domande.
Come valuta il rischio costituito dal fatto che le infrastrutture cloud a potenziale uso militare non sono attualmente soggette né alla legislazione sul controllo dei beni a duplice impiego né a quella sul materiale bellico?
Quali precauzioni sono state adottate per garantire che i servizi cloud provenienti dalla Svizzera non vengano utilizzati per scopi militari in Paesi terzi rilevanti sul piano della sicurezza senza essere disciplinati dalla legislazione in materia di controllo delle esportazioni?
Intende introdurre o promuovere attivamente una regolamentazione più precisa delle infrastrutture cloud nell’ambito dell’Accordo di Wassenaar?
Quali sono le riflessioni in corso per integrare in futuro i servizi cloud nei meccanismi di controllo e autorizzazione esistenti?
Come intende garantire che la politica svizzera di controllo delle esportazioni sia al passo con gli sviluppi tecnologici e che si prevengano in modo proattivo eventuali abusi, in particolare nel settore militare?
Sta valutando la possibilità di imporre ai fornitori di servizi cloud un obbligo di dichiarazione o di autorizzazione in caso di cooperazione con enti militari o di intelligence all’estero?
Begründung
Ad oggi le infrastrutture cloud non sono disciplinate chiaramente nell’ambito dell’Accordo di Wassenaar. In Svizzera, secondo la prassi attuale, non rientrano né nel campo di applicazione della legge sul controllo dei beni a duplice impiego né in quello della legislazione sul materiale bellico, a meno che non venga impiegato un software specificamente controllato. Ne risulta una lacuna legale: l’accesso alle infrastrutture digitali può essere reso possibile in Paesi terzi senza che ciò sia soggetto ad autorizzazione, anche nei casi in cui a livello tecnico ne è possibile un uso militare. In un’epoca in cui le operazioni di guerra e di intelligence si svolgono sempre più nel mondo digitale, questa mancanza di regolamentazione rappresenta un rischio in materia di sicurezza e di controllo delle esportazioni ed è in contrasto con la neutralità della Svizzera. Per il controllo delle tecnologie rilevanti per la sicurezza è quindi fondamentale che gli strumenti giuridici siano al passo con i progressi tecnologici e che un eventuale uso improprio non venga riconosciuto solo a posteriori.
Stellungnahme des Bundesrates
1) Servizi come infrastrutture cloud (Infrastructure as a Service, IaaS) o piattaforme (Platform as a Service, PaaS) non costituiscono esportazioni di tecnologia o software ai sensi della legge federale sul materiale bellico (RS 514.51) o della legge sul controllo dei beni a duplice impiego (LBDI, RS 946.202). Allo stesso modo, i dati, i modelli e i risultati che provengono da clienti stranieri e che vengono archiviati, elaborati o scaricati da questi ultimi nel cloud non sono considerati esportati dalla Svizzera. Tuttavia, se un fornitore servizi cloud offre servizi software (Software as a Service, SaaS) a clienti stranieri e il software è elencato negli elenchi di beni allegati all’ordinanza sul materiale bellico (OMB, RS 514.511) o all’ordinanza sul controllo dei beni a duplice impiego (OBDI, RS 946.202.1), si applica il controllo delle esportazioni. Ad esempio, si tratta di software per modellare o simulare scenari operativi militari o di software sviluppati per effettuare cyberoperazioni (cfr. ML21 Allegato 3 OBDI). Anche l’elenco dei beni a duplice impiego comprende controlli specifici per i software, di norma quando vi è un legame con beni controllati. Per il momento il Consiglio federale non ritiene pertanto strettamente necessario intervenire e ampliare questi controlli.
3), 4) e 5) La Svizzera coordina i propri controlli delle esportazioni con altri Paesi in regimi multilaterali di controllo delle esportazioni. L’impatto del cloud computing sui controlli delle esportazioni viene tematizzato e monitorato da diversi anni nell’ambito dell’Accordo di Wassenaar, che consente di scambiare informazioni su quali servizi cloud sono soggetti a controlli e di colmare eventuali lacune identificate. A tale scopo la Segreteria di Stato dell’economia (SECO) è in contatto con l’industria e le università svizzere e partecipa attivamente alle discussioni nell’ambito dell’Accordo di Wassenaar. Per quanto riguarda i beni militari, vi è già un ampio controllo. I controlli sui beni a duplice impiego riguardano tecnologie e software chiaramente definiti e classificati in base a parametri tecnici. Dato che le discussioni nell’ambito dell’Accordo di Wassenaar sono riservate, il Consiglio federale non può fornire informazioni al riguardo. Tuttavia, la regolamentazione delle infrastrutture cloud (IaaS) va oltre il controllo delle esportazioni.
2) e 6) Attualmente in Svizzera non è richiesta alcuna autorizzazione specifica per offrire servizi cloud. Tuttavia, le imprese devono rispettare i requisiti legali generali, come la protezione dei dati, il diritto contrattuale e le normative specifiche del settore. Ad esempio, secondo la legge federale sulle prestazioni di sicurezza private fornite all’estero (LPSP, RS 935.41), servizi come il sostegno logistico e la consulenza a forze armate o di sicurezza o la loro formazione sono soggetti all’obbligo di notificazione se sono strettamente correlati ai loro compiti principali. Secondo l’ordinanza sulle prestazioni di sicurezza private fornite all’estero (OPSP, RS 935.411), il supporto logistico comprende l’approntamento, la gestione o la manutenzione di infrastrutture. Il compito principale delle forze armate è difendere un Paese e salvaguardarne gli interessi con mezzi militari. Una stretta relazione con questi compiti sussisterebbe, ad esempio, se un’impresa fornisse servizi specificamente finalizzati alla creazione o alla manutenzione dell’infrastruttura informatica militare di una forza armata. La stretta relazione con i compiti e quindi l’obbligo di notificazione specificato nella LPSP vengono verificati caso per caso in tutte le attività di cui viene a conoscenza l’autorità competente. Eventuali servizi in conflitto con gli obiettivi della LPSP (art. 1) vengono vietati.