Lexipedia

Rafforzare la sovranità digitale della Svizzera concludendo un accordo bilaterale con gli Stati Uniti in materia di Cloud Act

25.4679 · Interpellanza · 2025-12-18

Dipartimento di giustizia e polizia

Liquidato

Wortlaut

Nel contesto del dibattito sulla sovranità digitale della Svizzera e sull’utilizzo di servizi cloud, la certezza giuridica per gli utenti pubblici e privati rappresenta un fattore estremamente importante. Nel 2018 gli Stati Uniti hanno adottato il cosiddetto «Clarifying Lawful Overseas Use of Data Act» (CLOUD Act), che ha creato incertezza giuridica tra gli utenti di tecnologie cloud. Questa legge consente alle autorità statunitensi di perseguimento penale di accedere ai mezzi di prova, ossia ai dati memorizzati dai fornitori di servizi di telecomunicazione con sede negli Stati Uniti, per impedire, indagare, far luce e perseguire reati gravi. Questo indipendentemente dal fatto che i dati siano memorizzati negli Stati Uniti o ad esempio nell’Unione europea o in Svizzera tramite filiali europee. La legge statunitense ha quindi un campo d’applicazione extraterritoriale. Come indicato nel rapporto del Consiglio federale del 26 novembre 2025 sulla sovranità digitale della Svizzera, il 9 aprile 2025 il Consiglio federale ha incaricato il Dipartimento federale di giustizia e polizia di esaminare l’elaborazione di una base legale che affronti le sfide a cui sono confrontate le autorità di perseguimento penale nell’acquisizione transfrontaliera di dati elettronici.Già nel 2019 il Regno Unito ha concluso con gli Stati Uniti un accordo bilaterale nell’ambito del CLOUD Act, che ha aumentato in maniera significativa la certezza giuridica, ad esempio escludendo effettivamente l’accesso delle autorità inquirenti statunitensi a dati del settore pubblico. Un accordo potrebbe introdurre anche diritti reciproci per le autorità inquirenti svizzere, accelerando notevolmente le indagini penali per quanto riguarda i mezzi di prova elettronici. Per gli stessi motivi, nel 2021 l’Australia ha firmato un accordo CLOUD Act con gli Stati Uniti. Invito il Consiglio federale a rispondere alle domande seguenti:Perché la Svizzera non ha ancora intavolato negoziati concreti con gli Stati Uniti per un accordo bilaterale in materia di CLOUD Act?In che misura l’accordo tra Regno Unito e Stati Uniti sull’accesso ai dati potrebbe fungere da modello per la Svizzera?Perché il Consiglio federale vuole solo un esame e non ritiene più adeguato un approccio celere per rafforzare la certezza giuridica nel settore elettronico e accelerare la forza innovativa e la trasformazione digitale della Svizzera?

Stellungnahme des Bundesrates

1. Il CLOUD Act mira principalmente a garantire agli inquirenti statunitensi l’accesso ai dati necessari a fini penali, anche se conservati su un server all’estero. Poiché questa nuova possibilità di accesso è spesso in contrasto con il diritto del luogo in cui i dati sono conservati, gli Stati Uniti propongono cosiddetti «executive agreement», accordi retti dal CLOUD Act, ai Paesi che adempiono determinati standard in materia di Stato di diritto. Concludendo un accordo di questo tipo, lo Stato partner accetta che gli inquirenti statunitensi accedano ai dati conservati presso i fornitori di servizi sul suo territorio ottenendo in cambio l’accesso, per le sue autorità inquirenti, ai dati in mano ai fornitori di servizi negli Stati Uniti. L’Ufficio federale di giustizia (UFG) ha esaminato il CLOUD Act e la possibilità di concludere un accordo con gli Stati Uniti nel rapporto del 17 settembre sul CLOUD Act (disponibile in tedesco e francese). Il rapporto giunge alla conclusione che le procedure previste dal CLOUD Act, ancorate nel sistema anglosassone di «common law», sono difficilmente compatibili con gli standard del diritto svizzero in materia di diritti fondamentali e protezione dei dati. Alla stessa conclusione è giunta anche l’Unione europea (UE), che dal canto suo ha istituito un sistema transfrontaliero di accesso ai dati a fini penali (legislazione UE sull’e-evidence). L’UFG ha esaminato anche questo sistema: il suo rapporto del 24 ottobre 2023 sul progetto e-evidence rileva che il sistema europeo ricalca il funzionamento dei sistemi penali dell’Europa continentale con standard europei per la tutela giurisdizionale e la protezione dei dati. Il Consiglio federale è giunto alla conclusione che il sistema europeo è più compatibile con il diritto svizzero e che la Svizzera intende quindi s’ispirarvisi. Il 9 aprile 2025 ha incaricato il Dipartimento federale di giustizia e polizia di esaminare la creazione delle basi legali necessarie, valutando la possibilità di una più stretta collaborazione con l’UE in materia. A seconda di come procedono i lavori, in un secondo tempo si potrà considerare un accordo con gli Stati Uniti per disciplinare l’interazione tra i sistemi e-evidence e CLOUD Act (le informazioni sullo stato del progetto e i due rapporti dell’UFG sono reperibili all’indirizzo: https://www.bj.admin.ch/bj/it/home/sicherheit/gesetzgebung/e-evidence.html). 2. Finora solo due Paesi del sistema giuridico anglosassone (Regno Unito e Australia) hanno concluso con gli Stati Uniti un accordo retto dal CLOUD Act. In quanto Stato dotato di ordinamento giuridico continentale, la Svizzera dovrebbe probabilmente negoziare un accordo molto più integrale, in particolare per quanto riguarda la tutela giurisdizionale, la tutela dei diritti fondamentali e la protezione dei dati. Ecco perché è poco probabile che l’accordo concluso tra il Regno Unito e gli Stati Uniti possa fungere da modello per la Svizzera. La questione è illustrata in dettaglio nel rapporto dell’UFG sul CLOUD Act.Oltre al CLOUD Act, anche la legislazione vertente in particolare sulle lettere di sicurezza nazionale (National Security Letters o NSL) e sulla sezione 702 del Foreign Intelligence Surveillance Act (FISA) mette a rischio la sovranità digitale della Svizzera, l’autodeterminazione digitale dei suoi abitanti e la protezione dei dati. Questi strumenti consentono infatti alle autorità statunitensi di esigere dai loro fornitori nazionali di servizi cloud i dati di cittadini stranieri – e questo senza dover produrre un ordine giudiziario individuale e imponendo un rigoroso obbligo del segreto nei confronti dei clienti interessati. Non sono previsti accordi bilaterali o multilaterali nel quadro delle NSL e della sezione e 702, in quanto espressamente impostate per garantire la sicurezza nazionale degli Stati Uniti. Un eventuale accordo sul CLOUD Act non potrebbe né limitare né rendere trasparenti questi diritti di accesso. Permane pertanto il rischio di un accesso extraterritoriale ai dati svizzeri, anche se formalmente i dati sono localizzati o sono stati convenuti meccanismi di protezione. 3. La conclusione di un accordo vertente sul CLOUD Act andrebbe a restringere notevolmente la sovranità della Svizzera. Gli inquirenti statunitensi otterrebbero ampi diritti di accesso ai dati conservati in Svizzera. Una tale decisione non va presa alla leggera, né tantomeno in solitaria, in quanto metterebbe a rischio le relazioni con altri partner importanti (p. es. con l’UE per quanto riguarda l’accesso al mercato e l’adeguatezza della protezione dei dati): la maggiore certezza giuridica per determinati fornitori di servizi, soprattutto quelli con sede negli Stati Uniti, si otterrebbe al costo di una grande incertezza giuridica per molte altre imprese digitali nel quadro dell’accesso al mercato UE e di possibili ingerenze nella sfera privata di chi conserva i propri dati in Svizzera. Ecco perché occorre un esame approfondito prima di decidere come procedere.