Lexipedia

26.3628 · Mozione · 2026-06-11

Dipartimento della difesa, della protezione della popolazione e dello sport

Depositato

Wortlaut

Il Consiglio federale è invitato a elaborare insieme ai Cantoni, alle scuole universitarie, agli istituti di ricerca, alle autorità di vigilanza del settore e al settore privato una tabella di marcia nazionale per la transizione della Svizzera verso la crittografia post-quantistica. Questa tabella di marcia dovrà garantire la protezione duratura dei dati e delle comunicazioni sensibili, la resilienza delle infrastrutture critiche, la validità a lungo termine delle firme e dei documenti elettronici, l’interoperabilità internazionale dei sistemi svizzeri e la competitività delle aziende che operano nei mercati internazionali. In particolare, dovrà:

  1. definire entro la fine del 2027 una strategia nazionale di migrazione, ovvero di sostituzione progressiva degli algoritmi vulnerabili, che sia basata sui rischi e comprenda un inventario degli usi critici della crittografia, una cartografia dei rapporti di dipendenza, compresi quelli nei confronti di fornitori stranieri, e il lancio di progetti pilota per casi d’uso che presentano un rischio elevato o prevedono un periodo di confidenzialità lungo;

  2. stabilire delle pietre miliari coordinandole con i calendari internazionali rilevanti, prevedendo in particolare la migrazione prioritaria dei casi d’uso a rischio elevato entro la fine del 2030 e la transizione progressiva degli altri sistemi critici o sensibili entro la fine del 2035, a condizione che gli standard siano pronti e che le misure siano interoperabili e proporzionali;

  3. assegnare le responsabilità di gestione e di coordinamento in seno all’Amministrazione federale, facendo riferimento in particolare all’Ufficio federale della cibersicurezza (UFCS, ex NCSC), all’Ufficio federale dell’informatica e della telecomunicazione (UFIT) e alle autorità competenti nel settore, ma senza creare strutture ridondanti, e presentare al Parlamento un rapporto biennale sullo stato di avanzamento del progetto;

  4. definire i requisiti minimi applicabili alle infrastrutture critiche, ai sistemi d’informazione della Confederazione e ai fornitori di prestazioni digitali critiche, in particolare per quanto riguarda un inventario crittografico standardizzato e interoperabile basato, se opportuno, su formati riconosciuti come il Cryptographic Bill of Materials (CBOM), la cripto-agilità, la capacità di aggiornamento e di gestione sicura delle dipendenze dai fornitori e il fatto che questi inventari saranno trattati come informazioni di sicurezza sensibili ad accesso limitato e non saranno destinati alla pubblicazione dettagliata;

  5. integrare i requisiti relativi alla preparazione per la crittografia post-quantistica nell’ambito degli acquisti pubblici federali e nei contratti con i fornitori di prodotti e servizi digitali dei quali il ciclo di vita, la criticità o la durata del periodo di confidenzialità prevista superano il 2030;

  6. garantire la resilienza quantistica della firma elettronica e dell’archiviazione a lungo termine per garantire la validità duratura di firme, certificati, timestamp, documenti autentici, incarti medici, registri pubblici e archivi, conformemente con i lavori della Swiss Government PKI;

  7. garantire la coerenza con i quadri internazionali applicabili, in particolare la tabella di marcia coordinata adottata dal Gruppo di cooperazione NIS dell’Unione europea l’11 giugno 2025 e i requisiti definiti nel regolamento sulla ciberresilienza, applicabili a partire dall’11 dicembre 2027 ai prodotti in vendita nel mercato europeo;

  8. esaminare gli adeguamenti giuridici o normativi necessari, in particolare nel quadro della legge federale sulla sicurezza delle informazioni, dell’ordinanza sulla cibersicurezza, delle prescrizioni in materia di acquisti pubblici e delle regolamentazioni applicabili nel settore;

  9. prevedere misure di sostegno adeguate per i Cantoni, le PMI, le scuole universitarie e le aziende svizzere, in particolare tramite linee guida, modelli d’inventario, progetti pilota, test di interoperabilità e la mobilitazione delle competenze nazionali in una logica di sovranità tecnologica coerente con l’oggetto della mozione 24.3209.

La tabella di marcia rispetta i principi di neutralità tecnologica, apertura degli standard, sicurezza fin dalla concezione e proporzionalità economica, definendo gli obblighi sulla base dei rischi, della criticità, della durata del periodo di confidenzialità dei dati e del ciclo di vita dei sistemi. In linea con la tradizione svizzera che predilige condizioni quadro favorevoli invece che politiche industriali selettive, questa tabella di marcia non si pone l’obiettivo di privilegiare un fornitore o una tecnologia precisi, ma di definire i requisiti in materia di sicurezza che si applicano alle infrastrutture dello Stato. Le informazioni sensibili contenute negli inventari crittografici sono protette.

Begründung

La diffusione dell’informatica quantistica rappresenta una grave minaccia per la sicurezza digitale nel lungo termine. In futuro, i computer quantistici sufficientemente potenti potrebbero compromettere i sistemi di crittografia a chiave pubblica attualmente in uso per proteggere comunicazioni, pagamenti, firme elettroniche e identità digitali. Anche se questi strumenti non sono ancora operativi, se ne prevede l’introduzione nei prossimi 10-15 anni. Il rischio che rappresentano è già reale, in particolare a causa della strategia nota come «prima la raccolta, poi la decifrazione», che consiste nel raccogliere oggi dati sensibili per decifrarli in un secondo momento.Per fare fronte a questa minaccia, numerosi partner della Svizzera hanno già avviato una transizione verso la crittografia post-quantistica. L’Unione europea, gli Stati Uniti, il Regno Unito, la Francia e la Germania hanno già adottato tabelle di marcia, standard tecnici e scadenze per la migrazione. In Svizzera le autorità hanno riconosciuto la portata del fenomeno e hanno avviato lavori di riflessione in merito, ma non esiste ancora una strategia nazionale di migrazione operativa per le infrastrutture critiche e i dati dello Stato.La presente mozione propone quindi di colmare questa lacuna definendo una tabella di marcia nazionale coordinata con obiettivi, scadenze e una gestione chiari. Concerne in primo luogo i sistemi critici, i dati degni di protezione a lungo termine e le acquisizioni i cui cicli di vita superano il 2030. Questa iniziativa si inserisce nella continuità dei lavori già svolti dalle autorità federali e si basa sui principi di neutralità tecnologica, interoperabilità e proporzionalità.Inoltre, pianificare con anticipo consentirebbe di evitare di dovere ricorrere a costose migrazioni d’emergenza e permetterebbe di rafforzare la sovranità digitale della Svizzera. L’obiettivo che si propone è di garantire che i meccanismi di protezione dei dati, delle comunicazioni e delle firme elettroniche continuino a essere affidabili anche alla luce dell’evoluzione della minaccia quantistica.