Lexipedia

Dipartimento federale dell’ambiente, dei trasporti, dell’energia e delle comunicazioni DATEC

Berna, 27 maggio 2026

Revisione parziale della legge sulle telecomunicazioni (LTC) nel settore della sicurezza

Rapporto esplicativo per l’avvio della procedura di consultazione

BK-D-BB8A3401/1090

Compendio Negli ultimi anni la sicurezza delle infrastrutture di telecomunicazione ha acquisito molta importanza a tutti i livelli. È un fattore chiave per la piazza economica svizzera e per la sicurezza della popolazione nello spazio digitale. La protezione dalle minacce informatiche è quindi diventata un compito indispensabile per la Confederazione, soprattutto alla luce di un possibile aggravamento dell’attuale situazione geopolitica. La presente revisione della legge del 30 aprile 1997 sulle telecomunicazioni1 (LTC) tiene conto di questa evoluzione e mira a garantire una protezione sufficiente per gli utenti e le infrastrutture di telecomunicazione contro queste minacce. Infine, in seguito a questa consultazione si intende chiarire se le disposizioni sulla coutenza delle infrastrutture passive possano favorire l’ampliamento delle infrastrutture nel settore delle telecomunicazioni e se sia necessario creare una base di dati più ampia per garantire un’esecuzione efficiente del diritto in materia di telecomunicazioni.

Situazione iniziale

La LTC è stata adattata nel 2019 in seguito ai rapidi sviluppi tecnici. Da allora il progresso tecnologico non ha perso nulla del suo slancio. Tuttavia, queste nuove opportunità hanno anche aumentato i rischi per la sicurezza. La protezione dalle minacce informatiche è quindi d’importanza centrale, soprattutto alla luce dell’attuale situazione geopolitica. Il Consiglio federale ritiene pertanto indispensabile adottare misure aggiuntive in caso di aggravamento della situazione geopolitica. Sono necessarie prescrizioni per aumentare la sicurezza delle infrastrutture critiche di telecomunicazione e della comunicazione d’emergenza, e ridurre al contempo il rischio di dipendenza da singoli attori e Stati. Oltre ad aumentare la resilienza delle infrastrutture, si intende anche migliorare la protezione dei consumatori nell’utilizzo dei servizi di telecomunicazione.

Va inoltre considerato che le coppie elicoidali metalliche in rame utilizzate nelle reti di telecomunicazione raggiungeranno ben presto la fine del loro ciclo di vita e dovranno essere sostituite. Anche questo richiede un adattamento del quadro giuridico in vigore. Per un’esecuzione più efficace della legislazione sulle telecomunicazioni, è inoltre necessario migliorare la base di dati concernente il mercato rilevante.

Contenuto del progetto

L’obiettivo del progetto è migliorare la sicurezza delle infrastrutture di telecomunicazione in Svizzera e dei servizi con esse forniti. A tal fine, vengono proposte misure volte a rendere più resilienti le infrastrutture di telecomunicazione e la comunicazione d’emergenza. Da un lato si deve aumentare la sicurezza delle infrastrutture di telecomunicazione. A tale scopo, il Consiglio federale deve poter adottare, se necessario, misure adeguate a proteggere le infrastrutture di telecomunicazione in caso di un eventuale aggravamento della situazione geopolitica. Inoltre, in futuro la disponibilità della comunicazione d’emergenza deve essere migliorata introducendo una forma di gestione del sistema. Per proteggere meglio lo spettro delle frequenze da nuovi fenomeni di interferenza e disturbi del traffico delle telecomunicazioni, è necessario apportare modifiche alle basi legali in vigore nel settore degli impianti di telecomunicazione e degli apparecchi elettrici. Inoltre occorre

1 RS 784.10 2/85

migliorare anche la sicurezza dei consumatori nell’utilizzo dei servizi di telecomunicazione. A tal fine, opzioni di blocco aggiuntive per i numeri di chiamata o nomi di dominio utilizzati in modo abusivo, nonché maggiori offerte di informazione e assistenza, devono migliorare la protezione dei consumatori e dei giovani. In aggiunta vanno create le necessarie basi di raccolta dati per consentire una migliore identificazione dei principali attori del mercato delle telecomunicazioni.

Infine, nell’ambito del presente progetto posto in consultazione si intende chiarire se misure aggiuntive possano accelerare la trasformazione e l’ampliamento delle reti di telecomunicazione.

3/85

Indice

1 Situazione iniziale .......................................................................... 6 1.1 Necessità d’intervento e obiettivi........................................................................... 6 1.1.1 Sicurezza .................................................................................................... 6 1.1.2 Ampliamento dell’infrastruttura ............................................................... 7 1.1.3 Basi di dati ................................................................................................. 7 1.2 Alternative esaminate e opzione scelta ................................................................. 7 1.2.1 Sicurezza .................................................................................................... 7 1.2.2 Ampliamento dell’infrastruttura ............................................................. 10 1.2.3 Basi di dati ............................................................................................... 12

1.3 Legame con il programma di legislatura e il piano finanziario, nonché con le

strategie del Consiglio federale .................................................................................... 13 1.4 Adempimento di interventi parlamentari .............................................................. 13

2 Confronto del diritto, in particolare con il diritto europeo ........ 15

2.1 Sicurezza............................................................................................................ 15 2.2 Ampliamento dell’infrastruttura ........................................................................... 18 2.3 Basi di dati .......................................................................................................... 18 3 Punti essenziali del progetto ....................................................... 20 3.1 La nuova regolamentazione proposta ................................................................. 20 3.1.1 Sicurezza .................................................................................................. 20 3.1.2 Ampliamento dell’infrastruttura ............................................................. 20 3.1.3 Basi di dati ............................................................................................... 20 3.2 Questioni di attuazione ....................................................................................... 21 4 Commento ai singoli articoli........................................................ 22 4.1 Legge sulle telecomunicazioni (LTC) .................................................................. 22

4.2 Modifiche alla LTC proposte tramite la legge federale sul sostegno

all’ampliamento delle infrastrutture a banda larga (LSBL) ............................................ 67

4.3 Modifica di un altro atto normativo: legge federale concernente gli impianti

elettrici a corrente forte e a corrente debole (legge sugli impianti elettrici, LIE) ............ 68 5 Ripercussioni ............................................................................... 69 5.1 Ripercussioni per la Confederazione .................................................................. 69 5.2 Ripercussioni per i Cantoni e i Comuni, per le città, gli agglomerati e le regioni di montagna ................................................................................................................. 69 5.3 Ripercussioni sull’economia................................................................................ 69 5.3.1 Sicurezza .................................................................................................. 69 5.3.2 Potenziamento delle infrastrutture ......................................................... 73 5.3.3 Basi di dati ............................................................................................... 74 5.4 Ripercussioni sulla società.................................................................................. 74 5.5 Altre ripercussioni ............................................................................................... 75 6 Aspetti giuridici ............................................................................ 76 6.1 Costituzionalità ................................................................................................... 76 6.2 Compatibilità con gli impegni internazionali della Svizzera ................................. 77 6.3 Forma dell’atto .................................................................................................... 77 6.4 Subordinazione al freno alle spese ................................................................ 78 4/85

6.5 Delega di competenze legislative........................................................................ 78 6.6 Protezione dei dati .............................................................................................. 79 7 Lista delle abbreviazioni .............................................................. 80 8 Bibliografia ................................................................................... 82

5/85

Rapporto esplicativo

1 Situazione iniziale

1.1 Necessità d’intervento e obiettivi

Il progetto posto in consultazione intende modificare le basi del diritto in materia di telecomunicazioni nei seguenti settori:

1.1.1 Sicurezza

L’attuale situazione geopolitica comporta anche maggiori esigenze di sicurezza nel settore delle telecomunicazioni. Le dipendenze tecnologiche possono essere strumentalizzate da attori statali o parastatali per esercitare pressioni politiche o economiche, sabotare infrastrutture critiche o sottrarre informazioni strategiche. La crescente interconnessione e digitalizzazione aumentano la vulnerabilità alle minacce ibride, in cui si ricorre a mezzi tecnologici per destabilizzare, ricattare o esercitare un’influenza mirata. Oggigiorno, un’infrastruttura di telecomunicazione resiliente e diversificata è quindi fondamentale per la capacità di agire dello Stato, dell’economia e della società.

In questo contesto, il Parlamento ha trasmesso diverse mozioni che evidenziano la necessità di intervenire per migliorare la sicurezza delle infrastrutture e dei servizi di telecomunicazione. In particolare, il postulato Pult (20.3984) «Infrastruttura digitale. Minimizzare i rischi geopolitici» chiede al Consiglio federale di analizzare come ridurre al minimo i rischi geopolitici nell’ampliamento e sviluppo di infrastrutture digitali quali il 5G. Nel suo rapporto su questo tema, il Consiglio federale2 giunge alla conclusione che nella legge sulle telecomunicazioni (LTC) occorrono nuove misure di resilienza informatica sul modello del «5G toolbox» dell’Unione europea (UE)3 e di altri progetti normativi. In base a ciò intende prevedere misure tecniche di sicurezza in caso di un peggioramento della situazione geopolitica, emanare prescrizioni per le infrastrutture a rischio e ridurre la dipendenza da alcuni Stati e produttori adottando una strategia multifornitore.

Indipendentemente dalla situazione geopolitica, la resilienza e la sicurezza tecnica delle infrastrutture di telecomunicazione in Svizzera sono fondamentali. Negli ultimi anni, la loro vulnerabilità è diventata evidente, in particolare nel 2020 e nel 2021, quando diverse interruzioni della rete di Swisscom hanno limitato l’accesso alle centrali d’emergenza. La mozione della CTT-S (21.3000) «Gestione del sistema nel trattamento delle chiamate d’urgenza», presentata in tale contesto, chiede la creazione di una base legale per introdurre una gestione tecnica del sistema. L’obiettivo è garantire un’elaborazione delle chiamate d’emergenza senza interruzioni e di qualità ineccepibile.

Tuttavia, la sicurezza non deve essere aumentata solo per quanto riguarda le infrastrutture di telecomunicazione in sé ma anche per i consumatori. In particolare, in adempimento della mozione Gugger (20.3374) «Proteggere efficacemente i minori di

16 anni dai contenuti pornografici su Internet. #banporn4kids#» vengono proposte

misure per migliorare la protezione dei giovani. Inoltre, il postulato Maret (24.3632) «Chiamate indesiderate. Occorrono nuove misure?» e le mozioni Seiler-Graf (24.4392)

Osservazione: I riferimenti alle fonti sono elencati nella bibliografia alla fine del documento. 2 Consiglio federale (2023a): 3 EU (2020) 6/85

«Servono misure efficaci contro l’abuso dei numeri di chiamata svizzeri» e Götte (24.4393) «Occorrono misure efficaci contro l’utilizzo abusivo dei domini svizzeri!» mostrano la necessità di intervenire per rafforzare la protezione dei consumatori. Le disposizioni proposte e le nuove competenze dell’Ufficio federale di polizia (fedpol) in collaborazione con l’Ufficio federale della cibersicurezza (UFCS) devono contribuire a frenare l’utilizzo abusivo di numeri di telefono o nomi di dominio svizzeri, nonché le chiamate abusive in generale.

1.1.2 Ampliamento dell’infrastruttura

Oltre alle suddette proposte basate sugli aspetti di sicurezza, il presente progetto posto in consultazione deve chiarire se l’ampliamento dell’infrastruttura possa essere ulteriormente sostenuto con misure specifiche (v. cap. 1.2.2), e ciò soprattutto perché le coppie elicoidali metalliche in rame finora utilizzate per collegare le reti di telecomunicazione raggiungeranno ben presto la fine del loro ciclo di vita e dovranno essere sostituite.

Dove necessario, va adattato anche l’attuale quadro normativo, perché la trasmissione dei segnali attraverso i doppini in rame sta perdendo sempre più importanza. La consultazione ha anche lo scopo di determinare se la coutenza delle infrastrutture passive possa contribuire a un ampliamento più efficiente delle linee in fibra ottica e se sono necessarie ulteriori misure.

1.1.3 Basi di dati

Attualmente vengono registrati solo i fornitori che ottengono risorse dall’Ufficio federale delle comunicazioni (UFCOM). Ciò porta a lacune nell’esecuzione e nella valutazione della legge sulle telecomunicazioni. Un’efficace sorveglianza di tutti i fornitori e degli altri attori soggetti alla legge sulle telecomunicazioni può quindi essere garantita solo in misura limitata. Una possibilità di registrazione più estesa da parte dell’UFCOM deve porre rimedio a queste carenze e contribuire alla creazione di una base di dati completa. In relazione al trattamento e alla trasmissione dei dati, il progetto di legge contiene anche modifiche derivanti dalla revisione della legge federale del 25 settembre 20204 sulla protezione dei dati (legge sulla protezione dei dati, LPD).

1.2 Alternative esaminate e opzione scelta

1.2.1 Sicurezza

Infrastrutture

Per aumentare la sicurezza delle infrastrutture di telecomunicazione in Svizzera (cfr. art. 48b e 48c), sono state esaminate e prese in considerazione solo le misure proposte dal Consiglio federale nel suo rapporto del 15 dicembre 20235 in adempimento del postulato Pult (20.3984), che chiede di ridurre al minimo i rischi geopolitici nell’ulteriore sviluppo di infrastrutture come il 5G. La necessità di una regolamentazione sussiste anche perché il libero mercato non è in grado di eliminare alcune delle minacce informatiche fondamentali per le infrastrutture di telecomunicazione6.

Le misure di sicurezza diventate necessarie nel settore degli impianti di telecomunicazione devono tenere il passo con l’evoluzione tecnica. In particolare,

4 RS 235.1 5 Consiglio federale (2023a): 6 Schwaab (2023) 7/85

vanno ampliate le definizioni di cui agli articoli 32a, 32b e 34 per considerare i nuovi fenomeni tecnici. Non esistono alternative poiché si mira a colmare determinate lacune nella legislazione.

Inoltre, deve essere introdotto l’obbligo di consegnare tutte le informazioni tecniche pertinenti (cfr. art. 34a cpv. 1), nonché un rilevamento ottico automatizzato dei veicoli per identificare i segnali di disturbo (cfr. art. 34a cpv. 2 e 3). Anche in questi settori si mira a colmare le lacune della legislazione in vigore.

Lo stesso vale per l’aggiunta e la (re)introduzione della possibilità di comminare una sanzione in caso di interferenze nel traffico delle telecomunicazioni e nella radiodiffusione (cfr. art. 52 cpv. 1 lett. j). Per quanto riguarda la delega di competenza al Consiglio federale e all’UFCOM in materia di compatibilità elettromagnetica (cfr. art. 3, 21 e 26b della legge federale del 24 giugno 19027 concernente gli impianti elettrici a corrente forte e a corrente debole; legge sugli impianti elettrici; LIE), in occasione dell’ultima revisione l’Ufficio federale di giustizia (UFG) ha criticato la mancanza di un regolamento di competenza a favore dell’UFCOM in materia di compatibilità elettromagnetica. Questa richiesta può essere soddisfatta con le presenti modifiche.

Sistema di comunicazione d’emergenza

I fornitori del servizio telefonico pubblico devono ora garantire anche una soluzione di ripiego minima e soddisfare i requisiti tecnici derivanti dai compiti sistemici per la comunicazione d’emergenza (cfr. art. 20 cpv. 2 e art. 20a cpv. 2). In particolare, i compiti sistemici devono includere l’esercizio di una rete di comunicazione d’emergenza ad alta disponibilità (Emergency Services IP Network, ESInet) tramite uno o, in modo ridondante, due operatori, la fornitura del servizio di localizzazione e l’esercizio di un servizio di coordinamento centrale in caso di problemi acuti legati alla comunicazione d’emergenza (cfr. art. 20a). Se questi compiti sistemici non sono già garantiti, l’UFCOM deve poter designare uno o più fornitori a tale scopo (cfr. art. 20b). Oltre alla regolamentazione dei costi (cfr. art. 20c), il progetto contiene anche le disposizioni per una piattaforma che consenta di effettuare test end-to-end (cfr. art. 20d) e per tutelare l’integrità della comunicazione d’emergenza (cfr. art. 20e).

Tuttavia, è stata respinta una gestione del sistema più ampia, con un diritto completo di impartire istruzioni. Ciò avrebbe implicazioni concorrenziali indesiderate per gli altri fornitori di servizi di telecomunicazione, in quanto il loro margine di manovra sarebbe nettamente più limitato, ad esempio in termini di pianificazione delle risorse e di scelta della tecnologia. Inoltre, la creazione di una vera e propria ridondanza ricorrendo a un secondo fornitore comporterebbe problemi per quanto riguarda i requisiti in materia di diritto degli acquisti pubblici se il mandato per il secondo fornitore dovesse essere conferito da un gestore di compiti sistemici e non dall’UFCOM. Anche l’idea che l’UFCOM assuma un ruolo decisivo nel sistema di chiamate d’emergenza è stata respinta. In questo caso, l’UFCOM avrebbe potuto emanare direttive, in particolare sulla base di standard internazionali, senza avere una visione di utente sui processi operativi presso i fornitori, i produttori di apparecchi e le centrali dei servizi d’emergenza. All’UFCOM lavorano solo pochi specialisti per la comunicazione d’emergenza. La gestione del sistema o la direzione di team di risposta all’interno dell’UFCOM in caso di minacce acute non appare quindi né possibile né appropriata. Inoltre, è stata esaminata la possibilità di riunire i diversi numeri di telefono per i servizi

7 RS 734.0 8/85

d’emergenza sotto il numero 112. Alcuni Paesi8 hanno un numero standardizzato. Ciò comporterebbe potenzialmente una riduzione del numero di centrali dei servizi d’emergenza. Tale standardizzazione richiederebbe adeguamenti a livello legislativo e potrebbe portare a una riduzione dei costi e della complessità della comunicazione d’emergenza. Renderebbe probabilmente anche più semplice comunicare al pubblico le informazioni sui numeri d’emergenza. Allo stesso tempo, il sistema federale svizzero prevede che tali misure vengano realizzate a livello federale solo in caso di necessità o su richiesta dei Cantoni. Questi ultimi gestiscono le centrali di allarme e attualmente i relativi rappresentanti presso la Conferenza dei comandanti delle polizie cantonali della Svizzera (CCPCS), la Tecnica e informatica di polizia Svizzera (PTI), la Coordinazione svizzera dei pompieri (CSP) e l’Interassociazione di salvataggio (IAS)9 ritengono svantaggiosa una maggiore comunicazione attraverso un unico numero d’emergenza (112), ragion per cui anche questa misura è stata respinta. Infine, è stato esaminato se sia fattibile una regolamentazione semplificata o più economica per piccoli e medi fornitori. Per la regolamentazione finalizzata a garantire la comunicazione in caso d’emergenza, non sembra opportuno introdurre differenziazioni. Tutti i cittadini dovrebbero essere in grado di inviare una comunicazione d’emergenza con tutte le funzionalità, indipendentemente dal fornitore scelto. Per l’esecuzione dei compiti sistemici (cfr. art. 20a), deve essere invece incaricata almeno un’impresa di medie dimensioni. L’esecuzione di questi compiti richiede un certo livello di risorse e di esperienza operativa nei servizi di rete.

Protezione dei giovani e dei consumatori

Per migliorare la protezione dei consumatori sono previste tre nuove misure. I fornitori di accesso a Internet devono essere obbligati a offrire ai loro clienti una consulenza sulle possibilità di protezione dei bambini e dei giovani e a proporre loro strumenti per proteggerli efficacemente dai contenuti pornografici. L’informazione comprende la consulenza nel negozio, online o anche per telefono (cfr. art. 46a). Con queste misure viene attuata la mozione Gugger (20.3374) nella forma modificata dal Consiglio degli Stati.

Inoltre, l’attuale obbligo di blocco previsto dall’articolo 6a non si applicherà più unicamente alle offerte prepagate. Abusando di un’identità o di un mezzo di pagamento si possono ottenere anche offerte postpagate. La possibilità di bloccare un collegamento deve quindi essere estesa a tutte le offerte (rete mobile o fissa, postpagata o prepagata). Inoltre, la possibilità di bloccare un collegamento deve sussistere non solo se l’identità dell’abbonato non è stata appurata o risulta verificata solo in modo insufficiente, bensì anche nel caso in cui vi sia il sospetto che un numero venga utilizzato in modo fraudolento o criminale. La relativa comunicazione deve provenire da un servizio riconosciuto (analogamente all’art. 15 cpv. 3 dell’ordinanza del 5 novembre 201410 sui domini Internet, ODIn).

Infine, per proteggere gli utenti, è prevista anche la creazione di un ordine di blocco, affinché i numeri di telefono e i nomi di dominio svizzeri utilizzati in modo fraudolento possano essere bloccati rapidamente e per un periodo di tempo limitato. Queste misure

8 Ad es. Finlandia; Emergency Response Centre Agency (2022). 9 CCPCS, PTI, CSP e IAS (2024). 10 RS 784.104.2

9/85

servono in particolare all’attuazione delle mozioni Seiler-Graf (24.4392) e Götte (24.4393).

L’UFCS è il punto di contatto per gli incidenti e le minacce informatiche. Riceve le relative segnalazioni dalla popolazione o dalle autorità ai sensi dell’articolo 73b della legge federale del 18 dicembre 202011 sulla sicurezza delle informazioni (legge sulla sicurezza delle informazioni, LSIn) e le analizza. Per proteggersi dalle minacce informatiche, il fedpol, con il supporto dell’UFCS, deve valutare le informazioni contenute in queste segnalazioni in merito a sospette frodi che utilizzano numeri di telefono o domini Internet svizzeri. A tal fine, l’UFCS trasmette poi le relative informazioni a fedpol, affinché quest’ultimo possa emettere un ordine di blocco in caso di sospetto fondato. In caso di sospetto fondato di possibile truffa, fedpol dovrebbe comunicare ai fornitori di servizi di telecomunicazione o ai gestori del registro di un dominio Internet che i relativi elementi d'indirizzo vanno bloccati provvisoriamente e per un periodo limitato. Ciò consente di prevenire eventuali reati. Il fattore tempo gioca un ruolo determinante in questo caso. Sono necessarie misure per poter reagire rapidamente. Quanto più a lungo un numero di telefono rimane attivo o un nome di dominio è accessibile, tanto maggiore è la probabilità che vi siano altre vittime. I truffatori possono continuare a utilizzare il loro numero o nome di dominio per attività criminali fino all’intervento delle autorità di perseguimento penale competenti. La possibilità di intervenire rapidamente è utile anche a causa del rapido progresso delle nuove tecnologie e della mobilità dei truffatori e dei criminali informatici, che generalmente operano a livello internazionale. Questa opzione di intervento rapido è di natura preventiva e deve precedere l’effettivo procedimento penale. Se il sospetto di truffa dovesse consolidarsi, dopo la scadenza dell’ordine di blocco, dovrà essere avviato un procedimento penale ordinario presso le autorità penali competenti.

Queste misure nel settore della protezione dei giovani e dei consumatori si basano sulle preoccupazioni sollevate nelle mozioni parlamentari. Per motivi formali di diritto costituzionale, l’attuazione delle misure a livello di ordinanza, come richiesto nella mozione Götte (24. 4393), è stata respinta. Si propone invece un’attuazione a livello di legge nel quadro dell’articolo 6b.

1.2.2 Ampliamento dell’infrastruttura

Le coppie elicoidali metalliche in rame utilizzate nelle reti di accesso di telecomunicazione raggiungeranno ben presto la fine del loro ciclo di vita e dovranno essere sostituite. L’attuale quadro giuridico deve quindi essere adattato anche a questa circostanza. Per sostenere il relativo ampliamento dell’infrastruttura, l’UFCOM deve poter emanare prescrizioni tecniche e amministrative sul cablaggio all’interno degli edifici, definendo degli standard. I requisiti dovrebbero orientarsi in particolare alle attuali linee guida tecniche dell’UFCOM12. Gli operatori di rete che intendono coutilizzare i cavi esistenti all’interno degli edifici devono poter trovare le stesse condizioni ovunque. In questo modo viene garantita la fruibilità da parte di terzi.

Tuttavia, non viene proposto attivamente un diritto generale di coutenza delle infrastrutture fisiche passive di tutti gli operatori di rete, soprattutto perché i benefici sono stati valutati in modo controverso in un sondaggio condotto tra i titolari di numeri di operatore Fiber to the Home (FTTH)13. Inoltre, esistono esempi di coutenza su base

11 RS 128 12 UFCOM (2012) 13 UFCOM (2024a e b) 10/85

volontaria e la coutenza degli impianti dei fornitori dominanti sul mercato è già prevista nella LTC. Tuttavia nel quadro del presente progetto posto in consultazione si intende chiarire se abbia senso un relativo obbligo di coutenza dell’infrastruttura fisica passiva con operatori di rete esterni al settore.

Inoltre, è stata valutata la possibilità di introdurre l’obbligo per i proprietari di immobili di posare, in caso di nuovi edifici e ristrutturazioni complete, condotti vuoti fino al punto terminale di rete e di installare un punto di accesso alla rete. Questi impianti all’interno degli edifici potrebbero facilitare l’ampliamento delle reti in fibra ottica. Tale approccio è già in gran parte preso in considerazione nelle nuove costruzioni. La definizione di ristrutturazione completa può comportare problemi nella pratica. È il proprietario ad essere responsabile di dotare i propri immobili di tecnologie di comunicazione orientate al futuro, ragion per cui è stata respinta una misura obbligatoria.

È stato preso in considerazione anche un obbligo di informazione per aumentare la trasparenza nel settore delle linee e dei lavori di costruzione. Non è necessario che l’UFCOM crei un sistema informativo digitale per la localizzazione delle linee di approvvigionamento poiché esiste già un progetto dell’Ufficio federale di topografia (swisstopo)14 con il nome «catasto delle condotte svizzero». Sarebbe anche ipotizzabile introdurre un obbligo di informazione per i gestori di rete in merito ai lavori di costruzione in corso e pianificati, che potrebbe favorire il loro coordinamento. Va ricordato che il settore edilizio è in linea di principio regolato dai Cantoni e dai Comuni. Il già citato sondaggio presso i titolari di un numero di operatore FTTH ha mostrato che il rapporto costi-benefici di tale misura è controverso. Per i lavori di costruzione pianificati, il catasto delle condotte summenzionato potrebbe essere successivamente ampliato nel settore dei progetti di costruzione (progettazione e permesso di costruzione)15.

È stata inoltre presa in considerazione la possibilità di obbligare i gestori di rete ad accogliere richieste ragionevoli per la conclusione di un accordo sul coordinamento dei lavori di costruzione indipendentemente dall’articolo 75 dell’ordinanza del 9 marzo 200716 sui servizi di telecomunicazione (OST). Tale misura è stata respinta perché la valutazione del rapporto costi-benefici nel suddetto sondaggio non è chiara e molti Cantoni e Comuni dispongono di strutture17 per il coordinamento dei lavori di costruzione.

Al fine di promuovere le cooperazioni che tendono ad essere vantaggiose sul piano della concorrenza, è stato anche chiarito se, nel caso di servizi all’ingrosso regolamentati forniti da operatori dominanti sul mercato (in particolare le canalizzazioni di cavi), si dovesse consentire un certo scostamento dai principi di non discriminazione e/o di orientamento ai costi di cui all’articolo 11. Nei negoziati di cooperazione ciò aumenterebbe soprattutto il margine di manovra finanziario. Tuttavia, la maggior parte degli operatori di mercato interpellati nel suddetto sondaggio non vede alcun beneficio in una simile regolamentazione e ritiene che l’impatto sull’ampliamento sia il più delle volte trascurabile.

Infine è stato quindi preso in considerazione se la prima impresa che segnala l’ampliamento di una rete FTTH in un’area debba ottenere il diritto esclusivo di collegare 14 swisstopo (2024a) 15 swisstopo (2024b) 16 RS 784.101.1 17 Ad es. nella città di Zurigo: Stadt Zürich (2020) 11/85

le unità d’uso in tale area ad esempio per un periodo di cinque anni. A causa della durata limitata di questa misura, i benefici in termini di sicurezza degli investimenti sono ridotti. Allo stesso tempo, tale misura equivarrebbe a un divieto temporaneo di investimento nelle località in cui sono presenti diverse tecnologie di collegamento (ad es. CATV e FTTC), entrambe potenzialmente implementabili sull’FTTH da fornitori diversi. Già oggi, l’impresa dominante sul mercato, Swisscom18, ha collegato da sola più della metà delle abitazioni con l’FTTH e probabilmente sono già stati elaborati i piani per un ulteriore ampliamento. Un diritto esclusivo di copertura per un periodo limitato arriverebbe troppo tardi e, a causa di possibili procedure giuridiche, porterebbe a potenziali ritardi nell’implementazione della fibra ottica.

Dall’esame finale relativo alla regolamentazione semplificata o più conveniente per le piccole e medie imprese conformemente alla legge federale del 29 settembre 202319 sullo sgravio delle imprese dai costi della regolamentazione (LSgrI), si giunge alla conclusione che le prescrizioni tecniche sul cablaggio interno agli edifici sono misure che dovrebbero facilitare l’ingresso nel mercato soprattutto a fornitori più piccoli. Non è quindi opportuno semplificare ulteriormente le misure proposte.

1.2.3 Basi di dati

Il diritto in vigore concernente la registrazione delle imprese attive sul mercato delle telecomunicazioni ha mostrato delle lacune che devono essere colmate, altrimenti le autorità non sarebbero in grado di svolgere una parte dei loro compiti. Per ovviare a queste carenze, la soluzione scelta prevede la registrazione dei fornitori di servizi di telecomunicazione e di accesso a Internet attualmente non registrati o di alcuni proprietari e gestori di impianti di telecomunicazione o di canalizzazione di cavi. L’obiettivo è di ottenere un quadro il più possibile rappresentativo degli attori rilevanti. Soltanto informazioni precise sugli operatori del mercato permettono di realizzare una statistica annuale delle telecomunicazioni con indicatori affidabili e validi, redigere ogni tre anni un rapporto di valutazione sulla situazione del mercato come previsto dal legislatore (cfr. art. 3a), esercitare la vigilanza sul rispetto del diritto delle telecomunicazioni (cfr. art. 58) e prendere decisioni fondate in materia di regolamentazione.

La soluzione scelta per la registrazione degli operatori del mercato riprende gli elementi pertinenti delle due opzioni applicate in passato. Ad esempio, sino alla fine del 2020 per i fornitori di servizi di telecomunicazione l’obbligo di annuncio era associato all’obbligo di pagare una tassa. Aveva però il vantaggio di premettere al regolatore di rilevare tutti gli operatori del mercato interessati. La legge attuale non prevede alcun obbligo di pagamento di tasse. Tuttavia, a causa di criteri di registrazione troppo restrittivi, non sono più noti tutti gli attori rilevanti poiché solo gli operatori del mercato che utilizzano determinate risorse gestite dallo Stato sono tenuti a registrarsi. La soluzione scelta comprende entrambi gli aspetti centrali sopra menzionati: la registrazione gratuita e la possibilità di rilevare tutti gli attori importanti del mercato svizzero.

18 Swisscom (2025a) 19 RS 930.31 12/85

1.3 Legame con il programma di legislatura e il piano finanziario, nonché con

le strategie del Consiglio federale Il progetto non è annunciato né nel messaggio del 24 gennaio 202420 sul programma di legislatura, né nel decreto federale del 6 giugno 202421 sul programma di legislatura 2023–2027.

La revisione parziale della LTC è comunque opportuna in quanto le misure proposte contribuiscono alla realizzazione dell’obiettivo 20 del decreto federale sul programma di legislatura 2023-202722. In base a questo obiettivo, la Confederazione deve anticipare i rischi informatici e adottare misure efficaci per proteggere la popolazione, l’economia e le infrastrutture critiche. Le misure di sicurezza proposte possono dare un importante contributo in questo senso.

La Ciberstrategia nazionale CSN23 contro le minacce informatiche e la Strategia nazionale per la protezione delle infrastrutture critiche (Strategia CIP)24, in particolare l’obiettivo «Servizi e infrastrutture digitali sicuri»25, riprendono questo approccio preventivo. Tuttavia, incaricano anche il Consiglio federale di analizzare i rischi e le vulnerabilità informatiche e di proporre, in considerazione delle esigenze e delle lacune giuridiche, le regolamentazioni necessarie. Il presente progetto posto in consultazione rende quindi operativa la politica nazionale di resilienza nel settore delle infrastrutture cibernetiche, di comunicazione e di crisi e contribuisce all’attuazione della Strategia in materia di politica di sicurezza e della Strategia nazionale PIC.

1.4 Adempimento di interventi parlamentari

Il progetto posto in consultazione soddisfa i requisiti di sicurezza del postulato Pult (20.3984) «Infrastruttura digitale. Minimizzare i rischi geopolitici», la mozione del CTT- S (21.3000) «Gestione del sistema nel trattamento delle chiamate d’urgenza». Il progetto di legge contribuisce inoltre a concretizzare le questioni del postulato Z’Graggen (22.4411) «Strategia per la sovranità digitale della Svizzera», della mozione Dittli (23.3002) «Migliorare la sicurezza dei dati digitali più importanti della Svizzera» e delle mozioni Juillard (24.3209) e Chappuis (24.3363) «Creare in Svizzera un’infrastruttura digitale sovrana nell’era dell’intelligenza artificiale».

Le modifiche proposte nell’ambito della protezione dei consumatori e dei giovani soddisfano le richieste espresse nella mozione Gugger (20.3374) «Proteggere efficacemente i minori di 16 anni dai contenuti pornografici su Internet. #banporn4kids#» e nel postulato Maret (24.3632) «Chiamate indesiderate. Occorrono nuove misure?» . Le preoccupazioni della mozione Seiler-Graf (24.4392) «Servono misure efficaci contro l’abuso dei numeri di chiamata svizzeri» e della mozione Götte (24.4393) «Occorrono misure efficaci contro l’utilizzo abusivo dei domini svizzeri!» sono anche prese in considerazione nelle misure proposte.

La mozione Candinas (24.4391) «È necessaria una protezione efficace contro lo spoofing dell’ID di chiamata dei numeri di telefono svizzeri!», che tratta un tema affine

20 FF 2024 525 21 FF 2024 1440 22 Art. 21, https://www.fedlex.admin.ch/eli/fga/2024/1440/it#art_21 23 Consiglio federale (2023b): 24 Consiglio federale (2023c): 25 SNPC (2023) 13/85

ed è stata presentata contemporaneamente, può essere attuata a livello di ordinanza in base alle disposizioni giuridiche formali della LTC in vigore.

14/85

2 Confronto del diritto, in particolare con il diritto europeo

2.1 Sicurezza

Infrastrutture

L’Unione Europea prende molto sul serio la sicurezza delle sue reti digitali e dei suoi sistemi di informazione in quanto infrastrutture critiche per l’economia e la società. Il diritto dell’UE mira quindi a creare un ecosistema digitale sicuro e resiliente, definendo requisiti di sicurezza per gli attori principali, favorendo la cooperazione tra gli Stati membri e introducendo meccanismi di certificazione, monitoraggio e sanzione. L’obiettivo è di proteggere i cittadini, le imprese e le organizzazioni dalle minacce informatiche e garantire il corretto funzionamento del mercato unico digitale.

Le basi legali europee formano un quadro giuridico completo in materia di sicurezza delle infrastrutture digitali e sono suddivise in tre categorie: atti interamente dedicati alla cibersicurezza, atti che contengono disposizioni relative alla cibersicurezza e atti che vi fanno riferimento. Nell’ambito della sicurezza delle infrastrutture, dei servizi e dei terminali, sono essenzialmente determinanti le disposizioni del regolamento (UE) 2019/881 (Cybersecurity Act, CSA)26, del regolamento (UE) 2024/2847 (Cyber Resilience Act, CRA)27, della direttiva (UE) 2022/2555 (direttiva NIS 2)28 e del toolbox dell’UE per la sicurezza del 5G («5G toolbox»)29.

L’Accordo tra la Confederazione Svizzera e la Comunità europea sul reciproco riconoscimento in materia di valutazione della conformità (Mutual Recognition Agreements, MRA Svizzera–UE)30 è uno strumento volto ad abolire gli ostacoli tecnici al commercio nella commercializzazione di numerosi prodotti industriali tra la Svizzera e l’UE, in particolare nel settore delle apparecchiature radio e delle apparecchiature terminali di telecomunicazione (cap. 7). Affinché il settore possa rimanere nell’ARR, la legislazione svizzera in materia deve essere allineata a quella dell’UE. La direttiva 2014/53/UE (direttiva RED)31 contiene requisiti essenziali per la sicurezza informatica, che possono essere attivati dalla Commissione mediante un atto delegato. In questo modo vengono specificati i prodotti che devono soddisfare questi requisiti aggiuntivi. Nel 2021, la Commissione ha pubblicato un atto giuridico di questo tipo, che ha attivato i requisiti di cybersicurezza per alcuni impianti radio. Queste disposizioni sono state integrate nell’ordinanza dell’UFCOM del 26 maggio 201632 sugli impianti di telecomunicazione (OOIT) per garantire l’equivalenza della legislazione svizzera e mantenere il settore nell’ARR – anche se, da quando i negoziati sull’accordo quadro

26 Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA (l’Agenzia dell’Unione europea per la cibersicurezza) e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 («regolamento sulla cibersicurezza»), GU L 151 del 7.6.2019, pag. 15; modificato dal regolamento (UE) 2025/37, GU L, 2025/37, 15.1.2025. 27 Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio, del 23 ottobre 2024, relativo a requisiti orizzontali di cibersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza), GU L, 2024/2847, 20.11.2024. 28 Direttiva (UE) 2022/2555 del Parlamento europeo e del Consiglio, del 14 dicembre 2022, relativa a misure per un livello comune elevato di cibersicurezza nell’Unione, che modifica il regolamento (UE) n. 910/2014 e la direttiva (UE) 2018/1972 e che abroga la direttiva (UE) 2016/1148 (direttiva NIS 2), GU L 333 del 26.12.2022, pag. 80 29 EU (2020) 30 RS 0.946.526.81 31 Direttiva 2014/53/EU del Parlamento europeo e del Consiglio del 16 aprile 2014 concernente l’armonizzazione delle legi­ slazioni degli Stati membri relative alla messa a disposizione sul mercato di apparecchiature radio e che abroga la diret­ tiva 1999/5/CE, GU L 153, del 22.5.2014, pag. 62; modificata da ultimo dalla direttiva (EU) 2024/2839, GU L, 2024/2839, 7.11.2024. 32 RS 784.101.21 15/85

sono stati sospesi nel 2021, l’UE non ha formalmente effettuato una verifica dell’equivalenza.

La direttiva RED33, a cui la Svizzera ha allineato la propria legislazione, crea un quadro normativo per la fornitura sul mercato di impianti radio che include requisiti tecnici per la protezione della sfera privata, la protezione dei dati personali e la protezione dalla truffa. Le disposizioni incluse nel 2022 nell’ordinanza del 25 novembre 201534 sugli impianti di telecomunicazione (OIT) e attuate nell’OOIT aumentano la sicurezza informatica di alcuni dispositivi senza filo (smartphone, smartwatch, fitness tracker e giocattoli senza filo) disponibili sul mercato svizzero. Per rafforzare la loro resilienza, tali dispositivi interconnessi devono disporre di funzioni che impediscano la compromissione delle reti di comunicazione. Le disposizioni dell’OOIT si applicano anche agli impianti 5G.

Nel maggio 2019, gli Stati Uniti hanno bandito dai propri sistemi di telecomunicazione i prodotti e i servizi di imprese cinesi, divieto che nel 2022 è stato esteso a tutti i prodotti di telecomunicazione e videosorveglianza cinesi. Oltre al sospetto di spionaggio, i motivi per il divieto dovrebbero includere anche considerazioni relative al dominio delle imprese cinesi nel mercato della tecnologia 5G e al ritardo accusato dalle imprese statunitensi in questo settore. Altri Paesi, tra cui Canada, Regno Unito, Giappone e Australia, hanno seguito l’esempio degli USA.

Comunicazione d’emergenza

Nel campo della comunicazione d’emergenza, il compito più complesso del sistema, la creazione di una ESInet, si basa su uno standard internazionale dell’ETSI35. Secondo Mc Bride36, diversi altri Paesi europei come la Macedonia del Nord, l’Austria, il Portogallo e la Romania hanno già implementato parti di questa rete. Bulgaria, Estonia, Lituania e Svezia stanno portando avanti progetti in materia. Anche la National Emergency Number Association (NENA)37, l’autorità statunitense per la standardizzazione delle comunicazioni d’emergenza, è attiva in questo settore.

Protezione dei giovani e dei consumatori

In merito alla protezione dei minori, per quanto noto attualmente, i nuovi orientamenti della Commissione europea C/2025/551938 contengono l’obbligo per gli operatori delle piattaforme di fornire strumenti tecnici per la protezione e il monitoraggio dei minori. Tuttavia, la legislazione dell’UE non prevede alcun ulteriore obbligo legale per i fornitori di Internet di offrire una consulenza attiva ai responsabili dell’educazione dei giovani. Una tale regolamentazione è lasciata alla discrezione degli Stati membri. Nell’ambito del blocco dei numeri di chiamata e dei nomi di dominio, attualmente non esiste una norma giuridica a livello di diritto dell’Unione Europea (diritto UE) che permetta alle autorità di ordinare un tale intervento anche in presenza di un fondato sospetto di reato.

33 V. nota n. 31 a piè di pagina. 34 RS 784.101.2 35 ETSI (2023) 36 McBride (2024) 37 NENA (2025). 38 Orientamenti C/2025/5519 su misure per garantire un elevato livello di tutela della vita privata, di sicurezza e di prote­ zione dei minori online, in Internet a norma dell’articolo 28, paragrafo 4, del regolamento (UE) 2022/2065, GU C del 10.10.2025. 16/85

Il seguente confronto trasversale dell’applicazione della legge nei Paesi confinanti con la Svizzera è quindi particolarmente interessante.

L’Agenzia federale delle reti tedesca (BNetzA) ha il potere di revocare un numero di chiamata presumibilmente utilizzato in modo illecito se non vengono rispettati gli obblighi legali o delle autorità. Inoltre, la BNetzA può ordinare all’operatore di rete in cui il numero di chiamata è operativo di disattivarlo. Si può ipotizzare che, in caso di sospetto urgente e ben fondato da parte dell’autorità inquirente, la BNetzA possa ordinare la disattivazione del numero di chiamata, anche se non c’è ancora stata una sentenza passata in giudicato. Il regolamento sui reclami della BNetzA39 si concentra sull’indagine dei fatti da parte della stessa BNetzA. La «conoscenza certa» è generata dalla somma delle denunce e delle prove disponibili, che permette un intervento immediato (disattivazione) per scongiurare il pericolo senza dover attendere una sentenza penale. Secondo il comunicato stampa della BNetzA40, solo nel 2024 sono stati disattivati circa 6500 numeri di chiamata. L’elevato numero delle disattivazioni annuali non permette di attendere che la sentenza passi in giudicato. Va inoltre sottolineato che la formulazione «in caso di conoscenza certa dell’uso illecito di un numero di chiamata (...)» pone requisiti più elevati in termini di onere della prova rispetto a un sospetto fondato. La BNetzA deve essere convinta, sulla base di fatti, che si tratta di un uso illecito.

L’Autorité de Régulation des Communications Électroniques, des Postes et de la Distribution de la Presse (ARCEP) francese può ordinare il blocco dei numeri telefonici come sanzione in seguito a una richiesta formale e in caso di accertata inosservanza delle prescrizioni sull’utilizzo delle risorse di numerazione. Di solito l’operatore o l’utente viene invitato formalmente («mise en demeure») a porre rimedio alla violazione entro il periodo specificato. Se la violazione persiste dopo la scadenza del termine, l’ARCEP può ordinare agli operatori di bloccare il numero.

L’Autorità per le Garanzie nelle Comunicazioni (AGCOM) italiana è un’autorità di regolamentazione con ampi poteri di controllo e sanzionatori nel settore delle comunicazioni. La sua base giuridica è il Codice delle Comunicazioni Elettroniche. Se viene rilevato un abuso o l’inosservanza delle prescrizioni sull’utilizzo delle risorse di numerazione, l’AGCOM può imporre sanzioni. Di regola, la procedura prevede un reclamo formale, seguito dalla possibilità di disattivare il numero telefonico se la situazione illegale non viene risolta entro il termine stabilito. L’Italia ha anche regolamentazioni specifiche per lottare contro le truffe nel settore delle telecomunicazioni, che prevedono la disattivazione del numero come conseguenza diretta. L’ordine viene emesso sulla base di un atto amministrativo. In base al Codice di procedura penale, il Pubblico Ministero o il Giudice per le indagini preliminari possono disporre il sequestro cautelare e l’interruzione dei mezzi di comunicazione in caso di urgenti e gravi sospetti di reato (ad es. in relazione al terrorismo, al traffico di droga o a truffe gravi). Questo serve a prevenire la continuazione di attività criminali prima che venga emessa un’accusa o una sentenza.

L’Autorità di regolamentazione austriaca per la radiodiffusione e le telecomunicazioni (RTR) ha ampi poteri e competenze nell’ambito del diritto penale amministrativo per imporre l’applicazione del diritto sulle telecomunicazioni. La sua base giuridica è la legge sulle telecomunicazioni (TKG 2021), in particolare le disposizioni che regolano l’utilizzo delle risorse di numerazione e stabiliscono le sanzioni amministrative. In

39 BNetzA (2022) 40 BNetzA (2025) 17/85

pratica, se viene rilevato un uso abusivo dei numeri di telefono (ad es. in caso di pubblicità non autorizzata, truffe illegali o molestie di massa), la RTR può ordinare misure per eliminare la situazione illecita. Ciò può includere l’obbligo per l’operatore di impedire l’utilizzo del numero di telefono, il che equivale di fatto a un blocco. A tale fine non è necessaria alcuna sentenza civile o penale. In presenza di un sospetto urgente di reato e se un procedimento penale è già in corso, sono responsabili i tribunali e le procure. La base giuridica è in questo caso il Codice di procedura penale. Se vi è un sospetto urgente di reati gravi, la procura o il tribunale possono ordinare misure di sorveglianza o di sicurezza ai sensi del codice di procedura penale. La disattivazione temporanea di un numero di telefono come misura per scongiurare un pericolo o impedire altri reati deve essere autorizzata da un tribunale e serve come misura di protezione.

Questi esempi provenienti da Germania, Francia, Italia e Austria mostrano che nei Paesi limitrofi alla Svizzera non esiste una normativa esplicita equivalente che permetta alle autorità investigative di bloccare dei numeri già al momento di un sospetto fondato di reato. Allo stesso tempo è però chiaro che non occorre una sentenza passata in giudicato come condizione obbligatoria per il blocco. Il blocco avviene sia come sanzione amministrativa da parte dell’autorità di regolamentazione (sulla base di una conoscenza confermata dell’illegalità), sia come misura di sicurezza nei procedimenti penali (prima di una sentenza passata in giudicato) per ordine delle autorità giudiziarie (in caso di grave indizio di reato).

2.2 Ampliamento dell’infrastruttura

Con la proposta di emanare prescrizioni unicamente per il cablaggio all’interno degli edifici, la Svizzera va decisamente meno lontano dell’UE nel settore delle infrastrutture passive. Diverse possibilità di intervento descritte nel capitolo 1.2.2 e scartate provengono dal regolamento (UE) 2024/1309 (Gigabit Infrastructure Act, GIA)41, che nel frattempo è entrato in vigore per favorire l’ampliamento della banda larga.

2.3 Basi di dati

A livello europeo, esistono principi comuni e un coordinamento all’interno dell’UE. Ai sensi della direttiva (UE) 2018/1972(Codice europeo delle comunicazioni elettroniche, EECC)42, uno Stato membro che ritenga giustificato l’obbligo di annuncio per le imprese soggette ad autorizzazione generale può soltanto richiedere a tali imprese di trasmettere una notifica all’autorità nazionale di regolamentazione o a un’altra autorità competente. La notifica comprende solo la dichiarazione di una persona fisica o giuridica all’autorità nazionale di regolamentazione o a un’altra autorità competente in merito alla sua intenzione di iniziare a fornire reti o servizi di comunicazione elettronici e le informazioni minime necessarie per permettere all’Organismo dei regolatori europei delle comunicazioni elettroniche (BEREC) e alla suddetta autorità di tenere un registro o un elenco dei fornitori di reti e servizi di comunicazione elettronici. Gli Stati membri non impongono obblighi di annuncio aggiuntivi o separati.

Pertanto, pur promuovendo un approccio armonizzato e semplificato, l’EECC lascia agli Stati membri una certa flessibilità quanto all’imposizione di un obbligo di annuncio.

41 Regolamento (UE) 2024/1309 del Parlamento europeo e del Consiglio, del 29 aprile 2024, recante misure volte a ridurre i costi dell’installazione di reti di comunicazione elettronica Gigabit, che modifica il regolamento (UE) 2015/2120 e abroga la direttiva 2014/61/UE (regolamento sull’infrastruttura Gigabit), GU L, 2024/1309, 8.5.2024. 42 Direttiva (UE) 2018/1972 del Parlamento europeo e del Consiglio, dell’11 dicembre 2018, che istituisce il codice europeo delle comunicazioni elettroniche (rifusione), GU L 321 del 17.12.2018, pag. 36; modificata dalla Direttiva (EU) 2022/2555, GU L 333 del 27.12.2022, pag. 80. 18/85

Inoltre il BEREC cura e pubblica un elenco di queste notifiche in una banca dati di autorizzazioni generali, che repertoria tra l’altro il nome dell’impresa, i servizi forniti e gli Stati membri interessati. In pratica, tutti gli Stati membri dell’UE richiedono una notifica, ad eccezione della Danimarca, la quale non l’ha mai introdotta, e della Francia, che ha abolito tale obbligo nel 2021. Al di fuori dell’UE, un obbligo di annuncio non è mai stato applicato nel Regno Unito. Infine, qualunque sia la modalità di raccolta delle informazioni, per la maggior parte dei Paesi europei è importante avere un quadro ben preciso dei fornitori delle reti o dei servizi di comunicazione elettronici. Ciò consente soprattutto di tenere un registro e quindi di facilitare il monitoraggio e la regolamentazione del mercato.

Per contro, il progetto non prevede un obbligo formale di annuncio per tutti i fornitori di servizi di telecomunicazione, come avveniva prima del 2021. Analogamente a quanto avviene a livello europeo, l’obiettivo è però di ottenere un quadro il più possibile completo degli operatori del mercato. A tal fine, l’UFCOM dovrebbe anche poter registrare i fornitori di servizi di telecomunicazione che non ottengono risorse dall’UFCOM (in particolare i fornitori di accesso a Internet) o i proprietari e gestori di impianti di telecomunicazione o di canalizzazioni di cavi in Svizzera e richiedere loro tutte le informazioni necessarie per la registrazione.

19/85

3 Punti essenziali del progetto

3.1 La nuova regolamentazione proposta

Il progetto di legge comprende essenzialmente tre settori di regolamentazione:

3.1.1 Sicurezza

La sicurezza delle infrastrutture di telecomunicazione e dei relativi servizi che forniscono deve essere migliorata in considerazione della situazione geopolitica instabile. Per questo motivo, nel settore delle infrastrutture di telecomunicazione vengono proposte disposizioni che aumentano la resilienza e la sicurezza delle infrastrutture. Inoltre, in caso di rischi per la sicurezza derivanti dalla situazione geopolitica, il Consiglio federale deve poter adottare le misure necessarie. Non da ultimo le misure nel settore degli impianti di telecomunicazione e degli apparecchi elettrici servono a garantire la sicurezza delle infrastrutture. A tal fine, devono essere specificate le disposizioni per gli impianti che vanno esercitati da determinate autorità nell’interesse della prevenzione e della lotta alla criminalità nonché della sicurezza pubblica. In aggiunta, per individuare nel traffico le interferenze allo spettro delle frequenze, l’UFCOM deve poter dotare gli impianti di misurazione di una funzione di registrazione delle immagini e quindi identificare i veicoli che causano interferenze.

Si intende anche migliorare la disponibilità della comunicazione d’emergenza, introducendo una forma di gestione tecnica del sistema.

Infine occorre aumentare anche la sicurezza dei consumatori nell’utilizzo dei servizi di telecomunicazione. I fornitori di servizi di telecomunicazione devono informare nel dettaglio le persone responsabili dell’educazione dei giovani sui mezzi tecnici per proteggerli nel settore della pornografia. Inoltre deve essere intensificata la lotta contro l’abuso dei numeri di telefono e dei nomi di dominio svizzeri.

3.1.2 Ampliamento dell’infrastruttura

Al fine di realizzare un efficace ampliamento dell’infrastruttura, l’UFCOM deve poter emanare prescrizioni tecniche e amministrative (PTA) sul cablaggio all’interno degli edifici, definendo degli standard. I requisiti dovrebbero orientarsi in particolare alle linee guida tecniche volontarie esistenti dell’UFCOM43. Inoltre, nelle disposizioni generali si propone di equiparare alcuni proprietari o gestori di impianti di telecomunicazione o di canalizzazioni di cavi ai fornitori di servizi di telecomunicazione, nella misura in cui ciò sia necessario per un’efficace concorrenza nel fornire servizi di telecomunicazione. In particolare, per quanto riguarda l’utilizzo di terreni e proprietà, nonché l’accesso al punto d’entrata nell’edificio e la coutenza degli impianti interni all’edificio, ciò dovrebbe permettere di colmare le attuali lacune legali. Il progetto di legge non contiene alcun obbligo esplicito di coutenza per le infrastrutture passive. La necessità di un tale obbligo deve tuttavia essere oggetto di discussione nel quadro della presente consultazione.

3.1.3 Basi di dati

Per i compiti di esecuzione e di valutazione, l’UFCOM deve poter rilevare altri attori del mercato svizzero delle telecomunicazioni. Le basi in vigore permettono all’UFCOM di registrare unicamente i fornitori di servizi di telecomunicazione che ottengono risorse dall’UFCOM. Pertanto, l’UFCOM e le altre autorità hanno solo una visione limitata del mercato svizzero delle telecomunicazioni e dei suoi attori rilevanti. Secondo il diritto

43 UFCOM (2012) 20/85

vigente, operatori importanti come i fornitori di servizi di accesso a Internet o certi gestori o proprietari di impianti di telecomunicazione non possono essere registrati; per l’esecuzione e la valutazione della legislazione sulle telecomunicazioni è però fondamentale poterlo fare. La creazione di questa nuova possibilità di registrazione dovrebbe colmare tale lacuna.

3.2 Questioni di attuazione

Le misure di sicurezza previste per le infrastrutture di telecomunicazione e in caso di rischi geopolitici derivano dal «5G toolbox» dell’UE44. Pertanto queste devono essere comunque prese in considerazione per i fornitori attivi a livello internazionale. Inoltre si basano su standard internazionali. Si parte quindi dal presupposto che la loro implementazione sarà semplice.

Nel settore della comunicazione d’emergenza, la regolamentazione si basa soprattutto sugli standard internazionali. Lo standard per creare una ESInet proviene dall’organizzazione ETSI (v. cap. 2), che ha coinvolto i rappresentanti del settore nel processo di standardizzazione45. Le misure in merito alla soluzione di ripiego minima si basano sul modello di riferimento del Dipartimento federale dell’ambiente, dei trasporti, dell’energia e delle comunicazioni (DATEC) e della Conferenza delle direttrici e dei direttori dei dipartimenti cantonali di giustizia e polizia (CDDGP) per le chiamate d’emergenza46. Nel relativo progetto era rappresentato anche il settore.

Le misure in materia di protezione dei consumatori non contengono disposizioni che possono impedire od ostacolare l’esecuzione tramite mezzi elettronici. Lo stesso vale anche per l’opzione proposta di bloccare i numeri di telefono e i nomi di dominio. Tuttavia, la consulenza alle persone responsabili dell’educazione dei giovani dovrebbe essere offerta presso i punti vendita dell’operatore Internet, per telefono o tramite un modulo online/chat bot. In tutti i casi, non è necessario alcun contatto con le autorità e nella maggior parte dei casi la consulenza può avvenire attraverso i canali di vendita già esistenti dei fornitori di servizi di accesso a Internet.

Per quanto riguarda le prescrizioni sul cablaggio all’interno degli edifici si parte dal presupposto di una facile attuazione. Le prescrizioni devono basarsi sulle attuali linee guida tecniche dell’UFCOM47, elaborate da un gruppo di lavoro del settore e disponibili in formato elettronico. Nel caso di procedure di vigilanza, si cercherà il più possibile di ricorrere al trattamento elettronico.

44 EU (2020) 45 ETSI (2025) 46 DATEC e CDDGP (2022) 47 UFCOM (2012) 21/85

4 Commento ai singoli articoli

4.1 Legge sulle telecomunicazioni (LTC)

Ingresso

Il diritto elvetico in materia di telecomunicazioni si fonda sull’articolo 92 della Costitu­ zione federale del 18 aprile 1999 (Cost.)48 della Confederazione Svizzera. Su tale base costituzionale poggiano tutti gli ambiti necessari alla funzionalità dell’infrastruttura per l’intero settore delle telecomunicazioni. Il legislatore ha così disciplinato nella LTC non solo l’offerta di servizi di telecomunicazione e l’organizzazione del mercato delle tele­ comunicazioni, ma ha anche emanato numerose prescrizioni relative a risorse (fre­ quenze, elementi di indirizzo) e infrastrutture (impianti, canalizzazioni di cavi).

Le misure di protezione previste dalla revisione in oggetto e relative alla resilienza delle infrastrutture di telecomunicazione si fondano in larga misura su tale base costituzio­ nale. Le disposizioni proposte si concentrano sulla sicurezza tecnica dell’infrastruttura di telecomunicazione. Dovrebbero inoltre contribuire all’indipendenza strutturale della Svizzera e dunque alla garanzia della sicurezza interna ed esterna. È pertanto giustifi­ cato basare la revisione in oggetto, e in particolare l’articolo 48a segg., anche sull’arti­ colo 173 capoverso 2 Cost.

La protezione dalle minacce informatiche non comprende però soltanto l’infrastruttura di telecomunicazione, ma anche i servizi che sono forniti attraverso di essa e, in ultima istanza, anche la popolazione in quanto utente di tali servizi. Mentre le basi costituzio­ nali di cui all’articolo 92 e 173 capoverso 2 Cost. prevedono la protezione dell’infra­ struttura di telecomunicazione e della sicurezza e indipendenza della Svizzera, le di­ sposizioni a tutela degli utenti devono fondarsi anche sull’articolo 97. Tale competenza consente alla Confederazione di emanare misure a protezione dei consumatori e funge da base per il rilascio delle disposizioni a tutela dei giovani e dei consumatori previste in particolare agli articoli 6a, 6b nonché 46a.

Art. 1 Scopo

Cpv. 1

La LTC ha lo scopo di offrire alla popolazione e all’economia una vasta gamma di ser­ vizi di telecomunicazione di qualità, competitivi su scala nazionale e internazionale, a prezzi convenienti. Sul piano della regolamentazione crea inoltre le condizioni quadro necessarie a tale scopo. Nell’ottica del crescente pericolo che le minacce informatiche rappresentano, tale obiettivo può essere garantito solo se si tiene debitamente conto dell’aspetto della sicurezza tecnica in relazione alle infrastrutture di telecomunicazione e ai servizi forniti tramite esse. Lo scopo primario della LTC deve dunque essere com­ pletato, integrando al capoverso 1 l’aspetto della sicurezza. In questo modo, popola­ zione ed economia potranno contare non solo su servizi di telecomunicazione di qualità elevata, ma anche sull’uso di servizi più sicuri. L’aspetto della sicurezza, nel frattempo divenuto essenziale, va inteso in senso tecnico e operativo. Come sinora, i fornitori in particolare non devono effettuare alcuna verifica dei contenuti, in quanto essi riman­ gono protetti dal principio del segreto delle telecomunicazioni (cfr. art. 43 LTC e art. 13 cpv. 1 Cost., art. 321ter del Codice penale del 21 dicembre 193749 [CP]).

48 RS 101 49 RS 311.0 22/85

Cpv. 2

Il principio dell’offerta di servizi di telecomunicazione sicuri, ora sancito al capoverso 1, dev’essere sancito e concretizzato anche negli obiettivi derivati di cui al capoverso 2, anche affinché il legislatore e il Consiglio federale possano attivarsi sul piano norma­ tivo.

Lett. b

La menzione esplicita della sicurezza delle reti e della protezione dalle minacce infor­ matiche alla lettera b si riferisce ad un traffico delle telecomunicazioni privo di interfe­ renze. Al contempo occorre però garantire il rispetto dei diritti della personalità degli utenti. Garantire la sicurezza delle telecomunicazioni ha lo scopo di tutelare la popola­ zione e l’economia e, di conseguenza, il bene giuridico costituito dall’interesse privato degli utenti dei servizi di telecomunicazione. L’obiettivo di protezione dalle minacce in­ formatiche consente e giustifica l’aggiunta di nuovi compiti e obblighi in questo conte­ sto. In tale ottica, la Confederazione deve pertanto poter assumere nuovi compiti di tutela dei consumatori. Deve poter ordinare blocchi, in particolare in caso di uso impro­ prio di elementi di indirizzo, così da impedire preventivamente, in maniera rapida ed efficace, intenti criminali (cfr. art. 6a e 6b) e tutelare la popolazione da violazioni dei diritti patrimoniali e della personalità.

Vista la necessità di coordinare e armonizzare le disposizioni giuridiche nel settore della sicurezza informatica, il concetto di minaccia informatica nella LTC dovrebbe corrispon­ dere alla definizione di cui all’articolo 5 lettera f (in combinato disposto con lett. a e d) LSIn. Si tratta di qualsiasi circostanza o evento che ha il potenziale per dare origine a un incidente informatico, ovvero un evento che, nell’ambito dell’utilizzo di strumenti delle tecnologie dell’informazione e della comunicazione, comporti una compromis­ sione della riservatezza, della disponibilità o dell’integrità delle informazioni o della trac­ ciabilità della loro elaborazione.

Lett. f

Sancire i concetti di resilienza e sicurezza delle infrastrutture di telecomunicazione nell’articolo sullo scopo sottolinea l’importanza della sicurezza nel campo dell’infrastrut­ tura e, inoltre, l’indipendenza strutturale e la resilienza informatica della Svizzera.

Sebbene sancire i concetti di rafforzamento della sicurezza e della resilienza vada, in ultima analisi, a vantaggio anche dell’economia e della popolazione, l’obiettivo primario è quello di tutelare il bene giuridico dell’interesse pubblico in materia di sicurezza in­ terna ed esterna e, di conseguenza, di proteggere la piazza industriale, economica e finanziaria della Svizzera. La resilienza dell’infrastruttura di telecomunicazione mira, dunque, anche a garantire l’indipendenza strutturale della Svizzera, tenuto conto della situazione geopolitica. Sancire tali principi nell’articolo sullo scopo giustifica e consente sia al legislatore che al Consiglio federale di intervenire a livello normativo anche in questo ambito, prevedendo sia obblighi per gli operatori del mercato sia compiti per la Confederazione.

Di conseguenza, i fornitori di servizi di telecomunicazione devono adottare misure tec­ niche, operative e amministrative per contrastare la manipolazione non autorizzata delle infrastrutture di telecomunicazione con la trasmissione mediante tecniche di tele­ comunicazione e altre minacce informatiche, migliorando così la resilienza delle infra­ strutture di telecomunicazione (cfr. art. 48a). A tal fine, i fornitori devono utilizzare 23/85

componenti sicure sia nella progettazione che nella gestione delle loro infrastrutture di telecomunicazione e perseguire una strategia di diversificazione (cfr. art. 48b). Come ultima risorsa, il Consiglio federale dovrebbe inoltre avere la possibilità di adottare mi­ sure in caso di aggravamento della situazione geopolitica (cfr. art. 48c).

Art. 3 Definizioni

Lett. d Impianti di telecomunicazione

Il completamento della definizione di impianti di telecomunicazione all’articolo 3 let­ tera d con il concetto di software tiene conto dei costanti progressi tecnologici e dell’in­ tegrazione, nel frattempo «onnipresente», dei software negli impianti di telecomunica­ zione. Un software può avere effetti non trascurabili sulla conformità degli impianti di telecomunicazione, poiché consente un controllo totale sull’impianto in cui è integrato. Offre al produttore la flessibilità necessaria per ampliare le funzionalità del proprio pro­ dotto o per risolvere eventuali problemi tramite un semplice aggiornamento che può essere messo a disposizione degli utenti. In tal caso sono intesi software che possono avere ripercussioni sulla conformità ai requisiti essenziali. L’OIT comprende già diverse disposizioni concernenti i software contenuti negli impianti radio. Con l’inserimento del termine «software» nella definizione di impianti di telecomunicazione, viene ora chiarito anche per questi ultimi che il software è considerato parte integrante degli stessi.

Art. 3a Diritti e obblighi di proprietari e gestori di impianti di telecomunicazione o canalizzazioni di cavi

Cpv. 1

Il nuovo articolo 3a consente di colmare una lacuna creatasi nella LTC a causa dei nuovi modelli commerciali e dell’utilizzo del concetto di fornitore di servizi di telecomu­ nicazione. L’articolo tiene conto del fatto che l’ampliamento delle reti di telecomunica­ zione (in particolare le reti di accesso) può avvenire anche ad opera di imprese che non offrono loro stesse servizi di telecomunicazione, ma noleggiano unicamente l’in­ frastruttura per la trasmissione mediante tecniche di telecomunicazione di informazioni per conto di terzi («puri fornitori di infrastrutture di telecomunicazione»). In tale contesto pare logico che, nella creazione di collegamenti di telecomunicazione, non dovrebbe contare se l’impresa che effettua l’allacciamento fornisce anche servizi di telecomuni­ cazione, o se questi vengono forniti da un’altra impresa. La disposizione chiarisce che ai proprietari e ai gestori di impianti di telecomunicazione destinati alla fornitura di ser­ vizi di telecomunicazione (cfr. lett. a) o ai proprietari di canalizzazioni di cavi (cfr. lett. b) si applicano, ai sensi della presente legge, gli stessi diritti e obblighi relativi a infra­ strutture di telecomunicazione analoghe previsti per le imprese che gestiscono le stesse infrastrutture ma offrono anche servizi di telecomunicazione. Una disparità di trattamento fra questi due tipi di impresa non è mai stata nell’intento della legislazione sulle telecomunicazioni. La precisazione si è resa necessaria a causa della crescente diffusione del modello commerciale della «gestione di reti in fibra ottica inattiva».

Sono esemplari le lacune e le relative necessità di chiarificazione agli articoli 35, 35a, 35b, 36, 36a e 37, illustrate al capitolo 5 (impianti di telecomunicazione). Queste pre­ scrizioni si rivolgono a imprese che, con la propria infrastruttura di rete, posano cavi verso immobili. I diritti ed obblighi implicati concernono la costruzione fisica della rete e non vi è ragione per cui, a tale proposito, le imprese che costruiscono reti ma non offrono servizi di telecomunicazione debbano essere trattate diversamente da quelle

24/85

che offrono anche servizi di telecomunicazione. Di conseguenza, gli articoli interessati sono elencati concretamente al capoverso 1.

La precisazione «per la fornitura di servizi di telecomunicazione» nell’ambito del con­ cetto di impianto di telecomunicazione, alla lettera a, è importante: limita la cerchia degli interessati alle imprese del mercato delle telecomunicazioni. Ad esempio, i proprietari di apparecchi di radiocomunicazione mobile che ne concedono l’uso a terzi sono così esclusi dalla cerchia delle persone interessate (ad es. i genitori che lasciano usare al loro figlio un telefono cellulare). Al contrario, una fibra ottica spenta, concessa in uso a un fornitore di servizi di telecomunicazione, costituisce un impianto di telecomunica­ zione destinato alla fornitura di servizi di telecomunicazione e il suo proprietario ha gli stessi diritti e doveri in relazione a tale fibra ottica che hanno i fornitori di servizi di telecomunicazione in relazione alle fibre ottiche di loro proprietà.

Sia per quanto concerne la lettera a sia per quanto concerne la lettera b, è determinante che gli impianti di telecomunicazione o le canalizzazioni di cavi possano essere usati da terzi per fornire servizi di telecomunicazione.

Cpv. 2

Qualora dovesse emergere che, ai fini di una concorrenza efficace nella fornitura di servizi di telecomunicazione, debbano valere altri diritti o obblighi da parte dei fornitori di servizi di telecomunicazione e, per analogia, per i proprietari o i gestori di impianti di telecomunicazione per la fornitura di servizi di telecomunicazione o di canalizzazioni di cavi, il Consiglio federale può prevederlo a livello di ordinanza.

Art. 4 Registrazione

Cpv. 1 e 2

In occasione dell’ultima revisione della LTC, l’obbligo generale di annuncio era stato sostituito dalla registrazione esclusiva di quei fornitori di servizi di telecomunicazione che, per la fornitura di servizi di telecomunicazione, utilizzano frequenze di radiocomu­ nicazione per cui è necessaria una concessione o usano elementi d’indirizzo gestiti a livello nazionale. Questa possibilità va mantenuta ed è ancora prevista ai capoversi 1 e 2 della disposizione. Nella pratica, però, l’approccio che era stato scelto si è rivelato insufficiente: non consente infatti alle autorità esecutive di avere una visione d’insieme degli attori del mercato delle telecomunicazioni. Una tale visione d’insieme è indispen­ sabile per ragioni di trasparenza (cfr. art. 12a) e di vigilanza (cfr. art. 58), per redigere un rapporto di valutazione (v. art. 3a) e stilare la statistica ufficiale delle telecomunica­ zioni (cfr. art. 59 cpv. 2) o come base per la valutazione del diritto in materia di teleco­ municazioni (v. art. 59 cpv. 2bis lett. c). Inoltre, in particolare nel potenziamento dell’in­ frastruttura, nel contesto del progetto di legge federale sul sostegno all’ampliamento delle infrastrutture a banda larga LSBL50 sono emerse nuove necessità in materia di conoscenza del mercato. In tale ambito si impone un adeguamento delle disposizioni in materia di registrazione. La disposizione va rinumerata a seguito dell’estensione della possibilità di registrazione dell’UFCOM, mentre i precedenti capoversi 1 e 2 non necessitano di modifiche.

Cpv. 3

50 Cfr. Procedure di consultazione concluse - 2025: https://fedlex.data.admin.ch/eli/dl/proj/2025/4/cons_1. 25/85

Vista la nuova struttura, il tenore materiale del capoverso 3 vigente dev’essere traspo­ sto nel capoverso 4. In futuro l’UFCOM potrà, sulla base del capoverso 3, registrare le persone che sottostanno alla LTC che non usano risorse gestite dall’UFCOM, in parti­ colare al fine di consentire l’esecuzione della legislazione, la vigilanza su di essa e sull’elaborazione della statistica o la valutazione della legge. Le persone interessate sono, ai sensi dell’articolo 59 capoverso 1, tenute a fornire le informazioni necessarie ai fini della registrazione. In tale ambito, l’UFCOM deve in particolare poter registrare i fornitori di accessi a Internet o anche, ad esempio, i principali fornitori di programmi radiofonici e televisivi, a condizione che siano rilevanti ai fini dell’esecuzione e della valutazione del diritto in materia di telecomunicazioni. Inoltre, possono essere registrati dall’UFCOM anche i proprietari o gli esercenti di cavi in fibra ottica (i cosiddetti fornitori di darkfiber, ossia fibra ottica spenta) e gli esercenti o proprietari di impianti di teleco­ municazione che concedono in uso la propria infrastruttura ad altri fornitori e non allac­ ciano edifici.

Con questa nuova possibilità di registrazione, non si aggiungono nuovi diritti o obblighi sul piano materiale per gli attori in questione, i quali sono già oggi disciplinati dal diritto delle telecomunicazioni. L’estensione della possibilità di registrazione consente però all’UFCOM di ottenere un quadro completo degli operatori di mercato rilevanti e, grazie a una base dati esaustiva, di svolgere i propri compiti in modo adeguato.

I soggetti che sono esclusivamente proprietari o gestori di impianti di telecomunica­ zione o di canalizzazioni per cavi, utilizzati per collegare edifici mediante servizi di te­ lecomunicazione, non sono interessati dal capoverso in questione. Ad essi si applica l’obbligo di annuncio ai sensi dell’articolo 4a.

Cpv. 4

Le informazioni in merito ai fornitori, esercenti o proprietari registrati devono poter es­ sere raccolte in una lista, la quale deve comprendere in particolare i servizi offerti e gli impianti di telecomunicazione. Con la precisazione secondo cui l’UFCOM può pubbli­ care la lista delle persone registrate, viene abrogato l’obbligo di pubblicare tale lista. Tuttavia, come sinora l’UFCOM dovrà continuare, per ragioni di trasparenza, a pubbli­ care tale lista, rinunciandovi unicamente qualora non vi sia alcun interesse alla pubbli­ cazione.

Cpv. 5

Il Consiglio federale deve poter prevedere deroghe alla registrazione. Sono ipotizzabili in particolare situazioni in cui un fornitore richieda per un breve periodo elementi di indirizzo o frequenze concesse in licenza per la fornitura di un servizio di telecomuni­ cazione e fornisca i servizi solo nell’ambito dell’articolo 2 LTC. Tali prestazioni di servizi autonome non dovrebbero essere registrate dall’UFCOM, in particolare se le risorse necessarie alla loro fornitura sono limitate a un breve periodo (ad es. durata di un fe­ stival musicale).

Art. 4a Obbligo di annuncio

Cpv. 1

Al fine di definire in modo preciso e completo lo Stato attuale del potenziamento dell’in­ frastruttura di telecomunicazione, occorre definire le informazioni da rilevare. Concre­ tamente, si tratta di impianti di telecomunicazione con cui gli edifici sono collegati 26/85

mediante tecniche di telecomunicazione e che, sia di fatto che in via teorica, sono uti­ lizzabili per la fornitura di un servizio di telecomunicazione ai sensi dell’articolo 3 let­ tera b.

Per ottenere tali informazioni occorre stabilire chi deve metterle a disposizione, e so­ prattutto garantire che l’UFCOM possa entrare in contatto con le persone interessate. Per evitare confusione e rilevare tutte le infrastrutture – anche quelle inattive – occorre estendere l’obbligo di annuncio sia ai proprietari sia agli esercenti dei rispettivi impianti di telecomunicazione.

Per ottenere la visione d’insieme degli attori che operano sul mercato delle telecomu­ nicazioni svizzero cui mira l’articolo 4, vanno registrate dall’UFCOM anche le imprese con obbligo di annuncio ai sensi dell’articolo 4a.

Cpv. 2

È compito del Consiglio federale stabilire la forma e il contenuto dell’obbligo di annuncio e della registrazione di tali attori, nonché stabilire disposizioni, affinché la lista dei pro­ prietari o degli esercenti contenga informazioni complete e aggiornate.

Art. 6a Blocco dell’accesso a telefonia e Internet

Cpv. 1

I fornitori di servizi di telecomunicazione in Svizzera sono tenuti a identificare i propri clienti in conformità con le disposizioni di legge in materia di sorveglianza. Per quanto concerne il vigente obbligo di blocco imposto ai fornitori di servizi di telecomunicazione, la limitazione alle offerte senza abbonamento si è rivelata nella pratica insufficiente. Il problema di un’identificazione errata, o non documentata in maniera conforme ai requi­ siti di vigilanza, al momento dell’inizio del rapporto con il cliente, si presentava origina­ riamente soprattutto nel caso delle offerte mobili (telefonia vocale o accesso Internet) con credito prepagato (prepaid). Spesso si sono verificati casi di identificazione errata o non conforme alle norme a causa di negligenza o di comportamenti ingannevoli da parte degli utenti. Questo è anche stato il motivo dell’introduzione di tale disposizione, il cui ambito di applicazione è limitato a questi casi.

Dall’entrata in vigore della disposizione è emerso che gli stessi problemi si presentano, soprattutto per le autorità di perseguimento penale, anche in relazione ad altre offerte, ad esempio quelle di telefonia fissa con fatturazione (postpaid).

Al fine di sottrarsi a un possibile perseguimento penale, le persone che non vogliono essere identificate usano per le offerte postpaid anche documenti falsificati. Grazie agli strumenti digitali, è sempre più facile e veloce creare documenti di qualità incredibil­ mente realistica: l’intelligenza artificiale in particolare offre nuove, inaspettate possibilità in tale campo. Inoltre, vengono anche utilizzati mezzi di pagamento ottenuti illegal­ mente o tali da rendere difficile, se non impossibile, la loro tracciabilità.

Per i motivi esposti, l’adeguamento in questione estende il campo di applicazione a tutti i rapporti contrattuali e trova ora applicazione indipendentemente dalle modalità di fat­ turazione o dalla categoria di numeri (fissi o mobili) coinvolti. Con l’estensione a possi­ bili casi d’applicazione non sono però creati nuovi diritti o obblighi per i fornitori di servizi di telecomunicazione.

27/85

Lett. a

La lettera a prevede un blocco qualora, a fini di identificazione nei confronti del fornitore, sia stata usata un’identità fittizia (cfr. n. 1) o l’identità di una persona non coinvolta e senza il suo consenso (cfr. n. 2). La lettera corrisponde alla regolamentazione vigente, la quale prevede già in entrambi i casi un blocco delle offerte (postpaid). La lettera a viene riformulata e ristrutturata a causa dell’estensione del campo di applicazione.

Lett. b

In particolare, in alcuni casi i fornitori con sede all’estero che offrono ai propri clienti all’estero l’accesso a telefonia e Internet potrebbero non essere tenuti a procedere a un’identificazione, né in base a prescrizioni valide a livello nazionale né ai sensi delle disposizioni della legge federale del 18 marzo 201651 sulla sorveglianza della corri­ spondenza postale e del traffico delle telecomunicazioni (LSCPT). Dal punto di vista di un fornitore con sede all’estero, quelle della LSCPT sono disposizioni di uno Stato estero. Anche se nel Paese in cui ha sede il fornitore non esistono affatto disposizioni in materia, o se quelle esistenti non sono comparabili a quelle vigenti in Svizzera, i fornitori devono bloccare l’accesso. I fornitori che non attuano i blocchi rischiano, nell’ambito di procedimenti di vigilanza, di perdere il diritto di mettere a disposizione dei propri clienti numeri svizzeri per i servizi di telecomunicazione. Inoltre, detti fornitori rischiano una sanzione amministrativa. Sono considerate equivalenti le disposizioni che prevedono l’identificazione degli utenti sulla base di documenti ufficiali come in Svizzera. La lettera b corrisponde, come la lettera a, alla regolamentazione vigente, la quale viene ripresa invariata nella disposizione riorganizzata.

Lett. c

La lettera c tiene conto del fatto che spesso dall’estero non si può, o non si riesce, a trasmettere alle autorità elvetiche le informazioni concernenti l’identificazione degli utenti entro tempi utili. Questo anche se nel Paese in cui viene fornito l’accesso esiste un obbligo equivalente a quello previsto dal diritto svizzero. Contrariamente alla lettera b, l’identificazione nel Paese in cui viene fornito l’accesso corrisponde, in termini di portata e qualità, alle disposizioni in materia di sorveglianza vigenti in Svizzera. A causa delle disposizioni in materia di protezione dei dati, spesso i dati personali non possono essere trasmessi oltre confine. A tale scopo occorre piuttosto seguire le vie previste dalle procedure internazionali di assistenza giudiziaria, le quali in genere durano a lungo. In questo caso, i fornitori di servizi di telecomunicazione bloccano l’accesso fino all’avvenuta trasmissione dei dati ai sensi della procedura di assistenza giudiziaria in­ ternazionale prevista a tal fine. Sulla base delle informazioni trasmesse è quindi possi­ bile verificare se sussistano, se del caso, i presupposti per il blocco di cui alle lettere a e b. Qualora fosse il caso, il blocco va mantenuto; qualora nessuna delle due condizioni sia riunita, il blocco va rimosso.

Cpv. 2

In caso di blocco ai sensi del capoverso 1, le autorità di perseguimento penale compe­ tenti devono accertarsi che non avvenga alcun blocco se il numero di telefono o ac­ cesso a Internet in questione è oggetto di un mandato di sorveglianza da parte del Servizio Sorveglianza della corrispondenza postale e del traffico delle telecomunica­ zioni (Servizio SCPT). Le autorità competenti devono accertarsene nella misura in cui

51 RS 780.1 28/85

sia loro noto lo stato della sorveglianza in corso. In tali casi viene consultato il Servizio SCPT.

Art. 6b Revoca e blocco di numeri di telefono e nomi di dominio

Cpv. 1

Spesso i numeri di telefono vengono usati per attività fraudolente. I malintenzionati uti­ lizzano i numeri geografici, spesso appartenenti alla zona di prefisso del luogo di resi­ denza delle (potenziali) vittime, come mezzo di contatto che ispira fiducia, simulando così una provenienza svizzera. Attraverso questi contatti e spacciandosi per altre per­ sone (ad es. fingendo di essere un dipendente della filiale regionale della banca della vittima), i malviventi inducono spesso le vittime a compiere atti che comportano ingenti perdite patrimoniali. Al fine di combattere attivamente tale fenomeno, il nuovo arti­ colo 6b introduce una nuova possibilità di blocco rapida ed efficiente.

Il blocco di cinque giorni proposto in caso di fondato sospetto di una presunta frode ai sensi dell’articolo 146 CP costituisce un provvedimento preventivo volto a evitare che altre persone cadano vittime di tale schema fraudolento. L’obiettivo è quello di ostaco­ lare l’operato dei responsabili e interrompere le azioni in corso (cosidd. Crime Disrup­ tion). Non si tratta di un procedimento penale contro tali forme di frode, bensì di una misura di tutela per gli utenti dei servizi di telecomunicazione volta anche a impedire l’uso improprio di elementi di indirizzo. I danni causati da attività fraudolente mediante numero di telefono si verificano rapidamente e in gran numero se non si riesce a bloc­ care in breve tempo l’accesso al numero chiamante utilizzato. Il modo di procedere può essere adattato o replicato senza grossi sforzi quando gli autori del reato si rendono conto che un’azione in corso non sta più procurando loro alcun bottino. Un danno cau­ sato, in particolare una perdita di patrimonio o di dati, è in genere irreparabile ed è difficile perseguire gli autori di reati se essi operano a livello internazionale. La rapidità nell’apporre un blocco è pertanto il fattore determinante per proteggere i consumatori da tali pericoli. Affinché sia possibile bloccare un numero si deve essere in presenza di un sospetto fondato come al capoverso 2 (v. spiegazioni seguenti). Il blocco avviene ad opera dei fornitori di servizi di telecomunicazione, su indicazione di fedpol.

Cpv. 2

Poiché nell’ambito di tali forme di truffe informatiche non sono usati solo numeri di te­ lefono, ma anche nomi di dominio, l’ordine di blocco deve valere anche per nomi di dominio svizzeri, a condizione che a tale proposito siano adempiute le condizioni di cui al capoverso 1. Anche ai gestori del registro competenti sono imposti obblighi.

Il meccanismo previsto ai capoversi 1 e 2 mira a rispondere all’esigenza di un inter­ vento rapido, efficiente e mirato nella lotta contro le minacce informatiche, dando così anche seguito alle richieste della mozione Götte (24.4393). Tale mozione chiede che non siano più solo il phishing o i malware ad essere presupposti per il blocco tecnico e amministrativo del dominio ai sensi dell’articolo 15 segg. ODIn, ma anche ulteriori fat­ tispecie di rilevanza penale (ad es. tutti i reati e i crimini, compresi i tentativi di com­ pierne). Nell’ottica del principio di legalità, sarebbe problematico dare seguito a tale richiesta all’interno dell’ODIn ed estenderla a tutte le fattispecie di reati e di crimini.

Le misure immediate previste all’articolo 15 segg. ODIn volte a bloccare nomi di domi­ nio si applicano solo nel contesto della criminalità informatica intesa come phishing o

29/85

diffusione e uso di malware (botnet o reti di bot). Nessun altro comportamento illegale può costituire una base per il blocco. Non è pertanto possibile bloccare nomi di dominio .ch o .swiss se vengono usati per reati come la truffa. Il campo di applicazione dell’ar­ ticolo 15 segg. ODIn si limita ad attacchi evidenti dal punto di vista tecnico, come la diffusione di malware o il phishing. Si tratta di attacchi che in genere avvengono in maniera automatizzata e ricorrono metodicamente al Domain Name System (DNS): possono quindi essere identificati in maniera obiettiva e senza valutazioni materiali. Solo nel contesto di attacchi tecnici di questo tipo, il gestore del registro .ch o .swiss ai sensi dell’articolo 15 capoverso 1 ODIn può essere autorizzato ad adottare misure che si riferiscono all’uso di un nome di dominio. Questo approccio restrittivo corrisponde a quello dell’organizzazione globale di gestione dei nomi di dominio (Internet Corporation for Assigned Names and Numbers, ICANN), la quale ritiene che la lotta contro gli abusi da parte degli attori DNS debba limitarsi esclusivamente ai casi di malware, botnet, phishing (con il relativo DNS-Pharming) e di spam, quando quest’ultimo funge da vet­ tore per la diffusione di malware o per il phishing.

Dal punto di vista del rispetto dei diritti fondamentali e delle garanzie dello Stato di diritto, un’estensione del campo di applicazione dell’articolo 15 ODIn ad altri reati per­ seguibili penalmente è problematica. Inoltre, tale ampliamento dell’ambito di intervento degli attori del DNS non può trovare posto in un’ordinanza del Consiglio federale come l’ODIn, che per di più è di stampo tecnico e amministrativo. Un ampliamento delle pos­ sibilità di intervento va disciplinato a livello di legge formale. Affinché fedpol possa agire in maniera preventiva nel campo delle minacce informatiche, all’articolo 6b è inserita una regolamentazione a livello legale.

Per un blocco ai fini di tale disposizione dovrebbe essere sufficiente il sospetto fondato di potenziale truffa. «Sospetto fondato» significa essere in presenza di una fattispecie in cui si presume una violazione di diritti e vi sono indizi sufficienti che ne dimostrano la probabilità. Si differenzia rispetto a un vago sospetto in quanto occorre una certa probabilità che l’atto sia stato effettivamente commesso. Tale probabilità si basa a sua volta su fatti e indizi che, per esperienza, fanno supporre che è stato commesso un reato. Il sospetto fondato si situa fra una vaga ipotesi e una piena prova. Se l’UFCS riceve indicazioni concrete da parte della polizia o della popolazione in merito all’esi­ stenza di numerosi casi analoghi o se, sulla base dell’esperienza dell’UFCS, sussiste il sospetto di un possibile reato, tale sospetto è considerato fondato. In tali casi l’UFCS deve comunicare le informazioni ricevute, provenienti da segnalazioni ai sensi dell’ar­ ticolo 73b LSIn, a fedpol e sostenere quest’ultima nella valutazione, in modo che possa inviare la notifica di blocco ai fornitori o ai gestori dei registri interessati (cfr. cpv. 3). Non si tratta di un procedimento penale avviato da fedpol, bensì di un intervento pre­ ventivo volto a impedire che la frode abbia luogo. Le presunte forme di frode online vengono perpetrate, nella stragrande maggioranza dei casi, da bande criminali orga­ nizzate. In qualità di autorità di polizia competente in materia di criminalità organizzata, fedpol conosce bene le modalità operative di tali bande criminali ed è quindi in grado di analizzare e individuare rapidamente i comportamenti corrispondenti. La sua com­ petenza trova però legittimazione anche nel fatto che, in linea di principio, l’intera po­ polazione deve essere protetta da tali forme di frode, indipendentemente dal luogo di residenza. La frode commessa deve però ovviamente essere perseguita dalle autorità cantonali preposte. Sulla base dell’articolo 23 del Codice di diritto processuale penale svizzero del 5 ottobre 200752 (Codice di procedura penale, CPP), la giurisdizione del

52 RS 312.0 30/85

Tribunale federale è esclusa per i reati in materia di frode, e tale situazione non do­ vrebbe subire modifiche nemmeno a seguito di questo nuovo incarico affidato a fedpol.

Cpv. 3

L’UFCS riceve segnalazioni in merito a minacce informatiche ai sensi dell’articolo 73b LISn e le approfondisce. L’UFCS dovrà quindi mettere tali segnalazioni a disposizione di fedpol e fornire assistenza a fedpol nella valutazione di questi casi. In caso di fondato sospetto di una presunta frode, fedpol deve poter richiedere tempestivamente un blocco al fornitore di servizi di telecomunicazione o al gestore del registro interessato.

Cpv. 4

Poiché il blocco avviene unicamente in caso di sospetto fondato, può durare al mas­ simo cinque giorni, dopodiché occorre rivolgersi al Ministero pubblico o al Tribunale, che nell’ambito delle rispettive competenze in qualità di autorità di perseguimento pe­ nale possono ordinare un blocco prolungato al fornitore di servizi di telecomunicazione in questione (per i numeri di telefono) o al gestore del registro (per i nomi di dominio). Ciò è necessario per ragioni legate allo Stato di diritto e alla separazione dei poteri. Inoltre il Ministero pubblico o il Tribunale possono, sino al termine di un eventuale pro­ cedimento penale, disporre il blocco dei numeri di telefono o nomi di dominio in que­ stione.

Cpv. 5

In caso di blocco dei numeri di telefono, le autorità competenti devono inoltre garantire che non venga effettuato alcun blocco qualora il numero in questione sia oggetto di un mandato di sorveglianza da parte del Servizio SCPT. Se ne assicurano, nella misura in cui siano a conoscenza del monitoraggio in corso. In tali casi viene consultato il Ser­ vizio SCPT.

Art. 13 Informazione da parte dell’UFCOM

Cpv. 1

Lett. a

La revisione di legge introduce una possibilità di registrazione ampliata (cfr. art. 4) e un obbligo di annuncio per determinati attori del mercato (cfr. art. 4a). Le nuove disposi­ zioni si estendono in particolare ai proprietari ed esercenti di impianti di telecomunica­ zione menzionati all’articolo 4 capoverso 3 nonché all’articolo 4a. L’articolo 13 tiene conto di questo sviluppo ulteriore e aggiunge alla disposizione già esistente gli attori supplementari. Non cambia nulla al principio che l’informazione possa essere rilasciata soltanto se ciò non è contrario a interessi pubblici o privati preponderanti. Non rientrano nel diritto di accesso le informazioni relative a fornitori e ai loro impianti di telecomuni­ cazione e dispositivi ai sensi dell’articolo 32a (disturbatori di frequenze) e 32b (appa­ recchi elettronici speciali). A tale proposito sussistono motivi di interesse pubblico a tutela della sicurezza che ostacolano la divulgazione di informazioni su tali impianti. Dal punto di vista materiale, l’informazione di cui alla lettera a rimane, come nel diritto vi­ gente, limitata a nome e indirizzo.

31/85

Lett. b

Poiché in futuro l’UFCOM deve poter registrare anche altri attori del mercato, su richie­ sta deve anche poter rilasciare informazioni sui servizi forniti e messi a disposizione da tali attori, a condizione che ciò non sia in contrasto con interessi pubblici o privati pre­ ponderanti. Le informazioni relative all’offerta di servizi possono comprendere anche gli impianti di telecomunicazione offerti o gestiti da un determinato attore o la tecnologia offerta (ad es. fibra ottica, servizi satellitari, ecc.).

Lett. c

Le sanzioni amministrative menzionate alla lettera c si riferiscono in particolare alle mi­ sure previste ai sensi degli articoli 58 e 60 LTC. Il tenore della disposizione è adeguato alla definizione legale dell’articolo 5 lettera c n. 5 della legge federale del 25 settem­ bre 202053 sulla protezione dei dati (LPD), cui fa riferimento la disposizione.

Le modifiche alle lettere a-c non consentono di divulgare informazioni ulteriori che esu­ lano da quanto consentito in base al diritto vigente.

Cpv. 3

Il capoverso 3 della disposizione vigente è abrogato poiché non è mai stato applicato sinora (non vi è stato alcun bisogno concreto) e, peraltro, solleva questioni delicate relative alle garanzie procedurali e ai diritti delle parti.

Art. 13a Elaborazione dei dati

Per quanto attiene a una regolamentazione adeguata dell’elaborazione di dati perso­ nali, soprattutto sul piano terminologico, la legislazione sulle telecomunicazioni vigente non coincide più con la LPD. Il campo di applicazione della LPD non si estende più, peraltro, ai dati delle persone giuridiche. La loro elaborazione è oggi disciplinata dalla legge federale del 21 marzo 199754 sull’organizzazione del Governo e dell’Amministra­ zione (LOGA). Occorre quindi adeguare gli articoli 13a e 13b alle disposizioni della LPD e introdurre un nuovo articolo 13c in merito all’elaborazione di dati di persone giuridi­ che.

Cpv. 1

La legislazione sulle telecomunicazioni non contiene un elenco esteso dei dati perso­ nali che possono essere elaborati dalle autorità competenti. I dati che possono essere trattati sono determinati in base ai rispettivi compiti legali della ComCom, dell’UFCOM e dei delegati, secondo quanto previsto dalla legislazione sulle telecomunicazioni. Se­ condo il diritto in materia di protezione dei dati, la base giuridica è sufficiente quando l’elaborazione dei dati deriva direttamente dal compito previsto dalla legge, è necessa­ ria a tal fine e il rischio di una violazione dei diritti fondamentali è minimo55.

Oltre alla ComCom e all’UFCOM, ora anche gli incaricati designati nel diritto delle tele­ comunicazioni possono essere menzionati in maniera esplicita per concedere loro una base giuridica per il trattamento di dati personali. Sono considerate un organo federale

53 RS 235.1 54 RS 172.010 55 Ufficio federale di giustizia (2024), cap. 3.1.1, pag. 15. 32/85

ai sensi dell’articolo 5 lettera i LPD le autorità o i servizi della Confederazione o le per­ sone cui sono affidati compiti federali pubblici. Con il completamento dell’articolo 13a LTC proposto, viene creata una base giuridica esplicita che garantisca chiaramente, dal punto di vista giuridico, la delega e l’elaborazione dei dati da parte degli incaricati designati nella legislazione sulle telecomunicazioni. Ad esempio, la fondazione SWITCH è incaricata di gestire il registro del nome di dominio .ch (cfr. art. 28a). L’or­ gano di conciliazione menzionato all’articolo 12c interviene in caso di controversie fra clienti e fornitori di servizi di telecomunicazione o a valore aggiunto (cfr. art. 12c LTC in combinato disposto con l’art. 42 segg. OST). Al fine di garantire la corretta esecu­ zione degli incarichi relativi a tale funzione pubblica, i soggetti incaricati del trattamento dei dati personali devono essere autorizzati per legge (cfr. art. 34 cpv. 1 e 5 lett. i LPD).

Possono espressamente essere elaborati solo i dati personali indispensabili per l’adempimento del compito in materia di diritto delle telecomunicazioni in questione; qualsiasi elaborazione che esula da tale sfera è vietata.

Alcune decisioni dell’UFCOM potrebbero inoltre essere adottate sotto forma di deci­ sione individuale automatizzata ai sensi dell’articolo 21 capoverso 4 LPD. Come previ­ sto nella LPD, designa in questo modo tali decisioni affinché le persone interessate riconoscano che non emanano da una persona fisica (principio della trasparenza). Poi­ ché tale situazione è coperta dalla LPD e le decisioni dell’UFCOM non possono, in linea di principio, ingerire eccessivamente nei diritti fondamentali in materia di protezione dei dati delle persone in questione, non deve essere disciplinata in maniera specifica e formale all’interno della LTC.

Art. 13b Assistenza amministrativa e giudiziaria

L’articolo 13b precisa a quali condizioni le autorità competenti – ComCom, UFCOM o incaricati di svolgere compiti – possono trasmettere dati ad altre autorità in Svizzera e all’estero nell’ambito dell’assistenza giudiziaria (cfr. cpv. 1–3). Sono considerate auto­ rità svizzere in tal senso in particolare la Centrale nazionale d’allarme (cfr. art. 96 cpv. 2 OST), l’Ufficio federale di statistica (cfr. art. 97 cpv. 3 OST; art. 51 lett. c ODIn), l’Istituto federale della proprietà intellettuale e le camere di commercio cantonali (cfr. art. 51 lett. c ODIn). Non è escluso che debbano essere trasmessi dati anche ad altre autorità. Questa disposizione vale anche per una trasmissione di dati fra la ComCom, l’UFCOM e gli incaricati designati.

Questa disposizione consente unicamente la trasmissione di dati personali raccolti nell’ambito dell’articolo 13a dall’UFCOM, dalla ComCom e dagli incaricati nell’ambito dell’adempimento dei compiti loro assegnati dalla legislazione sulle telecomunicazioni. Con l’adeguamento dell’articolo in base alla nuova terminologia della LPD, è ora pos­ sibile anche lo scambio di dati particolarmente sensibili e dei risultati delle attività di profilazione svolte nell’ambito della legge in oggetto (cfr. art. 30a cpv. 4 e 48d cpv. 5 LTC). I dettagli relativi alla comunicazione di dati personali degni di particolare prote­ zione nell’ambito dell’assistenza amministrativa rimangono così sanciti con chiarezza.

Art. 13c Elaborazione e comunicazione di dati di persone giuridiche

Se le persone coinvolte sono persone giuridiche, l’elaborazione dei relativi dati non sottostà più alla LPD (cfr. art. 2 cpv. 1 LPD), in quanto tale legge protegge esclusiva­ mente i dati delle persone fisiche. L’articolo 57r capoverso 1 LOGA, entrato in vigore il 1° settembre 2023, crea una base giuridica generale per l’elaborazione di dati di per­

33/85

sone giuridiche da parte di organi federali come la ComCom e l’UFCOM, a condizione che ciò sia richiesto per l’adempimento dei loro compiti descritti in maniera formale in una legge. In tale contesto, al capoverso 1 si rimanda unicamente all’articolo 13a, il quale disciplina l’elaborazione dei dati necessari all’attuazione e valutazione della legi­ slazione sulle telecomunicazioni (circa i compiti nel settore delle telecomunicazioni, cfr. spiegazioni in merito all’art. 13a cpv. 1). In quanto soggetti incaricati di svolgere un compito pubblico per conto della Confederazione, gli incaricati ai sensi della presente legge sono equiparati agli organi federali (cfr. art. 5 lett. i LPD).

Per la divulgazione dei dati relativi a persone giuridiche, gli organi federali devono di­ sporre di una base giuridica (cfr. art. 57s cpv. 1 LOGA), motivo per cui si rimanda all’ar­ ticolo 13b. Di conseguenza, la ComCom, l’UFCOM e gli incaricati possono divulgare dati di persone giuridiche sulla base di un fondamento giuridico sufficiente.

I dati personali delle persone giuridiche comprendono in particolare informazioni rela­ tive alle imprese di telecomunicazione (dati di registrazione, informazioni finanziarie, contratti di interconnessione), i dati tariffari e i servizi offerti ai consumatori, i dati relativi alle prestazioni delle reti e dei servizi (qualità del servizio, disponibilità), nonché infor­ mazioni sui servizi oggetto di reclamo (tipo di servizio, dettagli del reclamo) e altro. Questi dati non sono considerati degni di particolare protezione.

Sezione 3: Comunicazione d’emergenza

A causa della riorganizzazione delle disposizioni in materia di comunicazioni di emer­ genza, è previsto un nuovo titolo di sezione denominato «Comunicazione d’emer­ genza» che consentirà di inserire meglio tale sezione nella struttura della LTC.

Art. 20 Princìpi

Il servizio di chiamata d’emergenza è oggi inteso come servizio dei fornitori del servizio telefonico pubblico che permetta agli utenti di contattare la centrale d’allarme compe­ tente in situazioni di pericolo per l’integrità fisica, la vita, la salute o la proprietà tramite una chiamata vocale. Con l’introduzione a livello di ordinanza dell’accesso tramite testo in tempo reale (Real Time Text, RTT; cfr. art. 28a cpv. 6 OST [approvato, non ancora in vigore al momento dell’apertura della procedura di consultazione]), il quale deve es­ sere garantito dai concessionari di telefonia mobile nell’ambito del servizio telefonico pubblico, si compie un primo passo verso una configurazione moderna e un utilizzo senza barriere dei servizi di emergenza. Al fine di garantire una maggiore flessibilità e rendere l’accesso più adeguato alle esigenze future e più inclusivo, il concetto an­ drebbe esteso ad altri possibili mezzi e canali di comunicazione. Si pensi ad esempio alla possibilità di contattare qualcuno tramite messaggi di testo o videochiamate. Ciò è in linea anche con le tendenze a livello internazionale, in particolare con gli intenti dell’UE.

L’articolo 20 intende stabilire, come finora, sia il principio secondo cui i fornitori del servizio telefonico pubblico devono garantire le comunicazioni d’emergenza (tramite telefonia vocale), sia i presupposti in base ai quali il Consiglio federale può estendere le comunicazioni di emergenza ad altri servizi di telecomunicazione e, di conseguenza, ad altri fornitori di servizi di telecomunicazione. Ciò corrisponde alla normativa vigente, il cui principio viene ripreso senza modifiche.

34/85

Tali principi vanno rispettati da tutti i fornitori del servizio telefonico pubblico e, a seguito di un’eventuale estensione da parte del Consiglio federale, anche da tutti quei fornitori che offrono il servizio di telecomunicazione in questione. Si tratta innanzitutto dei forni­ tori che stabiliscono la comunicazione effettiva (ad es., effettuando una chiamata vo­ cale o avviando la comunicazione). Si tratta però anche di tutti i fornitori che contribui­ scono in un altro modo a garantire tale collegamento. Può trattarsi di fornitori che ga­ rantiscono il transito della comunicazione fra due altri fornitori o terminano la comuni­ cazione presso le centrali.

Cpv. 1

Il capoverso 1 sancisce che i fornitori del servizio telefonico pubblico devono garantire la comunicazione d’emergenza. La comunicazione d’emergenza comprende la comu­ nicazione tramite il servizio telefonico pubblico dal terminale dell’utente alle centrali competenti gestite dai servizi di emergenza e dai servizi di assistenza e consulenza, al fine di poter usufruire dei servizi da essi offerti per sé o per terzi. L’elenco dei casi in cui gli utenti devono poter contattare le centrali è stato eliminato dalla disposizione. È intrinseco al concetto di «comunicazione d’emergenza» il fatto che si tratti di una situa­ zione straordinaria e urgente, in cui sussiste un pericolo immediato per l’incolumità fi­ sica, la vita, la salute o la proprietà e in cui è necessario un intervento rapido da parte dei servizi di emergenza. Sinora l’elenco non era esaustivo. Un intervento può rendersi necessario anche in caso di pericolo per la sicurezza pubblica o per l’ambiente. La polizia e i servizi sanitari sono spesso presenti proprio in situazioni che comportano un elevato potenziale di pericolo, ad esempio in occasione di grandi eventi. I pompieri intervengono anche in situazioni di pericolo in cui, oltre alle persone, sono minacciati gli animali e la natura in generale (ad es. in caso di incendi boschivi o di inquinamento delle acque).

I servizi di emergenza garantiscono la disponibilità in ogni momento delle risorse ma­ teriali e umane necessarie per interventi urgenti direttamente sul luogo dell’evento. Si tratta delle organizzazioni della polizia, dei vigili del fuoco e dei servizi di soccorso ri­ conosciute dalle autorità competenti, che possono essere contattate dagli utenti tramite il numero breve messo a disposizione a tal fine ai sensi dell’articolo 28 ORAT.

I servizi di assistenza e consulenza offrono sostegno e aiuto a chi effettua la chiamata in situazioni in cui non vi è un pericolo immediato. Se durante la conversazione si con­ stata la necessità di un intervento rapido e immediato sul luogo dell’incidente, occorre che la persona che effettua la chiamata o il servizio di assistenza e consulenza stesso prendano contatto con il servizio d’emergenza competente. I servizi di assistenza e consulenza non dispongono delle risorse necessarie per effettuare un intervento tem­ pestivo sul posto. Si tratta infatti di organizzazioni riconosciute dalle autorità competenti e che gli utenti possono contattare tramite i numeri brevi ai sensi dell’articolo 28a ORAT (approvato, non ancora in vigore al momento dell’apertura della procedura di consulta­ zione), ad es. l’associazione svizzera «Telefono Amico». Se un servizio di emergenza viene contattato da un servizio di assistenza e consulenza, è assolutamente necessario che il servizio di emergenza disponga, in particolare, dei dati relativi alla posizione. Le funzionalità seguenti, ossia l’istradamento (cfr. art. 29 OST), la localizzazione (cfr. art. 29 cpv. 1 OST) e l’utilizzo delle funzioni di localizzazione integrate nei dispositivi (cfr. art. 29 cpv. 2 OST) devono tuttavia, per motivi tecnici, essere attive al momento dell’avvio della comunicazione, ovvero al momento del primo contatto con il servizio di assistenza e consulenza. Quando la chiamata viene successivamente inoltrata dal ser­ vizio di assistenza e consulenza al servizio di emergenza, non è più tecnicamente pos­ sibile determinare la posizione della persona in cerca di aiuto. Per quanto riguarda 35/85

la garanzia delle funzionalità, i servizi di assistenza e consulenza sono quindi equiparati ai servizi di emergenza.

Con la crescente complessità tecnica delle reti e in particolare dei terminali, i fornitori di servizi di telecomunicazione devono garantire la comunicazione d’emergenza e so­ prattutto le funzionalità, nella misura in cui ne sono responsabili dal punto di vista giu­ ridico e tecnico. I fornitori di servizi di telecomunicazione hanno poco o nessun influsso sulle impostazioni e funzionalità nei terminali, le quali in alcuni casi costituiscono pre­ supposti indispensabili per l’invio di una comunicazione di emergenza. Si tratta spesso di impostazioni che devono essere configurate dagli utenti o dai produttori.

Cpv. 2

Il capoverso 2 sancisce, come in base al diritto vigente, che i fornitori del servizio tele­ fonico pubblico devono garantire entrambe le funzionalità, ossia l’istradamento e la lo­ calizzazione. Inoltre, in futuro i fornitori dovranno garantire una soluzione di ripiego mi­ nima nella rete di origine al fine di assicurare una certa ridondanza. Con l’introduzione della soluzione di ripiego minima si attua una misura identificata nel modello di riferi­ mento per le chiamate d’emergenza56. Ciò dovrebbe consentire di aumentare la ridon­ danza del sistema della comunicazione d’emergenza. Oggi queste centrali sono gene­ ralmente collegate in maniera ridondante tramite due fornitori. Il collegamento ridon­ dante non può, in base al diritto delle telecomunicazioni, essere stabilito in maniera vincolante: la competenza in materia di centrali spetta ai Cantoni. Tuttavia, l’obbligo di un secondo collegamento per i servizi di emergenza deriva anch’esso dal modello di riferimento. Il secondo collegamento e la soluzione di ripiego minima contribuiscono complessivamente ad accrescere la disponibilità poiché, in tal modo, aumenta la ridon­ danza della rete in due punti diversi, o in momenti diversi della comunicazione. Qualora non fosse possibile comunicare tramite la rete di comunicazione di emergenza gestita ai sensi dell’articolo 20a capoverso 1 lettera a, grazie alla soluzione di ripiego è possi­ bile garantire che la comunicazione abbia luogo direttamente tramite il secondo colle­ gamento del secondo fornitore. La soluzione di ripiego di cui al capoverso 2 dev’essere integrata presso l’origine della chiamata e quindi nelle reti originarie. Sono infatti i for­ nitori originari a dover verificare la disponibilità tramite il collegamento iniziale o princi­ pale. Le centrali dei servizi di assistenza e consulenza che desiderano o devono di­ sporre di una seconda connessione (ad es. in base alle disposizioni cantonali o alle direttive interne dell’organizzazione che fornisce il servizio) possono in tal caso benefi­ ciare anch’esse di questa maggiore ridondanza.

Cpv. 3

Il capoverso 3 sancisce la delega che consente al Consiglio federale di designare altri servizi di telecomunicazione che devono garantire il rispetto dei principi di cui al capo­ verso 1 e 2. Il Consiglio federale lo fa tenendo conto degli interessi della popolazione e dei fornitori nonché dell’evoluzione tecnica e dell’armonizzazione internazionale. I servizi di telecomunicazione devono, in base alla lettera a, essere accessibili al pub­ blico e ampiamente utilizzati. La lettera a corrisponde all’attuale capoverso 3.

In base alla lettera b, il Consiglio federale può prevedere eccezioni alla garanzia del rispetto dei diritti di cui al capoverso 2 e, in base alla lettera c, prevedere che le funzioni di localizzazione dei terminali possano essere usate senza l’espresso consenso

56 DATEC e CDDGP (2022) 36/85

dell’utente. Entrambi gli aspetti sono già previsti al capoverso 2 della disposizione vi­ gente, vi è semplicemente stata una riorganizzazione e riformulazione.

Art. 20a Compiti sistemici

Cpv. 1

Al capoverso 1 sono elencati i compiti sistemici tramite i quali va garantita la comuni­ cazione d’emergenza. Si tratta di compiti di livello superiore, che riguardano l’intero settore e che, a differenza dei principi di cui all’articolo 20, non vengono svolti da tutti i fornitori di servizi di telecomunicazione, bensì da uno o da alcuni di essi per tutti gli altri. Ciò mira in particolare a garantire che vengano introdotti o adottati standard uniformi, validi a livello internazionale o nazionale, in materia di tecnologia, informatica e ge­ stione nel settore dei compiti sistemici. Il principio si orienta ai compiti sistemici sanciti all’articolo 37 della legge federale del 20 dicembre 195757 sulle ferrovie (LFerr). I prin­ cipi di cui all’articolo 20 concernono pertanto tutti i fornitori che offrono un determinato servizio di telecomunicazione. L’articolo 20a capoverso 1 concerne invece solo un for­ nitore o, in determinate circostanze, alcuni (pochi) fornitori che svolgono il compito si­ stemico per l’intera rete delle comunicazioni d’emergenza in Svizzera.

Lett. a

Il funzionamento di una rete destinata esclusivamente alle comunicazioni di emergenza e disponibile in ogni momento deve essere garantito, in linea di principio, tramite ESI­ net. Si tratta di una rete di comunicazione di emergenza ad alta disponibilità basata sulla famiglia del protocollo Internet e utilizzata esclusivamente per le comunicazioni di emergenza. Costituisce il pilastro fondamentale di un sistema di comunicazione d’emergenza affidabile e adatto al futuro. È un elemento indispensabile dell’infrastrut­ tura moderna delle comunicazioni d’emergenza, poiché offre la flessibilità e la scalabi­ lità necessarie per i diversi canali e le tecnologie di comunicazione che saranno utiliz­ zati in futuro per le comunicazioni d’emergenza. Attraverso ESInet, la comunicazione viene inoltrata in modo rapido e affidabile alla centrale dei servizi di emergenza com­ petente, in base a fattori quali la posizione della persona che chiede aiuto o il tipo di chiamata. In questo modo garantisce che le forze di intervento possano raggiungere il luogo dell’incidente in modo rapido e sicuro. ESInet consente il passaggio dai tradizio­ nali sistemi di chiamata di emergenza basati sulla voce ai moderni sistemi basati su IP, che supportano anche le comunicazioni d’emergenza tramite servizi multimediali come RTT e Next Generation eCall (NG eCall). Poiché quella della comunicazione di emer­ genza è una rete critica, ESInet offre speciali funzioni di sicurezza per garantire che le comunicazioni vengano inoltrate in modo sicuro e senza interruzioni.

Lett. b

L’architettura di ESInet deve essere progettata in modo intrinsecamente a prova di guasto, così da garantire un’elevata disponibilità della comunicazione che vi transita. Tramite l’esercizio ridondante di una rete ESInet o di parti di essa ad opera di un se­ condo fornitore, come previsto quale ulteriore compito sistemico alla lettera b, l’affida­ bilità e la disponibilità vengono aumentate ulteriormente in caso di necessità.

57 RS 742.101 37/85

Lett. c

Garantire la localizzazione tramite l’attivazione di un servizio apposito è indispensabile affinché i servizi di emergenza possano intervenire sul posto e prestare soccorso. Il servizio garantisce la trasmissione e la messa a disposizione dei dati di localizzazione dei chiamanti ai servizi di emergenza intervenienti. La gestione di un servizio di loca­ lizzazione avviene oggi tramite la concessionaria del servizio universale, in collabora­ zione con gli altri fornitori del servizio telefonico pubblico. Tale collaborazione ha ragioni storiche e può essere sciolta con il previsto cambiamento di approccio verso compiti sistemici di livello superiore. Il servizio di localizzazione è parte di ESInet.

Lett. d

La gestione di un organismo di coordinamento centrale e sempre disponibile per le comunicazioni di emergenza è particolarmente auspicata dalle centrali dei servizi di emergenza, le quali lo contattano soprattutto in caso di sovraccarico imminente per coordinare le contromisure (ad es. in caso di chiamate alle centrali di emergenza cau­ sate da malfunzionamenti e che rischiano di sovraccaricarle).

Lett. e

Un’ampia gamma di terminali, in particolare smartphone e anche smartwatch, dispone oggi di un sistema o di una funzione (ad es. con rilevamento di urti/cadute o all’attiva­ zione degli airbag/pretensionatori delle cinture di sicurezza) con cui la comunicazione di emergenza può essere attivata in maniera automatica o anche manuale (ad es. pre­ mendo più volte il tasto laterale dello smartphone). Oggi, per legge, i veicoli a motore devono essere dotati di un sistema di questo tipo (NG eCall). Attualmente né i produttori di dispositivi terminali o di veicoli né la popolazione hanno la possibilità di testare un sistema o una funzione di questo tipo in condizioni reali e di verificarne l’idoneità. Nem­ meno i fornitori di servizi di telecomunicazione possono effettuare tali test o offrirli a terzi, oppure possono farlo ma solo a condizioni limitate. Chi oggi desidera effettuare un test è costretto a simulare una comunicazione d’emergenza. Dato che sul mercato vengono immessi sempre più dispositivi terminali e veicoli dotati di tali sistemi e fun­ zioni, le chiamate per testare la funzione effettuate dalla popolazione e dai produttori rappresentano un carico sempre più gravoso per le centrali dei servizi di emergenza. Ciò comporta l’impiego di risorse che sarebbero altrimenti urgentemente necessarie altrove. Per questo motivo, nell’ambito dei compiti sistemici, si prevede la gestione di una piattaforma di test e integrazione realistica, che consenta di effettuare test end-to- end (dagli utenti da cui proviene la comunicazione di emergenza fino alle centrali di test) per tutte le funzioni di chiamata d’emergenza attuali e future. Per la piattaforma di test, all’occorrenza, vanno messi a disposizione anche gli elementi d’indirizzo neces­ sari.

Lett. f

Al fine di poter verificare il rispetto delle prescrizioni tecniche e amministrative concer­ nenti i compiti sistemici di cui al capoverso 1 e i requisiti tecnici di cui al capoverso 2, un organo centrale deve raccogliere a cadenza regolare i dati del traffico necessari, quindi processarli e trasmetterli all’UFCOM. Questo compito può essere assunto dall’organismo di coordinamento di cui alla lettera d.

38/85

Cpv. 2

I fornitori di cui all’articolo 20 devono attenersi ai requisiti tecnici che derivano dai com­ piti sistemici a garanzia della comunicazione d’emergenza. In particolare, devono ri­ spettare le norme e gli standard internazionali determinanti in materia. Il capoverso 2 si riferisce quindi nuovamente a tutti i fornitori del servizio telefonico pubblico. Affinché la comunicazione d’emergenza possa essere garantita nel complesso, tutti i fornitori che partecipano alla comunicazione devono assicurare il rispetto di requisiti precisi nelle loro reti e durante l’avvio e il mantenimento della comunicazione. I requisiti co­ prono così anche diversi momenti della comunicazione o sono, ciascuno, rilevanti in un determinato momento della comunicazione.

Cpv. 3

L’UFCOM, sulla base del capoverso 3, emana le prescrizioni tecniche e amministrative relative ai compiti sistemici di cui al capoverso 1 e stabilisce i requisiti che i fornitori di cui all’articolo 20 devono rispettare al fine di garantire i compiti sistemici.

Art. 20b Obbligo di garantire compiti sistemici

Cpv. 1

In base al capoverso 1, l’UFCOM può obbligare uno o più fornitori a garantire uno o più compiti sistemici ai sensi dell’articolo 20a capoverso 1, se la relativa disponibilità non è già garantita.

Cpv. 2

Il capoverso 2 prevede che l’UFCOM, per un obbligo di cui al capoverso 1, svolga una procedura di gara o mediante invito se per un compito sistemico vi sono vari fornitori possibili. Come nel caso del trasferimento della gestione degli elementi di indirizzo a terzi ai sensi dell’articolo 28a, il diritto in materia di appalti pubblici non trova applica­ zione58.

Cpv. 3

Fra le condizioni elencate alle lettere a–c l’UFCOM può, per garantire uno o più compiti sistemici, designare un fornitore senza procedura di gara o di invito. Le ragioni possono essere legate a una mancanza di scelta, o a questioni temporali. È anche possibile che sin dall’inizio si manifesti uno scarso interesse a garantire compiti sistemici. Ad esem­ pio, se un sondaggio nel settore mostra che nessun fornitore, o solo un fornitore, è interessato o rivela che una procedura di gara o di invito non porterebbe a candidature idonee. Data la delicatezza dell’appalto in termini di sicurezza (l’allarme ai pompieri, ai servizi sanitari e alla polizia avviene tramite la comunicazione d’emergenza), potrebbe inoltre essere opportuno limitarsi ai fornitori di servizi di telecomunicazione con sede in Svizzera. Come menzionato al capitolo 1.2.1, l’esecuzione di tali compiti dovrebbe inol­ tre presupporre un certo livello di risorse ed esperienza operativa in materia di servizi di rete. Una designazione diretta è possibile in caso di urgenza (cfr. lett. a), quando un sondaggio sul mercato mostra che una procedura di gara non può svolgersi in condi­ zioni di concorrenza (cfr. lett. b) e se in caso di procedura di gara non viene presentata alcuna offerta che adempie i requisiti del bando (cfr. lett. c).

58 FF 2017 6559 39/85

Art. 20c Assunzione dei costi

Cpv. 1

Con l’articolo 20c capoverso 1, il principio oggi sancito a livello di ordinanza e concer­ nente l’assunzione dei costi per l’esercizio di un servizio di localizzazione da parte dei fornitori di servizi di telecomunicazione viene sancito a livello di legge. I costi computa­ bili dei compiti sistemici, di cui l’esercizio di un servizio di localizzazione costituisce solo una parte, sono a carico di tutti i fornitori tenuti a contribuire alla comunicazione d’emer­ genza ai sensi dell’articolo 20.

Qualora avvenga una procedura di gara o di invito ai sensi dell’articolo 20b capo­ verso 2, i costi imputabili risultano in via preliminare dai dati forniti dal fornitore aggiu­ dicatario. Se si applica l’articolo 20b capoverso 3, i costi imputabili dovrebbero invece essere calcolati per analogia in base ai principi di cui all’articolo 54 dell’OST. Occorre prevedere un disciplinamento in tal senso a livello di ordinanza. Sarà da disciplinare a livello di ordinanza anche l’indennità finanziaria fra fornitori. Tale regola deve orientarsi in linea di principio alle disposizioni esistenti per il servizio di localizzazione di cui all’ar­ ticolo 29b OST.

Cpv. 2

Gli utenti della piattaforma di test e d’integrazione ai sensi dell’articolo 20a capoverso 1 lettera e, i quali prevedono di fare uso della piattaforma per svolgere i test di cui all’ar­ ticolo 20d, dovrebbero farsi carico di una parte adeguata dei costi imputabili alla ge­ stione e alla messa a disposizione della piattaforma di test. Pertanto, a differenza di quanto previsto dal capoverso 1, i costi non sono a carico esclusivamente dei fornitori che, ai sensi dell’articolo 20, sono tenuti a garantire la comunicazione di emergenza.

Tuttavia, un’assunzione totale dei costi da parte degli utenti della piattaforma di test e d’integrazione non sembra opportuna. Infatti, secondo l’articolo 20d, gli utenti devono usare la piattaforma per effettuare i test end-to-end, i quali non vanno unicamente a beneficio degli utenti della piattaforma, ma dell’intero sistema delle comunicazioni d’emergenza. Occorre pertanto incentivare lo svolgimento dei test, il cui aumento im­ plica anche una riduzione dei costi per i singoli utenti.

Art. 20d Test end-to-end

I test end-to-end dell’accesso alla comunicazione di emergenza ai sensi dell’articolo 20 vanno effettuati sulla piattaforma di test e d’integrazione di cui all’articolo 20a capo­ verso 1 lettera e. In questo modo è possibile garantire il decongestionamento del si­ stema delle comunicazioni e delle chiamate d’emergenza. Infatti, le risorse limitate a disposizione possono essere impiegate per casi reali di emergenza, assistenza e con­ sulenza, senza essere bloccate dai test. Inoltre, i sistemi destinati alle comunicazioni di emergenza possono essere testati e quindi anche migliorati, con conseguente ridu­ zione delle false segnalazioni di emergenza (ad es. a causa di un rilevamento degli urti troppo sensibile in un dispositivo terminale). Ciò giustifica una partecipazione ai costi da parte di chi svolge i test (cfr. spiegazioni precedenti relative all’art. 20c cpv. 2). I test vanno condotti d’intesa con l’organismo di coordinamento ai sensi dell’articolo 20a ca­ poverso 1 lettera d. L’organismo di coordinamento costituisce così il servizio di contatto centrale sia per questioni relative alle centrali sia per i fabbricanti di terminali o veicoli con relativi sistemi per la comunicazione d’emergenza. Ai privati che svolgono singoli test a scopi personali non dovrebbero, in linea di principio, essere addebitati costi. 40/85

Inoltre, in questi casi, per motivi di capacità non è necessario concordare la procedura con l’organismo di coordinamento.

Art. 20e Tutela dell’integrità della comunicazione d’emergenza

Cpv. 1

Il capoverso 1 obbliga i fornitori di servizi di telecomunicazione tenuti a fornire la comu­ nicazione d’emergenza ai sensi dell’articolo 20 ad adottare misure contro la messa a rischio dell’integrità della comunicazione di emergenza. Ciò dovrebbe garantire al me­ glio che i sistemi e le funzioni che consentono agli utenti di effettuare comunicazioni di emergenza non mettano a rischio l’integrità di queste ultime.

Si può parlare di comportamenti pericolosi, in particolare, quando le centrali vengono sovraccaricate da un elevato numero di presunte comunicazioni di emergenza, al punto da non essere più raggiungibili in caso di vere emergenze. Occorre inoltre considerare il collaudo o l’immissione sul mercato di terminali e veicoli che, a causa del fatto che le loro funzioni di comunicazione d’emergenza integrate non sono ancora mature, potreb­ bero causare un sovraccarico della rete di comunicazione d’emergenza e delle centrali dei servizi d’emergenza.

In questo caso l’integrità della rete di comunicazione d’emergenza deve essere com­ promessa nel suo complesso. Ciò può verificarsi a causa di un evento acuto e limitato nel tempo, come un numero massiccio di false comunicazioni (nel senso di chiamate errate) in un breve lasso di tempo, che esauriscono le capacità e quindi compromettono la raggiungibilità delle centrali. Sono inclusi anche i casi in cui i fornitori di servizi di telecomunicazione devono adottare misure e coordinarsi tra loro (cfr. art. 28a cpv. 4 OST [approvato, non ancora in vigore al momento dell’apertura della procedura di con­ sultazione]). Ma può anche trattarsi di chiamate errate che si ripetono costantemente, il cui numero di per sé non è in grado di intaccare la capacità tecnica e l’accessibilità, ma porta a un impegno costante di risorse, poiché si presentano ripetutamente come presunte comunicazioni di emergenza. Si pensi ai sistemi di comunicazione di emer­ genza presenti nei dispositivi terminali che non sono stati testati o lo sono stati in modo inadeguato e che generano ripetutamente false chiamate di emergenza. Ciò si verifica, ad esempio, quando dei sensori segnalano per errore una caduta dell’utente del dispo­ sitivo. Si tratta di un pericolo meno grave, ma che sovraccarica in modo costante le risorse delle centrali e pertanto mette a repentaglio l’integrità della comunicazione di emergenza. Questo rischio costante va eliminato ad esempio effettuando un aggiorna­ mento del software dell’apparecchio terminale.

L’obbligo di tutelare la comunicazione d’emergenza da un numero elevato di presunte emergenze, previsto a livello di ordinanza (cfr. art. 28a cpv. 3 OST [approvato, non ancora in vigore al momento dell’apertura della procedura di consultazione]), viene così sancito nella legge. La regolamentazione relativa agli eventi acuti, che mettono a ri­ schio l’accessibilità, viene così estesa ai casi che, pur non essendo in numero tale da compromettere l’accessibilità di una centrale, ne minano l’integrità poiché generano comunicazioni d’emergenza costanti ed errate, oltre a impegnarne costantemente le risorse.

Singole chiamate erronee da parte di individui non rappresentano di regola un pericolo per il sistema delle comunicazioni d’emergenza. Di conseguenza, in presenza di spo­ radiche chiamate errate non si deve in linea di principio presumere che vi sia un rischio per l’integrità. 41/85

Cpv. 2

Nell’adottare le misure per farlo, i fornitori si fondano in particolare sulle indicazioni dell’organismo di coordinamento ai sensi dell’articolo 20a lettera d. I fornitori adottano le misure immediatamente e per tutto il tempo necessario. Ciò consente di intervenire rapidamente nei casi di emergenza, ma è utile anche qualora determinati dispositivi presentino funzioni di comunicazione di emergenza difettose cui il produttore del dispo­ sitivo non provvede a porre rimedio entro un certo periodo di tempo. I dati registrati raccolti dall’organismo di coordinamento di cui all’articolo 20a capoverso 1 lettera f possono essere utilizzati in particolare per individuare eventuali difetti delle funzioni di comunicazione d’emergenza.

Cpv. 3

I fornitori di servizi di telecomunicazione possono anche disconnettere gli utenti dalla rete al fine di tutelare l’integrità della comunicazione d’emergenza. Anche ciò è già previsto dal diritto vigente a livello di ordinanza (cfr. art. 28a cpv. 4). In linea di principio, una disconnessione è sempre da considerare solo come ultima risorsa, indicata in par­ ticolare in casi gravi e allo scopo di garantire la raggiungibilità delle centrali. Può però avvenire anche quando falsi allarmi, ossia chiamate errate, causati da funzioni di co­ municazione d’emergenza difettose minano costantemente l’integrità della comunica­ zione d’emergenza e il fabbricante non adegua tale funzione nemmeno dopo essere stato ripetutamente informato al riguardo (ad es. nell’ambito di un aggiornamento soft­ ware). Il Consiglio federale deve poter stabilire le relative misure tecniche e organizza­ tive a livello di ordinanza che i fornitori ai sensi del capoverso 1 possono e devono adottare. Tale flessibilità consente di tenere conto in maniera adeguata dello sviluppo tecnologico, ma soprattutto anche delle esigenze dei fornitori, delle centrali e dei fab­ bricanti di terminali.

Art. 29 Obbligo d’informazione

La tutela delle infrastrutture di telecomunicazione dalle minacce informatiche e anche degli utenti in relazione ai servizi di telecomunicazione è una priorità di fondo della Confederazione ed è centrale nella revisione in oggetto. Pertanto, viene ampliato in tal senso anche lo scopo della legge sulle telecomunicazioni (cfr. art. 1 cpv. 1 e cpv. 2 lett. b e f). L’articolo 29 concretizza gli obblighi dei titolari di elementi di indirizzo, in partico­ lare gli incaricati di cui all’articolo 28a nonché i ruoli degli uffici attivi nel campo della sicurezza informatica.

Cpv. 1

L’obbligo di collaborazione di cui al capoverso 1 garantisce che la gestione degli ele­ menti di indirizzo avvenga in maniera completa, corretta e affidabile e che la Confede­ razione possa svolgere i suoi compiti nel campo di tale assegnazione delle risorse.

Cpv. 2

Ora il capoverso 2 disciplina la collaborazione nel campo della sicurezza informatica. Organi privati e pubblici riconosciuti, competenti per i compiti nel campo della sicurezza informatica, possono cooperare fra loro e con gli incaricati di cui all’articolo 28a allo scopo di riconoscere e valutare i rischi derivanti dalle minacce informatiche. Con «de­ legato», l’articolo 28a fa riferimento in particolare a Switch in quanto gestore del registro del dominio .ch, il quale fornisce un contributo essenziale nella tutela dei nomi di 42/85

dominio dalle minacce informatiche. A tale scopo, la legge tiene conto dell’importanza crescente di misure di sicurezza coordinate nel settore delle telecomunicazioni e crea una base giuridica per uno scambio di informazioni strutturato, nonché valutazioni co­ muni della situazione. La disposizione consente una collaborazione più stretta fra attori statali e organizzazioni private specializzate, rafforzando così la resilienza dell’infra­ struttura DNS. È fondamentale che possa avvenire uno scambio di informazioni con altri enti attivi nella lotta ai rischi informatici. Solo in questo modo è possibile garantire una tutela efficace dell’infrastruttura DNS e degli utenti.

Il concetto di organi privati e pubblici ingloba attori la cui attività comprende, del tutto o in parte, la lotta alla criminalità informatica. L’attività dev’essere adeguata, di qualità elevata e generalmente riconosciuta.

Cpv. 3

Il capoverso 3 abilita il Consiglio federale a stabilire i criteri in base ai quali organi pub­ blici e privati vengono riconosciuti come competenti in materia di sicurezza informatica. Con tali organi avviene uno scambio di informazioni e una collaborazione. Questi pre­ supposti in materia di riconoscimento servono a garantire la qualità e a creare un qua­ dro unitario e trasparente per l’adempimento dei compiti da parte degli enti coinvolti. Assicurano inoltre che soltanto attori adeguati sotto il profilo della specializzazione e dell’organizzazione partecipino allo scambio di informazioni rilevanti sotto il profilo della sicurezza.

Art. 30a Elaborazione dei dati, nonché assistenza amministrativa e giudiziaria

Il nuovo articolo 30a crea da un lato una base giuridica per la protezione dei dati nel campo dell’elaborazione dei dati legata al riconoscimento, all’analisi e alla gestione delle minacce informatiche nel settore degli elementi d’indirizzo, in particolare per quanto concerne la sicurezza e il funzionamento dell’infrastruttura DNS (cfr. art. 28d lett. a). D’altro canto, viene così anche sancita nella legge una base per la collabora­ zione con gli enti specializzati nella sfera della sicurezza informatica (cfr. art. 28e lett. c). La disposizione sostituisce quella vigente, notevolmente più succinta, la quale rimanda unicamente all’applicabilità dell’articolo 13a e 13b, e contribuisce così a tenere conto della grande importanza acquisita dalla sicurezza informatica nel campo delle telecomunicazioni.

Va rilevato che la maggior parte delle analisi e delle profilazioni condotte per proteggere dalle minacce informatiche non riguarda di regola i dati personali ai sensi della LPD e, pertanto, non comprende dati personali degni di particolare protezione. Si fondano so­ prattutto su dati tecnici che non fanno riferimento a una determinata persona, come ad esempio dati di infrastrutture di telecomunicazione, caratteristiche di malware o moda­ lità operative tipiche degli attacchi informatici. Inoltre, numerosi dati riguardano casi in cui un’identificazione di unità che agiscono nel web di fatto non è possibile, o non è necessaria ai fini della protezione degli utenti e delle infrastrutture DNS. Infine, spesso si tratta di dati che denotano un legame con una persona giuridica, ad esempio fabbri­ canti di impianti o infrastrutture di telecomunicazione.

Cpv. 1

L’articolo 30a capoverso 1 consente all’UFCOM e agli enti incaricati ai sensi dell’arti­ colo 28a di effettuare profilazioni per adempiere compiti previsti per legge e, all’occor­ renza, trattare dati personali degni di particolare protezione. Tali compiti derivano 43/85

dall’articolo 28d lettera a (garantire la sicurezza e la disponibilità dell’infrastruttura DNS), nonché dall’articolo 28e lettera c (misure contro l’uso di nomi di dominio che sia illecito o contrario all’ordine pubblico e collaborazione con i servizi privati o pubblici specializzati nel settore della sicurezza informatica). Con gli incaricati di cui all’arti­ colo 28a si intende in particolare Switch, in qualità di gestore del registro del dominio .ch che contribuisce in maniera essenziale a proteggere i nomi di dominio dalle minacce informatiche e, pertanto, deve poter trattare anche i dati personali necessari.

Ai sensi dell’articolo 34 capoverso 2 LPD, possono essere trattati dati personali degni di particolare protezione e profilazioni unicamente se esiste al riguardo una base legale esplicita. L’articolo 30a capoverso 1 crea tale base e consente all’UFCOM e agli inca­ ricati ai sensi dell’articolo 28a di compiere anche analisi all’insaputa delle persone che ne sono oggetto ed elaborare dati biometrici nonché dati relativi a perseguimenti am­ ministrativi e penali, a condizione che ciò sia necessario per proteggere dalle minacce informatiche.

Sebbene i dati utilizzati in tale contesto non siano sempre degni di particolare prote­ zione, la loro analisi algoritmica o il loro incrocio con altre informazioni – ad esempio volte a stabilire l’identità del detentore di un nome di dominio – possono già costituire una forma di profilazione. Inoltre, in determinate circostanze può essere necessario elaborare dati degni di particolare protezione al fine di garantire in maniera efficace la resilienza delle infrastrutture DNS e la protezione dalle minacce informatiche. Ad esem­ pio, i precedenti penali rilevanti possono fornire indicazioni preziose per l’identificazione dei profili di rischio. L’accesso a tali informazioni contribuisce in maniera notevole a riconoscere e localizzare minacce rappresentate da attacchi di «Distributed‑De­ nial‑of‑Service» (DDoS), phishing o la diffusione di malware. In singoli casi può essere necessaria anche l’identificazione biometrica sempre più usata in rete, allo scopo di attribuire determinate azioni a una persona specifica o stabilire un uso illecito di nomi di dominio che può essere segno di attività di criminalità informatica.

La lotta alla criminalità informatica perpetrata tramite nomi di dominio è un buon esem­ pio di elaborazione dei dati personali ai sensi del capoverso in questione. Sulla base dell’articolo 28e lettera c, l’articolo 25 capoverso 1bis-1quater ODIn consente ad esempio al gestore del registro .ch, in caso di sospetto uso o scopo illecito, di non attivare un nome di dominio, in quanto l’attivazione che consente l’uso effettivo del nome di domi­ nio avviene a seguito di una nuova procedura di identificazione del titolare entro 30 giorni. Tale processo di delega differita dei nomi di dominio (Deferred Delegation) si basa su un algoritmo di valutazione (scoring) del gestore del registro, il quale verifica i dati di registrazione e valuta se la persona che presenta la richiesta ha fornito informa­ zioni corrette in merito alla propria identità. Dati statistici e storici del gestore del regi­ stro, informazioni di Computer Emergency Response Teams (CERT) e terzi che parte­ cipano alla lotta contro la criminalità informatica, nonché lavori scientifici fungono da base per l’analisi, al fine di formulare una previsione fondata sull’utilizzo futuro di un nome di dominio.

In questo contesto, e per lottare in modo efficiente contro le crescenti minacce nel campo della sicurezza informatica, tale base giuridica permette alle autorità competenti di usare in maniera mirata e proporzionata tecnologie avanzate, inclusa l’intelligenza artificiale. Ciò consente in particolare un’analisi automatizzata dei comportamenti digi­ tali laddove vi è il sospetto di attività abusive o perseguibili, allo scopo di riconoscere, prevenire e contrastare gli attacchi compiuti nello spazio digitale mediante nomi di do­ minio. 44/85

Cpv. 2

La comunicazione dei dati elaborati e dei risultati di profilazioni alle autorità elvetiche nonché a enti privati e pubblici deve essere resa possibile in circostanze specifiche. A tale scopo avviene uno scambio d’informazioni strutturato, necessario a riconoscere, analizzare e contrastare le minacce informatiche. Tale comunicazione è però ammessa unicamente se l’autorità che riceverebbe i dati dispone lei stessa di una base giuridica sufficiente – il che costituisce un importante limite ai sensi del diritto in materia di pro­ tezione dei dati e garantisce il principio dell’uso vincolato. Si tratta di autorità che svol­ gono anch’esse compiti nel campo della sicurezza informatica, come ad esempio l’UFCS, fedpol o la Segreteria di Stato della politica di sicurezza (SEPOS).

Cpv. 3

Il Consiglio federale è autorizzato a disciplinare i dettagli del trattamento di dati perso­ nali degni di particolare protezione nonché dello svolgimento di profilazioni. In partico­ lare, può stabilire requisiti in materia di sicurezza dei dati, il decorso della procedura, la registrazione, le scadenze di cancellazione e conservazione nonché criteri in materia di responsabilità. Tale delega consente un assetto flessibile e neutrale sotto il profilo tecnologico, che tenga conto del rapido sviluppo nel campo della sicurezza informatica.

Si fonda sull’articolo 34 capoverso 3 LPD, secondo cui, ai fini dell’elaborazione di dati degni di particolare protezione o dello svolgimento di profilazioni, in determinati casi è sufficiente una base in una legge in senso materiale. In tale caso il Consiglio federale deve garantire che queste elaborazioni non comportino rischi particolari per i diritti fon­ damentali delle persone interessate. Si intende l’elaborazione di dati indispensabili per l’adempimento di un compito legale (cfr. art. 34 cpv. 3 lett. a LPD) e il cui scopo – la protezione delle risorse in questione – non rappresenta di per sé un rischio particolare per i diritti fondamentali degli utenti (cfr. art. 34 cpv. 3 lett. b LPD).

Siccome non è possibile definire in anticipo tutti gli strumenti che possono essere ne­ cessari per lottare contro la criminalità informatica – ad esempio per riconoscere, pre­ venire, impedire o perseguire reati commessi nello spazio digitale con l’ausilio di nomi di dominio – spetta al Consiglio federale concretizzare lo svolgimento di profilazioni e il trattamento di dati degni di particolare protezione in caso di necessità. Nel farlo deve tenere conto delle proprietà particolari degli strumenti impiegati, come previsti dalla legislazione sulle telecomunicazioni, ad esempio nel campo dei processi di uso differito di nomi di dominio dell’ODIn, o come possono essere previsti un futuro. Ciò comprende in particolare il fatto di sancire dati degni di particolare protezione nonché le esigenze in materia della relativa sicurezza sul piano tecnico e organizzativo.

Cpv. 4

Il capoverso 4 stabilisce chiaramente che le disposizioni generali in materia di elabora­ zione dei dati (cfr. art. 13a) e assistenza amministrativa (cfr. art. 13b) trovano applica­ zione anche nell’ambito del trattamento dei dati disciplinato all’articolo 30a e nella loro comunicazione ad autorità svizzere o estere. Ciò garantisce un trattamento unitario nell’intera sfera del diritto in materia di protezione dei dati e di assistenza amministrativa nelle telecomunicazioni.

45/85

Capitolo 5: Impianti di telecomunicazione

Nell’ambito della revisione in oggetto occorre adattare leggermente la struttura del ca­ pitolo 5 (impianti di telecomunicazione). Occorre infatti cambiare l’ordine dei vigenti ar­ ticoli 32a e 32b. Nell’articolo 32b va inoltre trasferito il vigente articolo 34 capo­ verso 1ter. Inoltre, l’articolo 34 vigente va suddiviso in due articoli e l’attuale articolo 34a diventa l’articolo 34b. Anche tali disposizioni vanno modificate al fine di migliorare la sicurezza pubblica.

Art. 32a Divieto di impianti di radiocomunicazione nonché altri impianti e disposi­ tivi che provocano interferenze

Cpv. 1

Questa disposizione corrisponde in gran parte al vigente capoverso 1 dell’articolo 32b, con l’aggiunta del concetto di «impianti». Per «impianti e dispositivi» si intendono ap­ parecchi, linee o attrezzature che non trasmettono informazioni mediante tecniche di telecomunicazione (cfr. art. 3 lett. c e d), ma che comunque utilizzano lo spettro delle frequenze (ad es. disturbatori). Inoltre, nel testo tedesco e italiano è stato corretto un errore di traduzione: invece di «impianti di telecomunicazione» ci dovrebbe infatti es­ sere «impianti di radiocomunicazione».

Cpv. 2

Oltre agli impianti e ai dispositivi attualmente regolamentati che sono destinati a distur­ bare intenzionalmente le telecomunicazioni, sono ipotizzabili altre configurazioni con un effetto simile e che dovrebbero quindi essere incluse nella legge:

si tratta di dispositivi in grado di disattivare un apparecchio bersaglio distruggendone i componenti elettronici. Gli sviluppi tecnologici hanno ormai dimostrato che non sono solo i dispositivi come i disturbatori di frequenza a poter ostacolare o impedire la co­ municazione, ma anche, ad esempio, un generatore di impulsi elettromagnetici (gene­ ratore EIMP), che può avere una funzione simile. Un generatore di questo tipo può infatti distruggere le componenti elettroniche di un apparecchio (ad es. un sistema di allarme) tramite una breve e intensa trasmissione di impulsi elettromagnetici, compro­ mettendo così anche le telecomunicazioni in maniera più ampia. Nell’interesse della sicurezza pubblica, questa tecnologia dovrebbe essere resa accessibile anche alle au­ torità di sicurezza svizzere in quanto dispositivo elettronico speciale per garantire la sicurezza pubblica (cfr. lett. a).

D’altra parte si tratta di impianti conformi che possono essere configurati in modo tale da inibire, ovvero impedire temporaneamente o interrompere, la comunicazione di un impianto dello stesso tipo. Un esempio è una rete wireless (Wireless Fidelity, WiFi) che collide intenzionalmente con un altro Wi-Fi per inibire o interrompere la comunicazione. Si tratta di una forma di hackeraggio in cui un WiFi impartisce, figurativamente, all’altro l’«ordine» di non comunicare (cfr. lett. b).

Non si tratta quindi di un’interferenza ai sensi della legge sulle telecomunicazioni, ma la comunicazione viene comunque impedita.

46/85

Cpv. 3

Tale divieto ai sensi del capoverso 1 non vale per impianti e dispositivi volti a garantire la sicurezza pubblica (cfr. art. 32b). In tal senso rimane riservato anche l’articolo 32b.

Art. 32b Impianti di telecomunicazione e altri impianti e dispositivi destinati a ga­ rantire la sicurezza pubblica

Cpv. 1

La frase introduttiva corrisponde in gran parte al vigente capoverso 1 dell’articolo 32a, con l’analoga aggiunta di «impianti» (cfr. spiegazioni in merito all’art. 32a). L’elenco delle autorità che usano tali impianti e dispositivi, corrisponde alle vigenti lettere a-d dell’articolo 34 capoverso 1ter.

Cpv. 2

La lista delle autorità che possono utilizzare impianti che causano interferenze corri­ sponde alle vigenti lettere a-d dell’articolo 34 capoverso 1ter.

Cpv. 3

Tale disposizione mira a introdurre obblighi in materia di collaborazione per le persone richiedenti, al fine di regolamentare in maniera efficiente gli apparecchi elettronici spe­ ciali di cui le autorità ai sensi del capoverso 1 necessitano per adempiere i loro compiti.

Per regolamentare gli apparecchi elettronici speciali occorre che i richiedenti forniscano le informazioni necessarie (ad es. documentazione tecnica) all’UFCOM. Spesso tali informazioni comprendono segreti commerciali e vanno dunque trattate in maniera con­ fidenziale. I richiedenti sono prevalentemente imprese estere che difficilmente forni­ scono alle autorità la documentazione in questione. Tale disposizione mira a garantire ai richiedenti che le loro informazioni siano trattate con riservatezza. Devono inoltre essere classificati come confidenziali sia gli impianti e i dispositivi in questione (com­ presa l’autorizzazione) sia le informazioni relative alle autorità che li utilizzano nell’inte­ resse della sicurezza pubblica in virtù di un’autorizzazione di esercizio. L’intento è evi­ tare che servizi d’informazione stranieri, organizzazioni criminali o singoli individui pos­ sano utilizzare tali informazioni rilevanti per la sicurezza a scapito della sicurezza pub­ blica. L’UFCOM mette a disposizione della cerchia ristretta di autorità di cui all’arti­ colo 32b capoverso 1 una lista delle persone che sono in possesso di un’autorizza­ zione per la produzione, l’importazione e la messa a disposizione sul mercato di appa­ recchiature elettroniche speciali, nonché una lista degli impianti autorizzati (cfr. art. 27 cpv. 3 e 4 OIT). A causa della situazione geopolitica, le autorità svizzere interessate di cui al capo­ verso 1 dipendono inoltre sempre più da tali impianti. La pressione politica per il rilascio delle autorizzazioni d’esercizio relative agli apparecchi elettronici speciali è notevole; si possono citare in particolare eventi e conferenze internazionali come il World Economic Forum (WEF) di Davos, i colloqui di pace multilaterali come l’Ukraine Recovery Confe­ rence (Lugano) o la Conferenza per la pace in Ucraina (Bürgenstock). In occasione di questi eventi con elevati requisiti di sicurezza è necessaria, ad esempio, un’efficace difesa contro i droni, che rientra anch’essa nella categoria degli apparecchi elettronici speciali. Per contrastare i relativi pericoli, la polizia e l’esercito necessitano di impianti e dispositivi del settore degli apparecchi elettronici speciali. 47/85

Per questi motivi, le informazioni presentate dai richiedenti, gli impianti e i dispositivi, nonché le informazioni sulle autorità titolari di un’autorizzazione di esercizio devono essere classificate come riservate. Le informazioni saranno così presentate in modo completo, l’UFCOM riceverà le informazioni necessarie e le autorità svizzere interes­ sate potranno utilizzare questi impianti nell’interesse della sicurezza pubblica in modo legittimo, ovvero con un’autorizzazione dell’UFCOM. Inoltre sarà così possibile garan­ tire la qualità delle informazioni necessarie come pure ridurre i tempi necessari affinché le autorità svizzere possano utilizzare tali impianti.

Art. 34 Interferenze

Cpv. 1

La fabbricazione e l’esercizio di impianti di telecomunicazione allo scopo di disturbare o impedire il traffico delle telecomunicazioni o le radiocomunicazioni, devono essere inseriti fra i divieti di diritto amministrativo (cfr. anche art. 52 cpv. 1 lett. j).

Cpv. 2

L’UFCOM è responsabile dell’eliminazione delle interferenze che possono interessare il traffico delle telecomunicazioni e la radiodiffusione. Dispone di un’infrastruttura di mi­ surazione specializzata per poter localizzare rapidamente le interferenze nello spettro delle frequenze. Tali interferenze non sono causate solo dagli impianti di telecomuni­ cazione, ma anche da apparecchi elettrici quali asciugacapelli, lampade LED, ascen­ sori, impianti di ventilazione e climatizzazione, tabelloni con più schermi, solo per citare alcuni esempi. Allo scopo di localizzare ed eliminare le interferenze, l’UFCOM deve poter prendere misure identiche nei confronti degli impianti elettrici a corrente forte o a corrente debole e disporre dello stesso diritto d’accesso come per gli impianti di tele­ comunicazione. Tali competenze dell’UFCOM sono attualmente sancite a livello di or­ dinanza del Consiglio federale nell’ordinanza del 25 novembre 201559 sulla compatibi­ lità elettromagnetica (OCEM); nell’ambito della revisione in atto quest’ultima dovrebbe però contenere una base giuridica più solida a livello di legge (cpv. 2). In caso di inter­ ferenza sullo spettro causata da impianti della rete di trasporto e distribuzione dell’elet­ tricità, o da impianti del traffico ferroviario o filoviario, l’UFCOM consulterà le parti inte­ ressate e, se necessario, disporrà le misure, i relativi tempi di attuazione e la riparti­ zione dei costi, soppesando di volta in volta gli interessi in gioco. Ovviamente è prevista la possibilità di ricorso contro tali decisioni.

Non si tratta solo di interferenze nello spettro delle frequenze, ma anche di impedi­ mento della comunicazione, motivo per cui nella disposizione deve essere aggiunto il concetto di impedire (v. spiegazioni in merito all’art. 32a cpv. 2).

Va sottolineato che il gestore può essere sia una persona fisica sia una persona giuri­ dica.

Cpv. 3 e 4

Entrambi i capoversi corrispondono ai vigenti capoversi 1bis e 1quater, con piccoli ade­ guamenti di formulazione.

59 RS 734.5 48/85

Art. 34a Localizzazione di interferenze

Vista la nuova struttura, il vigente articolo 34a diventa l’articolo 34b e contiene una pre­ cisazione a livello redazionale, senza che siano apportati adeguamenti di tipo mate­ riale.

Cpv. 1

Nella versione sinora vigente dell’articolo 34 capoverso 2 l’UFCOM deve avere «ac­ cesso a tutti gli impianti di telecomunicazione». Nella pratica è emerso che questa for­ mulazione non è sufficientemente precisa, poiché non comprende l’accesso agli im­ pianti di telecomunicazione, ad esempio nei veicoli. La modifica di «Zutritt» in «Zugang» riguarda solo il testo tedesco. In merito alle aggiunte relative agli impianti a corrente forte e a corrente debole, si rimanda alle spiegazioni in merito all’articolo 34 capo­ verso 2.

Con l’avvento del 5G e delle future nuove tecnologie (6G/7G), le antenne con fascio controllabile (Beamforming) rappresentano nuove sfide per il rilevamento delle interfe­ renze.

Le antenne adattive non trasmettono più i segnali radio in modo costante in una sola direzione, come avviene con le antenne convenzionali. Invece, concentrano le radia­ zioni nel punto in cui si trova il telefono cellulare collegato e le riducono nelle altre direzioni. Le antenne adattive non possono quindi irradiare in modo sincronizzato tutta la loro potenza in ogni direzione immaginabile, ma la distribuiscono su obiettivi situati in punti diversi. Le nuove antenne Beamforming costituiscono pertanto una sfida per la ricerca dell’origine di un’interferenza.

Gli impianti di radiocomunicazione mobile dotati di moduli di antenna adattivi sono ca­ ratterizzati dai cosiddetti «diagrammi d’antenna avvolgenti». Ciò significa che tutti i pos­ sibili beams (fasci di trasmissione) vengono inclusi in un diagramma 3D da cui viene memorizzato il perimetro massimo che li racchiude. Durante il funzionamento viene utilizzato il fascio migliore per inviare i dati a seconda della posizione dei terminali. La direzione di trasmissione può essere modificata ogni millisecondo.

Al fine di poter localizzare l’interferenza, l’UFCOM deve sapere quale beam è attivo in un determinato momento (ad es. in caso di interferenze che si ripropongono sporadi­ camente). In questo modo è possibile trarre conclusioni sulle interferenze verificatesi.

Per poter localizzare nel tempo e nello spazio i segnali che generano interferenze ri­ correnti nel settore della radiocomunicazione mobile e attribuirli a un determinato im­ pianto di telecomunicazione, è indispensabile che l’UFCOM possa richiedere ai forni­ tori, proprietari o operatori di radiocomunicazione mobile i dati relativi all’andamento dei diagrammi di radiazione in un determinato periodo o in un determinato momento (in particolare le caratteristiche di radiazione e le impostazioni di radiazione dell’impianto in questione). Ciò consente di ricostruire esattamente le condizioni in cui si è verificata l’interferenza, individuandone la causa anche presso l’operatore radiomobile stesso.

Cpv. 2 e 3

L’UFCOM è responsabile della localizzazione delle interferenze nello spettro delle fre­ quenze. Per l’UFCOM sono estremamente importanti e attuali le interferenze dei si­ stemi globali di navigazione satellitare (Global Navigation Satellite System [GNSS], 49/85

come ad es. GPS, GLONASS, Galileo e Beidou). I segnali GNSS sono fra l’altro indi­ spensabili nel volo strumentale (volo senza visibilità) e nella sincronizzazione tempo­ rale di servizi importanti quali elettricità, reti di radiocomunicazione mobile e attività di borsa. I segnali GNSS dei satelliti sono molto deboli sulla Terra e quindi particolarmente soggetti a interferenze. Già nel 2022 all’UFCOM sono stati segnalati a tale proposito, dal Servizio di soccorso aereo nonché dell’aviazione civile in generale, incidenti in cui i sistemi di navigazione sono stati messi fuori uso da interferenze nello spettro radio. L’UFCOM riceve regolarmente segnalazioni di interferenze analoghe.

Per individuare il maggior numero possibile di potenziali fonti di interferenza, l’UFCOM ha effettuato misurazioni sul campo lungo le strade. Ciò ha consentito di misurare sia le interferenze involontarie (ad es. componenti elettriche o elettroniche difettose nel veicolo) sia quelle intenzionali causate dall’uso di disturbatori vietati (cfr. art. 32a, se­ condo cui è vietato anche il loro possesso). In tre diversi punti lungo le autostrade, misurazioni continue nello spettro di frequenza effettuate nell’arco di 15-30 giorni hanno rilevato quasi quotidianamente forti interferenze potenzialmente in grado di disturbare il segnale GNSS.

Sebbene durante le misurazioni sul campo possano essere rilevate delle interferenze, i veicoli in infrazione non possono essere identificati a occhio nudo a causa del breve tempo di transito. Pertanto, è necessario procedere a un rilevamento ottico automatico del veicolo in questione. Di conseguenza, il rilevamento ottico automatico viene attivato in presenza di un segnale che genera interferenze, e solo in questo caso.

Se dalle misurazioni sul campo si riscontra una certa regolarità nell’attività di un distur­ batore, viene effettuato un controllo da parte di un’autorità terza. Se in un dato punto è rilevata la tipica firma di un disturbatore dello spettro delle frequenze, viene effettuata la registrazione ottica del veicolo (soprattutto della targa) e l’UFCOM informa l’autorità di polizia cantonale competente o il Corpo delle guardie di confine presente o, se ne­ cessario, fedpol affinché il veicolo in questione venga fermato e l’UFCOM possa accer­ tare la presenza di un disturbatore. Il controllo è svolto dai collaboratori dell’UFCOM.

In tale ambito, la collaborazione con le autorità di polizia o il Corpo delle guardie di confine è necessaria per diversi motivi:

- la Polizia può anche – in mancanza di cooperazione – effettuare perquisizioni senza consenso, se fra l’altro si può presumere che verrebbero rinvenuti oggetti da seque­ strare (cfr. art. 249 CPP);

- per proteggere i collaboratori dell’UFCOM, poiché i disturbatori di frequenza vengono utilizzati in particolare per attività criminali e quindi da potenziali autori di reati;

- inoltre, l’individuazione tempestiva e il sequestro di un disturbatore sul posto riducono il rischio che questo venga rimosso.

Non si effettua quindi alcun rilevamento sistematico o su larga scala dei veicoli in tran­ sito. Non si intende attuare alcuna misura amministrativa di polizia nel campo della raccolta di informazioni (simile a quella del rilevamento automatizzato di veicoli e della sorveglianza del traffico), bensì concretizzare un mandato di prestazioni dell’UFCOM nell’ambito delle sue competenze.

Come casi di applicazione si possono considerare fondamentalmente due tipi di inter­ ferenze: involontarie e intenzionali. 50/85

La procedura di cui sopra ha implicazioni in materia di disposizioni sulla protezione dei dati. La misurazione dei segnali radio non comporta ancora il trattamento di dati perso­ nali, poiché questi non sono di carattere personale.

Tuttavia, non appena viene attivato un rilevamento ottico automatico dei veicoli in caso di chiara violazione dello spettro radio che mostra contenuti riconoscibili rilevanti ai fini dei dati, è in linea di principio possibile trovare una corrispondenza e quindi un even­ tuale riferimento a persone. Oltre alla data, all’ora e al luogo dell’evento, il rilevamento ottico automatizzato deve registrare il tipo di veicolo, la marca, la targa e, se del caso, il colore del veicolo.

L’UFCOM è tenuto ad adottare tutte le misure tecniche necessarie per escludere com­ pletamente la raccolta di dati personali non necessari o per ridurla al minimo. Inoltre, l’UFCOM prevede di inserire chiaramente, nei documenti di appalto relativi all’acquisto futuro del sistema, disposizioni specifiche in materia di protezione dei dati per questo progetto come criterio di aggiudicazione.

La causa dell’interferenza riveste un ruolo importante, poiché a seconda della sua qua­ lificazione (interferenza intenzionale o non intenzionale) si applicano procedure giuridi­ che diverse basate su fondamenti giuridici diversi e con conseguenze giuridiche di­ verse. Ciò ha ripercussioni sulle misure di protezione dei dati personali da adottare e quindi influisce sul sistema da acquistare.

Le conoscenze attuali dimostrano che una serie di veicoli causano interferenze invo­ lontarie a banda larga che possono compromettere la ricezione dei segnali GNSS. Se si riscontra un accumulo di tali segnali di disturbo involontari in determinati tipi di veicoli, è possibile effettuare successivamente una verifica di conformità nell’ambito di una procedura amministrativa ai sensi della legge federale del 20 dicembre 196860 sulla procedura amministrativa (legge sulla procedura amministrativa; LPA) nei confronti della persona responsabile. Una tale procedura può in particolare essere effettuata contro chi ha immesso il veicolo sul mercato ma anche contro il titolare, ad esempio in caso di installazione successiva di apparecchi elettrici o di successiva sostituzione dell’autoradio.

Le semplici riprese fotografiche dei passeggeri dei veicoli e di altre caratteristiche per­ sonali relative ai veicoli (persone fisiche e/o giuridiche) non costituiscono dati personali particolarmente sensibili in caso di interferenze involontarie. Si tratta di un procedi­ mento amministrativo, ma non di un procedimento penale-amministrativo o penale. I dati personali raccolti non rientrano quindi nel campo di applicazione dell’articolo 5 let­ tera c LPD.

Tuttavia, qualora l’UFCOM constati che l’interferenza è stata causata intenzionalmente da un disturbatore installato nel veicolo (cfr. art 32a), dopo il controllo del veicolo andrà avviato un procedimento penale-amministrativo ai sensi della legge federale del 22 marzo 197461 sul diritto penale amministrativo (DPA). Non è necessario avviare un procedimento nei confronti dell’importatore del veicolo, poiché un dispositivo di disturbo non fa parte della dotazione.

60 RS 172.021 61 RS 313.0 51/85

Occorre chiarire se i dati relativi ai veicoli rilevati automaticamente con sistemi ottici, nel caso in cui si sospetti che trasportino un disturbatore, sono dati personali partico­ larmente sensibili ai sensi dell’articolo 5 lettera c numero 5 LPD. Rientrano in questa categoria specifica di dati particolarmente sensibili le informazioni relative all’avvio, allo svolgimento e alla conclusione di procedimenti penali. Al momento della registrazione ottica non è stato ancora avviato alcun procedimento. Qualora si presuma che vi sia una violazione ai sensi dell’articolo 52 capoverso 1 lettera g, non è possibile stabilire in anticipo se tale violazione sia da considerarsi «sufficiente».

Qualora la registrazione ottica dia adito a una procedura penale amministrativa, sareb­ bero interessati dati particolarmente sensibili ai sensi dell’articolo 5 lettera c numero 5 LPD e, a tal proposito, occorre precisare quanto segue:

il principio della riconoscibilità della raccolta dei dati e della riconoscibilità del loro scopo (in particolare a causa del divieto di procurarsi dati di nascosto derivante dal principio della buona fede) da parte delle persone interessate può essere limitato in modo am­ missibile nel caso in esame. L’articolo 18a capoverso 1 DPA prevede che, nelle proce­ dure penali-amministrative, l’autorità debba procurarsi i dati in modo ravvisabile per la persona interessata, purché il procedimento non ne risulti compromesso. Nei casi in cui si sospetta l’uso di disturbatori di frequenza nei veicoli, qualsiasi informazione pre­ ventiva comprometterebbe l’operazione, consentendo ad esempio la rimozione dei di­ sturbatori.

Le misure previste e le fasi di trattamento dei dati sono proporzionate. Si tratta di misure adeguate e necessarie per rilevare la presenza di interferenze nei veicoli e, se del caso, identificare le persone responsabili delle interferenze. Non è chiaro quanto sia possibile prevedere una misura più blanda per individuare efficacemente le cause delle interfe­ renze nel traffico e, se del caso, perseguire i responsabili. Anche il rapporto tra fini e mezzi rimane invariato: le interferenze causate dai veicoli possono disturbare in modo efficace e duraturo le frequenze rilevanti per la sicurezza (ad es. la navigazione satel­ litare) e ostacolare i servizi di sicurezza (in particolare la guardia aerea di soccorso) nello svolgimento delle loro importanti attività.

La valutazione preliminare dei rischi effettuata nell’ambito della valutazione dell’impatto sulla protezione dei dati ha dimostrato che l’entità del trattamento dei dati non supera i limiti usuali. Sulla base dell’articolo 26 capoverso 1, lo spettro delle frequenze viene di volta in volta controllato in luoghi adeguati. Nell’ambito di tale attività di sorveglianza, durante le misurazioni vengono registrate solo le targhe dei veicoli che emettono se­ gnali che causano interferenze (di tipo involontario o intenzionale). Si può quindi pre­ sumere che il numero di persone interessate dalla registrazione ottica automatizzata sia esiguo e che la durata del trattamento sia relativamente breve. Il monitoraggio non è permanente, avviene solo a campione. I pochi punti di misurazione disponibili non sono quindi installati in modo permanente.

A seconda del sistema, i dati vengono memorizzati nel sistema stesso o in un computer indipendente.

In caso di interferenza involontaria, i dati dei veicoli rilevati otticamente vengono imme­ diatamente scartati e cancellati dopo l’analisi successiva. Nella valutazione automatica dell’interferenza nello spettro delle frequenze, non si può escludere che vi sia un basso tasso di errore. Di conseguenza, le registrazioni ottiche non utilizzabili o non correlate all’evento («falsi positivi») e quelle relative a veicoli non coinvolti vengono scartate e cancellate dagli esperti. 52/85

In caso di interferenza intenzionale e qualora si sospetti la presenza di un disturbatore, i dati relativi ai veicoli rilevati automaticamente con sistemi ottici devono essere con­ servati come prove fino alla conclusione del procedimento. Servono infatti a conservare le prove per poter collegare le interferenze nello spettro delle frequenze a una viola­ zione della LTC. I dati ottenuti tramite la registrazione ottica automatizzata devono es­ sere immediatamente separati e cancellati non appena, o qualora, non servano come prove.

Anche se durante le misurazioni vengono raccolti dati personali, non si tratta di profila­ zione ai sensi dell’articolo 5 lettera f LPD, poiché tali dati non vengono utilizzati per valutare determinati aspetti personali relativi a una persona fisica, come previsto nel caso della rilevazione automatica di veicoli e della sorveglianza del traffico.

Il sistema previsto non consente inoltre alcuna decisione individuale automatizzata; l’eventuale procedura viene avviata dai collaboratori dell’UFCOM e da essi portata avanti fino alla sua conclusione.

L’UFCOM garantisce inoltre, mediante misure organizzative e tecniche, la sicurezza dei dati degli apparecchi di misurazione e dei dati memorizzati ai sensi dell’articolo 13a capoverso 2 (cfr. art. 8 LPD) e registrerà le relative attività di trattamento nel registro che deve essere consegnato all’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) (cfr. art. 12 LPD).

Il Consiglio federale deve poter disciplinare a livello di ordinanza i dettagli relativi al sistema da acquisire, le relative condizioni in materia di anonimato e la durata di con­ servazione dei dati. Si tratta in particolare di specifiche tecniche che devono essere adeguate periodicamente, se necessario. È quindi opportuna una delega al Consiglio federale.

Cpv. 4

Per poter localizzare nel tempo e nello spazio i segnali che provocano interferenze ricorrenti nel settore della radiocomunicazione mobile e attribuirli a un determinato im­ pianto di telecomunicazione, è indispensabile che l’UFCOM possa richiedere ai forni­ tori, ai proprietari e agli operatori i dati relativi all’andamento dei diagrammi di radia­ zione in un determinato periodo o in un determinato momento (in particolare sulle ca­ ratteristiche di irradiazione e sulle impostazioni di irradiazione dell’impianto in que­ stione) ai sensi del capoverso 1. Il Consiglio federale deve poter stabilire i dettagli re­ lativi a tali informazioni e al periodo di riferimento.

Art. 35b Accesso al punto d’entrata nell’edificio e coutenza di impianti domestici

Il capoverso 6 attribuisce all’UFCOM la competenza di emanare norme relative all’in­ stallazione di condutture negli immobili, a condizione che ciò sia necessario e ipotizza­ bile per garantire un accesso sicuro, privo di interferenze e di discriminazioni a servizi di telecomunicazione pubblici. In un ambiente dinamico caratterizzato da un rapido pro­ gresso tecnologico non è possibile identificare in anticipo quanto va complessivamente regolamentato.

Per quanto concerne l’accesso privo di discriminazioni, nella primavera 2024 l’UFCOM ha condotto un sondaggio nel settore, da cui è emerso che nel potenziare le reti in fibra ottica a volte gli immobili vengono allacciati in modo tale da impedire ad altri fornitori di

53/85

allacciare a loro volta l’immobile o di utilizzare il cablaggio interno dell’edificio. Questi ostacoli architettonici sono problematici per la concorrenza a livello di infrastrutture. Oltre a impedire ulteriori allacciamenti da parte dei concorrenti, gli ostacoli architettonici possono anche causare costi più elevati o ritardi in caso di un secondo allacciamento. Entrambi questi aspetti comportano svantaggi in termini di concorrenza e possono es­ sere affrontati con adeguate misure normative. A livello tecnico, con le direttive elabo­ rate nel 201262 durante la tavola rotonda della ComCom si è già ottenuto il consenso del settore, che viene rispettato dalla maggioranza. La possibilità che l’UFCOM renda queste direttive giuridicamente vincolanti garantisce una maggiore sicurezza.

Per quanto riguarda le interferenze, è opportuno adottare norme che, con un onere ragionevole, consentano il funzionamento senza interferenze sia delle applicazioni mi­ litari conformi che delle connessioni Internet private. Ciò può essere ottenuto, ad esem­ pio, realizzando impianti interni agli edifici dotati di una schermatura adeguata. La pos­ sibilità di applicare norme agli impianti esistenti dipende fondamentalmente dal dispen­ dio che ciò implicherebbe: dev’essere ragionevole per i proprietari degli immobili.

Art. 46 Protezione della personalità

Nell’articolo vigente occorre inserire un capoverso aggiuntivo. In base a questo (cfr. cpv. 1), il Consiglio federale ha emanato, nell’ambito della legislazione vigente, dispo­ sizioni esecutive a livello di ordinanza relative all’identificazione del numero chiamante. In particolare, ha stabilito che i partecipanti a una chiamata devono in linea di principio avere la possibilità di nascondere il proprio numero di telefono, in modo che non venga comunicato al destinatario della chiamata né visualizzato sul suo terminale (cfr. art. 84 cpv. 1 OST). In questo modo, chi chiama può impedire un’identificazione indesiderata attraverso la visualizzazione del proprio numero di telefono. Il Consiglio federale ha anche previsto i casi in cui un numero di telefono deve essere comunque mostrato al destinatario della chiamata, anche se il chiamante non desidera rivelarlo. Queste ec­ cezioni si limitano da un lato alla localizzazione, che i fornitori di servizi di telecomuni­ cazione devono garantire per assicurare l’accesso ai servizi di emergenza ai sensi dell’articolo 20 e nell’ambito della comunicazione a garanzia della sicurezza ai sensi dell’articolo 47 e, dall’altro, alle chiamate al servizio di trascrizione per audiolesi (cfr. art. 84 cpv. 3 OST).

Il capoverso 2 elenca ora le condizioni alle quali il Consiglio federale può stabilire quando i fornitori di servizi di telecomunicazione devono garantire la visualizzazione dei numeri chiamanti e quindi disattivare l’attuale funzione di soppressione del numero. Nel definire tali requisiti, il Consiglio federale tiene conto degli interessi della popola­ zione, degli utenti chiamati e dei fornitori, nonché dello sviluppo tecnico e dell’armoniz­ zazione internazionale. Il Consiglio federale può ad esempio prevedere, per collega­ menti di rete fissa delle organizzazioni di primo soccorso come ed esempio la polizia, che sia garantita la visualizzazione del numero di telefono delle persone chiamanti. Negli scenari in cui il tempo è un fattore critico, come le minacce telefoniche (sparatorie, allarmi bomba), verrebbe così visualizzato almeno un numero di telefono, dato che sarebbe di grande importanza strategica durante le indagini. Chiamate o segnalazioni di questo tipo non sono ricevute solo tramite il numero di emergenza della polizia (117), dove già oggi è necessario garantire la visualizzazione del numero di telefono della persona chiamante. Infatti, spesso questo genere di chiamata viene effettuato sui nu­ meri di rete fissa della polizia, per i quali al momento non è necessaria né garantita la visualizzazione del numero della persona chiamante. Il Consiglio federale deve avere

62 UFCOM (2012) 54/85

la possibilità di estendere la non-soppressione del numero chiamante anche a tali col­ legamenti e poterlo fare anche senza l’espresso consenso della persona chiamante.

Art. 46a Protezione dei fanciulli e degli adolescenti

A seguito dell’approvazione della Mozione Gugger (20.3374), il Consiglio federale è incaricato di presentare all’Assemblea federale adeguamenti di legge che rendano dif­ ficile o impossibile alle persone di età inferiore ai 16 anni accedere alla pornografia legale. A tal fine, i fornitori di servizi di telecomunicazione devono essere obbligati a informare le persone cui è affidata l’educazione in merito alle possibilità tecniche dei dispositivi e delle offerte, nonché a mettere loro a disposizione strumenti e applicazioni che possano garantire una protezione adeguata dei giovani dai contenuti pornografici.

In futuro i fornitori di servizi di telecomunicazione devono pertanto fornire, alle persone cui è affidata l’educazione, una consulenza individuale sul tema della protezione dei minori. Dovranno inoltre mettere a loro disposizione mezzi che, in base allo stato del progresso tecnico, possano garantire efficacemente tale protezione dei minori.

I capoversi 2 e 3 non subiscono modifiche a livello materiale. Vi è unicamente un ade­ guamento redazionale, dove il concetto di «Ufficio federale di polizia» viene sostituito da «fedpol».

Art. 48a Resilienza delle infrastrutture di telecomunicazione e protezione dalle mi­ nacce informatiche

L’estensione delle misure di cui all’articolo 48a è parte di un approccio unitario volto a migliorare la sicurezza e la resilienza delle infrastrutture di telecomunicazione in Sviz­ zera. Oltre agli obblighi in parte già esistenti per i fornitori di servizi di telecomunica­ zione, occorre anche rendere possibile la collaborazione con enti riconosciuti nel campo della sicurezza informatica e chiarire lo scambio di informazioni con l’UFCOM nel campo della sicurezza informatica. L’UFCOM dovrebbe inoltre contribuire allo svol­ gimento di compiti volti a garantire la resilienza. Infine, tali misure vanno considerate come un contributo globale in materia di sicurezza insieme alle disposizioni di cui all’ar­ ticolo 48b sulla sicurezza dell’infrastruttura di telecomunicazione in sé e le possibilità di intervento del Consiglio federale all’articolo 48c quale contributo globale alla sicu­ rezza. Sono volte a concretizzare la protezione dalle minacce informatiche e la garan­ zia della sicurezza e resilienza delle infrastrutture di telecomunicazione (cfr. art. 1 cpv.

2 lett. b e f).

Cpv. 1

A causa dell’attuale situazione geopolitica e del costante aumento degli attacchi infor­ matici agli impianti di telecomunicazione, la Svizzera si trova ad affrontare una grave minaccia. Anche il Consiglio federale63 ha affermato che la minaccia rappresentata da­ gli attacchi informatici è elevata da anni e che la dipendenza dell’economia e della società da ambienti TIC (legati alle tecnologie dell’informazione e della comunicazione) funzionanti continua ad aumentare. La sicurezza informatica ha acquisito importanza a diversi livelli. Lo stesso vale per la politica di sicurezza, come presupposto per la digitalizzazione, nel campo della protezione dei dati e, non da ultimo, quale fattore in­ dispensabile per la Svizzera in quanto piazza economica e di ricerca. L’UFCS rileva un aumento degli attacchi informatici contro obiettivi in Svizzera, compresi attacchi contro

63 Consiglio federale (2023a) 55/85

gestori di infrastrutture critiche resi possibili dalle infrastrutture informatiche presenti in Svizzera.

È dunque fondamentale che la Svizzera rafforzi la resilienza delle sue infrastrutture di telecomunicazione e che i fornitori adottino le misure tecniche, amministrative e opera­ tive necessarie. Questa tendenza è osservabile anche in politica; diverse iniziative par­ lamentari avanzano richieste simili. Quali esempi di vedano il Postulato Z`Graggen (22.4411) «Strategia per la sovranità digitale della Svizzera», la Mozione Dittli (23.3002) «Migliorare la sicurezza dei dati digitali più importanti della Svizzera», non­ ché le Mozioni Juillard (24.3209) e Chappuis (24.3363) «Creare in Svizzera un’infra­ struttura digitale sovrana nell’era dell’intelligenza artificiale».

La resilienza delle infrastrutture di telecomunicazione in Svizzera implica anche la ne­ cessità di garantire la stabilità e la sicurezza delle infrastrutture di telecomunicazione, nonché poter adottare misure normative per la loro protezione. Comprende anche la capacità delle reti di continuare a fornire singoli servizi quando altri sono interrotti, e la capacità di continuare a fornire servizi indipendentemente dalla disponibilità di servizi esteri. La sicurezza informatica delle infrastrutture di telecomunicazione rappresenta una grande sfida per la Svizzera: l’uso massiccio delle tecnologie dell’informazione rende il Paese particolarmente vulnerabile in questo settore64.

L’articolo 48a capoverso 1 prevede già, nella sua versione vigente, un obbligo per i fornitori di servizi di telecomunicazione di lottare contro la manipolazione non autoriz­ zata di impianti di telecomunicazione mediante tecniche di telecomunicazione. Se­ condo il messaggio sull’ultima revisione della LTC65, tale disposizione ha lo scopo di lottare contro gli attacchi informatici (ad es. diffusione di malware, ostacolo nella forni­ tura di servizi web tramite attacchi DDoS). Alla luce dell’articolo sullo scopo, ora esteso in merito alla protezione dalle minacce informatiche e al rafforzamento della resilienza delle infrastrutture di telecomunicazione, questi compiti dovrebbero essere sanciti chia­ ramente anche come compito per i fornitori. A tale scopo questi ultimi devono adottare misure tecniche, operative e amministrative per lottare contro la manipolazione non autorizzata delle infrastrutture di telecomunicazione mediante tecniche di telecomuni­ cazione. A questo fine sono autorizzati a deviare o impedire collegamenti e dissimulare informazioni.

Cpv. 2

Non sono solo i fornitori a dover contribuire ad un’attuazione efficace delle misure estese di cui agli articoli 48a e 48b. Piuttosto, anche l’UFCOM dovrebbe assumere nuovi compiti in questo contesto, affinché gli obiettivi cui tali misure ambiscono possano essere completamente raggiunti. In futuro dovrà così sorvegliare, rilevare e valutare i fattori che mettono a rischio la resilienza delle infrastrutture di telecomunicazione o che possono mettere a repentaglio la protezione dalle minacce informatiche. In tale ambito valuta in particolare se sussiste un rischio per la sicurezza delle infrastrutture di teleco­ municazione di cui all’articolo 48b. Si noti che l’UFCOM è sì responsabile di provvedere affinché gli articoli 48a e 48b siano attuati in maniera corretta (cpv. 3) sulla base delle informazioni tecniche, operative e amministrative di cui dispone, l'applicazione dell'ar­ ticolo 48c è invece riservata al Consiglio federale. L’attuazione di quest’ultimo articolo spetta infatti piuttosto al Consiglio federale. Per adottare una misura del genere,

64 Schwaab (2023) 65 FF 2017 6659 56/85

avrebbe dovuto basarsi sulle valutazioni geopolitiche presentategli dalle autorità com­ petenti e dagli organismi specializzati della Confederazione.

Cpv. 3

Nell’ambito dei compiti dell’UFCOM previsti al capoverso 2, e al fine di assicurare una protezione efficace dalle minacce informatiche, può essere necessario ottenere dai for­ nitori di servizi di telecomunicazione determinati dati e informazioni. L’accesso a tali dati contribuisce in maniera sostanziale a riconoscere e identificare i rischi in materia di sicurezza correlati alle infrastrutture di telecomunicazione e l’origine nonché le con­ seguenze in materia di sicurezza di minacce mirate come gli attacchi informatici del tipo DDoS, phishing o la diffusione di malware. In tali casi, l’identificazione biometrica sempre più usata nelle reti può rivelarsi decisiva, per attribuire un’azione a una persona specifica o per poter accertare l’uso non autorizzato di risorse soggette alla normativa sulle telecomunicazioni, che possa indicare un atto di criminalità informatica (cfr. art. 48d cpv. 1). Anche quando i fornitori di servizi di telecomunicazione sono obbligati a fornire dati sul traffico, in nessun caso possono, o sono autorizzati a, divulgare il con­ tenuto delle comunicazioni o venirne a conoscenza. Tali contenuti sono, e rimarranno anche in futuro, tutelati dal segreto delle telecomunicazioni (cfr. art. 13 cpv. 1 Cost., art. 321ter CP e art. 43 LTC).

Cpv. 4

Il capoverso 4 corrisponde fondamentalmente al capoverso 2 della versione vigente e viene completato con una delega di competenze legislative al Consiglio federale per quanto concerne la precisazione delle misure di cui al capoverso 1. Già in base al ca­ poverso della versione vigente, il Consiglio federale può emanare disposizioni sulla sicurezza delle informazioni, delle infrastrutture e dei servizi di telecomunicazione, in particolare concernenti la disponibilità, l’esercizio, la garanzia di infrastrutture ridon­ danti, la segnalazione delle interferenze, la tracciabilità degli incidenti e la deviazione o l’impedimento delle comunicazioni, nonché la dissimulazione delle informazioni se­ condo il capoverso 1. Vista tale delega di competenze, il Consiglio federale ha già ema­ nato l’articolo 96a segg. relativo alla manipolazione non autorizzata di impianti di tele­ comunicazione nonché l’articolo 96f segg. in materia di sicurezza delle reti e dei servizi dei concessionari di radiocomunicazione mobile. Inoltre, con la revisione parziale delle ordinanze nel settore delle telecomunicazioni sul tema «aumento della sicurezza delle reti e tutela dalle minacce informatiche, che verrà posto in consultazione parallela­ mente alla revisione della LTC in oggetto, intende introdurre nuove regole che mirano a rendere più severi i requisiti di sicurezza per l’acquisto e l’esercizio di impianti di te­ lecomunicazione e software. Va inoltre introdotto un obbligo, per i concessionari di ra­ diocomunicazione mobile, e i «Full Mobile Virtual Network Operator» (Full MVNO), di verificare a cadenza regolare che la propria rete centrale sia conforme alle esigenze più severe in materia di sicurezza.

In sintesi, nell’ambito della delega di competenze di cui al capoverso 4 il Consiglio fe­ derale è autorizzato ad adottare a livello di ordinanza le misure necessarie ai fini della sicurezza delle informazioni, nonché delle infrastrutture e servizi di telecomunicazione che contribuiscono a proteggere dai pericoli, prevenire danni e ridurre al minimo i rischi.

In tale contesto, il concetto generale di infrastruttura di telecomunicazione si riferisce alla totalità degli impianti di telecomunicazione e dei sistemi di hardware e software delle telecomunicazioni. Rientrano sotto tale cappello tutti i prodotti, le componenti di prodotti e le componenti di hardware e software (computercode) destinati ad essere 57/85

integrati nell’infrastruttura di radiocomunicazione e la cui applicazione prevista o ragio­ nevolmente prevedibile è finalizzata all’offerta di servizi di telecomunicazione. Il con­ cetto comprende in particolare tutte le componenti di hardware (server, apparecchia­ ture di trasmissione e archiviazione, apparecchiature di rete) e componenti di software (sistemi operativi, strumenti di virtualizzazione, soluzioni per la gestione, la cura e la sorveglianza di contenuti), compresi dispositivi elettrici, elettronici o IT, coinvolte nella messa a disposizione di servizi tecnici di elaborazione, gestione, archiviazione, tra­ smissione o accesso ai dati per terzi.

Il concetto di infrastruttura di telecomunicazione è quindi inteso in senso più ampio rispetto a quello di impianto di telecomunicazione ai sensi dell’articolo 3 lettera d. Com­ prende infatti impianti, apparecchi elettrici (inclusi i relativi software, sistemi operativi nonché soluzioni per la gestione digitale delle informazioni) ma anche canalizzazioni di cavi.

Art. 48b Sicurezza delle infrastrutture di telecomunicazione

Il rapporto del Consiglio federale in adempimento del postulato Pult (20.3984) «Infra­ struttura digitale. Minimizzare i rischi geopolitici»66 ha mostrato come, nonostante le misure già adottate, permangono gravi minacce informatiche. La Svizzera è esposta a rischi in materia di sicurezza informatica poiché numerosi nostri processi economici, sociali o politici sono gestiti da reti e sistemi digitali. Tali processi possono presentare lacune di sicurezza o essere bersaglio di attacchi informatici. Inoltre, determinate infra­ strutture critiche possono essere hackerate o sabotate attraverso infrastrutture di tele­ comunicazione. Pertanto, il Consiglio federale ritiene necessario rafforzare la lotta con­ tro tali minacce informatiche tramite l’adozione di misure volte a diversificare i fabbri­ canti di apparecchiature per infrastrutture di telecomunicazione considerate a rischio. Tali misure sono previste al nuovo articolo 48b e devono contribuire concretamente anche all’obiettivo, integrato nell’articolo sullo scopo, di garantire la sicurezza e la resi­ lienza delle infrastrutture di telecomunicazione (cfr. art. 1 cpv. 2 lett. f)

La LTC disciplina l’offerta di servizi di telecomunicazione, sottoponendoli alla libera concorrenza (cfr. art. 1 cpv. 1 e 2 lett. c). Questa libera concorrenza è presente anche nell’ambito delle infrastrutture. In base alla LTC, i fornitori di servizi di telecomunica­ zione sono liberi di scegliere i produttori dei loro apparecchi e impianti e di altre infra­ strutture che intendono acquistare, mettere in esercizio e gestire nell’ambito della loro infrastruttura di telecomunicazione. Una limitazione della libera scelta dei fornitori nel campo dell’infrastruttura di telecomunicazione necessita pertanto di una base legale (cfr. art. 36 cpv. 1 Cost.), poiché influisce sulla sua libertà economica (cfr. art. 27 Cost.) e sulla garanzia della proprietà (cfr. art. 26 Cost.). L’articolo 48b crea la base giuridica formale che consente di limitare la libertà di scelta del fornitore in merito alla propria infrastruttura.

Per ridurre le minacce informatiche, le vulnerabilità e altre lacune nella sicurezza che possono compromettere la riservatezza, l’integrità o la disponibilità dei dati nelle comu­ nicazioni, occorre proteggere i prodotti e le componenti hardware o software che fanno parte dell’infrastruttura di telecomunicazione. Se tali prodotti o altri componenti sono impianti di telecomunicazione ai sensi dell’articolo 3 lettera d, devono adempiere i re­ quisiti in materia di sicurezza informatica e svolgere la procedura di valutazione della conformità prevista nell’OIT e nell’OOIT prima di poter essere offerti, messi in circola­ zione o esercitati in Svizzera. In tali ordinanze possono così essere stabiliti criteri in

66 Consiglio federale (2023a) 58/85

materia di sicurezza per gli impianti destinati a essere integrati nell’infrastruttura di te­ lecomunicazione. Vista la delega di competenze prevista con l’articolo 48a capoverso 4 nel campo delle infrastrutture, il Consiglio federale può applicare o estendere la relativa regolamentazione dell’OIT e dell’OOIT a infrastrutture che non costituiscono impianti di telecomunicazione in senso stretto, ed esempio software, apparecchi elettrici o sistemi operativi e altri sistemi di gestione della sicurezza informatica.

Poiché l’infrastruttura di telecomunicazione di cui all’articolo 48a capoverso 4 com­ prende in generale tutti i prodotti con elementi digitali ai sensi del Regolamento (UE) 2024/284767, consente di tenere conto del fatto che le esigenze in materia di sicurezza informatica sono ora strutturate in maniera ampiamente orizzontale e indipendente dai settori interessati. Su tale base, la Svizzera può fare riferimento alle norme tecniche del Comitato europeo di normazione e, tenuto conto dell’Accordo sul reciproco ricono­ scimento (MRA) Svizzera–UE68, il quale impedisce ostacoli al commercio fra la Sviz­ zera e l’UE, armonizzare la propria normativa con il diritto europeo e i sistemi di certifi­ cazione nel settore della sicurezza informatica, in particolare per le reti 5G previste dall’Agenzia dell’Unione europea per la sicurezza informatica (European Network and Information Security Agency, ENISA).

Cpv. 1

Il capoverso 1 sancisce nella legge il principio fondamentale della sicurezza attraverso la progettazione tecnica e le impostazioni predefinite (Secured by Design and by De­ fault), essenziale nel campo dell’acquisizione, messa in esercizio e gestione delle in­ frastrutture di telecomunicazione. Ciò significa che possono essere integrati nelle reti di telecomunicazione soltanto impianti, apparecchi, prodotti e altre componenti a livello di hardware o software concepiti, prodotti e configurati sin dall’inizio in maniera sicura. È così possibile ridurre il rischio di falle nella sicurezza senza previo intervento da parte dei fornitori e tutelare la confidenzialità, l’integrità e la disponibilità di informazioni. Il principio deriva dall’obbligo di sicurezza generale (cfr. art. 48a) e dal segreto delle te­ lecomunicazioni (cfr. art. 43, art. 13 cpv. 1 Cost. e art. 321ter CP). Il capoverso 1 sanci­ sce la portata del principio. Precisando che le impostazioni di sicurezza non solo de­ vono essere attivate, ma anche configurate in modo predefinito, si sottolinea che tali impostazioni non solo devono limitarsi a essere attivate con le impostazioni di fabbrica, ma devono anche essere configurate correttamente nel rispetto delle migliori pratiche (best practice) in materia di sicurezza. È inoltre essenziale che tali impostazioni siano curate regolarmente e tenute aggiornate. Le misure e le tecnologie a livello di hardware e software volte a proteggere la riservatezza, l’integrità e la disponibilità delle informa­ zioni di cui al capoverso 1 devono, per quanto possibile, basarsi sulle norme e sugli standard internazionali in materia.

Cpv. 2

Il capoverso 2 obbliga i fornitori di servizi di telecomunicazione ad adottare una strate­ gia basata su più fornitori. Nelle loro reti devono quindi acquisire, porre in esercizio e gestire componenti di infrastrutture di telecomunicazione di diversi produttori. Ciascun fornitore deve attuare una simile strategia per la propria rete di telecomunicazione. Questa strategia rafforza la sicurezza: infatti, poiché per la fornitura di servizi di teleco­ municazione viene impiegata una vasta gamma di apparecchi, prodotti e altre compo­

67 V. nota a piè di pagina n. 27. 68 RS 0.946.526.81 59/85

nenti a livello di hardware o di software, si può impedire un ambiente tecnologico uni­ forme che favorisce gli attacchi informatici. L’obiettivo è anche quello di limitare il rischio di forte dipendenza da un fabbricante e assicurare maggiore flessibilità e resilienza per quanto concerne le catene di approvvigionamento delle infrastrutture di telecomunica­ zione. Ciò anche perché nel nostro Paese non vi sono grossi produttori di apparecchi. Con fabbricante si intende ogni persona fisica o giuridica che produce un impianto di telecomunicazione, o che lo fa progettare o produrre, e immette in commercio tale im­ pianto con il proprio nome o il proprio marchio (cfr. in tal senso art. 2 lett. l OIT).

La maggior parte dei fornitori, soprattutto nel campo della radiocomunicazione mobile, persegue già di propria iniziativa una strategia basata su più fornitori. L’obbligo di at­ tuare una tale strategia ai sensi del capoverso 2 concerne esclusivamente le compo­ nenti critiche dell’infrastruttura di telecomunicazione di un fornitore, in particolare le componenti le cui interferenze o i cui guasti influiscono sulla disponibilità, l’integrità, l’autenticità o la confidenzialità delle informazioni trasmesse e quindi possono generare un’interruzione del servizio o ostacolare in maniera notevole l’esercizio di infrastrutture di telecomunicazione o mettere a repentaglio la sicurezza pubblica. In linea di principio, il Consiglio federale dovrebbe intervenire unicamente e fare uso della sua competenza per stabilire categorie, parti, quote o percentuali minime delle infrastrutture critiche in­ teressate quando constata una particolare mancanza di pluralità in parti essenziali dei sistemi di telecomunicazione, ad esempio in elementi della rete centrale di telefonia mobile (core network) o di reti di accesso radio (Radio Access Network, RAN).

In ogni caso, almeno uno dei produttori scelto dal fornitore deve essere domiciliato in uno Stato la cui legislazione garantisce un livello adeguato di protezione dei dati (cfr. art. 8 e 16 LPD nonché allegato 1 dell’ordinanza del 31 agosto 202269 sulla prote­ zione dei dati, OPDa). Si ritiene che tali produttori soddisfino i requisiti di riservatezza, integrità e disponibilità delle informazioni relative ai loro prodotti, impianti e altre appa­ recchiature destinati all’infrastruttura di telecomunicazione, in conformità con gli obbli­ ghi in materia di tutela della privacy previsti dallo Stato in cui hanno sede. Ciò limita notevolmente il rischio che un tale produttore ricada nel campo di applicazione dell’ar­ ticolo 48c, in quanto sarebbe considerato problematico per la sicurezza del nostro Paese o si troverebbe in possesso o sotto il controllo o l’influenza di uno Stato estero che rappresenta un rischio geopolitico per il Paese. Quale produttore ai sensi della disposizione in questione è intesa la società madre o la persona fisica o giuridica che controlla, indipendentemente dai marchi utilizzati o dalle società affiliate.

Cpv. 3

Considerata l’importanza delle infrastrutture di telecomunicazione per il funzionamento del nostro Paese e le minacce informatiche a cui sono esposte, la regolamentazione in tale ambito deve essere rafforzata in base al modello della «5G-Toolbox» dell’UE70 e della maggioranza delle legislazioni nazionali degli Stati membri dell’UE. In base all’ar­ ticolo 3, l’UFCOM può obbligare i fornitori di servizi di telecomunicazione a non mettere in servizio elementi critici di infrastrutture, oppure a rimuoverli dalle loro reti laddove esistono fondati sospetti di rischio particolarmente grande per la sicurezza delle reti di telecomunicazione. Il particolare rischio per la sicurezza si riferisce alle componenti critiche o alla trasmissione integra e confidenziale delle informazioni nonché alla loro disponibilità. L’obbligo concerne soprattutto le parti essenziali delle reti di telecomuni­ cazione come gli elementi della rete centrale di telefonia mobile (core network) o delle

69 RS 235.11 70 UE (2020) 60/85

reti di accesso radio (radio access network RAN). Il rischio particolare in materia di sicurezza per l’infrastruttura di telecomunicazione o la trasmissione delle informazioni si riferisce a un rischio legato alla sicurezza informatica per cui, a causa delle caratte­ ristiche tecniche, è altamente probabile che vi sarà un incidente che avrà conseguenze pesanti e potrebbe generare notevoli perdite materiali o immateriali.

L’UFCOM deve creare una lista in cui indica concretamente le componenti critiche delle infrastrutture di cui sarebbe proibito l’uso e l’esercizio, e pubblicarla. Poiché tecnologie, infrastrutture e minacce informatiche evolvono costantemente, la lista dovrebbe essere adeguata costantemente e tenuta aggiornata. Pertanto, in linea di principio dovrebbe assumere la forma di allegato di un’ordinanza, ciò che consentirebbe un aggiorna­ mento periodico. Per stabilire un tale rischio in materia di sicurezza, l’UFCOM si fonda su informazioni e dati che gli vengono trasmessi dai fornitori di servizi di telecomunica­ zione (cfr. art. 48a cpv. 3) e dai fabbricanti di infrastrutture di telecomunicazione (cfr. art. 59 cpv. 1). In caso di necessità l’UFCOM potrebbe, in base all’articolo 48d capo­ verso 2, consultare anche l’UFCS, la Segreteria di Stato dell’economia (SECO), la SE­ POS, il Servizio delle attività informative della Confederazione (SIC) o altri organismi competenti del Dipartimento federale degli affari esteri (DFAE), del Dipartimento fede­ rale della difesa, della protezione della popolazione e dello sport (DDPS) o del DATEC. Inoltre, l’UFCOM può basarsi su ricerche e studi di autorità estere o organismi ricono­ sciuti di tipo pubblico o privato ai sensi dell’articolo 29, i quali riconoscono minacce o incidenti di sicurezza, allo scopo di constatare e valutare un rischio per la sicurezza o per la resilienza che concerne, o potrebbe concernere, le infrastrutture di telecomuni­ cazione.

Nell’ampio concetto di infrastruttura di telecomunicazione rientrano in linea di principio tutte le componenti di una rete nonché apparecchi elettrici o elettronici, prodotti o com­ ponenti di hardware o software che contribuiscono al funzionamento o alla messa in sicurezza di una rete di telecomunicazione (cfr. anche spiegazioni in merito all’art. 48a). In linea di principio, anche l’infrastruttura di sorveglianza, la quale deve soddisfare i requisiti della LSCPT, rientra sotto il cappello dell’infrastruttura di telecomunicazione. È implicito che anche questa infrastruttura di sorveglianza debba essere sicura. È tut­ tavia essenziale che le esigenze e gli obblighi per i fornitori sanciti nella LSCPT siano tenuti in considerazione e garantiti. Pertanto, prima di emanare una decisione in merito alla rimozione o alla messa fuori servizio di componenti critiche, l’UFCOM deve accor­ darsi con il Servizio SCPT se le componenti in questione incidono sull’infrastruttura di sorveglianza.

Art. 48c Misure concernenti le infrastrutture di telecomunicazione in caso di rischi geopolitici

Cpv. 1

Considerati i rischi per la sicurezza legati al forte aumento di attacchi informatici e altre minacce, è di importanza centrale che la Svizzera rafforzi la propria sicurezza informa­ tica attraverso le apposite misure tecniche e operative di cui agli articoli 48a e 48b per le sue infrastrutture digitali. Queste misure generali vanno completate con mezzi geo­ politici in base alle proposte formulate dal Consiglio federale nel suo rapporto in adem­ pimento del postulato Pult (20.3984)71. Occorre tenere conto del peggioramento del contesto della politica di sicurezza in Svizzera, della crescente importanza dello spio­ naggio dovuto ai persistenti conflitti globali, di una sicurezza europea indebolita e che

71 Consiglio federale (2023a) 61/85

va rafforzata, nonché dell’acuirsi delle rivalità a livello globale72. Si può parlare di un aggravarsi della situazione quando i rischi per la sicurezza causati da attori statali o vicini allo Stato nel settore tecnologico si intensificano in modo acuto, in particolare a causa di attacchi informatici, sabotaggi, ricatti, pressione politica o economica con con­ seguenze per le infrastrutture critiche.

Analogamente a quanto previsto dalla «5G-Toolbox» dell’UE73, e come concretizzato dalla maggioranza degli Stati membri nella loro legislazione, l’articolo 48c consente al Consiglio federale, in caso di rischi per la sicurezza o geopolitici in Svizzera, di adottare le misure necessarie mediante ordinanza. In primo luogo, il Consiglio federale può vie­ tare ai fornitori di servizi di telecomunicazione l’acquisto e la messa in esercizio di com­ ponenti dell’infrastruttura di telecomunicazione provenienti da fabbricanti che rappre­ sentano un rischio geopolitico per la Svizzera o che si trovano in possesso, sotto il controllo o l’influenza di uno Stato estero che rappresenta un rischio geopolitico per la Svizzera (cfr. cpv. 1). Il concetto di infrastruttura di telecomunicazione comprende fon­ damentalmente tutte le componenti di una rete nonché apparecchi elettrici o elettronici, prodotti o componenti di hardware o software che contribuiscono al funzionamento di una rete di telecomunicazione (cfr. in merito anche le spiegazioni in merito all’art. 48a).

Cpv. 2

L’articolo 48c consente al Consiglio federale, in caso di bisogno, di agire per garantire gli interessi della Svizzera in un momento di incertezza geopolitica che ha un forte impatto sulle relazioni politiche ed economiche internazionali. Secondo il capoverso 2, il Consiglio federale deve tenere conto, nel valutare la situazione geopolitica, della si­ curezza interna ed esterna nonché della protezione della Svizzera come piazza lavo­ rativa, economica e finanziaria. Nel soppesare gli interessi, deve considerare le possi­ bili sanzioni (cfr. lett. a), le dipendenze economiche, tecnologiche e in materia di sicu­ rezza (cfr. lett. b) e la situazione di pericolo per la sicurezza globale, causata da attacchi informatici, atti di sabotaggio o altre attività di intelligence (cfr. lett. c). Si tratta di impe­ dire che la Svizzera possa subire pressioni politiche dovute a una potenziale dipen­ denza da fornitori di infrastrutture critiche74 o che sia a sua volta minacciata di sanzioni e embarghi qualora, visto l’uso di determinate infrastrutture, sia considerata come una falla in materia di sicurezza al centro dell’Europa (cfr. cpv. 2 lett. d). In tale contesto, il Consiglio federale potrebbe essere costretto a privilegiare importanti partner politici ed economici con i quali la Svizzera ha stretti legami e prendere decisioni in considera­ zione del suo sistema di valori basato sulla libertà e sullo Stato di diritto.

Il Consiglio federale deve basarsi sulle valutazioni geopolitiche che gli vengono pre­ sentate dalle autorità competenti e dai servizi specializzati della Confederazione. L’at­ tuazione dell’articolo 48c esige, a causa delle notevoli implicazioni in materia di politica estera e di sicurezza, una certa formalizzazione della coordinazione fra le autorità e i servizi specializzati in questione.

Cpv. 3

Oltre alle misure precauzionali relative all’acquisto (cfr. cpv. 1), il Consiglio federale può obbligare i fornitori di servizi di telecomunicazione a rimuovere dalle loro infrastrutture di telecomunicazione le componenti provenienti da fabbricanti problematici sul piano

72 Consiglio federale (2025a) 73 UE (2020) 74 Consiglio federale (2023a) 62/85

geopolitico. Una simile misura può avere ampie conseguenze per il funzionamento delle reti e la fornitura operativa dei servizi di telecomunicazione, come pure notevoli ripercussioni economiche e finanziarie per i fornitori in questione. Occorre pertanto farvi ricorso solo in mancanza di alternative. Vanno previste tempistiche di attuazione suffi­ cientemente lunghe che garantiscano la transizione operativa delle reti nonché dell’of­ ferta di servizi e che tengano conto del tempo necessario per l’ammortizzamento e il rinnovo tecnologico delle infrastrutture di telecomunicazione.

La procedura di divieto deve essere definita più precisamente dal Consiglio federale all’interno di un’ordinanza. Dev’essere strutturata in modo tale che i fornitori di servizi di telecomunicazione e produttori interessati dalla misura possano far valere il proprio diritto di essere ascoltati. Come illustrato al capoverso 2, le misure definite in tale di­ sposizione richiederebbero una formalizzazione del coordinamento fra le autorità e i servizi specializzati in questione. Qualora la garanzia della sorveglianza del traffico delle telecomunicazioni ai sensi della LSCPT fosse interessata da una misura di cui al capoverso 3, occorrerebbe consultare previamente anche il Servizio SCPT.

La legge federale del 13 dicembre 200275 sull’Assemblea federale (legge sul Parla­ mento, LParl) prevede regole particolari per ordinanze rilasciate dal Consiglio federale in virtù di una competenza legislativa per la gestione delle crisi. Tali basi giuridiche sono elencate nell’allegato 2 LParl. L’articolo 47 è già inglobato in tale allegato. È com­ pito del Parlamento decidere, nel corso delle deliberazioni relative al progetto di legge, se vada aggiunto il nuovo articolo 48c.

Art. 48d Trattamento dei dati e collaborazione

Cpv. 1

L’articolo 48d capoverso 1 LTC crea la base giuridica affinché l’UFCOM sia autorizzato a svolgere, nell’adempimento dei suoi compiti ai sensi degli articoli 48a e 48b LTC, pro­ filazioni e possa, in tal caso, elaborare determinati dati personali degni di particolare protezione. Tali compiti comprendono il riconoscimento, la valorizzazione, e la difesa dalle minacce informatiche nonché la protezione e la resilienza delle infrastruttura di telecomunicazione (cfr. art. 1 cpv. 2 lett. b e f in combinato disposto con art. 48a cpv. 2).

I dati personali degni di particolare protezione necessari a tale scopo sono strettamente circoscritti a dati identificativi biometrici (cfr. lett. a) e dati in merito a perseguimenti am­ ministrativi penali o sanzioni nel campo delle telecomunicazioni (cfr. lett. b). A seconda del caso, tali dati possono essere necessari al fine di identificare in maniera univoca autori di attacchi informatici o per elaborare profili di rischio. Questo tipo di elaborazione è ammesso unicamente qualora sia necessario a tutela delle infrastrutture di telecomu­ nicazione e dalle minacce informatiche.

La maggior parte delle analisi di minacce informatiche non si fondano tuttavia su dati personali, ma su informazioni tecniche senza riferimento a persone (ad es. dati tecnici sull’infrastruttura, caratteristiche dei malware o schemi di attacco tipici) o su dati relativi a persone giuridiche. Il trattamento di dati degni di particolare protezione rimane per­ tanto limitato ai casi eccezionali chiaramente definiti.

75 RS 171.10 63/85

Cpv. 2

L’articolo 48d capoverso 2 LTC consente all’UFCOM di trasmettere i dati acquisiti nell’ambito dei suoi compiti di cui agli articoli 48a e 48b LTC e risultati di profilazioni ad altre autorità competenti per la protezione dalle minacce informatiche nonché agli or­ ganismi privati e pubblici riconosciuti ai sensi dell’articolo 29 LTC. Tale trasmissione è consentita unicamente se l’organismo che ne beneficia dispone di una base giuridica in tal senso e i dati sono necessari per l’adempimento dei suoi compiti nel campo della sicurezza informatica. Si tratta di autorità che svolgono compiti anche nel campo della sicurezza informatica, come UFCS, fedpol o SEPOS.

La disposizione mira a garantire che lo scambio di dati rimanga chiaramente limitato allo scopo della protezione delle infrastrutture di telecomunicazione e alla difesa dalle minacce informatiche (cfr. art. 1 cpv. 2 lett. b e f, in combinato disposto con art. 48a e 48b) e che tale scambio possa essere richiesto solo da autorità che adempiono loro stesse un mandato giuridico di protezione dalle minacce informatiche o ai fini della si­ curezza o resilienza delle infrastrutture di telecomunicazione. È esclusa la fornitura di tali dati ad altre autorità o ad altri scopi. La disposizione crea così la base necessaria per la coordinazione fra l’UFCOM, altre autorità e enti specializzati nella sicurezza in­ formatica, nel rispetto delle condizioni quadro in materia di protezione dei dati. I dati personali e quelli degni di particolare protezione sono condivisi solo in casi eccezionali e a condizione che siano assolutamente indispensabili per la protezione dalle minacce informatiche e per garantire la resilienza e la sicurezza delle infrastrutture di telecomu­ nicazione. Uno scambio di dati personali degni di particolare protezione dovrebbe però avvenire soltanto in pochi casi eccezionali, poiché la maggior parte degli scambi di dati ai fini della protezione dalle minacce informatiche, come spiegato al capoverso 1, con­ cerne dati tecnici che non richiedono o consentono alcuna identificazione personale.

Grazie a una chiara destinazione d’uso e alla limitazione ai destinatari autorizzati, l’ar­ ticolo 48d capoverso 2 contribuisce a una cooperazione efficace e conforme alla legge nel campo della difesa dalle minacce informatiche.

Cpv. 3

Sul mercato, i fornitori di servizi di telecomunicazione sono in concorrenza fra loro, il che è sostanzialmente in linea con la LTC. Tuttavia, nella lotta contro le minacce infor­ matiche cooperazione e solidarietà devono essere prioritarie rispetto alla concorrenza. Il capoverso 3 consente pertanto ai fornitori di collaborare fra loro al fine di condividere informazioni, dati personali, inclusi dati personali degni di particolare protezione e risul­ tati di profilazioni, risorse nonché conoscenze specialistiche e garantire così, insieme, la definizione e valutazione di minacce, incidenti o pericoli in materia di sicurezza che potrebbero concernere le infrastrutture di telecomunicazione. Può trattarsi di scambi di conoscenze ed esperienze, dell’elaborazione comune di linee guida tecniche o delle cosiddette «best practice» e soprattutto la creazione di una banca dati comune. È così possibile trasmettere in maniera rapida ed efficace informazioni in merito a vulnerabilità e altri gravi incidenti di sicurezza di cui i fornitori sono a conoscenza.

Cpv. 4

L’analisi o la profilazione di minacce informatiche che possono mettere a repentaglio le infrastrutture di telecomunicazione (cfr. art. 48a e 48b), nonché i risultati di profila­ zioni dei relativi autori di attacchi informatici sono assolutamente fondamentali al fine di garantire la gestione corretta delle risorse di telecomunicazione e dello spettro 64/85

delle frequenze contro attacchi informatici e proteggere tali infrastrutture (cfr. art. 1 cpv. 2 lett b e f nonché art. 48a cpv. 2).

È tuttavia particolarmente difficile determinare in anticipo quali dati sono necessari per una profilazione e in particolare quali forme di profilazione sono o possono essere utili in futuro. Ciò dipende dalla costante e rapida evoluzione degli attacchi informatici, delle tecnologie, delle infrastrutture di telecomunicazione e delle modalità di azione dei cri­ minali del web.

In tale contesto, l’articolo 48d capoverso 4 prevede che il Consiglio federale, all’occor­ renza, possa disciplinare ai sensi dell’articolo 34 capoverso 3 LPD le modalità di ela­ borazione di dati personali sensibili e delle profilazioni. Si tratta di elaborazioni indi­ spensabili per l’adempimento di un compito previsto dalla legge (cfr. art. 34 cpv. 3 lett. a LPD), e il loro scopo – ossia la protezione delle infrastrutture e risorse ‑di telecomuni­ cazione – non rappresenta in sè un rischio particolare per i diritti fondamentali dell’utente (cfr. art. 34 cpv. 3 lett. b LPD)

Art. 52 Contravvenzioni

Cpv. 1

Lett. g

Analogamente all’articolo 32a capoverso 1, nel testo viene aggiunta la nozione di «im­ pianti» (v. a tale proposito le spiegazioni in merito all’art. 32a). Inoltre, nel testo tedesco e italiano è stato corretto un errore di traduzione: invece di «impianti di telecomunica­ zione» ci dovrebbe infatti essere «impianti di radiocomunicazione». Questa disposi­ zione penale copre tutte le fattispecie penali nel contesto dei disturbatori di frequenze.

Lett. h

Occorre integrare la disposizione penale relativa al divieto amministrativo ai sensi dell’articolo 32a capoverso 2 lettera a: va punito il fatto di rendere inutilizzabili impianti di telecomunicazione o impianti a corrente forte e debole mediante onde elettromagne­ tiche (cfr. spiegazioni relative all’art. 32a cpv. 2 lett. a).

Lett. i

Occorre inoltre inserire una disposizione penale relativa al divieto amministrativo ai sensi dell’articolo 32a capoverso 2 lettera b: gli impianti conformi possono essere con­ figurati in modo tale da ostacolare, ovvero impedire temporaneamente o interrompere, la comunicazione di un impianto dello stesso tipo (cfr. spiegazioni relative all’art. 32a cpv. 2 lett. b). Questa disposizione si applica unicamente agli impianti di telecomunica­ zione conformi. Al contrario, l’uso di disturbatori di frequenze contro comunicazioni in­ desiderate durante eventi culturali non rientra nel campo di applicazione di detta dispo­ sizione.

Lett. j

Va inoltre inserita una disposizione penale relativa al divieto amministrativo ai sensi dell’articolo 34 capoverso 1: la realizzazione e la gestione di impianti di telecomunica­

65/85

zione con l’obiettivo di disturbare o impedire il traffico delle telecomunicazioni o la ra­ diodiffusione devono essere penalmente perseguibili. Non rientra nel campo d’applica­ zione della disposizione ad esempio l’uso di disturbatori di frequenze.

Capitolo 11: Strumenti di vigilanza e sanzioni amministrative

Nel capitolo 11 occorre adeguare il titolo affinché possa coprire in modo mirato le di­ sposizioni materiali.

Art. 59 Obbligo d’informazione

Cpv. 2

L’espressione «statistica ufficiale sulle telecomunicazioni» è sostituita dall’espressione «statistica della Confederazione sulle telecomunicazioni» allo scopo di utilizzare una terminologia in linea con quella della legge del 9 ottobre 1992 sulla statistica federale76 (LStat).

Cpv. 2bis

I dati raccolti o trasmessi ai fini della compilazione di statistiche non possono essere utilizzati per scopi diversi da quelli descritti nella LTC. La lista delle eccezioni all’arti­ colo 59 capoverso 2bis è pertanto stata completata con una nuova lettera e, affinché tali dati possano essere usati per aggiornare la lista delle persone registrate ai sensi dell’ar­ ticolo 4. Per tenere una lista aggiornata delle persone registrate, le informazioni pura­ mente amministrative ottenute tramite le rilevazioni statistiche devono poter essere uti­ lizzate per effettuare aggiornamenti. Ad esempio, nel caso in cui siano cambiati la per­ sona di riferimento per le statistiche o l’indirizzo dell’azienda. Si tratta esclusivamente di dati amministrativi che servono alla compilazione della lista di cui all’articolo 4 e in nessun caso di altri dati ottenuti nell’ambito di analisi statistiche e soggetti al segreto statistico.

Art. 59a Atlante nazionale della banda larga

Da diversi anni l’UFCOM raccoglie varie informazioni sulla copertura a banda larga ad alta velocità in Svizzera e le pubblica sotto forma di mappe nell’Atlante nazionale della banda larga. Affinché questo strumento, indispensabile per un monitoraggio sistema­ tico e accurato, possa essere sviluppato su basi complete e a lungo termine, in futuro dovranno esserci chiare basi legali relative alla creazione, alla gestione e alla pubbli­ cazione dell’Atlante. Il nuovo articolo serve a tale scopo.

Cpv. 1

Il capoverso 1 definisce in maniera univoca chi sottostà all’obbligo di comunicazione e determina al contempo il tipo di informazioni da trasmettere. I proprietari di linee di telecomunicazione fisiche volte a collegare edifici devono fornire regolarmente all’UFCOM tutte le informazioni necessarie alla creazione di un Atlante nazionale della banda larga, indipendentemente dal fatto che offrano servizi di telecomunicazione o meno.

76 RS 431.01 66/85

Cpv. 2

I dati rilevati in base al nuovo articolo 59a servono in particolare a creare e gestire un Atlante nazionale della banda larga.

Cpv. 3

Per attuare il progetto di legge federale sul sostegno all’ampliamento delle infrastrutture a banda larga (legge sul sostegno alla banda larga, LSBL)77 occorrono informazioni aggiuntive sull’ampliamento della rete nel settore della copertura Internet in Svizzera. Affinché sia visibile quali aree geografiche o edifici possono, a determinate condizioni, ricevere mezzi di sostegno, è importante creare una panoramica e indicare su una mappa quegli edifici che non hanno alcuna infrastruttura per un accesso a Internet con una larghezza di banda di almeno 1 Gbit/s in download e per le quali nei prossimi tre anni non è inoltre previsto alcun progetto di ampliamento in tal senso. Solo sulla base di dati dettagliati, disponibili in forma non aggregata, le autorità locali sono in grado di decidere se sia opportuno per loro condurre indagini approfondite e, a seconda dei risultati, avviare una procedura di gara. Pertanto, l’UFCOM dovrebbe poter pubblicare in forma non aggregata i dati che ritiene utili per ottenere un quadro il più preciso pos­ sibile dello sviluppo della rete. Nell’interesse a lungo termine dei consumatori, tale com­ petenza dovrebbe essere mantenuta anche dopo il raggiungimento degli obiettivi della LSBL.

Cpv. 4

Il Consiglio federale stabilisce quali informazioni, in quale forma, e a quale cadenza temporale, devono essere fornite.

4.2 Modifiche alla LTC proposte tramite la legge federale sul sostegno all’am­

pliamento delle infrastrutture a banda larga (LSBL) L’avamprogetto della LSBL78 posto in consultazione il 14 marzo 2025 contiene tre nuove disposizioni che dovrebbero essere integrate nella LTC. Si tratta dell’articolo 4a (obbligo di annuncio), dell’articolo 39a (utilizzo delle tasse di concessione) e dell’arti­ colo 59a (obbligo di comunicazione ai fini di un atlante nazionale della banda larga).

La LSBL mira a garantire una copertura capillare degli alloggi e delle attività commer­ ciali con collegamenti alla rete fissa in grado di assicurare velocità di trasmissione di almeno 1 Gbit/s in download, per cui, a determinate condizioni, è possibile ricorrere a finanziamenti pubblici. In questo contesto, un contributo finanziario per il potenzia­ mento delle infrastrutture passive volte a migliorare la copertura dovrebbe essere con­ cesso esclusivamente in quelle zone in cui la domanda di tali servizi non può essere soddisfatta dall’attuale rete di accesso e il cui potenziamento non è previsto entro un lasso di tempo ragionevole a causa della mancanza di redditività.

77 Cfr. https://fedlex.data.admin.ch/eli/dl/proj/2025/4/cons_1. 78 Cfr https://fedlex.data.admin.ch/eli/dl/proj/2025/4/cons_1. 67/85

Per individuare gli ambiti in cui è necessario intervenire, occorre innanzitutto identifi­ care tutti gli edifici che soddisfano determinati requisiti79 e i cui residenti non dispon­ gono, né attualmente né nei prossimi tre anni, di una connessione Internet con una velocità di download di 1 Gbit/s. Analogamente a quanto avviene negli Stati membri dell’UE, questi edifici vengono riportati sulle mappe, il che consente una rappresenta­ zione dettagliata ed efficiente. Queste informazioni forniscono una panoramica di mas­ sima e consentono alle autorità locali di valutare se valga la pena o meno condurre ulteriori indagini ai fini della designazione di una potenziale zona ammissibile al soste­ gno.

Con l’Atlante della banda larga, a livello federale esiste già uno strumento di mappatura di questo tipo, poiché l’UFCOM raccoglie i dati forniti volontariamente dalle aziende e pubblica due volte all’anno delle mappe che illustrano lo stato di avanzamento dell’am­ pliamento della banda larga.80 Tale atlante va completato e ulteriormente sviluppato in particolare introducendo un obbligo di fornitura di dati per tutti i proprietari di infrastrut­ ture di telecomunicazione per l’allacciamento di edifici, affinché l’attuazione della stra­ tegia di promozione dell’ampliamento della banda larga abbia successo. Le previste modifiche migliorano notevolmente le conoscenze relative alla situazione effettiva in Svizzera e il relativo monitoraggio. Ciò non è utile solo nell’ambito dell’attuazione della strategia, ma anche a lungo termine, quando il programma sarà concluso. Grazie al nuovo articolo 4a e 59a, l’Atlante dovrebbe così fornire dati attuali, significativi e ancor più precisi, essenziali per informare la popolazione e l’economia e che consentono alle autorità di valutare l’efficacia delle misure pubbliche attuate.

Inoltre, la destinazione vincolata delle tasse di concessione proposta nell’ambito della legge sul sostegno alla banda larga (cfr. art. 7 AP-LSBL) dev’essere allineata all’uso odierno delle tasse di concessione per il finanziamento di misure d’accompagnamento in relazione alle tecnologie basate sulla radiocomunicazione (cfr. art. 39a).

I commenti relativi a tali disposizioni si trovano nelle spiegazioni dei relativi articoli.

4.3 Modifica di un altro atto normativo: legge federale concernente gli impianti

elettrici a corrente forte e a corrente debole (legge sugli impianti elettrici, LIE) L’UFCOM è responsabile della sorveglianza del mercato nel settore degli apparecchi elettrici in senso lato, ossia degli apparecchi e degli impianti fissi, per quanto riguarda gli aspetti della compatibilità elettromagnetica (CEM). Poiché la base giuridica che di­ sciplina la CEM è molto vaga, andrebbe colta l’occasione per inserire nella legge una norma chiara in materia di delega. È inoltre possibile aggiornare diverse disposizioni di tale legge (cfr. art. 3, 21 e ora anche 26b LIE). L’articolo 3 capoverso 2 lettera d LIE deve quindi essere ampliato, con l’aggiunta dei nuovi capoversi 2bis e 2ter, per conferire al Consiglio federale la competenza di disciplinare gli elementi fondamentali dei requi­ siti relativi alla CEM (analogamente all’art. 31 LTC). Inoltre, non si tratta solo di proteg­ gere il traffico delle telecomunicazioni, ma anche quello di alcuni impianti a corrente forte e a corrente debole, da interferenze elettromagnetiche. La ripartizione delle com­ petenze è anche definita chiaramente agli articoli 21 capoverso 2 e 22 LIE. Questa ripartizione corrisponde alla situazione attuale, poiché l’UFCOM è già oggi responsa­ bile dell’applicazione delle disposizioni legislative in materia di CEM. Inoltre, all’UFCOM

79 Affinché i fondi siano impiegati nel modo più mirato possibile, è opportuno escludere dal totale degli edifici registrati in Svizzera tutti gli edifici non riscaldati in modo permanente o considerati annessi, ad esempio garage, serbatoi, silos o magazzini. 80 UFCOM (2025a) 68/85

sono attribuiti le stesse competenze e diritti, in caso di interferenze, di cui all’articolo 34 capoverso 2 e 34a capoverso 1, 1° periodo nella versione della proposta in oggetto.

5 Ripercussioni

5.1 Ripercussioni per la Confederazione

Nel settore della sicurezza, per la Confederazione non si prevedono costi aggiuntivi in termini di personale o finanze. L'introduzione degli articoli 6a e 6 b consente alle auto­ rità di bloccare più rapidamente i numeri e i nomi di dominio. Considerato il numero crescente di presunti reati commessi tramite numeri di telefono e nomi di dominio, que­ sta aggiunta rappresenta un miglioramento dell'efficienza amministrativa.

Anche le misure a sostegno dello sviluppo delle infrastrutture non comportano alcun onere supplementare in termini di personale o di risorse finanziarie.

La possibilità di registrazione ampliata per i fornitori che offrono infrastrutture o servizi di telecomunicazione ai sensi dell'articolo 4 rappresenta invece un onere trascurabile, dato il numero esiguo di nuove imprese da registrare e l'introduzione della procedura semplificata81.

5.2 Ripercussioni per i Cantoni e i Comuni, per le città, gli agglomerati e le re­ gioni di montagna Vi sono ripercussioni importanti soltanto sul piano della sicurezza, soprattutto a livello della comunicazione d'emergenza. Indirettamente, gli articoli 20- 20e disciplinano le centrali dei servizi di emergenza, gestite per lo più a livello cantonale. Esse sono parte del sistema della comunicazione d'emergenza e sarebbero quindi particolarmente coin­ volte nell'attuazione dei compiti sistemici. A causa del passaggio ai più recenti standard della comunicazione d’emergenza 112, (next generation 112, NG112)82 già avvenuto per il servizio di localizzazione e all'introduzione nell'OST, prevista dal Consiglio fede­ rale83, del testo in tempo reale basato sul protocollo SIP (RTT), si può in parte ipotizzare che si tratti di costi inevitabili. Tuttavia, l'allacciamento alla rete di telecomunicazione può comportare costi aggiuntivi, ad esempio nel caso in cui le centrali non siano già collegate tramite più fornitori di servizi di telecomunicazione84 o qualora la configura­ zione dettagliata di cui all'articolo 20a capoverso 1 lettera a, ancora da definire, im­ ponga nuovi requisiti quanto al collegamento delle centrali. Al contempo le autorità e organizzazioni cantonali e comunali attive nel campo del salvataggio e della sicurezza (AOSS) beneficeranno di una comunicazione d'emergenza più resiliente.

5.3 Ripercussioni sull’economia

5.3.1 Sicurezza

Aggiunte agli articoli 6a e 46a, nuovo articolo 6b

In base alle disposizioni relative alla protezione dei consumatori proposte, secondo gli articoli 6a e 6b i fornitori di servizi di telefonia e i gestori dei registri di dominio devono bloccare un numero di telefono, un accesso a Internet o un nome di dominio se questo

81 Le conseguenze dell'obbligo di registrazione ai sensi dell'articolo 4a LTC sono riportate nella documentazione relativa alla LSBL: https://fedlex.data.admin.ch/eli/dl/proj/2025/4/cons_1. 82 Swisscom (2025b) 83 Consiglio federale (2025b) 84 Cfr. misura M3 nel modello di riferimento per il sistema di chiamata d'emergenza: DATEC e CDDGP (2022). 69/85

viene utilizzato in modo improprio. Per le imprese non sorgono costi aggiuntivi legati alla regolamentazione, poiché questi blocchi vengono talvolta già effettuati oggigiorno.

Le informazioni relative alle possibilità nel campo della tutela dei giovani di cui all'arti­ colo 46a comprendono la consulenza nei negozi, online o telefonica. Principalmente vi è da attendersi un dispendio aggiuntivo una tantum per i fornitori di accessi Internet (preparazione di formazioni online / strumenti di ricerca, app, ecc.). Una stima per il settore (fornitori di accesso a Internet) prevede costi totali una tantum compresi tra 120 000 e 240 000 franchi. A seconda della domanda da parte dei genitori o tutori legali si prevedono costi annui ricorrenti (consulenza, formazione online) da 80 000 a 650 000 franchi. Ciò riguarda circa 150 fornitori di servizi Internet85. Se non si trova una soluzione settoriale, i costi saranno più elevati. Inoltre, si è esaminato se si possa sgra­ vare le imprese abrogando regolamentazioni nello stesso ambito. A livello della prote­ zione dei bambini e degli adolescenti dalla pornografia, non è possibile rinunciare ad alcun passaggio della regolamentazione esistente.

Adattamento dell'articolo 20 nonché nuovi articoli 20a - 20e

Le reti di telecomunicazione sono infrastrutture critiche. Nel quadro della strategia na­ zionale del Consiglio federale86 per la protezione delle infrastrutture critiche, le teleco­ municazioni sono considerate un sottosettore ad altissima criticità, soprattutto perché altre infrastrutture critiche dipendono fortemente dai servizi di telecomunicazione87.

Nell'ambito delle telecomunicazioni al servizio della popolazione e dell'economia, la comunicazione d'emergenza svolge un ruolo centrale. Secondo l'UFCOM88, nel 2023 in Svizzera sono state effettuate circa 3,9 milioni di chiamate d'emergenza, in partico­ lare per allertare i pompieri, i servizi di salvataggio in caso di emergenze mediche e la polizia in caso di minacce all'ordine pubblico e alla sicurezza. Questa possibilità di al­ larme è importante per proteggere la vita, l'integrità fisica e la proprietà, sia in una si­ tuazione ordinaria che in periodo di crisi89.

Grazie alle presenti misure volte ad accrescere la resilienza e la disponibilità della co­ municazione d'emergenza è possibile evitare costi dovuti a guasti. In condizioni nor­ mali, a seconda delle premesse e del tipo di intervento, ogni minuto risparmiato vale per le AOSS diverse migliaia di franchi90. Inoltre, le stime quantitative relative ai costi delle interruzioni dell'approvvigionamento elettrico (blackout regionali o situazioni di ca­ renza di energia elettrica a livello nazionale secondo l'Ufficio federale della protezione della popolazione, UFPP)91, dimostrano che il mantenimento di diversi servizi di tele­ comunicazione (chiamate d'emergenza, chiamate vocali, Internet limitato, radio/TV) può corrispondere a un risparmio di costi pari a circa 16 miliardi di franchi. Il 30 per cento dei costi è destinato esclusivamente a garantire le chiamate d'emergenza92.

Dal punto di vista dei costi, sono rilevanti in primo luogo i costi di regolamentazione per le imprese. Secondo il capoverso 4, le misure di cui all'articolo 20e devono ancora 85 Cifre del 2023 secondo UFCOM (2025b) 86 Consiglio federale (2023c) 87 UFPP (2024) e UST (2023) 88 UFCOM (2025c) 89 ETC (2022) 90 Cfr. ad es. Jaldell, Henrik (2017) nonché Weinholt, Åsa / Andersson Granberg, Tobias (2015) 91 UFPP (2020) 92 AWK/INFRAS (2022) 70/85

essere concretizzate. Per contro, i costi di regolamentazione derivanti dalle modifiche all'articolo 20 nonché dal nuovo articolo 20a sono stati stimati in modo approssimativo sulla base di un sondaggio condotto dall'UFCOM93. Di seguito vengono descritti più dettagliatamente i singoli costi per ogni misura (v. cap. 1.2.1):

- Il mandato previsto secondo l'articolo 20a per la gestione di una ESInet94 avrebbe come conseguenza, per i circa 100 fornitori del servizio telefonico pubblico95, costi una tantum pari complessivamente a circa 47,2 milioni di franchi96. Nel caso di un sistema completamente ridondante, tali costi potrebbero aumentare fino a circa 94,4 milioni di franchi. I costi sono dovuti in gran parte ai nuovi sistemi informatici, al collegamento delle centrali dei servizi d'emergenza e all'interconnessione con altri fornitori di servizi di telecomunicazione (configurazione, integrazione ecc.). Una parte minore, ma co­ munque significativa dei costi, è riconducibile agli adeguamenti dei processi, alle pro­ cedure di test e alla formazione del personale. Inoltre, si generano costi ricorrenti pari a circa 8,7 milioni di franchi l'anno. Nel caso di un sistema completamente ridondante, tali costi potrebbero aumentare fino a circa 17,4 milioni di franchi. I costi sono legati in particolare ai sistemi informatici (diritti di licenza ricorrenti, servizi di centri di calcolo o ammortamenti e investimenti sostitutivi), nonché al personale e alle procedure di mo­ nitoraggio/test.

- La gestione di un organismo di coordinamento centrale per i problemi acuti legati alla comunicazione d'emergenza previsto in base all'articolo 20a potrebbe comportare costi una tantum pari a 4,2 milioni di franchi e costi annuali ricorrenti per il personale pari a circa 1,1 milioni di franchi. I costi sarebbero legati in particolare al collegamento ai centri operativi esistenti, all'analisi dei dati e al personale necessario al coordinamento.

- La raccolta dei dati prevista dall'articolo 20a da parte del gestore di ESInet potrebbe comportare costi una tantum pari a circa 0,5 milioni di franchi e costi annuali ricorrenti pari a 0,7 milioni di franchi. I costi dovrebbero riguardare in particolare i software per la raccolta e l'analisi dei dati.

- I costi di gestione della piattaforma di test e d'integrazione, previsti dall'articolo 20a, non sono stati stimati quantitativamente, in quanto questa misura è stata inserita solo al termine del sondaggio. Si prevedono costi inferiori a 10 milioni che secondo l'articolo 20c, dovrebbero essere a carico degli utenti di questa piattaforma.

- L'introduzione di una soluzione di ripiego minima prevista dall'articolo 20, conforme­ mente al modello di riferimento per le chiamate d'emergenza del DATEC e della

93 UFCOM (2025d) 94 In base allo standard ETSI (2023), anche se probabilmente non verrà istituita una rete completamente autonoma. Con una rete di questo tipo, i costi potrebbero aumentare di ben 10 volte. Inoltre, contrariamente a questo standard, in Sviz­ zera il server contenente le informazioni relative all'identificazione della posizione (Location Information Server, LIS) è gestito a livello centrale dal concessionario del servizio universale. I costi relativi al LIS sono considerati costi inevitabili. I costi relativi ad alcuni allacciamenti di fornitori e a singoli elementi della rete non sono attualmente quantificabili e per­ tanto non sono inclusi. Infine, è probabile che la norma citata sarà sostituita da una nuova versione al momento dell'attri­ buzione del mandato. La nuova norma potrebbe includere elementi aggiuntivi e comportare costi supplementari durante l'implementazione. 95 Cfr. UFCOM (2025b). Secondo l'articolo 20a capoverso 5, i costi dei compiti sistemici dovrebbero essere ripartiti propor­ zionalmente tra i fornitori dei servizi di chiamata d'emergenza in base al numero di comunicazioni previste. 96 Qui e di seguito si tratta di stime approssimative, dipendenti da diverse ipotesi e requisiti ancora da definire. L'incertezza relativa ai valori (medi) stimati è elevata anche a causa della grande complessità, del basso tasso di risposta al sondag­ gio e dell'ampia variabilità delle risposte. I valori possono servire solo come orientamento approssimativo.

71/85

CDDGP97, interesserebbe anch'essa i circa 100 fornitori di servizi di telefonia e po­ trebbe comportare costi una tantum pari a 32,5 milioni di franchi e costi ricorrenti annui per un totale di circa 4,9 milioni di franchi. Ogni fornitore dovrebbe sostenere in parti­ colare i costi del software per il collegamento con i rispettivi partner delle centrali dei servizi d'emergenza.

Al momento non si delineano opportunità per sgravare le aziende in altre aree legate alla comunicazione d'emergenza. La normativa vigente si basa in gran parte su stan­ dard internazionali. Deve funzionare anche per i turisti e i viaggiatori d'affari internazio­ nali che utilizzano dispositivi e provider stranieri.

Integrazione degli articoli 32a, 32b, 34 e 34a e 52 e degli articoli 3, 21, 22 e 26b LIE

L'obbligo imposto ai fornitori, proprietari ed esercenti di impianti di telecomunicazione destinati alla fornitura di servizi di telecomunicazione, ai sensi dell'articolo 34 capo­ verso 1, di mettere a disposizione tutte le informazioni tecniche rilevanti relative all'im­ pianto in questione consentirà di individuare in modo più mirato, e quindi di eliminare, i disturbi sporadici ricorrenti (soprattutto causati da antenne adattive) segnalati all'UFCOM dai fornitori, proprietari ed esercenti di impianti di telecomunicazione desti­ nati alla fornitura di servizi di telecomunicazione. Vi è da attendersi che ciò comporti alcuni costi per i fornitori, proprietari ed esercenti di impianti di telecomunicazione de­ stinati alla fornitura di servizi di telecomunicazione. Tuttavia, tali costi dovrebbero rima­ nere entro limiti ragionevoli, poiché i dati tecnici rilevanti richiesti dovrebbero essere già disponibili. Inoltre, tale obbligo va anche a diretto vantaggio dei fornitori, proprietari ed esercenti di impianti di telecomunicazione destinati alla fornitura di servizi di telecomu­ nicazione. Non si può escludere che siano loro stessi responsabili dei disturbi.

L'aggiunta dell'articolo 52 capoverso 1 lettera j consente di aumentare l'efficacia della sorveglianza del mercato. Viene reintrodotta la possibilità di applicare sanzioni in caso di interferenze causate da impianti e dispositivi di telecomunicazione diversi da quelli destinati a tale scopo.

Aggiunta all'articolo 48a e nuovi articoli 48b e 48c

La maggior parte delle misure previste nell'ambito della sicurezza e della resilienza delle infrastrutture di telecomunicazione riguardano i tre principali fornitori di servizi di telecomunicazione (Swisscom, Sunrise e Salt). Il requisito relativo alla strategia multi- fornitore dovrebbe rappresentare la misura più costosa: in alcuni casi si tratterebbe di ridurre la dipendenza da un singolo produttore, ma non è possibile quantificarne i costi. Sarà determinante il costo che comporterà il cambio di produttore o il passaggio ad almeno due produttori. Anche il vantaggio che ne deriva non può essere quantificato con un dispendio ragionevole. I fornitori modernizzano e mettono in sicurezza le loro reti nel proprio interesse e a proprie spese, per cui è prevedibile che vi sarà una quota considerevole di costi inevitabili. Esistono inoltre diversi requisiti di sicurezza a livello internazionale (ad es. «pacchetto di strumenti per la sicurezza del 5G» dell'UE 98). Di conseguenza, dovrebbe esserci accettazione da parte del settore.

Le altre misure sono di minore importanza e potrebbero interessare alcune centinaia di fornitori di servizi di telecomunicazione in Svizzera. La maggior parte di questi forni­ tori soddisfa già i requisiti operativi e di sicurezza, per loro le conseguenze economiche

97 DATEC e CDDGP (2022) 98 UE (2020) 72/85

e finanziarie dovrebbero dunque essere limitate. D'altra parte, la sicurezza delle infra­ strutture di telecomunicazione rappresenta un importante vantaggio competitivo per la Svizzera come piazza economica.

Al momento è difficile valutare gli effetti a lungo termine sulla produttività, ma dovreb­ bero essere tendenzialmente positivi, poiché le misure rafforzano in generale la sicu­ rezza operativa e consentono quindi di evitare i costi causati dai guasti.

I costi aggiuntivi derivanti dalle misure adottate saranno molto probabilmente trasferiti sui consumatori.

L'introduzione di misure volte a garantire la sicurezza delle infrastrutture di telecomu­ nicazione potrebbe rafforzare l'innovazione nel settore della sicurezza e della resilienza da parte delle aziende svizzere interessate e promuovere la digitalizzazione.

Le misure devono essere concepite in modo da non influire sulla concorrenza, pertanto non si prevedono ripercussioni su quest'ultimo aspetto in Svizzera.

5.3.2 Potenziamento delle infrastrutture

Per quanto riguarda le prescrizioni tecniche relative al cablaggio interno degli edifici di cui all'articolo 35b, si presume che l'utilità sia relativamente modesta e non quantifica­ bile. Gli operatori di rete che desiderano utilizzare i cavi esistenti all'interno degli edifici trovano così condizioni uguali, il che può comportare minori costi di coordinamento e una maggiore efficienza nell'installazione. Inoltre, è possibile garantire l'accessibilità a terzi ed evitare una duplicazione inefficiente del cablaggio interno all'edificio. In gene­ rale, data la redditività discutibile99, non è prevedibile che un numero molto elevato di edifici venga collegato da più fornitori di servizi di telecomunicazione con infrastrutture proprie. L'UFCOM stima che attualmente il 4 per cento degli edifici sia collegato in pa­ rallelo alla rete in fibra ottica100. Allo stesso tempo, come illustrato al capitolo 1.2.2, il sondaggio101 condotto su circa 200 titolari di numeri di operatore FTTH ha rivelato che circa un quarto di queste aziende ha già fatto uso del diritto previsto dall'articolo 35a di installare collegamenti ulteriori rispetto a quelli già esistenti. Nel sondaggio sono stati inoltre segnalati problemi tecnici relativi all'allacciamento di condomini da parte di di­ versi gestori di rete.

Dal punto di vista finanziario, grazie all'orientamento alle direttive tecniche esistenti elaborate da un gruppo di lavoro settoriale dell'UFCOM102, si tratterà per lo più di costi inevitabili. Un possibile ampliamento nell'area della cassetta di allacciamento dome­ stico103 potrebbe comportare in futuro alcuni costi aggiuntivi. Tra le ipotesi (approssi­ mative) secondo cui in Svizzera vi siano ancora 1 milione di edifici da collegare alla fibra ottica104, nel 5 per cento dei casi sia necessaria una cassetta di allacciamento domestico più grande e quindi un costo aggiuntivo di 100 franchi e in futuro gli edifici

99 Cfr. ad es. WIK (2019) 100 UFCOM (2024c) 101 UFCOM (2024a e b) 102 UFCOM (2012) 103 In un edificio, la cassetta di allacciamento va collocata in modo tale da garantire spazio sufficiente per la cassetta di un'altra azienda. Se ciò non fosse possibile, occorre installare una cassetta sufficientemente grande e adatta a un even­ tuale uso condiviso. 104 Stima basata sui dati dell'Atlante della banda larga, Stato: ottobre 2024: UFCOM (2025a). 73/85

saranno collegati alla fibra ottica in proporzione alla loro quota attuale nel parco immo­ biliare (escluse le case unifamiliari105), potrebbero sorgere costi di investimento una tantum fino a circa cinque milioni di franchi. Si tratta di una cifra modesta rispetto al costo totale degli investimenti per i futuri collegamenti in fibra ottica, che secondo il Wissenschaftlichen Institut für Infrastruktur und Kommunikationsdienste (WIK)106 è dell'ordine dei miliardi.

Al momento non è previsto alcun alleggerimento attraverso l'abolizione di regolamen­ tazioni nel settore delle infrastrutture passive. Una statistica di Swisscom107 relativa alla disaggregazione e all'interconnessione mostra che l'unico prodotto finalizzato all'ac­ cesso in questo settore (canalizzazioni dei cavi) registra una domanda in costante cre­ scita.

5.3.3 Basi di dati

Se l'UFCOM dovesse decidere di registrare altri fornitori di servizi di telecomunicazione per adempiere ai suoi compiti di esecuzione e di valutazione, si stima che il numero di fornitori interessati sarebbe di circa 50. Questo valore può essere considerato trascu­ rabile, tanto più che è inferiore alla fluttuazione annuale osservata nelle statistiche dell'UFCOM. Ogni anno, circa 80 nuovi fornitori di servizi di telecomunicazione entrano nel mercato e altrettanti scompaiono. Con la procedura semplificata introdotta per la registrazione, si stima che l'identificazione di un'azienda non dovrebbe richiedere più di mezz'ora, il che significa costi minimi per le aziende.108 I costi una tantum per i forni­ tori di servizi di telecomunicazione dovrebbero ammontare a circa 3000 franchi.

In una seconda fase, questo numero limitato di aziende dovrebbe anche compilare il questionario annuale sulle statistiche delle telecomunicazioni, che comprende diverse sezioni tematiche per le varie attività svolte sul mercato. Poiché finora le piccole im­ prese non sono state generalmente incluse, si può presumere che occorra poco tempo per la fornitura dei dati, destinato a diminuire ancora con l'introduzione di processi ade­ guati. Infine, va sottolineato che a queste aziende non viene imposto alcun nuovo ob­ bligo, ma semplicemente prima avevano potuto evitare alcuni compiti perché non erano state identificate. Inoltre, i fornitori di servizi di telecomunicazione generalmente ap­ prezzano la visibilità che deriva dalla registrazione. Per quanto riguarda le conse­ guenze per i consumatori, qualsiasi miglioramento della conoscenza dell'intero mercato delle telecomunicazioni da parte delle autorità statali avrà un impatto positivo su di loro, sia nell'ambito della regolamentazione che della sicurezza.

5.4 Ripercussioni sulla società

Per quanto riguarda gli aspetti relativi alla sicurezza e alla migliore protezione dei con­ sumatori, grazie alla possibilità offerta dall'articolo 6b di bloccare più rapidamente i nu­ meri di telefono e i nomi di dominio, si prevede una diminuzione dei casi di frode. Lo stesso vale in linea di principio per l'articolo 6a.

Grazie all'integrazione dell'articolo 46a (consulenza sulla protezione dei bambini e degli adolescenti dai contenuti pornografici), i genitori e i tutori legali potranno proteggere meglio di oggi i bambini e gli adolescenti dai contenuti dannosi presenti su Internet.

105 UST (2024) 106 WIK (2017) 107 Swisscom (2024) 108 Inoltre, secondo il nuovo articolo 4 a previsto nel progetto della LSBL la maggior parte dei proprietari di infrastrutture è già obbligata ad annunciarsi all'UFCOM. 74/85

L'efficacia dell'aggiunta all'articolo 46a dipende tuttavia dalla disponibilità dei genitori o dei tutori legali a richiedere una consulenza e a utilizzare successivamente le app o gli strumenti del caso.

Con l'adeguamento dell'articolo 34 capoverso 1 è possibile identificare meglio le emis­ sioni che causano interferenze.

L'introduzione delle diverse misure di sicurezza previste dagli articoli 48a - 48d miglio­ rerà la protezione della popolazione svizzera dagli attacchi informatici perpetrati tramite servizi di telecomunicazione e la resilienza delle infrastrutture di telecomunicazione. Se necessario, il Consiglio federale potrà adottare misure volte a garantire questi due obiettivi.

5.5 Altre ripercussioni

Non si prevedono ripercussioni sull’ambiente o di altro tipo.

75/85

6 Aspetti giuridici

6.1 Costituzionalità

La revisione proposta si basa in particolare sull'articolo 92 capoverso 1 della Costitu­ zione federale, secondo il quale le telecomunicazioni sono di competenza della Confe­ derazione.

Il significato del termine «telecomunicazioni» è definito dallo stato della tecnica, te­ nendo conto degli sviluppi economici e sociali. L'evoluzione dimostra quindi che le au­ torità federali sono sempre state disposte a includere nel settore delle telecomunica­ zioni i nuovi mezzi tecnici di trasmissione delle informazioni (come già avveniva in pas­ sato ai sensi dell'articolo 36a Cost.). L'articolo 92 capoverso 1 Cost. comprende quindi le forme di trasmissione di informazioni tramite tecniche di telecomunicazione note se­ condo lo stato attuale della tecnica e l'offerta sul mercato, nonché gli aspetti relativi alle tecniche di telecomunicazione legate a Internet. La competenza normativa si riferisce esclusivamente alle operazioni tecniche di telecomunicazione relative alla comunica­ zione, ma non alla regolamentazione dei contenuti della stessa109.

L'organizzazione delle telecomunicazioni è di competenza del legislatore e comprende tutti i settori necessari al funzionamento dell'infrastruttura per l'intero settore delle tele­ comunicazioni110. Il legislatore ha quindi disciplinato nella LTC non solo l'offerta di ser­ vizi di telecomunicazione e l'organizzazione del mercato delle telecomunicazioni, ma ha anche emanato numerose disposizioni relative alle risorse (frequenze, elementi di indirizzo, dati elenco), alle infrastrutture (impianti, canalizzazioni per cavi, reti) e ai ser­ vizi a valore aggiunto.

Le misure di protezione per la resilienza delle infrastrutture di telecomunicazione pre­ viste nell'ambito della revisione in oggetto si basano in gran parte sull'articolo 92 della Costituzione federale, ma hanno anche lo scopo di contribuire all'indipendenza della Svizzera e quindi di tutelare la sicurezza interna. La revisione in oggetto si basa quindi anche sull'articolo 173 capoverso 2 della Costituzione federale, che conferisce alla Confederazione competenze intrinseche nel settore della sicurezza interna. Questa competenza deriva dall'esistenza dello Stato e dalla necessità di poter proteggere tale esistenza. La Confederazione deve essere in grado di adottare e regolamentare legal­ mente le misure necessarie per proteggere lo Stato, i suoi organi, le sue autorità e le sue istituzioni.

Tuttavia, il progetto contiene anche disposizioni volte a migliorare la protezione dei consumatori e, in particolare, a proteggere gli utenti dei servizi di telecomunicazione dalle minacce informatiche. L'articolo 6b stabilisce che i fornitori di servizi di telecomu­ nicazione devono bloccare i numeri di telefono e i nomi di dominio svizzeri se fedpol sospetta una frode. Questa misura di blocco costituisce una restrizione alla libertà di comunicazione delle persone interessate. Se il numero di telefono o il nome di dominio viene utilizzato in un contesto commerciale, si pregiudica anche la libertà economica di queste persone. Le misure previste dall'articolo 6a per il blocco di Internet e della telefonia hanno anche lo scopo di proteggere la popolazione dall'uso di elementi di indirizzo a fini abusivi. Sussistono dubbi sul fatto che una tale misura possa basarsi sulle competenze previste dall'articolo 92 della Costituzione federale, a cui si fa riferi­ mento nel preambolo della LTC L'articolo 92 capoverso 1 della Costituzione federale

109 Kern, Markus, n. marg. 6 (2015) 110 Hettich/Steiner, n. marg. 9 (2023) 76/85

autorizza la Confederazione a regolamentare la trasmissione di informazioni, ossia l'in­ vio e la ricezione di messaggi, ma non gli aspetti relativi al loro contenuto. Le misure di blocco relative al contenuto o all'uso dei messaggi devono quindi basarsi su compe­ tenze settoriali specifiche, come avviene nel caso del gioco d'azzardo. In caso contra­ rio, l'articolo 92 capoverso 1 Cost. perderebbe il suo significato effettivo. L'articolo 123 della Costituzione federale, che non è menzionato nel preambolo, potrebbe servire come base per un obbligo di blocco solo se questo costituisce una misura coercitiva ordinata nel contesto di un procedimento penale. Se, invece, le misure sono adottate per perseguire reati o per identificare potenziali reati, la misura rientra nel diritto canto­ nale di polizia. Le misure proposte negli articoli 6a e 6b del progetto mirano a proteg­ gere la popolazione svizzera dalle frodi telefoniche e via Internet. Il legislatore è già intervenuto in un contesto simile adottando le disposizioni per combattere la pubblicità di massa sleale (spam) nell'articolo 3 capoverso 1 lettera o della legge federale del 19 dicembre 1986111 contro la concorrenza sleale (LCSl). Queste disposizioni si basano sulle competenze elencate nel preambolo della LCSl, in particolare sull'articolo 97 della Costituzione federale, che obbliga la Confederazione ad adottare misure a tutela dei consumatori. Si fondano anche sull'articolo 95 della Costituzione federale, il quale au­ torizza il legislatore a emanare prescrizioni sull'esercizio dell'attività economica privata. La base costituzionale dell'articolo 97 Cost. potrebbe essere considerata anche come base per la misura proposta negli articoli 6a e 6b. Tuttavia, la questione della base costituzionale appropriata deve ancora essere esaminata in dettaglio e chiarita nell'am­ bito dei lavori preliminari per la stesura del messaggio.

6.2 Compatibilità con gli impegni internazionali della Svizzera

Il progetto non crea nessuna incompatibilità con gli impegni internazionali della Sviz­ zera. In particolare, le misure previste per gli impianti di telecomunicazione non rien­ trano nell'ARR Svizzera-UE e pertanto non costituiscono ostacoli tecnici al commercio.

Nell'ambito dell'autorità concessa al Consiglio federale di adottare le misure necessarie in caso di inasprimento della situazione geopolitica (v. art. 48c), potrebbero essere de­ cise restrizioni o esclusioni dall'accesso al mercato svizzero per i fabbricanti che rap­ presentano un rischio per la sicurezza della Svizzera o che si trovano in possesso, sotto il controllo o l’influenza di uno Stato estero che rappresenta un rischio per sicu­ rezza della Svizzera. Tali restrizioni o esclusioni sono consentite ai sensi degli articoli XIV(a) (tutela dell'ordine pubblico), XIV(c)(iii) e XIVbis (sicurezza) dell'Allegato 1B dell'Accordo che istituisce l'Organizzazione mondiale del commercio OMC112 (Accordo generale sugli scambi di servizi GATS), dell'articolo XIV(a)(i) (sicurezza) dell'Allegato 1A dell'Accordo che istituisce l'OMC (Accordo generale sulle tariffe doganali e sul com­ mercio GATT) e degli articoli 2.10, 5.4 e 5.7 (sicurezza nazionale) dell'Allegato 1A.6 dell'Accordo che istituisce l'OMC (Accordo sugli ostacoli tecnici agli scambi TBT).

6.3 Forma dell’atto

La LTC è una legge federale ai sensi dell'articolo 164 capoverso 1 Cost.. La sua revi­ sione parziale sottostà a referendum facoltativo ai sensi dell'articolo 141 capoverso 1 lettera a Cost.

111 RS 241 112 RS 0.632.20 77/85

6.4 Subordinazione al freno alle spese

Il progetto non contiene né nuove disposizioni in materia di sussidi né nuovi crediti d’impegno o limiti di spesa, non è pertanto assoggettato al freno alle spese ai sensi dell'articolo 159 capoverso 3 lettera b Cost.

6.5 Delega di competenze legislative

Il progetto autorizza il Consiglio federale a emanare disposizioni nelle norme prevalen­ temente tecniche o organizzative elencate di seguito. La delega al Consiglio federale consente a quest'ultimo di concretizzare i requisiti legali senza creare nuovi diritti o obblighi. È quindi un mandato a livello legislativo volto a emanare leggi e ordinanze di esecuzione. Questa delega è giustificata in particolare dalla rapida evoluzione dell'am­ biente tecnico e relativo alla sicurezza. Se necessario, deve essere possibile adeguare tempestivamente le basi legali relative all'esecuzione. Sulla base dell’articolo 62 capo­ verso 2, il Consiglio federale mantiene tuttavia la competenza generale di delegare all’UFCOM l’incarico di emanare le prescrizioni tecniche e amministrative necessarie.

Il progetto delega al Consiglio federale o all'UFCOM l'emanazione di disposizioni ese­ cutive nei seguenti ambiti:

• Definizione dei dettagli relativi all'obbligo di annuncio per fornitori dell'infrastrut­ tura di telecomunicazione ai fini dell'allacciamento degli edifici (v. art. 4a cpv. 2). • Emanazione di prescrizioni tecniche e amministrative da parte dell'UFCOM sui compiti sistemici e sui requisiti che ne derivano (v. art. 20a cpv. 3). • Definizione dei dettagli relativi al sistema da acquisire per il rilevamento auto­ matizzato, ai presupposti in materia di anonimizzazione e alla durata di conser­ vazione dei dati (v. art. 34a cpv. 3). • Definizione, da parte dell'UFCOM, dei dettagli relativi all'obbligo di fornire infor­ mazioni (cfr. art. 34a cpv. 4). • Definizione, da parte dell'UFCOM, dei dettagli tecnici della coutenza ed emana­ zione delle prescrizioni tecniche e amministrative relative alla costruzione e all'installazione di impianti interni agli edifici (cfr. art. 35 cpv. 6). • Definizione dei dettagli relativi agli impianti che causano interferenze (cfr. art. 26 cpv. 3 LIE).

Il progetto in oggetto trasferisce al Consiglio federale le seguenti competenze supple­ mentari o modificate in materia legislativa:

• Estensione dell'applicazione per analogia dei diritti e degli obblighi dei fornitori di servizi di telecomunicazione ai proprietari e ai gestori di impianti di telecomu­ nicazione o di canalizzazioni di cavi per garantire una concorrenza effettiva (cfr. art. 3a cpv. 2) • Definizione dei dati di registrazione e delle relative eccezioni per i fornitori di servizi di telecomunicazione (v. art. 4 cpv. 5). • Designazione dei servizi di telecomunicazione tramite i quali va garantita la co­ municazione d'emergenza, nonché definizione di eccezioni concernenti la ga­ ranzia dell'istradamento, la localizzazione e una soluzione di ripiego minima e utilizzo delle funzioni di localizzazione dei terminali senza l'espresso consenso dell'utente (art. 20 cpv. 3). • Emanazione di norme tecniche e amministrative da parte dell'UFCOM sui com­ piti sistemici e sui requisiti che ne derivano (cfr. art. 20acpv. 3) • Definizione di misure tecniche e organizzative a tutela dell'integrità delle comu­ nicazioni d'emergenza (cfr. art. 20e cpv. 4). 78/85

• Definizione dei criteri per il riconoscimento degli organismi privati e pubblici re­ sponsabili della sicurezza informatica (cfr. art. 29 cpv. 3). • Regolamentazione dei dettagli relativi all'elaborazione di dati personali degni di particolare protezione e lo svolgimento di profilazioni per la sicurezza e il funzio­ namento del sistema dei nomi di dominio e per la cooperazione con organismi pubblici o privati specializzati in questo settore (cfr. art. 30a cpv. 3). • Determinazione di eccezioni per rimuovere la soppressione del numero chia­ mante (art. 46 cpv. 2). • Emanazione di disposizioni ulteriori volte a proteggere i bambini e gli adolescenti dai pericoli derivanti dall'uso dei servizi di telecomunicazione (art. 46° cpv. 2). • Specificare le misure adottate dai fornitori di servizi di telecomunicazione al fine di lottare contro le manipolazioni non autorizzate delle infrastrutture di telecomu­ nicazione commesse con trasmissioni mediante telecomunicazione, migliorare la resilienza delle infrastrutture di telecomunicazione e proteggere dalle minacce informatiche. (cfr. art. 48 a cpv. 4). • Divieto di elementi critici per la sicurezza e pubblicazione di un elenco degli ele­ menti vietati da parte dell'UFCOM (art. 48b cpv. 3) • In caso di rischio geopolitico, il Consiglio federale può obbligare i fornitori di ser­ vizi di telecomunicazione a rimuovere dalla loro infrastruttura di rete determinati elementi (art. 48c cpv. 3). • Regolamentazione dei dettagli del trattamento dei dati personali degni di parti­ colare protezione e dello svolgimento di profilazioni volte a proteggere dalle mi­ nacce informatiche e per la sicurezza e la resilienza delle infrastrutture di tele­ comunicazione (cfr. art. 48d cpv. 4 ). • Definizione dei dati da comunicare nell'ambito dell'obbligo di notifica inerente l'Atlante nazionale della banda larga (cfr. art. 59a cpv. 4); • Definizione delle esigenze di base in materia di compatibilità elettromagnetica degli impianti elettrici (cfr. art. 3 cpv. 2 lett. d LIE);

6.6 Protezione dei dati

Le misure previste sono state sottoposte a un esame preliminare dei rischi in materia di protezione dei dati. Il nuovo trattamento dei dati previsto è principalmente limitato ai dati che servono alla resilienza delle infrastrutture di telecomunicazione e alla prote­ zione contro le minacce informatiche, sebbene la grande maggioranza di questi dati non siano dati personali. Si tratta piuttosto di dati fattuali e dati su persone giuridiche o entità non specificate presenti su Internet. Il trattamento di dati personali degni di particolare protezione o lo svolgimento di profilazioni ai sensi della LPD dovrebbero rimanere un'eccezione. In queste circostanze, non è necessaria una valutazione d'im­ patto più estesa sulla protezione dei dati. Tuttavia, potrebbe avvenire se necessario, se il trattamento dei dati personali è specificato a livello di ordinanza. Le nuove dispo­ sizioni che riguardano il trattamento di dati personali o dati di persone giuridiche sono allineate ai principi della LPD e della LOGA. Per quanto concerne le misure rilevanti sotto il profilo della protezione dei dati, si rimanda alle spiegazioni relative alle dispo­ sizioni interessate, al capitolo 4.

79/85

7 Lista delle abbreviazioni

AGCOM Autorità per le Garanzie nelle Comunicazioni AOSS Autorità e organizzazioni attive nel campo del salvataggio e della sicurezza ARCEP Autorité de régulation des communications électroniques et des postes BNetzA Bundesnetzagentur (Agenzia federale delle reti tedesca) CATV Cable TV CCPCS Conferenza dei comandanti delle polizie cantonali della Sviz­ zera CDDGP Conferenza delle direttrici e dei direttori dei dipartimenti can­ tonali di giustizia e polizia CEM Compatibilità elettromagnetica CERT Computer Emergency Response Team ComCom Commissione federale delle comunicazioni CSN Ciberstrategia nazionale CSP Coordinazione svizzera dei pompieri CTT-N Commissione dei trasporti e delle telecomunicazioni del Con­ siglio nazionale CTT-S Commissione dei trasporti e delle telecomunicazioni del Con­ siglio degli Stati DATEC Dipartimento federale dell’ambiente, dei trasporti, dell’energia e delle comunicazioni DDoS Distributed Denial of Service DDPS Dipartimento federale della difesa, della protezione della po­ polazione e dello sport DFAE Dipartimento federale degli affari esteri DNS Domain Name System ENISA European Network and Information Security Agency ESInet Emergency Services IP Network ETC Emergency Telecommunications Cluster ETSI European Telecommunications Standards Institute (Istituto europeo delle norme di telecomunicazione) FF Foglio federale FTTC Fiber to the Curb FTTH Fiber to the Home

80/85

Gbit/s Gigabit al secondo GNSS Global Navigation Satellite System IAS Interassociazione di salvataggio ICANN Corporation for Assigned Names and Numbers IFPDT Incaricato federale della protezione dei dati e della traspa­ renza MRA Mutual Recognition Agreements MVNO Mobile Virtual Network Operator (operatore virtuale di rete mobile) NENA National Emergency Number Association NG Next Generation OTT Over-the-Top PMI Piccole e medie imprese PTA Prescrizioni tecniche e amministrative RAN Radio Acess Network RTR Rundfunk und Telekom Regulierungs-GmbH RTT Real Time Text SECO Segreteria di Stato dell’economia SEPOS Segreteria di Stato della politica di sicurezza SIC Servizio delle attività informative della Confederazione swisstopo Ufficio federale di topografia TIC Tecnologie dell’informazione e della comunicazione TIP Tecnica e informatica di polizia UFCOM Ufficio federale delle comunicazioni UFCS Ufficio federale della cibersicurezza UFG Ufficio federale di giustizia UFPP Ufficio federale della protezione della popolazione UST Ufficio federale di statistica WiFi Wireless Fidelity WIK Wissenschaftliches Institut für Infrastruktur und Kommunika­ tionsdienste GmbH

81/85

8 Bibliografia

AWK e INFRAS (2022): Regulierungsfolgenabschätzung Konkretisierung Art. 48a FMG (Analisi d’impatto della regolamentazione specificazione dell’art. 48a LTC, in tedesco), https://www.bakom.admin.ch/it/assicurare-le-telecomunicazioni-in-caso-di- penuria-di-energia-elettrica, 29.06.2022. BNetzA (2022): Beschwerdeordnung 2022, https://www.bundesnetzagentur.de/Sha­ redDocs/Downloads/DE/Sachgebiete/Telekommunikation/Verbraucher/Uner­ laubte_Telefonwerbung/Beschwerdeordnung_2022.pdf?__blob=publication­ File&v=2, ultima consultazione il 03.03.2026. BNetzA (2025): Über 150.000 Beschwerden zum Rufnummernmissbrauch im Jahr 2024, https://bundesnetzagentur.de/1044230, 15.01.2025. Ufficio federale di giusti­ zia (2024): Informazioni destinate agli organi federali, https://www.bj.ad­ min.ch/bj/it/home/staat/datenschutz/info-bundesbehoerden.html, Guida di legisla­ zione - Protezione dei dati, 01.03.2024. CCPCS, **PTI**, CSP e IAS (2024): Informationen des Steuerungsausschuss der Organisation Notrufe Schweiz, zum Thema Kommunikation der Europäischen No­ trufnummer 112 (Informazioni del comitato direttivo dell’organizzazione Notrufe Sch­ weiz sul tema della comunicazione del numero di emergenza europeo 112, in tede­ sco), https://www.144.ch/wp-content/uploads/2024/07/202407116_Infoma­ tionsschreiben_Notrufnummer_DE.pdf, 15.07.2024. Consiglio federale (2023a): Infrastruttura digitale. Minimizzare i rischi geopolitici, Rapporto del 15.12.2023 in adempimento del postulato 20.3984 Pult del 14.9.2020, *https://www.uvek.admin.ch/uvek/fr/home/detec/medias/communiques-de- presse.msg-id-99431.html, 15.12.2023. Consiglio federale (2023b): Ciberstrategia nazionale (CSN), https://www.ncsc.ad­ min.ch/dam/ncsc/it/dokumente/strategie/cyberstrategie-ncs/Nationale-Cyberstrate­ gie-NCS-2023-04-13-IT.pdf.download.pdf/Nationale-Cyberstrategie-NCS-2023-04- 13-IT.pdf, 04.2023. Consiglio federale (2023c): Strategia nazionale per la protezione delle infrastrutture critiche, https://www.babs.admin.ch/it/protezione-delle-infrastrutture-critiche, 16.06.2023. Consiglio federale (2025a): Valutazione annuale dello stato della minaccia: Rap­ porto del Consiglio federale alle Camere federali e al pubblico del 30.4.2025, https://www.news.admin.ch/it/newnsb/Ai9gAQlhIpGdgZisH-g-6, ultima consultazione l’08.08.2025. Consiglio federale (2025b): Modernizzazione dell’accesso alle chiamate di emer­ genza, https://www.news.admin.ch/it/newnsb/ACDiWzoUbRaa9KOjqkUSr, ultima consultazione il 07.08.2025. DATEC e CDDGP (2022): Modello di riferimento chiamate di emergenza, https://www.bakom.admin.ch/it/servizi-demergenza, 10.11.2022.Weinholt, Åsa / An­ dersson Granberg, Tobias (2015): New collaborations in daily emergency response: Applying cost-benefit analysis to new first response initiatives in the Swedish fire and rescue service, International Journal of Emergency Services (Nuove collabora­ zioni nella risposta quotidiana alle emergenze: applicazione dell’analisi costi-benefici

82/85

alle nuove iniziative di primo soccorso nel servizio antincendio e di soccorso sve­ dese, International Journal of Emergency Services, in inglese), 4(2), 177-193. Emergency Response Centre Agency Finland (2022): 112 - Emergency number in Finland (numero d’emergenza in Finlandia, in inglese), https://www.suomi.fi/servi­ ces/112-emergency-number-in-finland-emergency-response-centre-agency-fin­ land/01a571b5-3eb9-4b49-a27e-ec8427737c5b, ultima consultazione il 07.08.2025. ETC (2022): Emergency telecommunications preparedness: Return on investments model (Preparazione alle emergenze nel settore delle telecomunicazioni: modello di rendimento degli investimenti, in inglese), https://www.etcluster.org/sites/default/fi­ les/documents/0108_ROI_INTRODUCTORY%20BRIEF_compressed.pdf, ultima consultazione il 07.08.2025. ETSI (2023): ETSI TS 103 479 V1.2.1, https://www.etsi.org/deli­ ver/etsi_ts/103400_103499/103479/01.02.01_60/ts_103479v010201p.pdf, 03.2023. ETSI (2025): ETSI members (membri ETSI, in inglese), https://www.etsi.org/mem­ bership, ultima consultazione il 07.08.2025. Hettich, Peter / Steiner, Thomas (2023), in: Ehrenzeller, Bernhard / Egli, Patricia / Hettich, Peter / Hongler, Peter/Schindler, Benjamin / Schmid, Stefan G. / Schweizer, Rainer J. (ed.), Die schweizerische Bundesverfassung, St. Galler Kommentar (com­ mento alla Costituzione federale, in tedesco), 4a ed., art. 92. Jaldell, Henrik (2017): How Important is the Time Factor? (Quanto è importante il fattore tempo?) Saving Lives Using Fire and Rescue Services (Salvare vite umane grazie ai servizi antincendio e di soccorso, in inglese), Fire Technology Journal, (53), 695–708. Kern, Markus (2015), in: Waldmann, Bernhard / Belser, Eva Maria / Epiney, Astrid (ed.), Bundesverfassung, Basler Kommentar (commento alla Costituzione federale, in tedesco), art. 92. McBride, Freddie (2024): NG112 implementation in Europe – Demystifying the ESI­ net and Next Generation Core Services (Implementazione NG112 in Europa – De­ mistificare ESInet e i servizi di base di nuova generazione, in inglese), https://eena.org/blog/ng112-implementation-in-europe-demystifying-the-esinet-and- next-generation-core-services-2/, 27.03.2024. NCS (2023): Obiettivo: servizi e infrastrutture digitali sicuri, https://www.ncsc.ad­ min.ch/ncsc/it/home/strategie/ziele-massnahmen/ncs-ziel-sichere-verfuegbare-digi­ tale-dl-infrastruktur.html, ultima consultazione il 07.08.2025. NENA (2025): NENA Standards and Documents (Standard e documenti dell’asso­ ciazione statunitense National Emergency Number Association, in inglese), https://www.nena.org/page/standards, ultima consultazione il 07.08.2025. Schwaab, Jean-Christophe (2023): Pour une souveraineté numérique (Per una sovranità digitale, in francese), Losanna: Savoir suisse. Stadt Zürich (Città di Zurigo) (2020): Reglement über die Koordination von Bauar­ beiten im öffentlichen Grund,Baukoordinationsreglement (Regolamento sul coordi­ namento dei lavori edili su terreno pubblico, in tedesco), https://www.stadt-zue­ rich.ch/de/politik-und-verwaltung/politik-und-recht/amtliche- sammlung/7/702/200.html, 26.02.2020.

83/85

Swisscom (2024): Bericht zur Entbündelung und Interkonnektion (Rapporto sulla di­ saggregazione e l’interconnessione, in tedesco); https://www.swisscom.ch/con­ tent/dam/swisscom/de/ws/documents/D_Entbuendelung/bericht_zur_entbuendelun­ gundinterkonnektion12-2024.pdf, ultima consultazione il 08.08.2025. Swisscom (2025a): Copertura con la fibra ottica FTTH, https://www.swisscom.ch/it/about/rete/mappa-estensione-rete-fibra-ottica.html, ul­ tima consultazione il 07.08.2025. Swisscom (2025b): Localizzazione per le autorità e le organizzazioni attive nel campo del salvataggio e della sicurezza (AOSS) in Svizzera, https://www.swisscom.ch/it/business/enterprise/offerta/bors/sos-database.html, ul­ tima consultazione il 07.08.2025. Swisstopo (2024a): Realizzazione del catasto delle condotte svizzero, https://www.cadastre.ch/it/realizzazione-del-catasto-delle-condotte, 12.06.2024. Swisstopo (2024b): Estensioni, https://www.cadastre.ch/it/realizzazione-del-catasto- delle-condotte#Estensioni, 12.06.2024. UE (2020): Cybersecurity of 5G networks - EU Toolbox of risk mitigating measures (Sicurezza informatica delle reti 5G - Strumenti dell’UE per la mitigazione dei rischi, in inglese), https://digital-strategy.ec.europa.eu/en/library/cybersecurity-5g-net­ works-eu-toolbox-risk-mitigating-measures, 23.01.2020. UFCOM (2012): Direttive tecniche concernenti impianti FTTH interni agli edifici: mezzo fisico del livello 1 Edizione 3.0, https://www.bakom.admin.ch/it/gruppi-di-la­ voro-ftth, 05.03.2012. UFCOM (2024a): Numero dell’operatore FTTH, https://www.bakom.admin.ch/it/am­ pliamento-della-fibra-ottica-in-svizzera, ultima consultazione il 07.08.2025. UFCOM (2024b): Sondaggio sulle misure volte a favorire il potenziamento della banda larga, non pubblicato. UFCOM (2024c): Valutazione del mercato svizzero delle telecomunicazioni, https://www.bakom.admin.ch/it/rapporto-di-valutazione-del-mercato-svizzero-delle- telecomunicazioni, 15.03.2024. UFCOM (2025a): Atlante della banda larga, https://www.bakom.admin.ch/it/atlante- della-banda-larga, ultima consultazione il 25.04.2025. UFCOM (2025b): Numero di fornitori di servizi di telecomunicazione, https://www.bakom.admin.ch/it/numero-di-fornitori-di-servizi-di-telecomunicazione, ultima consultazione il 07.08.2025. UFCOM (2025c): Servizi di telecomunicazione tramite numeri brevi, https://www.bakom.admin.ch/it/servizi-di-telecomunicazione-tramite-numeri-brevi, ultima consultazione il 07.08.2025. UFCOM (2025d): Sondaggio sui costi nel settore della comunicazione d’emergenza, non pubblicato UFPP (2023): Strategia nazionale per la protezione delle infrastrutture critiche, https://www.babs.admin.ch/it/strategia-nazionale-per-la-protezione-delle-infrastrut­ ture-critiche-, 19.09.2023.

84/85

UFPP (2024): Scheda informativa sul sottosettore critico delle telecomunicazioni, https://www.babs.admin.ch/it/le-infrastrutture-critiche, 04.2024. UST (2023): Tabella Input-Output svizzera 2017, https://www.bfs.ad­ min.ch/bfs/it/home/statistiche/economia-nazionale/input-output.html, 05.12.2023. UST (2024): Categoria di edificio, https://www.bfs.admin.ch/bfs/it/home/statisti­ che/costruzioni-abitazioni/edifici/categoria.html, ultima consultazione l’08.08.2025. WIK (2017): Modellierung der Kosten eines flächendeckenden Hochbreitbandnetzes in der Schweiz (Modellizzazione dei costi di una rete a banda larga con copertura nazionale in Svizzera, in tedesco), https://www.bakom.admin.ch/it/analisi-degli- aspetti-economici, 05.10.2017. WIK (2019): Parallele Glasfaserausbauten als Möglichkeiten zur Schaffung von In­ frastrukturwettbewerb (Nr. 456) (Ampliamento parallelo della rete in fibra ottica come opportunità per creare concorrenza nel settore delle infrastrutture, in tedesco o in inglese), https://www.wik.org/veroeffentlichungen/veroeffentlichung/nr-456-pa­ rallele-glasfaserausbauten-als-moeglichkeit-zur-schaffung-von-infrastrukturwett­ bewerb, 12.2019.

85/85