Lexipedia

19.3185 · Interpellanza · 2019-03-20

Dipartimento della difesa, della protezione della popolazione e dello sport

Liquidato

Wortlaut

Numerosi Paesi - come gli USA, l'Australia, la Nuova Zelanda - e la Commissione europea reputano che la collaborazione con determinati fornitori globali di servizi di telecomunicazione rappresenti un rischio per la sicurezza nazionale. Nel caso dell'azienda Huawei si sospetta il deflusso di dati sensibili verso i servizi segreti cinesi. Attualmente in Svizzera sono previsti diversi grandi investimenti in infrastrutture critiche e sistemi di telecomunicazione. Particolarmente sensibili sono gli acquisti statali nell'ambito della difesa.

Invito quindi il Consiglio federale a rispondere alle domande seguenti:

1. Nell'ambito della difesa e di altre infrastrutture critiche statali, come limita il rischio che vengano acquistati sistemi con backdoor digitali?

2. Quali prove devono esibire concretamente i fornitori e i partner industriali a garanzia che i loro software e hardware non permettono il deflusso di dati sensibili?

3. È disposto a modificare la propria politica in materia di acquisti affinché in futuro i fornitori, in particolare nell'ambito della difesa, debbano rivelare i codici sorgente dei propri software e, se necessario, debbano integrarli in una soluzione nazionale (ad es. con un proprio sistema di cifratura)?

Stellungnahme des Bundesrates

1. Il Consiglio federale e i competenti organi d'acquisto di sistemi delle tecnologie dell'informazione e della comunicazione (TIC), sia civili sia militari, sono consapevoli dei rischi menzionati dall'autore dell'interpellanza. La gestione di tali rischi è disciplinata nelle Istruzioni del Consiglio federale sulla sicurezza TIC nell'Amministrazione federale, che sono regolarmente aggiornate (ultimo aggiornamento: 16 gennaio 2019). Sono disciplinati in tal sede in particolare i requisiti e le misure a livello organizzativo, tecnico e di personale volti a garantire l'adeguata tutela della confidenzialità, della disponibilità, dell'integrità e della tracciabilità degli oggetti degni di protezione nell'ambito delle tecnologie dell'informazione e della comunicazione in seno all'Amministrazione federale. In via complementare, l'Organo di direzione informatica della Confederazione ha istituito un processo di verifica, inteso come "best practice" (migliore prassi), volto a ridurre lo spionaggio da parte dei servizi di informazione. Tale processo di verifica comprende diverse misure di protezione: la distinzione, nell'ambito di acquisti di TIC, tra elementi rilevanti in materia di rischi e elementi prestazionali che non comportano rischi; il ripristino della fornitura interna di prestazioni TIC (insourcing) nonché ulteriori misure di carattere organizzativo o inerenti alla tecnica di sicurezza oppure in materia di diritto degli acquisti. Il processo di verifica è utilizzato anche per gli acquisti a favore dell'Esercito svizzero; inoltre, per i relativi prodotti è svolta in occasione di ogni acquisto una valutazione dei rischi e dei punti deboli. A tutto ciò si aggiunge che le direttive vigenti sono regolarmente sottoposte a verifica ed eventualmente adeguate ai nuovi sviluppi.

2. Per quanto concerne i fornitori e i partner industriali, è previsto il ricorso a un'ampia gamma di misure. Le misure di carattere organizzativo e inerenti alla tecnica di sicurezza comprendono, ad esempio, il rispetto di appositi accordi in materia di tutela del segreto, prescrizioni concernenti l'elaborazione e la protezione dei dati nonché l'impiego della procedura prevista per la tutela del segreto. Quest'ultima comprende tutte le misure volte a garantire la protezione delle informazioni nel quadro dell'assegnazione a terzi di mandati classificati militarmente. Comprende in particolare l'avvio di misure di sicurezza speciali nel quadro di un protocollo di sicurezza. Per ogni terzo coinvolto è allestito un proprio protocollo di sicurezza. Ogni esercizio deve inoltre disporre di un attestato di sicurezza e a tal fine è sottoposto a un apposito audit da parte della Sicurezza delle informazioni e degli oggetti (SIO) del Dipartimento federale della difensa, della protezione della popolazione e dello sport.

Nel quadro delle misure di sicurezza in materia di diritto degli acquisti, la misura più importante è rappresentata dalla specificazione, in ogni messa a concorso, di criteri di idoneità, determinanti a livello di sicurezza, che devono essere soddisfatti dai fornitori. I fornitori devono inoltre impegnarsi a riconoscere il diritto svizzero e il foro competente in Svizzera. Quale ulteriore condizione sine qua non, nel quadro di mandati classificati militarmente l'elaborazione di dati deve imperativamente aver luogo in Svizzera. Ciò significa in concreto che deve essere impossibile qualsivoglia accesso ai dati dall'estero. La soddisfazione di tale requisito deve essere confermata da ogni fornitore per scritto.

3. Per hardware e software strategici nell'ambito della difesa è già oggi possibile farsi rivelare e verificare i codici sorgente. I codici sorgente devono inoltre per principio essere depositati e la loro utilizzazione deve essere autorizzata nei casi in cui l'azienda offerente dovesse interrompere le sue attività nel settore in questione, ad esempio per motivi finanziari. Le soluzioni crittologiche raccomandate dagli offerenti sono verificate e, se necessario, sostituite con soluzioni interne. Attualmente il Consiglio federale non ravvisa alcuna necessità di modificare la politica in materia di acquisti.

Risposta del Consiglio federale.

Acquisti della Confederazione. Nessuna backdoor digitale | Lexipedia | Lexipedia