Gestione degli appalti pubblici. Infrastrutture critiche e trasmissione di dati confidenziali
25.1045 · Interrogazione · 2025-09-25
Dipartimento delle Finanze
Liquidato
Wortlaut
Nei prossimi anni, in Svizzera diverse infrastrutture critiche dovranno essere sostituite o ricostruite. Tra queste rientra ad esempio Polycom, la rete radio nazionale di sicurezza utilizzata da polizia, gestori di infrastrutture critiche, organizzazioni sanitarie di salvataggio, guardie di confine, organizzazioni della protezione contro le catastrofi e molti altri per comunicare in qualsiasi momento in modo sicuro (ad es. anche in caso di interruzione di corrente). La durata d’impiego di Polycom termina a fine 2035. Di conseguenza, la rete dovrà essere ricostruita e gestita sulla base della moderna tecnologia di telefonia mobile, garantendo il salvataggio dei dati confidenziali della Confederazione. Si pensi anche alle cartelle informatizzate del paziente, in cui devono essere salvati e trasferiti dati confidenziali, oppure al futuro voto elettronico. Nel contempo, l’indipendenza digitale della Svizzera e la sua crescente dipendenza dai giganti tecnologici globali sono, giustamente, motivo di preoccupazione per un gran numero di persone. In tale contesto invito il Consiglio federale a rispondere alle domande riportate di seguito.
Secondo l’articolo 9 della legge del 21 giugno 2019 sugli appalti pubblici (LAPub; RS 172.056.1), il trasferimento di un compito pubblico o il rilascio di una concessione sono considerati una commessa pubblica se in virtù di tale trasferimento o rilascio all’offerente sono conferiti diritti esclusivi o speciali esercitati nell’interesse pubblico. Di conseguenza la Confederazione è tenuta a pubblicare i bandi secondo la LAPub. Questo vale anche per le infrastrutture critiche o per la trasmissione di informazioni critiche o di dati critici?
Sempre secondo l’articolo 9 LAPub, sono fatte salve le disposizioni previste da leggi speciali. Ciò significa che, se si volesse aggiudicare l’esecuzione di certi compiti a imprese parastatali, bisognerebbe estendere il loro mandato di prestazioni nelle rispettive leggi speciali? Se così non fosse, cosa occorrerebbe fare?
L’articolo 10 capoverso 4 lettera a LAPub prevede un’eccezione all’applicazione della stessa se ciò è ritenuto necessario per la tutela e il mantenimento della sicurezza esterna o interna o dell’ordine pubblico. Questa eccezione sarebbe applicabile alle infrastrutture critiche e alla trasmissione di dati?
Alla luce della legittima diffidenza dell’elettorato svizzero nei confronti degli offerenti privati e commerciali in relazione a infrastrutture critiche e dati critici (mi riferisco ad es. all’identità elettronica), il Consiglio federale come intende procedere nei casi sopra citati? Intende gestire le infrastrutture autonomamente? Se sì, quale Ufficio federale se ne occuperebbe? Intende pubblicare i bandi conformemente alla LAPub, rilasciare concessioni, estendere il mandato di prestazioni delle imprese parastatali. Oppure predilige altre soluzioni?
Stellungnahme des Bundesrates
Ad domande 1 e 2: per adempiere i propri compiti, la Confederazione deve ricorrere all’acquisto di prestazioni sul mercato. Le relative basi sono rette dalla LAPub. L’articolo 9 LAPub stabilisce in modo generale che, oltre all’acquisto di prestazioni, anche il trasferimento di compiti pubblici e il rilascio di concessioni, in determinate situazioni, sono subordinati alla LAPub e alle sue disposizioni procedurali. A livello federale, tuttavia, nel caso delle infrastrutture esistenti tali situazioni sono spesso regolate da leggi speciali, sviluppatesi nel tempo, come avviene nel settore ferroviario secondo quanto previsto dall’articolo 5 della legge del 20 dicembre 1957 sulle ferrovie (Lferr; RS 742.101). Queste leggi speciali prevalgono sulla LAPub. Indipendentemente dalla legge nazionale in cui è disciplinata una determinata fattispecie, la Svizzera è tenuta a rispettare i propri impegni internazionali in materia di appalti pubblici (in particolare l’Accordo riveduto del 15 aprile 1994 sugli appalti pubblici dell’OMC; RS 0.632.231.422). Le basi legali e di diritto internazionale contemplano già eccezioni per la tutela della sicurezza interna ed esterna (ad es. l’art. 10 cpv. 4 lett. a LAPub). L’amministrazione dispone delle competenze e dei mezzi necessari per valutare, caso per caso, l’applicazione delle disposizioni derogatorie e, se sussistono le condizioni, prendere una decisione al riguardo. Questo vale anche per le infrastrutture critiche o per la trasmissione di informazioni critiche o di dati critici. Gli obiettivi e i compiti (prestazioni) delle unità rese autonome della Confederazione sono definiti nelle pertinenti basi legali (segnatamente in disposizioni specifiche e organizzative; restando nel settore ferroviario, si pensi ad es. alla Lferr e alla legge federale del 20 marzo 1998 sulle Ferrovie federali svizzere (RS 742.31), a prescindere dal diritto federale in materia di appalti pubblici. Se si intende attribuire in modo mirato compiti a unità rese autonome della Confederazione, è necessario adeguare la relativa legge speciale per escludere l’applicazione della LAPub (cfr. anche art. 15b cpv. 1 della legge federale del 5 ottobre 1990 sui sussidi; RS 616.1). Ad domanda 3: non esiste alcuna base legale (tra l’altro ciò sarebbe contrario anche agli impegni assunti in virtù di trattati internazionali) che escluda in modo generale le infrastrutture critiche e il trasferimento di dati dal campo d’applicazione del diritto federale in materia di appalti pubblici. L’applicazione di un’eccezione, come quella stabilita all’articolo 10 capoverso 4 lettera a LAPub, deve essere valutata in funzione del fabbisogno concreto e dello specifico appalto. Ad domanda 4: il Consiglio federale è consapevole delle preoccupazioni relative al trattamento di dati critici e alla gestione di infrastrutture critiche. Le questioni sollevate nella presente interrogazione saranno tenute in considerazione nella pianificazione dei progetti menzionati a titolo esemplificativo. Il modo di procedere per i casi sopra citati sarà definito caso per caso nell’ambito di ciascun progetto, tenendo in considerazione le disposizioni pertinenti, ad esempio il diritto federale in materia di appalti pubblici o i principi del governo d’impresa («public corporate governance») relativi allo scorporo di compiti. Il Consiglio federale riconosce la rilevanza sul piano della politica di sicurezza e garantisce che le decisioni concernenti l’esercizio e l’acquisto delle infrastrutture critiche siano adottate in conformità con la legge federale del 18 dicembre 2020 sulla sicurezza delle informazioni (RS 128), la ciberstrategia nazionale, la Strategia nazionale per la protezione delle infrastrutture critiche e la strategia della Svizzera in materia di politica di sicurezza, attualmente in fase di elaborazione. La resilienza e la capacità di agire della Svizzera sono considerate nostre priorità.