(ats) La Svizzera deve rafforzare la propria resistenza ai ciberattacchi. Seguendo il Consiglio nazionale, stamane anche gli Stati hanno approvato all'unanimità l'obbligo di segnalare le intrusioni contro le infrastrutture critiche. Tuttavia, tale obbligo non deve includere le vulnerabilità dei sistemi informatici. Il dossier ritorna alla Camera del popolo.

Gli attacchi informatici sono diventati una delle principali minacce alla sicurezza e all'economia della Svizzera. Tra il 2020 e il 2022, il loro numero è triplicato, passando da quasi 11 mila a oltre 34 mila. Simili episodi colpiscono sia le aziende che le amministrazioni pubbliche.

Attualmente manca una visione d'insieme del problema, poiché le segnalazioni al Centro nazionale per la sicurezza informatica (NCSC) avvengono su base volontaria. L'obbligo di segnalazione dovrebbe consentire di individuare rapidamente i nuovi modi di operare, ha dichiarato in aula la consigliera federale Viola Amherd. "L'obiettivo è rafforzare lo scambio di informazioni", ha spiegato la "ministra" della difesa.

La segnalazione sarà obbligatoria se un attacco informatico mette a repentaglio il funzionamento dell'infrastruttura critica colpita. Il Consiglio nazionale ha esteso l'obbligo di segnalazione anche alle vulnerabilità delle apparecchiature informatiche. Ma su questo aspetto del progetto di modifica legislativa il Consiglio degli Stati ha preferito fare dietrofront. A nome della commissione, Hans Wicki (PLR/NW) ha giudicato tale disposizione non sufficientemente precisa e assai burocratica.

Il Ncsc, istituito nel 2019, dovrà funzionare come sportello unico per le segnalazioni. Per semplificare al massimo, i soggetti coinvolti dovranno compilare un modulo elettronico. Inoltre, il NCSC dovrà offrire una valutazione tecnica e fornire un supporto sussidiario nella gestione dell'attacco. Se un operatore viola l'obbligo di segnalazione, sarà passibile di una multa fino a 100 mila franchi. Questa disposizione dovrebbe applicarsi solo se il soggetto attaccato si rifiuta attivamente di segnalare un grave problema.

Per garantire un allarme tempestivo, la segnalazione dovrà essere effettuata entro 24 ore dal rilevamento dell'attacco informatico o della vulnerabilità digitale, ha dichiarato Andrea Gmür-Schönenberger (Centro/LU).

Il ventaglio delle aree di attività soggette all'obbligo è assai ampio. Per infrastrutture critiche, il progetto elenca autorità, ospedali, aziende energetiche, università, organizzazioni con compiti pubblici (servizi di soccorso, trattamento delle acque), banche e compagnie di assicurazione.

Sono inclusi anche i servizi informatici e di telecomunicazione, la SSR e le agenzie di stampa, i fornitori di medicinali, i servizi postali e i trasporti pubblici, l'aviazione, l'approvvigionamento alimentare, i registri dei domini Internet, i servizi digitali e le aziende informatiche.