(ats) La Svizzera deve rafforzare la propria resistenza ai ciberattacchi. Le due Camere del parlamento sono d'accordo su questo principio, ma non hanno ancora trovato un'intesa in merito all'obbligo di segnalazione. Oggi il Nazionale ha ribadito - con 102 voti a 80 - la volontà che si annuncino non solo gli attacchi a infrastrutture sensibili, ma anche le vulnerabilità delle apparecchiature informatiche. Il dossier torna agli Stati.

La Camera del popolo ha comunque compiuto un passo nella direzione di quella dei cantoni, proponendo quale compromesso di escludere dall'obbligo le vulnerabilità dovute agli sviluppi interni delle imprese interessate.

La sicurezza informatica riguarda tutti, ha fatto notare Fabien Fivaz (Verdi/NE). Alle sue parole si sono aggiunte quelle di Ida Glanzmann-Hunkeler (Centro/LU), per la quale questo sforzo aggiuntivo è giustificato dalla volontà di migliorare la sicurezza. Non si tratta di un aumento sconsiderato dei costi, ha da parte sua rilevato François Pointet (PVL/VD) a nome della commissione.

Per Doris Fiala (PLR/ZH) le misure previste sono invece sufficienti, mentre David Zuberbühler (UDC/AR) ha criticato quello che ai suoi occhi è un eccessivo onere amministrativo per le aziende e lo Stato. La consigliera Viola Amherd ha tentato invano di combattere la proposta, affermando che non è chiaramente definita e non apporta un valore aggiunto sufficiente.

Gli attacchi informatici sono diventati una delle principali minacce alla sicurezza e all'economia della Svizzera. Tra il 2020 e il 2022, il loro numero è triplicato, passando da quasi 11 mila a oltre 34 mila. Simili episodi colpiscono sia le aziende che le amministrazioni pubbliche.

Attualmente manca una visione d'insieme del problema, poiché le segnalazioni al Centro nazionale per la sicurezza informatica (NCSC) avvengono su base volontaria. Con le nuove norme, il NCSC, istituito nel 2019, dovrà funzionare come sportello unico per le segnalazioni.

Inoltre, il NCSC dovrà offrire una valutazione tecnica e fornire un supporto sussidiario nella gestione dell'attacco. Se un operatore viola l'obbligo di segnalazione, sarà passibile di una multa fino a 100 mila franchi. Questa disposizione dovrebbe applicarsi solo se il soggetto attaccato si rifiuta attivamente di segnalare un grave problema.

Per garantire un allarme tempestivo, la segnalazione dovrà essere effettuata entro 24 ore dal rilevamento dell'attacco informatico o della vulnerabilità digitale. Il ventaglio delle aree di attività soggette all'obbligo è assai ampio: autorità, ospedali, aziende energetiche, università, organizzazioni con compiti pubblici (servizi di soccorso, trattamento delle acque), banche e compagnie di assicurazione.

Sono inclusi anche i servizi informatici e di telecomunicazione, la SSR e le agenzie di stampa, i fornitori di medicinali, i servizi postali e i trasporti pubblici, l'aviazione, l'approvvigionamento alimentare, i registri dei domini Internet, i servizi digitali e le aziende informatiche.