Nell’ambito dei suoi accertamenti in merito al ciberattacco contro la RUAG, la CdG N è giunta alla conclusione che il Consiglio federale e il DDPS hanno reagito tempestivamente e in modo adeguato all’accaduto, avendo analizzato i rischi e ordinato misure corrispondenti. Essa è tuttavia anche del parere che nel quadro della direzione strategica dell’impresa l’attacco e le relative conseguenze sono stati sottovalutati e che il DDPS avrebbe dovuto intervenire in maniera più decisa nei confronti dell’impresa.

​Nel gennaio 2016 il Consiglio federale è stato informato che la RUAG era stata oggetto di un ciberattacco. In collaborazione con il Dipartimento competente (DDPS) il Governo ha quindi adottato diverse misure. Dopo che l’attacco era diventato di dominio pubblico, la Commissione della gestione del Consiglio nazionale (CdG-N) avviò accertamenti diretti, verificando in particolare se gli organi federali responsabili – segnatamente il Consiglio federale e il DDPS – avevano reagito in maniera adeguata e con la necessaria tempestività all’accaduto, tutelando in tal modo gli interessi della Confederazione come azionista unica della RUAG. I suoi accertamenti non si sono per contro soffermati sulla verifica dell’applicazione delle misure necessarie per affrontare il ciberattacco, dato che questo compito è assunto da altri servizi, in particolare dal Controllo federale delle finanze.
 
Nel quadro dei suoi accertamenti la CdG-N ottenne indicazioni precise sugli elenchi di dati interessati dall’attacco e sui rischi connessi. In base alle informazioni raccolte la Commissione ha giudicato grave l’accaduto. Nel suo rapporto dell’8 maggio 2018 ha però anche affermato che dal momento della sua scoperta Consiglio federale e DDPS hanno affrontato l’emergenza con la necessaria tempestività e attuando misure adeguate. RUAG e la sua direzione hanno tuttavia necessitato di più tempo per riconoscere la portata dell’attacco e i rischi connessi e per intervenire con misure proprie. La CdG-N apprezza pertanto che il DDPS abbia esercitato una certa pressione a tale proposito e sia intervenuto più volte presso l’impresa.
 
La Commissione ritiene anche ragionevole che il Consiglio federale faccia verificare dal Controllo federale delle finanze come siano state applicate le misure che ha ordinato. A tale proposito ha preso atto che la separazione delle reti di Confederazione e RUAG è complessa e richiede molto tempo, ma chiede pur tuttavia che essa sia accelerata con la massima urgenza. Si aspetta inoltre che il DDPS segua con spirito critico l’attuazione delle misure introdotte direttamente dalla RUAG e, se del caso, intervenga.
 
Nel quadro dei suoi accertamenti la CdG-N doveva anche verificare come il ciberattacco e le sue conseguenze erano stati recepiti nell’ambito della direzione strategica e come il competente DDPS si era mobilitato per tutelare gli interessi della Confederazione in quanto proprietaria. Infatti, nonostante RUAG – secondo indicazioni da essa fornite – non abbia finora subito danni economici diretti a causa del ciberattacco, la Commissione ritiene che non si debba sottovalutarne le conseguenze. In quanto proprietaria la Confederazione deve pertanto anche prendere in considerazione che l’accaduto può in particolare avere conseguenze indirette e a lunga scadenza proprio sull’andamento degli affari dell’impresa.
La CdG-N ha avuto alcuni dubbi sul fatto che nei confronti di RUAG il DDPS rappresenti in maniera adeguata gli interessi della Confederazione in quanto proprietaria e possa anche farli valere. A tal fine il DDPS dispone dei necessari strumenti anche se non li utilizza sufficientemente e in modo adeguato. Questo emerge dall’esempio dei contenuti degli obiettivi strategici e della loro verifica, in particolare per quanto riguarda i periodici colloqui al vertice. Questi servono attualmente soprattutto per informare costantemente sull’andamento degli affari. La Commissione ritiene tuttavia che essi dovrebbero anche essere l’occasione per discutere aspetti importanti e le relative conseguenze per il conseguimento degli obiettivi strategici o per permettere alla proprietaria di avanzare richieste o assegnare mandati. Alla CdG-N risulta pertanto incomprensibile che la gestione e le conseguenze del ciberattacco non siano state in alcun modo inserite fra i temi di ordine strategico dei colloqui fra DDPS e RUAG.
 
A questo proposito la Commissione deplora in particolare il fatto che importanti discussioni si svolgano in un contesto informale e che non ne rimanga traccia scritta. Al DDPS non manca così soltanto una solida base informativa, bensì anche la possibilità o uno strumento per applicare in modo durevole richieste e direttive strategiche.
 
La Commissione si aspetta quindi che in futuro il DDPS intervenga in maniera più decisa presso RUAG, facendo valere maggiormente le richieste e gli interessi della Confederazione. Rivolge inoltre al Consiglio federale tre raccomandazioni e sollecita da esso diversi accertamenti, che dovrebbero indurre miglioramenti nella direzione strategica delle imprese e unità rese autonome (governo d’impresa).
Presieduta dalla consigliera nazionale Doris Fiala (PLR, ZH), la CdG-N si è riunita a Berna l’8 maggio 2018.