L’anno scorso la Commissione della gestione del Consiglio nazionale (CdG-N) ha proceduto a verifiche della sicurezza informatica di RUAG International e RUAG MRO. Queste verifiche dovevano chiarire se la Confederazione in qualità di proprietaria avesse reagito in modo adeguato al presunto ciberattacco reso noto nel maggio 2021. Inoltre la Commissione ha esaminato lo stato della sicurezza informatica delle due imprese, le interdipendenze esistenti e i rischi ad esse connessi. Si è quindi anche chiesta se negli ultimi anni le Commissioni della gestione fossero state informate dai dipartimenti competenti e dal Consiglio federale in modo trasparente e corretto sullo stato dello scorporo della RUAG.
Esame del presunto ciberattacco
La CdG-N è giunta alla conclusione che gli enti federali competenti hanno in linea di massima reagito in modo adeguato al presunto ciberattacco. Approva anche che RUAG International stessa abbia rapidamente avviato le misure necessarie e incaricato esperti esterni di esaminare approfonditamente le asserzioni. Ne è emerso che non sussistevano prove tangibili del presunto ciberattacco a RUAG International nel maggio 2021. A prescindere da ciò, le verifiche condotte in seguito al reportage mediatico hanno permesso di attirare l’attenzione di RUAG International su gravi lacune in materia di sicurezza informatica e di avviare diverse misure. La Commissione non comprende perché le lacune non fossero state individuate prima e RUAG International non avesse incaricato più precocemente una ditta specializzata di testare i suoi sistemi informatici. A suo parere tali test avrebbero dovuto essere eseguiti periodicamente non solo nell’interesse dell’impresa, ma anche della Confederazione in qualità di proprietaria. Invita pertanto il Consiglio federale, in particolare il DFF in qualità di dipartimento competente, a valutare la possibilità di imporre una simile esigenza nei confronti di RUAG International.
Stato dello scorporo e rischi
Secondo i responsabili le ultime interdipendenze esistenti tra RUAG International e RUAG MRO sarebbero state separate entro la fine del 2021 e lo scorporo sarebbe stato così completamente concluso. Per la CdG-N è estremamente importante che le due imprese garantiscano congiuntamente che nessun dato sensibile, in particolare nessun dato di RUAG MRO, rimanga sui sistemi di RUAG International. Siccome non può essere escluso che tali dati si trovino negli archivi e nei backup e in caso di vendita di parti di RUAG International cadano nelle mani di terzi, la Commissione ritiene opportuno esaminare ulteriori misure, tra cui in particolare un ulteriore, mirato controllo dei dati prima di ogni vendita. La CdG-N chiarirà questa tematica con i servizi competenti del DFF e del DDPS. Chiederà inoltre maggiori informazioni e una conferma della cancellazione dei dati dai sistemi di RUAG International.
Transparenza e informazione delle CdG
La Commissione giudica che l’informazione sullo stato dello scorporo sia stata troppo poco trasparente negli anni passati. Invita pertanto il Consiglio federale a garantire che il Collegio governativo, il DFF e il DDPS con i loro enti proprietari informino in futuro le commissioni di alta vigilanza in modo più trasparente e rapido sulle difficoltà incontrate durante lo scorporo di RUAG e, in particolare, nell’ambito dello sviluppo di RUAG International.
La CdG-N invita il Consiglio federale a prendere posizione sul suo rapporto e sulle sue raccomandazioni entro il 25 marzo 2022.