Cerca e trova immobili
Il Nazionale ha ribadito la volontà di estendere l'obbligo di segnalazione alle vulnerabilità delle apparecchiature informatiche.
BERNA - Aziende, amministrazioni pubbliche. Gli attacchi informatici non guardano in faccia a niente a nessuno, tanto che tra il 2020 e il 2022 in Svizzera sono triplicati, passando da quasi 11 mila a oltre 34 mila. Ecco perché è sempre più urgente rafforzare difesa e resistenza a questi attentati alla sicurezza informatica. Principio su cui hanno concordato oggi le due Camere del Parlamento. Tuttavia, manca ancora una vera intesa in merito all’obbligo di segnalazione. Con 102 voti a 80, oggi il Nazionale ha ribadito la volontà che si annuncino non solo gli attacchi a infrastrutture sensibili, ma anche le vulnerabilità delle apparecchiature informatiche. Il dossier ora torna agli Stati.
Combattere i ciberattacchi - La sicurezza informatica riguarda tutti, ha fatto notare Fabien Fivaz (Verdi/NE). Alle sue parole si sono aggiunte quelle di Ida Glanzmann-Hunkeler (Centro/LU), per la quale questo sforzo aggiuntivo è giustificato dalla volontà di migliorare la sicurezza. Non si tratta di un aumento sconsiderato dei costi, ha da parte sua rilevato François Pointet (PVL/VD) a nome della commissione.
Per Doris Fiala (PLR/ZH) le misure previste sono invece sufficienti, mentre David Zuberbühler (UDC/AR) ha criticato quello che ai suoi occhi è un eccessivo onere amministrativo per le aziende e lo Stato. La consigliera Viola Amherd ha tentato invano di combattere la proposta, affermando che non è chiaramente definita e non apporta un valore aggiunto sufficiente.
Manca una visione d'insieme - Le segnalazioni al Centro nazionale per la sicurezza informatica (NCSC) avvengono su base volontaria. Con le nuove norme, il NCSC, istituito nel 2019, dovrà funzionare come sportello unico per le segnalazioni. Inoltre, il NCSC dovrà offrire una valutazione tecnica e fornire un supporto sussidiario nella gestione dell'attacco. Se un operatore viola l'obbligo di segnalazione, sarà passibile di una multa fino a 100 mila franchi. Questa disposizione dovrebbe applicarsi solo se il soggetto attaccato si rifiuta attivamente di segnalare un grave problema.
Per garantire un allarme tempestivo, la segnalazione dovrà essere effettuata entro 24 ore dal rilevamento dell'attacco informatico o della vulnerabilità digitale. Il ventaglio delle aree di attività soggette all'obbligo è assai ampio: autorità, ospedali, aziende energetiche, università, organizzazioni con compiti pubblici (servizi di soccorso, trattamento delle acque), banche e compagnie di assicurazione. Sono inclusi anche i servizi informatici e di telecomunicazione, la SSR e le agenzie di stampa, i fornitori di medicinali, i servizi postali e i trasporti pubblici, l'aviazione, l'approvvigionamento alimentare, i registri dei domini Internet, i servizi digitali e le aziende informatiche.
