Dal 1° ottobre 2025 entrerà in vigore in Svizzera il regime sanzionatorio previsto dalla Legge sulla sicurezza delle informazioni (LSIn) relativo all’obbligo di segnalare ciberattacchi su infrastrutture critiche.
L’obbligo di segnalare è già operativo dal 1° aprile 2025.
Dal 1° ottobre 2025 invece si applica il regime sanzionatorio: chi omette di segnalare gli incidenti nei casi previsti potrà essere punito con multe.
L’UFCS può intervenire se un un’autorità o un’organizzazione non segnala ciò che è obbligato a segnalare, e può imporre scadenze e multe. Se l’obbligo continua a non essere rispettato, possono esserci sanzioni fino a 100.000 franchi.
Se la violazione avviene nell’ambito di un’azienda, si applicano le regole del diritto penale amministrativo (art. 6 DPA). Se la multa prevista è sotto i 20.000 franchi e sarebbe troppo complicato identificare i singoli colpevoli, l’autorità può multare direttamente l’azienda. Nei casi di inosservanza di decisioni dell’UFCS, spetta ai Cantoni occuparsi del procedimento e della sanzione.
Facciamo ora un veloce ripasso:
La LSIn impone che le autorità e le organizzazioni soggette all’obbligo di notifica (Art. 74b Autorità e organizzazioni assoggettate all’obbligo di segnalazione) segnalino i ciberattacchi all’Ufficio federale della cibersicurezza (UFCS) entro 24 ore dal momento in cui l’attacco è identificato.
Se al momento della segnalazione non sono ancora note tutte le informazioni necessarie, l’autorità o l’organizzazione assoggettata all’obbligo di segnalazione completa la stessa non appena dispone di nuove informazioni.
Un ciberattacco deve essere segnalato (Art. 74d Ciberattacchi da segnalare) se:
a. compromette il funzionamento dell’infrastruttura critica interessata;
b. ha comportato una manipolazione o una fuga di informazioni;
c. non è stato identificato per un periodo prolungato, in particolare se vi sono indizi secondo cui potrebbe essere stato effettuato per preparare altri ciberattacchi; o
d. è connesso al reato di estorsione, minaccia o coazione.
