La sicurezza informatica è una priorità crescente in un mondo sempre più digitalizzato. Per rafforzare la resilienza delle infrastrutture critiche svizzere, da oggi, 1° aprile 2025, entra in vigore l’obbligo di notifica degli attacchi informatici, introdotto dalla Legge sulla sicurezza delle informazioni (LSI, art. 74a e segg.) e disciplinato dalla nuova Ordinanza sulla cybersicurezza (OCS, artt. 12 e segg.). Questo nuovo adempimento mira a migliorare la protezione dei sistemi critici e a garantire un intervento rapido in caso di incidenti.
Il crescente numero di attacchi informatici e la loro complessità richiedono misure efficaci per ridurre i rischi e prevenire danni su larga scala. Le infrastrutture critiche, come banche, fornitori di energia e telecomunicazioni, sono obiettivi privilegiati per i cybercriminali, e una mancata risposta tempestiva potrebbe compromettere la sicurezza nazionale. La centralizzazione delle notifiche presso l’Ufficio federale della cybersicurezza (UFCS) consentirà un’analisi più rapida e una risposta coordinata agli attacchi, migliorando così la resilienza del Paese di fronte alle minacce digitali.
A chi si applica l’obbligo di notifica?
L’obbligo riguarda una vasta gamma di soggetti, elencati all’art. 74b LSI, tra cui:
- Banche, assicurazioni e infrastrutture dei mercati finanziari
- Assicurazioni sociali e istituti di previdenza
- Autorità federali, cantonali e comunali
- Scuole universitarie
- Organizzazioni responsabili di settori chiave (art. 74b, lett. c, LSI)
- Imprese attive nel settore delle telecomunicazioni, trasporti, aviazione civile e commercio di beni essenziali. Segnaliamo che, in quest’ultima categoria, rientrano anche le “imprese che dispongono di un’autorizzazione secondo la legge del 15 dicembre 2000 sugli agenti terapeutici per la fabbricazione, l’immissione in commercio e l’importazione di medicamenti” (art. 74b, lett. h, LSI)
- Fornitori di servizi cloud, motori di ricerca e produttori di hardware/software critici
Quando e come segnalare un attacco informatico?
La segnalazione è obbligatoria per attacchi che:
- Mettono in pericolo il funzionamento dell’infrastruttura critica, causando interruzioni di servizio o l’attivazione di piani di emergenza (art. 74e cpv. 1 LSI);
- Causano fughe, manipolazioni o cancellazioni di dati sensibili, mettendo a rischio la privacy e la sicurezza delle informazioni;
- Restano non rilevati per oltre 90 giorni;
- Sono accompagnati da minacce o richieste di riscatto.
Le organizzazioni colpite dovranno notificare l’attacco all’Ufficio federale della cybersicurezza (UFCS) entro 24 ore dalla rilevazione, utilizzando un modulo online dedicato (art. 74e cpv. 1 LSI). Eventuali dettagli mancanti potranno essere integrati entro 14 giorni (art. 74e cpv. 3 LSI, art. 16 OCS). La rapidità della notifica è cruciale per consentire un’azione tempestiva ed efficace, limitando i danni e prevenendo la diffusione degli attacchi ad altre infrastrutture.
Quali sono le conseguenze della segnalazione?
L’UFCS analizzerà le notifiche ricevute e fornirà supporto tecnico e organizzativo per mitigare gli impatti (art. 74 cpv. 3 LSI). Inoltre, le informazioni potranno essere inoltrate ad altre autorità competenti, come la FINMA, l’Incaricato federale della protezione dei dati (PFPDT) o altre entità regolatrici, a seconda della natura dell’attacco e delle sue implicazioni.
L’obiettivo principale di questo obbligo non è solo garantire la trasparenza nella gestione degli attacchi informatici, ma anche costruire un sistema di difesa collettiva in cui le organizzazioni possano beneficiare di informazioni aggiornate sulle minacce emergenti e sulle migliori strategie di protezione.
Cosa succede in caso di mancata segnalazione?
Se un’organizzazione non rispetta l’obbligo di segnalazione, l’UFCS concederà un termine per adempiere (art. 74g cpv. 1 LSI). In caso di ulteriore inadempienza, potrà essere emessa una decisione formale con il rischio di sanzioni fino a CHF 100’000 per la persona fisica responsabile (art. 74h cpv. 1 e 2 LSI).
Le basi legali relative alle sanzioni entreranno in vigore il 1° ottobre 2025, garantendo un periodo di transizione di sei mesi durante il quale non verranno applicate multe. Questo periodo servirà alle organizzazioni per adattarsi alle nuove normative e implementare le procedure necessarie per rispettare l’obbligo di notifica.
Come prepararsi al nuovo obbligo?
Per evitare sanzioni e garantire la sicurezza dei propri sistemi, le organizzazioni devono prepararsi in anticipo. Alcuni passi fondamentali includono:
- Aggiornare le procedure interne di sicurezza informatica, per assicurare una rapida identificazione e gestione degli attacchi;
- Formare il personale, affinché sia in grado di riconoscere potenziali minacce e di seguire le corrette procedure di segnalazione;
- Collaborare con esperti di cybersicurezza, per rafforzare la protezione delle infrastrutture IT e implementare strumenti avanzati di monitoraggio;
- Testare i piani di emergenza, per garantire una risposta efficace in caso di attacco;
- Stabilire un contatto diretto con l’UFCS, per agevolare il processo di segnalazione e ricevere supporto in caso di necessità.
L’introduzione dell’obbligo di notifica degli attacchi informatici rappresenta un passo fondamentale per rafforzare la sicurezza digitale della Svizzera. Una gestione centralizzata delle segnalazioni consentirà di migliorare la prevenzione e la risposta alle minacce cyber, proteggendo così le infrastrutture critiche e l’economia nazionale.
Le organizzazioni coinvolte sono invitate a prepararsi in anticipo, senza aspettare la scadenza dell’1 ottobre 2025, adottando procedure e strumenti adeguati per garantire la conformità alle nuove normative e contribuire a un ecosistema digitale più sicuro e resiliente. La sicurezza informatica non è solo una questione tecnica, ma un impegno collettivo che riguarda istituzioni, aziende e cittadini. La collaborazione e la condivisione delle informazioni saranno elementi chiave per affrontare con successo le sfide della cybersicurezza nei prossimi anni.
Per ulteriori approfondimenti su come implementare queste misure nella tua organizzazione, il nostro team di consulenti è a tua disposizione per supportarti.
