I ciberattacchi gravi a infrastrutture critiche vanno obbligatoriamente segnalati. Lo pensa il Consiglio nazionale, che oggi, per 132 voti a 55, ha approvato una modifica in questo senso della legge sulla sicurezza delle informazioni (LSIn). L'oggetto passa agli Stati. Attualmente può essere difficile stilare una panoramica delle intrusioni informatiche sferrate perché le notifiche vengono effettuate su base volontaria, un sistema che, visto l'intensificarsi di tale minaccia, ora si vuole cambiare. "L'obbligo di segnalazione varrà comunque solo nel caso di conseguenze serie, come la messa in pericolo del funzionamento dell'infrastruttura colpita", ha spiegato il relatore commissionale François Pointet (PVL/VD). La revisione sancisce anche i compiti del Centro nazionale per la cibersicurezza (NCSC), creato nel 2019. In particolare, dovrà funzionare come servizio centrale a cui segnalare gli attacchi degli hacker.

Nelle intenzioni, questa modifica di legge consentirà all'NCSC di farsi un miglior quadro generale dei ciberattacchi perpetrati in Svizzera e delle modalità operative dei pirati informatici. Ciò garantirà una migliore valutazione della situazione di pericolo e i gestori di infrastrutture critiche potranno essere avvertiti tempestivamente. L'idea inoltre è che, grazie a tale novità, le organizzazioni vittime degli hacker saranno meno tentate a non denunciarli e a risolvere il problema pagando un riscatto. "La sfida è che questi criminali continuano a cambiare modo di agire: serve quindi essere informati rapidamente", ha detto la consigliera federale Viola Amherd. Il Nazionale non si è limitato ad accettare il disegno governativo, ma si è spinto oltre il progetto originale. Ha infatti introdotto anche l'obbligo di notificare le vulnerabilità dei sistemi informatici.

Contro la revisione si è espressa l'UDC, ma non per ragioni di principio. I deputati democentristi erano d'accordo sul fondo della questione, tuttavia non hanno digerito la possibilità di multare fino a 100'000 franchi chi non rispetta l'obbligo di segnalazione. "Si tratta di uno stimolo negativo che va contro l'auspicata collaborazione fra le parti", ha dichiarato David Zuberbühler (UDC/AR). "Chi è stato colpito non ha fatto niente di male, è una vittima, non il responsabile", ha cercato di convincere il plenum l'appenzellese. "Una sanzione impedisce che l'obbligo resti teorico", ha ribattuto Amherd. Il Nazionale ha seguito la ministra per 130 voti a 55. Un'altra minoranza UDC che voleva estendere la scadenza per la segnalazione da 24 a 72 ore considerando il termine di un giorno troppo limitante è stata respinta per 129 voti a 52. "Non c'è bisogno di dare più tempo, basta un avviso, non serve mica un dottorato", ha replicato commentando questa proposta Gerhard Andrey (Verdi/FR).