Ri­schi in­for­ma­ti­ci: af­fron­ta­re in­sie­me i pe­ri­co­li

Posizioni11 Febbraio 2019

Il Consiglio federale intende combattere attivamente i rischi informatici e adottare le misure necessarie per preservare la sicurezza della Svizzera contro le minacce provenienti dal cyberspazio. A questo scopo, il 18 aprile 2018 ha licenziato la nuova Strategia nazionale per la protezione della Svizzera contro i rischi cibernetici (SNPC 2.0) per il periodo 2018–2022. La Strategia stabilisce sette obiettivi ripartiti su dieci campi d'azione.

L'ASA sostiene i sette obiettivi strategici della SNPC 2.0.

Situazione di partenza

La strategia è basata sui lavori svolti nel quadro della prima SNPC (2012–2017) ed è stata estesa e, laddove necessario, completata con nuove misure affinché possa rispondere alle minacce attuali. Messa a punto in collaborazione con il mondo economico, i Cantoni e le scuole universitarie, funge da base per la necessaria concentrazione di sforzi comuni volti a ridurre i rischi informatici.

Al contempo il settore assicurativo ha elaborato un documento di base e una presa di posizione relativi ai rischi informatici in cui viene presentato un catalogo di misure per il settore e la politica. Con queste misure si mira a rafforzare la tutela contro i rischi informatici.

Obiettivi strategici giusti e importanti

Il settore assicurativo svizzero sostiene i sette obiettivi strategici della SNPC. I tre obiettivi seguenti sono di particolare importanza per noi.

  • La Svizzera sviluppa delle misure efficaci volte a ridurre i rischi informatici e le attua nell'ambito del programma di prevenzione.
  • La protezione della Svizzera contro i rischi informatici viene percepita come un compito comune della società, dell'economia e dello Stato; le responsabilità e le competenze vengono definite chiaramente e assunte da tutti gli attori interessati.
  • La Svizzera analizza attentamente gli attacchi informatici che si sono verificati all'interno e all'esterno del Paese traendone i necessari insegnamenti e definisce misure ad hoc sulla base delle conoscenze acquisite.

Si prende inoltre atto con soddisfazione del fatto che il Consiglio federale si rivolge esplicitamente all'economia. La creazione di condizioni quadro particolarmente sicure per le imprese svizzere è un presupposto per la competitività dell'economia svizzera. Si accoglie con favore il supporto sussidiario alle offerte del mercato fornito in modo specifico nella gestione dei rischi informatici.

Misure comuni

Tra le misure identificate dalla Confederazione, quattro si prestano particolarmente per un'attuazione comune. Si tratta delle misure seguenti:

  • Valutazione e introduzione di standard minimi,
  • Verifica dell'obbligo di notifica degli incidenti informatici e decisione in merito alla relativa introduzione,
  • Creazione di servizi per tutti i tipi di aziende (ad. es. consulenza, informazioni, ecc.) da parte della Confederazione,
  • Sensibilizzazione dell'opinione pubblica sui rischi informatici (consapevolezza).

Queste quattro misure figurano anche nel documento di base e nella presa di posizione dell'ASA. Per l'economia sono però importanti anche le seguenti misure che accogliamo con grande favore:

  • Individuazione precoce di tendenze e tecnologie come pure acquisizione delle conoscenze e comunicazione dei risultati agli attori del mondo scientifico, economico, politico e sociale.
  • I risultati relativi alla situazione di minaccia non devono più essere messi a disposizione unicamente delle autorità e dei gestori di infrastrutture critiche, ma devono essere resi accessibili in forma adeguata anche ad altre aziende svizzere e alla popolazione.

Ulteriori misure necessarie

Le misure essenziali chieste dall'ASA nel suo documento di base sono previste dalla strategia federale. Esistono tuttavia anche altre misure importanti per gli assicuratori.

  • Va introdotto o ampliato il resilience management a livello aziendale, in particolare al fine di evitare il rischio di accumulazione dell'economia nazionale e di permettere anche in futuro l’assicurabilità dei rischi informatici.
  • È assolutamente necessaria una cooperazione nazionale e internazionale (ad es. statistica comune dei danni, gestione delle crisi, minacce, perseguimento penale, ecc.). Ciò vale anche per il settore assicurativo.
  • L’industria assicurativa deve promuovere la creazione di un sapere nel settore della consulenza sulle minacce informatiche e del disbrigo dei sinistri.

Collaborazione durante l'attuazione

Attualmente la Confederazione sta elaborando il piano di attuazione. Per quanto riguarda le misure indicate sia nella SNPC 2.0, sia nel documento di base, l'ASA collabora attivamente con la Confederazione allo scopo di integrare gli interessi del settore assicurativo. In merito a singoli temi la collaborazione è stata estesa anche ad associazioni in Svizzera e all'estero che condividono le stesse posizioni.