Rafforzare la sicurezza delle informazioni a livello federale: il Consiglio federale avvia una revisione di legge

La nuova legge federale sulla sicurezza delle informazioni (LSIn) entrata in vigore il 1° gennaio 2024 disciplina la protezione delle informazioni e la cibersicurezza delle autorità federali. Stabilisce requisiti vincolanti per la gestione sicura di informazioni e sistemi d’informazione ed è intesa a prevenire rischi come ciberattacchi, attività di spionaggio e di sabotaggio o perdite involontarie di informazioni. Una sicurezza delle informazioni efficace protegge i dati, ad esempio in caso di ciberattacchi rivolti contro organi federali e imprese che lavorano con dati della Confederazione. In questo modo la LSIn fornisce un contributo importante a favore della capacità d’agire della Confederazione a livello digitale e operativo nonché della sicurezza interna ed esterna della Svizzera.

La LSIn ha consentito di avviare numerose misure volte a rafforzare in maniera sistematica e duratura la sicurezza delle informazioni della Confederazione. Tuttavia, la recente riforma del diritto federale in materia di sicurezza delle informazioni non è ancora conclusa. Nella pratica, talvolta già prima dell’entrata in vigore della legge il 1° gennaio 2024 è emerso che singole disposizioni comportano delle difficoltà a livello di applicazione. Inoltre sono state individuate nuove esigenze, ad esempio per quanto riguarda il trattamento dei dati nel contesto dei controlli di sicurezza relativi alle persone. Per questo motivo si intende perfezionare la LSIn in modo mirato e adeguarla in funzione delle esperienze pratiche maturate finora.

Precisare il campo d’applicazione

La LSIn si applica espressamente anche ai Cantoni qualora essi accedano a informazioni classificate della Confederazione o a mezzi informatici di quest’ultima. In futuro si intende disciplinare in maniera chiara che la LSIn si applica anche ai comuni e alle organizzazioni di diritto cantonale se accedono a dati della Confederazione ad esempio per controlli degli abitanti o per questioni legate agli ambiti della migrazione o della polizia. In questo modo si tiene conto della sicurezza delle informazioni in funzione delle competenze federali.

Adeguare in modo più semplice e rapido gli elenchi delle funzioni alle strutture organizzative

La revisione è intesa a rendere più semplice la creazione e l’aggiornamento degli elenchi delle funzioni per i controlli di sicurezza relativi alle persone in modo da poterli adeguare in tempi più rapidi in caso di modifiche delle strutture organizzative. In particolare si intende valutare se, anziché il Consiglio federale, siano i dipartimenti o addirittura gli uffici federali a dover creare e adeguare gli elenchi delle funzioni. In questo modo gli aggiornamenti necessari potrebbero essere effettuati in modo più rapido ed efficiente.

Verificare i livelli di classificazione

La LSIn ha ripreso i termini di classificazione (AD USO INTERNO, CONFIDENZIALE e SEGRETO) del sistema di classificazione precedente. Le esperienze maturate dimostrano che occorre migliorare la protezione delle informazioni classificate AD USO INTERNO. Inoltre, ad oggi importanti partner esteri classificano le loro informazioni più spesso SEGRETO anziché CONFIDENZIALE. Requisiti di sicurezza più severi rendono più difficile la cooperazione internazionale e comportano notevoli costi aggiuntivi a carico della Svizzera.

Alla luce di tale situazione, il mandato di revisione prevede una verifica del sistema di classificazione della Confederazione. In tale contesto dovranno essere verificate le designazioni dei livelli di classificazione nonché la loro compatibilità internazionale, con l’obiettivo di ottenere un sistema di classificazione uniforme per tutta la Confederazione. Su tale base il Consiglio federale deciderà in merito a possibili varianti.

Valutare la protezione sul piano penale delle informazioni classificate

La LSIn ha comportato l’adeguamento dei criteri per la classificazione delle informazioni. Tuttavia, i termini utilizzati dalle nuove norme differiscono in parte dalle disposizioni vigenti che garantiscono la protezione sul piano penale delle informazioni classificate. Nel corso di questi lavori di revisione si valuterà anche se queste disposizioni penali debbano essere armonizzate con la LSIn. Così facendo si intende impedire che nasca una lacuna normativa.

La ciberresilienza verrà trattata in separata sede

La LSIn disciplina anche compiti fondamentali della Confederazione volti ad aumentare la cibersicurezza della Svizzera, tra cui l’obbligo di segnalare ciberattacchi a infrastrutture critiche, il quale rientra nell’ambito di competenza dell’Ufficio federale della cibersicurezza (UFCS). Nell’estate del 2025 il Consiglio federale ha deciso di rafforzare la ciberresilienza dei prodotti digitali. Ha incaricato l’UFCS di elaborare un progetto di legge entro l’autunno del 2026 in collaborazione con l’Ufficio federale delle comunicazioni e la Segreteria di Stato dell’economia. Queste tematiche non sono oggetto della presente revisione della LSIn.

Procedura e scadenzario

La revisione della LSIn verrà preparata da un gruppo di lavoro diretto dalla SEPOS e con la partecipazione della Cancelleria federale e dei dipartimenti. Ai lavori legislativi parteciperanno anche i rappresentanti di altre autorità federali e dei Cantoni. La procedura di consultazione relativa alla revisione di legge è prevista per la metà del 2027.

• Comunicato stampa del Consiglio federale del 8 novembre 2023: Il Consiglio federale mette in vigore la legge sulla sicurezza delle informazioni
• Comunicato stampa del Consiglio federale del 20 agosto 2025: Il Consiglio federale vuole rafforzare la ciberresilienza dei prodotti digitali
• Comunicato stampa del Consiglio federale del 3 settembre 2025: Sicurezza delle informazioni nella Confederazione: nel 2024 nessun incidente grave