CF: Xplain, errori da parte della Confederazione, contromisure

(Keystone-ATS) Le inchieste sul ciberattacco subito dall’impresa Xplain hanno messo in luce errori da parte degli uffici federali di polizia e delle dogane, come anche dalla stessa società informatica. Per tale motivo, il Consiglio federale ha adottato oggi diverse contromisure.

Stando a una nota odierna dell’Incaricato federale della protezione dei dati e ella trasparenza (IFPDT), dati personali dell’ufficio federale di polizia (fedpol) e dell’Ufficio federale della dogana e della sicurezza dei confini (UDSC) sono confluiti alla ditta Xplain senza le necessarie misure di protezione dei dati. Quest’ultima, inoltre, li ha conservati contravvenendo alle norme di protezione dei dati e in parte anche ai contratti stipulati.

La situazione iniziale

Dopo l’attacco subito da Xplain nel maggio 2023, sono stati pubblicati sul darknet numerosi dati personali dell’Amministrazione federale, tra cui anche dati personali degni di protezione. Questi dati erano memorizzati su un server di Xplain.

Da qui l’apertura di tre inchieste da cui è emerso che né fedpol né l’UDSC avevano concordato in modo chiaro se fosse consentito, ed eventualmente a quali condizioni, memorizzare dati personali sul server di Xplain nel quadro delle attività di supporto fornite da quest’ultima. Sul server di Xplain si sono accumulati quindi dati provenienti dagli uffici federali. L’IFPDT ha anche constatato che la quantità di dati personali trasmessi nell’ambito di questo processo era sproporzionata.

Carenze da parte di Xplain

Da parte sua, Xplain, che non aveva alcuna possibilità di accedere alle banche dati di fedpol e dell’UDSC, avrebbe dovuto sapere che le funzioni di supporto, da essa stessa programmate, avrebbero potuto contenere anche dati personali e che questi ultimi sarebbero stati trattati sul suo server.

Per tali trattamenti, Xplain non ha adottato misure adeguate a garantire la sicurezza dei dati e la protezione delle informazioni secondo la buona prassi (best practice). Xplain ha quindi violato due principi in materia di protezione dei dati: quello della destinazione vincolata e quello della proporzionalità. Inoltre, nonostante i contratti comprendessero sporadicamente degli obblighi di cancellazione, la ditta ha conservato tali informazioni in violazione dei contratti.

Contromisure del governo

Parallelamente al lavoro di “Mister dati”, e sulla base di un’inchiesta amministrativa interna, il Consiglio federale ha adottato oggi provvedimenti per impedire future fughe di informazioni presso i fornitori di applicazioni informatiche da realizzare entro la fine dell’anno.

In particolare, la gestione della sicurezza dovrà essere rafforzata, introducendo fra l’altro regole supplementari per la collaborazione con i fornitori. Occorre corroborare la capacità di controllo e di eseguire verifiche. Dovrà inoltre essere elaborato un piano di formazione specifico alle funzioni per formare e sensibilizzare i collaboratori sulle prescrizioni di sicurezza vigenti. Infine, verrà realizzata una panoramica sui mezzi di comunicazione a disposizione delle autorità federali.

Per migliorare ulteriormente la sicurezza dei dati della Confederazione, l’esecutivo ha incaricato il Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) di esaminare la protezione di base delle TIC della Confederazione entro la fine del 2024 e di proporre eventuali adeguamenti. Entro lo stesso termine l’Ufficio federale della cibersicurezza (UFCS) dovrà indicare come si svolge concretamente il coordinamento tra Confederazione, Cantoni e fornitori nella gestione dei ciberattacchi e quali sono i criteri utilizzati per valutarne la portata.

Tali misure si aggiungono, ricorda la nota, alla legge sulla sicurezza delle informazioni entrata in vigore all’inizio dell’anno volta a migliorare la sicurezza in maniera sistematica e duratura. In particolare, alle unità amministrative viene inoltre richiesto di istituire e mettere in esercizio un sistema di gestione della sicurezza delle informazioni al più tardi entro fine 2026.

Tale sistema consente alla direzione di eseguire tutti i processi di sicurezza, come l’inventario delle informazioni e dei mezzi informatici, le valutazioni dei rischi, la sicurezza nella collaborazione con terzi, la formazione, la gestione degli incidenti o la pianificazione di verifiche.