No. In quanto privato non è soggetto all'obbligo di segnalazione. Tuttavia, anche le segnalazioni volontarie aiutano l’UFCS a individuare le tendenze o ad adottare contromisure. Il modulo di segnalazione per le segnalazioni volontarie è disponibile qui:
https://www.report.ncsc.admin.ch/it/
Informazioni di base
In Svizzera, le aziende che gestiscono infrastrutture critiche sono tenute a segnalare i cyberincidenti. Queste aziende sono obbligate a segnalare i cyberincidenti all’UFCS. L'obbligo di segnalazione è disciplinato dalla legge sulla sicurezza delle informazioni (LSI) e dall'ordinanza sulla sicurezza informatica (CSV). Per le aziende che non fanno parte delle infrastrutture critiche, non esiste attualmente alcun obbligo legale di segnalare i cyberincidenti. Tuttavia, si raccomanda di segnalare volontariamente tali incidenti all’UFCS per contribuire alla sicurezza informatica generale.
Tutte le aziende con sede in Svizzera che rientrano nell'ambito di applicazione definito dalla legge e dall'ordinanza sono soggette all'obbligo di segnalazione.
Un attacco informatico deve essere segnalato se mette a rischio la funzionalità dell'infrastruttura critica interessata, se ha portato a una manipolazione o a una fuga di informazioni, se è rimasto nascosto per un periodo di tempo prolungato o se è collegato a estorsione, minaccia o coercizione.
Sì. Può segnalare gli incidenti informatici anche se non è soggetto all'obbligo di segnalazione. Si raccomanda addirittura di segnalare volontariamente tali incidenti all’UFCS. Ciò contribuisce alla sicurezza informatica generale e aiuta a individuare e combattere tempestivamente le potenziali minacce.
L'organizzazione interessata dall'attacco è sempre soggetta all'obbligo di segnalazione. Se si verifica un attacco e i propri clienti sono considerati infrastrutture critiche, è necessario effettuare la segnalazione secondo LSI/CSV. Nel caso dei comuni, ad esempio, anche il MSP può effettuare la segnalazione per conto del comune colpito dall'attacco informatico, ma ciò deve essere documentato di conseguenza.
I gestori delle reti sono soggetti all'obbligo di segnalazione, quindi in questo caso il cantone.
Processo di segnalazione
Sono disponibili le seguenti opzioni di notifica:
Quando l'obbligo di segnalazione entrerà in vigore nella prima metà del 2025, saranno disponibili le seguenti opzioni di segnalazione:
Le aziende che hanno un account sul Cyber Security Hub (CSH) dell'UFCS possono effettuare la segnalazione direttamente tramite questo portale.
Alle aziende segnalanti che non hanno ancora un conto CSH si raccomanda di aprire un conto sul Cyber Security Hub.
Ulteriori informazioni sono disponibili su:
Cyber Security Hub
Per le aziende che non dispongono di un account sul Cyber Security Hub, l'UFCS fornisce un canale alternativo di segnalazione via e-mail. Le informazioni su questa procedura saranno pubblicate sul sito web dell'UFCS prima dell'entrata in vigore dell'obbligo di segnalazione.
Sì. Anche se non si dispone ancora di informazioni complete, sarà necessario effettuare una segnalazione iniziale entro 24 ore. Potrà inviare una notifica finale con informazioni aggiuntive entro 14 giorni.
Può segnalare l'attacco informatico tramite il pulsante di notifica sul sito web dell’UFCS utilizzando un modello di e-mail. L’UFCS raccomanda la registrazione per le infrastrutture critiche soggette a obbligo di notifica sul CSH.
Ai sensi dell'art. 74 bis, comma 2, LSI, l'Ufficio federale per la cibersicurezza è tenuto a fornire informazioni a tutte le autorità e organizzazioni interessate in merito al loro eventuale assoggettamento all'obbligo di segnalazione. Su richiesta, emette una decisione in tal senso.
Per le organizzazioni registrate nel CSH (la piattaforma di scambio dell’UFCS con le imprese), il CSH indica se, secondo l’UFCS, appartengono o meno alle organizzazioni soggette all'obbligo di notifica.
L'onere aggiuntivo per le aziende è generalmente ridotto, poiché il modulo di segnalazione è molto semplice e si limita allo stretto necessario. Nell'ordinanza sulla sicurezza informatica, il Consiglio federale ha inoltre emanato ampie disposizioni di deroga per le piccole imprese.
Inoltre, l’UFCS è a disposizione di chi effettua la segnalazione per un primo aiuto, il che in molti casi può anche ridurre l'onere iniziale.
Gli account sul CSH sono account personali, non è possibile accedervi tramite e-mail di gruppo. L’UFCS deve essere in grado di identificare i partecipanti al CSH.
Eccezioni e casi speciali
No, in questo caso non si tratta di un attacco all'infrastruttura dell'infrastruttura critica. Tuttavia, il UFCS raccomanda un'accurata valutazione da parte di uno specialista IT.
In caso di attacco DDoS a un'applicazione non critica per l'azienda, non sussiste alcun obbligo di notifica automatico. È determinante se l'attacco mette a rischio la funzionalità dell'infrastruttura critica nel suo complesso. Finché l'interruzione del sistema non ha alcun effetto sulle funzioni critiche per l'azienda, i servizi principali non sono compromessi e non vi è alcun rischio di diffusione, l'incidente non è soggetto all'obbligo di notifica. L'obbligo di notifica si basa sull'effettivo impatto sulla funzionalità.
In tali casi, il fornitore interessato, ad esempio Q, è il primo responsabile della segnalazione dell'incidente, a condizione che rientri nell'obbligo di segnalazione. Tuttavia, l’UFCS dipende dalle segnalazioni degli utenti: se si notano segni di un tale incidente, si prega di comunicarcelo in modo che possiamo valutare la situazione e, se necessario, adottare misure.
Supporto da parte dell’UFCS e collaborazione
Se chi effettua la segnalazione indica espressamente che la sua segnalazione deve essere trasmessa ad autorità terze come l'IFPDT, la FINMA, l'UFAS o il SEPOS, la segnalazione viene inoltrata di conseguenza. In questo modo, diversi obblighi di segnalazione nei confronti di diversi organismi possono essere adempiuti centralmente tramite un unico modulo. Eventuali domande o richieste di informazioni supplementari saranno poi inviate direttamente dall'autorità competente all'organizzazione segnalante.
Gli istituti che sono soggetti all'obbligo di notifica ai sensi della legge sulla sicurezza delle informazioni (LSI; RS 128) possono presentare la loro notifica iniziale, che deve essere effettuata entro 24 ore dalla scoperta dell'attacco informatico, utilizzando il modulo di notifica dell'Ufficio federale per la cibersicurezza (UFCS). Esiste la possibilità di inoltrare contemporaneamente la segnalazione alla FINMA, a condizione che ciò possa garantire la trasmissione entro i termini previsti. La segnalazione dettagliata entro 72 ore deve essere comunque presentata tramite il portale di rilevamento e caricamento (EHP) della FINMA.
No, devono farlo i organizzazione stessi.
L’UFCS garantisce la protezione delle informazioni segnalate. Da quasi 20 anni, l’UFCS e le sue organizzazioni precedenti NCSC e MELANI si scambiano regolarmente informazioni con i gestori di infrastrutture critiche e trattano tali informazioni in modo riservato.
Anche le numerose segnalazioni che pervengono all’UFCS tramite il modulo di segnalazione sono trattate in modo confidenziale. Per avvertire la popolazione, queste segnalazioni vengono rese anonime, classificate e registrate statisticamente. Questo viene fatto anche con i dati provenienti dall'obbligo di segnalazione.
Non ci sarà una supervisione attiva per garantire il rispetto dell'obbligo di notifica. Se il UFCS riceve notizia di un attacco informatico soggetto a notifica che non è stato segnalato, contatta l'organizzazione interessata e la informa dell'obbligo di notifica. Se l'azienda non adempie comunque all'obbligo di notifica, il'UFCS emette un'ordinanza con minaccia di sanzione. Se la notifica continua a mancare, l’UFCS può sporgere denuncia presso le autorità competenti per l'applicazione della legge.
Quando l’UFCS riceve una segnalazione, questa viene analizzata da esperti. Se l'azienda interessata richiede assistenza, l’UFCS la contatta. Le segnalazioni di attacchi aiutano l’UFCS a valutare meglio la situazione di minaccia e ad avvertire le potenziali vittime in anticipo, in modo che possano adottare misure di protezione adeguate.
L’UFCS fornisce assistenza tecnica come primo supporto. Tuttavia, questo non deve competere con le offerte del mercato. A seconda dell'entità dell'attacco, l’UFCS chiederà quindi alle persone colpite di cercare aiuto presso aziende specializzate, se non lo hanno già fatto. L’UFCS è a disposizione delle vittime e degli specialisti eventualmente coinvolti per fornire consulenza.
No. L’UFCS non conduce trattative con gli estorsori. Tuttavia, fornisce assistenza tecnica di base e aiuta a valutare la situazione e a ripristinare i sistemi. La polizia e le autorità preposte all'applicazione della legge sono responsabili delle azioni legali o delle trattative.
Una conferma automatica di ricezione viene inviata immediatamente. Se avete bisogno di supporto tecnico, l’UFCS può essere contattato tramite il numero di reperibilità, anche al di fuori dell'orario d'ufficio e nei fine settimana.
Scadenze e conseguenze in caso di violazioni
Sono 14 giorni (anche sabato/domenica)
Dopo la scoperta dell'incidente, è necessario inviare una notifica all’UFCS entro 24 ore. In questo esempio, lunedì mattina.
L’UFCS può richiamare un'azienda soggetta all'obbligo di notifica all'obbligo di notifica legale solo se viene a conoscenza di un incidente informatico soggetto a notifica. Se non viene data una risposta tempestiva dopo questo avviso, l’UFCS emette un'ordinanza con minaccia di sanzione. Se la notifica non viene presentata anche dopo questo, l’UFCS può denunciare l'incidente alle autorità competenti per l'applicazione della legge.
I Cantoni sono responsabili del perseguimento e della valutazione delle violazioni delle decisioni dell’UFCS.
Ultima modifica 02.04.2025