Cyberattacchi alle infrastrutture critiche: entrano in vigore le sanzioni
Dal 1° aprile 2025 è in vigore in Svizzera l'obbligo legale di segnalare gli attacchi informatici alle infrastrutture critiche. L'Ufficio federale per la sicurezza informatica (UCCS) ha registrato un bilancio positivo dopo i primi sei mesi. Finora sono state ricevute 164 segnalazioni da parte di infrastrutture critiche. Dal 1° ottobre 2025 entreranno in vigore le sanzioni previste in caso di mancata segnalazione.
L'obbligo di segnalare gli attacchi informatici alle infrastrutture critiche è in vigore da sei mesi. Nel complesso, l'Ufficio federale per la sicurezza informatica (UCCS) è soddisfatto dell'attuazione: i gestori di infrastrutture critiche rispettano l'obbligo in tempo e segnalano i cyberattacchi entro 24 ore. Un aspetto particolarmente positivo è che i segnalanti utilizzano il Cyber Security Hub, che rende l'elaborazione molto più semplice per l'UACS. Anche prima dell'introduzione dell'obbligo di segnalazione, esisteva uno stretto rapporto di fiducia tra il BACS e molti operatori di infrastrutture critiche. Questa collaborazione di lunga data ha costituito la base per il successo del lancio dell'obbligo di segnalazione.
164 Notifiche di infrastrutture critiche
Dall'inizio di aprile il BACS ha ricevuto un totale di 164 segnalazioni da infrastrutture critiche. Gli attacchi DDoS sono stati segnalati più frequentemente (18,1%), seguiti da hacking (16,1%), ransomware (12,4%), furto di credenziali (11,4%), fughe di dati (9,8%) e malware (9,3%). In diversi casi sono stati descritti fenomeni combinati, come attacchi ransomware con contemporanea fuga di dati. I settori colpiti sono diversi. Il settore finanziario (19%) è stato finora il più colpito, seguito dal settore informatico (8,7%) e dal settore energetico (7,6%). Altre segnalazioni provengono dalle autorità, dal settore sanitario, dalle società di telecomunicazioni e, in casi isolati, dal servizio postale, dal settore dei trasporti, dall'industria dei media, dall'approvvigionamento alimentare e dal settore tecnologico.
Rafforzare lo scambio di informazioni
Le segnalazioni in arrivo vengono registrate e analizzate statisticamente. Le informazioni ottenute in questo modo non solo aiutano nella risposta specifica a un incidente, ma contribuiscono anche a una migliore valutazione della situazione nazionale di minaccia e servono come allarme precoce per altre organizzazioni potenzialmente interessate. Dall'entrata in vigore dell'obbligo di segnalazione, molte più organizzazioni sono state direttamente coinvolte nello scambio di informazioni. Di conseguenza, le segnalazioni e le raccomandazioni raggiungono direttamente un numero significativamente maggiore di organizzazioni.
Le sanzioni per la segnalazione di violazioni si applicheranno a partire dal 1° ottobre 2025.
Dal 1° ottobre 2025 entreranno in vigore le sanzioni previste dalla legge sulla sicurezza delle informazioni. Gli operatori di infrastrutture critiche che non adempiono all'obbligo di segnalazione possono essere multati fino a 100.000 franchi svizzeri. Se il BACS ha indicazioni che una segnalazione non è stata fatta, è obbligato a contattare prima gli operatori delle infrastrutture critiche. Il BACS può sporgere denuncia penale solo se le parti interessate non rispondono a questo contatto e al successivo ordine.
Fonte: Bacs
