Nel rapporto di attività l’AVI-AIn fornisce informazioni dettagliate soltanto a proposito di verifiche selezionate. Per ogni verifica conclusa, l’AVI-AIn pubblica costantemente sul proprio sito Internet un riassunto dei risultati2.
2 https://www.ab-nd.admin.ch/it/pruefplan-und-pruefberichte.html
Piano di controllo
L’AVI-AIn svolge verifiche in base ai rischi nei seguenti ambiti:
- «Strategia e pianificazione»;
- «Organizzazione»;
- «Collaborazione»;
- «Acquisizione»;
- «Risorse»;
- «Trattamento dei dati/archiviazione».
«L’AVI-AIn ha lavorato a 19 verifiche, per 16 delle quali nell’anno in esame è stato possibile ultimare tutti gli atti operativi.»
Nel 2022 l’AVI-AIn ha lavorato complessivamente a 19 verifiche, anche se inizialmente ne erano previste 15 . Poiché il tema HUMINT era già stato esaminato a inizio anno, nel 2022 l’AVI-AIn ha rinunciato a ripetere la verifica «22-9 Fonti Umane (HUMINT)» e l’ha spostata al 2023. Inoltre, ha svolto due verifiche risalenti al 2021 e tre verifiche non pianificate aggiuntive. In sintesi, l’AVI-AIn ha lavorato a 19 verifiche, per 16 delle quali nell’anno in esame è stato possibile ultimare tutti gli atti operativi . Sempre nel 2022, è stato possibile ultimare il rapporto su sette verifiche, mentre per altre sei il rapporto è stato elaborato nel primo trimestre 2023.
Verifiche nel 2022
Strategia e pianificazione
Nell’ambito «Strategia e pianificazione» l’AVI-AIn svolge verifiche su temi che riguardano la pianificazione strategica delle autorità di intelligence della Svizzera a breve, medio e lungo termine nonché la definizione dei loro obiettivi. Nel 2022 per questo ambito era prevista la seguente verifica:
- 22-1 Anticipazione e riconoscimento precoce (SIC)
[22-1] Anticipazione e riconoscimento precoce (SIC)
Il riconoscimento precoce e l’anticipazione di minacce rilevanti e di sviluppi strategici nonché le loro opportunità rivestono un’importanza centrale nella politica di sicurezza. Ma che cosa sono esattamente riconoscimento precoce e anticipazione? Il riconoscimento precoce serve all’identificazione e alla comprensione di una minaccia. Questa può essere nuova o risultare da un mutamento della situazione. Al riconoscimento precoce fa seguito l’anticipazione, che è intesa influenzare l’evolversi di una situazione con azioni concrete. Questo modus operandi è essenziale: si tratta di diventare attori del cambiamento, pianificando e adottando oggi misure che consentano di prepararsi domani a una prossima trasformazione.
Il SIC svolge un ruolo importante nel riconoscimento precoce e nell’anticipazione di minacce rilevanti. Secondo la prefazione del capo del DDPS nel rapporto sulla situazione «LA SICUREZZA DELLA SVIZZERA 2021», una migliore individuazione tempestiva dovrebbe consentire di contrastare in maniera ancora più mirata le ciberminacce, le attività illegittime di disinformazione e di propaganda rivolte contro la Svizzera e le cosiddette minacce ibride. Queste ultime si verificano nei moderni scenari di conflitto, combinando classici impieghi militari con pressione economica, attacchi informatici o propaganda su media e reti sociali. Tali fenomeni assumono sempre più importanza nell’ambito della politica di sicurezza e vanno tenuti maggiormente in considerazione.
L’acquisizione e il trattamento delle informazioni servono all’individuazione tempestiva e alla prevenzione delle minacce rivolte alla sicurezza interna ed esterna. Gli sviluppi sociali e tecnologici nonché le attuali minacce, di dimensioni sempre più globali, rendono necessario il fatto che il SIC le riconosca meglio e tempestivamente e vi risponda in modo rapido ed efficace.
La quantità di informazioni disponibili praticamente in tempo reale grazie alle moderne tecnologie dell’informazione non rende affatto superflui i servizi informazioni. Sono necessari per setacciare e valutare le innumerevoli segnalazioni, nonché per integrare e verificare informazioni sulla base di dati non liberamente accessibili, per poi comprimerle tempestivamente in analisi della situazione. Soltanto così si garantisce che il Consiglio federale disponga di un presupposto solido per prendere decisioni strategiche. L’AVI-AIn ha incluso questa verifica nel suo piano di controllo per verificare se e come il SIC adempie a questo importante compito. Al momento di redigere il presente rapporto di attività il pertinente rapporto della verifica era in procinto di essere ultimato. Dopo avere ultimato e inviato il rapporto definitivo al DDPS, l’AVI-AIn pubblicherà il riassunto della verifica sul proprio sito Internet.
Organizzazione
Nell’ambito «Organizzazione» l’AVI-AIn verifica l’idoneità della struttura e dei processi dei servizi informazioni, interrogandosi sul fatto di sapere se possano consentire un adempimento conforme alla legge, adeguato ed efficace del mandato legale di queste autorità. Nel 2022 l’AVI-AIn ha svolto in questo ambito la seguente verifica:
- 22-2 Business Continuity Management (BCM) e desaster recovery dell’infrastruttura informatica
[22-2] Business Continuity Management (BCM) e desaster recovery dell’infrastruttura informatica
Eventi imprevisti quali danneggiamenti dei cavi causati da lavori di costruzione o disastri quali inondazioni, ma anche minacce che attaccano direttamente l’infrastruttura informatica (IT) colpiscono non soltanto i privati, ma anche aziende e organizzazioni governative. Il Business Continuity Management (BCM) si occupa dell’analisi e della gestione dei rischi che tali minacce comportano per l’intera azienda. Data la grande dipendenza dell’operatività dalla tecnologia dell’informazione, la presenza di un’infrastruttura informatica a prova di danno è essenziale per la sopravvivenza di un’organizzazione. In tal senso, IT-BCM è il supporto tecnico di Business Continuity Management e assicura che l’infrastruttura informatica e i relativi servizi IT sopravvivano anche a un caso di catastrofe, ovvero possano essere ripristinati entro tempi ragionevoli e secondo priorità definite. Il BCM si occupa quindi del mantenimento di una capacità di produzione minima in ogni situazione e dell’individuazione, tra l’altro, dei processi aziendali critici necessari a tale scopo. L’IT-BCM, invece, fa in modo che vi siano l’indispensabile infrastruttura informatica nonché i necessari dati e applicazioni con una certa ridondanza e che possano essere resi disponibili nuovamente in tempo utile dopo un danno.
Compito prioritario dei servizi informazioni è l’acquisizione e il trattamento di dati per raccogliere informazioni necessarie alla sicurezza del Paese. A tal proposito, come tutte le altre organizzazioni il cui modus operandi si basa sull’elaborazione delle informazioni, i servizi informazioni dipendono in misura particolarmente elevata da sistemi informatici sempre altamente disponibili. Pertanto, le catastrofi summenzionate colpiscono siffatte organizzazioni direttamente al cuore dei loro processi aziendali. La perdita di tecnologia dell’informazione porta infatti nell’immediato a una degradazione della loro capacità di garantire processi aziendali critici. BCM e IT-BCM stanno in una relazione particolarmente stretta con queste organizzazioni. Ciò ha indotto l’AVI-AIn a esaminare il Business Continuity Management dell’informatica e il desaster recovery dell’infrastruttura informatica presso il COE.
Durante la sua verifica l’AVI-AIn ha constatato che nelle sue considerazioni il COE si basa soprattutto sulla gestione interna del rischio. In questo contesto la prevenzione e la riduzione dei rischi a un livello accettabile hanno una valenza altrettanto importante che garantire il ripristino dell’infrastruttura informatica dopo il verificarsi di uno scenario di catastrofe.
Oltre a ciò, il COE lavora costantemente per ottimizzare le proprie capacità nel BCM e il desaster recovery dell’infrastruttura informatica. In questo lavoro rientrano l’allestimento e l’ulteriore sviluppo di strategie e piani, ma anche costanti investimenti nell’infrastruttura informatica, in modo che i meccanismi di backup e di desaster recovery si trovino allo stato più attuale della tecnologia disponibile.
Nel complesso, l’AVI-AIn è giunta alla conclusione che il COE è ben attrezzato nel settore del BCM dell’IT e nel desaster decovery dell’infrastruttura informatica.
Collaborazione
«Oltre a una verifica sul posto comprendente un colloquio specialistico con i collaboratori SICant e una visita sul posto, l’AVI-AIn effettua controlli a campione nei vari sistemi d’informazione.»
Nell’ambito «Collaborazione» l’AVI-AIn verifica la collaborazione dei servizi con autorità nazionali e internazionali. L’AVI-AIn verifica ogni anno la collaborazione con servizi informazioni cantonali (SICant) selezionati. Nel 2022 sono stati i seguenti:
- 22-3 Servizio informazioni cantonale del Vallese (SICant / SIC);
- 22-4 Servizio informazioni cantonale di Glarona (SICant / SIC);
- 22-5 Servizio informazioni cantonale di Turgovia (SICant / SIC);
- 22-6 Servizio informazioni cantonale di Zugo (SICant / SIC);
- 22-7 Servizio informazioni cantonale di Svitto (SICant / SIC).
[22-3 a 22-7 ] verifiche dei servizi informazioni cantonali di Vallese, Glarona, Turgovia, Zugo e Svitto
Nel 2022 l’AVI-AIn ha verificato le attività informative dei SICant dei Cantoni Vallese, Glarona, Turgovia, Zugo e Svitto. Da quando ha iniziato la sua attività di vigilanza, l’AVI-AIn ha così esaminato complessivamente 22 SICant3. La verifica dei rimanenti quattro SICant è prevista per il periodo di controllo 2023.
Per garantire la comparabilità, l’AVI-AIn controlla tutti i SICant secondo il medesimo approccio. Oltre a una verifica sul posto comprendente un colloquio specialistico con i collaboratori SICant e una visita sul posto, l’AVI-AIn effettua controlli a campione nei vari sistemi d’informazione.
Da tutte le verifiche dei SICant effettuate nel corso del 2022 è risultato che la collaborazione tra il SIC e i SICant è in linea di principio da buona a ottima in tutti gli ambiti dell’intelligence. I SICant dispongono di buone o addirittura ottime conoscenze di intelligence e sono motivati ad adempiere i propri compiti di informazione. In media, l’AVI-AIn ha esaminato cinque mandati assegnati dal SIC a ciascuno dei rispettivi SICant dal 2020 al 2022 per quanto riguarda l’obiettivo di acquisizione, le azioni compiute, i risultati ottenuti e il rispetto delle scadenze imposte dal SIC. A seguito dei risultati di questi controlli a campione e del riscontro del SIC sotto forma di una valutazione della prestazione, l’AVI-AIn è giunta alla conclusione che le SICant verificate hanno svolto i mandati attribuiti loro dal SIC in modo conforme alla legge e puntuale nonché con una qualità soddisfacente per quest’ultimo.
Per mancanza di risorse e di possibilità tecniche per il trattamento dei dati, il SICant Zugo ha conservato file audio non elaborati su un disco rigido esterno per un lungo periodo di tempo. L’AVI-AIn ha raccomandato al SIC di assicurarsi che le vigenti disposizioni relative alla durata del periodo di conservazione dei dati al di fuori della rete del SIC vengano rispettate dai SICant. In futuro, l’organo di controllo della qualità del SIC (CQ SIC) dovrà includere nei controlli a campione periodici la verifica di dati su supporti di dati esterni messi a disposizione dallo stesso SIC.
Il differente funzionamento dei singoli SICant si esprime soprattutto nel caso dei piccoli SICant con poche risorse di personale. In un SICant, il direttore non svolgeva attività di intelligence e non aveva accesso ai sistemi d’informazione del SIC. In un altro SICant il direttore supplente copriva esclusivamente le assenze del direttore, senza però venire coinvolto nell’attività quotidiana. In entrambi i casi queste singole forme organizzative non hanno però avuto alcun impatto negativo visibile sull’adempimento dei mandati.
Il previsto adeguamento della chiave di ripartizione per gli indennizzi del SIC ai SICant, in vigore fino alla fine del 2022, ha suscitato il disappunto soprattutto dei SICant di piccole dimensioni, interessati da un possibile taglio. Il SIC e la Conferenza dei comandanti delle polizie cantonali della Svizzera (CCPCS) hanno pertanto istituito un gruppo di lavoro che all’inizio del 2023 definirà di concerto i criteri da rispettare per la prossima chiave di ripartizione. A tal fine, la durata di validità dell’attuale chiave di ripartizione è stata prorogata fino a fine 2023.
3 Lucerna, Nidvaldo, Obvaldo, Uri
Acquisizione
«Il SIC deve sceliere la misura di acquisizione che incide il meno possibile sui diritti fondamentali delle persone interessate.»
L’acquisizione di informazioni è un compito fondamentale dei servizi informazioni, che a tal fine possono utilizzare vari mezzi. Quelli che incidono in modo più invasivo nella sfera privata delle persone interessate sono oggetto di un’attenzione particolare da parte dell’AVI-AIn.
Ogni anno si svolge, in particolare, una verifica nell’ambito HUMINT. Prevista nel 2021, la verifica «21-15 HUMINT» non ha potuto essere completata quello stesso anno ed è stata conclusa soltanto nel 2022. Per questo motivo è stata annullata la verifica «22-9 Fonti umane (HUMINT)», prevista per il 2022. Inoltre, sempre nel 2022, l’ambito HUMINT è stato altresì esaminato mediante un’altra verifica («22-13 Flussi finanziari dissimulati») nell’ambito «Risorse».4
Nel 2022 l’AVI-AIn ha svolto le seguenti verifiche nell’ambito «Acquisizione»:
- 21-15 HUMINT (SIC);
- 22-8 Operazioni, accertamenti operativi e misure di acquisizione soggette ad autorizzazione (SIC);
- 22-10 Acquisizione di informazioni per mezzo di misure di acquisizione non soggette ad autorizzazione (SIC);
- 22-11 Gestione dell’acquisizione di informazioni (SIC):
- 22-12 Gestione e selezione dei sensori nel Servizio informazioni militare (SIM).
[22-10] Acquisizione di informazioni per mezzo di misure di acquisizione non soggette ad autorizzazione (SIC)
Per adempiere i suoi compiti, il SIC acquisisce informazioni tanto da fonti accessibili al pubblico quanto da fonti non accessibili al pubblico.5 Deve sempre scegliere la misura di acquisizione che incide il meno possibile sui diritti fondamentali delle persone interessate . Il SIC può applicare autonomamente e senza una specifica autorizzazione esterna talune misure atte all’acquisizione di informazioni se l’intensità della loro ingerenza nei diritti fondamentali è relativamente esigua. Tra di esse figurano fonti d’informazione pubbliche, osservazioni in luoghi pubblici e liberamente accessibili, il ricorso a fonti umane nonché segnalazioni per la ricerca di persone e oggetti. L’AVI-AIn si è occupata principalmente delle osservazioni (p. es. mediante registrazioni su supporto audiovisivo) in luoghi pubblici e liberamente accessibili (p. es. aeroporti, strade o stazioni ferroviarie) e dell’utilizzo del sistema di ricerca informatizzato di polizia (RIPOL), inclusa la parte nazionale del Sistema d’informazione di Schengen (N-SIS).
Qualsiasi osservazione effettuata in luoghi pubblici e liberamente accessibili richiede un’analisi molto accurata delle circostanze sul posto, poiché la questione della necessità o meno di un’autorizzazione per l’acquisizione di informazioni può dipendere, ad esempio, dall’angolo di ripresa di una telecamera. Anche la registrazione di colloqui può rivelarsi una faccenda spinosa, innanzitutto perché la definizione penale di ciò che è oppure non è una discussione in ambito privato complica l’attuazione di misure nella vita reale. L’AVI-AIn ha quindi esaminato tutti i processi per l’attuazione di tali misure nonché i pertinenti mezzi tecnici, utilizzati per acquisire e trattare siffatte informazioni.
Il sistema RIPOL viene utilizzato dalle autorità di polizia della Confederazione e dei Cantoni per disporre la segnalazione, a scopo di ricerca, di persone e cose in Svizzera. Anche il SIC può disporre la segnalazione, a scopo di ricerca, di persone e veicoli nel sistema RIPOL se sussistono indizi fondati che la persona rappresenta una minaccia concreta per la sicurezza interna o esterna del nostro Paese, che il veicolo è utilizzato per una siffatta minaccia o che quando la determinazione del luogo in cui si trova una persona o un veicolo è necessaria per tutelare interessi nazionali importanti. Il N-SIS serve a trattare le medesime segnalazioni ma a livello internazionale nell’area Schengen. Quanto all’utilizzo di RIPOL e N-SIS, l’AVI-AIn ha analizzato i processi necessari a effettuare le segnalazioni. L’analisi ha riguardato parimenti le autorizzazioni d’accesso e la gestione e il controllo delle consultazioni di dati da entrambi i sistemi. In tale contesto l’AVI-AIn ha effettuato atti di verifica presso il SIC nonché accertamenti presso l’Ufficio federale di polizia (fedpol).
Al momento di redigere il presente rapporto di attività il corrispondente rapporto della verifica non era ultimato, cosicché non è stato ancora possibile effettuare una valutazione.
4 Cfr. numero 5.2.5
5 Art. 5 della legge federale del 25 settembre 2015 sulle attività informative (LAIn; RS 121).
[22-11] Gestione dell’acquisizione di informazioni (SIC)
L’unità «Gestione dell’acquisizione» (Beschaffungsmanagement, di seguito BM) è subordinata al settore di direzione Acquisizione del SIC. La BM riprende uno dei compiti fondamentali dell’acquisizione di informazioni coordinando i mandati di acquisizione di intelligence. Inoltre, allestisce costantemente una panoramica generale delle attività di acquisizione nel SIC. In linea di principio, questa unità organizzativa rappresenta il fulcro della competenza primaria di acquisizione delle informazioni del SIC.
Nelle verifiche effettuate finora l’AVI-Ain si è spesso occupata di questioni connesse alla gestione dell’acquisizione, ma non ne ha mai verificato in dettaglio le attività. Nel contesto di questa verifica, l’AVI-AIn ha perciò esaminato in particolare se:
- compiti, competenze e responsabilità nella BM sono appropriati ed efficaci ai fini dell’adempimento dei compiti del SIC di cui all’articolo 6 LAIn;
- l’unità BM è adeguatamente integrata nella struttura del SIC;
- la collaborazione con altri servizi nel SIC e terzi si svolge in modo appropriato ed efficace.
In questo contesto l’AVI-AIn ha verificato l’intera unità BM, che consiste nella gestione dell’acquisizione in senso stretto – chiamata anche Collection-Management – e in altri due ambiti.
Per questa verifica l’AVI-AIn ha vagliato l’ampia documentazione che descrive compiti, competenze e responsabilità della gestione dell’acquisizione e degli ambiti ivi contenuti, tra cui manuali, processi, promemoria e processi di gestione delle pratiche.
In seguito l’AVI-AIn ha confrontato le modalità operative descritte nella documentazione con la loro effettiva applicazione. Ha ottenuto le pertinenti informazioni da interviste ai collaboratori dell’unità BM e dalla rassegna a campione dei casi trattati nel sistema di gestione delle pratiche di detti collaboratori.
Per esaminare la collaborazione con altri servizi del SIC e con terzi, l’AVI-AIn ha condotto colloqui con ulteriori collaboratori del SIC, ad esempio del settore Analisi, il cui lavoro quotidiano è direttamente interessato dai compiti della gestione dell’acquisizione. Gli analisti elaborano i mandati di acquisizione, che vengono poi verificati ed eventualmente respinti dalla BM onde essere completati o corretti. Ai servizi esterni vengono inoltre poste domande scritte concernenti la collaborazione quotidiana con la BM Tra di essi si annoverano, in particolare, il servizio indipendente di sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (Servizio SCPT) e il COE.
L’AVI-AIn è giunta alla conclusione che non è possibile situare con assoluta chiarezza le responsabilità relative ai mandati di acquisizione. L’AVI-AIn ha raccomandato l’ottimizzazione di taluni processi. Il DDPS ha inoltrato al SIC le due raccomandazioni formulate affinché le metta in atto.
[22-12] Gestione e selezione dei sensori nel Servizio informazioni militare (SIM)
In questa verifica si trattava principalmente di sapere se la gestione e la selezione dei sensori nel SIM in occasione di interventi dell’esercito avvengono in modo conforme alla legge, adeguato ed efficace. Con lettera del 26 novembre 2021 sulla bozza del Piano di controllo 2022, la Delegazione delle Commissioni della gestione (DelCG) ha comunicato all’AVI-AIn che, ad esempio, l’assegnazione del mandato all’esplorazione radio e la pianificazione dei contatti con servizi partner della SIM sono impostate sul lungo periodo e non potrebbero essere orientate a breve termine verso nuovi obiettivi di acquisizione. Appare perciò poco opportuno analizzare la gestione dei sensori a partire dai processi amministrativi del SIM. Sarebbe più sensato esaminare la gestione dei sensori del SIM nel caso di impieghi concreti dell’esercito. L’AVI-AIn ha tenuto conto di questa indicazione nella configurazione delle verifiche e ha focalizzato gli atti di verifica su impieghi concreti selezionati dell’esercito in Svizzera e all’estero.
«L’AVI-AIn ha constatato che la gestione e la selezione dei sensori nel SIM sono avvenute in modo conforme alla legge, adeguato ed efficace a livello nazionale.»
L’AVI-AIn ha constatato che la gestione e la selezione dei sensori nel SIM sono avvenute in modo conforme alla legge, adeguato ed efficace per quanto riguarda gli impieghi di servizio d’appoggio nel nostro Paese (concretamente in occasione del World Economic Forum 2022 a Davos e dell’Ukraine Recovery Conference 2022 a Lugano). Oltre ai consueti atti di verifica, ad esempio la consultazione di documenti, indicatori di questo esito sono stati anche un sopralluogo svolto nel settore d’impiego operativo del SIM e audizioni in seno al SIM stesso. Nella sua valutazione l’AVI-AIn ha tenuto conto anche del bilancio positivo sull’impiego del SIM espresso da tutti i partecipanti alle suddette conferenze.
Gli atti di verifica eseguiti dall’AVI-AIn hanno inoltre evidenziato come il SIM acquisisca e valuti per l’esercito informazioni importanti riguardanti l’estero; in questo caso la gestione e la selezione dei sensori sono avvenute in modo conforme alla legge, adeguato ed efficace. Per contro, il SIM non è direttamente coinvolto in missioni di promovimento della pace o in impieghi in servizio d’appoggio all’estero; in questi casi l’AVI-AIn non aveva quindi nulla su cui verificare la gestione e la selezione dei sensori da parte del SIM.
Risorse
Nell’ambito «Risorse» l’AVI-AIn verifica se vi è un uso adeguato delle risorse da parte dei servizi e se è garantita un’attività informativa efficace.
Nel 2022 l’AVI-AIn ha svolto le seguenti verifiche nell’ambito «Risorse»:
- 22-13 Flussi finanziari dissimulati (SIC);
- 22-14 Processo di reclutamento, di assistenza e di uscita (SIC).
[22-13] Flussi finanziari dissimulati (SIC)
Il SIC svolge la maggior parte delle sue attività di acquisizione in modo dissimulato. Ciò è necessario perché altrimenti l’acquisizione delle informazioni potrebbe essere impedita dagli Stati interessati e da altri attori. In tal modo si proteggono inoltre collaboratori, istituzioni e altre fonti d’informazione del SIC. Possibili fonti d’informazione sono le fonti umane. Si tratta di persone che hanno accesso esclusivo alle informazioni e sono disposte a fornirle al SIC. Le fonti umane spesso esigono denaro per le informazioni in loro possesso e il SIC è autorizzato a indennizzarle adeguatamente per la loro attività.6 Quando il pagamento delle fonti da parte del SIC, e dunque la prova che esse lavorano per quest’ultimo, diventa evidente, esso può rappresentare un grande rischio per tale fonte (sia nel Paese d’origine che nel suo ambito personale). Il sospetto di un reddito derivante da legami e attività di intelligence può danneggiarla professionalmente, distruggerne la reputazione e, a seconda del Paese e dell’ambito, metterne a repentaglio la vita. Pertanto, per ragioni di protezione propria e della fonte, il SIC deve disporre di opzioni di trasferimento di denaro che non lo identifichino come origine.
Dal 2018 l’AVI-AIn esegue ogni anno una verifica dell’unità HUMINT. Mediante controlli a campione si verifica la legalità, l’adeguatezza e l’efficacia dell’effettiva gestione delle fonti. Si esamina inoltre se l’importo versato alle fonti corrisponde alle loro prestazioni. La presente verifica si è occupata invece esclusivamente di tracciare i vari passaggi del denaro e di esaminare i flussi di denaro dissimulati nell’intero SIC.
«Pagamenti eseguiti in modo non meticoloso possono consentire a terzi di risalire indebitamente a collaboratori e istituzioni del SIC nonché alle fonti, facendo così correre loro un rischio grave.»
Pagamenti eseguiti in modo non meticoloso possono consentire a terzi di risalire indebitamente a collaboratori e istituzioni del SIC nonché alle fonti, facendo così correre loro un rischio grave. Oltre alle ripercussioni operative, ad esempio il fatto di ostacolare o addirittura rendere impossibile l’acquisizione di informazioni, il verificarsi di questi rischi avrebbe, inevitabilmente, conseguenze anche sulla reputazione e sulla credibilità del SIC.
Al fine di valutare la legalità, l’adeguatezza e l’efficacia dei metodi utilizzati dal SIC per il trattamento di flussi finanziari dissimulati, l’AVI-AIn ha verificato il finanziamento di due istituti, sei infrastrutture finanziarie per il pagamento di indennizzi alle fonti nonché una gestione delle fonti congiunta e un’operazione congiunta del SIC con servizi partner esteri.
Gli atti di verifica sono stati conclusi entro la fine del 2022 e il rapporto della verifica viene finalizzato proprio al momento della chiusura redazionale del presente rapporto di attività. Senza volere anticipare i risultati del rapporto della verifica definitivo, si può affermare che il SIC dispone di metodi legali, adeguati ed efficaci per inviare fondi a un beneficiario in modo dissimulato. Ciononostante, l’AVI-AIn intende formulare una raccomandazione all’attenzione del DDPS7 su lacune del reporting interno.
6 Art. 15 cpv. 2 LAIn
7 Secondo l’art. 19 OAIn
[22-14] Processo di reclutamento, di assistenza e di uscita (SIC)
Notevoli rischi per la sicurezza quali tradimento, furto di dati o spionaggio possono derivare per i servizi informazioni dai propri collaboratori. Per tale motivo, nel 2019 l’AVI-AIn ha eseguito una verifica sia presso il SIM sia presso il COE con le medesime questioni poste ora presso il SIC.8
Nel 2019 l’AVI-AIn ha constatato che per i tre servizi SIC, SIM e COE erano state stabilite prassi di classificazione diverse per quanto riguarda il controllo di sicurezza relativo alle persone (CSP). Secondo le prescrizioni legali vigenti vi sono tre differenti livelli di CSP: un controllo di sicurezza di base, necessario se collaboratori hanno accesso a informazioni classificate CONFIDENZIALE; un controllo di sicurezza ampliato, se la persona interessata ha accesso a informazioni classificate SEGRETO; un controllo di sicurezza ampliato con audizione per persone che hanno regolarmente accesso a segreti concernenti la sicurezza interna o esterna oppure a informazioni che, se svelate, potrebbero compromettere l’adempimento di compiti importanti della Confederazione.9
Tutti i collaboratori dei tre servizi devono sottoporsi a un siffatto controllo quando iniziano la propria attività nei servizi. Esso si ripete a intervalli regolari. Per l’AVI-AIn le diverse prescrizioni in materia di classificazione non si giustificavano né sul piano materiale né su quello logico. Ha quindi raccomandato al capo del DDPS di verificare e, possibilmente, di armonizzare la prassi di classificazione per i tre servizi. La nuova legge sulla sicurezza delle informazioni e le sue prescrizioni di esecuzione prevedono solamente due diversi livelli di controllo della sicurezza delle persone anziché tre come finora. Attualmente non è possibile valutare fino a che punto la prassi di classificazione verrà armonizzata dopo l’entrata in vigore della nuova base legale.
Per la verifica 22-14, l’AVI-AIn ha quindi spostato la sua attenzione rispetto alle due verifiche precedenti. In questa verifica si è maggiormente concentrata sul reclutamento e sull’assistenza dei collaboratori del SIC. I risultati negativi dell’ultima inchiesta concernente il personale svolta nell’Amministrazione federale e l’elevata fluttuazione, insieme a frequenti cambi ai vertici del servizio, giustificavano questa procedura. Minore attenzione è stata prestata alle questioni sulla disattivazione di accessi agli edifici e di accessi ai sistemi d’informazione dopo la partenza dei collaboratori e sul processo di reintroduzione del CSP periodico, poiché l’AVI-AIn verifica già i processi di accesso nelle verifiche di suddetti sistemi, svolte a intervalli regolari. Inoltre, il SIC applica la prassi di classificazione CSP più rigorosa di tutti e tre i servizi e ha definito processi documentati a tal fine.
L’AVI-AIn era intenzionata a procedere a un controllo a campione rappresentativo sotto forma di interviste ai collaboratori. A tal fine, ha svolto un lavoro logisticamente impegnativo effettuando oltre trenta colloqui. Al riguardo sono stati considerati adeguatamente sesso, età, appartenenza linguistica, rappresentanza dei gruppi di lavoro istituiti dal SIC e livelli gerarchici dei collaboratori intervistati. Vari collaboratori del SIC si sono messi spontaneamente a disposizione per un’intervista, mentre altri hanno chiesto di fare dichiarazioni aggiuntive in relazione a colloqui già effettuati. L’AVI-AIn non ha rivelato alla direzione del SIC i nomi di tutti i collaboratori intervistati, garantendo così che potessero rispondere liberamente. In sintesi, nel corso della verifica l’AVI-AIn ha analizzato oltre 350 pagine di verbali di interviste e ha effettuato controlli a campione in 38 dossier del personale.
Un’ulteriore sfida è sorta dal progetto di trasformazione avviato dal direttore del SIC, che intende riorganizzare il servizio. Nella sua valutazione l’AVI-AIn terrà particolarmente conto di questa circostanza. Nel presente rapporto di attività non è ancora possibile riferire in modo esaustivo sui risultati della verifica. L’AVI-AIn prevede di terminare la verifica con rapporto definitivo all’inizio del secondo trimestre 2023.
8 V. Rapporto di attività 2019 dell’AVI-AIn, pagg. 21–22
9 Artt. 10–12 dell’ordinanza del 4 marzo 2011 sui controlli di sicurezza relativi alle persone (OCSP; RS 120.4)
Trattamento dei dati / archiviazione
Nell’ambito «Trattamento dei dati/archiviazione» l’AVI-AIn verifica in particolare la legalità del trattamento delle informazioni, poiché le informazioni trattate dai servizi sono altamente sensibili e le disposizioni legali sono tanto ampie quanto complesse.
Nel 2022 l’AVI-AIn ha svolto le seguenti verifiche nel suddetto ambito:
- 21-16 Servizi di telecomunicazione (SIC)
- 22-15 Open Source Intelligence (OSINT) (SIC);
- 22-16 Rapporti del SIC e del COE con fornitori di servizi di telecomunicazione svizzeri (SIC);
- 22-17 Follow-up 20-19: gli archivi del SIC (SIC);
- 22-18 Acquisizione di dati da parte dell’unità Ciber del SIC (SIC).
Gli atti di verifica per la verifica «22-15 Open Source Intelligence (OSINT)» sono iniziati soltanto nel quarto trimestre 2022. Gli atti per la verifica «21-16 Servizi di telecomunicazione» sono invece stati conclusi nel 2022, sebbene il rapporto non fosse ancora disponibile al momento della chiusura redazionale del rapporto di attività 2022. Con la verifica «22-17 Follow-up 20-19: gli archivi del SIC» l’AVI-AIn verificherà le previste misure del SIC successivamente alla verifica «20-19 Archivio». Primi atti di verifica hanno già avuto luogo.
[21-16] Servizi di telecomunicazione (SIC)
«Nel coinvolgimento dei fornitori di servizi di telecomunicazione è garantito che non vengano acquisite informazioni soggette ad autorizzazione?»
Sempre più persone usano servizi di comunicazione quali WhatsApp o Telegram per parlare e messaggiarsi con amici e conoscenti. Il contenuto della comunicazione è protetto dai fornitori di questi servizi con una crittografia end-to-end. Il SIC elabora richieste per l’accesso a informazioni su tali applicazioni di crittografia end-to-end gestite da fornitori di servizi di telecomunicazione svizzeri. Tali richieste non sono però incentrate sui contenuti della comunicazione, bensì unicamente sui dati marginali10, che possono portare all’identificazione degli interlocutori.
In passato il SIC ha osservato un aumento di tali richieste. Per questo motivo ha centralizzato l’elaborazione delle richieste. L’AVI-Ain intendeva quindi verificare se il processo di trattamento era migliorato grazie alla centralizzazione.
L’AVI-AIn ha trattato i seguenti quesiti:
- Esistono basi giuridiche valide per il coinvolgimento diretto dei fornitori di servizi di telecomunicazione da parte del SIC e per l’utilizzo delle informazioni così ottenute?
- Nel coinvolgimento dei fornitori di servizi di telecomunicazione è garantito che non vengano acquisite informazioni soggette ad autorizzazione?
- È garantito che il SIC riceva e tratti solamente informazioni inerenti ai compiti?
- Il processo per il trattamento di siffatti accertamenti è adeguato?
Oltre che su audizioni, gli atti di verifica si sono concentrati su un numero significativo di controlli a campione di accertamenti effettuati dal SIC tra il 2020 e il 2022. Al momento di redigere il presente rapporto di attività gli atti di verifica erano conclusi, ma non è ancora possibile riferire in modo esaustivo sui risultati. L’AVI-AIn prevede di terminare la verifica con rapporto definitivo all’inizio del secondo trimestre 2023. Le risposte alle domande poste vengono pubblicate come di consueto su Internet in forma di riassunto.
10 I dati marginali sono dati che contengono informazioni sull’utilizzo di infrastrutture elettroniche. Essi documentano ad esempio quale linea telefonica, quale mittente di e-mail o quale indirizzo IPT ha comunicato quando, per quanto tempo e con chi.
[22-18] Acquisizione di dati da parte dell’unità Ciber del SIC (SIC)
Dal 2015 al 2020, trattando possibili ciberattacchi, il SIC ha acquisito anche informazioni soggette al segreto delle telecomunicazioni. Ai sensi della LAIn, tali misure di acquisizione sono soggette ad autorizzazione e consentite solamente con l’autorizzazione del Tribunale amministrativo federale (TAF). Il SIC non aveva ottenuto le autorizzazioni. Inoltre, sempre senza autorizzazione del TAF, ha registrato il traffico di rete dei server utilizzati dagli hacker.
Nel maggio del 2021 l’AVI-AIn è stata informata dall’allora direttore SIC di possibili irregolarità e dell’avvio di un’inchiesta interna sui processi nell’unità Ciber del SIC. Oltre all’accertamento interno, il SIC ha commissionato una valutazione esterna sotto forma di parere legale. In due lettere anonime l’AVI-AIn ha ricevuto ulteriori informazioni contestuali sui fatti.
L’AVI-AIn ha seguito da vicino l’inchiesta interna del SIC. In caso di mancato rispetto delle scadenze concordate con quest’ultimo, essa ha insistito affinché venissero forniti rapporti e documenti. Durante questa fase non vi sono state indicazioni che le acquisizioni di dati problematici nell’unità Ciber del SIC fossero proseguite durante l’inchiesta e nonostante il blocco delle acquisizioni ordinato dal direttore supplente del SIC. Il mandato d’inchiesta interno al SIC conteneva le domande giuste. Il rapporto finale è stato redatto in modo senz’altro critico e ha descritto raccomandazioni, ad esempio la formazione dei collaboratori dell’unità Ciber per quanto riguarda le basi giuridiche dell’adempimento dei compiti o la verifica della subordinazione organizzativa di tale unità. La subordinazione ha comportato che nel frattempo quest’ultima è stata assegnata al settore Analisi.
Sempre a questo riguardo, nel gennaio del 2022 il DDPS ha avviato un’inchiesta amministrativa che avrebbe dovuto chiarire le domande rimaste in sospeso con quella interna. In tale contesto si sarebbero dovute verificare eventuali ulteriori misure, ad esempio il fatto di sporgere una denuncia penale.
«L’analisi dei rapporti finali dell’inchiesta interna del SIC e di quella amministrativa hanno portato l’AVI-AIn a concludere che non è stata data una risposta a tutte le domande rilevanti.»
L’analisi dei rapporti finali dell’inchiesta interna del SIC e di quella amministrativa hanno portato l’AVI-AIn a concludere che non è stata data una risposta a tutte le domande rilevanti. Esse hanno riguardato in particolare singoli aspetti, quali i flussi di denaro nascosti, l’uso nell’acquisizione di dati di hardware sviluppato e messo a disposizione dalla stessa unità del SIC, nonché una possibile trasmissione di dati a un servizio esterno.
Inoltre, all’AVI-AIn sono state riportate fedelmente dal SIC altre informazioni interne. Per questo essa ha effettuato propri atti di verifica, tra cui in particolare interviste con collaboratori e superiori interessati. L’AVI-AIn ha trasferito nella verifica 22-18 la documentazione allestita. In questa verifica si intende rispondere alle seguenti questioni da verificare:
- Sono stati registrati integralmente tutti i fatti rilevanti per la valutazione degli avvenimenti presso l’unità Ciber del SIC?
- In che modo il SIC assicura che in futuro sia garantita la legalità nell’analisi del traffico di dati di provider?
- Le misure organizzative e i controlli adottati dal SIC sono adeguati ed efficaci per prevenire in futuro siffatti eventi?
Visto che al momento di redigere il presente rapporto di attività gli atti di verifica non erano conclusi, l’AVI-AIn non può ancora fare alcuna dichiarazione su possibili risultati e su un’eventuale necessità d’intervento. Ma già nel dicembre del 2022 essa ha informato il direttore del SIC e il capo del DDPS in merito a un risultato intermedio relativo alla mancata attuazione di una misura immediata, formulata dal SIC stesso nel rapporto interno d’inchiesta.
Consenso
I responsabili delle verifiche dell’AVI-AIn sono stati ricevuti con atteggiamento costruttivo e con professionalità dai servizi sottoposti alla vigilanza. Hanno potuto accedere senza problemi ai documenti e sistemi d’informazione necessari allo svolgimento dei mandati di verifica. Le persone intervistate hanno dato prova di disponibilità. Alle domande complementari è stata data risposta il più rapidamente possibile.
Controlling delle raccomandazioni
Secondo la LAIn, in virtù dei propri atti di verifica l’AVI-AIn può formulare raccomandazioni all’attenzione del DDPS, che in seguito si adopera per attuarle. Se respinge le raccomandazioni dell’AVI-AIn, il DDPS le deve sottoporre al Consiglio federale.
Nel suo monitoraggio, l’AVI-AIn registra le raccomandazioni formulate. Appena riceve dai servizi una notifica di esecuzione sull’attuazione di una raccomandazione, decide se l’attuazione descritta è sufficiente o se necessita di un controllo più approfondito. Quest’ultimo può essere integrato in una verifica programmata o addirittura diventare parte di una verifica supplementare.
Dopo che il numero di raccomandazioni pronunciate per anno di verifica è stato talvolta elevato (2019: 63 raccomandazioni), nel frattempo è diminuito notevolmente (2022: 13). L’AVI-AIn ha così reagito, da un lato, alla critica della DelCG, secondo la quale «molte raccomandazioni […] si traducono piuttosto in un incremento della burocrazia e delle regole». Dall’altro, ha perseguito con coerenza l’approccio di fornire, con le proprie raccomandazioni, benefici concreti per la vigilanza e la condotta dei servizi. Il risultato sono minori raccomandazioni, ma in compenso più mirate ed efficaci.