Attività di vigilanza

Nell’ambito «Strategia e pianificazione» l’AVI-AIn svolge verifiche su temi che riguardano la pianificazione strategica a breve, medio o lungo termine delle autorità di intelligence della Svizzera nonché la definizione dei loro obiettivi. Nel 2023 l’AVI-AIn si è occupata della seguente verifica:

[22-1] Anticipazione e individuazione tempestiva

«Gli sviluppi sociali e tecnologici nonché le attuali minacce ibride aventi dimensioni globali impongono al SIC di saper riconoscere queste minacce e reagire di fronte ad esse in modo rapido ed efficace.»

Questa verifica era incentrata sulla questione di sapere in che modo il SIC può adempiere il proprio mandato legale primario di individuazione tempestiva e anticipazione. L’acquisizione e il trattamento delle informazioni da parte del SIC servono all’individuazione tempestiva e alla prevenzione delle minacce rivolte alla sicurezza interna ed esterna. A tal fine il SIC deve disporre di capacità che gli permettano di identificare e valutare tempestivamente una situazione e le minacce che ne derivano. A causa della crescente complessità del sistema geopolitico internazionale, le imponderabilità riguardanti la futura evoluzione delle minacce sono fortemente aumentate. Gli sviluppi sociali e tecnologici nonché le attuali minacce ibride aventi dimensioni globali impongono al SIC di saper riconoscere queste minacce e reagire di fronte ad esse in modo rapido ed efficace. L’anticipazione delle minacce rilevanti nonché delle opportunità e degli sviluppi strategici riveste dunque un’importanza cruciale. Sotto questo aspetto il SIC svolge un ruolo importante per i suoi clienti per quanto riguarda l’individuazione tempestiva di minacce e crisi.

L’AVI-AIn ha constatato che l’individuazione tempestiva e l’anticipazione sono un obiettivo strategico del DDPS che il SIC persegue già da diverso tempo e per il quale ha adottato misure sul piano operativo che in parte sono già a buon punto e in parte devono essere ulteriormente intensificate. Per l’AVI-AIn, al tema viene attribuita la necessaria importanza sul piano strategico. Se prendiamo come metro di misura l’importanza attribuita al tema dell’individuazione tempestiva e dell’anticipazione all’interno delle rispettive strategie del DDPS e del SIC nonché le dichiarazioni dei collaboratori interessati, constatiamo che questi ultimi sono tutti unanimi nell’attribuire enorme importanza al tema.

Ma l’AVI-AIn ha anche constatato che le riflessioni (teoretiche) del SIC trovano approdo soltanto molto lentamente nei settori del servizio che si occupano di analisi. Gli strumenti disponibili si coniugano ancora in modo poco ottimale con i prodotti. Quindi, il SIC non riesce ancora a trasferire gli sforzi concettuali nei prodotti in modo sufficientemente concreto e a trarne utilità. L’AVI-AIn ha pertanto raccomandato al SIC di continuare a portare avanti con costanza le singole misure di attuazione della strategia 2020-2025 del SIC per quanto concerne l’individuazione tempestiva e l’anticipazione e di verificare almeno una volta all’anno il loro stato di attuazione.

L’AVI-AIn è persuasa che il SIC saprà sfruttare la trasformazione attualmente in corso come base per creare un futuro servizio agile, innovativo e capace di adattarsi. Occorre però tener conto del fatto che questo compito non si conclude semplicemente con una riorganizzazione. Il compito di mantenere aggiornate le strutture, le modalità operative e gli strumenti tecnologici del servizio, e quindi di fare in modo che esso sia in grado di reagire tempestivamente e in modo adeguato a minacce in continuo divenire, è un compito gestionale permanente che spetta in particolare alla direzione del SIC.

Nell’ambito «Organizzazione», l’AVI-AIn verifica l’idoneità della struttura e dei processi dei servizi informazioni, interrogandosi sul fatto se possano consentire un adempimento conforme alla legge, adeguato ed efficace del mandato legale di queste autorità. Nel 2023 l’AVI-AIn ha svolto le seguenti verifiche in questo ambito:

[23-2] Servizi giuridici nel SIC

L’osservanza della legge riveste grande importanza nelle attività di intelligence. Se il SIC non agisce in modo conforme alla legge, ossia nel quadro del suo mandato legale, ne deriva un danno di reputazione e ne esce danneggiata anche la fiducia della popolazione svizzera nel servizio. Inoltre, possono essere violati diritti della personalità in base alle prescrizioni in materia di protezione dei dati, il diritto alla protezione della sfera privata o segreti d’affari. Ma un rischio rilevante per la sicurezza della Svizzera può sorgere anche se il SIC per incertezza non sfrutta appieno le possibilità che la legge gli concede, non svolgendo quindi appieno il proprio mandato.

Basandosi su queste premesse, l’AVI-AIn ha verificato l’adeguatezza e l’efficacia di compiti, competenze e responsabilità dei fornitori di servizi giuridici in seno al SIC. Nell’ambito di tale verifica, si intendevano per servizi giuridici le attività del SIC che includono per esempio la risposta a una domanda concreta, accertamenti generali su contesti giuridici, progetti legislativi e sentenze giudiziarie, l’invocazione di pretese contestate e la partecipazione a progetti o alla conclusione di contratti. L’AVI-AIn non ha verificato la qualità dei servizi giuridici forniti dal punto di vista del contenuto (legalità).

L’AVI-AIn ha condotto otto interviste, in particolare con persone in posizione dirigenziale. Inoltre, per mezzo di un questionario, ha interrogato 30 collaboratori in merito al loro giudizio sui servizi forniti. Per di più, ha consultato e in seguito analizzato e valutato vari documenti presenti nel sistema di gestione degli affari del SIC e riguardanti compiti, responsabilità e servizi giuridici forniti.

Questa verifica è iniziata nel 2023 e alla chiusura di redazione del presente rapporto non era ancora stata ultimata. Per tale ragione non è ancora possibile esprimersi in merito ai risultati in questa sede. L’AVI-AIn prevede di pubblicare sul proprio sito web la sintesi della verifica nel 2024.

[23-4] Business Continuity Management dell’informatica (IT) e Disaster Recovery-IT nel SIC

Nell’ambito di questa verifica, l’AVI-AIn ha esaminato se il SIC disponesse di processi efficaci e adeguati per continuare a garantire, in uno scenario di crisi o catastrofe, il funzionamento del suo sistema informatico e dunque il proseguimento della sua attività principale e per ripristinare i suoi dati.

Eventi imprevisti importanti, quali incendi, inondazioni o attività criminali, rappresentano una minaccia per qualsiasi organizzazione. Questo tipo di eventi può per sua natura causare potenzialmente danni più gravi di un semplice guasto, in particolare all’infrastruttura delle tecnologie dell’informazione e della comunicazione (TIC). Pertanto, le organizzazioni devono preoccuparsi di garantire la continuità della loro attività (Business Continuity Management [BCM]). Il BCM, dunque, si concentra su un evento e si sforza di ridurre l’impatto di un rischio sulle prestazioni e sui processi operativi essenziali.

Un sistema informatico affidabile e ad alta disponibilità è indispensabile per la sopravvivenza di un’impresa la cui attività principale è fortemente dipendente dalle tecnologie dell’informazione. L’IT Service continuity management (ITSCM), che deriva dal BCM, ha lo scopo di garantire la fornitura delle prestazioni informatiche critiche identificate dall’impresa in modo corrispondente alle esigenze anche in caso di evento importante. A tal fine, si valutano e si mettono in atto misure preventive (rafforzamento della resilienza) e misure predisposte in caso di evento (rafforzamento della risposta). L’ITSCM deve garantire che i servizi e l’infrastruttura TIC siano disponibili in caso di perturbazione o che possano essere ripristinati entro un termine stabilito. Il disaster recovery dell’infrastruttura informatica (Disaster Recovery-IT) invece ha l’obiettivo di ripristinare i servizi e l’infrastruttura TIC in caso di perturbazione.

«Con la digitalizzazione che avanza e data l’importanza del trattamento di dati per le attività del SIC, il servizio dipende sempre più dal funzionamento continuo e affidabile della sua infrastruttura informatica, il tutto in un contesto caratterizzato dal rischio di penuria di energia elettrica, dal moltiplicarsi dei ciberattacchi e da una guerra alle porte del continente europeo.»

Il tema dell’ITSCM consiste dunque nel rispondere a rischi molto attuali e concreti. Con la digitalizzazione che avanza e data l’importanza del trattamento di dati per le attività del SIC, il servizio dipende sempre più dal funzionamento continuo e affidabile della sua infrastruttura informatica, il tutto in un contesto caratterizzato dal rischio di penuria di energia elettrica, dal moltiplicarsi dei ciberattacchi e da una guerra alle porte del continente europeo. Allo stesso modo, perdite di dati rischierebbero di compromettere la capacità del SIC di compiere la propria missione.

La parte BCM di questa verifica era già stata oggetto di un rapporto dell’organo di revisione interna del DDPS, il quale invitava le unità amministrative del dipartimento ad aggiornare la propria documentazione su questo tema. Il SIC si sta adoperando per attuare questa raccomandazione. Per di più, la direzione del servizio ha deciso di approvare e attuare un nuovo BCM soltanto dopo che sarà stata ultimata la trasformazione attualmente in corso. L’AVI-AIn non ha insistito ulteriormente per quanto riguarda il BCM.

Quanto all’ITSCM, il SIC ha invece constatato che manca una documentazione. Questa mancanza è dovuta a un errore di governance TIC all’interno del servizio. In realtà esistono delle misure, ma soltanto a livello tecnico. L’unità TIC ha pertanto adottato numerose misure per garantire la continuità dell’attività in caso di evento importante. Le misure adottate sono efficaci e adeguate. Esse permettono di limitare i rischi in modo coerente. In particolare, la ridondanza dell’infrastruttura TIC e la strategia di salvataggio dei dati si dimostrano adeguate ed efficaci. Peraltro, il SIC non dispone di una strategia di test, sicché, anche se i servizi TIC sono molto stabili, non è certo che lo sarebbero anche in caso di evento importante. Inoltre, la mancanza di test variati e regolari impedisce di aggiornare l’ITSCM. L’AVI-AIn ha formulato raccomandazioni riguardanti la documentazione dell’ITSCM e l’organizzazione di test.

Nell’ambito «Collaborazione» l’AVI-AIn verifica la collaborazione dei servizi con le autorità nazionali e internazionali. L’AVI-AIn verifica ogni anno la collaborazione con alcuni servizi informazioni cantonali (SICant). Per quanto riguarda le verifiche dei SICant di Nidvaldo e Obvaldo, un primo incontro è avvenuto ancora prima della fine del 2023, ma gli atti di controllo si svolgeranno nel 2024. Per questo motivo, l’AVI-Ain pubblicherà le sintesi dei risultati di queste verifiche sulla propria pagina Internet dopo che saranno completate.

Nel 2023 ha portato avanti le seguenti verifiche:

[23-5] Servizio informazioni cantonale Lucerna

L’AVI-AIn ha verificato se la collaborazione tra SIC e SICant Lucerna si svolge in modo conforme alla legge, adeguato ed efficace. Essa è giunta alla conclusione che la collaborazione tra i due servizi è assidua e, in molti ambiti tematici, può essere considerata da buona a ottima. Il SICant Lucerna esegue i mandati del SIC in maniera tempestiva e in modo appropriato dal punto di vista del contenuto. In base alle attività di verifica svolte, l’AVI-AIn ha potuto constatare che il SICant Lucerna dispone di un’eccellente rete e di buone conoscenze in materia di intelligence e che i presupposti per l’adempimento dei compiti di intelligence sono soddisfatti e che i collaboratori sono motivati.

L’AVI-AIn ha verificato in particolare se i dati salvati e quelli registrati come dati personali rispettano le disposizioni legali per quanto riguarda il legame con il compito, il rispetto dei limiti di trattamento e la correttezza e rilevanza delle informazioni. A questo riguardo non ha constatato gravi anomalie, ma ha comunque suggerito di effettuare una verifica sistematica in tutti gli archivi.

[23-8] Servizio informazioni cantonale Uri

L’AVI-AIn ha verificato se la collaborazione tra SIC e SICant Uri si svolge in modo conforme alla legge, adeguato ed efficace. Essa è giunta alla conclusione che la collaborazione tra i due servizi è assidua e, in molti ambiti tematici, può essere considerata buona. Il SICant Uri ha eseguito i mandati del SIC in maniera tempestiva e in modo appropriato dal punto di vista del contenuto. L’AVI-AIn ha avuto l’impressione che il SICant Uri disponga di una rete di contatti molto buona così come di buone conoscenze in materia di intelligence. Inoltre l’AVI-Ain ha potuto constatare che i presupposti per l’adempimento dei compiti sono soddisfatti e che i collaboratori sono motivati.

L’AVI-AIn ha verificato se i dati salvati e quelli registrati come dati personali rispettano le disposizioni legali per quanto riguarda il legame con il compito, il rispetto dei limiti di trattamento e la correttezza e rilevanza delle informazioni. A questo riguardo non sono state constatate anomalie.

[23-9] Elaborazione dei mandati per mezzo di sensori tecnici in seno al Centro operazioni elettroniche (COE; dal 1.1.2024 “Servizio delle attività ciber ed elettromagnetiche (ACE)”)

«Nell’insieme l’AVI-AIn non ha trovato indizi atti a far credere che nell’impiego di sensori tecnici per l’elaborazione dei mandati dei servizi, l’ACE violi le basi legali o che i sensori non siano impiegati in modo efficace e adeguato.»

I sensori tecnici sono una fonte importante per l’acquisizione di informazioni di intelligence. Dato che in questa disciplina dell’acquisizione di informazioni la tecnica soggiacente evolve continuamente e di conseguenza l’efficacia di questa attività di intelligence tende a migliorare con gli sviluppi della tecnica, gli organi d’esecuzione devono per forza interessarsi costantemente degli ulteriori sviluppi delle loro possibilità nel campo dell’acquisizione di informazioni rilevanti per l’intelligence. Se le condizioni quadro giuridiche stabilite non fossero debitamente considerate in queste riflessioni, potrebbe derivarne un rischio.

Perciò, l’AVI-AIn ha verificato l’elaborazione dei mandati del SIC per mezzo di sensori tecnici in seno all’ACE. Nell’ambito di tale verifica ha constatato che è necessario che i mandati impartiti dai servizi siano sempre dettagliati e che siano redatti in forma scritta. La registrazione di questi mandati in un sistema amministrativo centrale di gestione dei mandati garantisce in qualsiasi momento la tracciabilità, il rispetto dei termini legali e l’assegnazione dei risultati al mandato corrispondente.

A livello di attività operative, l’ACE studia in che modo utilizzare strumenti intelligenti per sgravare le scarse risorse umane da compiti di routine e anche per sfruttare meglio i dati ottenuti con l’esplorazione radio e dei segnali via cavo, in particolare nell’ottica di future ciberminacce.

Per quanto riguarda il rispetto delle basi legali nelle attività operative, l’AVI-AIn ha avuto modo di constatare che non solo i collaboratori dell’ACE vengono regolarmente resi attenti alla rilevanza delle basi legali per le loro attività correnti, ma esistono anche misure organizzative, quali ad esempio peer review o istruzioni interne emanate dai responsabili del Servizio.

Nell’insieme l’AVI-AIn non ha trovato indizi atti a far credere che nell’impiego di sensori tecnici per l’elaborazione dei mandati dei servizi, l’ACE violi le basi legali o che i sensori non siano impiegati in modo efficace e adeguato.

[23-10] Collaborazione del SIC con privati

Il SIC svolge una parte delle sue attività di acquisizione in modo dissimulato. Ciò è necessario perché altrimenti l’acquisizione delle informazioni potrebbe essere scoperta e impedita dagli Stati interessati o da altri attori. In tal modo si proteggono inoltre collaboratori, installazioni e fonti d’informazione del SIC.

Per nascondere il legame di una persona o della sua attività con il SIC è necessario creare e mantenere coperture efficaci. A tal fine il SIC deve potersi avvalere in particolare dell’aiuto di privati. Nell’ambito di questa verifica, il termine «privati» è stato sostanzialmente utilizzato per tutto quanto non deve essere considerato come ente pubblico svizzero o estero.

Secondo la LAIn, il SIC può collaborare con privati, aziende o organizzazioni. Questi possono fornire al SIC prestazioni utili per l’adempimento dei compiti previsti dalla LAIn o sostenere il SIC nell’acquisizione di informazioni. Inoltre, il SIC può assegnare a privati mandati di acquisizione se è necessario per motivi tecnici o di accesso all’oggetto dell’acquisizione. Ciò solleva questioni di legittimità del mandato e di organizzazione. Occorrerebbe per esempio pensare all’eventuale aggiramento di misure soggette ad autorizzazione, a comportamenti illeciti dei privati, a pagamenti senza controprestazione o alla collaborazione con persone poco raccomandabili. L’importante è avere una panoramica del reclutamento, delle verifiche della sicurezza e dell’indennizzo delle persone private impiegate, della documentazione ecc.

Le attività svolte in modo imprudente, specialmente da parte di privati, potrebbero consentire a terzi di risalire contrariamente a quanto auspicato a collaboratori e infrastrutture del SIC nonché alle fonti, mettendoli in pericolo. Inoltre, nel fornire le loro prestazioni, i privati che collaborano con il SIC potrebbero comportarsi in modo illecito, consapevolmente o inconsapevolmente. Il sorgere di questi rischi avrebbe non solo ripercussioni a livello operativo, per esempio ostacolando o addirittura rendendo impossibile l’acquisizione di informazioni, ma inevitabilmente avrebbe anche conseguenze per la reputazione e la credibilità del SIC.

Perciò l’AVI-AIn verifica se la collaborazione del SIC con privati e l’assegnazione di mandati a questi ultimi avviene lecitamente. Inoltre, verifica se i rischi e l’utilità della collaborazione con privati vengono controllati sistematicamente, se tale collaborazione e i relativi mandati sono organizzati e coordinati in modo efficace e adeguato e se sono documentati in modo comprensibile e significativo.

Questa verifica è iniziata nel settembre 2023 e alla chiusura di redazione del presente rapporto non era ancora stata ultimata. Per tale ragione non è ancora possibile esprimersi in merito ai risultati in questa sede. L’AVI-AIn prevede di pubblicare sul proprio sito web la sintesi della verifica nel 2024.

L’acquisizione di informazioni è un compito fondamentale dei servizi di intelligence, che a tal fine possono utilizzare vari mezzi. Quelli che incidono in modo più invasivo nella sfera privata delle persone interessate sono oggetto di un’attenzione particolare da parte dell’AVI-AIn. Nel 2023 l’AVI-AIn ha portato avanti le seguenti verifiche:

[22-10] Acquisizione di informazioni per mezzo di misure di acquisizione non soggette ad autorizzazione

Il SIC può applicare autonomamente e senza una specifica autorizzazione esterna talune misure atte all’acquisizione di informazioni poiché l’intensità della loro ingerenza nei diritti fondamentali è relativamente esigua. Se queste misure non sono sufficienti per ottenere informazioni essenziali per salvaguardare la sicurezza della Svizzera, il SIC ha il diritto di incidere maggiormente sui diritti fondamentali delle persone interessate adottando misure soggette ad autorizzazione. Più è profonda l’ingerenza, maggiore è la necessità di controllo. Per questa ragione, prima di poter essere applicate dal SIC, le misure di acquisizione soggette ad autorizzazione devono essere autorizzate dal Tribunale amministrativo federale (TAF) e ottenere il benestare del capo del DDPS previa consultazione della Delegazione Sicurezza del Consiglio federale. Per le misure di acquisizione non soggette ad autorizzazione invece non sono previsti controlli esterni. Esiste dunque il rischio che queste misure siano attuate illecitamente, per esempio quando riguardano fatti e installazioni appartenenti alla sfera privata protetta.

Perciò l’AVI-AIn ha verificato se l’impiego di misure di acquisizione non soggette ad autorizzazione in seno al SIC avviene in modo conforme alla legge. Nell’ambito di tale verifica ha constatato che il SIC dispone sostanzialmente di mezzi d’intervento adeguati e delle capacità necessarie per impiegare tutte le misure di acquisizione non soggette ad autorizzazione in funzione della situazione e in modo proporzionale, conformemente a quanto previsto dagli articoli 14 e 16 LAIn.

L’AVI-AIn ha anche constatato che il processo definito dal SIC per disporre l’adozione di una misura di acquisizione non soggetta ad autorizzazione ai sensi delle citate disposizioni crea i presupposti necessari per l’attuazione conforme alla legge di queste misure. Di principio, le misure di acquisizione non soggette ad autorizzazione attuate dal SIC vengono impiegate in modo conforme alla legge.

«Per tutte le misure di acquisizione vige il principio secondo cui le informazioni acquisite sono inutili se non possono essere analizzate nell’immediato e in modo sistematico (in modo efficace e adeguato).»

Per tutte le misure di acquisizione vige il principio secondo cui le informazioni acquisite sono inutili se non possono essere analizzate nell’immediato e in modo sistematico (in modo efficace e adeguato). Per delle videoregistrazioni, ad esempio, il SIC si affida a un software di analisi. In questo caso concreto l’AVI-AIn giunge alla conclusione che l’impiego di un tale software per favorire l’attività di analisi sia conforme alla legge.

Per quanto concerne l’utilizzo del sistema di ricerca informatizzato di polizia (RIPOL) e della parte nazionale del Sistema d’informazione di Schengen (N-SIS), l’AVI-AIn ha analizzato i processi necessari a effettuare segnalazioni nonché le autorizzazioni d’accesso e le consultazioni di dati in entrambi i sistemi. L’AVI-AIn constata che il processo legato alle segnalazioni in RIPOL e N-SIS di principio avviene in modo conforme alla legge. L’AVI-AIn ha invece constatato che non tutte le consultazioni in RIPOL e N-SIS effettuate dal SIC sono state documentate in maniera tale da dimostrare che erano dovute a motivi di servizio. Per questa ragione l’AVI-AIn raccomanda al SIC di sottoporre le consultazioni in RIPOL e N-SIS effettuate da collaboratori a controlli regolari e di documentare tali controlli.

Il SIC può adottare misure di acquisizione che secondo l’articolo 26 LAIn richiedono un’autorizzazione del Tribunale amministrativo federale nonché il nullaosta secondo l’articolo 30 LAIn (per esempio apparecchiature tecniche particolari per la sorveglianza del traffico delle telecomunicazioni, apparecchi di localizzazione, dispositivi di chiusura o di apertura ecc.). Nonostante tali misure richiedano un’autorizzazione e un nullaosta, potrebbero essere utilizzate dal SIC senza che gli organi preposti all’interno del SIC ne siano a conoscenza o ne abbiano autorizzato l’impiego. Nel quadro delle sue verifiche, l’AVI-AIn non ha riscontrato elementi che indicano che il SIC impieghi misure di acquisizione secondo l’articolo 26 LAIn senza la relativa autorizzazione e il relativo nullaosta.

[23-11] Operazioni, necessità di accertamenti operativi e misure di acquisizione soggette ad autorizzazione del SIC

Le operazioni di intelligence (OP) e le necessità di accertamenti operativi (OPAB) rientrano tra i compiti fondamentali del SIC. Esse sono caratterizzate dal fatto che rispetto alle attività correnti sono più complesse e necessitano di una condotta operativa. Inoltre, nell’ambito delle OP, possono essere richieste anche misure di acquisizione soggette ad autorizzazione. La complessità delle OP e delle OPAB comporta regolarmente dei rischi sul piano dell’efficacia e dell’adeguatezza. Le misure soggette ad autorizzazione, dato che incidono nella sfera privata protetta, implicano sempre un rischio giuridico. Per questi motivi l’AVI-AIn verifica regolarmente queste attività del SIC.

Nell’ambito di questa verifica annuale, l’AVI-AIn ha analizzato la legalità, l’adeguatezza e l’efficacia di cinque OP e di tredici OPAB. Inoltre, per dodici misure di acquisizione autorizzate e approvate ha esaminato se l’attuazione corrispondeva alle decisioni del TAF. Le attività di verifica includevano lo studio della documentazione e interviste con gli specialisti competenti.

Questa verifica è iniziata nel 2023 e si è chiusa con il relativo rapporto a febbraio 2024. L’AVI-Ain ha pubblicato sul proprio sito web all’inizio dell’anno il riassunto delle risultanze di questa verifica.

[23-12] Fonti umane (HUMINT) presso il SIC

Per adempiere i propri compiti, il SIC acquisisce informazioni sia da fonti accessibili pubblicamente, sia da fonti non accessibili pubblicamente. A tal fine si avvale di misure di acquisizione soggette e non soggette ad autorizzazione. L’acquisizione di informazioni da fonti umane (HUMINT) costituisce una misura di acquisizione non soggetta ad autorizzazione. Per fonti umane si intendono informatori, nel senso di persone che comunicano al SIC informazioni o riscontri, che gli forniscono prestazioni utili per l’adempimento dei compiti secondo la LAIn o sostengono il SIC nell’acquisizione di informazioni. L’impiego di fonti umane comporta spesso rischi personali elevati, tanto per i collaboratori del SIC quanto per le fonti stesse. Ciò comporta per il SIC una responsabilità e un impegno particolari, che devono essere presi sul serio e che assumono una corrispondente importanza nell’attività di vigilanza svolta dall’AVI-AIn.

«L’AVI-AIn verifica in che modo il SIC gestisce concretamente il proprio portafoglio di informatori e in che modo tale portafoglio evolve.»

L’AVI-AIn verifica in che modo il SIC gestisce concretamente il proprio portafoglio di informatori e in che modo tale portafoglio evolve. Effettua controlli a campione e nell’ambito di questi controlli verifica la legalità, l’adeguatezza e l’efficacia delle relative attività. In questo campo, la protezione delle fonti e delle persone impone un particolare livello di riservatezza; di conseguenza, le verifiche HUMINT dell’AVI-AIn sono classificate SEGRETO.

Questa verifica è iniziata nell’agosto 2023 e alla chiusura di redazione del presente rapporto non era ancora stata ultimata. Per tale ragione non è ancora possibile esprimersi in merito ai risultati in questa sede. L’AVI-AIn prevede di pubblicare sul proprio sito web la sintesi della verifica nel 2024.

Nell’ambito «Risorse» l’AVI-AIn verifica se vi è un uso adeguato delle risorse da parte dei servizi e se è garantita un’attività informativa efficace. La verifica 23-14 «Attuazione delle raccomandazioni dell’AVI-AIn» è stata cancellata. Nel 2023 l’AVI-AIn ha portato avanti le seguenti verifiche nell’ambito «Risorse»:

[22-13] Flussi finanziari dissimulati

L’AVI-AIn ha verificato se il SIC dispone di metodi leciti, adeguati ed efficaci per generare flussi finanziari in modo da non comparire come mittente. Inoltre, ha verificato se le risorse finanziarie trasferite in tal modo sono impiegate esclusivamente per l’adempimento dei compiti previsti all’articolo 6 LAIn.

Nell’ambito di tale verifica, ha accertato che il SIC dispone di vari metodi collaudati e pronti per l’uso per far pervenire denaro ai destinatari senza comparire come mittente.

Il SIC designa come «supporter» le persone private che gli offrono sostegno per trasferire denaro in modo dissimulato e classifica queste persone tra le cosiddette «fonti umane». Anche la LAIn classifica tra le «fonti umane» le persone che offrono il loro sostegno al SIC nelle sue attività e gli forniscono prestazioni utili per l’adempimento dei suoi compiti. L’AVI-AIn è dello stesso parere e perciò raccomanda al SIC di assimilare la gestione dei supporter alla gestione delle «fonti umane» in senso stretto e di disciplinare tale gestione in modo vincolante. Tale disciplinamento deve comprendere in particolare un esame sistematico e ragionato dei rischi, dell’utilità, del potenziale e dei costi per supporter. Inoltre, i supporter devono essere elencati sommariamente come «fonti umane» nel rapporto annuale previsto dall’articolo 19 dell’ordinanza del 16 agosto 2017 sulle attività informative (OAIn; RS 121.1).

Ai fini dell’esecuzione della LAIn, il SIC può collaborare con servizi di intelligence esteri svolgendo attività congiunte per l’acquisizione e l’analisi di informazioni e per la valutazione della situazione di minaccia. In relazione a due attività concrete svolte congiuntamente con servizi partner esteri, l’AVI-AIn ha constatato che il SIC, pur avendo riflettuto sulla legalità, sul rischio di reputazione assunto e sull’utilità prevista, non ha documentato in misura sufficiente tali riflessioni. Perciò, invita il SIC a consacrare in futuro maggiore attenzione a una documentazione accurata ed esaustiva di queste riflessioni e delle conseguenti decisioni.

[22-14] Processo di reclutamento, di assistenza e di uscita

Per il SIC, dai collaboratori possono derivare rischi per la sicurezza quali tradimento, furto di dati o spionaggio. Potenzialmente è più probabile che collaboratori insoddisfatti si sentano indotti a lasciare il servizio e la fluttuazione che ne deriva comporta una serie di sfide. Possono andare perse preziose conoscenze e il reclutamento di nuovi collaboratori assorbe a sua volta risorse importanti.

A giudizio dell’AVI-AIn, negli ultimi anni questi rischi in seno al SIC sono cresciuti. Il notevole aumento del numero di indizi e informazioni sull’insoddisfazione dei collaboratori del SIC, gli avvicendamenti ai vertici del servizio, i risultati dell’ultimo sondaggio tra i collaboratori realizzato nel 2020 e l’alto tasso di fluttuazione in tutto il servizio hanno corroborato questa impressione.

L’AVI-AIn ha condotto un gran numero di interviste con i collaboratori ed eseguito controlli a campione nei dossier del personale. Queste attività di verifica si sono svolte da luglio a metà novembre 2022. Al momento della verifica il SIC era impegnato a preparare e realizzare una trasformazione nell’ambito della quale si è deciso di rivedere importanti documenti e processi nel settore del reclutamento, dell’assistenza e dell’uscita di collaboratori. Nel suo rapporto di verifica l’AVI-AIn ha tenuto conto di questo stadio particolare nello sviluppo dell’organizzazione. In sintesi, l’AVI-AIn ha constatato che nella sua strategia in materia di personale il SIC ha formulato i giusti obiettivi. Tali obiettivi trovano riscontro anche negli obiettivi della trasformazione.

«L’AVI-AIn ha però constatato anche la presenza di gravi carenze nella gestione e conduzione del personale del SIC.»

L’AVI-AIn ha però constatato anche la presenza di gravi carenze nella gestione e conduzione del personale del SIC. Le carenze constatate riguardavano la documentazione nei dossier del personale, la conduzione dei colloqui con i collaboratori, le valutazioni dei collaboratori e la definizione della procedura da seguire in caso di accertamenti riguardanti collaboratori in situazioni particolarmente critiche. A questo riguardo l’AVI-AIn ha formulato varie raccomandazioni.

In particolare, le risorse dei servizi di supporto in seno al SIC, quali il settore del personale, devono essere potenziati, affinché sia possibile adempiere in modo corretto i compiti connessi con i processi di reclutamento, assistenza e uscita dei collaboratori. Al momento attuale questo aspetto è ancora più importante, poiché il SIC deve essere in grado di attuare in modo corretto la trasformazione in atto.

Nell’ambito «Trattamento dei dati / archiviazione» l’AVI-AIn verifica in particolare la legalità del trattamento delle informazioni, poiché le informazioni trattate dai servizi sono altamente sensibili e le disposizioni legali sono tanto ampie quanto complesse. Nel 2023 l’AVI-AIn ha svolto le seguenti verifiche nel suddetto ambito:

[21-16] Servizi di telecomunicazione

Il SIC ha accesso alle informazioni riguardanti i fornitori svizzeri di servizi di comunicazione derivati (FSCD). L’acquisizione di metadati, quali per esempio le informazioni sul titolare di un conto utente, rappresentano una misura di acquisizione non soggetta ad autorizzazione. Tuttavia, se vengono acquisiti anche i contenuti di conversazioni e messaggi di testo, la misura è soggetta ad autorizzazione. Dunque, secondo l’AVI-AIn sussisteva il rischio che con riferimento a FSCD venissero eseguite misure di acquisizione di informazioni soggette ad autorizzazione senza il coinvolgimento e la necessaria autorizzazione del TAF. Di conseguenza, l’AVI-AIn ha deciso di esaminare questo rischio legato all’acquisizione di informazioni presso i FSCD da parte del SIC.

L’AVI-AIn ha quindi verificato se le informazioni del SIC sui servizi di una serie di operatori di telecomunicazioni fossero richieste in modo lecito e adeguato.

Le piattaforme dei FSCD al centro della verifica sono gestite in Svizzera e pertanto soggiacciono alle disposizioni della legge federale del 30 aprile 1997 sulle telecomunicazioni (LTC; RS 784.10). In virtù della LAIn¹, il SIC può richiedere informazioni secondo la legge federale del 18 marzo 2016 sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT). Al fine di eseguire i compiti secondo la LAIn, il competente Servizio Sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (Servizio SCPT) del Dipartimento federale di giustizia e polizia (DFGP) su richiesta fornisce informazioni sui dati² al SIC.

Riguardo alle applicazioni che funzionano con la criptografia end-to-end, la legge permette al SIC di richiedere informazioni senza autorizzazione o di effettuare sorveglianze soggette ad autorizzazione.

La verifica ha evidenziato che il SIC ha trattato soltanto richieste legate al suo mandato di base. L’AVI-AIn ritiene che il processo per il trattamento centralizzato delle richieste sia adeguato. Il SIC però non sempre ha documentato integralmente le richieste verificate dall’AVI-AIn. In un caso, inoltre, nell’ambito di un’acquisizione di informazioni peraltro conforme alla legge, il SIC ha trattato informazioni supplementari che gli erano state trasmesse senza essere state richieste e in questa circostanza anche senza valida base legale. In entrambi i casi l’AVI-AIn ha emanato una raccomandazione.

¹ Art. 25 cpv. 2 LAIn
² Art. 21 e 22 LSCPT

[22-15] Open Source Intelligence (OSINT)

L’Open Source Intelligence (OSINT) è un settore in rapido sviluppo dell’attività di acquisizione di informazioni svolta dai servizi di intelligence. Il collegamento di una quantità inesauribile di dati accessibili pubblicamente (Open Source Information, OSINF) offre ai servizi di intelligence possibilità quasi illimitate di acquisire informazioni. L’analisi delle OSINF, finalizzata a ottenere informazioni utili, è denominata OSINT. L’OSINT è una misura di acquisizione non soggetta ad autorizzazione ai sensi dell’articolo 13 LAIn e permette al SIC di procurarsi una grossa quantità d’informazioni rilevanti per l’adempimento del proprio scopo legale. L’OSINT è in costante sviluppo e solleva questioni di natura giuridica ed etica tra gli addetti ai lavori a livello internazionale, per esempio quella della delimitazione dell’OSINT rispetto alla ricerca d’informazioni tramite informatori (HUMINT), o tramite l’impiego d’identità fittizie per relazionarsi a degli obiettivi su internet, o ancora l’acquisizione e l’utilizzo di banche dati trafugate da terzi (leaks). Di conseguenza, l’AVI-AIn ha deciso di esaminare in che modo il SIC affronta i rischi legati a questo strumento.

Secondo l’articolo 13 LAIn, sono considerate fonti d’informazione pubbliche segnatamente i media accessibili al pubblico, i registri accessibili al pubblico di autorità della Confederazione e dei Cantoni, i dati personali che privati rendono accessibili al pubblico o le dichiarazioni rese in pubblico. Il limite tra OSINT e misure di acquisizione soggette ad autorizzazione non è sempre netto ed è tema di discussione anche presso i servizi partner del SIC e le autorità di vigilanza estere. Senza una concezione comune di questi limiti, si corre il rischio di acquisire dati illecitamente. Dalle interviste condotte con collaboratori del settore OSINT del SIC è emerso che essi sono consapevoli del fatto che operano in un contesto giuridico complesso. Tuttavia, non esistono criteri o una direttiva strutturata per determinare ciò che è realmente l’OSINT e quali sono i limiti del quadro giuridico di questa attività. Quindi, l’impiego delle varie misure di acquisizione in ambito OSINT non è disciplinato in modo chiaro e uniforme in seno al SIC. L’AVI-AIn ha formulato una raccomandazione con cui chiede di delimitare il quadro giuridico per le attività operative concrete del SIC che si fondano sull’OSINT e di stabilire norme uniformi per l’impiego dell’OSINT.

«L’AVI-AIn ha verificato una serie di acquisizioni OSINT senza trovare elementi che indicano un’acquisizione illecita di informazioni.»

L’AVI-AIn ha verificato una serie di acquisizioni OSINT senza trovare elementi che indicano un’acquisizione illecita di informazioni. Secondo l’articolo 22 capoverso 1 dell’ordinanza del 25 novembre 1998 sull’organizzazione del Governo e dell’Amministrazione (OLOGA) in combinato disposto con l’articolo 52 LAIn, alle unità amministrative viene imposto di documentare la loro attività con una gestione degli affari sistematica. Inoltre, il capitolo 2 delle Istruzioni del 7 luglio 2022 concernenti la conservazione e l’archiviazione di documenti in seno al SIC prescrive, in virtù dell’articolo 2 dell’ordinanza del 3 aprile 2019 sulla gestione elettronica degli affari nell’Amministrazione federale (ordinanza GEVER), che tutti i documenti rilevanti per gli affari devono essere registrati e archiviati nel GEVER SIC. In singoli casi la documentazione degli accertamenti OSINT era lacunosa e non rispettava le vigenti prescrizioni nell’Amministrazione federale, ciò che ha reso impossibile una valutazione della conformità alla legge da parte dell’AVI-AIn. L’AVI-AIn ha formulato una raccomandazione in proposito.

Per poter raccogliere in modo adeguato ed efficace informazioni rilevanti per l’intelligence partendo dall’enorme quantità di dati disponibili nell’ambito pubblico di Internet, si utilizzano i cosiddetti «tool OSINT». Il SIC utilizza sia prodotti standard reperibili in commercio sia prodotti sviluppati in proprio. Con questi tool e avvalendosi tra l’altro di identità virtuali fittizie (IVF) conduce sia un monitoraggio permanente sia ricerche mirate. Dato che servono per attività di intelligence, le IVF utilizzate presentano anomalie e perciò potrebbero essere considerate come potenziali bersagli da altri servizi e attirare l’attenzione per esempio di servizi partner esteri. Per contrastare questo rischio, l’AVI-AIn ha suggerito al SIC di assicurare con i SICant un’informazione reciproca sulle IVF utilizzate.

Per l’acquisizione di informazioni OSINT anonimizzata, il SIC utilizza un’infrastruttura informatica speciale. Questa infrastruttura è affetta da lacune di sicurezza e dovrebbe essere sostituita al più presto. L’AVI-AIn ha formulato una raccomandazione in proposito.

La verifica delle informazioni tratte da ricerche OSINT non è sempre cosa semplice, in particolare se le informazioni provengono dal darknet. Secondo il SIC, le attività di intelligence implicano una sana diffidenza nei confronti delle informazioni acquisite. Se un’informazione non può essere verificata e il grado di veridicità del suo contenuto non può essere quantificato, nei rapporti OSINT questo aspetto viene indicato. Il problema della verifica delle fonti, che assume un ruolo importante per esempio per identificare e svelare le fake news, è noto in particolare nell’impiego di tool OSINT commerciali complessi e se ne discute regolarmente anche all’interno della comunità dei servizi di intelligence.

Oltre al SIC, anche i SICant svolgono accertamenti legati all’OSINT. L’AVI-AIn ha esaminato se esistono ridondanze e inefficienze. È giunta alla conclusione che tutti i servizi sono sensibilizzati in merito ai rischi e ha constatato per esempio che discutono regolarmente la questione dell’OSINT in un contesto creato appositamente.

Il contenuto del sistema d’informazione Portale OSINT (risultati di ricerche e materiale grezzo tratto da fonti pubbliche) è disciplinato dall’articolo 54 capoverso 2 LAIn e dagli articoli 46 e seguenti dell’OSIME-SIC. Il SIC utilizza questo sistema d’informazione per mettere a disposizione al suo interno dati provenienti da fonti accessibili al pubblico. Le attività di controllo dell’AVI-AIn, e in particolare i controlli a campione, non hanno fatto emergere indizi di violazione dei principi di adeguatezza o efficacia nella gestione dei dati sul portale OSINT. Il rischio di prolungamento illecito del termine di conservazione, legato a un’etichettatura sbagliata dei dati come dati OSINT generata da altri sensori, è risultato inesistente, poiché i dati OSINT hanno un termine di conservazione più breve.

[22-17] Follow-up 20-19: archivi SIC

La verifica 22-17 è un follow-up della verifica 20-19 «Archivi SIC e in particolare archivi segreti». Questa verifica era stata organizzata dopo che i media, in relazione al caso della Crypto AG, avevano riportato che il SIC possedeva «archivi segreti». Nell’ambito della verifica 20-19 l’AVI-AIn aveva constatato tra l’altro che documenti analogici classificati SEGRETI venivano conservati in un luogo anch’esso classificato SEGRETO. A quel momento, il SIC e l’Archivio federale svizzero (AFS) stavano discutendo in merito alla consegna di documenti da archiviare, tra cui anche alcuni di quelli citati dai media. La documentazione in questione riguardava soprattutto documenti delle organizzazioni precedenti al SIC risalenti agli anni precedenti al 2010. Pertanto, l’AVI-AIn ha rinunciato a emanare raccomandazioni e ha annunciato un follow-up.

Oltre ai rischi di reputazione, nell’ambito della verifica 22-17 l’AVI-AIn ha esaminato anche i rischi relativi alla legalità, all’adeguatezza ed all’efficacia dell’archiviazione e della conservazione di documenti. Per quanto riguarda l’archiviazione, occorreva chiarire se i documenti fossero stati consegnati in modo legalmente e contrattualmente conforme, se fossero stati sottratti o distrutti documenti prima o dopo averli offerti o dopo che ne era stato riconosciuto il valore archivistico. Quanto alla conservazione di documenti, la verifica era volta a esaminare se i documenti conservati avrebbero dovuto essere archiviati e se le norme in materia di conservazione venivano rispettate.

Nell’ambito della verifica 22-17, l’AVI-AIn ha visitato i luoghi di conservazione dei documenti ed effettuato controlli a campione. In tale contesto ha constatato che nelle varie sedi in cui il SIC conserva documenti le attività di archiviazione dei documenti analogici (principalmente documenti cartacei e microfiche) sono decisamente avanzate. Nel complesso, l’AVI-AIn ha potuto accertare che la situazione si è concretizzata e sviluppata positivamente e che gli impegni assunti nell’ambito della verifica 20-19 riguardanti principalmente l’attuazione dell’accordo con l’AFS sono stati onorati. I lavori eseguiti rispettano tale accordo. Termini di consegna non sono stati rispettati per ragioni comprensibili, plausibili e ascrivibili soltanto in parte al SIC. Diverse migliaia di documenti (circa 200 metri lineari) e milioni di microfiche, che riguardavano principalmente le organizzazioni precedenti al SIC, sono stati repertoriati e consegnati all’AFS. I documenti consegnati riguardano il periodo tra il 1938 e il 2021.

«I documenti delle organizzazioni precedenti non erano repertoriati, perciò l’AVI-AIn non ha potuto analizzare i rischi identificati.»

I documenti delle organizzazioni precedenti non erano repertoriati, perciò l’AVI-AIn non ha potuto analizzare i rischi identificati, e in particolare non ha potuto esaminare se tutti i documenti fossero stati effettivamente offerti e consegnati all’AFS, o se alcuni fossero stati distrutti, per errore o intenzionalmente. L’AVI-AIn non ha scoperto segni di un’eventuale realizzazione di questi rischi.

I lavori di presa in visione e archiviazione dei documenti non sono ancora terminati. Sotto questo aspetto l’accordo non è ancora stato completamente attuato. Il SIC è stato invitato a far evolvere questa situazione. L’AVI-AIn ha constatato che i documenti conservati non sono repertoriati e ha pertanto emesso una raccomandazione che chiede al SIC di allestire un inventario dei documenti che non vengono consegnati all’AFS ma conservati dal servizio stesso.

[22-18] Acquisizione di dati da parte del settore ciber del SIC

L’acquisizione illecita di informazioni da parte del settore ciber del SIC, di cui hanno parlato vari media, è stata trattata sia con un’indagine interna del SIC stesso sia nell’ambito di un’inchiesta amministrativa condotta da persone esterne. L’AVI-AIn ritiene che da entrambi i rapporti emergano ancora questioni irrisolte e pertanto ha avviato una verifica propria su questi fatti non ancora completamente chiariti. L’analisi dei voluminosi insiemi di dati, che sinora non erano stati visionati o valutati né dal SIC stesso né nell’ambito della suddetta inchiesta amministrativa, si è rivelata impegnativa anche in termini di dispendio di tempo e al momento della chiusura di redazione del presente rapporto di attività non era ancora conclusa. Per tale ragione non è ancora possibile esprimersi in merito ai risultati in questa sede. L’AVI-AIn prevede di pubblicare sul proprio sito web la sintesi della verifica nel 2024.

[23-16] Sistemi d’informazione, sistemi di memorizzazione e memorie di dati al di fuori dell’articolo 47 della legge federale sulle attività informative

La LAIn contiene una serie di norme sul trattamento dei dati e al suo articolo 47 fornisce un elenco dei sistemi d’informazione gestiti dal SIC. Il carattere esaustivo di questo elenco era già stato oggetto di discussioni al momento dell’elaborazione della nuova legge sulle attività informative. L’AVI-AIn ha voluto chiarire tale questione giuridica e anche valutare quali altri sistemi sono utilizzati e le ragioni del loro utilizzo. Sono state analizzate anche le pertinenti basi legali.

La verifica 23-16 è iniziata nell’agosto 2023 e alla chiusura di redazione del presente rapporto non era ancora stata ultimata. Pertanto, a questo punto non è possibile fare ulteriori dichiarazioni sui risultati dell’audit. L’AVI-AIn prevede di pubblicare sul proprio sito web la sintesi della verifica nel 2024.

Accertamenti riguardanti il ciberattacco contro la ditta Xplain AG

In seguito al ciberattacco sferrato contro la ditta Xplain AG, l’AVI-AIn ha condotto accertamenti non previsti dal suo consueto piano annuale di controllo. Tali accertamenti erano volti a esaminare se e quanto l’attacco riguardasse anche dati del SIC e in che modo il SIC stesse trattando l’incidente nell’ambito del suo mandato di base. Le informazioni tratte in questo contesto sono in parte confluite nella verifica 23-10 «Collaborazione del SIC con privati».