Sguardo all’interno dell’AVI-AIn

Nel 2023 l’AVI-AIn disponeva di un effettivo di 10 collaboratori. Nel 2023 sono partiti due collaboratori ed è stato dato il benvenuto a due nuovi colleghi.

Formazione continua presso armasuisse in materia di scienza dei dati

Anche nel 2023 l’AVI-AIn ha sfruttato la possibilità di informarsi presso armasuisse in merito allo stato di avanzamento dei progetti di ricerca attuali. Come nel 2022, era interessata principalmente al programma di ricerca sulla scienza dei dati. Mentre nel 2022 i relatori si erano concentrati sulla questione di sapere come si può riuscire a stabilire l’autenticità delle immagini e dei contenuti pubblicati sui media, il simposio organizzato nel 2023 è stato consacrato all’impiego dell’intelligenza artificiale (IA) per l’analisi dei dati, e precisamente sugli strumenti che funzionano grazie all’IA, poiché l’intelligenza artificiale sta progredendo molto rapidamente. Ad oggi, l’IA è in grado di trarre dai dati informazioni che servono a loro volta per creare conoscenza. Gli strumenti IA disponibili attualmente vengono impiegati per riconoscere modelli e ripetizioni nelle serie di dati. Attualmente la ricerca si propone di sviluppare l’IA fino al punto di poter trarre da essa previsioni fondate per il futuro. A questo riguardo svolgono un ruolo importante sia la possibilità di comprendere le correlazioni e le correlazioni apparenti tra i dati, sia i metodi che permettono di garantire la solidità delle induzioni.

Formazione continua «Come effettuare un audit»

Due collaboratori dell’AVI-AIn hanno assolto una formazione continua offerta dal Centro di formazione dell’Amministrazione federale su come effettuare un audit. Questo corso è stato scelto perché trattava delle buone pratiche in materia di audit, consentiva di aggiornare determinate competenze e di confrontare la propria prassi con quella di altri servizi dell’Amministrazione federale che effettuano audit.

Il corso illustrava le varie fasi di un audit, dalla preparazione fino alla finalizzazione. Inoltre, trattava anche il ruolo degli auditor e i principi da seguire nel realizzare un audit. I vari lavori di gruppo hanno consentito ai partecipanti di confrontare le loro esperienze. Infine, è stato trattato anche il tema della formulazione di raccomandazioni e conclusioni alla fine di un audit.

Quest’ultimo tema è stato particolarmente utile per i collaboratori dell’AVI-AIn. Infatti, la formulazione di raccomandazioni è una questione che attualmente viene discussa anche internamente con l’intenzione di migliorare in questo campo. Redigendo un lavoro di transfer, i partecipanti dell’AVI-AIn al corso hanno potuto trattare nei dettagli il tema. Il documento da loro redatto servirà in futuro come base di riflessione per poi introdurre le ottimizzazioni auspicate in seno all’AVI-AIn. Esso ha permesso di stabilire che nel formulare raccomandazioni occorre trovare un equilibrio tra una formulazione esaustiva e dettagliata e il mantenimento di un certo margine di manovra per l’autorità sottoposta a vigilanza. Tale margine di manovra consente all’autorità sottoposta a vigilanza di assumersi la propria responsabilità nell’attuare la raccomandazione. Una raccomandazione «ben formulata» indica al servizio sottoposto a vigilanza anche il rischio che occorre ridurre al minimo. Ciò consente di comprendere e di attuare la raccomandazione stessa in modo migliore.

Certificate of Advanced Studies (CAS) Digital Forensics and Cyber-Investigation-Fundamentals

Nell’anno in rassegna, un collaboratore dell’AVI-AIn ha assolto un CAS sul tema della scienza forense digitale e delle inchieste in ambito ciber, composto da quattro moduli: «Basi della scienza digitale forense», «Fondamenti delle inchieste in ambito ciber», «Panoramica della cibercriminalità» e «Acquisizione nell’ambito della scienza digitale forense». Le nozioni apprese durante questo corso di formazione continua sono direttamente confluite nella verifica 22-18 e nella conseguente analisi di dati. Per esempio, una procedura nota nell’ambito della scienza forense ciber è stata applicata per analizzare una serie di dati voluminosa.

CAS Comunicazione

L’AVI-AIn crea autonomamente i contenuti che pubblica sul proprio sito web e ogni anno allestisce e pubblica per proprio conto anche il rapporto di attività. Per approfondire le conoscenze specialistiche in materia di comunicazione, una collaboratrice si è iscritta a un CAS in comunicazione, che concluderà nel 2024.

Information Systems Audit and Control Association (ISACA) Conferenza Europa: «Digital Trust World», 18-19 ottobre 2023, Dublino

L’ISACA è un’associazione di categoria indipendente di revisori dei conti, revisori informatici e professionisti operanti nel settore della governance informatica e della sicurezza delle informazioni.

Un collaboratore dell’AVI-AIn titolare di una certificazione ISACA come revisore informatico ha partecipato alle due giornate della conferenza europea annuale dell’associazione.

Diverse relazioni specialistiche su temi attuali riguardanti un ecosistema digitale sicuro e affidabile hanno permesso di approfondire le conoscenze specialistiche e di discutere e confrontarsi in merito a nuove conoscenze, tendenze e procedure collaudate. La conferenza era incentrata anche sulla questione del possibile influsso dell’intelligenza digitale e del «machine learning» sulla situazione in materia di sicurezza, ma anche sulle attività di revisione in ambito ciber. Le conoscenze acquisite sono state messe a frutto sia nella gestione dei rischi propria all’AVI-AIn sia nelle attività di verifica.

Evento informativo dell’IFPDT sulla protezione dei dati, 17 agosto 2023

In vista dell’entrata in vigore della nuova legge sulla protezione dei dati (LPD), l’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) ha organizzato un evento informativo per gli incaricati della protezione dei dati degli organi della Confederazione. L’evento si è tenuto il 17 agosto 2023 all’Università di Friburgo e si è rivelato un pieno successo. Due collaboratori dell’AVI-AIn vi hanno partecipato e all’evento hanno incontrato in particolare anche collaboratori dei servizi sottoposti a vigilanza.

I temi riguardanti le novità introdotte nella LPD sono stati presentati dall’IFPDT e da alcuni suoi collaboratori nonché da rappresentanti dell’Ufficio federale della cibersicurezza (UFCS) e dell’Ufficio federale di polizia (fedpol); tra i temi trattati vi erano in particolare le valutazioni d’impatto sulla protezione dei dati (VIPD), l’impiego del nuovo registro delle attività di trattamento, la nuova competenza dell’IFPDT di aprire inchieste per violazioni delle disposizioni sulla protezione dei dati, la verbalizzazione e altro ancora. Le presentazioni sono state molto istruttive e avranno un’utilità sia per l’attività amministrativa dell’AVI-AIn sia nell’ambito delle attività di vigilanza.

Il CDF è l’organo supremo di controllo finanziario della Confederazione e nei limiti delle disposizioni di legge è un’entità autonoma e indipendente. La stessa indipendenza istituzionale iscritta nella legge è garantita anche all’AVI-AIn.

Il CDF esercita la vigilanza finanziaria secondo i criteri della regolarità, della legalità e della redditività. In particolare, verifica i sistemi di controllo interni o effettua controlli a campione degli ordini di pagamento emessi dalle unità amministrative. Il CDF è responsabile della revisione delle unità amministrative, contabilità ed effettivi compresi. L’AVI-AIn non effettua le sue verifiche secondo gli stessi criteri. Il suo mandato legale è molto diverso rispetto a quello del CDF.

Nel suo programma annuale per il 2023 il CDF ha annunciato una verifica presso l’AVI-AIn. Tale verifica si è svolta dal 14 agosto al 1° settembre 2023 e ha riguardato l’attività di vigilanza esercitata dall’AVI-AIn. La verifica è servita a valutare l’efficacia e l’economicità della vigilanza esercitata dall’AVI-AIn sulle attività di intelligence. Il 12 giugno 2023 il CDF ha presentato all’AVI-AIn i suoi quesiti:

1.  La vigilanza esercitata dall’AVI-AIn sulle attività di intelligence è conforme alle basi legali?
2. Le risorse di cui dispone l’AVI-AIn bastano per garantire una vigilanza adeguata su tutti gli attori che operano nel campo delle attività di intelligence?
3. L’infrastruttura informatica in quanto strumento di lavoro consente di esercitare la vigilanza in modo efficiente?

Già nella primavera del 2023 l’AVI-AIn aveva fornito al CDF sei dossier completi del 2021 e del 2022 come campione per la verifica e altri documenti, tra cui per esempio concetti e manuali. Il CDF ha intervistato numerosi collaboratori dell’AVI-AIn, dei vari servizi sottoposti a vigilanza e della Segreteria generale del DDPS (SG-DDPS).

Nel formulare il loro giudizio, i revisori del CDF si sono dovuti impegnare a non confrontare eccessivamente le due autorità (CDF e AVI-AIn). Dal punto di vista dell’AVI-AIn era importante che il CDF capisse il fatto che essa esercita un’attività di vigilanza diversa e quindi funziona diversamente rispetto al CDF. Nell’incontro finale, queste differenze fondamentali sono state discusse ancora una volta, in modo da raggiungere una sintonia tra le diverse competenze delle due autorità. Il CDF continua a esercitare la sua vigilanza secondo criteri propri e la creazione dell’AVI-AIn non ha comportato cambiamenti nella sua sfera di competenza.

L’AVI-AIn, in quanto parte dell’Amministrazione federale decentralizzata, opera su mandato dei cittadini. I cittadini hanno il diritto di sapere cosa fanno le autorità e in che modo adempiono il loro mandato. Per derivazione da questo principio, essi hanno da un lato il diritto di accedere alle informazioni e dall’altro le autorità hanno l’obbligo di informare.

La legge federale del 17 dicembre 2004 sul principio di trasparenza dell’amministrazione (legge sulla trasparenza, LTras, RS 152.3) disciplina la portata e i limiti dell’informazione passiva. Ogni persona può chiedere di accedere a documenti ufficiali senza dover invocare un interesse particolare. Nell’anno in esame, l’AVI-AIn ha ricevuto una richiesta di visionare documenti ufficiali.