Attività di vigilanza

Nell’ambito «Strategia e pianificazione» l’AVI-AIn svolge verifiche su temi che riguardano la pianificazione strategica a breve, medio o lungo termine delle autorità di intelligence della Svizzera nonché la definizione dei loro obiettivi. Nel 2024 l’AVI-AIn si è occupata della seguente verifica:

[24-1] Intelligenza artificiale (IA) presso il SIC

L’AVI-AIn verifica, dal punto di vista della legalità, dell’efficacia e dell’adeguatezza, se il SIC acquisisce, utilizza e controlla correttamente questa tecnologia. Per la verifica in questione sono stati eseguiti lavori preparatori e la verifica avrà luogo nel 2025.

Nell’ambito «Organizzazione e mandati», l’AVI-AIn verifica l’idoneità della struttura e dei processi dei servizi informazioni, chiedendosi se possano consentire un adempimento conforme alla legge, adeguato ed efficace del mandato legale di queste autorità. Nel 2024 l’AVI-AIn ha svolto le seguenti verifiche in questo ambito:

[23-2] Servizi giuridici nel SIC

L’osservanza del principio di legalità e dell’azione conforme alla legge è particolarmente importante nelle attività di intelligence. Da un lato, se il SIC o il suo personale non agiscono in modo conforme alla legge, possono essere violati diversi diritti fondamentali (protezione dei dati, diritto alla protezione della sfera privata, segreto d’affari ecc.); dall’altro, se il SIC non sfrutta appieno le possibilità che la legge gli concede, ne deriva un rischio rilevante per la sicurezza della Svizzera. Inoltre, può sorgere un danno di reputazione, compromettendo la fiducia della popolazione svizzera in questa istituzione. Pertanto, l’AVI-AIn ha verificato l’adeguatezza e l’efficacia di compiti, competenze e responsabilità dei fornitori di servizi giuridici in seno al SIC.

L’AVI-AIn ha intervistato collaboratori di diversi settori e funzioni in merito a cinque questioni da verificare, ha esaminato i documenti e ha stabilito che, sebbene il SIC adempia il mandato di formazione conferitogli dalla legge, dopo la trasformazione è opportuno ottimizzare l’esecuzione del concetto di formazione per tutti i settori del SIC. Come altre unità amministrative, anche il SIC ha la possibilità di acquisire all’esterno il know-how giuridico mancante. Negli ultimi anni ha conferito solo mandati mirati e motivati per la fornitura di servizi giuridici, senza che ciò indicasse una carenza di risorse specialistiche necessarie.

«Sono soprattutto le unità organizzative responsabili del controllo della qualità e della compliance nonché il servizio giuridico del SIC a fornire prestazioni giuridiche. In tutti e tre i settori è stata riscontrata una necessità d’intervento o, perlomeno, sono emerse questioni che richiedono una maggiore attenzione nell’ambito della trasformazione in corso.»

Sono soprattutto le unità organizzative responsabili del controllo della qualità e della compliance nonché il servizio giuridico del SIC a fornire prestazioni giuridiche. In tutti e tre i settori è stata riscontrata una necessità d’intervento o, perlomeno, sono emerse questioni che richiedono una maggiore attenzione nell’ambito della trasformazione in corso.

Le due raccomandazioni formulate riguardavano le attività dell’unità organizzativa responsabile della compliance e la loro tracciabilità nonché il coinvolgimento attivo del servizio giuridico in determinati affari e l’impostazione dei processi di lavoro. È stata osservata una discrepanza tra le richieste e le aspettative nei confronti del servizio giuridico da un lato e la sua precedente impostazione e competenza decisionale dall’altro. Per fare in modo che la situazione reale corrisponda a quella auspicata non basta aggiornare solo la descrizione della funzione direttiva all’interno del servizio giuridico. Gli ultimi audit di compliance secondo il relativo concetto sono stati effettuati nel 2021. Al momento della verifica, solo il servizio di notifica era gestito attivamente dall’unità organizzativa responsabile della compliance, ma non erano disponibili prove di tale attività. Per quanto riguarda l’unità organizzativa responsabile del controllo della qualità, si sono registrate numerose partenze di personale con formazione giuridica, che deve essere sostituito nel più breve tempo possibile per poter gestire le pendenze nell’aggiornamento della documentazione.

[23-4] IT Service Continuity Management (ITSCM) e Disaster Recovery IT nel SIC

Nell’ambito di questa verifica, l’AVI-AIn ha esaminato se il SIC dispone di processi efficaci e adeguati per continuare a garantire, in uno scenario di crisi o catastrofe, il funzionamento del suo sistema informatico, e dunque il proseguimento della sua attività principale, e per ripristinare i suoi dati.

Eventi imprevisti importanti, quali incendi, inondazioni o attività criminali, rappresentano una minaccia per qualsiasi organizzazione. Questo tipo di eventi può causare potenzialmente danni più gravi di un semplice guasto, in particolare all’infrastruttura delle tecnologie dell’informazione. Pertanto, le organizzazioni devono preoccuparsi di garantire la continuità della loro attività (Business Continuity Management [BCM]). Il BCM si concentra su un evento e mira a ridurre l’impatto in termini di rischi sulle prestazioni e sui processi operativi critici.

Un sistema informatico affidabile e sempre disponibile è indispensabile per la sopravvivenza di un’impresa la cui attività principale è fortemente dipendente dalle tecnologie dell’informazione. L’IT Service Continuity Management (ITSCM), associato al BCM, ha lo scopo di garantire la fornitura delle prestazioni informatiche critiche identificate dall’impresa in conformità alle esigenze anche in caso di eventi importanti. A tal fine, si valutano e si mettono in atto misure preventive (rafforzamento della resilienza) e misure predisposte in caso di evento (rafforzamento della risposta). L’ITSCM deve garantire che i servizi e l’infrastruttura delle tecnologie dell’informazione e della comunicazione (TIC) siano disponibili dopo un’interruzione o che possano essere ripristinati entro un termine stabilito. Il disaster recovery dell’infrastruttura informatica (Disaster Recovery-IT) invece ha l’obiettivo di ripristinare i servizi e l’infrastruttura TIC dopo un’interruzione.

Un simile ITSCM deve rispondere a rischi attuali e concreti. Con la digitalizzazione che avanza e vista l’importanza centrale del trattamento dei dati nelle attività del SIC, quest’ultimo dipende sempre più dal funzionamento continuo e affidabile delle sue infrastrutture informatiche, il tutto in un contesto caratterizzato dal rischio di penuria di energia elettrica, dal moltiplicarsi dei ciberattacchi e da una guerra sul continente europeo. Inoltre, eventuali perdite di dati rischierebbero di compromettere la capacità del SIC di adempiere il proprio mandato.

Il BCM era già stato oggetto di un rapporto della Revisione interna DDPS (rapporto I 2022-01 del 15 agosto 2022), che conteneva una raccomandazione in cui si invitavano le unità amministrative del dipartimento ad aggiornare la propria documentazione su questo tema. Il SIC si adopera per attuare tale raccomandazione. Inoltre, la direzione del SIC ha deciso di approvare e attuare un nuovo BCM soltanto dopo che sarà stata ultimata la trasformazione attualmente in corso. L’AVI-AIn non ha quindi insistito ulteriormente per quanto riguarda il BCM.

Quanto all’ITSCM, l’AVI-AIn ha riscontrato lacune nella documentazione dovute a un errore di governance IT all’interno del SIC. Quest’ultimo ha preso provvedimenti, ma solo a livello tecnico. L’unità TIC del SIC ha invece adottato numerose misure volte a garantire la continuità dell’attività in caso di evento importante. Le misure adottate – tra cui in particolare la ridondanza dell’infrastruttura TIC e la strategia di salvataggio dei dati – sono efficaci e adeguate e permettono di ridurre al minimo i rischi in modo coerente. Tuttavia, non è stata messa in atto nessuna strategia di test, pertanto non si può avere la certezza che l’elevata stabilità delle prestazioni TIC sarebbe effettivamente garantita anche in caso di evento importante. Inoltre, la mancanza di test variati e regolari impedisce di aggiornare l’ITSCM. L’AVI-AIn ha formulato raccomandazioni riguardanti la documentazione insufficiente dell’ITSCM e la mancata organizzazione di test.

[24-2] Attività informative svolte attraverso il SPPEs

L’AVI-AIn esamina le interfacce nella collaborazione tra il SIC e l’SPPEs al fine di identificare le attività di intelligence. Su tale base, verificherà la legalità, l’adeguatezza e l’efficacia di questa collaborazione.

Nel 2024 si sono svolte diverse interviste in merito alla competenza dell’AVI-Ain per la vigilanza sull’SPPEs (v. n. 6.4). Questa verifica verrà effettuata nel corso del 2025.

[24-3] Organizzazione dei contatti con servizi partner presso il servizio ACE

Nessun servizio di intelligence può, da solo, riconoscere tutti i pericoli e garantire la difesa da questi ultimi. Per tale motivo, una collaborazione stretta e basata sulla fiducia con servizi partner è indispensabile. Ciò vale anche per i servizi di intelligence della Svizzera, incluso l’ACE. Nel caso specifico dei settori di compiti in cui opera l’ACE, la situazione è ulteriormente complicata dal fatto che si tratta di un servizio relativamente piccolo, che inoltre non è integrato in organi multilaterali (p. es. [Signals Intelligence] SIGINT Seniors Europe) e che, a causa della posizione geografica della Svizzera, non può accedere a tutti i flussi di segnale alla stregua di altri Paesi. Considerati questi aspetti, i contatti bilaterali a livello operativo con servizi partner selezionati assumono un’importanza ancora maggiore.

Questi contatti sono caratterizzati da un rapporto di dare e avere. L’ACE riceve informazioni, ma deve anche fornire a sua volta informazioni che siano di interesse per il servizio partner.

Questo scambio, pur essendo – come già evidenziato – indispensabile per l’ACE, solleva alcune questioni ed è associato a rischi. In particolare, la natura delle informazioni scambiate potrebbe comportare il rischio di azioni non conformi alla legge da parte del servizio, ma anche il processo e le modalità di gestione dei contatti con i servizi partner presentano rischi in termini di efficacia e adeguatezza.

Per questo motivo, l’AVI-AIn ha deciso, sulla base del piano di controllo 2024, di sottoporre a verifica i contatti dell’ACE con i servizi partner.

Per quanto riguarda le questioni giuridiche, l’AVI-AIn ha potuto constatare che l’ACE si attiene alle disposizioni legali e che intrattiene contatti con i servizi partner nell’ambito dell’intelligence esclusivamente su mandato del SIC. La maggior parte di questi contatti riguarda questioni tecniche. Qualora vengano scambiate anche informazioni più delicate, come i dati, viene preventivamente coinvolto il servizio giuridico del SIC per verificare le basi legali rilevanti per lo scambio dei dati in questione.

«…date le circostanze, gli attuali contatti sono organizzati e gestiti in modo efficace. Anche l’approccio adottato per stabilire futuri contatti con i servizi partner nell’ambito delle attività ciber e delle azioni elettromagnetiche sembra essere efficace ed efficiente.»

Per quanto concerne l’efficacia e l’adeguatezza dei contatti con i servizi partner, l’AVI-AIn è giunta alla conclusione che, date le circostanze, gli attuali contatti sono organizzati e gestiti in modo efficace. Anche l’approccio adottato per stabilire futuri contatti con i servizi partner nell’ambito delle attività ciber e delle azioni elettromagnetiche sembra essere efficace ed efficiente. Sebbene, da un punto di vista puramente tecnico, un’integrazione in organi internazionali nel settore SIGINT prometterebbe una maggiore efficacia nell’ambito dei contatti con i servizi partner, tale decisione rappresenta una scelta politica di ampia portata e non può essere presa a livello di ACE o di SIC.

Basandosi sull’impressione generale secondo cui l’ACE si attiene rigorosamente alle basi legali e, data la situazione, trae il massimo dai contatti con i servizi partner, l’AVI-AIn non ha formulato raccomandazioni.

[24-11] Aspetti relativi alla sicurezza secondo l’art. 6 cpv. 7 della legge federale del 25 settembre 2015 sulle attività informative (LAIn, RS 121)

Il SIC è tenuto a proteggere il suo personale, le sue installazioni, le sue fonti e i dati che tratta. In ambiti selezionati, l’AVI-AIn verifica in che modo il SIC adempie tale obbligo.

Questa verifica non era stata annunciata nel piano di controllo 2024 e sarà completata nel 2025.

Nell’ambito «Collaborazione» l’AVI-AIn verifica la collaborazione dei servizi con le autorità nazionali e internazionali. L’AVI-AIn verifica ogni anno la collaborazione con alcuni servizi informazioni cantonali (SICant). Con i rapporti di controllo «23-6 SICant Nidvaldo» e «23-7 SICant Obvaldo» nonché con la pubblicazione delle sintesi dei risultati di queste verifiche sul proprio sito web, l’AVI-AIn ha completato la verifica di tutti i Cantoni. Pertanto, può tracciare un bilancio delle verifiche svolte in tutti i 26 Cantoni.

Nel 2024 l’AVI-AIn ha svolto le seguenti verifiche:

[23-6] Servizio informazioni cantonale Nidvaldo (SICant NW)

L’AVI-AIn ha verificato se la collaborazione tra il SIC e il SICant NW si svolge in modo conforme alla legge, adeguato ed efficace, giungendo alla conclusione che la collaborazione tra i due servizi è buona. Il SICant NW ha di norma eseguito i mandati del SIC in maniera tempestiva e in modo appropriato dal punto di vista del contenuto. Tuttavia, l’AVI-AIn ha avuto l’impressione che il SICant NW non tenga adeguatamente conto della necessaria separazione tra l’infrastruttura della polizia cantonale e quella del SICant, il che comporta il rischio di fughe di informazioni. L’AVI-AIn ha formulato una raccomandazione in merito.

L’AVI-AIn ha inoltre verificato se i dati salvati e i dati personali rispettano le disposizioni legali per quanto riguarda il legame con il compito, il rispetto dei limiti di trattamento nonché la correttezza e la rilevanza delle informazioni. A tale proposito è stato constatato che le questioni irrisolte relative alla gestione dei dati o i problemi tecnici rilevanti per la protezione delle informazioni non vengono affrontati con l’attenzione e la disciplina necessarie, oppure che il legame con il compito non è sempre tracciabile a causa di partenze di personale. Ciò comporta il rischio di un trattamento illecito dei dati e di fughe di informazioni. L’AVI-AIn ha formulato una raccomandazione in merito.

[23-7] Servizio informazioni cantonale Obvaldo (SICant OW)

L’AVI-AIn ha verificato se la collaborazione tra il SIC e il SICant OW si svolge in modo conforme alla legge, adeguato ed efficace, giungendo alla conclusione che, negli attuali ambiti tematici, la collaborazione tra i due servizi è buona e che la comunicazione funziona anche a bassa soglia. Il SICant OW ha eseguito i mandati del SIC in maniera tempestiva e in modo appropriato dal punto di vista del contenuto e delle risorse. L’AVI-Ain ha avuto l’impressione che il SICant OW disponga di buone conoscenze in materia di intelligence e delle relative qualità e che vi siano i presupposti e la motivazione necessari per l’adempimento dei compiti.

L’AVI-AIn ha inoltre verificato se i dati salvati e i dati personali rispettano le disposizioni legali per quanto riguarda il legame con il compito, il rispetto dei limiti di trattamento nonché la correttezza e la rilevanza delle informazioni. A questo riguardo non sono state constatate anomalie.

Verifiche effettuate presso i SICant negli anni passati

Tra il 2019 e il 2024 l’AVI-AIn ha svolto una verifica presso tutti i SICant. La strategia di verifica è stata la stessa per tutti i SICant, ma per ciascuna verifica sono state aggiunte domande specifiche.

In 11 Cantoni non ci sono state contestazioni. In 15 Cantoni, invece, l’AVI-AIn ha rilevato un potenziale di miglioramento, in particolare per quanto riguarda il trattamento dei dati, l’uso delle risorse e l’impiego degli strumenti tecnici. Ad eccezione di una raccomandazione il cui termine di attuazione non era ancora scaduto, tutte le raccomandazioni formulate nell’ambito dell’ultima verifica sono state attuate. Grazie alle misure adottate dal SIC, alcuni tipi di problematiche che in passato avevano dato adito a contestazioni non sono più state riscontrate nel corso degli anni. Inoltre, talvolta una raccomandazione formulata nei confronti di un Cantone ha avuto effetti anche su altri Cantoni.

«Grazie a queste verifiche, l’AVI-AIn dispone di conoscenze approfondite dei SICant, delle loro attività e delle loro peculiarità.»

Grazie a queste verifiche, l’AVI-AIn dispone di conoscenze approfondite dei SICant, delle loro attività e delle loro peculiarità. Alcune autorità di vigilanza cantonali inviano regolarmente i loro rapporti di vigilanza all’AVI-AIn, integrando così le informazioni a disposizione di quest’ultima.

Per i prossimi anni, l’AVI-AIn ha deciso di svolgere le verifiche presso i SICant non più sulla base di questioni da verificare standardizzate, ma prendendo in considerazione i rischi relativi a temi specifici nei singoli Cantoni (v. anche le visite dell’AVI-AIn presso i Cantoni, n. 7.1).

[23-10] Collaborazione del SIC con privati

Il SIC collabora con persone private, organizzazioni e imprese. Queste collaborazioni si svolgono nel quadro amministrativo attraverso, ad esempio, relazioni contrattuali ordinarie e sul piano operativo in particolare mediante collaborazioni con persone private, cosiddette «supporter». Queste persone collaborano con il SIC e lo sostengono nello svolgimento dei suoi compiti secondo l’art. 6 LAIn.

In una prima fase, l’AVI-AIn ha analizzato una questione in sospeso in relazione con una verifica del Controllo federale delle finanze (CDF) nell’ambito della collaborazione del SIC con persone private sul piano amministrativo. Pertanto, in occasione di un controllo mediante campionatura, ha analizzato un certo numero di contratti sulle prestazioni conclusi tra il SIC e differenti imprese. È stata verificata anche la contabilità del SIC e sono stati fatti controlli mediante campionatura. Sono stati analizzati anche i pagamenti dissimulati che figuravano nella contabilità del SIC e questo ha permesso, in una seconda fase, di estendere le ricerche dell’AVI-AIn al quadro operativo, focalizzandosi sui supporter del SIC.

L’AVI-AIn ha così analizzato la legalità dei mandati attribuiti ai supporter basandosi sui criteri della LAIn e dell’ordinanza del 16 agosto 2017 sulle attività informative (ordinanza sulle attività informative, OAIn, RS 121.1). Inoltre ha analizzato l’adeguatezza e l’efficacia della collaborazione tra il SIC e i supporter, valutando il management del portafoglio e il management del ciclo di vita dei supporter messi in atto dal SIC.

Infine è stata analizzata la gestione dei rischi e sono state verificate diverse ipotesi. ll raggiramento di misure di acquisizione sottoposte ad autorizzazione in occasione di un mandato affidato a una persona privata, il comportamento illecito di una persona privata, il pagamento a una persona privata senza prestazioni in contropartita o la collaborazione con persone private la cui reputazione potrebbe nuocere al SIC sono altri elementi che sono stati presi in considerazione nel quadro di questa verifica.

«…la visione d’insieme del SIC sulle persone private con cui collabora e la corrispondente documentazione sono adeguati.»

Secondo l’AVI-AIn, la visione d’insieme del SIC sulle persone private con cui collabora e la corrispondente documentazione sono adeguati. La verifica condotta mostra del resto un miglioramento in questo campo. Tuttavia, secondo le costatazioni dell’AVI-AIn, il trattamento delle lacune in materia di sicurezza nel quadro delle collaborazioni con le persone private deve essere migliorato. Inoltre la prassi nell’ambito operativo per quanto riguarda alcuni compiti attribuiti a persone private può anche essere precisata. Anche se non ha fatto raccomanda-zioni, l’AVI-AIn ha attirato l’attenzione del SIC su questi punti, formulando diversi inviti.

[24-4] Collaborazione tra SIC e Segreteria di Stato della migrazione (SEM)

L’AVI-AIn verifica se la collaborazione tra il SIC e la SEM nonché il relativo scambio di dati si svolgono in modo conforme alla legge, efficace e adeguato.

L’acquisizione di informazioni è un compito fondamentale dei servizi di intelligence, che a tal fine possono utilizzare vari mezzi. I mezzi che incidono in modo più invasivo sui diritti fondamentali – come la sfera privata – delle persone interessate sono oggetto di un’attenzione particolare da parte dell’AVI-AIn. Visti i rischi legati alle attività in questione, le verifiche relative alle operazioni (OP) e alla Human Intelligence (raccolta di informazioni da fonti umane [HUMINT]) si svolgono almeno una volta all’anno. Nel 2024 l’AVI-AIn ha svolto le seguenti verifiche in questo ambito:

[23-11] Operazioni, necessità di accertamenti operativi (OPAB) e misure di acquisizione soggette ad autorizzazione (GeBM) del SIC

Le operazioni di intelligence (OP) e le OPAB rientrano tra i compiti fondamentali del SIC. Esse sono caratterizzate dal fatto che rispetto alle attività correnti sono più complesse e necessitano di una condotta operativa. Inoltre, nell’ambito delle OP, possono essere richieste anche misure di acquisizione soggette ad autorizzazione (GeBM). La complessità delle OP e delle OPAB comporta regolarmente dei rischi sul piano dell’efficacia e dell’adeguatezza, e le GeBM, dato che incidono nella sfera privata protetta, implicano sempre un rischio giuridico. Perciò, l’AVI-AIn verifica regolarmente queste attività del SIC.

Per quanto riguarda lo sviluppo del portafoglio delle OP e delle OPAB, rispetto all’anno precedente non ci sono stati cambiamenti significativi. Questo vale sia per i quantitativi sia per i temi trattati. Anche quest’anno il SIC è impegnato nel concludere OP e OPAB in corso già da tempo. Secondo l’AVI-AIn questo modo di procedere corrisponde agli obiettivi e dovrebbe essere mantenuto anche in futuro.

«Sulla base delle attività di verifica svolte, l’AVI-AIn non ha riscontrato alcun indizio che suggerisse che le OP e OPAB esaminate si svolgono o sono state svolte in modo non conforme alla legge, inadeguato o inefficace.»

Sono state esaminate cinque OP e undici OPAB per verificare se sono eseguite o sono state eseguite in modo conforme alla legge, adeguato ed efficace. Sulla base delle attività di verifica svolte, l’AVI-AIn non ha riscontrato alcun indizio che suggerisse che le OP e OPAB esaminate si svolgono o sono state svolte in modo non conforme alla legge, inadeguato o inefficace.

L’AVI-AIn ha esaminato otto misure autorizzate e approvate, tre urgenti e una rifiutata, per verificare se sono state attuate o meno in conformità alle relative decisioni del Tribunale amministrativo federale (TAF). Sulla base delle attività di verifica svolte, l’AVI-AIn non ha motivo di dubitare che le misure esaminate non siano state attuate nel rispetto delle decisioni prese nel corso dei processi di autorizzazione e approvazione. Non vi sono inoltre indicazioni che il SIC abbia attuato illecitamente singole misure nonostante la decisione negativa.

Sulla base della valutazione complessiva positiva, l’AVI-AIn non ha formulato raccomandazioni.

[23-12] Fonti umane (HUMINT) presso il SIC

L’ambito HUMINT è uno dei cosiddetti settori «clandestini», ossia quelli in cui la segretezza è un pilastro fondamentale dell’attività. Ciò comporta misure di sicurezza e di protezione particolarmente elevate per quanto concerne il personale (p. es. utilizzo di identità fittizie e/o di coperture per dissimulare l’appartenenza al SIC) e le postazioni di lavoro (dissimulate) nonché i flussi finanziari dissimulati necessari per occultare l’origine delle somme di denaro in questione, gli obblighi di protezione delle fonti e così via. I rischi in questi settori sono molteplici e in continua evoluzione, il che giustifica una verifica annuale da parte dell’AVI-Ain.

In vista della trasformazione e del riorientamento strategico del SIC, l’obiettivo principale dell’AVI-AIn era fare il punto della situazione nel settore HUMINT prima di tale trasformazione. Nell’ambito della verifica 23-12 si è pertanto concentrata in particolare sull’evoluzione del portafoglio di fonti, sia dal punto di vista strategico che in relazione al personale del settore HUMINT, alle capacità di sviluppo e di apprendimento nonché ai progetti in corso. La verifica ha anche offerto l’opportunità di ottenere un’istantanea del funzionamento e delle difficoltà del settore HUMINT prima della trasformazione del SIC. A tal fine, è stato intervistato tutto il personale del settore HUMINT, sia oralmente che per iscritto. Sebbene, nel complesso, il personale sia soddisfatto del proprio lavoro e molto motivato, alcune difficoltà già esistenti e precedentemente constatate dall’AVI-AIn sono destinate ad acuirsi con la trasformazione del SIC.

«In generale, il settore HUMINT ha le capacità, le idee, le risorse e la motivazione necessarie per risolvere i problemi attuali.»

Lo sviluppo e la digitalizzazione della società in generale sono ulteriori fattori che accrescono la pressione sui settori «clandestini». Alcuni progetti in corso, come una nuova formazione per i gestori delle fonti o un nuovo sistema per la gestione della documentazione, mirano a offrire soluzioni in questo ambito. In generale, il settore HUMINT ha le capacità, le idee, le risorse e la motivazione necessarie per risolvere i problemi attuali. L’AVI-AIn ha formulato due raccomandazioni riguardanti la gestione del personale e la valutazione delle informazioni fornite dalle fonti umane.

Infine, dalla verifica è emerso che i dossier selezionati e verificati vengono gestiti in modo conforme alla legge e sono adeguatamente documentati.

[23-13] Impiego di agenti virtuali (VirtA) nel SIC

La situazione di minaccia a livello globale è cambiata. Nel settore del terrorismo e dell’estremismo violento, la comunicazione si è spostata da piattaforme pubbliche come Facebook a servizi di comunicazione criptati e gruppi chiusi.

A causa di questo nuovo scenario, diventa per esempio meno efficace il monitoraggio di Internet svolto dal SIC attraverso l’uso di identità virtuali fittizie nel campo del terrorismo e dell’estremismo violento, poiché tale strumento copre principalmente lo spazio pubblico e non consente l’accesso ai servizi di comunicazione e ai gruppi chiusi. Per entrare in tali spazi, l’AVI-AIn ha bisogno di agenti virtuali. Stabilendo contatti con i potenziali obiettivi, questi ultimi riescono infatti a guadagnarsi un livello di fiducia sufficiente per ottenere l’accesso ai forum chiusi.

Per questo motivo, l’AVI-AIn ha verificato se il quadro giuridico per l’impiego degli agenti virtuali fosse chiaramente definito e conosciuto dal personale coinvolto. È stata anche verificata l’adeguatezza dello sviluppo e dell’impiego di agenti virtuali presso il SIC.

Inoltre, l’AVI-AIn ha verificato se il SIC disponesse delle condizioni tecniche e organizzative necessarie per ottenere risultati efficaci nell’ambito dell’intelligence attraverso l’impiego di agenti virtuali, o per valutare correttamente le probabilità di successo sin dall’inizio.

[24-5] Operazioni, necessità di accertamenti operativi e misure di acquisizione soggette ad autorizzazione del SIC

«…misure di acquisizione soggette ad autorizzazione»

L’AVI-AIn verifica la garanzia della legalità, dell’adeguatezza e dell’efficacia delle operazioni nella nuova struttura organizzativa. Esamina un numero selezionato di operazioni di intelligence e di necessità di accertamenti operativi per verificarne la legalità, l’adeguatezza e l’efficacia. Inoltre, verifica l’attuazione conforme alle decisioni di un numero selezionato di misure di acquisizione soggette ad autorizzazione autorizzate e approvate.

[24-6] Fonti umane (HUMINT) presso il SIC

L’AVI-AIn esamina due aspetti principali: da un lato, vengono verificati il proseguimento della verifica 23-12 e la questione di come il SIC abbia affrontato e attuato alcuni dei punti critici sollevati dall’AVI-AIn in questo rapporto; dall’altro, si tratta di verificare la legalità della gestione delle fonti (fonti umane e supporter) come pure la legalità e l’adeguatezza della documentazione delle registrazioni relative alla gestione delle fonti.

Nell’ambito «Risorse» l’AVI-AIn verifica se vi è un uso adeguato delle risorse da parte dei servizi e se è garantita un’attività informativa efficace. Nel 2024 l’AVI-AIn ha svolto le seguenti verifiche nell’ambito «Risorse»:

[24-7] Inventario delle tecnologie dell’informazione e della comunicazione (TIC) presso il SIC

Nell’ambito delle TIC è importante, per vari motivi, che un’organizzazione disponga di una panoramica dell’hardware utilizzato. Tale panoramica aiuta a gestire i componenti hardware durante il loro intero ciclo di vita e a garantire così un impiego ottimale delle risorse. Inoltre, un inventario sistematico impedisce che, all’interno dell’organizzazione, l’hardware venga acquistato e utilizzato da persone non autorizzate. Proprio quest’ultimo punto comporta per il SIC sia un rischio di reputazione sia il pericolo che i dati vengano trattati illecitamente a causa della mancanza di meccanismi di controllo.

L’AVI-AIn verifica pertanto se il SIC dispone di un inventario del proprio hardware e, in caso affermativo, se viene gestito in modo efficace e adeguato al fine di individuare e prevenire l’acquisizione e l’utilizzo non autorizzati di componenti hardware.

La verifica non riguarda l’intero inventario TIC del SIC, ma si concentra solo sull’hardware IT – collegato al centro di calcolo – che viene utilizzato per la registrazione e il trattamento dei dati nell’ambito dell’intelligence.

[24-8] Gestione degli incidenti e dei rischi nel Servizio informazioni militare (SIM)

Per via del suo carattere spesso segreto, lo svolgimento di attività informative è legato a rischi specifici. In primo luogo, tali attività possono riguardare l’organizzazione dei lavori, cosa che può trovare espressione per esempio in fughe indesiderate di informazioni e nei corrispondenti rischi di reputazione e per la sicurezza. Però vi sono anche aspetti di carattere giuridico o politico che sono legati a rischi di cui il servizio che svolge le rispettive attività è tenuto a rispondere. In tale contesto la gestione dei rischi riveste un ruolo determinante. Innanzitutto, indica se i rischi legati a un’organizzazione sono stati individuati e se sono state definite misure idonee che, da un lato, portano a una riduzione dei rischi e, dall’altro, aiutano a limitare i danni che si verificherebbero nell’ipotesi in cui un rischio si concretizzasse. In tale contesto è rilevante la questione di sapere in che modo l’organizzazione gestisce incidenti che riguardano i rischi già individuati o la sicurezza generale dell’organizzazione (gestione degli incidenti).

La mancanza o l’incompletezza di un sistema di gestione dei rischi può comportare l’impossibilità per un servizio informazioni di far fronte appieno ai propri compiti per quanto riguarda l’acquisizione di informazioni e ridurre il suo grado di efficacia e di adeguatezza. Nella peggiore delle ipotesi il SIM può ritrovarsi nell’incapacità di fornire le prestazioni a favore dell’Esercito svizzero.

Per questa ragione l’AVI-AIn ha deciso di sottoporre a verifica il sistema di gestione dei rischi e degli incidenti del SIM.

Per quanto riguarda la gestione dei rischi, l’AVI-AIn ha constatato che il SIM dispone di una panoramica completa dei rischi più rilevanti. Un sistema ottimale di gestione dei rischi però presuppone anche che i rischi vengano gestiti attivamente ricorrendo a una procedura strutturata. Vi rientrano tra l’altro l’aggiornamento dei documenti validi nonché lo scambio regolare di informazioni in merito all’evoluzione dei rischi e le discussioni sulle misure da adottare. L’AVI-AIn è dell’avviso che attualmente queste attività in seno al SIM siano ancora insufficienti, tuttavia per il 2024 è prevista una modifica di queste attività grazie a una nuova concezione dei rischi.

«Per questa ragione l’AVI-AIn è giunta alla conclusione che in fase di revisione della concezione dei rischi occorra inserire anche scenari di esercitazione che comprendano le modalità di gestione di incidenti di sicurezza gravi.»

Per quanto concerne la gestione degli incidenti, l’AVI-AIn ritiene che si possa partire dal presupposto che gli incidenti rilevanti sotto il profilo della sicurezza idonei a far aumentare o concretizzare i rischi che derivano dalle attività informative svolte dal SIM vengano rilevati dal SIM in maniera strutturata. Secondo l’AVI-AIn questi incidenti vengono gestiti dal SIM e trovano riflesso nella gestione dei rischi. In effetti, finora il SIM si era trovato a dover gestire un numero relativamente esiguo di incidenti. Tale circostanza aumenta a sua volta il rischio di fare affidamento su un’apparente sensazione di sicurezza. Per questa ragione l’AVI-AIn è giunta alla conclusione che in fase di revisione della concezione dei rischi occorra inserire anche scenari di esercitazione che comprendano le modalità di gestione di incidenti di sicurezza gravi.

A causa del grado di maturità del sistema di gestione dei rischi, del numero relativamente esiguo di incidenti rilevanti sotto il profilo della sicurezza e della loro gravità piuttosto bassa, nonché del fatto che i membri del SIM per via della loro esperienza militare presentano un elevato grado di consapevolezza del rischio, l’AVI-AIn ha rinunciato a formulare raccomandazioni.

Nell’ambito «Trattamento dei dati e archiviazione» l’AVI-AIn verifica in particolare la legalità del trattamento delle informazioni, poiché le informazioni trattate dai servizi sono altamente sensibili e le disposizioni legali sono tanto ampie quanto complesse. Nel 2024 l’AVI-AIn ha svolto le seguenti verifiche nel suddetto ambito:

[22-15] Open Source Intelligence (OSINT) presso il SIC

L’OSINT è un settore in rapido sviluppo dell’attività di acquisizione di informazioni svolta dai servizi di intelligence. Il collegamento di una quantità inesauribile di dati accessibili pubblicamente (Open Source Information, OSINF) offre ai servizi di intelligence possibilità quasi illimitate di acquisire informazioni. L’analisi delle OSINF, finalizzata a ottenere informazioni utili, è denominata OSINT. L’OSINT è una misura di acquisizione non soggetta ad autorizzazione ai sensi dell’art. 13 LAIn e permette al SIC di cercare informazioni rilevanti per l’intelligence partendo da una grande quantità di dati disponibili.

L’OSINT è in costante sviluppo e solleva questioni di natura giuridica ed etica tra gli addetti ai lavori a livello internazionale, tra cui la delimitazione dell’OSINT rispetto alla ricerca d’informazioni tramite fonti umane (HUMINT), in particolare per quanto concerne l’impiego attivo di identità fittizie per interagire con obiettivi su Internet o per acquisire banche dati offerte illegalmente in rete («leak»). Di conseguenza, l’AVI-AIn ha deciso di esaminare in che modo il SIC affronta i rischi legati all’OSINT.

Secondo l’art. 13 LAIn, sono fonti d’informazione pubbliche soprattutto i media accessibili al pubblico, i registri accessibili alle autorità della Confederazione e dei Cantoni, i dati personali che privati rendono accessibili al pubblico e le dichiarazioni rese in pubblico. Il limite tra OSINT e GeBM non è sempre netto ed è tema di discussione anche presso i servizi partner del SIC e le autorità di vigilanza estere. Senza una concezione comune di questi limiti, si corre il rischio di acquisire dati illecitamente. Dalle interviste realizzate con collaboratori del settore OSINT del SIC è emerso che essi sono consapevoli del fatto che operano in un contesto giuridico complesso. Tuttavia, non esistono criteri o una direttiva strutturata per determinare ciò che è realmente l’OSINT e quali sono i limiti del quadro giuridico di questa attività. Quindi, l’impiego delle varie misure di acquisizione in ambito OSINT non è disciplinato in modo chiaro e uniforme in seno al SIC. L’AVI-AIn ha formulato una raccomandazione con cui chiede di delimitare il quadro giuridico per le attività operative concrete del SIC che si fondano sull’OSINT e di stabilire norme uniformi per l’impiego dell’OSINT.

L’AVI-AIn ha verificato una serie di acquisizioni OSINT selezionate senza trovare elementi che indicassero un’acquisizione illecita di informazioni. Il SIC è tenuto per legge a documentare la sua attività con una gestione degli affari sistematica. Tutti i documenti rilevanti per gli affari devono essere registrati e archiviati nel sistema di gestione elettronica degli affari (GEVER) del SIC. In singoli casi la documentazione degli accertamenti OSINT era lacunosa e non rispettava le vigenti prescrizioni nell’Amministrazione federale, il che ha reso impossibile una valutazione della legalità da parte dell’AVI-AIn. L’AVI-AIn ha formulato una raccomandazione in proposito.

Per poter raccogliere in modo adeguato ed efficace informazioni rilevanti per l’intelligence partendo dall’enorme quantità di dati accessibili pubblicamente su Internet, si utilizzano i cosiddetti «tool OSINT». Il SIC utilizza sia prodotti standard reperibili in commercio sia prodotti sviluppati in proprio.

Con questi tool, e avvalendosi tra l’altro di identità virtuali fittizie (IVF), svolge sia un monitoraggio permanente sia ricerche mirate. Dato che servono per attività di intelligence, le IVF utilizzate presentano anomalie e perciò potrebbero essere considerate come potenziali obiettivi da altri servizi e attirare l’attenzione, per esempio, di servizi partner esteri. Per contrastare questo rischio, l’AVI-AIn ha suggerito al SIC di assicurare almeno con i SICant un’informazione reciproca sulle IVF utilizzate.

Per l’acquisizione di informazioni OSINT anonimizzata, il SIC utilizza un’infrastruttura informatica speciale. Questa infrastruttura presenta lacune di sicurezza e dovrebbe essere sostituita al più presto. L’AVI-AIn ha formulato una raccomandazione in proposito.

La verifica delle informazioni tratte da ricerche OSINT non è sempre cosa semplice, in particolare se le informazioni provengono dal «darknet». Secondo il SIC, le attività di intelligence implicano una sana diffidenza nei confronti delle informazioni acquisite. Se un’informazione non può essere verificata e il grado di veridicità del suo contenuto non può essere quantificato, nei rapporti OSINT questo aspetto viene indicato. Il problema della verifica delle fonti, che assume un ruolo importante per esempio per identificare e svelare le fake news, è noto in particolare nell’impiego di tool OSINT commerciali complessi e se ne discute regolarmente anche all’interno della comunità dei servizi di intelligence.

Oltre al SIC, anche i SICant svolgono accertamenti legati all’OSINT. L’AVI-AIn ha esaminato se esistono ridondanze e inefficienze, giungendo alla conclusione che tutti i servizi sono sensibilizzati in merito ai rischi e ha constatato per esempio che discutono regolarmente la questione dell’OSINT in un contesto creato appositamente.

Il SIC utilizza il sistema d’informazione Portale OSINT per mettere a disposizione al suo interno i dati provenienti da fonti accessibili al pubblico. Le attività di controllo dell’AVI-AIn non hanno fatto emergere indizi di violazione dei principi di adeguatezza o efficacia nella gestione dei dati sul Portale OSINT. Il rischio di prolungamento illecito del termine di conservazione, legato a un’etichettatura sbagliata dei dati come dati OSINT generata da altri sensori, è risultato inesistente, poiché i dati OSINT hanno un termine di conservazione più breve.

[22-18] Acquisizione di dati da parte del settore ciber del SIC

Le attività di controllo, particolarmente dispendiose in termini di tempo, sulle questioni ancora irrisolte riguardanti l’acquisizione illecita di informazioni da parte del settore ciber del SIC sono state completate nell’anno in esame. Poiché anche la redazione del rapporto ha richiesto un impegno considerevole, prima della chiusura redazionale del presente rapporto di attività è stato possibile avviare soltanto la relativa procedura di consultazione. Pertanto, in questa sede non è ancora possibile entrare nel merito dei dettagli concreti e dei risultati della verifica. L’AVI-AIn prevede di pubblicare sul proprio sito web la sintesi della verifica nel 2025 e di fornire un resoconto dettagliato nel prossimo rapporto di attività.

[23-16] Sistemi d’informazione, sistemi di memorizzazione e memorie di dati non contemplati dall’art. 47 LAIn

Fin dalla sua istituzione, l’AVI-AIn controlla a intervalli regolari i sistemi d’informazione del SIC. L’elaborazione dei dati è alla base delle attività del Servizio delle attività informative. Se i dati non vengono elaborati correttamente e se non sono a disposizione del personale per l’analisi e la valutazione della situazione a livello di politica di sicurezza, l’adempimento dei compiti del SIC può essere compromesso. Con la LAIn, per la prima volta i sistemi d’informazione utilizzati dal SIC per lo svolgimento delle proprie attività sono stati regolamentati in un unico punto, ovvero all’art. 47 LAIn.

Nel corso delle proprie attività di controllo, l’AVI-AIn ha riscontrato che vengono utilizzati altri sistemi d’informazione oltre a quelli elencati nell’art. 47 LAIn. L’esaustività dell’elenco di cui all’art. 47 LAIn era già controversa al momento dell’elaborazione della legge. L’AVI-Ain ha voluto chiarire questa questione giuridica ed è giunta alla conclusione che l’elenco è esaustivo in relazione ai dati nei sistemi utilizzati per le attività informative in senso stretto. I dati devono infatti essere salvati in uno dei sistemi d’informazione citati nell’art. 47 LAIn.

L’AVI-AIn ha quindi esaminato quali altri sistemi vengono utilizzati e per quali motivi, cercando di determinare se le basi giuridiche fossero sufficienti. È giunta alla conclusione che le basi giuridiche pertinenti sono sufficienti per il funzionamento di altri sistemi e banche dati.

«L’ispezione ha rilevato che la panoramica dei sistemi gestiti che non sono contemplati dall’art. 47 LAIn deve essere adeguatamente aggiornata e mantenuta. Tale panoramica deve essere condivisa tra la direzione, il controllo qualità e i team tecnici per garantire lo svolgimento dei controlli e un’adeguata conservazione dei dati.»

Dato che il SIC si occupa di così tanti sistemi, è necessario garantire una gestione completa e corretta di ognuno di essi. In particolare, bisogna avere una panoramica completa e aggiornata di tutti i sistemi, al fine di garantire che l’elaborazione dei dati avvenga sempre in modo conforme alla legge. L’ispezione ha rilevato che la panoramica dei sistemi gestiti che non sono contemplati dall’art. 47 LAIn deve essere adeguatamente aggiornata e mantenuta. Tale panoramica deve essere condivisa tra la direzione, il controllo qualità e i team tecnici per garantire lo svolgimento dei controlli e un’adeguata conservazione dei dati. In merito a questo tema, l’AVI-Ain ha formulato una raccomandazione.

[24-9] Rilevamento a campione IASA-ICC (Integral analysis system control center)

L’AVI-AIn verifica, sulla base di controlli a campione e interviste, la legalità, l’adeguatezza e l’efficacia dei dati contenuti nel sistema IASA-ICC.

[24-10] Ricerche in sistemi d’informazione di terzi da parte del SIC

L’AVI-AIn verifica se gli accessi a sistemi d’informazione selezionati di terzi e le relative ricerche da parte del SIC vengono effettuati in modo conforme alla legge e adeguato.