Sei mesi di obbligo di segnalare ciberattacchi a infrastrutture critiche

/in ,

Dal 1° aprile 2025 in Svizzera è entrato in vigore l’obbligo legale di segnalare ciberattacchi a infrastrutture critiche. L’Ufficio federale della cibersicurezza (UFCS) ha registrato un bilancio positivo dopo i primi sei mesi. Finora sono state ricevute in totale di 164 segnalazioni da parte di infrastrutture critiche. Dal 1° ottobre 2025 entreranno in vigore le sanzioni previste in caso di mancata segnalazione.

Da sei mesi è in vigore l’obbligo di segnalare ciberattacchi a infrastrutture critiche. Nel complesso, l’Ufficio federale della cibersicurezza (UFCS) è soddisfatto dell’attuazione. I gestori delle infrastrutture critiche adempiono a questo obbligo entro i termini e segnalano i ciberattacchi entro 24 ore. È particolarmente positivo che chi effettua una segnalazione utilizzi il Cyber Security Hub; questo facilita sensibilmente l’elaborazione per l’UFCS. Già prima dell’introduzione dell’obbligo di segnalazione, esisteva uno stretto rapporto di fiducia tra l’UFCS e molti gestori delle infrastrutture critiche. Questa collaborazione di lunga data ha costituito la base per avviare con successo l’obbligo di segnalazione.

164 segnalazioni da parte di infrastrutture critiche

In totale, l’UFCS ha ricevuto 164 segnalazioni da infrastrutture critiche dall’inizio di aprile. Gli attacchi DDoS sono stati segnalati con maggiore frequenza (18.1%), seguiti da hacking (16.1%), ransomware (12.4%), credential theft (11.4%), fughe di dati (9.8%), e malware (9.3%). In diversi casi sono stati descritti fenomeni combinati, come per esempio attacchi ransomware contemporaneamente a fughe di dati. Vi sono diversi settori interessati; finora il settore finanziario è stato il più colpito (19%), seguito dal settore informatico (8.7%) et il settore di energetica (7.6%). Ulteriori segnalazioni sono pervenute dalle autorità, dal sistema sanitario, da società di telecomunicazioni, nonché da alcuni servizi postali, dal settore dei trasporti, dai media, dall’approvvigionamento di generi alimentari e dal settore tecnologico.

Rafforzare lo scambio di informazioni

Le segnalazioni in arrivo vengono raccolte e analizzate a scopi statistici. Le informazioni ottenute in questo modo oltre che ad aiutare a reagire concretamente a un incidente, contribuiscono anche a valutare meglio la situazione nazionale di minaccia e fungono da allarme precoce per altre organizzazioni potenzialmente interessate. Da quando è entrato in vigore l’obbligo di segnalazione, molte più organizzazioni hanno contribuito direttamente allo scambio di informazioni. In questo modo ad oggi gli avvisi e le raccomandazioni raggiungono direttamente un numero significativamente maggiore di attori interessati.

Sanzioni in caso di violazione dell’obbligo di segnalazione a partire dal 1° ottobre 2025

Dal 1° ottobre 2025 entreranno in vigore le sanzioni conformemente alla legge federale sulla sicurezza delle informazioni. I gestori delle infrastrutture critiche che non adempiono al loro obbligo di segnalazione possono essere multati con somme fino a 100 000 franchi. Se l’UFCS dispone di indicazioni secondo le quali una segnalazione è stata omessa, è tenuto a contattare per prima cosa l’autorità interessata. L’UFCS può sporgere denuncia solo se gli interessati non rispondono a questa prima presa di contatto e alla successiva decisione.

Fonte: Ufficio federale della cibersicurezza (UFCS) – Comunicato stampa