5. Attività di vigilanza

Nell’ambito «Strategia e pianificazione» vengono svolte verifiche su temi che riguardano la pianificazione strategica delle autorità di intelligence della Svizzera a breve, medio e lungo termine nonché la definizione dei loro obiettivi. Nel 2021 per questo ambito era prevista la seguente verifica:

• 21-1 Impiego dei collaboratori del SIC nelle rappresentanze svizzere all’estero (SIC).

Si trattava di un follow-up della verifica 19-2 «Gestione delle informazioni d’intelligence tra il sensore ‹addetto alla difesa› e il SIC» e l’obiettivo era, tra le altre cose, quello di controllare l’attuazione della raccomandazione. Per questo riferiamo in merito alla verifica 21-1 al numero 5.4 («Controlling») del presente rapporto.

Nell’ambito «Organizzazione» l’AVI-AIn verifica che i servizi e i loro processi siano allestiti in maniera tale da adempiere il mandato legale in modo conforme alla legge, adeguato ed efficace.

Nel 2021 l’AVI-AIn ha condotto la verifica 20-3 «Responsabilità e sfere di competenza tra il settore SIC A e il SIM», che avrebbe dovuto svolgersi l’anno precedente. I risultati sono illustrati nel presente rapporto. Conformemente al piano di controllo 2021 erano inoltre previste le seguenti verifiche:

• 21-2 Protezione delle infrastrutture critiche/Cyber Defence (SIC/COE);
• 21-3 Sicurezza all’interno del SIC (SIC);
• 21-4 Estremismo violento di destra (SIC).

Tuttavia, la verifica 21-3 «Sicurezza all’interno del SIC» non è stata effettuata.

[20-3] Responsabilità e sfere di competenza tra il settore SIC A e il SIM (SIC/SIM)

La verifica era volta soprattutto a stabilire se i prodotti del SIC e del SIM sono abbastanza distinti l’uno dall’altro. Inoltre, è stato esaminato se, dove tali prodotti si sovrappongono, le potenziali sinergie, come lo scambio reciproco di know-how tecnico, vengono sufficientemente sfruttate. Questa verifica era prevista per il 2020, ma è stata rimandata a causa di alcune riorganizzazioni nel settore analisi del SIC. Si è quindi svolta nel settembre del 2021. L’AVI-AIn ha effettuato analisi approfondite dei prodotti e delle forme di cooperazione dei servizi controllati, tenendo conto dei mandati di base e dell’accordo di cooperazione tra il SIC e il SIM, e ha constatato che sono pochi i temi per i quali è possibile una sovrapposizione di aree di interesse nelle attività di analisi del SIC e del SIM.

Per evitare doppioni, tra i rispettivi settori del SIC e del SIM ha luogo uno scambio regolare e in parte formalizzato. Tra le altre cose, i servizi si informano a vicenda sulla loro produzione prevista e mettono i loro prodotti a disposizione dell’altro servizio. Questo scambio di informazioni si riflette anche nei prodotti stessi, che tendono a completarsi piuttosto che a ripetersi quando si tratta di aree di interesse comune. Spesso si trovano prodotti che, partendo dalla stessa situazione iniziale, trasmettono prospettive diverse a seconda dei casi. L’AVI-AIn è quindi giunta alla conclusione che la distinzione tra il settore analisi del SIC e quello del SIM è adeguata ed efficace.

[21-2] Protezione delle infrastrutture critiche/Cyber Defence (SIC/COE)

Nel rapporto sulla situazione «La sicurezza della Svizzera 2021», il SIC fa notare che la pressione digitale accentuata dalle misure di protezione prese contro la pandemia ha allargato la superficie utile per i ciberattacchi. Le numerose imprese svizzere che offrono accessori e servizi ai gestori di infrastrutture critiche nel Paese e all’estero sono obiettivi interessanti anche per gli attori statali. I ciberattacchi classici, come pure il ciberspionaggio, il cibersabotaggio e il ciberterrorismo rivolti direttamente contro le infrastrutture critiche costituiscono solo una piccola parte delle minacce informatiche globali identificate. Secondo il SIC, finora le infrastrutture critiche in Svizzera non sono state un bersaglio diretto degli atti di sabotaggio. Tuttavia, il SIC ritiene che questo sia l’ambito con il potenziale di danno più elevato, poiché i servizi infrastrutturali corrispondenti, come la fornitura di elettricità o i servizi di telecomunicazione, sono considerati cruciali per il funzionamento della società.

Vista l’indiscutibile presenza di questi rischi, l’AVI-AIn ha verificato se i servizi SIC e COE possiedono competenze e capacità qualitative e quantitative sufficienti per acquisire le informazioni necessarie¹² e per perturbare, impedire o rallentare eventuali attacchi alle infrastrutture critiche.¹³

L’unita Ciber del SIC, la Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (OIC¹⁴ MELANI) e determinate componenti dell’esercito sono gli attori chiave nella lotta contro le ciberminacce e fanno parte di una struttura organizzativa complessa e interdipartimentale per la protezione delle infrastrutture critiche e la ciberdifesa. Il compito principale del SIC, con il coinvolgimento del COE, è quello di identificare e attribuire gli attacchi informatici utilizzando mezzi di intelligence. Inoltre, il SIC supporta i gestori di infrastrutture critiche con la presentazione della situazione informatica aggiornata. I mezzi del COE sono utilizzati dal SIC per l’analisi tecnica delle ciberminacce.

All’interno del SIC l’analisi tecnica e l’analisi operativa sono riunite nell’ambito Ciber. Parallelamente, anche il COE dispone di un’unità Cyber Threat Intelligence (CTI), integrata nel settore Cyber Network Operations (CNO), che si occupa delle analisi delle ciberminacce. L’unita Ciber del SIC si considera chiamato in causa nel relativo campo d’azione quando si verificano incidenti rilevanti sotto il profilo della politica di sicurezza che possono essere attribuiti a un altro Stato. Le semplici attività dei cibercriminali non rientrano nel suo settore di compiti.

In caso di approvazione di una richiesta del SIC di procedere contro gli autori di un attacco informatico conformemente all’articolo 37 capoverso 1 LAIn, il SIC incaricherebbe il COE di eseguire il contrattacco, in quanto internamente non dispone delle forze necessarie per sferrare un ciberattacco. Secondo la Strategia Ciber DDPS, infatti, tali contromisure sono di competenza dell’esercito. Una forma di cooperazione che va oltre il puro rapporto mandante/mandatario è rappresentata dal Joint Cyber Technical Analysis Centre (JCTAC): non si tratta di una nuova unità organizzativa, bensì dell’unione tra il personale del SIC e quello del COE per procedere congiuntamente all’analisi tecnica delle ciberminacce.

Dalla verifica è emerso che il SIC e il COE dispongono delle competenze necessarie e che l’interazione tra i due servizi funziona.

Accertamento singolo sull’ambito Ciber del SIC

Dal maggio del 2021 l’AVI-AIn è a conoscenza della presenza di irregolarità nell’ambito Ciber del SIC. Ha quindi seguito da vicino i conseguenti accertamenti interni del SIC, ponendo domande ove necessario. In linea di principio, siamo d’accordo con il modo di procedere del SIC e del DDPS. Per noi, il chiarimento della rilevanza penale è molto importante. Anche in futuro continueremo a seguire da vicino gli ulteriori sviluppi, intervenendo se necessario. Finora non abbiamo ritenuto che ulteriori accertamenti da parte nostra (p. es. una verifica) potessero apportare un valore aggiunto.

[21-4] Estremismo violento di destra (SIC)

Il SIC è responsabile dell’acquisizione e del trattamento delle informazioni per l’individuazione tempestiva e la prevenzione delle minacce alla sicurezza interna ed esterna della Svizzera. Questo vale anche se le minacce derivano dall’estremismo violento (abbreviazione tedesca è GEX).¹⁵

«Il fatto di essere sempre in bilico tra il trattamento dei dati consentito e auspicato e quello vietato in quest’ambito è molto difficile per il personale del SIC.»

Il SIC e le sue attività nel campo dell’estremismo violento di destra (abbreviazione tedesca è REX) – come parte dell’ambito GEX – sono stati ripetutamente messi in discussione e criticati da più parti. Da un lato, si rimprovera al SIC di essere «cieco dall’occhio destro» e di non prendere abbastanza sul serio questa tematica¹⁶, dall’altro il SIC deve continuamente confrontarsi con le accuse di procurarsi illegalmente informazioni sulle attività politiche¹⁷.

Secondo il rapporto del SIC «La sicurezza della Svizzera 2020», le persone facenti parte degli ambienti di estrema destra sono restie a ricorrere alla violenza. In Svizzera il rischio maggiore di attentati ispirati all’estrema destra sarebbe quindi rappresentato da individui isolati con posizioni di estrema destra, ma senza una solida appartenenza ai gruppi estremisti violenti tradizionali. Nel rapporto del 2021 il SIC riferisce che gli ambienti di estrema destra hanno un potenziale di minaccia significativo. I gruppi esistenti sono stati sciolti più volte e nuovi gruppi hanno visto la luce. Tuttavia, nell’anno in esame si è constatato «solo» un evento connesso a violenza.

Uno degli obiettivi della verifica 21-4 dell’AVI-AIn era quello di controllare se, in seno al SIC, esistono concetti e processi adeguati per l’ambito REX, se questi vengono attuati in modo efficace e se le informazioni sono gestite in modo conforme alla legge. Durante le sue ispezioni, l’AVI-AIn ha constatato che il SIC dispone di numerosi concetti e processi per il trattamento dell’ambito REX da parte del servizio informazioni.

Il SIC non può né acquisire né trattare informazioni sull’attività politica e sull’esercizio della libertà di opinione, di riunione o di associazione in Svizzera. Si tratta dei cosiddetti limiti posti al trattamento dei dati¹⁸.

Allo stesso tempo, tuttavia, il SIC deve individuare tempestivamente i pericoli provenienti dall’estremismo violento di destra che minacciano la sicurezza interna ed esterna della Svizzera. Il fatto di essere sempre in bilico tra il trattamento dei dati consentito e auspicato e quello vietato in quest’ambito è molto difficile per il personale del SIC, che nel suo lavoro quotidiano è chiamato a operare diverse distinzioni:

• In che modo l’estremismo differisce dall’estremismo violento e dal terrorismo?
• Qual è la definizione esatta di estremismo violento¹⁹ e in quali casi si parla di azioni di organizzazioni che commettono, incoraggiano o approvano atti violenti²⁰?
• In quali casi una determinata azione rientra nell’ambito GEX (e può quindi essere trattata dal SIC) e in quali, invece, è considerata attività politica ed esercizio della libertà di opinione, riunione o di associazione in Svizzera (e pertanto non può essere trattata dal SIC)?²¹
• In quali casi il SIC può comunque trattare informazioni sull’attività politica e sull’esercizio della libertà di opinione, di riunione o di associazione in Svizzera se sussistono indizi concreti che tali persone esercitano i propri diritti per preparare o eseguire attività di estremismo violento?²²

Partendo da queste domande e considerazioni, il SIC ha creato diversi strumenti per fornire supporto al personale nel lavoro quotidiano. Grazie a una raccolta di casi (casistica) su cui basarsi, per esempio, in futuro per le collaboratrici e i collaboratori sarà più facile prendere decisioni in casi analoghi.

«Il SIC deve far sì che la LAIn venga attuata conformemente alle disposizioni sia in seno al SIC che presso i SICant attraverso adeguate misure di garanzia della qualità e di controllo. »

Un metodo per rispettare i limiti posti al trattamento dei dati è l’anonimizzazione: secondo la legge, le informazioni non consentite ma acquisite sull’attività politica e sull’esercizio della libertà di opinione, di riunione o di associazione in Svizzera devono essere anonimizzate. Nell’ambito della verifica 21-4 l’AVI-AIn ha constatato la presenza di incoerenze interne per quanto riguarda l’anonimizzazione dei prodotti/delle informazioni in relazione ai limiti posti al trattamento dei dati.

Un altro riferimento importante per il lavoro quotidiano del personale del SIC è la lista d’osservazione. Si tratta di uno strumento di direzione politica del Consiglio federale, che approva la lista ogni anno. La lista d’osservazione elenca le organizzazioni e i gruppi che è fondato supporre minaccino la sicurezza interna o esterna della Svizzera²³ e consente, per tali organizzazioni e gruppi, di superare i limiti posti al trattamento dei dati²⁴.

Con la verifica 21-4 l’AVI-AIn ha controllato l’adeguatezza della procedura di verifica applicata dal SIC ai fini dell’inclusione, nella lista d’osservazione, di organizzazioni che operano nell’ambito REX²⁵. Ha analizzato la procedura del SIC sulla base di controlli a campione e l’ha giudicata adeguata.

Sempre nel quadro dei suoi controlli a campione, l’AVI-AIn non ha constatato irregolarità neanche per quanto concerne la legalità della gestione delle informazioni. Ha inoltre interpellato terzi per verificare se le informazioni sul fenomeno REX sono state riferite e trasmesse in modo efficace. I terzi interpellati hanno dichiarato di ritenere fondamentalmente efficaci le informazioni ricevute dal SIC.

¹² Art. 6 cpv. 1 lett. a n. 4 LAIn
¹³ Art. 37 cpv. 1 LAIn
¹⁴ Operation Information Center, settore di MELANI
¹⁵ Art. 6 cpv. 1 lett. a n. 5 LAIn
¹⁶ P. es. postulato 02.3059; postulato 17.3831; ora delle domande/ domanda 19.5677; ora delle domande/domanda 21.7312; «Die braune Gefahr – Die Schweiz ist keine Insel», SRF, 12 maggio 2019; «Wie neutral ist unsere Polizei?», Walliser Bote, 23 luglio 2020; «Geheimdienst soll Rechtsextreme ins Visier nehmen», Zeitung für die Region Basel, 25 maggio 2021.
¹⁷ P. es. interpellanza 19.3868; «Geheimdienst überwacht Menschenrechtsorganisation seit 15 Jahren», Netzpolitik.org, 10 agosto 2021
¹⁸ Art. 5 cpv. 5 LAIn
¹⁹ Art. 6 cpv. 1 lett. a n. 5 LAIn
²⁰ Art. 19 cpv. 2 lett. e LAIn
²¹ Art. 5 cpv. 5 LAIn
²² Art. 5 cpv. 6 LAIn
²³ Art. 70 cpv. 1 lett. b e art. 72 LAIn
²⁴ Art. 5 cpv. 8 LAIn
²⁵ Art. 72 LAIn

In questo ambito rientrano temi che riguardano la collaborazione nazionale e internazionale dei servizi. A tale proposito, una parte rilevante dell’attività̀ di verifica annuale dell’AVI-Aln ha per oggetto i SICant. Quest’anno l’AVI-AIn riferisce in merito alle verifiche sotto forma di riassunti.

Nel 2021 l’AVI-AIn ha svolto le seguenti verifiche in questo ambito:

• 21-5 Garanzia della qualità del SIC con i servizi informazioni cantonali (SICant) (SIC);
• 21-6 Controllo SICant BS (SIC/SICant);
• 21-7 Controllo SICant BL (SIC/SICant);
• 21-8 Controllo SICant AR (SIC/SICant);
• 21-9 Controllo SICant AI (SIC/SICant);
• 21-10 Controllo SICant AG (SIC/SICant);
• 21-11 Controllo SICant VD (SIC/SICant);
• 21-12 Controllo SICant NE (SIC/SICant).

[21-5] Garanzia della qualità del SIC con i servizi informazioni cantonali (SICant) (SIC)

La garanzia della qualità è una misura di riduzione dei rischi. Oltre a svolgere le verifiche periodiche nei SICant, l’AVI-AIn ha anche verificato l’efficacia di tale misura in seno a questi ultimi. Ciò consente di assicurare, in coordinamento con l’AVI-AIn, una corretta vigilanza sui SICant. Garantire in maniera affidabile e gestibile la qualità è importante ai fini della bontà dei dati e delle informazioni del SIC e dei SICant. Pertanto, il SIC deve far sì che la LAIn venga attuata conformemente alle disposizioni sia in seno al SIC che presso i SICant attraverso adeguate misure di garanzia della qualità e di controllo. Tale compito spetta all’organo di controllo della qualità del SIC (CQ SIC), integrato nella divisione Gestione delle informazioni/Ciber.

Il CQ controlla a campione almeno una volta l’anno la legalità, l’adeguatezza, l’efficacia e l’esattezza del trattamento dei dati in tutti i sistemi d’informazione del SIC. A tal fine allestisce un piano di controllo e, tra le altre cose, verifica periodicamente la rilevanza e l’esattezza dei rapporti dei SICant registrati nel sistema. Inoltre, cancella i dati risultanti da accertamenti preliminari dei SICant la cui registrazione risale a oltre cinque anni prima, nonché i dati che i SICant propongono di cancellare. Infine, provvede alla formazione interna in materia di protezione dei dati.

Il CQ SIC sceglie sempre la stessa procedura per effettuare i controlli a campione presso i SICant. Le singole fasi di questa procedura sono programmate con indicazione delle scadenze e attribuite in modo chiaro al personale competente del CQ SIC. Queste fasi comprendono, tra le altre cose, l’assegnazione del mandato, il rilevamento di dati statistici in base a criteri uniformi, un questionario basato sulle statistiche rilevate, il parere del SICant in merito al questionario e il rapporto finale. Tale rapporto viene presentato per consultazione alla direzione SIC e infine approvato dal direttore di quest’ultimo. Nell’ultima fase, i SICant ricevono il rapporto definitivo e il CQ SIC monitora l’attuazione delle sue eventuali raccomandazioni. Il coinvolgimento della direzione del SIC e l’approvazione definitiva da parte del direttore contribuiscono anche a garantire il necessario livello di considerazione di questi rapporti presso i SICant.

Il CQ SIC adempie adeguatamente ed efficacemente proprio mandato di controllo presso i SICant. Lo dimostra, per esempio, il processo sviluppato dallo stesso CQ SIC per i controlli a campione, il quale garantisce che i campioni vengano raccolti sempre nello stesso modo e sulla base di azioni identiche. L’AVI-AIn ne ha avuto la conferma in occasione di due controlli a campione eseguiti. Mandati interni chiari e l’applicazione costante del principio del doppio controllo assicurano che i controlli siano eseguiti in modo efficiente e che possano essere individuati i relativi rischi.

Garantendo un coordinamento interno al SIC e con i piani di controllo dell’AVI-AIn, nonché tenendo conto dei risultati di verifiche precedenti, il CQ SIC coordina le sue attività di controllo presso i SICant in modo adeguato ed efficace. Questo garantisce che lo stesso SICant non venga controllato due volte in un anno, sebbene ciò sia possibile all’occorrenza. Inoltre, i controlli interni al SIC sono distribuiti tra diverse persone. In questo modo si garantisce che, per quanto concerne i trattamenti di dati verificati, vengano presi in considerazione anche gli aspetti operativi e quelli legati alla sicurezza tecnica.

Da [21-6 a 21-12] Verifiche dei SICant Basilea Città, Basilea Campagna, Appenzello Esterno, Appenzello Interno, Argovia, Vaud e Neuchâtel (SIC/SICant)

Nel 2021 l’AVI-AIn ha verificato le attività informative dei SICant dei Cantoni Argovia, Appenzello Esterno e Interno, Basilea Città e Campagna, Neuchâtel e Vaud nonché́ la loro collaborazione con il SIC. Pertanto, dall’inizio della sua attività di vigilanza a oggi, l’AVI-AIn ha complessivamente sottoposto a verifica 17 SICant²⁶. I nove SICant che ancora mancano saranno verificati nei prossimi due anni.

Da tutte le verifiche dei SICant effettuate nel corso del 2021 è risultato che la collaborazione tra il SIC e i SICant è in linea di principio buona in tutti gli ambiti dell’intelligence. Tuttavia, per quanto riguarda l’attuazione di azioni operative congiunte, entrambe le parti auspicano un migliore coordinamento. Le divergenze di opinioni tra il SIC e singoli SICant sulla valutazione annuale della prestazione sono state appianate nell’ambito di colloqui chiarificatori.

I SICant dispongono di buone o addirittura ottime conoscenze di intelligence ed eseguono i mandati del SIC in modo conforme alla legge e puntuale nonché con una qualità soddisfacente per il SIC. Il SIC mette a disposizione dei SICant, nella postazione di lavoro decentralizzata²⁷, diverse applicazioni e archivi di intelligence tra cui un sistema per la gestione dei mandati e un’applicazione specialistica (App Spec SICant) che consente ai Cantoni di registrare gli oggetti in modo strutturato²⁸. Presso i SICant l’AVI-AIn non ha constatato la presenza né di collezioni di dati proprie né di dati personali il cui trattamento non fosse disciplinato da una base legale. Nell’App Spec SICant sono stati invece trovati alcuni dati che non erano stati registrati in concomitanza con gli eventi/le constatazioni a essi riferiti. È quindi possibile che tali dati siano stati conservati nell’applicazione per un periodo più lungo dei cinque anni previsti. Questo errore nei dati di registrazione è dovuto presumibilmente a una precedente migrazione di dati (2017/2018) e dovrebbe essere eliminato nei prossimi due anni grazie al funzionamento del sistema di cancellazione automatica. L’AVI-AIn continuerà a seguire l’evolversi della situazione in coordinamento con il CQ SIC.

²⁶ Nel 2020 l’AVI-AIn ha verificato i SICant dei Cantoni San Gallo, Zurigo, Ticino, Soletta e Friburgo, mentre nel 2019 era stata la volta di Berna, Grigioni, Ginevra, Giura e Sciaffusa.
²⁷ La postazione di lavoro decentralizzata è un segmento all’interno della rete protetta SiLAN del SIC che consente di accedere ai sistemi di quest’ultimo da una posizione decentralizzata. Sono postazioni di lavoro decentralizzate anche i computer portatili che permettono di lavorare in modo decentralizzato. La postazione di lavoro SICant è la variante di postazione di lavoro decentralizzata che viene messa a disposizione dei servizi informazioni cantonali.
²⁸ Gli oggetti dell’App Spec SICant più utilizzati sono persone, eventi e mezzi di comunicazione.

L’acquisizione di informazioni è un compito fondamentale dei servizi informazioni. A tal fine questi ultimi possono ricorrere a diversi mezzi. Tra questi, gli strumenti che interferiscono in modo più invasivo nella sfera privata delle persone interessate sono oggetto di un’attenzione particolare da parte dell’AVI-AIn. Nel 2021 l’AVI-AIn ha svolto anche una verifica straordinaria nell’ambito HUMINT, che era stata previamente annunciata al SIC.

Nel 2021 l’AVI-AIn ha svolto le seguenti verifiche nell’ambito «Acquisizione»:

• 21-13 Gestione del rischio per gli impegni all’estero (SIC)
• 21-14 Operazioni (SIC)
• 21-15 HUMINT (SIC)
• 21-19 Verifica straordinaria HUMINT (SIC)

[21-13] Gestione del rischio per gli impegni all’estero (SIC)

Il SIC impiega personale per attività operative all’estero. Tra le destinazioni vi sono anche Paesi in cui i principi dello Stato di diritto sono solo parzialmente rispettati o non sono rispettati affatto oppure aree in cui la sicurezza può essere compromessa. In singoli casi il SIC si avvale del supporto di terzi. Per il personale impiegato, le acquisizioni all’estero comportano rischi, pertanto il SIC deve assicurarsi che questi ultimi non siano sproporzionati rispetto al valore atteso delle informazioni²⁹ e provvedere alla protezione delle sue collaboratrici e dei suoi collaboratori impiegati all’estero³⁰. Sono necessari controlli e processi interni per garantire che tali disposizioni possano essere rispettate. Di conseguenza, è importante una gestione dei rischi adeguata ed efficace.

In questa verifica l’AVI-AIn si è concentrata in particolare su impieghi operativi in tre ambiti del SIC. Oltre a effettuare interviste e a esaminare i documenti, sono stati analizzati a titolo di confronto anche i modi di procedere del DFAE e di fedpol per quanto concerne gli impieghi all’estero.

L’AVI-AIn ritiene che, nell’ambito degli impieghi all’estero, il SIC garantisca la gestione dei rischi a livello strategico. Tuttavia, è importante aumentare l’adeguatezza della gestione dei rischi per gli impieghi all’estero. L’obiettivo principale è quello di garantire la sicurezza fisica del personale. Inoltre, la direzione degli impieghi all’estero dovrebbe essere centralizzata nel SIC e i processi dovrebbero essere standardizzati. L’AVI-AIn può confermare che il coinvolgimento di terzi in impieghi all’estero rischiosi è conforme alla legge e chiaramente documentato.

[21-14] Operazioni (SIC)

Il SIC conduce operazioni di intelligence utilizzando in parte misure di acquisizione soggette ad autorizzazione. I progetti meno critici dal punto di vista temporale e meno rilevanti per la sicurezza, e nel cui ambito vengono utilizzate soltanto misure di acquisizione non soggette ad autorizzazione, vengono attuati come accertamenti operativi. Il SIC riferisce annualmente al Consiglio federale in merito alle operazioni. Per quanto riguarda le esigenze di accertamenti operativi, invece, il capo del DDPS è informato del relativo contenuto solo in determinati casi e secondo necessità.

Nell’ambito di una verifica ripetuta a cadenza annuale, l’AVI-AIn ha analizzato cinque operazioni di intelligence selezionate e 15 esigenze di accertamenti operativi per verificarne la legalità, l’adeguatezza e l’efficacia. Inoltre, tre misure di acquisizione che avevano ottenuto l’autorizzazione e il nullaosta sono state esaminate per determinare se la loro attuazione fosse conforme alle decisioni del Tribunale amministrativo federale. Negli anni precedenti questi tre ambiti erano stati controllati separatamente, ma viste le numerose interfacce e interdipendenze, l’AVI-AIn ha deciso di combinarle in un’unica verifica.

Negli atti di verifica sono stati inclusi l’esame di documenti e interviste con le specialiste e gli specialisti responsabili in seno al SIC. Sulla base dei risultati di questi atti di verifica, l’AVI-AIn può sostanzialmente confermare il rispetto dei requisiti di legalità, adeguatezza ed efficacia.

[21-15] HUMINT (SIC)

L’uso di fonti umane rimane uno dei più importanti strumenti d’intelligence dei servizi informazioni nonostante il notevole ampliamento delle possibilità tecniche di sorveglianza e l’accesso a un numero pressoché infinito di informazioni accessibili al pubblico. Le persone che godono di un particolare accesso a informazioni specifiche sono quindi interessanti e importanti per ogni servizio informazioni.

Nel rapporto «Ispezione a seguito dell’arresto di un’ex fonte del SIC in Germania», la DelCG ha illustrato all’opinione pubblica in che modo il SIC impiega le fonti umane. Nel 2017 un’ex fonte del SIC è stata arrestata in Germania per sospetta attività di spionaggio. La DelCG ha quindi deciso di indagare, con un’apposita ispezione, sui retroscena del caso e sul ruolo del SIC, del Consiglio federale e del Ministero pubblico della Confederazione. L’attuazione delle raccomandazioni del rapporto è ancora oggi alla base del lavoro del SIC con le fonti umane.

«L’AVI-AIn verifica annualmente l’HUMINT nel SIC tramite controlli a campione e, nel quadro di tali verifiche, copre tutta la gestione delle fonti umane.»

L’HUMINT è spesso associata a elevati rischi personali sia per il personale del SIC che per le fonti. Ciò comporta una responsabilità e un obbligo particolari per il SIC, che devono essere presi molto sul serio da quest’ultimo e che sono di conseguenza tenuti particolarmente in considerazione nell’ambito della vigilanza da parte dell’AVI-AIn. I gestori delle fonti devono non solo disporre di conoscenze specialistiche nel rispettivo ambito nonché di una formazione completa nel campo dell’intelligence e conoscere diverse lingue, ma anche avere abilità sociali superiori alla media, tra cui soprattutto competenza interculturale e sensibilità psicologica, per poter affrontare sfide fuori dal comune.

In quanto gestori delle fonti, devono capire che cos’è che motiva le persone e guida i loro comportamenti, indipendentemente dalla loro provenienza o da cosa fanno. Il personale operativo riceve quindi una formazione specifica, per esempio nel campo delle lingue straniere, dell’uso della tecnologia o della gestione di persone. Va inoltre ricordato che il ruolo di gestore delle fonti comporta molte limitazioni nella vita privata.

L’AVI-AIn verifica annualmente l’HUMINT nel SIC tramite controlli a campione e, nel quadro di tali verifiche, copre tutta la gestione delle fonti, compresi i rischi per la sicurezza, le spese e l’impatto concreto dell’analisi delle informazioni ottenute da fonti umane. L’AVI-AIn sceglie quale gestione delle fonti verificare in base ai rischi e, tra le altre cose, conduce interviste con i gestori delle fonti, con la direzione HUMINT e con collaboratrici e collaboratori del settore analisi, che integrano infine le informazioni ottenute in prodotti di intelligence.

Queste verifiche pongono maggiori esigenze in termini di tutela del segreto. Per esempio, i nomi delle fonti e dei gestori delle fonti rimangono segreti, anche per l’AVI-AIn, a meno che non siano rilevanti per le verifiche stesse. Ciò corrisponde al cosiddetto principio della necessità di sapere (need-to-know). In termini concreti, significa che l’accesso ai dati personali viene limitato alle persone che ne hanno assolutamente bisogno per adempiere i loro compiti.

La protezione delle fonti è un bene prezioso che viene anche tutelato dalla legge³¹. Pertanto, in tutte le sue verifiche l’AVI-AIn deve soddisfare le stesse condizioni per garantire tale protezione. Per motivi di protezione dello Stato, l’AVI-AIn non può fornire informazioni sui risultati delle sue verifiche nell’ambito HUMINT nella stessa misura in cui lo fa per altri ambiti.

²⁹ Art. 36 cpv. 3 LAIn
³⁰ Art. 36 cpv. 7 LAIn
³¹ Art. 35 LAIn

Per poter garantire un’attività informativa efficace, è indispensabile un uso adeguato delle risorse.

Nel 2021 l’AVI-AIn non ha svolto verifiche in questo ambito

I servizi trattano informazioni altamente sensibili. Inoltre, le disposizioni legali sono ampie e complesse. Per questo l’Autorità di vigilanza deve prestare particolare attenzione alla legalità del trattamento delle informazioni.

Nel 2021 l’AVI-AIn ha pianificato le seguenti verifiche in questo ambito:

• 21-16 Servizi di telecomunicazione (SIC)
• 21-17 Servizio del SIC selezionato (Quattro P)
• 21-18 Protezione dei dati all’ interno del SIM

La verifica 21-16 «Servizi di telecomunicazione» è stata avviata soltanto nel quarto trimestre 2021. Alla chiusura redazionale del presente rapporto di attività non erano ancora disponibili risultati rilevanti.

[21-17] Servizio del SIC selezionato (Quattro P)

Nel 2020 l’AVI-AIn ha deciso di inserire il sistema d’informazione Quattro P nel piano delle verifiche del 2021, poiché tale sistema è utilizzato per registrare ed elaborare un gran numero di viaggi di persone di determinate nazionalità. I dati personali inseriti nel sistema Quattro P servono anche come base per il sistema di riconoscimento facciale utilizzato dal SIC dal 2020 ma sinora soltanto per ricerche nei propri dati. In definitiva, la cerchia degli aventi diritto di accesso a Quattro P è vasta, dato che si tratta della metà dei collaboratori del SIC. Nell’ambito di questa verifica l’AVI-AIn ha analizzato la legalità e l’adeguatezza del funzionamento, dell’utilizzazione e dei contenuti del sistema d’informazione. Inoltre, una delle questioni da verificare riguardava la legalità del sistema utilizzato per il riconoscimento facciale.

Nell’ambito delle loro attività, i responsabile delle verifiche hanno potuto accedere ai sistemi d’informazione Quattro P e IASA SIC, SiLAN file storage e al sistema di riconoscimento facciale. L’AVI-AIn ha così potuto pianificare ed effettuare i suoi controlli a campione in modo indipendente.

Legalità della registrazione e del trattamento dei dati nel sistema Quattro

In un elenco non pubblico, il Consiglio federale enumera i viaggiatori i cui dati devono essere comunicati spontaneamente al SIC³². L’elenco è stilato in funzione della situazione di minaccia attuale. I dati di viaggio all’interno dello spazio Schengen non vengono registrati in Quattro P, non essendovi controlli alle frontiere.

A livello di contenuto, in Quattro P vengono registrati i dati personali seguenti:³³

• cognome, nome, data di nascita, nazionalità;
• numero del documento d’identità, numero del visto, data di validità;
• foto sul documento d’identità;
• luogo, data e descrizione del controllo alla frontiera; • sesso;
• sesso;
• dati relativi al chip del documento d’identità;
• dati relativi al visto.

Questi dati sono forniti dalle autorità interessate (Corpo delle guardie di confine, servizi di polizia). La selezione dei dati da fornire è effettuata dalle stesse autorità, affinché il SIC riceva soltanto i dati che gli sono destinati in virtù delle disposizioni legali. I dati di minorenni di età inferiore a 16 anni non vengono registrati.

Dopo aver analizzato le disposizioni di legge e la documentazione del sistema d’informazione, per verificare la legalità l’AVI-AIn ha effettuato i seguenti controlli a campione:

• registrazione dei soli viaggi di cittadini di Stati figuranti nell’elenco allestito dal Consiglio federale;
• registrazione di dati di bambini;
• rispetto della durata di conservazione di cinque anni;³⁴
• verifica delle iscrizioni in Quattro P e della loro registrazione in IASA SIC.

Nell’ambito di questi controlli a campione l’AVI-AIn ha scoperto casi in cui per singoli viaggi i documenti di viaggio erano stati registrati più volte. Per questa ragione ha raccomandato al SIC di studiare e introdurre misure per ridurre il numero di questi casi. Per il resto, alla luce delle verifiche effettuate, l’AVI-AIn ha considerato conforme alla legge il trattamento dei dati in Quattro P.

«Il riconoscimento facciale è un nuovo motore di ricerca la cui conformità alla legislazione sulla protezione dei dati è controversa. Siccome è utilizzato dal SIC, l’AVI-AIn ha deciso di esaminare la legalità del suo impiego.»

Adeguatezza della registrazione e del trattamento dei dati nel sistema Quattro P

Il concetto di adeguatezza comprende l’idoneità, la necessita e il carattere adeguato di un modo di procedere, ossia, nel caso presente, del trattamento dei dati in Quattro P. Se il trattamento è complesso e laborioso, il SIC potrebbe disporre troppo tardi delle informazioni rilevanti per l’adempimento dei suoi compiti.

Considerata la grande quantità di dati forniti, la trasmissione automatica dei dati da parte dei servizi esterni fornitori sembra essere una buona soluzione. Soltanto una piccola percentuale dei dati forniti viene trattata manualmente in seguito. Se la percentuale dei dati trasmessi in modo errato aumenta, il SIC contatta le autorità fornitrici e vengono adottate opportune misure per aumentare la qualità dei dati.

Nel quadro dei controlli a campione effettuati per verificare la legalità della registrazione dei dati, l’AVI-AIn ha constatato che all’incirca nel 25 per cento dei casi la destinazione era indicata come «non definita»³⁵. Pertanto, ha raccomandato al SIC di esaminare insieme agli organi di controllo quali misure potrebbero essere adottate per ridurre questa quota.

Legalità e adeguatezza della gestione degli accessi a Quattro P

Per motivi di sicurezza delle informazioni e protezione dei dati, possono accedere a Quattro P soltanto il personale del SIC che ne ha bisogno per adempiere i propri compiti. Se non sono aggiornate, le autorizzazioni d’accesso non soddisfano il principio del «need-to-know». Processi inadeguati nella gestione degli accessi causano ritardi nell’adeguamento delle autorizzazioni d’accesso. In caso di cambiamento di posto o di partenze di personale, tali autorizzazioni devono essere tempestivamente adeguate per evitare accessi non conformi alla legge e conseguenti lacune a livello di sicurezza.

Sulla base dei controlli a campione effettuati e dell’analisi dei documenti rilevanti, l’AVI-AIn ha raccomandato di verificare regolarmente le autorizzazioni d’accesso e di cancellare gli accessi non necessari.³⁶

Legalità del sistema di riconoscimento facciale

I sistemi di riconoscimento facciale consentono di identificare persone in fotografie o filmati o in tempo reale. Le immagini presenti in un insieme di dati vengono analizzate in base alla geometria dei volti registrati. Gli elementi chiave caratteristici vengono trasformati in un’«impronta facciale» consistente in un set di dati digitali. L’impronta facciale è unica come un’impronta digitale. Questi dati sono denominati dati biometrici.³⁷

Il riconoscimento facciale è un nuovo motore di ricerca la cui conformità alla legislazione sulla protezione dei dati è controversa. Siccome è utilizzato dal SIC, l’AVI-AIn ha deciso di esaminare la legalità del suo impiego.

Ha constatato che all’inizio del progetto il SIC ha disposto diversi accertamenti per verificare se il sistema era conforme alla legge. Gli accertamenti condotti sono stati utilizzati per elaborare un regolamento sul trattamento di questi dati e un’analisi delle basi legali. In seguito il progetto è stato sviluppato senza ulteriori verifiche della legalità da parte del servizio giuridico o deli’ organo di controllo della qualità del SIC.

Secondo l’AVI-AIn, il sistema di riconoscimento facciale è utilizzato per trattare dati biometrici. La riveduta legge federale sulla protezione dei dati³⁸ (non ancora entrata in vigore) classifica i dati di questo tipo come dati personali degni di particolare protezione. Secondo l’articolo 47 capoverso 2 LAIn, per ogni sistema d’informazione del SIC il Consiglio federale disciplina il catalogo dei dati personali trattati. Questa materia è stata disciplinata nell’OSIME-SIC, ma il trattamento di dati biometrici non è previsto in nessuno dei sistemi d’informazione ivi menzionati.

Inoltre, il sistema di riconoscimento facciale consente di creare profili di immagini che possono essere completati con metadati. Secondo l’AVI-AIn, questa possibilità porta alla realizzazione di profili della personalità. Alla luce di queste riflessioni, l’Autorità di vigilanza ha formulato diverse raccomandazioni, che riguardavano in particolare anche il coinvolgimento dell’Incaricato federale della protezione dei dati e della trasparenza (IFPDT) negli ulteriori accertamenti giuridici del SIC.

[21-18] Protezione dei dati all’interno del SIM

Nell’ambito della verifica 20-17, l’AVI-AIn aveva esaminato i sistemi informatici rilevanti per le attività informative del SIM. Nell’anno in rassegna, nell’ambito della verifica 21-18, ha esaminato la legalità del trattamento di dati personali in due sistemi, basandosi su una serie di audizioni, sulla consultazione di documenti e su controlli a campione. Tra i vari sistemi d’informazione, sottosistemi e applicazioni speciali autorizzati, ha concentrato la propria attenzione sui sistemi informatici gestiti dal SIM sotto la propria responsabilità. Si tratta del principale strumento di lavoro di quest’ultimo, ossia del Sistema informatico Servizio informazioni militare (Sist Infm SIM), e del sistema BICES per lo scambio di informazioni con Stati esteri39. Secondo la valutazione dell’AVI-AIn, questi sono i sistemi che comportano il maggior rischio potenziale in materia di protezione dei dati, a causa della quantità, del tipo di dati e dei loro destinatari, nonché delle possibili ripercussioni in termini di violazioni dei diritti della personalità degli interessati.

L’AVI-AIn ha constatato che nell’ambito dei propri compiti di legge il SIM tratta dati personali, e che in tale ambito può essere indispensabile anche trattare dati personali degni di particolare protezione o allestire profili della personalità. Tuttavia, nell’esame dei controlli a campione non è incappata in alcun caso del genere. Secondo quanto constatato dall’AVI-AIn, in determinati prodotti del SIM sono presenti dati personali, ma questi dati non sono al centro dell’interesse del servizio. Il SIM è invece concentrato sui propri compiti, e precisamente sull’acquisizione e analisi di informazioni sull’estero rilevanti per l’esercito (in particolare nell’ottica della difesa del Paese), per il servizio di promovimento della pace e per il servizio d’appoggio all’estero. L’acquisizione di informazioni è focalizzata soprattutto sull’estero. Essa non si concentra su persone in Svizzera e queste persone non vengono registrate in modo strutturato nei sistemi del SIM. I dati personali di cittadini svizzeri che vengono rilevati nell’ambito di un servizio d’appoggio in Svizzera (p. es. per il World Economic Forum) sono trasmessi alle autorità competenti svizzere e non possono essere utilizzati in relazione ad attività informative.

I dati personali eventualmente trattati sono i nomi di personalità politiche, di leader stranieri e di esponenti di reti o gruppi armati. Questi dati consentono al SIM di osservare e valutare gli sviluppi strategici militari e quelli delle forze armate. Il servizio concentra la sua attenzione su determinati Paesi o minacce militari e conflitti armati e sugli ambiti d’impiego dell’esercito svizzero all’estero.

Per ogni caso esaminato nell’ambito dei controlli a campione è stato possibile accertare l’esistenza di un collegamento con le attività del SIM. Inoltre, l’AVI-AIn ha chiesto spiegazioni sulle autorizzazioni d’accesso degli utenti e sui processi di archiviazione e cancellazione dei documenti e ha constatato che l’accesso è riservato al personale che ne ha bisogno per l’adempimento dei propri compiti. I prodotti contenuti nei sistemi esaminati vengono offerti all’Archivio federale e non vengono conservati oltre il termine previsto dalla legge. I sistemi utilizzati dal SIM sono ben documentati. Inoltre, non sono collegati gli uni con gli altri attraverso interfacce comuni che permettano uno scambio automatico dei dati. Questa soluzione limita il rischio di abusi.

Nell’ambito della sua verifica l’AVI-AIn non ha riscontrato in nessuna delle varie fasi l’esistenza di punti che possano mettere in dubbio la legalità del trattamento di dati personali da parte del SIM. Non ha nemmeno scoperto alcun impiego dei dati personali che possa essere considerato abusivo o sproporzionato ai sensi della legislazione o il diritto in materia di protezione dei dati.

Inoltre, ha constatato che per trasmettere dati personali all’estero il SIM può fondarsi su disposizioni specifiche. In generale, i prodotti trasmessi all’estero riguardano analisi della situazione (di carattere militare, politico o di politica militare). Benché non si possa escludere che nei prodotti del SIM compaiano occasionalmente dati personali, non vengono effettuati scambi di dati riguardanti una persona precisa. Inoltre, i prodotti del SIM sono trasmessi soltanto ai servizi di Paesi che condividono i valori occidentali e che possiedono una legislazione in materia di protezione dei dati.

³² Art. 55 cpv. 4 LAIn; l’elenco dei Paesi fa parte dell’elenco previsto all’art. 20 cpv. 4 LAIn (fatti e constatazioni che devono essere comunicati spontaneamente).
³³ Allegato 8 OSIME-SIC
³⁴ Art. 55 OSIME-SIC
³⁵ Le possibilità a disposizione sono le seguenti: «entrata», «uscita» e «non definita».
³⁶ Art. 5 cpv. 4 OSIME-SIC
³⁷ Fonte: www.kaspersky.de/resource-center/definitions/what-is-facial-recognition, consultato l’ultima volta il 22 novembre 2021
³⁸ RS 235.1
³⁹ Battlefield Information Collection and Exploitation System, piattaforma internazionale della NATO per lo scambio sicuro di informazioni