14.065 Messaggio concernente lo sviluppo e l'esercizio del sistema di trattamento per la sorveglianza del traffico delle telecomunicazioni e dei sistemi d'informazione di polizia della Confederazione del 3 settembre 2014

Onorevoli presidenti e consiglieri, con il presente messaggio vi sottoponiamo, per approvazione, il disegno di decreto federale concernente lo sviluppo e l'esercizio del sistema di trattamento per la sorveglianza del traffico delle telecomunicazioni e dei sistemi d'informazione di polizia della Confederazione.

Gradite, onorevoli presidenti e consiglieri, l'espressione della nostra alta considerazione.

3 settembre 2014

In nome del Consiglio federale svizzero: Il presidente della Confederazione, Didier Burkhalter La cancelliera della Confederazione, Corina Casanova

2014-1462

5719

Compendio Il DFGP ha in programma investimenti per 112 milioni di franchi nel settore della sorveglianza delle telecomunicazioni ai fini di polizia giudiziaria. Dedotte le prestazioni interne, il credito complessivo di 99 milioni di franchi richiesto con il presente messaggio sarà destinato allo sviluppo e l'adeguamento dei relativi sistemi informatici in uso presso il Servizio Sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni e l'Ufficio federale di polizia. Queste modifiche saranno eseguite a tappe tra il 2016 e il 2021. Il DFGP ha priorizzato i progetti in base al grado di necessità e urgenza degli interventi.

Situazione iniziale Con il progetto «Sviluppo ed esercizio del sistema di trattamento per la sorveglianza del traffico delle telecomunicazioni e dei sistemi d'informazione di polizia della Confederazione», il Consiglio federale prevede di adeguare agli sviluppi tecnici degli ultimi anni e ai requisiti delle tecnologie future il sistema di trattamento del Servizio Sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (Servizio SCPT), subordinato al Centro servizi informatici DFGP (CSI-DFGP) sul piano amministrativo, e i sistemi d'informazione di polizia dell'Ufficio federale di polizia (fedpol). Solo in questo modo i sistemi informatici possono tenere il passo con l'offerta di prestazioni dei fornitori di servizi di telecomunicazione e dei fornitori di servizi di comunicazione derivati, che probabilmente in futuro rientreranno a loro volta nel campo di applicazione della LSCPT, nonché colmare potenziali lacune nella sorveglianza del traffico delle telecomunicazioni presente e futura, migliorandone così la qualità.

Il presente progetto va distinto dal progetto ISS con cui nel 2015 il sistema base del sistema di trattamento del Servizio SCPT, giunto al termine del proprio ciclo di vita, sarà sostituito e disattivato. Sebbene costituisca il nucleo centrale del sistema di trattamento del Servizio SCPT, il sistema base creato nell'ambito del progetto ISS ne è comunque solo una parte. Al riavvio del progetto non è stato possibile inserire nell'elenco dei requisiti ISS per il sistema base numerose funzioni importanti per le autorità di perseguimento penale. Queste modifiche saranno introdotte durante o dopo la sostituzione dei restanti
sistemi parziali del sistema di trattamento, anch'essi giunti al termine del ciclo di vita. Solo in questo modo sarà possibile far fronte a un eventuale malfunzionamento degli obsoleti sistemi informatici usati in questo ambito e garantire la sorveglianza del traffico delle telecomunicazioni.

Infine, con l'entrata in vigore della revisione totale della legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT) e delle conseguenti modifiche del Codice di procedura penale (CPP), al Servizio SCPT e a fedpol saranno assegnati nuovi compiti, che dovranno essere attuati mediante i rispettivi sistemi informatici. A tal fine sono richieste modifiche di sistema e nuove acquisizioni che necessitano dei rispettivi investimenti.

Gli investimenti saranno scaglionati su più anni. Le modifiche di sistema saranno realizzate nell'ambito di cinque progetti indipendenti l'uno dall'altro.

5720

Progetto

Breve descrizione

Fase

Mio. di fr.

Progetto 1

Acquisti sostitutivi, inclusi i lavori di progettazione per le fasi 2­4

1

28 mio.

Progetto 2

Adeguamenti delle prestazioni

2

14 mio.

Progetto 3

Ripercussioni revisione LSCPT per CSI-DFGP

3

12 mio.

Progetto 4

Adeguamenti a garanzia della compatibilità dei sistemi di fedpol

3

28 mio.

Progetto 5

Sviluppo dei sistemi

4

17 mio.

Credito complessivo

99 mio.

Per garantire l'efficacia delle indagini di polizia, i dati raccolti devono essere elaborati sia nel sistema di trattamento del Servizio SCPT sia nei sistemi d'informazione di polizia della Confederazione, e i diversi sistemi informatici devono funzionare in perfetto accordo. La presente richiesta di credito complessivo e il piano programmatico su cui si basa rispecchiano la dipendenza tra i sistemi del Servizio SCPT e di fedpol. I due suddetti aspetti del progetto globale, suddiviso in cinque progetti realizzabili in modo indipendente l'uno dall'altro, sono stati riuniti nello studio programmatico del DFGP, che precede questo messaggio, e soddisfano i criteri per i progetti chiave TIC della Confederazione.

Contenuto del disegno Il sistema di trattamento del Servizio SCPT e i sistemi d'informazione di polizia della Confederazione devono essere sviluppati per garantire l'efficacia della sorveglianza del traffico delle telecomunicazioni, della valutazione dei dati e dell'investigazione dei reati.

Gli investimenti necessari nel sistema di trattamento del Servizio SCPT possono essere suddivisi come segue: (a) investimenti di sostituzione per i sistemi parziali giunti al termine del proprio ciclo di vita e che devono essere urgentemente rimpiazzati, tra cui: il sistema d'informazione (CCIS), il sistema di gestione degli incarichi (AMIS NG) e le funzioni riguardanti i dati risultanti dalla sorveglianza con effetto retroattivo (dati storici, denominati HD); (b) investimenti di ampliamento per modifiche funzionali o aumenti delle prestazioni dei sistemi parziali: queste modifiche sono necessarie per far fronte alla maggiore offerta di prestazioni dei fornitori di servizi di telecomunicazione e alla quantità crescente di dati; consentono di sviluppare ulteriori funzioni nel sistema di trattamento che non si è potuto realizzare inizialmente con il sistema base a causa di limiti finanziari e temporali. In questa categoria di investimenti rientra lo sviluppo ridondante di componenti di sistema centrali per migliorare la disponibilità del sistema e le modalità di preven-

5721

zione delle catastrofi (PreCa). Senza i relativi sviluppi di sistema, in futuro il Servizio SCPT non potrà garantire, come richiesto dalla legge, la disponibilità permanente degli strumenti di sorveglianza delle telecomunicazioni; (c) investimenti nel sistema di trattamento del Servizio SCPT legati alla revisione totale della LSCPT: si tratta di nuovi compiti che il Servizio SCPT dovrà prevedibilmente assolvere con l'entrata in vigore della LSCPT riveduta, come ad esempio l'armonizzazione delle modalità di distribuzione delle informazioni mediante una procedura di richiamo. Con l'entrata in vigore della LSCPT riveduta, l'ambito di applicazione della legge sarà differenziato ed esteso ai fornitori di soli servizi, di conseguenza le funzionalità di rappresentazione e di analisi dei sistemi dovranno soddisfare requisiti analitici, quantitativi e qualitativi, più elevati. L'efficacia e la stabilità d'esercizio dei sistemi richiede una buona preparazione degli operatori, conseguibile mediante la creazione e l'esercizio di un sistema per la formazione che rispecchi la prassi. Infine, in futuro si rinuncerà all'invio postale di supporti di dati, critico dal punto di vista della sicurezza, a favore dell'acquisto e dell'uso di un sistema per la conservazione a lungo termine dei dati, come previsto dal D-LSCPT.

Gli investimenti necessari per i sistemi d'informazione di polizia di fedpol possono essere riassunti come segue: (d) gli investimenti nei sistemi d'informazione di polizia di fedpol sono necessari per far fronte alla maggiore offerta di prestazioni dei fornitori di servizi di telecomunicazione e alla quantità crescente di dati. Saranno implementate modifiche delle funzionalità, funzioni avanzate di analisi e di visualizzazione, filtri, nonché funzioni per la gestione centralizzata degli utenti. Parte degli investimenti sono legati alla revisione totale della LSCPT, che impone l'armonizzazione del sistema di trattamento del Servizio SCPT e dei sistemi d'informazione di polizia di fedpol.

5722

Messaggio 1

Punti essenziali del progetto

1.1

Situazione iniziale

Con il presente messaggio chiediamo al Parlamento un credito d'impegno per lo sviluppo e l'esercizio del sistema di trattamento per la sorveglianza del traffico delle telecomunicazioni (a seguire «sistema di trattamento») e dei sistemi d'informazione di polizia della Confederazione. La realizzazione di questi adeguamenti è urgentemente necessaria, dal punto di vista della politica interna ed estera, per poter garantire anche in futuro la sorveglianza di persone fortemente sospettate di aver commesso reati gravi, per le quali sono state disposte ricerche di emergenza o che sono ricercate. I dati raccolti mediante le misure di sorveglianza costituiscono uno strumento irrinunciabile per le autorità inquirenti per perseguire e combattere gravi infrazioni alla legge federale sugli stupefacenti e reati gravi contro il patrimonio, come il riciclaggio di denaro. Inoltre, il sistema di trattamento e i sistemi di polizia contribuiscono a perseguire e combattere gravi casi di violenza e reati sessuali quali la tratta di esseri umani, la pedopornografia, la criminalità organizzata e il terrorismo.

L'attuazione del progetto Interception System Svizzera (ISS), che va distinto dal presente progetto, renderà disponibile, presumibilmente dalla fine del 2015, un sistema di base fornito di funzioni minime. Sebbene riguardi un elemento centrale, questo progetto aggiorna comunque solo una parte del sistema di trattamento del Servizio Sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (Servizio SCPT). Durante le riunioni dell'organo direttivo1 e del comitato sulla sorveglianza delle telecomunicazioni2, è stato chiesto a più riprese, in particolare dalle autorità di perseguimento penale, di ampliare le possibilità di elaborazione e di poter disporre di una presentazione uniforme e completa delle informazioni e dei dati raccolti con le misure di sorveglianza. Gli sviluppi dei sistemi e delle prestazioni dei fornitori di servizi di telecomunicazione, promossi con immutata intensità negli ultimi anni, implicano inoltre che queste integrazioni vadano costantemente adeguate e ampliate, per garantire il mandato legale del sistema di trattamento del Servizio SCPT, che sul piano amministrativo è subordinato al CSI-DFGP.

La presente richiesta di un credito d'impegno si inserisce in un contesto particolare: la revisione totale della legge federale del 6 ottobre 20003 sulla sorveglianza della 1

2

3

L'organo direttivo della sorveglianza delle telecomunicazioni (a seguire organo direttivo STT) è presieduto dal segretario generale del DFGP. Ne fanno inoltre parte: il direttore del comitato STT, che è contemporaneamente a capo del Servizio SCPT; il direttore dell'Ufficio federale di polizia (fedpol); il presidente della Conferenza dei direttori cantonali di giustizia e polizia (CDCGP); il presidente della Conferenza delle autorità inquirenti svizzere (CAIS); il presidente dell'organizzazione mantello per le associazioni e le organizzazioni del settore svizzero delle tecnologie dell'informazione e della comunicazione (ICTswitzerland).

Il comitato sulla sorveglianza delle telecomunicazioni (a seguire comitato STT) è composto del responsabile del Servizio SCPT e di un membro della direzione rispettivamente di fedpol, della Conferenza dei direttori cantonali di giustizia e polizia (CDCGP), della Conferenza delle autorità inquirenti svizzere (CAIS), e dell'organizzazione mantello per le associazioni e le organizzazioni del settore svizzero delle tecnologie dell'informazione e della comunicazione (ICTswitzerland).

RS 780.1

5723

corrispondenza postale e del traffico delle telecomunicazioni (LSCPT)4 è all'esame delle Camere federali, mentre sono in corso intensi dibattiti riguardanti l'impatto in Svizzera degli eventi legati a Edward Snowden e allo scandalo sulle intercettazioni della NSA, la decisione della Corte di giustizia dell'Unione europea (CGUE) sulla direttiva europea riguardante la conservazione di dati, giuridicamente non vincolante per la Svizzera5, e il futuro impiego del cosiddetto «government software» (GovWare)6.

La domanda di credito d'impegno per lo sviluppo dei sistemi informatici sottoposta alle Camere federali con il presente messaggio tiene inoltre conto della richiesta della Delegazione delle finanze di rafforzare il ruolo del Parlamento nella gestione finanziaria dei progetti TIC di grande portata. I fondi per il presente progetto globale saranno richiesti e liberati dal Consiglio federale in maniera scaglionata per più progetti.

1.2

Problematica e necessità del credito

Come indicato al numero 1.1, il DFGP deve procedere con urgenza a investimenti per sostituire e ampliare i propri sistemi per la sorveglianza delle telecomunicazioni e per l'utilizzo dei dati da essa risultanti, così da adempiere al mandato legale attualmente assegnatogli in quest'ambito.

Data la ripartizione legale dei compiti tra il Servizio SCPT e le autorità di perseguimento penale, le revisioni legislative in corso comporteranno nuovi compiti sia per il Servizio SCPT (D-LSCPT), sia per fedpol (modifica del CPP7 nel quadro della revisione LSCPT8); si tratta di compiti che richiederanno il sostegno di sistemi informatici adeguati. Il disegno di legge prevede, ad esempio, che il sistema di trattamento del Servizio SCPT contenga i dati raccolti durante le sorveglianze di tipo classico, vale a dire le sorveglianze del traffico delle telecomunicazioni conformemente all'articolo 269 CPP. Non conterrà invece i dati raccolti con sorveglianze compiute mediante dispositivi tecnici di sorveglianza come GovWare9. Questi 4 5

6

7 8 9

FF 2013 2283, oggetto trasmesso il 19 marzo 2014 dal Consiglio degli Stati al Consiglio nazionale.

Direttiva 2006/24/CE del Parlamento europeo e del Consiglio, del 15 marzo 2006, riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE, GU L 105, pag. 54­60. Nel quadro della revisione in corso della LSCPT, il Consiglio federale ha assicurato ­ in particolare per quanto riguarda la conservazione dei dati secondari, già autorizzati dalla normativa vigente ­ il rispetto delle disposizioni della Costituzione federale (Cost., RS 101) e della Convenzione del 4 novembre 1950 per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali (CEDU, RS 0.101).

Consiste nell'uso di speciali programmi informatici che vengono introdotti in un sistema di trattamento dei dati per intercettare e leggere il contenuto delle comunicazioni e i dati secondari. Cfr. spiegazioni nel messaggio del 27 febbraio 2013 concernente la legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT), FF 2013 2283, in particolare 2367 RS 312.0 FF 2013 2283 Messaggio del 27 febbraio 2013 concernente la legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT), FF 2013 2283, in particolare 2311, secondo cui i dati raccolti con gli IMSI-catcher o i GovWare non rientrano tra quelli salvati dal Servizio SCPT (cfr. il commento agli art. 269bis e 269ter CPP).

5724

compiti sono assegnati direttamente alle autorità inquirenti e, a livello federale, a fedpol10.

Gli investimenti sono suddivisi in: acquisti sostitutivi; acquisti per ampliamento; investimenti legati alla revisione della LSCPT, suddivisi a loro volta tra CSI-DFGP e fedpol.

Tutti questi investimenti saranno divisi in cinque progetti separati, da attuare nel periodo 2016­2021. La suddivisione in gruppi fa sì che, anche se strettamente correlati, i progetti possano essere eseguiti indipendentemente l'uno dall'altro e i mezzi necessari possano essere richiesti e concessi in modo scaglionato.

Figura 1 Panoramica dei progetti

Gli investimenti per la sostituzione e lo sviluppo del sistema di trattamento (progetti 1 e 2) hanno lo scopo di consentire al Servizio SCPT l'adempimento del proprio mandato legale, in particolare per quanto riguarda la sorveglianza delle telecomunicazioni secondo il diritto vigente. Si tratta di progetti importanti e necessari, a prescindere dall'esito della revisione della LSCPT. Il progetto riguardante gli investimenti di sostituzione è pertanto previsto nella prima fase di finanziamento, che comprende anche un credito di progettazione per finanziare la pianificazione della messa in opera dei restanti progetti. Questo credito di progettazione dovrebbe permettere di esaminare in dettaglio la fattibilità dei progetti e, quindi, di ridurre al minimo le incertezze residue riguardanti i costi e i rischi (architettura, implementazione interna/esterna, fondi necessari).

La richiesta di liberazione dei fondi per le fasi successive sarà presentata al Consiglio federale nel momento in cui vengono conclusi i compiti di progettazione e pianificazione dei progetti 2­5, ovvero alla consegna dei documenti di progetto (requisiti di sistema, studio dettagliato, architettura di sistema, regole in materia di sicurezza delle informazioni e di protezione dei dati, ecc). La divisione tematica in cinque progetti indipendenti tra loro consente, se necessario, di adattare più facil10

Messaggio concernente il D-LSCPT, FF 2013 2283, in particolare 2336.

5725

mente la sequenza dei progetti a possibili vincoli finanziari o a eventuali modifiche apportate dalle Camere federali al disegno di revisione totale della LSCPT.

Il D-LSCPT prevede novità e sviluppi che dovranno essere attuati dal Servizio SCPT: a esso saranno assegnati nuovi compiti, la cui esecuzione richiede infrastrutture e personale supplementari. Inoltre, sarà esteso il campo di applicazione personale della legge; l'effettiva portata dell'obbligo di collaborare è definita nello specifico per ciascuna categoria di persone. Sarà introdotto un sistema per la conservazione a lungo termine dei dati e un sistema per la formazione. Secondo le informazioni attualmente disponibili, la LSCPT riveduta dovrebbe entrare in vigore al più presto nel 2017 e le novità previste dovrebbero essere attuate nell'ambito del progetto 3.

Il progetto 4 include gli aggiornamenti necessari per fedpol: sviluppo e ampliamento dei collegamenti al sistema di trattamento del Servizio SCPT; estensione dell'ampiezza di banda e ottimizzazione del collegamento alla rete; sviluppo e ampliamento della sezione per il caricamento dei dati; miglioramento della sicurezza dei dati; sviluppo delle capacità di archiviazione del sistema per i contenuti dei fornitori di servizi di telecomunicazione; funzioni avanzate di analisi e di visualizzazione e filtri, in modo che i dati possano essere usati dalla polizia e in giudizio. Sono inclusi anche gli adeguamenti derivanti dalle modifiche del CPP legate alla revisione totale della LSCPT e relative segnatamente a GovWare e IMSI-Catcher11. Per far sì che i dati raccolti possano essere utilizzati in giudizio, è essenziale garantirne la tracciabilità.

Per quanto riguarda lo stato di avanzamento della revisione della LSCPT, si fa presente che il 19 marzo 2014 il Consiglio degli Stati ha approvato il messaggio del 27 febbraio 201312 e trasmesso il progetto al Consiglio nazionale con pochi adattamenti. La differenza tra l'ammontare delle spese descritte nel messaggio sulla revisione della LSCPT e l'importo per gli investimenti richiesto dal presente messaggio è dovuta non solo alle novità qui presentate, ma anche alle integrazioni e agli sviluppi richiesti ai sistemi STT per consentire al Servizio SCPT di adempiere il proprio mandato legale. Le analisi e le previsioni dei fornitori di servizi di
telecomunicazione in Svizzera mostrano che l'uso mobile di internet aumenterà notevolmente nei prossimi anni e gli operatori di rete offriranno ai propri clienti velocità di trasmissione sempre maggiori. La quantità di dati trasmessi è destinata a raddoppiare nei prossimi tre anni. Lo sviluppo e la sostituzione dei sistemi esistenti sono quindi essenziali. Il lavoro necessario sarà svolto nell'ambito dei progetti 2 e 5.

Secondo le stime attuali, gli investimenti per i cinque progetti ammontano a un totale di 112 milioni di franchi. Tali investimenti sono destinati alla sostituzione (32 mio.) e allo sviluppo (36 mio.) dei sistemi, all'attuazione dei nuovi compiti derivanti dalla revisione del LSCPT (15 mio.) e ai lavori necessari per fedpol per garantire la compatibilità dei sistemi (29 mio.).

Per confermare la fondatezza del progetto e della sua portata, il CSI-DFGP ha incaricato una società esterna specializzata nella definizione e pianificazione di grandi progetti di esaminare lo studio redatto internamente e di esprimere un secondo

11

12

Dispositivi di sorveglianza per identificare apparecchi mobili di comunicazione e i loro utenti; cfr. commento nel messaggio concernente il D-LSCPT, FF 2013 2283, in particolare 2364.

FF 2013 2283

5726

parere. Tutti i documenti relativi a questo progetto, come lo studio programmatico e il secondo parere redatto dalla società esterna, sono disponibili su richiesta presso il CSI-DFGP.

1.3

Importanza del progetto da finanziare

Attualmente, il Servizio SCPT gestisce un «centro di trattamento», ovvero un insieme di sistemi e componenti di sistema la cui interazione consente di ricevere, salvare, elaborare e rappresentare le informazioni raccolte mediante le misure di sorveglianza del traffico delle telecomunicazioni, disposte dalle autorità di perseguimento penale e autorizzate dai giudici dei provvedimenti coercitivi. Alcuni di questi sistemi e componenti di sistema devono essere sostituiti avendo essi raggiunto la fine del loro ciclo di vita; contemporaneamente, sono necessarie modifiche per integrare gli sviluppi tecnologici e far fronte ai nuovi compiti e requisiti previsti dalla revisione della LSCPT. Inoltre, vanno adeguati i sistemi informatici di polizia, poiché il D-LSCPT prevede il collegamento tramite un'interfaccia della soluzione informatica del Servizio SCPT alla rete dei sistemi d'informazione di polizia, così da consentire a fedpol l'accesso ai dati necessari per le indagini. I lavori di sostituzione, sviluppo e ampliamento nel centro di trattamento del Servizio SCPT e presso fedpol garantiscono la continuità della sorveglianza delle telecomunicazioni, un settore in cui la tecnologia e le modalità di utilizzo stanno cambiando radicalmente.

Se il progetto non potesse essere realizzato totalmente o in parte, il Servizio SCPT e fedpol non potrebbero, dal punto di vista tecnico, soddisfare completamente il loro mandato legale utilizzando gli strumenti di valutazione e trattamento dei dati. Ciò comporterebbe sostanziali oneri aggiuntivi e significative restrizioni per quanto riguarda il trattamento dei dati relativi a indagini penali o la disponibilità dei servizi.

Ciò si tradurrebbe in una riduzione delle prestazioni, perché bisognerebbe optare per soluzioni alternative come la scrittura dei dati derivanti dalla sorveglianza su un supporto ad hoc e l'invio postale dello stesso alle autorità. Senza l'accesso online ai sistemi pertinenti, i destinatari di questo supporto dovrebbero a loro volta disporre degli strumenti adatti a visualizzare i dati su esso registrati e impegnarsi nell'aggiornamento e nella manutenzione di tali strumenti, il che richiederebbe molto probabilmente risorse aggiuntive alle autorità inquirenti.

1.4

Interesse del progetto per la Confederazione

Il sistema di trattamento del Servizio SCPT e i sistemi informatici di fedpol sono strumenti essenziali affinché le autorità di perseguimento penale possano ricevere e analizzare efficacemente, previa approvazione del giudice, la corrispondenza postale e il traffico delle telecomunicazioni di una persona sospettata di aver commesso un reato grave. Questi sistemi sono anche essenziali per eseguire ricerche di emergenza di persone scomparse e per localizzare il telefono cellulare di persone ricercate.

Quest'ultimo tipo di sorveglianza è previsto nel progetto di revisione della LSCPT.

Ogni applicazione o sistema informatico ha un ciclo di vita, che inizia con l'individuazione della sua necessità, prosegue con lo sviluppo e l'attuazione di requisiti specifici e termina con la sua eliminazione o il rimpiazzo mediante una nuova soluzione. Alcune parti dei sistemi qui menzionati devono essere sostituite, aggiornate, 5727

adattate o armonizzate tra loro al fine di garantire la sorveglianza del traffico delle telecomunicazioni anche in futuro. Il DFGP, previa consultazione delle parti interessate, ha elaborato una raccolta dettagliata degli investimenti necessari, ha definito i progetti corrispondenti e le fasi del programma.

1.5

Prospettive

Il presente progetto mira a garantire la compatibilità futura dei sistemi, in modo che possano essere sviluppati nel tempo per soddisfare le nuove esigenze. Inoltre, devono tenere il passo con il rapido progresso tecnologico e fornire una solida base per un eventuale sviluppo modulare in futuro.

2

Tenore della richiesta di credito complessivo

2.1

Proposta del Consiglio federale

Il sistema di trattamento del Servizio SCPT ha lo scopo di ricevere e registrare i dati raccolti nel corso della sorveglianza del traffico delle telecomunicazioni. Questi dati rappresentano un importante strumento a disposizione delle autorità di perseguimento penale per chiarire diverse tipologie di reati. Alcuni sistemi o componenti hanno raggiunto la fine del loro ciclo di vita e devono essere sostituiti, altri hanno bisogno di essere ulteriormente sviluppati, mentre parte degli investimenti è destinata all'attuazione dei nuovi compiti che saranno prevedibilmente assegnati al Servizio SCPT dopo l'entrata in vigore della LSCPT riveduta.

A ciò si aggiunge lo sviluppo dei sistemi d'informazione di polizia di fedpol: gli investimenti sono necessari per procedere all'adeguamento di funzioni, ad ampliamenti di sistema e per tener conto dei nuovi compiti che dovrebbero derivare dall'entrata in vigore del D-LSCPT riveduta e dalla relativa modifica del CPP.

Il progetto richiede investimenti per 112 milioni di franchi. Il DFGP fornisce prestazioni interne in risorse di personale per un importo pari a 13 milioni di franchi. Il nostro Collegio chiede pertanto per gli anni 2016­2021 un credito d'impegno di 99 milioni di franchi; di questi, quasi 14 milioni di franchi possono essere finanziati dal DFGP con le risorse esistenti.

2.2

Modo di procedere

Il presente progetto è qualificato come progetto chiave TIC e richiede pertanto una procedura di monitoraggio più severa. Con questo messaggio, il nostro Collegio attua per la prima volta due elementi principali della risposta del 21 maggio 2014 alle raccomandazioni della Delegazione delle finanze (lettera del 5 marzo 2014 sull'orientamento, la realizzazione e lo sviluppo della strategia informatica della Confederazione): le richieste di crediti d'impegno per i progetti chiave TIC sono sottoposte all'Assemblea federale in messaggi appositi; il Consiglio federale rilascia il credito d'impegno per la realizzazione dei progetti soltanto quando sono disponibili i risultati delle fasi di pianificazione e progettazione. Inoltre, ogni sei mesi, il Consiglio federale sottopone alla Delegazione delle finanze delle Camere federali 5728

una relazione sullo stato di avanzamento dei progetti chiave TIC comprensiva delle informazioni rilevanti per l'alta vigilanza.

2.3

Descrizione dettagliata del progetto

2.3.1

Sintesi

Alcuni dei progetti parziali facenti parte del presente progetto dipendono direttamente dai risultati delle deliberazioni parlamentari e della votazione finale sul D-LSCPT.

Se, come previsto, il disegno sarà approvato con le proposte della Camera prioritaria, dopo l'entrata in vigore della revisione della LSCPT e delle relative ordinanze di esecuzione andrà realizzata, non appena possibile, una serie di progetti informatici per garantire l'attuazione dei nuovi compiti assegnati dalla legge. Come i progetti di legge, i progetti informatici richiedono una preparazione relativamente lunga, pertanto è necessario iniziare fin d'ora la fase di pianificazione e progettazione dei seguenti progetti parziali: ­

creazione di un sistema per la conservazione a lungo termine dei dati, comprese le modifiche e gli aggiornamenti del sistema di gestione degli incarichi;

­

modifiche di sistema per la trasmissione di informazioni tecniche e organizzative;

­

creazione di un'infrastruttura permanente per la formazione;

­

sviluppo delle infrastrutture di trasmissione per persone obbligate a collaborare che non sono allo stesso tempo fornitori di accesso alla rete, nonché per fornitori soggetti soltanto all'obbligo di tollerare.

Ove possibile, i responsabili gestiscono i progetti in modo indipendente; i responsabili della gestione del programma globale assumono invece una funzione di controllo e supervisione generale, che comprende tutte le attività necessarie, nell'ottica del progetto globale, per la definizione delle priorità nonché il coordinamento, il monitoraggio e il supporto dei progetti in corso o previsti. A ognuno dei cinque progetti sono stati direttamente attribuiti i mezzi necessari per garantirne il monitoraggio.

L'integrazione delle attività di monitoraggio a livello informatico, di progetto e di programma richiede uno stretto coordinamento con i responsabili della gestione del portafoglio del CSI-DFGP, che forniscono gli indicatori per il monitoraggio di progetto. Queste semplici valutazioni saranno poi utilizzate per le relazioni concernenti il programma globale e i singoli progetti. Le relazioni faranno uso degli indicatori che sono gestiti e valutati dalla direzione del programma.

A causa del fabbisogno di risorse umane e finanziarie, dell'importanza strategica, della complessità, delle ripercussioni e dei rischi a esso legati, il presente progetto globale è stato classificato come progetto chiave TIC della Confederazione13 e richiede quindi il rafforzamento della direzione, della gestione, del coordinamento e del controllo sovraordinati, i cui costi sono stati inclusi nelle stime per l'assistenza al

13

Attuazione della strategia TIC della Confederazione 2012­2015, reperibile all'indirizzo www.isb.admin.ch > Temi > Progetti e programmi > Progetti chiave TIC della Confederazione.

5729

progetto. In virtù della legge del 28 giugno 196714 sul Controllo delle finanze, il Controllo federale delle finanze (CDF) esegue ora verifiche sistematiche nell'ambito dei progetti chiave TIC. L'organizzazione di progetto si conformerà a tale procedura.

Questi imminenti progetti informatici possono essere finanziati solo parzialmente mediante il bilancio del DFGP. Per avviare il progetto il prima possibile, ma in ogni caso non più tardi del 2016, il DFGP deve mettere a disposizione delle proprie unità le risorse necessarie. Per fornire alle Camere federali una visione d'insieme della messa in opera e delle conseguenze, i progetti sono stati riuniti in un programma globale oggetto di un credito complessivo. Quest'ultimo è composto di quattro crediti d'impegno, uno per ciascuna fase.

2.3.2

Progetto 1: acquisti sostitutivi, inclusi i lavori di progettazione per le fasi 2­415

L'attuale sistema d'informazione (CCIS), giunto al limite delle sue prestazioni e al termine del ciclo di vita, deve essere urgentemente sostituito.

Il rinnovo del sistema d'informazione avviene in due fasi: inizialmente sarà acquisito un sistema sostitutivo (progetto 1), che in una seconda fase (progetto 3) sarà integrato con funzioni supplementari.

Il Servizio SCPT ha bisogno di un sistema di gestione delle informazioni, attualmente fornite dietro versamento di emolumenti e indennità. L'attuale sistema AMIS NG presenta limiti funzionali che rendono difficile per i collaboratori del Servizio SCPT lo svolgimento dei compiti necessari alla gestione dei casi; va quindi completamente rimesso a nuovo oppure rimpiazzato mediante un acquisto sostitutivo comprensivo delle modifiche e degli aggiornamenti necessari. La sostituzione del sistema d'informazione rende inevitabile il rimpiazzo del sistema di gestione, che volge comunque anch'esso al termine del proprio ciclo di vita. La realizzazione di questo progetto consentirà inoltre di ridurre i cambiamenti di supporto (cfr. sotto). Le misure seguenti permetteranno di minimizzare le fonti di errore e di semplificare e accelerare l'intera procedura: ­

inserimento elettronico delle decisioni delle autorità di perseguimento penale (al posto della trasmissione via fax o posta);

­

elaborazione elettronica degli incarichi e trasmissione elettronica degli stessi anche ai fornitori soggetti alla legge (attualmente in parte trasmessi via fax).

Conformemente all'articolo 15 LSCPT, i fornitori sono già oggi tenuti a trasmettere al Servizio SCPT, su richiesta, le comunicazioni della persona sorvegliata, nonché i dati identificativi degli utenti e quelli relativi alle comunicazioni. Tale obbligo comprende, in particolare, la fornitura di dati risultanti dalla sorveglianza con effetto retroattivo (dati storici, HD), che i fornitori consegnano oggi direttamente alle autorità di perseguimento penale su supporti dati. Si tratta di una prassi che non soddisfa più le attuali disposizioni legali in materia di protezione dei dati.

14 15

RS 614.0 Progetti parziali interessati secondo lo studio: progetti parziali 1, 2 e 3

5730

Come per la trasmissione e la ricezione del contenuto del traffico delle telecomunicazioni della persona sorvegliata (dati in tempo reale), il Servizio SCPT deve impiegare una soluzione sicura e moderna per la trasmissione dei dati storici del traffico delle telecomunicazioni della persona sorvegliata conformemente all'articolo 16 lettera d dell'ordinanza del 31 ottobre 200116 sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni.

Data l'urgenza del progetto, il DFGP eseguirà già nel 2015 una serie di lavori preparatori per i quali metterà a disposizione circa tre milioni di franchi. Come indicato nella tabella sottostante, il costo totale del progetto (costi interni ed esterni), la cui attuazione inizierà nel 2016, ammonta per gli anni 2016 e 2017 a circa 32 milioni di franchi (investimenti una tantum).

Figura 2 Costi di investimento complessivi del progetto 1 Mio. di fr.

Investimenti (una tantum) Gestione progetto Costi progettazione progetti 2, 3 e 5 Costi progettazione progetto 4 Sviluppo software e licenze Hardware Consulenza

1 2 4 22 2 1

Totale costi una tantum (CU)

32

Prestazioni interne (risorse umane)

­4

Credito d'impegno richiesto

28

2.3.3

Progetto 2: adeguamenti delle prestazioni17

Gli sviluppi dei sistemi e delle prestazioni dei fornitori di servizi di telecomunicazione, promossi con immutata intensità negli ultimi anni, implicano inoltre che queste integrazioni vadano costantemente adeguate e ampliate, per garantire il mandato legale del sistema di trattamento del Servizio SCPT.

In particolare, l'uso sempre più diffuso di accessi e servizi Internet mediante apparecchi mobili renderà sempre più necessario un ulteriore sviluppo del futuro sistema di trattamento (progetto ISS) e delle reti di trasmissione sia per quanto riguarda la ricezione completa dei dati che le capacità di decodificazione dei rispettivi servizi. È quindi importante garantire la conformità a tali requisiti legali, che fanno parte del mandato legale del Servizio SCPT di gestire un sistema informatico per l'elaborazione dei dati della sorveglianza delle telecomunicazioni.

16 17

RS 780.11 Progetti parziali interessati secondo lo studio: progetti parziali 4, 9 e 13.

5731

Nell'ambito del presente progetto è tra l'altro prevista la realizzazione delle seguenti misure: ­

collegamento di nuovi fornitori di servizi di telecomunicazioni, che passano dagli attuali 9 a 40, per arrivare a 250 entro la fine dello sviluppo, e adeguamento (con relativi costi) del sistema di trattamento del Servizio SCPT (ISS) (dal 2017 incremento annuo di circa 40 TB);

­

creazione di un ambiente test per soddisfare le crescenti esigenze legate allo sviluppo del sistema informatico attuale e implementare le nuove funzionalità risultanti.

Il Servizio SCPT dovrà modificare o riconfigurare la propria infrastruttura per tener conto del progresso tecnico e soddisfare le future esigenze delle autorità di perseguimento penale in materia di analisi, sicurezza e requisiti federali.

Sono previste le seguenti modifiche al sistema ISS per migliorarne le prestazioni: ­

adeguamenti delle prestazioni alle nuove caratteristiche tecniche e ai nuovi servizi. Tali lavori sono irrinunciabili poiché, data la complessità della materia e dei tempi brevi per il completamento dei lavori relativi al progetto ISS, attualmente vengono implementati soltanto gli strumenti d'analisi strettamente necessari. Data la velocità con cui evolve la tecnologia, è importante aggiornare regolarmente queste funzioni;

­

fornitura di un ambiente test autonomo, in aggiunta ai test nel sistema di integrazione, per far fronte al sovraccarico di quest'ultimo dovuto all'aumento del numero di persone soggette alla legge e delle modifiche di sistema da apportare;

­

incremento della capacità di ricezione dati del sistema ISS: da 100 a 300 MBit/s;

­

sviluppo della capacità della rete per la trasmissione dei dati intercettati: da 100 a 300 MBit/s;

­

aumento della capacità di archiviazione di 160 TB.

Data la continua evoluzione della tecnologia, saranno necessari ulteriori adeguamenti del sistema di trattamento del Servizio SCPT, in particolare per quanto riguarda i decoder (ossia i software per rendere leggibili i dati memorizzati) e gli eventuali nuovi requisiti posti dalle autorità inquirenti.

Senza queste modifiche, i sistemi esistenti saranno rapidamente superati e l'esecuzione del mandato legale compromessa.

Sono previste le seguenti modifiche al sistema ISS per migliorarne le prestazioni: ­

modifiche dei decoder;

­

adeguamenti delle funzioni di elaborazione per l'analisi investigativa dei dati in seguito all'introduzione di nuovi servizi o alla modifica di servizi esistenti;

­

aumento della portata e della capacità di elaborazione del sistema di trattamento del Servizio SCPT.

Come indicato nella tabella sottostante, il costo totale del progetto (costi interni ed esterni) ammonta per gli anni 2017­2021 a circa 17 milioni di franchi (investimenti una tantum).

5732

Figura 3 Costi di investimento complessivi del progetto 2 Mio. di fr.

Investimenti (una tantum) Gestione progetto Sviluppo software e licenze Hardware Consulenza

3 9 4 1

Totale costi una tantum (CU)

17

Prestazioni interne (risorse umane)

­3

Credito d'impegno richiesto

14

2.3.4

Progetto 3: ripercussioni della revisione della LSCPT per il CSI-DFGP18

Dopo aver portato a termine gli acquisti sostitutivi per il sistema d'informazione (CCIS), possono iniziare gli altri lavori di sviluppo. Si tratta delle possibili estensioni e ottimizzazioni individuate durante la fase di realizzazione o nella pratica e dell'implementazione dei nuovi requisiti di sistema derivanti dalla revisione totale della LSCPT.

A questi potrebbero aggiungersi nuovi requisiti (ad es. interfacce con altri sistemi), identificati durante lo sviluppo di altri sistemi parziali e non ancora noti all'avvio del progetto 1.

È inoltre essenziale mettere a disposizione un sistema per la formazione al termine dei lavori di ampliamento e aggiornamento dei sistemi. La formazione del personale è garanzia di alta qualità e affidabilità dei dati trattati. L'articolo 16 lettera i D-LSCPT affida al Servizio SCPT il nuovo compito di organizzare e offrire corsi di formazione per le persone che hanno accesso al sistema di trattamento. Per utilizzare in modo efficace e in conformità alla legge un sistema così complesso come il sistema di elaborazione del Servizio SCPT, i dipendenti devono seguire regolarmente dei corsi di formazione e perfezionamento su un sistema che replica esattamente l'originale. Nella sorveglianza delle telecomunicazioni sono trattati ed elaborati dati degni di particolare protezione, pertanto soltanto dipendenti altamente qualificati del Servizio SCPT e delle autorità di perseguimento penale devono avere accesso al sistema. Questi collaboratori devono poter usufruire di regolari misure formative che riproducano le condizioni di lavoro reali. Senza un sistema di formazione ad hoc, il sistema di produzione dovrebbe servire come un ambiente test per consentire ai dipendenti di applicare le conoscenze teoriche acquisite, il che difficilmente sarebbe compatibile con le misure di protezione previste e i requisiti di sicurezza vigenti.

Il progetto di revisione della LSCPT prevede inoltre che i dati raccolti mediante le misure di sorveglianza siano archiviati, dalla ricezione all'eliminazione definitiva, in 18

Progetti parziali interessati secondo lo studio: progetti parziali 5, 6, 7 e 11.

5733

un sistema per la conservazione a lungo termine dei dati (SCLTD). La durata dell'archiviazione nel sistema di trattamento dei dati raccolti nell'ambito di un procedimento penale è retta dalle regole vigenti per gli atti secondo il diritto di procedura penale applicabile (art. 103 CPP). Per soddisfare questo requisito legale, deve essere creato un sistema che consenta di memorizzare i dati per un periodo molto lungo e che ne assicuri l'integrità e le possibilità di consultazione, analisi e gestione per diversi decenni. La difficoltà principale è garantire che i dati registrati, strutturati o meno, possano continuare a essere letti e analizzati. In base ai nuovi requisiti legali, le soluzioni di archiviazione esistenti devono essere adattate per soddisfare le esigenze della Svizzera. Ciò comporta rischi e richiede notevoli risorse.

Gli sviluppi dei sistemi e delle prestazioni dei fornitori di servizi di telecomunicazione, promossi con immutata intensità negli ultimi anni, implicano inoltre che il SCLTD debba essere costantemente adeguato e ampliato (hardware e software) per essere in linea con gli stessi e per garantire il mandato legale. I dati derivanti dalla sorveglianza delle telecomunicazioni saranno conservati in media da 5 a 10 anni (30 anni al massimo); determinante è il quadro giuridico generale (in particolare le disposizioni del CPP). Ciò significa che la capacità del SCLTD dovrebbe continuare a estendersi almeno per tutta la durata del programma globale. Sulla base delle stime attuali, si deve presumere una crescita annua della domanda di spazio di archiviazione lordo di circa 100 TB per la registrazione di dati grezzi e dati decodificati.

Come indicato nella tabella sottostante, il costo totale del progetto (costi interni ed esterni) ammonta per gli anni 2018-2021 a circa 15 milioni di franchi (investimenti una tantum).

Figura 4 Costi di investimento complessivi del progetto 3 Mio. di fr.

Investimenti (una tantum) Gestione progetto Sviluppo software e licenze Hardware Consulenza

4 7 4 0

Totale costi una tantum (CU)

15

Prestazioni interne (risorse umane)

­3

Credito d'impegno richiesto

12

5734

2.3.5

Progetto 4: adeguamenti a garanzia della compatibilità dei sistemi di fedpol19

Lo sviluppo del sistema di trattamento del Servizio SCPT richiede ingenti modifiche al sistema di sostegno alle indagini di polizia giudiziaria della Confederazione, dove avviene l'elaborazione effettiva dei dati. L'articolo 269 seg. CPP e l'articolo 18a della legge federale del 20 marzo 198120 sull'assistenza internazionale in materia penale prevedono che le autorità di perseguimento penale e le autorità preposte all'assistenza giudiziaria possono ordinare la sorveglianza della corrispondenza postale e delle telecomunicazioni. Il CPP stabilisce le condizioni che devono essere soddisfatte affinché le misure di sorveglianza possano essere eseguite e i dati raccolti utilizzati, mentre la LSCPT definisce come le misure debbano essere ordinate e attuate. Infine, l'articolo 10 della legge federale del 13 giugno 200821 sui sistemi d'informazione di polizia della Confederazione (LSIP) stabilisce il trattamento ai fini delle indagini di polizia dei dati raccolti mediante la sorveglianza nel sistema di sostegno alle indagini di polizia giudiziaria della Confederazione. Queste leggi definiscono quindi le modalità per la raccolta e l'elaborazione dei dati, nonché la loro esclusione dal processo di trattamento, e prevedono la realizzazione di sistemi specifici per questo scopo. Il sistema di trattamento del Servizio SCPT e il sistema di sostegno alle indagini di polizia giudiziaria della Confederazione saranno pertanto armonizzati nell'ambito del progetto 4.

L'armonizzazione richiede l'adeguamento di entrambi i sistemi e del loro ambiente tecnico. Il progetto ha lo scopo di stabilire connessioni tra i due sistemi, migliorare la larghezza di banda, stabilire la connessione alla rete e aumentare lo spazio di archiviazione per contrastare il costante aumento del volume di dati a causa del maggiore uso di nuove tecnologie e in particolare di Internet. Inoltre, sono necessari nuovi dispositivi tecnici per il caricamento dei dati e l'utilizzo di dispositivi e programmi informatici specifici (IMSI-catcher e GovWare) per la sorveglianza delle telecomunicazioni. L'impiego di questi strumenti sarà regolato negli articoli 269bis e 269ter CPP e, come indicato nel messaggio sulla revisione della LSCPT, non comporterà alcun compito per il Servizio SCPT. Il sistema di trattamento del Servizio SCPT non conterrà, infatti,
i dati raccolti mediante dispositivi tecnici di sorveglianza come gli IMSI-catcher o i GovWare22, ma si limiterà ai dati connessi all'attività del Servizio.

Per garantire l'efficacia della sorveglianza delle telecomunicazioni è necessario che il sistema di sostegno alle indagini di polizia giudiziaria della Confederazione disponga di strumenti di aiuto alla traduzione, funzioni avanzate di analisi e di visualizzazione nonché filtri. Si tratta di strumenti che non possono essere installati nel sistema di trattamento del Servizio SCPT poiché la base giuridica che permette questo tipo di trattamento è fornita unicamente dalla LSIP.

A ciò si aggiunge una funzione specifica per la gestione centralizzata degli utenti e un nuovo archivio centrale, per svolgere indagini complesse e mantenere la necessaria visione d'insieme dei casi. Inoltre, gli attuali componenti del sistema di sostegno 19 20 21 22

Progetti parziali interessati secondo lo studio: progetti parziali 15, 16 e 17.

RS 351.1 RS 361 Cfr. messaggio del 27 febbraio 2013 concernente la legge federale sulla sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni (LSCPT), FF 2013 2283, in particolare 2311.

5735

alle indagini di polizia giudiziaria della Confederazione devono essere dotati di funzionalità aggiuntive per garantire la compatibilità con il sistema di trattamento del Servizio SCPT. In particolare, sarà necessario modificare significativamente l'architettura del sistema di fedpol per migliorare la sicurezza dei dati (protezione contro la perdita e il furto) e adattarla all'ambiente del sistema di trattamento. Infine, andranno in parte adeguate le postazioni di lavoro dei collaboratori di fedpol per consentire lo svolgimento di incarichi direttamente connessi alla sorveglianza delle telecomunicazioni.

Come indicato nella tabella sottostante, il costo totale del progetto (costi interni ed esterni) ammonta per gli anni 2018­2021 a circa 29 milioni di franchi (investimenti una tantum).

Figura 5 Costi di investimento complessivi del progetto 4 Mio. di fr.

Investimenti (una tantum) Gestione progetto Costi gestione progetto SCPT modifiche sistema Sviluppo software e licenze Sviluppo software SCPT modifiche sistema Hardware Consulenza

4 1 12 3 8 1

Totale costi una tantum (CU)

29

Prestazioni interne (risorse umane)

­1

Credito d'impegno richiesto

28

2.3.6

Progetto 5: sviluppo dei sistemi23

Per attuare le norme per l'intercettazione dei dati, che si evolveranno nei prossimi anni, e in considerazione del continuo sviluppo delle tecnologie dell'informazione e della comunicazione, sarà necessario continuare ad armonizzare e a sviluppare i sistemi d'informazione e di trattamento. Oltre al Servizio SCPT, che dovrà adattare i propri sistemi, anche i fornitori di servizi di telecomunicazione obbligati a collaborare dovranno apportare cambiamenti significativi alla loro infrastruttura. Per motivi di efficacia, infatti, è indispensabile che siano coinvolti direttamente e saldamente in un corrispondente progetto.

Gli sviluppi di sistema che si intende realizzare permettono di migliorare significativamente la qualità della trasmissione dei dati raccolti nell'ambito delle indagini e delle misure di sorveglianza (misure di sorveglianza retroattiva e dati storici, p. es.

informazioni sugli utenti e informazioni tecniche dettagliate) ed evitare cambiamenti di supporto superflui. In questo modo, i tempi di elaborazione possono essere mi23

Progetti parziali interessati secondo lo studio: progetti parziali 8, 10, 12 e 14.

5736

gliorati e la presentazione dei dati standardizzata, agevolando notevolmente le attività di analisi e d'indagine delle autorità di perseguimento penale.

È prevista la creazione di un ambiente per la conservazione dei dati (Data Retention, DR) in modo da avere una soluzione, duratura e aggiornata dal punto di vista tecnico, per assicurare la qualità della trasmissione dei dati relativi a indagini e misure di sorveglianza.

Il mandato legale del Servizio SCPT, ovvero la gestione di un sistema informatico per il trattamento dei dati relativi alla sorveglianza del traffico delle telecomunicazioni, può in linea di principio essere eseguito con il sistema di base ISS. Tuttavia, dato il tempo e le risorse limitate, nell'ambito del riavvio del progetto ISS si è deciso di non implementare tutte le funzioni richieste dalle autorità di perseguimento penale e di rinunciare alla realizzazione di un sistema di prevenzione delle catastrofi (PreCa) vero e proprio.

Una volta realizzata la maggior parte delle funzioni nell'ambito dei progetti precedenti, sarà implementa una serie di funzioni e requisiti che non è stato possibile sviluppare né nel progetto ISS né nell'ambito dei progetti sopra descritti. Si tratta di: ­

requisiti non ancora definitivamente specificati, ma che sono stati comunque identificati durante il processo di valutazione e discussi in dettaglio con i fornitori e i rappresentanti delle principali parti interessate;

­

sviluppo del sistema di base in due siti, in modo che sia a prova di catastrofi.

Come indicato nella tabella sottostante, il costo totale del progetto (costi interni ed esterni) ammonta per gli anni 2018­2021 a circa 19 milioni di franchi (investimenti una tantum).

Figura 6 Costi di investimento complessivi del progetto 5 Mio. di fr.

Investimenti (una tantum) Gestione progetto Sviluppo software e licenze Hardware Consulenza

4 12 3 0

Totale costi una tantum (CU)

19

Prestazioni interne (risorse umane)

­2

Credito d'impegno richiesto

17

5737

2.4

Motivazione della proposta

Con questo messaggio, il nostro Collegio chiede un credito complessivo per le seguenti finalità: ­

sostituire i componenti che hanno raggiunto la fine del loro ciclo di vita;

­

istituire un sistema per la conservazione a lungo termine dei dati e un sistema per la formazione; adattare il sistema d'informazione al fine di standardizzare la presentazione e il recupero dei dati;

­

adeguare il sistema di trattamento del Servizio SCPT e i sistemi d'informazione di fedpol per far fronte agli sviluppi tecnici e alle maggiori esigenze in termini di prestazioni dei prossimi anni;

­

fornire le nuove funzioni necessarie alle autorità di perseguimento penale per l'elaborazione e l'analisi dei dati;

­

permettere l'ulteriore sviluppo dei progetti realizzati nel contesto di questo programma globale per garantire la protezione degli investimenti del Servizio SCPT, delle autorità di perseguimento penale e dei fornitori di servizi di telecomunicazione;

­

effettuare le modifiche di banda necessarie per le reti di intercettazione e trasmissione dei dati e assicurare la connessione alla rete per gli utenti finali fedpol;

­

dotare i sistemi di polizia di strumenti di aiuto alla traduzione, funzioni avanzate di analisi e di visualizzazione e filtri, che non possono essere installati nel sistema di trattamento del Servizio SCPT, in modo che i dati possano essere usati dalla polizia e in giudizio.

3

Ripercussioni

3.1

Ripercussioni per la Confederazione

3.1.1

Ripercussioni finanziarie

Costi di investimento Secondo le stime attuali, gli investimenti necessari per l'intero progetto ammontano a 112 milioni di franchi (approssimazione: ± 20% dei costi di investimento complessivi), distribuiti come segue: Figura 7 Panoramica dei costi totali

5738

Ad eccezione delle prestazioni e dei mezzi propri (vedi sotto, «Finanziamento»), gli investimenti non sono inclusi né nel preventivo né nel piano finanziario, ma sono esposti per ognuno dei progetti.

Costi di esercizio I costi operativi annuali dell'attuale sistema di trattamento del Servizio SCPT ammontano a circa 9 milioni di franchi. Tali spese includono i costi di licenza (ricorrenti), di esercizio delle applicazioni e di assistenza (costo degli accordi sui livelli di servizio, SLA, e dei contratti di prestazione di servizi), di manutenzione (costi interni ed esterni) e le altre spese operative (traduzioni, materiale di consumo, spese di viaggio, alloggio, pasti).

I costi complessivi del Servizio SCPT sono ora coperti per quasi la metà da emolumenti. Con investimenti nel sistema di trattamento del Servizio SCPT, le spese di gestione a carico del CSI-DFGP aumenteranno gradualmente dal 2017 in poi e dovrebbero raggiungere circa 17 milioni di franchi all'anno entro il 2021.

Oltre ai costi di hardware e software, bisogna anche tener conto dei costi supplementari specificamente connessi agli utenti (p. es. formazione, adeguamenti dell'interfaccia utente per soddisfare le esigenze particolari di alcuni utenti, implementazione delle richieste degli utenti al termine della fase di test e del progetto pilota) per l'utilizzo dei sistemi di nuova acquisizione o che sono stati aggiornati.

Gli investimenti nei sistemi d'informazione di polizia comportano un aumento graduale delle spese operative annuali di fedpol dal 2018 in poi: da circa 9 milioni di franchi per gli attuali sistemi della Polizia giudiziaria federale, si prevede di raggiungere circa 13 milioni di franchi a partire dal 2021.

Finanziamento Il presente progetto globale richiede investimenti per 112 milioni di franchi. Il DFGP fornisce prestazioni interne in risorse di personale per un importo pari a 13 milioni di franchi. Il nostro Collegio chiede pertanto per gli anni 2016­2021 un credito complessivo di 99 milioni di franchi; di questi, quasi 14 milioni di franchi possono essere finanziati dal DFGP con le risorse esistenti.

Questi compiti devono essere finanziati o mediante emolumenti (per l'esecuzione di misure di sorveglianza del traffico delle telecomunicazioni nell'ambito di indagini penali) o congiuntamente dalla Confederazione e
dai Cantoni. Secondo l'attuale ripartizione delle competenze e dei compiti, le indagini penali sono di competenza dei Cantoni, mentre la Confederazione è responsabile per i servizi postali e le telecomunicazioni (art. 92 cpv. 1 Cost.24). La Confederazione ha inoltre il compito di legiferare in materia di diritto penale e di procedura penale (art. 123 cpv. 1 Cost.).

La sorveglianza del traffico delle telecomunicazioni coinvolge Confederazione, Cantoni e privati. Il Servizio SCPT, facente capo al CSI-DFGP, funge da punto di contatto tra i fornitori di servizi di telecomunicazioni e le autorità di perseguimento penale cantonali e federali. È quindi opportuno procedere a una verifica accurata della politica degli emolumenti per la sorveglianza delle telecomunicazioni. La decisione se mantenere l'attuale politica o se cambiare il modo di finanziare i costi di gestione è strategica e deve essere presa dal Consiglio federale. Questo aspetto sarà affrontato a tempo debito nel quadro della revisione totale dell'ordinanza del 24

RS 101

5739

7 aprile 200425 sugli emolumenti e le indennità per la sorveglianza della corrispondenza postale e del traffico delle telecomunicazioni, che dovrà comunque essere intrapresa a seguito della revisione totale della LSCPT. Oltre alle modalità di finanziamento future sarà necessario chiarire anche il grado di copertura, l'importo degli emolumenti ed eventualmente l'ammontare delle indennità corrisposte ai fornitori di servizi di telecomunicazioni. Il DFGP sta già procedendo agli accertamenti necessari per poter presentare tempestivamente una proposta al Consiglio federale.

Modo di procedere Con il presente messaggio il nostro Collegio chiede un credito complessivo pari a 99 milioni di franchi e lo sblocco di 28 milioni di franchi per l'attuazione della prima fase (progetto 1 e fase di pianificazione e progettazione per i progetti 2­5). Quando saranno disponibili i risultati della fase di pianificazione per i progetti 2­5, sbloccheremo le somme previste per le fasi successive.

Nell'ambito del credito complessivo approvato dal Parlamento, potremo trasferire somme limitate tra i progetti e le fasi, al fine di tener conto di eventuali differenze di costo rispetto agli importi stimati per ogni progetto.

Sintesi ­

Il credito complessivo di 99 milioni di franchi sarà rilasciato in quattro fasi.

Ogni fase corrisponde a un credito d'impegno.

­

Il credito d'impegno consta di un importo pari alla somma degli investimenti previsti per la fase in questione meno le prestazioni interne (risorse umane):

Credito d'impegno 1 Credito d'impegno 2 Credito d'impegno 3 Credito d'impegno 4

Investimenti

Prestazioni interne

Totale fr.

32 mio.

17 mio.

44 mio.

19 mio.

­4 mio.

­3 mio.

­4 mio.

­2 mio.

28 mio.

14 mio.

40 mio.

17 mio.

Credito complessivo

25 26

99 mio.

­

Con il presente messaggio chiediamo un credito complessivo di 99 milioni di franchi e lo sblocco da parte del Parlamento di un credito d'impegno di 28 milioni di franchi per la prima fase.

­

Sono consentiti trasferimenti tra i crediti liberati. Un credito può essere maggiorato al massimo del 10 per cento.

­

Il nostro Collegio libera i fondi per una o più fasi successive non appena vengono presentati i documenti di pianificazione dei relativi progetti.

­

La nostra proposta sarà sempre presentata in primavera, in modo che il credito d'impegno, facente parte del credito complessivo, possa essere liberato in estate per l'anno successivo26.

RS 780.115.1 Cfr. le spiegazioni relative ai mezzi TIC al numero 2.2.

5740

3.1.2

Ripercussioni sull'effettivo del personale

Con l'entrata in vigore della modifica della LSCPT, il Servizio SCPT riceverà nuovi mandati permanenti. I posti di lavoro suppletivi per il Servizio SCPT, pari a 13 posti a tempo pieno, richiesti nel messaggio sul D-LSCPT saranno oggetto di una specifica richiesta del DFGP al momento dell'entrata in vigore della revisione della LSCPT.

Il Servizio SCPT ha bisogno di altri 5 posti a tempo pieno già dal 2015 (a tempo determinato fino alla fine del 2021). La realizzazione del progetto può essere avviata con un architetto di sistemi informatici, un ingegnere in gestione dei requisiti, uno specialista di sistema, un responsabile di progetto e un responsabile della gestione dei test. Per il 2015 i mezzi finanziari saranno compensati internamente attraverso crediti residui dal settore del personale del CSI-DFGP. Per il 2016, il finanziamento sarà di nuovo coperto riallocando crediti residui oppure mediante trasferimenti di crediti secondo l'articolo 3 del decreto federale I del 12 dicembre 201327 concernente il preventivo per il 2014. Se questa forma di finanziamento non dovesse più essere possibile per gli anni successivi, il DFGP sottoporrà una richiesta di risorse al Consiglio federale.

Presso il CSI-DFGP devono essere assunti il prima possibile altri specialisti, mentre parte del personale già assunto sarà riassegnato internamente da altri progetti. Le postazioni di lavoro per il personale supplementare richiesto sono disponibili. Il tempo necessario per padroneggiare questi sistemi parziali complessi non va sottovalutato.

Per i lavori preparatori del presente progetto globale, il CSI-DFGP mette a disposizione per il 2015 una percentuale d'impiego pari a 4 posti a tempo pieno, tratta dal suo credito per il personale.

Per fedpol l'attuazione del progetto non dovrebbe comportare aumenti o riduzioni del personale.

3.2

Ripercussioni per i Cantoni e i Comuni, le città, gli agglomerati e le regioni di montagna

La realizzazione del progetto non modifica la ripartizione delle competenze e dei compiti tra la Confederazione e i Cantoni. Tuttavia, è possibile che i Cantoni debbano sostenere costi supplementari sul piano finanziario e del personale per le seguenti ragioni:

27

­

i Cantoni che non utilizzano i sistemi di fedpol, ma sistemi di polizia propri, potrebbero doverli adattare e incorrere in costi paragonabili a quelli riportati per fedpol nel presente messaggio;

­

i Cantoni devono mettere a disposizione specialisti per sostenere l'attuazione del progetto (definizione dei requisiti, assistenza ai progetti, attività relative ai test e al collaudo); nel complesso i costi connessi dovrebbero ammontare annualmente a diversi posti a tempo pieno.

FF 2014 1387

5741

3.3

Ripercussioni per l'economia

Il progetto genera eventualmente costi supplementari per le persone obbligate a collaborare ai sensi della LSCPT. Tuttavia, in particolare per quanto concerne i fornitori di servizi di telecomunicazione, tale aumento va relativizzato giacché il costo della sorveglianza rappresenta una quota molto limitata della loro cifra d'affari. Inoltre, i costi aggiuntivi derivano principalmente dalla revisione della LSCPT, che costituisce il mandato legale. L'aumento va relativizzato anche in considerazione del fatto che la nuova LSCPT permetterà a tutte le parti coinvolte (le autorità di perseguimento penale, i fornitori di servizi di telecomunicazione e il Servizio SCPT) di perseguire i reati con maggiore efficacia.

3.4

Ripercussioni per singoli gruppi sociali

La sorveglianza del traffico delle telecomunicazioni si ingerisce in un diritto fondamentale tutelato dalla Costituzione. La protezione dei dati non deve ostacolare l'efficacia della lotta contro la criminalità, ma allo stesso tempo deve essere rispettata28. Ciò richiede basi giuridiche formali e materiali, che devono anche essere formulate con sufficiente precisione. La LSCPT in vigore, il CPP e la futura LSCPT, così come le ordinanze di esecuzione relative, soddisfano questi criteri e costituiscono la base giuridica per il funzionamento del sistema di trattamento per la sorveglianza del traffico delle telecomunicazioni.

3.5

Altre ripercussioni

Ripercussioni informatiche per la Confederazione Oltre alle modifiche previste per il Servizio SCPT e fedpol, per quanto attualmente noto il progetto non ha alcun impatto sul settore informatico della Confederazione.

Nello scambio di dati e informazioni è fondamentale che l'accesso dell'utente al sistema sia sicuro. Il sistema di trattamento per la sorveglianza delle telecomunicazioni deve essere integrato nell'ambiente del sistema di gestione delle identità e degli accessi (Identity and Access Management, IAM) per garantire che solo le persone autorizzate possano accedere ai dati memorizzati nel sistema29.

Nell'ambito dell'attuazione di questo progetto, bisognerà verificare se la larghezza di banda della rete cantonale sia sufficiente a soddisfare le esigenze future del sistema di trattamento. La sorveglianza ricorrente della rete che interconnette tutte le reti cantonali e la rete della Confederazione (KOMBV-KTV) compete alla Confederazione. Come finora, il DFGP, l'Ufficio federale dell'informatica e della telecomunicazione (UFIT) e l'Organo direzione informatica della Confederazione (ODIC)

28

29

Comunicato stampa sul 20° rapporto d'attività 2012/2013 dell'Incaricato federale della protezione dei dati e della trasparenza (IFPDT) riguardante la sua presa di posizione e la richiesta di una base legale per l'impiego di programmi informatici nell'ambito della consultazione degli uffici della revisione totale della LSCPT, disponibile sul sito www.edoeb.admin.ch > Documentazione > Rapporti d'attività > 20-2012/2013.

Ulteriori informazioni sono disponibili sul sito www.isb.admin.ch > Temi > Architettura > Architettura di e-government > Priorità > Identity e Access Management (IAM).

5742

verificheranno congiuntamente se sono necessari adattamenti e coordineranno i lavori.

Ripercussioni tecniche Alcuni progetti possono essere integrati nell'architettura del sistema attuale di sorveglianza ISS. Altri, invece, probabilmente richiederanno una nuova architettura. Se questa dovesse includere elementi non conformi alla protezione di base TIC della Confederazione, sarà necessaria l'autorizzazione dell'ODIC.

4

Programma di legislatura e strategie nazionali del Consiglio federale

4.1

Rapporto con il programma di legislatura

Il progetto non è annunciato né nel messaggio del 25 gennaio 201230 sul programma di legislatura 2011­2015 né nel decreto federale del 15 giugno 201231 sul programma di legislatura 2011­2015.

Il decreto federale proposto è tuttavia opportuno, perché altrimenti il Servizio SCPT non potrà, da un punto di vista tecnico, garantire pienamente il mandato affidatogli dalla legge. Ciò comporterebbe oneri supplementari e notevoli restrizioni alla preparazione dei dati rilevanti per le indagini penali. La mancata attuazione del progetto avrebbe inoltre effetti negativi per il Servizio SCPT, per le autorità di perseguimento penale e, in particolare, per fedpol, dal momento che dovrebbero immediatamente richiedere risorse aggiuntive per la realizzazione di soluzioni alternative.

4.2

Rapporto con le strategie nazionali del Consiglio federale

Il progetto è compatibile in particolare con la strategia nazionale del Consiglio federale per una società dell'informazione in Svizzera32, poiché aiuta a proteggere la popolazione svizzera dalla criminalità informatica. Il sistema di trattamento del Servizio SCPT fornisce risultati importanti per il perseguimento della criminalità su Internet. Inoltre, lo sviluppo di questo sistema consentirà di ridurre le barriere amministrative e migliorare l'efficacia del Servizio SCPT (governo elettronico).

Il progetto è pure conciliabile con la strategia nazionale per la protezione della Svizzera contro i rischi informatici (SNPC) e con la Convenzione del Consiglio d'Europa sulla cibercriminalità. Oggigiorno molti servizi sono offerti e utilizzati tramite canali elettronici, esponendo l'economia a rischi informatici. In caso di sospetto fondato, il sistema di trattamento del Servizio SCPT riceve e memorizza i dati derivanti dalla sorveglianza del traffico delle telecomunicazioni per consentire di indagare, anche a livello internazionale, i reati di criminalità informatica.

30 31 32

FF 2012 305 FF 2012 6413 La strategia del Consiglio federale per una società dell'informazione in Svizzera è consultabile sul sito www.infosociety.admin.ch > Strategia del Consiglio federale

5743

5

Aspetti giuridici

5.1

Costituzionalità e legalità

Il progetto si fonda sulla competenza generale della Confederazione di adottare le misure necessarie all'adempimento dei suoi compiti. Si applica inoltre l'articolo 92 capoverso 1 Cost.

La competenza dell'Assemblea federale per il presente decreto di stanziamento deriva dall'articolo 167 Cost.

5.2

Forma dell'atto

Conformemente all'articolo 163 capoverso 2 della Costituzione federale e all'articolo 25 capoverso 2 della legge del 13 dicembre 200233 sul Parlamento, per l'atto da adottare è prevista la forma del decreto federale semplice, ossia non sottoposto a referendum.

5.3

Subordinazione al freno alle spese

Conformemente all'articolo 159 capoverso 3 lettera b della Costituzione federale, il progetto sottostà al freno alle spese, dato che comporta una spesa unica di oltre 20 milioni di franchi. Il credito complessivo di 99 milioni di franchi necessita quindi del consenso della maggioranza dei membri di entrambe le Camere.

5.4

Protezione dei dati

La sorveglianza del traffico delle telecomunicazioni interessa direttamente i dati personali e richiede pertanto grande cura e attenzione per quanto riguarda la protezione degli stessi, in particolare da parte del Servizio SCPT che è garante della sicurezza del sistema di trattamento. Di questa esigenza si tiene conto sia mediante la relativa base legale formale, sia con il fatto che tutte le misure di sorveglianza ordinate devono essere esaminate e autorizzate dal giudice dei provvedimenti coercitivi. Questa verifica ha lo scopo di garantire la tutela giuridica e la proporzionalità dell'ingerenza in un diritto fondamentale tutelato dalla Costituzione.

5.5

Conseguenze per la legislazione svizzera della sentenza dell'8 aprile 2014 della Corte di giustizia dell'Unione europea (CGUE) sulla direttiva europea riguardante la conservazione di dati

Come già menzionato al numero 1.1, l'8 aprile 2014 la CGUE ha emesso una sentenza sulla direttiva UE 2006/24 /CE riguardante la conservazione di dati generati o trattati nell'ambito della fornitura di servizi di comunicazione elettronica.

33

RS 171.10

5744

La Corte ritiene che la direttiva in questione non sia valida, poiché si ingerisce nei diritti fondamentali al rispetto della vita privata e alla protezione dei dati di carattere personale e viola così il principio di proporzionalità. La Corte, tuttavia, non esclude di per sé la conservazione dei dati, ma richiede nella sua sentenza un quadro normativo rigoroso per la conservazione, l'accesso e l'uso di tali dati.

La legislazione svizzera vigente e le revisioni proposte contengono numerose norme procedurali e materiali il cui scopo è garantire la proporzionalità. In Svizzera, l'ingerenza nei diritti fondamentali dovuta alla conservazione dei dati secondari anche in assenza di sospetto è compensata da norme molto severe in materia di accesso ai dati e uso degli stessi, nonché dai rimedi giuridici a disposizione delle parti interessate. La sentenza della CGUE pertanto non pregiudica la conservazione dei dati secondari come previsto dalla legislazione svizzera in vigore e futura.

5745

5746