FF 2020 Volume 15 P. 2280

Gestione del ciberattacco contro la RUAG: valutazione del parere del Consiglio federale del 28 settembre 2018 Rapporto della Commissione della gestione del Consiglio nazionale del 19 novembre 2019

2280

2019-4077

FF 2020

Rapporto 1

Introduzione

A primavera 2016 i media hanno informato su un ciberattacco subito dall'impresa parastatale d'armamento RUAG1 che ha recato un grave danno alla sicurezza informatica della ditta. Di conseguenza la Commissione della gestione del Consiglio nazionale (CdG-N) ha deciso di valutare se i problemi che l'attacco aveva messo in luce erano stati affrontati in modo adeguato e con la dovuta celerità dagli organi competenti, soprattutto il Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) e la RUAG stessa, e se le misure adottate erano efficaci. Inoltre, durante questi lavori alla CdG-N si erano poste questioni di importanza fondamentale sulla tutela degli interessi della Confederazione quale proprietaria e sul ruolo del DDPS quale rappresentante della proprietaria. La Commissione aveva dunque approfondito anche queste questioni.

Nel rapporto dell'8 maggio 20182 la CdG-N ha presentato i risultati di questa valutazione e ha constatato che gli organi federali responsabili ed in particolare il DDPS avevano reagito in modo fondamentalmente appropriato. Invece, per quel che riguarda la tutela degli interessi di proprietario, la Commissione aveva riscontrato carenze ed era giunta alla conclusione che gli strumenti necessari per gestire la RUAG e far valere gli interessi di proprietario erano sì disponibili, ma non erano stati utilizzati in modo opportuno. La CdG-N ha invitato il DDPS a prendere una posizione più ferma nei confronti dalla RUAG e ad impegnarsi maggiormente al fine di tutelare gli interessi della Confederazione. Inoltre ha rivolto al Consiglio federale tre raccomandazioni allo scopo di migliorare la gestione strategica delle imprese e delle unità rese autonome.

Il 28 settembre 2018 il Consiglio federale ha espresso il proprio parere sia sul rapporto sia sulle raccomandazioni della CdG-N3. Questa, più precisamente la sua Sottocommissione DFAE/DDPS competente, ha analizzato il parere e svolto ulteriori accertamenti per i quali ha chiesto informazioni supplementari 4 scritte e sentito

1

2 3

4

La RUAG (RUAG Holding SA) è stata fondata per legge nel 1997 (legge federale concernente le imprese d'armamento della Confederazione) quale unità resa autonoma della Confederazione cui appartiene al 100 %. Attualmente esercita da quasi 80 sedi (una metà delle quali in Svizzera, l'altra all'estero) con una cifra d'affari di 1998 milioni di franchi e un utile netto di 74 milioni di franchi nel 2018, 30 dei quali versati alla Confederazione quali dividendi.

Gestione del ciberattacco contro la RUAG: punto della situazione. Rapporto della Commissione della gestione del Consiglio nazionale dell'8 maggio 2019 (FF 2018 3895).

Gestione del ciberattacco contro la RUAG: punto della situazione. Rapporto della Commissione della gestione del Consiglio nazionale dell'8 maggio 2018. Parere del Consiglio federale (FF 2018 5401).

Ne fanno parte in particolare i verbali dei colloqui del proprietario e i workshop sulla strategia. Cfr. in proposito il n. 2.3.

2281

FF 2020

ancora una volta i rappresentanti del DDPS, della RUAG e del Controllo federale delle finanze (CDF)5.

Riunitasi il 19 novembre 2019, in base a questi lavori la CdG-N ha adottato il presente rapporto riassuntivo da presentare al Consiglio federale, decidendo di pubblicarlo6. Il progetto di rapporto è stato sottoposto al DDPS nel quadro di una consultazione amministrativa al fine di rettificare eventuali errori formali e materiali.

Il presente rapporto è incentrato sulla valutazione del parere del Consiglio federale sul primo rapporto della CdG-N e sulle misure che il Consiglio federale ha preso per attuare le raccomandazioni. In questo contesto tiene conto7 anche del rapporto8 degli esperti sul governo d'impresa della Confederazione redatto ad aprile 2019, laddove si presentano punti in comune con il rapporto della CdG-N. Il collegio governativo aveva ordinato il rapporto lo scorso anno e lo ha trattato il 26 giugno 2019 9.

Il presente rapporto non valuta invece le misure concrete che il Consiglio federale ha ordinato dopo il ciberattacco poiché queste sono analizzate dal CDF10. Anche la separazione delle reti della Confederazione da quelle della RUAG e la divisione e la futura struttura della RUAG sono trattate solo nella misura in cui ciò è necessario per la valutazione del parere e delle misure del Consiglio federale.

2

Valutazione del parere del Consiglio federale e delle misure prese

Nel rapporto del 28 settembre 2018 il Consiglio federale ha affermato di condividere in molti punti la valutazione e l'opinione della CdG-N. In particolare ha fatto notare di aver sviluppato ulteriormente il governo d'impresa presso la RUAG. Dal 2017 gli strumenti di gestione in uso fino a quel momento sono completati quando necessario da un workshop sulla strategia svolto insieme alla RUAG (cfr. il n. 2.3).

5

6 7

8

9 10

Audizione del 28 febbraio 2019 (il rappresentante della RUAG, il rappresentante del CDF), del 16 aprile 2019 (il capo del DDPS e il segretario generale del DDPS, il rappresentante della RUAG) e del 1° luglio 2019 (il capo del DDPS e il segretario generale del DDPS).

Il progetto di rapporto contiene le informazioni ricevute dalla CdG-N fino metà agosto 2019.

Attualmente le CdG delle Camere federali si occupano anche nell'ambito di altre ispezioni e controlli di questioni riguardanti il governo d'impresa (tra l'altro l'ispezione concernente Autopostale, Ribar). Intendono trattare l'argomento in modo approfondito nell'autunno 2019 quando decideranno in che modo continuare a tenerne d'occhio gli sviluppi.

Lienhard, Andreas / Rieder, Stefan / Sonderegger, Roger W. / Ladner, Andreas / Höchner, Claudia / Ritz, Manuel / Roose, Zilla (2019): Beurteilung der Corporate Governance des Bundes anhand der Analyse von vier Unternehmen. Berna, Lucerna, San Gallo, Losanna (disponibile soltanto in tedesco e francese) pag. 57; di seguito: Rapporto di esperti sul governo d'impresa della Confederazione 2019.

Il Consiglio federale adotta misure a seguito del rapporto di esperti sul governo d'impresa. Comunicato stampa del Consiglio federale del 26 giugno 2019.

La valutazione dell'attuazione delle misure di gestione del ciberattacco è effettuata da altri organi federali, in particolare dal CDF.

2282

FF 2020

Poiché il 1° gennaio 2019 i vertici del DDPS sono cambiati, la CdG-N si è dovuta porre la questione se questo cambiamento avesse ripercussioni sulla gestione strategica della RUAG e sul modo in cui ha avuto luogo il passaggio delle consegne. La Commissione ha potuto constatare che il nuovo capo del DDPS intende in linea di massima seguire la stessa gestione strategica del predecessore, ma ritiene necessarie a tale scopo più risorse (cfr. in merito i n. 2.1 e 2.3.5). La Commissione ha anche preso atto del fatto che l'attuale capo del DDPS si è mostrata soddisfatta della consegna del dossier sulla RUAG che giudica dettagliato e completo: una volta assunta la carica, ha subito partecipato a tutte le sedute con la RUAG e ai workshop sulla separazione delle reti e sulla nuova strutturazione.

Nei capitoli seguenti vengono spiegati e valutati con maggiore precisione i pareri e le misure per ciascuna raccomandazione.

2.1

Attuazione della raccomandazione 1

Nel rapporto di maggio 2018 la CdG-N ha fatto riferimento alle constatazioni del CDF che, esaminando l'attuazione delle misure di gestione del ciberattacco, aveva riscontrato problemi nell'auspicata separazione dei sistemi informatici della Confederazione e della RUAG. Le decisioni di separare le reti e di dotare la RUAG di una nuova struttura non erano ancora state prese. La CdG-N aveva perciò raccomandato al Consiglio federale di tener conto delle conclusioni del CDF nel prendere le future decisioni e aveva formulato la raccomandazione seguente: Raccomandazione 1

Considerare le principali conclusioni nel quadro della gestione strategica

La CdG-N invita il Consiglio federale a valutare, sulla base delle conclusioni del CDF11, se sia necessario operare determinati cambiamenti nel quadro della gestio-ne strategica, in particolare nel quadro delle decisioni che saranno prese quanto alla struttura organizzativa e alla forma giuridica della RUAG e quanto a un'eventuale privatizzazione parziale dell'impresa.

2.1.1

Suddivisione e nuova struttura della RUAG

Il Consiglio federale era d'accordo con questa raccomandazione. Nel parere del 28 settembre 2018 ha ricordato che l'attuazione della separazione delle reti influisce tanto sull'organizzazione quanto sulla forma giuridica della RUAG Holding SA, per cui aveva deciso a giugno 2018 di suddividere in due unità strategiche giuridicamente e finanziariamente autonome i settori di attività rilevanti per il DDPS e per 11

Dopo il ciberattacco alla RUAG il Consiglio federale ha ordinato diverse misure incaricando il CDF di controllarne l'attuazione. Accertati i fatti, il CDF è giunto alla conclusione che l'esame delle misure prese per separare le reti della Confederazione da quelle della RUAG è più complesso e lungo di quanto previsto e che è necessario tenerne conto nel dibattito sulla privatizzazione parziale della RUAG.

2283

FF 2020

l'Esercito svizzero da una parte e quelli posizionati sul mercato libero dall'altra.

Sotto l'egida di una nuova società di partecipazione, i settori del gruppo attivi per l'Esercito quale centro di competenza per il materiale (MRO 12 Svizzera) saranno separati dagli altri settori orientati agli affari internazionali (RUAG International).

Il Consiglio federale continuerà a gestire la società di partecipazione fissando obiettivi strategici. Ritiene che la nuova struttura gli permetterà di indirizzare e misurare in modo più preciso le aspettative poste alle due unità MRO Svizzera e RUAG International. Il consiglio di amministrazione della società di partecipazione superiore continuerà ad essere nominato dal Consiglio federale; una parte dei membri del consiglio di amministrazione farà parte anche del consiglio di amministrazione della RUAG International e l'altra parte anche di quello della MRO Svizzera. Nel parere il Consiglio federale ha menzionato anche la possibilità che venga nominato nel consiglio d'amministrazione della Holding mantello un membro dei quadri del DDPS che parteciperebbe anche a quello della MRO Svizzera (cfr. in merito il n. 2.3).

Scorporando e riorganizzando la RUAG il Consiglio federale intende soprattutto aumentare la sicurezza informatica. I sistemi informatici della MRO Svizzera devono essere integrati nei parametri di sicurezza del DDPS rispettivamente dell'Esercito. Invece la RUAG International non deve più avere l'accesso diretto ai sistemi informatici dell'Esercito né tantomeno a quelli della MRO Svizzera. In misura limitata la MRO Svizzera deve però poter svolgere mandati per terzi anche in futuro.

Il capo del DDPS ha fatto notare alla Sottocommissione DFAE/DDPS competente che l'integrazione dell'informatica e dei dati della RUAG nel settore di sicurezza dell'Esercito è più difficile di quanto programmato: ci sono più dati del previsto ed è necessario essere assolutamente certi che questi siano «puliti», una certezza che finora non c'è. Per averla il DDPS ha deciso di demandare una perizia al Politecnico di Zurigo13. Il fatto che la sicurezza informatica presso la RUAG non sia ancora soddisfacente è risultato anche nel quadro di due verifiche del CDF nel 2018 e nel 201914. Nel 2018 il CDF ha esaminato se sono realizzati i requisiti di sicurezza del DDPS per i sistemi
informatici dei settori della RUAG che eseguono mandati per l'Esercito svizzero. Il CDF è giunto alla conclusione che la RUAG ha avviato diverse misure che hanno migliorato o miglioreranno la sicurezza informatica, ma che elementi importanti non sono ancora realizzati. Il rapporto del CDF del 2019 verte sullo scorporo e la migrazione dei dati dalla RUAG nei sistemi dell'Esercito. Il CDF giudica opportune e adeguate le misure previste allo scopo, ma constata anche che la migrazione viene ostacolata e resa molto complessa dall'assenza di una classificazione dei dati, da un inventario lacunoso o mancante e da dati e sistemi affetti da malware.

12 13 14

MRO = Maintenance, Repair and Overhaul (manutenzione, riparazione e revisione).

Cfr. il verbale dell'audizione del capo e del segretario generale del DDPS del 1° luglio 2019 (non pubblicato).

Verifica della sicurezza informatica: RUAG Holding SA. Rapporti del CDF dell'8 ottobre 2018 e del 22 ottobre 2019 (non pubblicato).

2284

FF 2020

2.1.2

Privatizzazione di RUAG International

Il 18 marzo 2019 il Consiglio federale ha annunciato15 di aver autorizzato le misure di scorporo e ristrutturazione della RUAG e di aver deciso di sviluppare a medio termine RUAG International per introdurla in un gruppo operativo nel settore aerospaziale privatizzandola completamente. Settori quali la produzione di munizioni o la sicurezza cibernetica che non sono conformi al nuovo orientamento dell'impresa verranno gestiti inizialmente da RUAG International, ma in seguito venduti.

Il Consiglio federale ritiene che queste misure tengano conto sia degli interessi dell'Esercito sia di quelli della RUAG e permettano altresì di mantenere in Svizzera procedimenti tecnici altamente specializzati con i relativi posti di lavoro. Al contempo la Confederazione può ridurre i rischi finanziari grazie ai previsti disinvestimenti e alle privatizzazioni.

Sentiti nell'aprile 2019, il capo del DDPS e il rappresentante della RUAG hanno affermato che la privatizzazione ha lo scopo di generare valore aggiunto per la cassa federale. Tuttavia hanno anche sottolineato che questa privatizzazione è connessa con rischi sostanziali: stando alla dichiarazione del presidente del consiglio d'amministrazione della RUAG, la RUAG International finora è stata un'impresa troppo «piccola» per affermarsi contro la concorrenza internazionale, pertanto, prima di passare ad una privatizzazione, deve crescere, in particolare per mezzo di acquisizioni16. I mezzi finanziari necessari allo scopo provengono tra l'altro dai ricavi della vendita dei settori che non hanno più posto nelle nuove strutture.

2.1.3

Valutazione della CdG-N

È necessario premettere che in questo contesto la CdG-N non esamina né valuta in modo dettagliato le decisioni del Consiglio federale, anche perché non conosce tutte le ragioni alla base del processo decisionale.

In linea di massima la CdG-N approva che il Consiglio federale, dopo l'attacco cibernetico, si sia occupato in maniera approfondita della questione della connessione delle reti e della struttura e dell'evoluzione della RUAG e abbia preso una decisione strategica, un compito che spetta al proprietario. In base alle informazioni in suo possesso, la CdG-N ritiene comprensibile e sostanzialmente opportuna la decisione di scorporare la RUAG, in particolare per ragioni di sicurezza (informatica).

Tuttavia ritiene che ci siano ancora diversi elementi ed aspetti che sollevano interrogativi e che andrebbero approfonditi:

15 16

la prima questione riguarda l'integrazione dell'informatica e dei dati della RUAG nei parametri di sicurezza dell'Esercito, più precisamente l'«innocuità» di questi dati. Al fine di accertare che nei dati da integrare non vi siaDecisione del Consiglio federale sul futuro del gruppo tecnologico RUAG.

Comunicato stampa del Consiglio federale del 18 marzo 2019.

Cfr. il verbale dell'audizione del rappresentante della RUAG del 16 aprile 2019 (non pubblicato); e analogamente: «Es wird klingeln in der Bundeskasse», intervista/articolo nella Neue Zürcher Zeitung del 29 marzo 2019.

2285

FF 2020

no più software nocivi e dunque l'integrazione possa essere conclusa con successo, il DDPS ha avviato un esame supplementare. La CdG-N approva questa misura e si aspetta che il DDPS ne prenda altre, se necessario, in base ai risultati del controllo.

Un secondo aspetto riguarda i mandati di terzi che la MRO Svizzera continuerà a svolgere. Secondo il Consiglio federale questi mandati sono necessari per mantenere il livello di conoscenze e restare concorrenziali. Per ragioni di sicurezza informatica tuttavia questi mandati potrebbero rivelarsi problematici e causare nuove interdipendenze. Dunque la CdG-N ritiene che il Consiglio federale debba prestare particolare attenzione a questa problematica.

La terza questione che la CdG-N ritiene non ancora sufficientemente chiarita riguarda la rappresentanza della Confederazione nel consiglio d'amministrazione della RUAG, in particolare delle nuove unità. Questo argomento viene approfondito nella valutazione del parere del Consiglio federale sulla raccomandazione 3 (cfr. il n. 2.3.4).

Altre questioni ancora aperte sono connesse alla privatizzazione della RUAG, in particolare ai rischi che questa può rappresentare per la Confederazione. A tale riguardo il Consiglio federale prenderà prossimamente decisioni. La CdG-N si aspetta che il collegio governativo, più precisamente il DDPS e il CDF, analizzino approfonditamente e in modo critico i costi e i ricavi pronosticati della privatizzazione. Infatti tanto i ricavi che si spera di ottenere dalla vendita dei settori divenuti obsoleti e dalla successiva privatizzazione della RUAG quanto gli investimenti che la devono precedere si basano giocoforza su stime che però possono subire rapidamente modifiche se cambiano le condizioni quadro o la situazione del mercato. Pertanto il Consiglio federale deve assicurarsi che in questo sviluppo vengano tutelati nel migliore dei modi gli interessi di proprietario e dunque anche dei contribuenti. A questo scopo è necessario analizzare e, se del caso, rivedere le basi decisionali.

La CdG-N è della ferma opinione che le prossime decisioni e la trasformazione pongano la Confederazione nella sua veste di proprietaria della RUAG di fronte ad esigenze particolarmente elevate, pertanto si aspetta che il DDPS e il CDF seguano da vicino questi sviluppi. In tale contesto la Commissione approva che il capo del DDPS abbia già deciso di aumentare notevolmente le risorse di personale a disposizione della segreteria generale del DDPS (SG-DDPS) per la gestione della RUAG e la separazione delle reti. Questa misura corrisponde tra l'altro ad una raccomandazione riportata nel rapporto di esperti sul governo d'impresa della Confederazione 17 approvato dal Consiglio federale nelle linee generali18.

17 18

Rapporto di esperti sul governo d'impresa 2019: raccomandazione 11, pag. 87 (cfr. nota a piè di pagina 8).

Valutazione del rapporto di esperti «Beurteilung der Corporate Governance des Bundes anhand der Analyse von vier Unternehmen». Rapporto del Consiglio federale in risposta alla lettera delle Commissioni della gestione del Consiglio nazionale e del Consiglio degli Stati del 4 luglio 2019, pag. 12 e 14.

2286

FF 2020

2.2

Attuazione della raccomandazione 2

Nel rapporto di maggio 2018 la CdG-N ha invitato il Consiglio federale a prestare in futuro maggiore attenzione alla questione delle interdipendenze e ha formulato in proposito la raccomandazione seguente: Raccomandazione 2

Tenere conto della problematica della separazione delle reti in caso di future esternalizzazioni o nel quadro dei principi del governo d'impresa

La CdG-N invita il Consiglio federale a garantire che in caso di future esternalizzazioni la problematica della separazione delle reti sia tenuta in debito conto.

In particolare dovrà chiarire se la questione della separazione debba essere considerata nel quadro dei criteri d'idoneità per un'esternalizzazione o nelle direttive e nei rapporti rilevanti in materia di governo d'impresa.

Nel parere del 28 settembre 2018 il Consiglio federale afferma di condividere l'opinione della CdG-N e di voler prestare particolare attenzione alla questione delle interdipendenze nelle future esternalizzazioni. Tuttavia non ritiene necessario completare i principi del governo d'impresa dato che è già possibile fornire indicazioni per la separazione rispettivamente le interdipendenze delle reti negli obiettivi strategici. Inoltre il Consiglio federale fa notare che nel quadro delle misure prese per gestire il ciberattacco vengono esaminate le interdipendenze dei sistemi informatici della Confederazione con quelli di altre unità decentralizzate, anche se la stretta interdipendenza delle reti della Confederazione e quelle della RUAG dovrebbe rappresentare un caso speciale. Inoltre con la nuova legge sulla sicurezza delle informazioni (LSIn)19 si intende migliorare le regole di protezione delle informazioni, più precisamente la loro sicurezza. Il Consiglio federale considera soddisfatta la raccomandazione.

Questa risposta non convince del tutto la CdG-N. La Commissione deplora che nel quadro dell'esame del governo d'impresa affidato dal Consiglio federale ad esperti la questione dell'interdipendenza delle reti non abbia avuto alcun peso. Inoltre constata che le Camere federali, più precisamente il Consiglio nazionale hanno assunto finora un atteggiamento critico nei confronti del progetto di legge sulla sicurezza delle informazioni: ne consegue che non è chiaro se e quando la legge potrà essere adottata dal Parlamento ed entrare in vigore20.

La CdG-N constata inoltre che la risposta del Consiglio federale lascia aperta una questione fondamentale: il collegio governativo stabilisce che già oggi è possibile introdurre indicazioni sulla separazione informatica negli obiettivi strategici, ma non chiarisce se intende prendere misure al riguardo. La Commissione invita dunque il 19 20

Messaggio concernente la legge sulla sicurezza delle informazioni (FF 2017 2563).

Dopo che a marzo 2018 il Consiglio nazionale non è entrato in materia sulla legge e il Consiglio degli Stati ha confermato l'entrata in materia a settembre 2018, la CPS-N ha deciso di entrare in materia sul progetto a ottobre 2018. Al contempo ha però sospeso le deliberazioni e incaricato il DDPS di rielaborare il progetto entro la metà del 2019.

Il testo rivisto è stato esaminato dalla Commissione in autunno 2019; il Consiglio nazionale intende trattarlo presumibilmente nella sessione invernale 2019.

2287

FF 2020

Consiglio federale a spiegare se e quando ha introdotto o intende introdurre la questione della separazione delle reti negli obiettivi concreti per le unità rese autonome.

2.3

Attuazione della raccomandazione 3

Nel rapporto dell'8 maggio 2018 la CdG-N è arrivata alla conclusione che gli strumenti necessari ad imporre alla RUAG gli interessi della Confederazione quale proprietaria sono disponibili, ma non vengono impiegati in maniera appropriata.

Dunque ha formulato la raccomandazione seguente: Raccomandazione 3

Ricorrere in modo adeguato agli strumenti di gestione per tutelare gli interessi della proprietaria

La CdG-N chiede al Consiglio federale di spiegare in che modo intende garantire un ricorso adeguato agli strumenti di gestione e quindi migliorare la tutela degli interessi della proprietaria.

In particolare, la gestione strategica non deve avvenire durante contatti informali, ma nel quadro dei colloqui con la proprietaria. La CdG-N si aspetta anche che le discussioni e le decisioni importanti siano documentate per scritto. Chiede infine al Consiglio federale, alla luce delle sfide da affrontare, di valutare in modo approfondito la presenza (perlomeno temporanea) di un rappresentante cui poter impartire istruzioni nel consiglio d'amministrazione della RUAG.

Nel parere del 28 settembre 2018 il Consiglio federale rinvia ai principi del governo d'impresa che negli ultimi anni sono stati rielaborati ad intervalli regolari e adeguati all'evoluzione delle sfide economiche e politiche che le imprese devono affrontare.

Tuttavia, dati gli sviluppi e i problemi più recenti, il collegio governativo ha ordinato una revisione sostanziale di questi principi.

Il rapporto degli esperti incaricati di svolgere la verifica è disponibile dalla primavera 201921. Su questa base il Consiglio federale giunge alla conclusione che il suo modello di gestione ha dato buoni risultati e che gli strumenti per adempiere il ruolo di proprietario sono sufficienti. Secondo il collegio governativo, gli esperti hanno individuato solo in alcuni punti un potenziale di ottimizzazione. In base alle relative raccomandazioni il Consiglio federale ha deciso diverse misure, mentre ritiene soddisfatte altre raccomandazioni22.

Le Commissioni della gestione delle Camere federali intendono approfondire il rapporto e le misure avviate dal Consiglio federale. Perciò il presente rapporto si concentra come segue sull'impiego concreto degli strumenti di gestione e sulla tutela degli interessi del proprietario nella direzione della RUAG. La CdG-N, rispettivamente la Sottocommissione competente, ha previamente raccolto informazioni sia 21 22

Rapporto di esperti sul governo d'impresa della Confederazione 2019, cfr. nota a piè di pagina 8.

Il Consiglio federale adotta misure a seguito del rapporto di esperti sul governo d'impresa. Comunicato stampa del 26 giugno 2019.

2288

FF 2020

sul nuovo strumento adottato del workshop sulla strategia sia sulle modifiche nella gestione strategica della RUAG in generale. In tale contesto ha esaminato tra l'altro i verbali dei workshop sulla strategia e dei colloqui con il proprietario 23. In base ai dati raccolti, anche nelle le audizioni, ha constatato quanto segue.

2.3.1

Workshop sulla strategia

Nel parere del 28 settembre 2018 il Consiglio federale ha constatato che sin dal 2017 il DDPS svolge insieme alla RUAG un workshop annuo al fine di tutelare maggiormente gli interessi del proprietario e approfondisce le questioni strategiche. Nel 2018 ad esempio vi sono state discusse le ripercussioni del ciberattacco e i futuri sviluppi della RUAG, nel 2019 lo scorporo e il nuovo orientamento strategico della RUAG.

La CdG-N ritiene che i verbali dei tre workshop svolti finora mostrano che questi ultimi servono effettivamente a trattare questioni concernenti la strategia (mentre i colloqui con il proprietario sono incentrati soprattutto sulle informazioni riguardanti gli affari in corso). Dai verbali si evince anche che la RUAG ha denunciato a più riprese le condizioni quadro e le indicazioni politiche che ritiene limitanti. I rappresentanti del DDPS hanno chiarito che le condizioni quadro non potevano essere messe in discussione. La documentazione ricevuta non fornisce tuttavia indicazioni su come i risultati dei workshop siano stati messi a frutto, in particolare come base per decisioni strategiche.

A proposito dei workshop sulla strategia, il rapporto degli esperti sul governo d'impresa della Confederazione riporta24 che le persone intervistate ritengono che siano stati introdotti al fine di creare le premesse per dibattiti su futuri sviluppi.

Questa opportunità viene infatti a mancare dato che i colloqui con il proprietario sono incentrati soprattutto sull'analisi del lavoro svolto. Le persone coinvolte nel processo ritengono che i workshop siano un «buon strumento di lavoro», ma che non siano stati creati quali strumenti di gestione a lungo termine, bensì nell'ottica di separazione delle strutture della RUAG. Al termine di questo processo è dunque probabile che non verranno più svolti. Secondo gli esperti è necessario osservare che i workshop sulla strategia non sono disciplinati in una legge speciale né negli statuti e sono estranei al sistema della ripartizione delle competenze prevista nel diritto della società anonima25.

La CdG-N ritiene che i workshop possano essere opportuni nella situazione attuale e nel contesto delle sfide in corso e che possano completare in maniera adeguata i

23

24 25

La Sottocommissione competente ha analizzato i verbali ed i relativi elenchi delle pendenze dei colloqui con il proprietario del 2016, 2017, 2018 e della prima metà del 2019 (14 colloqui risp. verbali) nonché i verbali di tre workshop sulla strategia del 2017, 2018 e 2019.

Rapporto di esperti sul governo d'impresa della Confederazione 2019: pag. 57 (cfr. nota a piè di pagina 8).

Rapporto di esperti sul governo d'impresa della Confederazione 2019: pag. 49 (cfr. nota a piè di pagina 8).

2289

FF 2020

«normali» colloqui con il proprietario. Tuttavia ritiene anche che questi ultimi dovrebbero essere sfruttati meglio al fine di discutere questioni su una futura strategia.

2.3.2

Colloqui con il proprietario e relativi elenchi delle pendenze

Secondo la CdG-N, i verbali mostrano chiaramente l'evoluzione dei colloqui con il proprietario svolti presso la RUAG, tanto che oggi vengono utilizzati in modo diverso di quanto avveniva in passato. Oltre alle informazioni sugli affari in corso vi vengono affrontati questioni o problematiche attuali come i cambiamenti nella direzione dell'impresa o eventuali partecipazioni delicate della RUAG all'estero. Inoltre sulla base di questi colloqui il DDPS ha chiesto in varie occasioni informazioni più precise alla RUAG su determinati argomenti.

Queste richieste figurano anche negli elenchi delle pendenze documentate nei colloqui. Costituiscono una base dei colloqui con il proprietario e sono gestite e sfruttate meglio dal 2017 (aggiornamenti periodici, discussione dell'elenco all'inizio del colloquio).

La CdG-N approva questa evoluzione.

2.3.3

Colloqui personali tra il capo del DDPS e il presidente del consiglio d'amministrazione della RUAG

Per quel che riguarda i colloqui personali tra l'ex capo del DDPS e il presidente del consiglio d'amministrazione della RUAG, bisogna precisare quanto segue: nel 2017 dopo ogni colloquio con il proprietario ha avuto luogo anche un colloquio personale e bilaterale, mentre nel 2016 e nel 2018 a volte si è rinunciato al secondo.

Benché la CdG-N critichi l'assenza di verbali di questi colloqui, una prassi giudicata problematica anche nel rapporto degli esperti sul governo d'impresa26, il nuovo capo del DDPS la mantiene. Nonostante abbia affermato che nel suo dipartimento non si svolgono colloqui informali e che ogni colloquio viene verbalizzato per evitare che le informazioni vengano dimenticate o che vengano interpretate27 in modo diverso in un secondo tempo, il verbale del colloquio con il proprietario di marzo 2019 riporta di un seguente colloquio bilaterale tra il capo del DDPS e il presidente del consiglio d'amministrazione della RUAG che non è stato verbalizzato. Nel verbale dell'ultimo colloquio del proprietario a maggio 2019, a disposizione della CdG-N, nell'ordine del giorno non figura nessun colloquio personale. Il capo del DDPS ha tuttavia

26 27

Rapporto di esperti sul governo d'impresa della Confederazione 2019: pag. 62 (cfr. nota a piè di pagina 8).

Cfr. il verbale dell'audizione del capo del DDPS e del segretario generale del DDPS del 16 aprile 2019 (non pubblicato).

2290

FF 2020

affermato di aver svolto due colloqui bilaterali a partire dagli inizi del 2019 al fine di conoscere meglio l'interlocutore28.

Nel parere il Consiglio federale ha affermato che i colloqui personali e i contatti informali hanno lo scopo di completare gli strumenti di gestione formali al fine di aumentare la trasparenza e adeguare maggiormente il resoconto trimestrale alle esigenze della Confederazione quale unica azionista.

La CdG-N ritiene insufficiente la risposta del Consiglio federale. In particolare non le è chiaro in che misura i colloqui informali possano migliorare la trasparenza.

Inoltre ritiene che il collegio governativo non risponda adeguatamente alla critica in merito ai verbali mancanti ed alla tracciabilità.

Nel quadro dell'inchiesta sulle irregolarità contabili presso AutoPostale Svizzera SA anche la Commissione di gestione del Consiglio degli Stati (CdG-S) ha rilevato problemi connessi ai colloqui informali non messi a verbale. Nel rapporto del 12 novembre 201929 invita pertanto il Consiglio federale a vigilare affinché tutti i colloqui tra i rappresentanti della Confederazione e le unità rese autonome, dunque anche quelli informali, vengano riportati adeguatamente di modo che il loro contenuto possa essere consultato (anche in un secondo tempo). La CdG-N sostiene la richiesta e invita il Consiglio federale a prendere le misure del caso.

2.3.4

Un rappresentante della Confederazione nel consiglio d'amministrazione della RUAG

Nella raccomandazione la CdG-N ha chiesto se, viste le difficoltà incontrate nella gestione della RUAG e le sfide che dovranno essere affrontate, non sarebbe opportuno che un rappresentante della Confederazione partecipasse al consiglio d'amministrazione (almeno per un certo periodo). In questo modo la Confederazione potrebbe far valere i propri interessi direttamente e ricevere informazioni di prima mano. A tale proposito il Consiglio federale nel parere del 28 settembre 2018 conferma la possibilità che un membro dei quadri del DDPS sia nominato nel consiglio d'amministrazione della nuova RUAG Holding e che potrebbe entrare a far parte anche del consiglio d'amministrazione della MRO Svizzera, senza tuttavia fornire maggiori precisazioni.

La CdG-N si rammarica che il Consiglio federale non abbia approfondito questo elemento del proprio parere né abbia indicato i vantaggi e gli svantaggi di una tale soluzione. Ciò solleva interrogativi anche perché nel comunicato stampa del 27 giugno 2018 sullo scorporo della RUAG, dunque tre mesi prima, il collegio governativo aveva affermato di approvare la proposta della RUAG per cui «nel consiglio d'amministrazione della MRO Svizzera e della MRO Holding debba sedere anche un rappresentante del DDPS». Apparentemente per quel che riguarda la

28 29

Lettera del capo del DDPS del 9 ottobre 2019 nel quadro della consultazione amministrativa.

Rapporto della CdG-S del 12 novembre 2019 sulle irregolarità contabili presso l'AutoPostale SA, considerazioni dal punto di vista dell'alta vigilanza parlamentare.

2291

FF 2020

rappresentanza della Confederazione il collegio governativo ha cambiato opinione poco dopo senza darne alcuna motivazione nel parere.

Ad aprile 2019 il capo del DDPS ha confermato alla CdG-N che il suo Dipartimento non ritiene necessaria questa soluzione, neanche per la futura struttura. Ha spiegato che i due nuovi settori d'attività della RUAG sono riuniti sotto l'egida di una nuova società di partecipazione che appartiene al 100 per cento alla Confederazione. I cinque consiglieri amministrativi di questa società di partecipazione sono nominati dal Consiglio federale e scelgono a loro volta i sette membri del consiglio di amministrazione di ambedue i settori. In questo modo il collegio governativo ha il controllo totale. Se i membri del consiglio di amministrazione non si comportano come auspicato dal Consiglio federale, non vengono nominati per l'anno successivo 30.

La CdG-N prende atto di tale argomentazione, ma constata che la RUAG apparteneva già alla Confederazione al 100 per cento e il Consiglio federale ha finora nominato i membri del consiglio d'amministrazione. Ciononostante, secondo la Commissione, si sono riscontrati diversi problemi nella tutela degli interessi del proprietario senza che vi siano state conseguenze per i membri del consiglio d'amministrazione, almeno per quanto ne è informata.

La CdG-N invita dunque il Consiglio federale a spiegarle perché, contrariamente a quanto affermato nel comunicato stampa del 27 giugno 2018, ha deciso di rinunciare ad una rappresentanza diretta della Confederazione sia nel consiglio d'amministrazione della futura RUAG Holding sia in quello della MRO Svizzera. Inoltre lo invita a rispondere alla domanda su quando ritiene soddisfatte le condizioni per nominare un rappresentante federale nel consiglio d'amministrazione della RUAG (o di un'altra unità autonoma).

2.3.5

Risorse nella SG-DDPS per la gestione della RUAG

Come indicato nell'introduzione, dopo essere entrata in carica il nuovo capo del DDPS ha constatato che nella SG-DDPS le risorse a disposizione non erano sufficienti per gestire la RUAG. In passato questo compito veniva svolto da una persona e il tasso di occupazione dedicato al dossier era inferiore al 100 per cento: troppo poco, tenuto conto anche dello scorporo e dell'ulteriore sviluppo della RUAG. Per questo motivo sin dal 2018, sotto la direzione dell'ex capodipartimento, è stata adottata ad una soluzione provvisoria assumendo un capoprogetto per lo scorporo.

Una volta assunta la carica, il nuovo capo del DDPS ha deciso di aumentare le risorse per la gestione della RUAG e di altre questioni riguardanti il ruolo di proprietario approfittando di ristrutturazioni interne alla SG-DDPS. A questo scopo ha costituito un piccolo gruppo con due posti di lavoro aggregato al settore Politica di sicurezza.

La CdG-N approva questa decisione e si aspetta che il DDPS sia in grado, con le nuove risorse, di assistere da vicino e con senso critico la prossima trasformazione e le sfide connessevi (cfr. in merito il n. 2.1.3).

30

Cfr. verbale dell'audizione del capo del DDPS e del segretario generale del DDPS del 16 aprile 2019 (non pubblicato).

2292

FF 2020

2.3.6

Riassunto

Nel complesso le spiegazioni qui riportate illustrano nell'ottica della CdG-N che la gestione strategica della RUAG è stata migliorata. Dopo il ciberattacco e nel quadro dei lavori legati allo scorporo, il DDPS si è reso conto che le risorse per la gestione strategica della RUAG non erano sufficienti. La Commissione ne approva dunque l'aumento e trova positiva l'introduzione dei workshop sulla strategia quale nuovo strumento in cui sono realmente affrontate questioni strategiche. Tuttavia non è chiaro in che misura i risultati dei workshop siano serviti anche in un secondo momento quale base decisionale o se ne sia tenuto conto durante i colloqui con il proprietario. A parte ciò, constata con soddisfazione che ora apparentemente è migliorata non solo la preparazione dei colloqui con il proprietario, ma anche l'attuazione dei risultati di modo che il workshop non è più un mero strumento di informazione del proprietario sull'andamento degli affari, ma anche un'occasione per il DDPS per tutelare in modo più attivo gli interessi della Confederazione in quanto proprietaria.

Come già indicato al n. 2.1, la CdG-N ritiene che la trasformazione in corso della RUAG rappresenti una sfida notevole per il DDPS e per il CDF. Si attende dunque che questi mettano a disposizione il personale necessario al fine di assistere l'evoluzione e controllare rigorosamente che gli interessi del proprietario siano tutelati.

Secondo la Commissione, ciò comporta che il DDPS informi il Consiglio federale nel caso in cui le condizioni quadro cambino affinché quest'ultimo possa esaminare e adeguare se necessario le decisioni prese e lo (stretto) scadenziario per lo scorporo e la ristrutturazione. Sempre secondo la Commissione questo passo si rivelerebbe ad esempio necessario se l'esame supplementare dei dati da parte del Politecnico di Zurigo (cfr. n. 2.1.1) mostrasse che i dati della RUAG, trasposti nei parametri di sicurezza dell'Esercito, contengono ancora elementi nocivi, oppure se le previsioni sugli utili ottenuti con la vendita o la privatizzazione di parti della RUAG erano troppo ottimistiche. In tale contesto il DDPS assume, insieme al CDF, una notevole responsabilità e la CdG-N si aspetta che vi ottemperi.

2293

FF 2020

3

Conclusioni e seguito

Date le questioni ancora aperte, la CdG-N, riunitasi il 19 novembre 2019, ha deciso di continuare a seguire questo ambito. Invita dunque il Consiglio federale ad esporre il proprio parere sul presente rapporto entro il 20 febbraio 2020 e ad informarla al contempo sugli sviluppi e le decisioni più recenti riguardanti il caso RUAG.

19 novembre 2019

In nome della Commissione della gestione del Consiglio nazionale: La presidente della CdG-N: Doris Fiala, consigliera nazionale La presidente della Sottocommissione DFAE/ DDPS: Ida Glanzmann-Hunkeler, consigliera nazionale La segretaria della CdG-N: Beatrice Meli Andres La segretaria della Sottocommissione DFAE/ DDPS: Céline Andereggen

2294

FF 2020

Abbreviazioni AFF

Amministrazione federale delle finanze

CDF

Controllo federale delle finanze

CdG

Commissioni della gestione

CdG-N

Commissione della gestione del Consiglio nazionale

CdG-S

Commissione della gestione del Consiglio degli Stati

DDPS

Dipartimento federale della difesa, della protezione della popolazione e dello sport

DFAE

Dipartimento federale degli affari esteri

FF

Foglio federale

PF

Politecnico federale

2295