Gestione del ciberattacco contro la RUAG: valutazione del parere del Consiglio federale del 28 settembre 2018 Rapporto della Commissione della gestione del Consiglio nazionale del 19 novembre 2019 Parere del Consiglio federale del 19 febbraio 2020
Onorevoli presidente e consiglieri, conformemente all'articolo 158 della legge sul Parlamento, vi presentiamo il nostro parere in merito al rapporto della Commissione della gestione del Consiglio nazionale del 19 novembre 20191 sulla gestione del ciberattacco contro la RUAG.
Gradite, onorevoli presidente e consiglieri, l'espressione della nostra alta considerazione.
19 febbraio 2020
In nome del Consiglio federale svizzero: La presidente della Confederazione, Simonetta Sommaruga Il cancelliere della Confederazione, Walter Thurnherr
1
FF 2020 2280
2296
2020-0217
FF 2020
Parere 1
Situazione iniziale
Il 19 novembre 2019 la Commissione della gestione del Consiglio nazionale (CdGN) ha pubblicato il suo rapporto «Gestione del ciberattacco contro la RUAG: valutazione del parere del Consiglio federale del 28 settembre 2018»2, nel quale ritorna sulle tre raccomandazioni da essa formulate nel primo rapporto «Gestione del ciberattacco contro la RUAG: punto della situazione» dell'8 maggio 20183. Alla luce dei suoi accertamenti, nonché delle verifiche condotte dal Controllo federale delle finanze (CDF), constata che le misure adottate dal Consiglio federale e dal Dipartimento federale della difesa, della protezione della popolazione e dello sport (DDPS) per gestire il ciberattacco erano adeguate e che la loro ulteriore attuazione è ben avviata. Al tempo stesso la CdG-N formula una serie di raccomandazioni per la gestione strategica del gruppo industriale operante nel settore degli armamenti e di proprietà della Confederazione.
Nella sua seduta del 15 marzo 2019 il Consiglio federale ha adottato decisioni di ampia portata sull'organizzazione e la forma giuridica future della RUAG nonché sulla sua impostazione strategica, orientandosi in larga misura alle conclusioni degli organi di vigilanza. In particolare ha deciso come suddividere i vari settori aziendali in due nuove subholding: RUAG MRO Holding SA (di seguito MRO Svizzera) e RUAG International Holding SA (di seguito RUAG International). Da quel momento le decisioni prese vengono attuate con coerenza e a ritmo sostenuto. Il Consiglio federale si è occupato dell'attuazione dello scorporo della RUAG a intervalli regolari, adottando ulteriori decisioni cruciali nel corso dell'avanzamento del progetto. I membri dei consigli d'amministrazione della società di partecipazione e delle due subholding di cui è costituita, ossia MRO Svizzera e RUAG International, sono stati nominati il 23 ottobre 2019. Lo scorporo organizzativo delle due società è stato attuato con effetto al 1o gennaio 2020.
2
Parere del Consiglio federale sull'attuazione delle raccomandazioni del 19 novembre 2019
In merito all'attuazione delle raccomandazioni il Consiglio federale si esprime come segue: Raccomandazione 1
Considerare le principali conclusioni nel quadro della gestione strategica
La CdG-N invita il Consiglio federale a valutare, sulla base delle conclusioni del CDF, se sia necessario operare determinati cambiamenti nel quadro della gestio-
2 3
FF 2020 2280 FF 2018 3895
2297
FF 2020
ne strategica, in particolare nel quadro delle decisioni che saranno prese quanto alla struttura organizzativa e alla forma giuridica della RUAG e quanto a un'eventuale privatizzazione parziale dell'impresa.
Nel suo parere del 28 settembre 20184 il Consiglio federale ha illustrato le conseguenze derivanti dall'attuazione delle principali conclusioni del CDF nell'ambito della gestione strategica. Nel frattempo le unità che lavorano principalmente per l'Esercito svizzero sono state separate organizzativamente dagli altri settori aziendali, che operano sul libero mercato. Lo scorporo sul piano giuridico e finanziario sarà portato a termine nell'estate 2020. A partire da questo momento le due subholding MRO Svizzera e RUAG International opereranno in modo indipendente l'una dall'altra. Il consiglio d'amministrazione della neocostituita holding mantello (BGRB Holding), responsabile della realizzazione degli obiettivi strategici del Consiglio federale, ha iniziato la propria attività.
Nel suo rapporto del 19 novembre 2019 la CdG-N solleva ulteriori interrogativi a proposito della raccomandazione 15: integrazione dell'informatica e dei dati della RUAG nei parametri di sicurezza dell'Esercito: la CdG-N si aspetta che il DDPS, sulla base delle conclusioni tratte dalla verifica dei dati, adotti se necessario ulteriori misure.
Il Consiglio federale conferma che la Base d'aiuto alla condotta (BAC) ha adottato ampie misure precauzionali prima di procedere alla migrazione dei dati di MRO Svizzera nei parametri di sicurezza del settore Difesa, dove ora sono collocati in una zona separata. Dopo essere stati identificati e prima di essere ripresi, i dati vengono messi in quarantena e sottoposti a una verifica basata su tutti i modelli conosciuti di malware. Poiché è stato possibile conoscere la quantità concreta di dati da migrare soltanto dopo aver stabilito in dettaglio la struttura definitiva di MRO Svizzera, le capacità inizialmente predisposte per l'identificazione e lo scansionamento dei dati hanno dovuto essere considerevolmente potenziate, e tale esigenza ha comportato l'attivazione di dispositivi tecnici supplementari di ampia portata. Per questa ragione non è stato possibile completare la verifica e la migrazione di tutti i dati entro fine gennaio 2020. Sino ad oggi questo oneroso processo non ha
portato all'individuazione di altri malware e pertanto nemmeno alla necessità di adottare ulteriori misure.
Mandati di terzi che MRO Svizzera continuerà a svolgere: la CdG-N teme che l'assegnazione di mandati a MRO Svizzera da parte di terzi possa creare problemi dal punto di vista della sicurezza informatica e nuove «interdipendenze».
MRO Svizzera, in quanto anello della catena logistica dell'Esercito, utilizza necessariamente interfacce con partner commerciali. Le «interdipendenze», intese come interfacce definite, sono dunque volute. Dato che in futuro l'informatica di MRO Svizzera si troverà all'interno di una zona separata (controllata mediante firewall e port) del settore Difesa, il DDPS deve già definire sin d'ora le interfacce 4 5
FF 2018 5401 La terza di queste quattro questioni viene approfondita dalla CdG-N soltanto nella raccomandazione 3. Anche nel presente parere viene pertanto trattata nel capitolo concernente quest'ultima raccomandazione.
2298
FF 2020
per la comunicazione al di là dei limiti di zona, ad esempio rispetto alla Base logistica dell'esercito (BLEs) o ad armasuisse. Occorre procedere allo stesso modo anche per qualsiasi tipo di contatti con partner commerciali, e ciò vale per analogia anche per i mandati di terzi. Il tipo di interfaccia scelta nel singolo caso non dipende dal tipo di relazione tra partner commerciali e MRO Svizzera, e quindi è altrettanto irrilevante che si tratti di un cliente terzo o no. Determinante è invece il processo operativo effettivo che lega MRO Svizzera al singolo cliente, fabbricante originale, fornitore o subappaltatore.
Secondo gli standard del settore, per garantire che lo stato delle componenti d'equipaggiamento sia documentato in modo capillare durante tutto il ciclo di vita, i fabbricanti, gli utenti e le ditte incaricate della manutenzione sono tenuti a lavorare sulla base di un'unica documentazione d'accompagnamento. La creazione dei portali Internet necessari a tal fine, o altre possibilità per lo scambio di pacchetti di dati, viene valutata e autorizzata dalla BAC caso per caso. Tutte le interfacce occorrenti per l'attività vengono delimitate mediante firewall e controlli degli accessi. Esse sono accessibili unicamente a singoli utenti autorizzati e le loro attività sono documentate. Non vi saranno più «interdipendenze» non controllate e MRO Svizzera rispetterà gli standard di sicurezza del settore Difesa. Il miglioramento dei processi e il rispetto della cibersicurezza e della sicurezza delle informazioni sono un compito permanente. La Segreteria generale del DDPS (SG-DDPS) effettua audit e controlli presso i partner esterni su incarico del responsabile della sicurezza del DDPS o dietro richiesta dei responsabili della sicurezza dei gruppi o degli uffici.
Rischi connessi alla privatizzazione: la CdG-N avverte che la privatizzazione comporta dei rischi finanziari. Tanto i ricavi attesi dai disinvestimenti quanto l'entità degli investimenti necessari per rendere privatizzabile RUAG International sono difficili da stimare. Gli importi previsti si basano inevitabilmente su stime suscettibili di cambiare rapidamente in funzione delle condizioni quadro o della situazione del mercato.
Il Consiglio federale non contesta il fatto che lo scorporo del gruppo e la privatizzazione di RUAG International
rappresenti un progetto estremamente complesso che implica rischi. Tuttavia, ricorda che le sue decisioni sulla trasformazione in corso della RUAG traevano origine, oltre che da altri obiettivi, in particolare anche dalla volontà di ridurre i rischi della proprietaria, che quest'ultimo non era più disposto ad assumersi a causa della vocazione internazionale della RUAG e delle interdipendenze esistenti con l'informatica della Confederazione. Giuridicamente, l'attuale situazione non sarebbe più stata sostenibile e, secondo il Consiglio federale, avrebbe comportato a lungo termine anche rischi finanziari più elevati per la Confederazione.
Il Governo ha pertanto deliberatamente optato in favore di un adeguamento della strategia, pur conoscendo i rischi che un simile processo comporta. Per tutelare al meglio gli interessi della Confederazione, il Consiglio federale si riserva ancora la scelta tra due opzioni per la totale privatizzazione di RUAG International a medio termine. In primo piano vi è l'opzione consistente nel creare un gruppo aerospaziale e, come posizione di ripiego, la vendita delle varie società che compongono RUAG International. Nell'ambito della privatizzazione della RUAG, il Consiglio federale punta a minimizzare i rischi per la Confederazione e a realizzare il massimo ricavo possibile a profitto della Cassa federale, e quindi in definitiva a profitto dei contri2299
FF 2020
buenti. Nel prendere le sue decisioni, terrà conto anche dell'importanza economica delle società interessate. La RUAG è un importante datore di lavoro, specialmente nelle regioni periferiche, e contribuisce a rendere attrattiva la piazza industriale svizzera. Le ripercussioni dello scorporo sul substrato fiscale della Svizzera assumono dunque varie dimensioni e non possono essere stimate unicamente sulla base degli eventuali ricavi delle vendite e delle privatizzazioni. RUAG International sottoporrà al Consiglio federale un piano di attuazione in cui saranno menzionati indicatori e pietre miliari misurabili della prevista trasformazione della subholding in un gruppo aerospaziale. Il Consiglio federale, più precisamente le unità del Dipartimento federale delle finanze (DFF) e del DDPS che rappresentano la Confederazione in quanto proprietaria, seguirà assiduamente e da vicino l'avanzamento del progetto. Negli obiettivi strategici in vigore il Consiglio federale ha inoltre stabilito che BGRB Holding deve disporre di un sistema di gestione del rischio imprenditoriale conforme alla norma ISO 31000.
Il Consiglio federale ritiene anche di aver fatto le scelte adeguate, e considera pertanto attuata la raccomandazione 1.
Raccomandazione 2
Tenere conto della problematica della separazione delle reti in caso di future esternalizzazioni o nel quadro dei principi del governo d'impresa
La CdG-N invita il Consiglio federale a garantire che in caso di future esternalizzazioni la problematica della separazione delle reti sia tenuta in debito conto.
In particolare dovrà chiarire se la questione della separazione debba essere considerata nel quadro dei criteri d'idoneità per un'esternalizzazione o nelle direttive e nei rapporti rilevanti in materia di governo d'impresa.
Direttive sulla questione della separazione negli obiettivi strategici di tutte le imprese parastatali: nel valutare la risposta del Consiglio federale alla raccomandazione 2, la CdG-N afferma che a suo giudizio rimane irrisolta una questione fondamentale: il Governo federale non avrebbe specificato se intende inserire negli obiettivi strategici delle imprese parastatali direttive generali per la gestione dei problemi di separazione delle reti.
Come esposto nel suo parere del 28 settembre 2018, sia per le unità già esistenti sia per unità di nuova costituzione, il Consiglio federale ha la possibilità di inserire tra gli obiettivi strategici, per quanto necessario, anche direttive specifiche in materia di interdipendenza o separazione delle reti. Tuttavia, ritiene che la RUAG potrebbe rappresentare un caso particolare, poiché l'interdipendenza delle sue reti con reti dell'Amministrazione federale, e più precisamente del DDPS, era particolarmente intensa e vasta e riguardava anche dati sensibili sul piano della politica di sicurezza.
Da quest'analisi si deduce che sarebbe difficile formulare principi di validità generale sui problemi di separazione delle reti, specifici e al tempo stesso rilevanti almeno per la maggioranza delle imprese parastatali. Il Consiglio federale sostiene tuttavia che l'impegnativa gestione del ciberattacco sferrato contro la RUAG e la successiva separazione delle reti abbiano fortemente sensibilizzato in merito alla questione sia gli organi federali incaricati di tutelare gli interessi della Confederazione in quanto
2300
FF 2020
proprietaria sia gli organi di quest'ultima responsabili della sicurezza informatica e della fornitura di servizi informatici.
Il Consiglio federale considera pertanto attuata anche la raccomandazione 2.
Raccomandazione 3
Ricorrere in modo adeguato agli strumenti di gestione per tutelare gli interessi della proprietaria
La CdG-N chiede al Consiglio federale di spiegare in che modo intende garantire un ricorso adeguato agli strumenti di gestione e quindi migliorare la tutela degli interessi della proprietaria.
In particolare, la gestione strategica non deve avvenire durante contatti informali, ma nel quadro dei colloqui con la proprietaria. La CdG-N si aspetta anche che le discussioni e le decisioni importanti siano documentate per scritto. Chiede infine al Consiglio federale, alla luce delle sfide da affrontare, di valutare in modo approfondito la presenza (perlomeno temporanea) di un rappresentante cui poter impartire istruzioni nel consiglio d'amministrazione della RUAG.
Come esposto nel suo parere del 28 settembre 2018, il Consiglio federale dirige le imprese parastatali nel quadro dei principi in materia di governo d'impresa conformemente a quanto espresso nei suoi rapporti in materia 6, nominando il consiglio d'amministrazione, definendo gli obiettivi strategici e presentando rapporti in merito al raggiungimento degli obiettivi. Negli ultimi anni le basi del governo d'impresa sono state ulteriormente sviluppate e sono state adeguate alle mutate sfide economiche e politiche che le imprese sono chiamate ad affrontare.
Gli ultimi sviluppi intervenuti nelle imprese parastatali della Confederazione nonché i dibattiti e gli interventi parlamentari hanno indotto il Consiglio federale a sottoporre la gestione delle imprese parastatali a una verifica esterna, focalizzata in particolare sulle imprese che a titolo principale forniscono prestazioni sul mercato (Posta, RUAG, FFS e Swisscom). Gli esperti incaricati hanno evidenziato nelle loro raccomandazioni alcune possibilità di ottimizzazione puntuali7. Le misure adottate il 26 giugno 2019 dal Consiglio federale alla luce del rapporto presentato da questi esperti si trovano ora in fase di attuazione o sono già state attuate. Il Governo federale informerà in merito ai risultati dell'attuazione nell'ambito del rapporto in risposta al postulato Abate 18.4274 del 13 dicembre 2018 Strategia basata sul rapporto di proprietà del Consiglio federale per le unità rese autonome della Confederazione.
6
7
Rapporto del Consiglio federale del 13 settembre 2006 sul governo d'impresa, FF 2006 7545; rapporto supplementare del Consiglio federale del 25 marzo 2009 sul governo d'impresa Attuazione dei risultati del dibattito in Consiglio nazionale, FF 2009 2225; sintesi dei 37 principi guida per le unità della Confederazione rese autonome (stato: 2019), versione del 2009 www.efv.admin.ch > Temi > Politica finanziaria, basi > Governo d'impresa > Basi.
Lienhard, Andreas; Rieder, Stefan; Sonderegger, Roger W.; Ladner, Andreas; Höchner, Claudia; Ritz, Manuel; Roose, Zilla (2019): Beurteilung der Corporate Governance des Bundes anhand der Analyse von vier Unternehmen. Schlussbericht zuhanden der Eidgenössischen Finanzverwaltung. Berna, Lucerna, San Gallo, Losanna); www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-75607.html (disponibile soltanto in tedesco e francese).
2301
FF 2020
Contatti informali e colloqui personali: i contatti informali tra i vertici delle imprese e la proprietaria sono inevitabili. Si farà però in modo che essi non impediscano, penalizzino o evitino lo scambio di informazioni nell'ambito dei contenitori ordinari esistenti. Le informazioni provenienti da colloqui informali possono invece costituire le basi per mettere all'ordine del giorno una tematica specifica durante un colloquio con la proprietaria.
Se non avvengono a livello di capi del DDPS e del DFF, questi contatti informali non servono alla gestione strategica. Come esposto dal Consiglio federale nel suo parere del 28 settembre 2018, essi servono tutt'al più da complemento. In questo senso possono migliorare la trasparenza dell'impresa nei confronti della proprietaria, in quanto creano una cornice in cui esporre riflessioni che non troverebbero posto in un consesso formale. La gestione strategica avviene mediante attuazione degli obiettivi strategici del Consiglio federale nell'ambito dei colloqui verbalizzati con la proprietaria e nelle relative sedute preparatorie, nonché fino alla conclusione del progetto di separazione anche attraverso l'organizzazione specifica di progetto sotto la guida della SG-DDPS, le cui sedute e decisioni vengono anch'esse verbalizzate. La ripartizione dei compiti e delle responsabilità tra DDPS e DFF nell'ambito della separazione e della privatizzazione di RUAG Holding SA è stata definita in un accordo congiunto.
Presenza di rappresentanti della Confederazione nel consiglio d'amministrazione della RUAG: anche la questione della presenza di rappresentanti cui poter impartire istruzioni nei consigli d'amministrazione delle imprese parastatali della Confederazione è già stata discussa nel summenzionato rapporto del 2006 sul governo d'impresa e nella pertinente documentazione supplementare8.
L'elezione di collaboratori dell'Amministrazione come rappresentanti della Confederazione da parte dell'assemblea generale dell'impresa o la delega diretta da parte del Consiglio federale ai sensi dell'articolo 762 del Codice delle obbligazioni9 possono rivelarsi problematiche, poiché spesso l'Amministrazione esercita anche i ruoli di organo di vigilanza tecnica e di committente delle prestazioni. La presenza di personale dell'Amministrazione nell'unità resa autonoma può
essere minimizzata stabilendo, per il futuro, che i collaboratori dell'Amministrazione possono essere eletti o delegati nel consiglio d'amministrazione soltanto eccezionalmente10. Secondo il principio 9 dei principi guida sul governo d'impresa, la Confederazione deve far parte, per il tramite di rappresentanti cui possono essere impartite istruzioni, dei consigli d'amministrazione o d'istituto delle unità rese autonome soltanto se senza tali rappresentanti i suoi interessi non possono essere tutelati nella misura richiesta o se lo richiede il profilo dei requisiti del consiglio d'amministrazione o d'istituto.
Il Consiglio federale è consapevole che nel caso della RUAG avrebbero probabilmente potuto sussistere i presupposti per una deroga a tale principio. Tuttavia, con la 8
9 10
Oltre al rapporto supplementare del 2009, anche il rapporto dell'Amministrazione federale delle finanze del 13 settembre 2006 sul governo d'impresa; disponibile sul sito www.efv.admin.ch > Temi > Politica finanziaria, basi > Governo d'impresa > Basi (disponibile soltanto in tedesco e francese).
RS 220 Rapporto esplicativo dell'Amministrazione federale delle finanze del 13 settembre 2006, pag. 32 (disponibile soltanto in tedesco e francese).
2302
FF 2020
costituzione di BGRB Holding ha optato per un'altra soluzione. Fintanto che RUAG International apparterrà alla Confederazione, BGRB Holding costituirà la holding mantello delle due subholding giuridicamente separate, MRO Svizzera e RUAG International. Il consiglio d'amministrazione di BGRB Holding è dunque tenuto ad attuare gli obiettivi strategici del Consiglio federale in entrambe le subholding, e in particolare a vigilare sulla loro separazione e successivamente sulla privatizzazione di RUAG International. BGRB Holding continuerà a esistere finché questo processo sarà terminato. Il Consiglio federale è convinto che si tratti di una soluzione adeguata, che consente di tutelare gli interessi della Confederazione nella misura richiesta anche durante questa fase di trasformazione.
Inoltre, nell'elaborazione dei profili per le subholding, si è fatto in modo di garantire che nel consiglio d'amministrazione di MRO Svizzera sia presente un rappresentante con profilo militare. È stata trovata una persona esterna all'Amministrazione federale il cui profilo soddisfa tali requisiti. Alla persona in questione non possono essere impartite istruzioni; in altri termini, non è tenuta giuridicamente a tutelare interessi specifici della Confederazione. Ci si aspetta tuttavia che conosca bene le esigenze e gli interessi della Confederazione, e che possa farli valere adeguatamente.
Risorse per la gestione della RUAG: nell'autunno 2018, durante i lavori di progetto per la separazione della RUAG, la SG-DDPS ha constatato che la futura gestione strategica della RUAG richiederà maggiori risorse di personale rispetto alle risorse sinora consacrate alla gestione delle partecipazioni di RUAG Holding SA (un FTE nel settore Politica di sicurezza). La direzione del DDPS ha pertanto deciso di potenziare le risorse destinate alla gestione della RUAG per mezzo di una riorganizzazione interna in seno alla SG-DDPS, creando in concreto un nuovo settore con tre collaboratori al massimo. Il posto precedente di «responsabile della gestione delle partecipazioni» è stato sostituito da un posto di «capo della politica dell'ente proprietario», dotato di un nuovo elenco degli obblighi e classificato a un rango superiore; il posto è stato riassegnato e subordinato direttamente al capo della Politica di sicurezza del DDPS. La posizione di
sostituto nel settore Politica dell'ente proprietario sarà occupata a partire dal 1o febbraio 2020. La SG-DDPS verificherà se occorre potenziare il settore portandolo a tre collaboratori.
In seguito a una verifica sistematica dei compiti e delle strutture dell'Amministrazione federale delle finanze (AFF), è stato possibile liberare risorse in seno alla stessa procedendo a un riesame interno delle priorità. Il margine di manovra così ottenuto è stato in parte impiegato per intensificare le attività di gestione delle imprese parastatali da parte dell'ente proprietario.
In sintesi, il Consiglio federale considera adempiute tutte le raccomandazioni.
2303