Sicurezza dell’informazione e protezione dei dati

La base legale per la gestione della piattaforma justitia.swiss è la «legge federale sulle piattaforme di comunicazione elettronica in ambito giudiziario» (LCEG).  In materia di protezione e sicurezza dei dati, la LCEG regolamenta quanto segue: 

• la protezione dei dati (art. 27)

  • I dati devono essere archiviati in Svizzera;

  • i dati personali particolarmente sensibili presenti sulla piattaforma possono essere elaborati solo nella misura necessaria alle funzioni della piattaforma;

  • i documenti devono essere controllati per verificare l’assenza di malware, al fine di tutelare la piattaforma e i destinatari;

  • la supervisione della piattaforma ai sensi della legge sulla protezione dei dati spetta all’Incaricato federale della protezione dei dati e della trasparenza.

• la sicurezza dei dati (art. 28)

  • L’ente che gestisce la piattaforma è tenuto a redigere un regolamento sull’elaborazione dei dati che stabilisca quali misure organizzative e tecniche sono adottate contro il trattamento non autorizzato dei dati.

  • Deve essere designato un supervisore incaricato di verificare regolarmente la sicurezza dei dati della piattaforma.

  • Il Consiglio federale disciplina i requisiti in materia di sicurezza dei dati. Deve garantire in ogni momento un elevato livello di sicurezza dei dati e il rispetto degli obiettivi generali di protezione (riservatezza, integrità, autenticità e tracciabilità).

La proposta di LCEG si trova attualmente in trattazione nell’ambito della rispettiva procedura parlamentare. Se le specifiche della piattaforma «justitia.swiss» dovessero essere modificate rispetto al progetto di legge, la piattaforma sarà adattata di conseguenza dopo l’approvazione della legge. Il progetto Justitia 4.0 presume che la LCEG non entrerà in vigore prima della metà del 2025. Nel progetto della LCEG è prevista una fase di transizione di due anni.

Altri importanti principi giuridici di cui il progetto tiene conto:

• legge sulla protezione dei dati (LPD) revisionata: la legge e le relative ordinanze garantiscono una migliore protezione dei dati personali. In particolare, la protezione dei dati viene adeguata agli sviluppi tecnologici, l’autodeterminazione sui dati personali si rafforza e accresce la trasparenza nell’acquisizione dei dati personali. La legge revisionata è entrata in vigore il 1° settembre 2023.
• legge sulla sicurezza delle informazioni (LSIn): questa legge concretizza un quadro giuridico formale e uniforme per la sicurezza delle informazioni per tutte le autorità federali e regola le principali misure per la protezione delle informazioni e delle risorse informatiche. La legge è entrata in vigore il 1° gennaio, dopo la stesura o la parziale revisione di diverse ordinanze.

1. La piattaforma è stata sviluppata da zero. I requisiti di protezione dei dati sono assicurati già nella fase di progettazione e di sviluppo della piattaforma («privacy by design»).  Le impostazioni predefinite per la protezione dei dati che garantiscono la  protezione della sfera privata degli utenti sono disponibili sin dall’inizio («privacy by default»).
2. L’intero codice sorgente è sottoposto a controlli automatizzati, integrati nel processo di sviluppo della piattaforma. Le modifiche alla funzionalità della piattaforma vengono effettuate solamente se sono soddisfatti i requisiti di qualità ai fini della sicurezza.
3. Anche la versione base della piattaforma attualmente sviluppata (Minimum Viable Product, MVP) soddisfa tutti i requisiti di sicurezza stabiliti. A questo proposito si tiene conto delle ultime scoperte e del più recente stato dell’arte in termini tecnologici.
4. Mantenere la sicurezza della piattaforma è un impegno costante. Al fine di individuare e gestire i rischi emergenti, si procede a una continua verifica delle vulnerabilità. Viene coinvolto un team di esperti di sicurezza di comprovata esperienza per esaminare i rischi più recenti e adottare le rispettive contromisure.
5. I dati sono archiviati esclusivamente in Svizzera: le aziende svizzere gestiscono l’infrastruttura della piattaforma «justitia.swiss» in centri dati svizzeri.

6. Società esterne specializzate effettuano periodicamente verifiche indipendenti della sicurezza della piattaforma con cosiddetti «test di penetrazione». Queste società vengono cambiate periodicamente. Anche i processi del gestore della piattaforma sono testati per garantire che riconosca gli attacchi e reagisca correttamente ad essi. Anche l'organizzazione operativa e i dipendenti sono testati. Le vulnerabilità possono essere identificate immediatamente, implementando senza indugio le misure appropriate.

7. Nella scelta delle organizzazioni partner per lo sviluppo e la gestione tecnica della piattaforma, le relative competenze in materia di protezione e sicurezza dei dati hanno rappresentato e rappresentano un requisito fondamentale.

processo-di-trasmissione-di-una-comunicazione.pdf

• Il trasporto fra l’infrastruttura IT del mittente e la piattaforma viene cifrato.
• Il mittente deve autenticarsi sulla piattaforma con l’identità elettronica riconosciuta (IDP) (ad esempio SwissID, SwissTrust o provider cantonali). 
• La piattaforma controlla i documenti/file caricati per verificare l’eventuale presenza di malware come richiesto dal LCEG (E-LCEG), evitando così che attraverso di essa possano essere diffusi documenti “infetti”.
• I documenti/file controllati sono cifrati come dossier/file e salvati nel dossier-archivio (sistema di archiviazione). Nemmeno gli amministratori possono decifrarli (riservatezza). Se un aggressore riesce a entrare in possesso di una chiave valida, ottiene l'accesso solo al dossier collegato, ma non a tutti gli altri dossier.
• La piattaforma garantisce, mediante misure di protezione a livello tecnico, che il file non venga modificato da persone non autorizzate e che sia possibile un confronto con il documento originale in qualsiasi momento (integrità).
• La ricevuta d'entrata conferma l’ora e il contenuto dei dati inseriti (sigillatura, incluso il cosiddetto valore hash). Con il valore hash si può infatti dimostrare che i documenti/file non sono stati modificati. 
• Quando si accede al documento, questo viene decifrato. Il documento viene decifrato e può essere scaricato nel proprio sistema informatico. 
• I documenti e le ricevute rimangono sulla piattaforma per almeno 90 giorni e al massimo fino al termine della procedura. Dopodiché vengono cancellati. Le autorità giudiziarie sono responsabili dell’archiviazione.

Concetto di crittografia in inglese

Il progetto Justitia 4.0 collabora con due aziende svizzere collaudate. Zühlke è responsabile dello sviluppo mentre ELCA della gestione tecnica della piattaforma. 

Zühlke: i due esperti di sicurezza, il Dr. Raphael Reischuk e il Dr. Benjamin Rothenberger, insieme al team di progetto, accertano che i requisiti relativi alla sicurezza delle informazioni e alla protezione dei dati siano introdotti nelle aree di applicazione della piattaforma. Questi includono, in particolare, la cifratura dei dati, l’integrazione di provider esterni di servizi di identità e, in generale, il codice di programmazione della piattaforma.

ELCA: i due esperti di sicurezza Sig. Jonas Schwarz e Sig. Thomas Magnier accertano che i requisiti relativi alla sicurezza delle informazioni e alla protezione dei dati siano integrati nelle aree infrastrutturali della piattaforma. Questi includono, in particolare, la sicurezza di tutte le comunicazioni in entrata e in uscita e, in generale, la gestione sicura dei componenti dell’infrastruttura. ELCA gestisce inoltre il Centro operativo di sicurezza per il rilevamento e la protezione dagli attacchi informatici.

Il Sig. André Mäder è Chief Information Security Officer (CISO) nel team di progetto Justitia 4.0 dal 2021. Dispone di una vasta esperienza nei settori dell’audit informatico, della protezione dei dati, della sicurezza delle informazioni e della cibersicurezza, maturata nel settore assicurativo e farmaceutico. Jérôme Barraud è entrato a far parte del team di progetto Justitia 4.0 nel settembre 2020 in qualità di Project Manager nell’ambito del diritto. Avvocato con esame di abilitazione all'esercizio della professione, vanta un'ampia esperienza nell'Amministrazione federale nonché presso il Tribunale amministrativo federale, anche nel settore della protezione dei dati.

Del comitato del progetto Justitia 4.0 fanno parte Hannes Lubich e Daniel Brunner, consulenti informatici esterni con una significativa esperienza nel campo della sicurezza informatica e della protezione dei dati.

Approfondimento

• Zühlke Innovation mit Zühlke: Empowering Ideas (zuehlke.com)
• ELCA Cloud Services: https://www.elcacloudservices.ch e ELCA Security https://www.elcasecurity.ch/de
• Centro nazionale per la cibersicurezza Pagina iniziale NCSC (admin.ch)
• Digitalswitzerland Transforming Switzerland into a leading digital nation | digitalswitzerland
• Istituto nazionale di test per la cibersicurezza NTC | Istituto nazionale di test per la cibersicurezza

Allo sviluppo dei concetti tecnici di base hanno contribuito con le loro conoscenze in particolare gli esperti informatici del gruppo specialistico «Architettura e sicurezza informatica» (FG01) delle autorità giudiziarie (ministeri pubblici e tribunali). Per la realizzazione dell’operazione pilota è assicurato il contatto con gli esperti informatici di riferimento (dei Cantoni pilota). 

La dottoressa in legge Barbara Widmer, collaboratrice giuridica dei responsabili della protezione dei dati del Cantone di Basilea Città e rappresentante di privatim, la Conferenza dei responsabili svizzeri della protezione dei dati, è membro del team di coordinamento dei gruppi specialistici e persona di riferimento del team di progetto per gli aspetti relativi alla protezione dei dati. 

Il personale del progetto Justitia 4.0 partecipa inoltre ai gruppi di lavoro dell’organizzazione cantonale Amministrazione Digitale Svizzera (ADS).

A livello nazionale le informazioni vengono scambiate  con il Centro nazionale per la cibersicurezza (NCSC). L’NCSC è il centro di competenza federale per la cibersicurezza e come tale il primo interlocutore per il settore economico, amministrativo, educativo e per il pubblico in generale in caso di domande sulla cibersicurezza. È responsabile dell’attuazione coordinata della Strategia nazionale per la protezione della Svizzera contro i ciber-rischi (SNPC) 2018-2022, alla quale ha contribuito il progetto Justitia 4.0. Nel quadro del progetto Justitia 4.0 vengono scambiate informazioni anche con il Centro servizi informatici del Dipartimento federale di giustizia e polizia (CSI-DFGP), per esempio in merito all’integrazione delle identità digitali esistenti e dei contenuti gestiti dal CSI-DFGP.

Esistono vari modelli di cooperazione con le aziende del settore privato, che vanno dallo scambio di conoscenze e dalle partecipazioni a seminari ai contratti per la sperimentazione di progetti e implementazioni.

Approfondimento

• Incaricato federale della protezione dei dati e della trasparenza Pagina iniziale (admin.ch)

Insieme ai suoi partner, il progetto Justitia 4.0 è responsabile della sicurezza della piattaforma justitia.swiss. Come avviene già oggi per i documenti cartacei, le autorità giudiziarie e gli addetti ai lavori tra cui in particolare gli avvocati hanno la responsabilità di conservare al sicuro i loro documenti digitali. Devono proteggere i loro sistemi informatici e i dati da eventuali attacchi adottando le misure di sicurezza appropriate. In particolare, il personale va formato alla gestione sicura delle infrastrutture e dei documenti digitali.