La legge federale sulle attività informative (LAIn) deve essere revisionata. La revisione si svolge in più pacchetti ed è conforme alla strategia in materia di politica di sicurezza del Consiglio federale. La LAIn è entrata in vigore il 1° settembre 2017. La situazione delle minacce si è da allora fortemente deteriorata a livello mondiale, anche per la Svizzera. La revisione della legge fornisce al Servizio delle attività informative della Confederazione (SIC) le basi legali necessarie per combattere efficacemente le numerose minacce nel rispetto dello Stato di diritto. Inoltre, il Consiglio federale attua, attraverso questa revisione, requisiti formulati dal Parlamento e dalle sue commissioni dall'introduzione della LAIn nel 2017.
Panoramica
Pacchetti di revisione & calendario
La revisione della LAIn si svolge in più pacchetti :
La parte I, chiamata pacchetto di base, prevede in particolare modifiche delle disposizioni relative alle misure di acquisizione, alla conservazione dei dati e al controllo. Il Consiglio federale ha adottato il messaggio relativo al pacchetto di base il 28 gennaio. Questo si trova ora in deliberazione parlamentare.
La parte II, chiamata pacchetto complementare, è dedicata principalmente alla gestione delle minacce cibernetiche. I riscontri della consultazione degli uffici sono attualmente in fase di valutazione, la consultazione pubblica è prevista per la metà del 2026.
Un terzo pacchetto di revisione dovrebbe inoltre integrare i requisiti del Tribunale amministrativo federale (TAF) relativi all'esplorazione radio e all'esplorazione dei segnali via cavo, che il Tribunale ha formulato in una sentenza del 19 novembre 2025. Ciò avverrà separatamente, al fine di consentire un'integrazione accurata dei requisiti nella LAIn e di non ritardare i pacchetti in corso. Questi ultimi sono urgenti a causa della situazione delle minacce considerevolmente deteriorata. Se, nel corso del processo di revisione, si presentano possibilità di un'attuazione accelerata dei requisiti del Tribunale, il SIC le coglierà.
Il pacchetto di base
Misure di acquisizione, conservazione dei dati e controllo
Le misure di revisione previste nel pacchetto di base mirano in particolare a migliorare l'individuazione precoce e la difesa contro le minacce rappresentate dal terrorismo, dall'estremismo violento, dallo spionaggio e dagli attacchi informatici. Parallelamente, la revisione rafforza l’Autorità di vigilanza indipendente sulle attività informative (AVI-AIn).
Il presente pacchetto di base prevede tre assi prioritari:
Il SIC ha il compito di individuare e prevenire tempestivamente le minacce alla sicurezza interna o esterna. Affinché possa adempiere questo compito di fronte a una situazione delle minacce considerevolmente deteriorata, il suo compito dovrebbe essere esteso a tutti gli eventi rilevanti per la politica di sicurezza nel cyberspazio.
In caso di minacce gravi provenienti dall'estremismo violento, dovrebbero poter essere impiegate le stesse misure di acquisizione soggette ad autorizzazione utilizzate oggi ad esempio per il terrorismo. Il SIC dovrebbe inoltre poter ottenere dati presso intermediari finanziari (banche e altri prestatori di servizi finanziari) in caso di minacce gravi – ad esempio il finanziamento del terrorismo o lo spionaggio. Inoltre, l'Ufficio federale di polizia fedpol dovrebbe in futuro poter pronunciare restrizioni di uscita dal territorio anche contro persone che partecipano ad atti di violenza nell'ambito di manifestazioni o assembramenti all'estero.
Le misure sono dirette contro minacce gravi per la sicurezza interna o esterna della Svizzera. Tutte le misure di acquisizione soggette ad autorizzazione sono limitate nel tempo e soggette a condizioni rigorose. Il Tribunale amministrativo federale deve esaminare e approvare ogni misura. Se approva la misura, questa necessita inoltre dell'autorizzazione politica del capo del DDPS dopo consultazione dei capi del DFAE e del DFGP.
L'esplorazione dei segnali via cavo serve a sorvegliare il traffico di dati transfrontaliero per individuare eventi importanti per la politica di sicurezza all'estero. Viene qui precisato che dall'esplorazione dei segnali via cavo sono esclusi non solo i cittadini svizzeri, ma tutti i residenti in Svizzera. Ciò corrisponde già alla pratica vigente. Inoltre, il termine di proroga dei mandati di ricerca dovrebbe essere esteso a sei mesi, il che tiene conto del carattere strategico di questa misura di ricerca e alleggerisce il Tribunale amministrativo federale (TAF).
In contropartita, il controllo indipendente viene rafforzato, in particolare per l'esplorazione radio e l'esplorazione dei segnali via cavo. I compiti dell'attuale Autorità di controllo indipendente per l’esplorazione radio e l’esplorazione di segnali via cavo (ACI), che opera a tempo parziale, saranno ripresi dall’Autorità di vigilanza indipendente sulle attività informative (AVI-AIn), che opera a tempo pieno. Ciò consente di riunire la competenza di controllo in un'unica autorità. L'AVI-AIn dovrebbe inoltre ricevere competenze ampliate: potrà in particolare cooperare con autorità di vigilanza estere e informare direttamente le autorità cantonali delle sue raccomandazioni.
Il trattamento dei dati da parte del SIC sarà disciplinato in modo tecnologicamente neutro e completo, e adattato alla legge sulla protezione dei dati entrata in vigore nel 2023. Parallelamente, il diritto d'accesso sarà semplificato e anch'esso adattato alla nuova legge sulla protezione dei dati. Inoltre, sarà introdotto un nuovo rimedio giuridico: chiunque presenti una domanda di accesso presso il SIC potrà far controllare dal TAF un differimento pronunciato dal SIC nonché il trattamento dei dati che lo riguarda.
Estremismo violento
Per quanto riguarda la lotta contro l'estremismo violento, il Consiglio federale intende creare, con la revisione, misure supplementari per l'individuazione precoce e la prevenzione. Concretamente, le misure di acquisizione soggette ad autorizzazione dovrebbero poter essere applicate anche per chiarire le minacce gravi derivanti da attività estremiste violente. Possono essere coinvolte organizzazioni e persone che rifiutano i fondamenti democratici e dello Stato di diritto e che commettono, incoraggiano o sostengono atti di violenza per raggiungere i loro obiettivi.
Con queste possibilità supplementari, il Consiglio federale tiene anche conto di diversi interventi parlamentari.
Transazioni finanziarie
Un'altra novità riguarda le indagini sulle transazioni finanziarie, ad esempio nel finanziamento del terrorismo o delle reti di spionaggio. Il SIC non dispone oggi di alcuna possibilità di ottenere informazioni da intermediari finanziari sul finanziamento di persone o gruppi che presentano un rischio per la sicurezza. La revisione della LAIn prevede una nuova misura di acquisizione soggetta ad autorizzazione per l'ottenimento di dati presso intermediari finanziari: in caso di minacce gravi per la sicurezza della Svizzera, il SIC potrà in futuro anche chiarire i flussi finanziari richiedendo agli intermediari finanziari informazioni su transazioni. Ciò può applicarsi ad esempio a imprese commerciali, organizzazioni senza scopo di lucro o istituzioni religiose, per le quali esistono indizi fondati che partecipano al finanziamento di attività terroristiche, di intelligence o di estremismo violento.
Obbligo di autorizzazione
Come per tutte le misure di acquisizione soggetta ad autorizzazione, si applicano condizioni rigorose alle misure supplementari, vale a dire che occorre sia l'autorizzazione del Tribunale amministrativo federale sia l'autorizzazione del capo del DDPS. Quest'ultimo deve consultare preventivamente il capo del Dipartimento federale di giustizia e polizia (DFGP) e il capo del Dipartimento federale degli affari esteri (DFAE). Per l'autorizzazione di proroga di misure già in corso o in caso di estensione minore di queste, sarà d'ora in poi possibile rinunciare alla consultazione del DFGP e del DFAE. I capi del DFGP e del DFAE saranno tuttavia sistematicamente informati di ogni proroga o estensione minore.
Trattamento dei dati
La nuova concezione del trattamento dei dati dell'intelligence è stata suggerita nel 2019 dalla Delegazione delle commissioni della gestione (DelCdG) delle camere federali. Inoltre, nelle lavorazioni sono state integrate le conclusioni dall’Autorità di vigilanza indipendente sulle attività informative (AVI-AIn) nonché una perizia giuridica dell'Ufficio federale di giustizia (UFG). La nuova regolamentazione si ispira alla legge riveduta sulla protezione dei dati (LPD), entrata in vigore il 1° settembre 2023.
Non vi sono modifiche del limite del trattamento dei dati per la protezione dell'attività politica e dell'esercizio della libertà d'espressione, di riunione o d'associazione. Tuttavia, invece di definire i singoli sistemi d'informazione per i dati dell'intelligence, la LAIn riveduta disciplina ora le categorie di questi dati. La protezione dei dati rimane invariata. Anche il diritto d'accesso si ispira ora alla legge riveduta sulla protezione dei dati ed è semplificato secondo la regolamentazione d'accesso applicabile all'Ufficio federale di polizia.
Autorità di vigilanza
Già durante la deliberazione parlamentare della legge federale sulle attività informative nel 2015, era stato suggerito di esaminare la fusione delle due autorità di vigilanza indipendenti – l'Organo di controllo indipendente (OCI) per l'esplorazione radio e l'esplorazione dei segnali via cavo e l'Autorità di vigilanza indipendente sulle attività informative (AVI-AIn). La revisione lo propone ora. Il trasferimento dei compiti dell'OCI all'AVI-AIn porta a un'integrazione più completa del controllo dell'esplorazione radio e dell'esplorazione dei segnali via cavo nelle attività di vigilanza. Inoltre, le competenze dell'AVI-AIn relative alle autorità cantonali d'esecuzione sono precisate tenendo conto della ripartizione delle competenze tra Confederazione e Cantoni.
FAQ sul pacchetto di base
Misure di acquisizione soggette ad autorizzazione
Estremismo violento
Sì, l'aggressività e il potenziale di violenza sono aumentati.
Intermediari finanziari
Estratto conto, mezzo di pagamento utilizzato, procura.
No, il SIC può vedere solo i movimenti. Il SIC non ottiene accesso a conti e carte di credito.
Sì.
No. Queste organizzazioni devono mettere a disposizione del SIC su richiesta i dati di cui dispongono già e non possono raccogliere nuovi dati. I movimenti sospetti che potrebbero indicare riciclaggio di denaro sono disciplinati da altre leggi e non rientrano nella competenza del SIC.
In nessun caso.
Conservazione dei dati
Viene ora fatta una distinzione tra dati dell'intelligence e dati amministrativi. Per i dati dell'intelligence sono previste diverse sottocategorie, che corrispondono essenzialmente agli attuali sistemi d'informazione e di archiviazione.
No. Anche senza ricorso ai singoli sistemi d'informazione, gli accessi possono essere controllati in modo differenziato come in precedenza. Il controllo può essere persino più differenziato, poiché gli accessi non sono più disciplinati in modo grossolano a livello dei sistemi d'informazione, ma fino al livello del trattamento dei dati e di ogni singola informazione.
Il pacchetto complementare
Il pacchetto complementare disciplina principalmente la gestione delle minacce cibernetiche. I riscontri della consultazione degli uffici sono attualmente in fase di valutazione, l'apertura della consultazione pubblica è prevista per la metà del 2026.
Gli attacchi informatici contro obiettivi svizzeri sono diventati nettamente più numerosi e più gravi negli ultimi anni. Sono interessate istituzioni statali, istituti di ricerca, imprese e infrastrutture critiche. Gli aggressori utilizzano sempre più sistemi informatici in Svizzera come stazioni intermedie per attacchi contro Stati terzi. Il SIC ha il compito, secondo la Ciberstrategia nazionale CSN, di individuare tempestivamente gli attacchi informatici, prevenirli e identificarne gli autori. Queste informazioni sono decisive affinché le autorità politiche e il perseguimento penale possano reagire in modo appropriato. Affinché il SIC possa adempiere questi compiti in una situazione di minaccia modificata, il Consiglio federale intende adattare di conseguenza la LAIn. La revisione contro le minacce cibernetiche fa parte delle misure della strategia in materia di politica di sicurezza della Svizzera. La revisione contribuisce, insieme alle altre misure decise, alla protezione della Svizzera e rafforza la difesa contro le minacce gravi per la sicurezza interna.
Le attuali minacce cibernetiche vanno ben oltre gli attacchi alle reti elettriche o agli ospedali. Hanno sempre più una rilevanza per la politica di sicurezza. La capacità del SIC di individuare e combattere tempestivamente le attività cibernetiche rilevanti per la sicurezza è quindi particolarmente importante. In caso di attacchi informatici, il fattore tempo è decisivo. La procedura di autorizzazione attuale non si è rivelata sufficientemente efficace per le misure in questo settore e complica una difesa tempestiva. Per questo motivo il SIC dovrebbe in futuro poter agire immediatamente in caso di minacce cibernetiche; vale a dire quando esistono indizi concreti che attori esteri abusano di sistemi informatici in Svizzera. Contrariamente a oggi, il SIC ottiene l'autorizzazione necessaria del Tribunale amministrativo federale a posteriori. Ciò garantisce un controllo giudiziario indipendente. Il capo del DDPS può da parte sua porre fine a una misura in qualsiasi momento. Questi adattamenti tengono conto delle raccomandazioni di un'inchiesta amministrativa indipendente sul settore Cyber SIC condotta dall'ex giudice federale Niklaus Oberholzer.
Oltre al bisogno del SIC di una situazione giuridica adattata nel settore cibernetico, il Controllo federale delle finanze (CDF) ha rilevato un'altra lacuna. Nel suo rapporto del 7 luglio 2022 concernente l'attuazione della legge federale sulle prestazioni di sicurezza private fornite all'estero (LPSP; RS 935.41), il CDF constata che le competenze del SIC per sostenere il Dipartimento federale degli affari esteri (DFAE) sono troppo limitate, benché previste nella LPSP. Contrariamente ad altri settori come il controllo delle esportazioni, la LAIn non prevede una base legale esplicita per l'ottenimento di informazioni sui servizi di sicurezza privati. Questa lacuna deve essere colmata con la presente revisione.
Terzo pacchetto
Nella sentenza A-6444/2020, il Tribunale amministrativo federale ha constatato che le basi legali dell'esplorazione radio e dell'esplorazione dei segnali via cavo non sono conformi ai diritti fondamentali in determinati ambiti. Il Tribunale riconosce l'importanza dell'esplorazione radio e dell'esplorazione dei segnali via cavo per garantire la sicurezza della Svizzera. Tuttavia, richiede garanzie rafforzate, in particolare per la protezione delle fonti giornalistiche e di altre comunicazioni particolarmente sensibili, come quelle tra avvocato e cliente. Inoltre, il controllo deve essere rafforzato. Il Tribunale ha con-cesso al legislatore un termine di cinque anni per ripristinare una situazione conforme alla Costituzione. L'esplorazione radio e l'esplorazione dei segnali via cavo possono proseguire durante questo termine.
Evoluzione della giurisprudenza internazionale dal 2017
a legge federale sulle attività informative è entrata in vigore il 1° settembre 2017. Da allora, la giurisprudenza internazionale relativa alla ricerca d'informazioni ha subito un notevole sviluppo. Nella sua sentenza, il Tribunale amministrativo federale si basa sul-le sentenze di principio della Corte europea dei diritti dell'uomo (Corte EDU) «Big Brother Watch contro Regno Unito» (n. 58170/13) e «Centrum för Rättvisa contro Svezia» (n. 35252/08), entrambe del 25 maggio 2021. Tali sentenze sono state emesse a di-stanza di quattro anni dall'entrata in vigore della LAIn e hanno formulato per la prima volta requisiti dettagliati in materia di protezione dagli abusi nella sorveglianza transfrontaliera delle comunicazioni.
Un pacchetto di revisione separato per non ritardare i lavori in corso
La legislazione svizzera deve ora essere adeguata a questi standard sviluppati. Le sentenze citate della Corte EDU hanno portato anche ad adeguamenti legislativi in diversi paesi europei.
A seguito di un’attenta analisi, il SIC ha deciso di non ricorrere contro la sentenza. I requisiti formulati dal Tribunale saranno, in concertazione con il capo del DDPS, il consigliere federale Martin Pfister, probabilmente integrati nell'ambito di un pacchetto di revisione separato. Ciò al fine di consentire un'integrazione accurata di questi requisiti nella legge e di non ritardare i due pacchetti di revisione attualmente in corso. Questo è importante visto l'attuale situazione delle minacce, poiché la situazione si è fortemente deteriorata in tutto il mondo, anche per la Svizzera. A partire dal 2020, le minacce che il SIC tratta prioritariamente si sono moltiplicate. Tra queste si annoverano in particolare il terrorismo, l'estremismo violento, lo spionaggio, gli attacchi informatici, la proliferazione di armi di distruzione di massa, dei loro vettori e di altri materiali di armamento, nonché gli attacchi contro le infrastrutture critiche. La Svizzera è già direttamente colpita dalla condotta di conflitti ibridi. Le misure previste nei pacchetti di base e complementare della revisione della LAIn sono quindi urgenti. Se, nel corso del processo di revisione, si presentano possibilità di un'attuazione accelerata, il SIC le coglierà.
Servizio delle attività informative della Confederazione SIC Linda von Burg, capo della comunicazione Christoph Gnägi, sost capo della comunicazione Papiermühlestrasse 20 CH - 3003 Berna
