Sicurezza degli acquisti della Confederazione: la SEPOS pubblica gli standard per contratti

Il Consiglio federale ha incaricato la Segreteria di Stato della politica di sicurezza (SEPOS) di elaborare modelli di clausole per i contratti d’acquisto. Ora il Servizio specializzato della Confederazione per la sicurezza delle informazioni competente all’interno della SEPOS presenta queste disposizioni corredate delle relative linee guida e dei relativi commenti. Tali disposizioni sono state elaborate in collaborazione con i servizi d’acquisto e gli uffici dei diversi dipartimenti e in futuro disciplineranno la sicurezza delle informazioni in relazione ai contratti d’acquisto. I fornitori esterni saranno tenuti pertanto a garantire la sicurezza delle informazioni. Si tratta di una delle misure decise dal Consiglio federale dopo l’attacco hacker contro Xplain.

Il fabbisogno determina i requisiti in materia di sicurezza delle informazioni

La sicurezza delle informazioni presso i fornitori non inizia al momento della conclusione del contratto, ma già molto prima, ossia nel momento in cui viene definito il fabbisogno. Ciò è stato illustrato nel rapporto sulla vigilanza nella collaborazione con i fornitori del 1° maggio 2025. Il cosiddetto servizio richiedente, ossia l’organo all’interno dell’Amministrazione che ha bisogno di una prestazione di servizio o di un prodotto, definisce in modo tempestivo quali sono i requisiti di sicurezza. Il servizio d’acquisto, responsabile dell’esecuzione della procedura d’acquisto, fa in modo che tali disposizioni siano riportate correttamente nella documentazione del bando. In tal modo i potenziali fornitori vengono informati in maniera trasparente già al momento della presentazione dell’offerta riguardo a quali sono i requisiti in materia di sicurezza che sono tenuti a soddisfare.

Se il tema della sicurezza delle informazioni non viene disciplinato sin dall’inizio, in un secondo momento è difficile rimediare o lo è solo sostenendo costi aggiuntivi.

«Dialogo per la sicurezza»: la SEPOS dialoga con gli operatori economici

In linea di massima i fornitori non sono vincolati alle direttive della Confederazione in materia di sicurezza delle informazioni. Per la collaborazione con organi federali occorre stabilire espressamente i relativi obblighi all’interno del contratto. Al contempo occorre tenere conto della libertà economica garantita dalla Costituzione che, da un lato, obbliga la Confederazione a tenere un atteggiamento cauto e, dall’altro, tutela i fornitori da limitazioni troppo ampie della concorrenza.

Affinché le direttive in materia di sicurezza possano quindi essere utilizzate e applicate con profitto, è necessario che vengano accettate da tutte le parti coinvolte. Per tale ragione la SEPOS aveva consultato le associazioni economiche riguardo alle bozze delle disposizioni standard, prospettando al contempo la possibilità di portare avanti il «dialogo per la sicurezza» già avviato.

Il Servizio specializzato della Confederazione per la sicurezza delle informazioni è un organo normativo e di vigilanza per la sicurezza della Confederazione come sistema complessivo, comprese le aziende che eseguono mandati della Confederazione, ed è incaricato di gestire in maniera uniforme la sicurezza delle informazioni a livello di Confederazione. Oltre all’attività di consulenza e di supporto a beneficio delle autorità e delle organizzazioni della Confederazione, il servizio specializzato può effettuare anche valutazioni di carattere giuridico o tecnico, proprio come nel caso delle clausole contrattuali che ora sono state pubblicate.

• Disposizioni standard

• Informazione per i media del 1° maggio 2025: La SEPOS identifica misure per la sicurezza degli appalti della Confederazione
• Decreto del Consiglio federale del 1° maggio 2024: Conclusione dell’inchiesta amministrativa concernente l’attacco hacker contro Xplain: il Consiglio federale decide misure