Cibersicurezza: molti comuni svizzeri sono a forte rischio

621 Comuni – ossia quasi il 30% di tutti i Comuni svizzeri – hanno partecipato al Sondaggio rivolto ai Comuni 2025 condotto dall'associazione «Il Mio Comune» e dall'Associazione dei Comuni Svizzeri (ACS). Ciò corrisponde a un apprezzabile aumento di 3,3 punti percentuali rispetto al 2024. Il sondaggio di quest'anno si è focalizzato sull'attuale situazione della sicurezza e sulla necessità di un supporto esterno nel settore della sicurezza dei dati e della cibersicurezza. L’elevata partecipazione fornisce un quadro significativo della situazione reale. E questo quadro è allarmante in molti settori.

Molte autorità locali sono sprovviste di una visione d'insieme dei propri sistemi informatici – il cosiddetto inventario. Tuttavia, in assenza di un inventario, non vi è chiarezza su quali siano i sistemi presenti, sulla loro collocazione, sulle modalità di utilizzo e su come dovrebbero essere protetti (cfr. Fig. 1).

Anche per quel che concerne i requisiti di sicurezza il quadro non è soddisfacente: circa il 40% dei Comuni non dispone di specifiche in materia di sicurezza informatica o quelle che ha non sono chiare. E laddove le stesse sono presenti, non è chiaro in che misura siano anche strategicamente allineate con le reali esigenze del Comune o se si limitano alla copertura degli standard minimi generali (cfr. Fig. 2). Nel complesso, è improbabile che le specifiche in materia di sicurezza informatica forniscano una base sufficiente.

La situazione è ancor più critica quando si tratta di piani di emergenza. Poco più della metà dei Comuni dispone di soluzioni standardizzate o ottimizzate (cfr. Fig. 3). Tuttavia, soprattutto le infrastrutture rilevanti per il sistema – come la fornitura di acqua, elettricità o servizi amministrativi – richiedono piani solidi e testati in grado di funzionare anche in caso di crisi. Molti Comuni sarebbero presumibilmente in grado di reagire adeguatamente a problemi tecnici rilevanti e ad attacchi informatici solo in misura limitata.

La situazione è simile quando si tratta di gestione dei rischi: solo poco meno della metà dei Comuni lavora con procedure standardizzate o ottimizzate (cfr. Fig. 4). Tuttavia, chi non analizza sistematicamente i rischi non può neppure adottare misure preventive. Questa capacità potrebbe non essere sempre presente nelle soluzioni esistenti.

Un ulteriore punto debole: i programmi di formazione. Nella Svizzera tedesca e romanda, circa il 50% dei Comuni dispone di un’offerta di formazione adeguata; in Ticino la percentuale è solo del 21% – seppur a fronte di un numero ridotto di casi. Ciò significa che molti dipendenti non dispongono delle conoscenze e della comprensione necessarie per agire in modo consapevole in materia di sicurezza (vedi Fig. 5). Oltre alla questione dell'inventario, in particolare anche la situazione relativa alla formazione è da ritenere insufficiente. 

Il fabbisogno non soddisfatto di supporto esterno è altrettanto elevato: il 46% dei Comuni interpellati vorrebbe un supporto "piuttosto ampio" o "ampio" da parte di specialisti esterni. Il fabbisogno maggiore è ravvisato nelle aree tematiche della gestione dei rischi (59,5%), delle specifiche in materia di sicurezza informatica (59,0%), della formazione (58,8%) e dei piani di emergenza (58,1%). L'attenzione si focalizza quindi sui medesimi argomenti oggetto della valutazione della situazione attuale.

È da valutare positivamente il fatto che venga riconosciuta la necessità di un supporto da parte di esperti esterni in materia di sicurezza. Tuttavia, poiché i Comuni non sempre dispongono di propri specialisti nel settore della sicurezza informatica e dei dati, si pone la domanda volta a sapere in che misura gli accordi di collaborazione esistenti siano concepiti in modo adeguato alla sicurezza.

Nel migliore degli scenari, i Comuni si sono rivelati in un certo qual modo ben protetti: i sistemi sono stati in gran parte risparmiati ed evidentemente non ci sono stati grandi attacchi. In quello peggiore, finora c'è stata semplicemente un po' di fortuna e ci si ritrova seduti su una polveriera digitale. Tuttavia, forse i responsabili non sempre ne sono consapevoli, poiché non dispongono delle informazioni necessarie o di competenze sufficienti. Diversamente, sarebbe difficile spiegare perché molti Comuni non hanno (completamente) sotto controllo gli aspetti importanti della sicurezza informatica o non sono ancora riusciti a chiudere le falle di sicurezza.

In considerazione della rilevanza sociale dell'argomento e delle condizioni quadro specifiche del sistema di milizia, ci si chiede in che misura gli standard tecnici e giuridici prescritti possano contribuire a garantire una maggiore sicurezza in modo capillare.