Attacco hacker contro la società Xplain: il Consiglio federale conferisce un mandato d’inchiesta

Berna, 23.08.2023 - Nella seduta del 23 agosto 2023 il Consiglio federale ha ordinato un’inchiesta amministrativa che chiarisca i fatti correlati alla fuga di dati occorsa alla società Xplain AG e ha conferito il relativo mandato. Il Dipartimento federale delle finanze (DFF) è stato incaricato dal Consiglio federale di stabilire un organo d’inchiesta e ha così deciso di affidare il mandato allo studio legale OBERSON ABELS SA di Ginevra. Quale servizio indipendente, quest’ultimo dovrà chiarire se l’Amministrazione federale abbia soddisfatto adeguatamente i propri obblighi nei processi di selezione, istruzione e sorveglianza di Xplain nonché nella collaborazione con la società. Sarà inoltre chiamato a individuare le misure volte a impedire il verificarsi di un incidente analogo in futuro.

Nel corso di un attacco ransomware, il gruppo hacker «Play» ha sottratto dati alla società Xplain e, il 14 giugno 2023, ha pubblicato sul dark web quello che si suppone sia l’intero pacchetto di dati rubati. Si tratta, tra l’altro, di informazioni classificate e di dati personali degni di particolare protezione provenienti dall’Amministrazione federale. All’inizio di giugno, dopo essere stata informata da Xplain in merito all’attacco, la Confederazione ha intrapreso immediatamente delle misure al fine di ridurre al minimo i rischi per la sicurezza.

Il 28 giugno 2023 il Consiglio federale ha istituito uno Stato maggiore di crisi politico-strategico che si occupi della fuga di dati. Ha inoltre incaricato il DFF di redigere, insieme allo Stato maggiore di crisi, un mandato per ordinare un’inchiesta amministrativa.

Mandato affidato a un servizio esterno

Lo studio legale OBERSON ABELS SA, cui verrà affidato il mandato, dovrà illustrare le circostanze all’interno dell’Amministrazione federale che hanno permesso alla società Xplain di entrare in possesso di dati produttivi appartenenti all’Amministrazione federale. Dovrà inoltre stabilire se quest’ultima ha soddisfatto adeguatamente i propri obblighi nei processi di selezione, istruzione e sorveglianza di Xplain nonché nella collaborazione con la società. Infine, dovrà verificare quali direttive e quali processi interni all’Amministrazione federale debbano essere adeguati allo scopo di ridurre al minimo i rischi per la sicurezza in futuro. L’inchiesta coinvolgerà tutti i dipartimenti e la Cancelleria federale.

Il Consiglio federale ha incaricato il DFF di coadiuvare, in qualità di servizio di coordinamento, l’organo d’inchiesta predisposto nell’esecuzione dell’inchiesta amministrativa. Il DFF sarà sostenuto in questo compito da un gruppo ristretto, composto da rappresentanti del Dipartimento federale della difesa, della protezione della popolazione e dello sport, del Dipartimento federale di giustizia e polizia e della Cancelleria federale. La direzione del gruppo è assegnata al DFF.

L’inchiesta amministrativa terminerà alla fine di marzo 2024. Una volta conclusa, il Consiglio federale sarà informato sui relativi risultati e sulle rispettive raccomandazioni, in modo tale da potersi esprimere sul seguito dell’inchiesta.

Inviare segnalazioni

Gli impiegati federali e terzi hanno la possibilità di inviare segnalazioni utili all’inchiesta amministrativa tramite la piattaforma esterna protetta del Controllo federale delle finanze (www.whistleblowing.admin.ch).

Indirizzo cui rivolgere domande

Comunicazione DFF
Tel. +41 58 462 60 33,
kommunikation@gs-efd.admin.ch