Attività di vigilanza

Nell’ambito «Strategia e pianificazione» l’AVI-AIn svolge verifiche su temi che riguardano la pianificazione strategica a breve, medio o lungo termine delle autorità di intelligence della Svizzera nonché la definizione dei loro obiettivi. Nel 2025 l’AVI-AIn si è occupata della seguente verifica.

[24-1] Intelligenza artificiale (IA) presso il SIC

L’AVI-AIn verifica, dal punto di vista della legalità, dell’efficacia e dell’adeguatezza, se il SIC acquisisce, utilizza e controlla correttamente questa tecnologia.

[25-1] Difesa dall’estremismo violento di sinistra presso il SIC

L’AVI-AIn ha deciso di sottoporre a verifica le attività del SIC nel settore della lotta contro l’estremismo violento di sinistra dopo essersi occupata del settore della lotta contro l’estremismo violento di destra da parte del SIC nel 2021.

Ha sentito i quadri e il personale del SIC che sono attivi in questo settore nonché i rappresentanti di due servizi informazioni cantonali e un quadro dell’Ufficio federale di polizia (fedpol). Inoltre ha svolto un controllo a campione tra i mandati di acquisizione di informazioni che il SIC conferisce ai suoi sensori o ai suoi partner. È stato tenuto conto anche di un chiarimento delle esigenze operative. L’obiettivo consisteva nel creare una panoramica delle attività del SIC volte a contrastare l’estremismo violento di sinistra.

Particolare attenzione è stata dedicata al quadro giuridico nel quale si inseriscono queste attività, verificando che i diritti fondamentali delle persone target siano stati rispettati come previsto dalla legge federale sulle attività informative. In effetti, la raccolta di informazioni nell’ambito dell’estremismo violento è legata a regole rigorose che, ad esempio, consentono al SIC di trattare informazioni solo se sussiste un nesso con l’uso della violenza. Ciò avviene allo scopo di salvaguardare l’esercizio dei diritti fondamentali della popolazione svizzera. È anche per questo motivo che il SIC non è autorizzato a impiegare misure di acquisizione soggette ad autorizzazione in tale contesto.

Il SIC osserva l’evoluzione degli ambienti violenti della sinistra estrema e ha la facoltà di rilevare determinati gruppi anche nel quadro della lotta al terrorismo. A condizione che siano soddisfatti determinati criteri, questa possibilità esiste ed è compatibile con il quadro giuridico attuale. L’AVI-AIn ha constatato che il SIC ha stabilito una prassi adeguata in questo ambito che gli consente anche di presentare una domanda di autorizzazione alle autorità politiche e giudiziarie.

« A causa delle risorse limitate rispetto all’attuale situazione di minaccia, il SIC non è in grado di adempiere in modo ottimale al proprio mandato nel settore dell’estremismo violento di sinistra. »

Inoltre, l’AVI-AIn ha valutato se il SIC adempie il mandato che gli è affidato nell’ambito della lotta contro l’estremismo violento di sinistra. Tale mandato comprende in particolare la raccolta di informazioni con lo scopo di impedire che minacce legate all’estremismo violento di sinistra si materializzino, nonché il monitoraggio della situazione. È stato affrontato anche l’argomento del ruolo del SIC nei confronti dei suoi partner a livello nazionale ed è stato riscontrato un peggioramento della collaborazione. Il SIC ha assunto personale supplementare nel corso del periodo oggetto della verifica. Considerando le risorse limitate e la valutazione della minaccia derivante dagli ambienti dell’estremismo violento di sinistra in Svizzera, l’AVI-AIn è giunta alla conclusione che attualmente il SIC non è in grado di adempiere il proprio mandato in maniera ottimale. Infatti, il SIC non sfrutta appieno i mezzi previsti dalla legge federale sulle attività informative, il che rappresenta un problema di adeguatezza e di efficacia. Pertanto è stata formulata una raccomandazione.

[25-2] Portafoglio di progetti informatici nel SIC

Un portafoglio di progetti informatici consente di registrare tutte le informazioni relative ai progetti di un’unità amministrativa, siano essi in corso o pianificati, nel settore della tecnologia dell’informazione. Questo strumento permette quindi di semplificare la gestione dei progetti.

Nel caso del SIC, un progetto può riguardare in particolare nuovi requisiti informatici relativi all’acquisizione, al trattamento, all’analisi o alla trasmissione di informazioni provenienti da attività di intelligence. In questo contesto, il SIC è esposto a diversi rischi: lacune nella completezza della panoramica, un’insufficiente trasmissione delle informazioni ai livelli superiori o una mancanza di coordinamento possono portare a un’attuazione inadeguata e inefficiente di questi progetti.

L’AVI-AIn ha pertanto verificato se il SIC dispone di un portafoglio di progetti informatici ed esaminato come questo venga gestito. A questo scopo ha valutato se il servizio dispone di una panoramica di tutti i suoi progetti informatici e in che modo i livelli decisionali superiori ricevono le informazioni più importanti. L’AVI-AIn ha inoltre appurato se il coordinamento dei progetti consente di identificare in modo efficiente sinergie e ridondanze.

Il SIC ha recentemente sviluppato un innovativo piano per la gestione del portafoglio di progetti. Oltre ai progetti informatici, il piano comprende anche altri progetti di importanza strategica per il servizio. Il SIC ha inoltre istituito un apposito organo che ha il compito di valutare e stabilire un ordine di priorità per l’attuazione delle esigenze strategiche individuate. L’introduzione di questi processi permette alla direzione del SIC di disporre delle informazioni più importanti relative ai grandi progetti informatici e di assumersi in questo modo le proprie responsabilità in questo ambito. I progetti informatici privi di una componente strategica non vengono inseriti nel portafoglio e, pertanto, non sono sempre portati all’attenzione della direzione del SIC. Di conseguenza, il SIC non dispone attualmente di una panoramica completa del proprio portafoglio di progetti informatici che comprenda sia progetti strategici che operativi. L’AVI-AIn ha così riscontrato carenze nell’efficienza dell’identificazione di sinergie e ridondanze. Ha constatato che il SIC ha già individuato possibilità di miglioramento per la gestione del proprio portafoglio di progetti informatici e sta lavorando concretamente alla loro attuazione. L’AVI-AIn considera questi lavori rilevanti e non ha formulato alcuna raccomandazione.

Nell’ambito «Organizzazione e mandati», l’AVI-AIn verifica l’idoneità della struttura e dei processi dei servizi informazioni, chiedendosi se possano consentire un adempimento conforme alla legge, adeguato ed efficace del mandato legale di queste autorità. Nel 2025 l’AVI-AIn ha svolto le seguenti verifiche in questo ambito:

[24-2] Attività informative svolte attraverso il SPPEs

L’AVI-AIn esamina le interfacce nella collaborazione tra il SIC e il SPPEs al fine di identificare le attività di intelligence. Su tale base, verificherà la legalità, l’adeguatezza e l’efficacia di questa collaborazione.

[24-11] Aspetti relativi alla sicurezza secondo LAIn

Il SIC è tenuto a provvedere alla sicurezza del suo personale, dei dati trattati e delle sue strutture. L’AVI-AIn ha verificato se il SIC rispetta questi obblighi e se ha adottato misure di sicurezza adeguate in un campione di postazioni di lavoro. Queste postazioni di lavoro sono state create sulla base di un progetto che ne dimostra la necessità e contempla un’analisi dei punti di forza, dei punti deboli, delle opportunità e dei rischi di un tale progetto. Il progetto persegue tre obiettivi: il rafforzamento della collaborazione, l’agilità/attrattiva del SIC e la gestione della continuità aziendale (Business Continuity Management, BCM). L’attuazione è avvenuta gradualmente ed è stata conclusa nel gennaio 2025.

L’AVI-AIn ha partecipato alla formazione interna e ha visitato le postazioni di lavoro in loco. Sulla base delle interviste e della documentazione a disposizione, ha constatato che la sicurezza del personale del SIC e dei dati trattati è stata prioritaria durante l’implementazione. Gli obiettivi prefissati (BCM) sono stati raggiunti o sono raggiungibili. I mezzi impiegati sono adeguati. Il SIC continuerà a monitorare l’uso delle postazioni di lavoro e, se necessario, a migliorare le misure di sicurezza. In alcuni settori il SIC valuterà l’efficacia a tempo debito. L’AVI-AIn non ha obiezioni da formulare.

Questa verifica non era prevista nel piano di verifica 2024 dell’AVI-AIn. L’urgenza di eseguirla è risultata dall’attivazione delle postazioni di lavoro.

[25-3] Controspionaggio nel SIC

A causa dell’inasprimento della situazione geopolitica, il pericolo di spionaggio in Svizzera è aumentato. Allo stesso tempo è cresciuta anche la frustrazione delle collaboratrici e dei collaboratori del SIC durante la ristrutturazione del servizio. L’AVI-AIn ritiene che questi due fattori rappresentino un rischio considerevole per le attività di intelligence. La frustrazione del personale può infatti essere sfruttata, tra l’altro, dai servizi di intelligence esteri per sottrarre informazioni classificate o per influenzare le istituzioni politiche e di politica della sicurezza della Svizzera. In passato, l’AVI-AIn ha formulato diverse raccomandazioni per rafforzare le misure di autoprotezione del SIC, di cui la presente verifica ha tenuto conto.

L’AVI-AIn intendeva chiarire il quadro giuridico della prevenzione dello spionaggio all’interno del SIC e valutare se le disposizioni esistenti in materia fossero adeguate. Al momento della verifica, il DDPS stava lavorando all’ulteriore sviluppo delle sue direttive di sicurezza, in particolare nel settore della protezione delle informazioni. Ciò significa che il SIC, in qualità di servizio del dipartimento, dovrà presto applicare queste regole e, se necessario, adeguare le proprie direttive. Fino ad allora, l’AIV-AIn ritiene che le direttive interne e le misure adottate dal SIC siano conformi alle disposizioni legali vigenti. Per sviluppare ulteriormente alcune misure del suo dispositivo di sicurezza, il SIC si basa anche sulla prossima revisione della LAIn, poiché sono state riscontrate alcune lacune. L’AIV-AIn valuta positivamente questo approccio.

Il trattamento dei casi di sospetto spionaggio è spesso multidimensionale e gli aspetti relativi al comportamento del personale e alle questioni rilevanti dal mero profilo della sicurezza possono intrecciarsi tra di loro. Ciò significa che diversi attori devono coordinarsi per comprendere un caso nella sua totalità. L’AVI-AIn ha constatato che la comunicazione tra i diversi attori all’interno del servizio (sicurezza, settore del personale, superiori diretti o direzione) è ora prevista e possibile. Tuttavia, il SIC potrebbe essere ancora più vigile nel trattamento dei casi concreti. Infatti, anche se per alcune collaboratrici e alcuni collaboratori esistono segnali di rischio, il SIC ha difficoltà a seguire una linea rigorosa. Per questo motivo l’AVI-AIn ha formulato una raccomandazione su questo tema.

Durante il reclutamento, il SIC e il Servizio specializzato per i controlli di sicurezza relativi alle persone della Segreteria di Stato della politica di sicurezza (SEPOS) effettuano un esame approfondito. Le constatazioni della revisione interna del DDPS relative a questi controlli di sicurezza delle persone sono state tenute in considerazione nell’ambito della presente verifica. Ne è conseguito che il SIC può ancora migliorare leggermente la procedura attuale. L’AVI-AIn ha formulato una raccomandazione in tal senso.

Durante il periodo di impiego delle collaboratrici e dei collaboratori in servizio o al termine del rapporto di lavoro vengono adottate solo poche misure specifiche per ridurre il rischio di spionaggio. Sebbene siano già stati compiuti notevoli sforzi nel campo della sicurezza, l’AVI-AIn si aspetta che il SIC continui a individuare le lacune e rafforzi il suo programma interno di formazione continua e sensibilizzazione. L’AVI-AIn ha formulato una raccomandazione sui rischi specifici per la sicurezza.

Nel corso della verifica sono state prese in considerazione le operazioni condotte dal SIC nel caso di un collaboratore del DDPS all’estero il cui comportamento poteva essere considerato come spionaggio. L’AVI-AIn ha analizzato diversi incidenti di sicurezza verificatisi all’interno del servizio tra il 2023 e il luglio 2025. L’analisi non ha riscontrato alcun caso di spionaggio in relazione a un collaboratore del SIC. Tuttavia, nel contesto dell’attuale conflitto ibrido, non è possibile escludere che le ripetute fughe di informazioni alla stampa prima e durante la verifica vengano strumentalizzate per destabilizzare le istituzioni. L’AVI-AIn valuta positivamente il fatto che in questi casi il SIC si rivolga alle autorità incaricate del perseguimento penale.

[25-5] Servizi di traduzione nel SIC

L’AVI-AIn verifica se i servizi di traduzione (selezionati) vengono utilizzati in modo adeguato ed efficace, se la sicurezza delle informazioni è garantita e se il servizio ha attuato efficaci misure di controllo e di garanzia della qualità.

Nell’ambito «Collaborazione» l’AVI-AIn verifica la collaborazione dei servizi con le autorità nazionali e internazionali. L’AVI-AIn verifica ogni anno anche la collaborazione con i servizi informazioni cantonali (SICant).

Nel 2025 l’AVI-AIn ha svolto le seguenti verifiche:

[24-4] Collaborazione tra SIC e Segreteria di Stato della migrazione (SEM)

L’AVI-AIn ha esaminato la collaborazione tra il SIC e la SEM. Entrambe le autorità hanno i propri compiti e le proprie competenze legali nell’ambito della sicurezza interna ed esterna della Svizzera. Il SIC adempie i propri compiti conformemente alla legge federale sulle attività informative. La SEM ha un settore di attività molto ampio, ovvero quello della migrazione, che comprende sia l’entrata e il soggiorno di stranieri sia l’asilo, la naturalizzazione, i visti ecc. Quasi ogni settore è disciplinato da una legge e da relative ordinanze. Le competenze delle due autorità federali possono sovrapporsi, quindi una persona che sottostà al diritto in materia di migrazione può anche essere soggetta al settore di attività del SIC e viceversa. Ad esempio, è possibile che la SEM nel quadro delle sue competenze debba gestire la domanda di naturalizzazione di una persona sospettata di spionaggio nel suo Paese, mentre la lotta allo spionaggio rientra nell’ambito di competenza del SIC. Il SIC e la SEM devono quindi collaborare in vari settori, ad esempio per quanto riguarda il diritto in materia di stranieri, asilo, visti e naturalizzazione.

L’AVI-AIn ha esaminato in particolare il rischio che le due autorità non si coordinino (sufficientemente) oppure che perseguano interessi divergenti o incompatibili e che quindi non possano svolgere i rispettivi compiti in modo efficiente e appropriato. Sono anche stati presi in considerazione i rischi relativi alla legalità, all’efficacia e all’adeguatezza della collaborazione. La collaborazione porta anche a uno scambio di dati, che a sua volta comporta diversi rischi.

A livello strategico le due autorità non hanno alcun approccio comune. Il coordinamento si basa principalmente sull’elenco non pubblico stabilito dal Consiglio federale. Questo elenco specifica, tra l’altro, quali fatti e constatazioni devono essere comunicati spontaneamente al SIC. Le due autorità ritengono che tale elenco sia sufficiente, un’opinione condivisa anche dall’AVI-AIn, che ha però formulato una raccomandazione in merito agli aspetti strategici relativi alla collaborazione del SIC con la SEM e allo sviluppo interno del SIC.

« L’AVI-AIn ha riscontrato che il SIC conosce e utilizza in modo appropriato il proprio margine di discrezionalità. »

Dal punto di vista operativo l’AVI-AIn ha constatato che le due autorità collaborano in conformità alla legge. Negli ultimi anni hanno sviluppato una comprensione reciproca delle rispettive competenze, ma anche dei rispettivi limiti, in particolare quelli di natura giuridica. Entrambe le autorità conoscono le condizioni quadro giuridiche. L’AVI-AIn ha riscontrato che il SIC conosce e utilizza in modo appropriato il proprio margine di discrezionalità. Il suo lavoro consiste essenzialmente nel cercare un ago in un pagliaio. Fortunatamente c’è più fieno che aghi, come ha ammesso lo stesso SIC. Sia la SEM sia il SIC sono pienamente soddisfatti della collaborazione e dichiarano che non sono stati individuati conflitti di interesse. Le informazioni scambiate sono utili e consentono a entrambe le autorità di adempiere al proprio mandato legale. La collaborazione è adeguata ed efficiente. Le due autorità si scambiano informazioni per migliorare aspetti tecnici. L’AVI-AIn ha constatato che l’unità responsabile del SIC è rimasta sulla buona strada nonostante la trasformazione in corso.

L’AVI-AIn ha effettuato tre verifiche a campione dei dati. La prima ha riguardato 40 dossier aperti nel 2024 nel sistema d’informazione GEVER SIC e ha mostrato che il SIC elabora i dossier in conformità alla legge. Nel corso della verifica sono state corrette piccole carenze in termini di documentazione. Il secondo caso ha riguardato la verifica di 133 protocolli di ricerche nel Sistema d’informazione centrale sulla migrazione (SIMIC) da parte del SIC. Queste ricerche di dati erano conformi alla legge. Infine la terza verifica a campione ha riguardato i termini di conservazione dei dati Advance Passenger Information (API), che sono stati rispettati.

[25-6] Collaborazione SIC – SICant

Il SIC e le autorità cantonali di esecuzione (i cosiddetti servizi informazioni cantonali SICant) hanno il compito di contribuire in modo sostanziale alla tutela degli interessi della Svizzera e alla sua sicurezza interna ed esterna, nel rispetto dei diritti fondamentali delle cittadine e dei cittadini. Essi devono raccogliere, elaborare e valutare le informazioni necessarie con mezzi e metodi di intelligence (ossia utilizzando fonti di informazione pubbliche e non pubbliche) e trasmetterle in forma adeguata, in particolare ai decisori politici (Confederazione e Cantoni).

Nel 2024-2025 l’AVI-AIn ha visitato tutti i SICant e tutti gli organi di vigilanza cantonali. Ha chiesto informazioni sulla collaborazione tra SIC e SICant. Successivamente, nella presente verifica ha esaminato in che modo il SIC adempie i propri obblighi legali nei confronti dei SICant. Si tratta in particolare della verifica dell’archivio di dati dei SICant, della messa a disposizione di mezzi tecnici e della formazione del personale.

Rischi quali una collaborazione insufficiente, una comunicazione disturbata, aspettative ingiustificate o una ripartizione inadeguata del lavoro ostacolano o impediscono l’attuazione della legge federale sulle attività informative e compromettono la sicurezza interna ed esterna. L’AVI-AIn ha quindi verificato l’esistenza di tali rischi.

« L’AVI-AIn ha potuto constatare una serie continua e ampia di misure e provvedimenti adottati dal SIC per migliorare la collaborazione con i Cantoni. »

L’AVI-AIn ha potuto constatare una serie continua e ampia di misure e provvedimenti adottati dal SIC per migliorare la collaborazione con i Cantoni. Questi riguardano in particolare i settori della comunicazione, della formazione e delle attività operative.

Comunicazione
Il SIC comunica con il SICant in numerosi formati, alcuni dei quali sono nuovi, altri sono stati ripresi o proseguiti. Il SIC valuterà tutti i formati e garantirà che non vi sia un’offerta eccessiva. Degni di nota sono i lavori del gruppo di discussione, in cui il SIC e nove SICant trattano diversi casi di applicazione tratti dal lavoro operativo e discutono le soluzioni. Si è così passati dalla collaborazione bilaterale a quella in rete. Inoltre, nel 2025 il SIC ha inviato ai Cantoni due circolari in cui espone i principi cui deve attenersi l’interpretazione delle basi legali relativamente a questioni specifiche.

Durante le sue visite nei Cantoni, l’AVI-AIn ha preso atto di alcune osservazioni relative a presunte informazioni mancanti. Le informazioni erano tuttavia disponibili sull’Intranet SICant e quindi accessibili ai Cantoni. L’AVI-AIn ne desume che alcuni SICant non si informano regolarmente tramite l’Intranet SICant.

Formazione
Dal 2025 i SICant sono integrati nella formazione di base generale del SIC che tutte le nuove collaboratrici e tutti i nuovi collaboratori del SIC sono tenuti a seguire. Ciò favorisce la comprensione reciproca (conoscenze e terminologia) e permette di stabilire contatti. Si tiene conto delle esigenze particolari dei SICant (traduzione simultanea dei moduli formativi e traduzione dei documenti).

Collaborazione operativa
Secondo la legge, il SIC può ordinare la collaborazione operativa con i SICant. Il SIC preferisce tuttavia un approccio collaborativo, di cui deve ancora valutare opportunità e rischi con i SICant. Deve inoltre ovviare alle carenze riscontrate nella recente collaborazione operativa introducendo misure adeguate e attuandole in futuro. L’AVI-AIn ha rinunciato a formulare una raccomandazione in tal senso, poiché il SIC è consapevole delle carenze e sta già lavorando a una soluzione adeguata.

Garanzia della qualità
Come già in occasione di precedenti verifiche (18-10 e 21-5), l’AVI-AIn ha esaminato i controlli di garanzia della qualità del SIC. I controlli vengono effettuati da tre settori del SIC secondo un piano collaudato. I SICant sono sottoposti a un controllo ogni 6-7 anni. Sono quindi importanti i controlli annuali degli organi cantonali di vigilanza.

L’AVI-AIn non ha formulato raccomandazioni su nessun argomento.

L’acquisizione di informazioni è un compito fondamentale dei servizi di intelligence, che a tal fine possono utilizzare vari mezzi. I mezzi che incidono in modo più invasivo sui diritti fondamentali delle persone interessate – come la sfera privata – sono oggetto di un’attenzione particolare da parte dell’AVI-AIn. Visti i rischi legati alle attività in questione, le verifiche relative alle operazioni (OP) e alla Human Intelligence (raccolta di informazioni da fonti umane [HUMINT]) si svolgono almeno una volta all’anno. Nel 2025 l’AVI-AIn ha svolto le seguenti verifiche in questo ambito:

[23-13] Impiego di agenti virtuali (VirtA) nel SIC

Secondo il SIC, negli ultimi anni la situazione di minaccia a livello mondiale è cambiata: la comunicazione delle persone target e dei gruppi, in particolare nel campo del terrorismo e dell’estremismo violento nello spazio virtuale, si è allontanata dalle piattaforme pubbliche. Questo nuovo scenario obbliga il SIC a migliorare e adattare il proprio monitoraggio di Internet. Per poter continuare ad acquisire informazioni rilevanti per l’intelligence, il SIC ha bisogno di impiegare agenti virtuali (VirtA).

Il quadro giuridico per l’impiego di agenti virtuali deve essere chiaramente definito, in quanto il SIC potrebbe esercitare un’ingerenza nei diritti fondamentali (il diritto alla libertà personale e alla protezione della sfera privata) e acquisire informazioni a un’intensità tale che l’attività potrebbe essere classificata come misura di acquisizione soggetta ad autorizzazione. Per questo motivo l’AVI-AIn ha verificato se il quadro giuridico per l’impiego degli agenti virtuali fosse chiaramente definito e conosciuto dal personale coinvolto.

L’articolo 17 («Coperture») e l’articolo 18 («Identità fittizie») della legge federale sulle attività informative fornisce al SIC la base giuridica per l’impiego dei VirtA. Dal punto di vista del SIC, quindi, l’impiego dei VirtA è fondamentalmente conforme alla legge. Tuttavia, il SIC non ha ancora stabilito in via definitiva cosa sia consentito durante l’impiego dei VirtA.

« Non ci sono indizi che indichino che i VirtA siano stati utilizzati per l’acquisizione illecita di informazioni. »

Le attività di controllo hanno dimostrato che il SIC è sensibilizzato al riguardo da quando si sono verificati i casi di acquisizione illecita di informazioni da parte del settore ciber (vedi rapporto 22-18) e si sta impegnando per non ripetere gli stessi errori negli impieghi di VirtA. Al momento della verifica erano ancora in sospeso questioni relative alle regole e alle direttive per l’impiego dei VirtA. Tuttavia, non ci sono indizi che indichino che i VirtA siano stati utilizzati per l’acquisizione illecita di informazioni. Il SIC si sta occupando delle questioni in sospeso già da diversi anni, non essendo stato chiaro per molto tempo come dovessero essere impiegati i VirtA. Finché i punti fondamentali non saranno chiariti all’interno del servizio e sottoposti al servizio Affari giuridici SIC sotto forma di quesiti concreti, non sarà possibile sviluppare in modo adeguato le conoscenze specialistiche in ambito giuridico per le misure di acquisizione nello spazio virtuale. L’AVI-AIn ha raccomandato al SIC di rafforzare le proprie conoscenze specialistiche nell’ambito delle acquisizioni, che in futuro diventeranno sempre più rilevanti.

Senza l’impiego dei propri VirtA, il SIC dipende dai servizi partner esteri e rischia di non riconoscere i segnali di minacce imminenti nello spazio virtuale o di non riconoscerli tempestivamente. Per questo motivo l’AVI-AIn ha verificato l’adeguatezza del processo di creazione di un’unità VirtA nel SIC.

Il SIC ha iniziato a valutare lo sviluppo e l’impiego dei VirtA per l’acquisizione operativa di informazioni nello spazio virtuale nel 2016. Nel 2019 hanno iniziato a concretizzarsi gli sforzi effettuati e infine nel 2021 il SIC ha deciso, tramite una delibera della Direzione, di creare il proprio settore VirtA. Le attività di controllo hanno mostrato che la responsabilità per l’attuazione del progetto all’interno del SIC è cambiata più volte negli ultimi anni. Nel suo progetto volto a creare un settore VirtA, il SIC ha agito in modo inefficiente e inadeguato. Con ogni trasferimento della competenza a una persona o a un’unità diversa del SIC, sono state ridiscusse dall’inizio sempre le stesse questioni di fondo e descritte in concetti differenti. I ripetuti trasferimenti della responsabilità non hanno favorito la creazione tempestiva ed efficiente del settore VirtA.

L’AVI-AIn ha ritenuto utile e auspicabile lo scambio di esperienze tra il SIC e i servizi partner esteri omologhi. Le esperienze positive maturate dai servizi partner sono state integrate nelle considerazioni del SIC e la struttura organizzativa finale del settore VirtA è stata ampiamente basata su quella dei servizi partner consultati. La collaborazione prevista tra il SIC e i servizi partner nell’ambito della formazione è volta a garantire che i VirtA del SIC possano beneficiare dell’esperienza operativa pluriennale dei colleghi stranieri. L’AVI-AIn ritiene appropriata l’intenzione del SIC di sviluppare in futuro una propria formazione al fine di ridurre la sua dipendenza dai servizi partner.

L’AVI-AIn ha inoltre verificato se il SIC dispone delle condizioni tecniche e organizzative necessarie per poter ottenere risultati efficaci nell’ambito dell’intelligence attraverso l’impiego di agenti virtuali, o per valutarne correttamente le probabilità di successo sin dall’inizio. Le attività di controllo hanno evidenziato che non erano ancora disponibili i criteri concreti per misurare l’efficacia degli impieghi dei VirtA. Tuttavia, dai colloqui svolti è risultato che lo standard per l’autorizzazione di un impiego dei VirtA è molto elevato, in quanto, per esempio, un’indicazione isolata di un servizio partner non è sufficiente come base per l’autorizzazione. Il SIC deve invece disporre di informazioni affidabili proprie provenienti dal monitoraggio di Internet, per avviare un impiego VirtA promettente. L’AVI-AIn ha raccomandato di intensificare gli sforzi per definire i criteri per la misurazione dell’efficacia degli impieghi dei VirtA.

[24-5] Operazioni, necessità di accertamenti operativi e misure di acquisizione soggette ad autorizzazione del SIC

[24-6] Fonti umane (HUMINT) presso il SIC

L’ambito delle fonti umane (HUMINT) rientra tra le attività più sensibili del SIC. Data tale circostanza, sono necessarie misure di sicurezza e di protezione particolarmente elevate per il personale interessato (in particolare l’utilizzo di identità fittizie e delle relative coperture per dissimulare l’appartenenza al SIC), per luoghi di lavoro (con copertura), nonché per flussi finanziari (con coperture per dissimulare l’origine dei fondi) e per la protezione delle fonti. I rischi in questi settori sono molteplici e mutano di continuo, il che giustifica la necessità di verifiche regolari da parte dell’AVI-AIn.

La verifica 24-6 è servita a dare seguito alla verifica «23-12 HUMINT» e ai progetti in corso nel settore HUMINT. Complessivamente gli esiti sono positivi: i progetti sottoposti a verifica procedono nella giusta direzione. È stata formulata una raccomandazione legata alle analisi dei rischi. Sembra che il settore HUMINT abbia ora trovato il giusto equilibrio tra i suoi numerosi progetti, le sue risorse limitate e il mantenimento della sua attività principale, ossia la gestione delle fonti.

Inoltre, l’AVI-AIn ha sottoposto ad esame i dossier di gestione delle fonti, includendo la verifica delle infrastrutture realizzate a tutela delle fonti stesse. Nel quadro della presente verifica non sono state riscontrate irregolarità.

[25-7] Operazioni, necessità di accertamenti operativi e misure di acquisizione soggette ad autorizzazione del SIC

Rispetto alle attività quotidiane, le operazioni e le necessità di accertamenti operativi si contraddistinguono per un grado di complessità più elevato nelle fasi di pianificazione e di svolgimento delle attività di intelligence. Pertanto appare opportuno verificare regolarmente la legalità, l’adeguatezza e l’efficacia del portafoglio delle operazioni e delle necessità di accertamenti operativi. Inoltre, stando al SIC, le misure di acquisizione soggette ad autorizzazione possono essere attuate solo nel contesto di operazioni. Tali misure comportano sempre un rischio per i diritti fondamentali, poiché costituiscono un’ingerenza nella sfera privata delle persone interessate. L’AVI-AIn ha ritenuto che questi elementi fossero ragioni sufficienti per sottoporre a verifica i rischi legati allo svolgimento di operazioni, a necessità di accertamenti operativi e a misure di acquisizione soggette ad autorizzazione nel SIC.

In seguito alla trasformazione del SIC, la struttura organizzativa nell’ambito delle operazioni e delle necessità di accertamenti operativi è stata rielaborata e ridefinita. La nuova organizzazione del SIC è in vigore da marzo 2024. I processi consolidati del SIC vengono sostituiti da nuovi processi. Questi cambiamenti hanno un impatto significativo sullo svolgimento di operazioni, su necessità di accertamenti operativi e su misure di acquisizione soggette ad autorizzazione e di conseguenza possono comportare nuovi rischi. Tuttavia possono sorgere anche nuove opportunità. Al momento di questa verifica i lavori di trasformazione non sono ancora stati portati a termine.

Quest’anno l’AVI-AIn ha effettuato un controllo a campione su due operazioni nell’ambito Counter Terrorism. Sulla base delle sue attività di verifica l’AVI-AIn ha ritenuto che le operazioni oggetto della verifica a campione fossero legali, adeguate ed efficaci. Ha formulato una raccomandazione concernente la garanzia della prontezza all’impiego di materiale tecnico.

Per quanto riguarda l’adempimento formale degli obblighi di documentazione, ha sottoposto a verifica tutte le necessità di accertamenti operativi avviati nel 2024 e in aggiunta ha verificato anche in maniera approfondita un loro campione negli ambiti Counter Proliferation e Counter Terrorism / Counter Violent Extremism. Ha considerato adempiuti gli obblighi di documentazione più importanti. Per agevolare valutazioni statistiche e quindi rendere più efficiente la gestione del portafoglio delle necessità di accertamenti operativi, l’AVI-AIn ha comunque formulato una raccomandazione concernente l’adempimento degli ulteriori obblighi di documentazione già previsti internamente dal SIC.

« Sulla base del controllo a campione l’AVI-AIn ha constatato che le misure di acquisizione sono state attuate in conformità alle decisioni del tribunale. »

In riferimento a 11 misure di acquisizione autorizzate e approvate (svolte nel contesto di due operazioni), l’AVI-AIn ha verificato se tali misure siano state attuate in conformità con le relative decisioni del Tribunale amministrativo federale. Sulla base del controllo a campione l’AVI-AIn ha constatato che le misure di acquisizione sono state attuate in conformità alle decisioni del tribunale.

[25-8] Fonti umane (HUMINT) presso il SIC

L’AVI-AIn verifica la legalità, l’adeguatezza e l’efficacia di diverse gestioni delle fonti.

[25-9] Ciberesplorazione nel SIM

L’AVI-AIn verifica se il SIM utilizza mezzi legali, adeguati ed efficaci per la ciberesplorazione.

Nell’ambito «Risorse» l’AVI-AIn verifica se vi è un uso adeguato delle risorse da parte dei servizi e se è garantita un’attività informativa efficace. Nel 2025 l’AVI-AIn ha svolto le seguenti verifiche nell’ambito «Risorse»:

[24-7] Inventario delle tecnologie dell’informazione e della comunicazione (TIC) presso il SIC

Nell’ambito delle tecnologie dell’informazione e della comunicazione (TIC) è importante, per vari motivi, che un’organizzazione disponga di una panoramica dell’hardware utilizzato. Tale panoramica aiuta a gestire i componenti hardware durante il loro intero ciclo di vita. Inoltre, un’inventariazione sistematica impedisce che, all’interno dell’organizzazione, l’hardware venga acquistato da persone non autorizzate e utilizzato per svolgere attività informative. Proprio quest’ultimo punto comporta per il SIC sia un rischio di reputazione sia il pericolo che i dati vengano trattati illecitamente a causa della mancanza di meccanismi di controllo.

L’AVI-AIn ha perciò verificato se il SIC dispone di un inventario dell’hardware utilizzato nel contesto delle attività informative e se tale inventario è gestito in modo efficace e adeguato. Secondo l’AVI-AIn, la tenuta di un inventario TIC è uno strumento per individuare gli acquisti non approvati e quindi per impedire l’uso non autorizzato di componenti hardware.

Durante la sua verifica l’AVI-AIn ha constatato che il processo d’acquisto precede quello d’inventariazione e che entrambi i processi sono consolidati all’interno del SIC. Inoltre, sia il processo d’acquisto che quello d’inventariazione sono supportati da soluzioni software. Anche se i due sistemi non sono collegati automaticamente ed è necessario un passaggio manuale dal sistema di acquisti al sistema d’inventariazione, i controlli a campione hanno dimostrato che non ci sono discrepanze significative tra i due sistemi.

Per l’AVI-AIn, anche i campi gestiti nel sistema d’inventariazione appaiono efficaci e adeguati a gestire ulteriori funzionalità, come ad esempio il ciclo di vita di un oggetto TIC o per determinare dove si trova un componente TIC all’interno del SIC in base ai suoi dati di localizzazione.

In sintesi, l’AVI-AIn ha avuto l’impressione che il sistema d’inventariazione del SIC potrebbe essere migliorato grazie a un maggiore collegamento con i sistemi di acquisto o di supporto TIC. Tuttavia, i risultati della selezione a campione, le interviste con i responsabili tecnici e i rigorosi processi di approvazione esistenti non permettono di concludere che il SIC sia esposto a un rischio elevato a causa di un inventario inefficace e inadeguato.

L’AVI-AIn ha quindi formulato solo una raccomandazione in merito a un’istruzione interna da rivedere, in quanto a livello organizzativo non corrisponde più alla situazione attuale e vi è quindi il rischio di registrazioni errate o incomplete nel processo d’inventariazione.

[25-10] Armamento nel SIC

L’armamento nel SIC si basa sulla legge federale sulle attività informative. Serve a proteggere l’integrità fisica o la vita delle collaboratrici e dei collaboratori che sono particolarmente esposti a pericoli nell’esercizio delle loro funzioni. L’AVI-AIn ha verificato in che modo il SIC gestisce l’assegnazione, il ritiro e la conservazione delle armi di servizio e se nel farlo rispetta il quadro normativo vigente. Ha inoltre verificato se l’equipaggiamento e la formazione corrispondono alle effettive esigenze di protezione delle collaboratrici e dei collaboratori. A questo scopo ha condotto colloqui e svolto attività di controllo in diversi luoghi.

Recentemente è entrata in vigore una nuova direttiva del SIC in materia di armamento. I requisiti per l’assegnazione di un’arma alle collaboratrici e ai collaboratori sono stati precisati e inaspriti. Ciò consente di migliorare l’assegnazione e il ritiro dell’arma di servizio. L’AVI-AIn è giunta alla conclusione che esistono ancora margini di miglioramento per quanto riguarda l’equipaggiamento del personale. Non ha formulato raccomandazioni, ma ha invitato il SIC a proseguire i suoi sforzi in tal senso.

Nell’ambito «Trattamento dei dati e archiviazione» l’AVI-AIn verifica in particolare la legalità del trattamento delle informazioni, poiché le informazioni trattate dai servizi sono altamente sensibili e le disposizioni legali sono tanto ampie quanto complesse. Nel 2025 l’AVI-AIn ha svolto le seguenti verifiche nel suddetto ambito:

[22-18] Acquisizione di dati da parte del settore ciber del SIC

[24-9] Rilevamento a campione IASA-ICC (Integral analysis system control center) presso il SIC

IASA-ICC è l’applicazione centrale utilizzata dal SIC per analizzare e valutare i documenti originali relativi a IASA-GEX SIC e IASA SIC. Permette di replicare i dati in un sistema di indicizzazione (IASA INDEX) a cui hanno accesso i partner di sicurezza autorizzati (ad esempio gli organi d’esecuzione cantonali). I dati inseriti in IASA-ICC rappresentano le conoscenze strutturate del servizio. L’applicazione IASA-ICC si basa su un repertorio di dati grezzi, nel quale le comunicazioni in entrata vengono registrate quali documenti originali secondo la durata di conservazione stabilita dalla legge federale sulle attività informative.

Nel quadro di altre verifiche, l’AVI-AIn è venuta a conoscenza di ritardi nell’inserimento dei dati in IASA-ICC, in particolare per quanto riguarda i rapporti degli organi d’esecuzione cantonali, che devono essere inseriti obbligatoriamente. Di conseguenza, delle informazioni rilevanti per la sicurezza interna ed esterna della Svizzera potrebbero non essere disponibili ai partner di sicurezza, creando un rischio per la sicurezza.

Alla fine del 2024 il SIC ha impiegato una task force incaricata di risolvere il problema dei ritardi nell’inserimento dei dati e di ottimizzare i processi di inserimento per evitare futuri ritardi. L’AVI-AIn ha tenuto conto di questi lavori e ha già potuto constatare dei miglioramenti.

Nell’ambito delle sue indagini, l’AVI-AIn ha effettuato tre controlli a campione per verificare se il trattamento dei dati in IASA-ICC fosse conforme ai requisiti legali. Due di questi controlli non hanno rilevato alcuna irregolarità. In uno dei tre, invece, l’AVI-AIn ha constatato che le restrizioni imposte al SIC nel trattamento dei dati relativi all’esercizio dei diritti politici non erano state tutte rispettate. Questo trattamento dei dati riguarda l’estremismo legato al coronavirus. L’AVI-AIn ha raccomandato al SIC di apportare immediatamente le modifiche necessarie e di effettuare ulteriori verifiche nell’ambito dell’estremismo monotematico al fine di tutelare i diritti fondamentali.

La revisione in corso della LAIn prevede una modifica nel modo di approcciare il trattamento dei dati in seno al SIC, passando da un approccio basato sui sistemi d’informazione a un approccio basato sul tipo di dati (dati legati alle attività informative o dati amministrativi). Parallelamente il servizio porta avanti diversi progetti per rinnovare la propria infrastruttura informatica. In questa situazione complessa è prevista l’eliminazione o l’ammodernamento di IASA-ICC.

Infine, l’AVI-AIn ha constatato che l’obsolescenza di IASA-ICC impedisce al SIC di beneficiare di dati strutturati. Infatti, l’applicazione non permette di garantire le operazioni di monitoraggio della situazione; inoltre, i processi di inserimento dei dati sono molto complessi. L’AVI-AIn ha quindi raccomandato al SIC di determinare i propri bisogni, tenendo conto del mandato di monitoraggio e di valutazione delle minacce, per gestire i cambiamenti in corso a livello giuridico e di infrastruttura informatica. L’obiettivo è quello di stabilire il più rapidamente possibile l’eliminazione o la sostituzione di IASA-ICC con un’alternativa adeguata all’adempimento del mandato del SIC.

[24-10] Ricerche in sistemi d’informazione di terzi da parte del SIC

Per adempiere ai propri compiti, il SIC deve poter accedere a sistemi d’informazione di terzi (SIT). Si tratta di applicazioni e banche dati di gestori esterni in Svizzera e all’estero a cui le collaboratrici e i collaboratori del SIC possono accedere per acquisire informazioni.

In linea di principio le rispettive autorità responsabili del sistema o dei dati (terzi) stabiliscono chi può accedere al sistema e con quali autorizzazioni conformemente alle basi giuridiche del rispettivo sistema d’informazione e alle indicazioni fornite dalle autorità richiedenti. Sebbene siano i terzi a decidere in ultima istanza in merito ai diritti d’accesso, spetta al SIC presentare le domande d’accesso ai sistemi esterni in base a una necessità giustificata o provvedere tempestivamente alla cancellazione dei diritti d’utente obsoleti. A tal fine il SIC necessita di una gestione adeguata degli accessi, altrimenti vi è il rischio che le collaboratrici e i collaboratori abbiano accesso a dati sensibili a cui non dovrebbero avere accesso per legge o non abbiano le autorizzazioni per accedere ai sistemi d’informazione di terzi che sarebbero utili per un adempimento efficace dei compiti.

Le attività di verifica dell’AVI-AIn hanno mostrato che il SIC non dispone di una panoramica completa e aggiornata dei diritti d’accesso delle proprie collaboratrici e dei propri collaboratori ai sistemi d’informazione di terzi. Mancano processi specifici e controlli interni sistematici. Inoltre l’AVI-AIn ritiene inammissibile un’interfaccia di consultazione automatizzata per due dei sistemi d’informazione di terzi sottoposti a verifica. Il SIC non è responsabile né dell’interfaccia né dei sistemi d’informazione di terzi, ma è corresponsabile per quanto riguarda le consultazioni di questi sistemi d’informazione di terzi. L’AVI-AIn ha quindi incaricato il SIC di trovare una soluzione conforme alla legge per agire in ogni momento nel rispetto del quadro giuridico, altrimenti si dovrà procedere alla cancellazione delle autorizzazioni in questione. La gestione degli accessi ai sistemi d’informazione di terzi deve essere migliorata sotto vari punti di vista.

Inoltre, l’AVI-AIn ha eseguito controlli a campione di alcuni sistemi d’informazione di terzi selezionati per verificare se le collaboratrici e i collaboratori del SIC hanno effettuato le consultazioni in modo legittimo e adeguato. L’assenza o la poca chiarezza delle direttive oppure la mancata conoscenza delle modalità di consultazione dei dati nei sistemi d’informazione di terzi aumentano il rischio che le collaboratrici e i collaboratori consultino questi sistemi oltre i limiti delle loro competenze legali oppure per scopi personali, azione che può comportare, tra l’altro, violazioni dei diritti fondamentali e rischi per la reputazione del SIC. Per questo motivo l’AVI-AIn ha verificato, effettuando controlli a campione in alcuni sistemi d’informazione di terzi selezionati, la legittimità e l’adeguatezza delle consultazioni di dati effettuate da collaboratrici e collaboratori del SIC selezionati casualmente.

Le attività di verifica dell’AVI-AIn non hanno rivelato alcuna indicazione di consultazioni illecite o inappropriate da parte delle collaboratrici e dei collaboratori del SIC sottoposti a verifica nei sistemi d’informazione di terzi selezionati.

[25-11] Archiviazione dei dati nell’ambito dell’esplorazione di segnali via cavo presso il Servizio ACE

Oltre all’esplorazione radio, ad oggi l’esplorazione di segnali via cavo rappresenta uno dei sensori tecnici più efficienti nel settore Signals Intelligence (SIGINT). Tuttavia richiede di registrare e di memorizzare grandi quantità di dati. Ciò comporta il rischio che vengano archiviati anche dati che non possono essere archiviati, in quanto manca una base giuridica, oppure che non possono essere sottoposti a un ulteriore trattamento poiché manca un nesso con il mandato. Il Servizio ACE, che si occupa dell’esplorazione di segnali via cavo su mandato del SIC, deve affrontare questo rischio in maniera adeguata.

Per scoprire se i diversi livelli dell’archiviazione di dati e i triage di dati applicati agli archivi comportano un’effettiva riduzione di questo rischio, nel suo piano di verifica 2025 l’AVI-AIn ha deciso di analizzare l’efficacia, l’adeguatezza e la legittimità dell’archiviazione e del triage dei dati nel contesto dell’esplorazione di segnali via cavo.

« L’AVI-AIn è giunta alla conclusione che le modalità con cui i dati vengono ridotti possono essere considerate efficaci e adeguate. »

È emerso che il Servizio ACE raggiunge l’obiettivo perseguito grazie a un processo a cascata che va dal rilevamento dei flussi di segnale fino ai risultati finali della conservazione dei dati. In ogni singola fase, per effettuare il triage dei dati trovano applicazione criteri di esclusione (cosiddette blacklist) o filtri positivi (cosiddette whitelist) che al rispettivo livello del trattamento dei dati riducono sempre più l’insieme dei dati grezzi fino al punto in cui per l’analisi sono disponibili solo dati ineccepibili sotto il profilo giuridico. L’AVI-AIn è giunta alla conclusione che le modalità con cui i dati vengono ridotti possono essere considerate efficaci e adeguate. Inoltre, l’AVI-AIn non ha riscontrato casi in cui il servizio acquisisca sistematicamente dati mediante l’esplorazione di segnali via cavo che non sia autorizzato ad acquisire o che non siano in linea con il mandato del SIC.

Tuttavia, i dati registrati e trattati dal Servizio ACE sono soggetti non solo alla LAIn, ma anche alle regole dettate dal diritto in materia di protezione dei dati, più precisamente dalla nuova legge federale sulla protezione dei dati del 2023. Sebbene i principi della protezione dei dati siano riconosciuti, l’AVI-AIn ha formulato la raccomandazione di esaminare se in seguito alle modifiche intervenute nella nuova legge federale sulla protezione dei dati del 2023 sia opportuno adottare misure supplementari.