Cosa deve essere segnalato?

Un ciberattacco dev’essere segnalato, tra l’altro, se rischia di compromettere il funzionamento dell’infrastruttura critica interessata, ha comportato una manipolazione o una fuga d’informazioni oppure è correlato ai reati di estorsione, minaccia o coazione. La legge prevede delle multe nell’ipotesi in cui non venga dato seguito all’obbligo di segnalazione. 

Tra gli esempi di tipi di attacco rientrano: 

• Malware installato con successo nel sistema 
• Trojan di cifratura
• Attacchi alla disponibilità 
• intrusioni non autorizzate nei sistemi di elaborazione dati sfruttando le vulnerabilità.

Affinché gli interessati abbiano tempo a sufficienza per prepararsi in vista del nuovo obbligo di segnalazione, il Consiglio federale ha deciso di porre in vigore le basi legali per le multe solo a partire dal 1° ottobre 2025. Pertanto nei primi sei mesi vi è l’obbligo di segnalazione, ma chi omette di effettuare segnalazioni non incorre ancora in sanzioni.