Obbligo di notifica in caso di attacco informatico in Svizzera: nLPD, BACS e il piano d'emergenza in 10 passi
Obblighi di notifica in caso di attacchi informatici in Svizzera — una panoramica
La Svizzera ha rafforzato notevolmente il quadro normativo per la gestione degli attacchi informatici e delle violazioni della protezione dei dati. Due normative centrali determinano cosa le aziende devono notificare dopo un incidente informatico:
-
La nuova Legge sulla protezione dei dati (nLPD) — in vigore dal 1° settembre 2023 — obbliga alla notifica delle violazioni della protezione dei dati all’IFPDT (Incaricato federale della protezione dei dati e della trasparenza) entro 72 ore.
-
L’obbligo di notifica BACS — in vigore dal 1° aprile 2025 — obbliga i gestori di infrastrutture critiche a notificare gli attacchi informatici all’Ufficio federale della cibersicurezza (BACS) entro 24 ore.
A questi si aggiungono obblighi di notifica settoriali (FINMA per gli istituti finanziari, Swissmedic per la farmaceutica ecc.) e l’obbligo di denuncia penale.
In caso di violazione si rischiano multe fino a CHF 250’000 (responsabilità personale!) e danni reputazionali che possono minacciare l’esistenza dell’azienda.
Le scadenze principali a colpo d’occhio
| Obbligo di notifica | A chi? | Termine | Da quando? | Chi è interessato? |
|---|---|---|---|---|
| nLPD art. 24 | IFPDT | 72 ore | 1.9.2023 | Tutte le aziende con dati personali |
| Obbligo BACS | BACS | 24 ore | 1.4.2025 | Gestori di infrastrutture critiche |
| FINMA | FINMA | Immediatamente (di regola 24–72h) | Dal 2008 (inasprito 2023) | Banche, assicurazioni, infrastrutture del mercato finanziario |
| Denuncia penale | Polizia cantonale | Nessun termine fisso | — | Raccomandato per tutti i soggetti colpiti |
Il rispetto di queste scadenze è estremamente impegnativo sotto stress. Una cyberassicurazione garantisce che in caso di emergenza riceviate immediatamente supporto da esperti legali e forensi. BTAG Versicherungsbroker AG vi consiglia sulla copertura ottimale.
La nuova Legge sulla protezione dei dati (nLPD) — obbligo di notifica dal 1.9.2023
Cosa regola la nLPD
La Legge federale sulla protezione dei dati completamente rivista (LPD, comunemente nLPD) è entrata in vigore il 1° settembre 2023 e ha sostituito la legge del 1992. Si ispira al GDPR dell’UE, ma è autonoma in molti aspetti.
Le novità principali per gli attacchi informatici:
- Obbligo di notifica per le violazioni dei dati (art. 24 nLPD)
- Multe personali fino a CHF 250’000 (art. 60–66 nLPD)
- Obbligo di valutazione d’impatto sulla protezione dei dati (art. 22 nLPD)
- Privacy by Design e Privacy by Default (art. 7 nLPD)
- Obblighi informativi ampliati (art. 19–21 nLPD)
Art. 24 nLPD: l’obbligo di notifica in dettaglio
Quando è necessaria la notifica? Quando si verifica una violazione della sicurezza dei dati che presumibilmente comporta un rischio elevato per la personalità o i diritti fondamentali delle persone interessate. Una violazione della sicurezza dei dati si verifica in caso di:
- Accesso non autorizzato a dati personali (ad es. tramite hacker)
- Divulgazione non autorizzata di dati personali (ad es. tramite fuga di dati)
- Perdita di dati personali (ad es. tramite crittografia ransomware senza backup)
- Modifica non autorizzata di dati personali
A chi deve essere notificato?
1. All’IFPDT (Incaricato federale della protezione dei dati e della trasparenza):
- Termine: il più rapidamente possibile, al più tardi entro 72 ore dalla conoscenza
- Contenuto: tipo di violazione, categorie di dati interessati, numero stimato di persone coinvolte, possibili conseguenze, misure adottate, persona di contatto
2. Alle persone interessate:
- Quando è necessario per la loro protezione o l’IFPDT lo ordina
- Termine: il più rapidamente possibile
Multe secondo la nLPD
La nLPD prevede multe fino a CHF 250’000. Cruciale: le multe sono dirette contro persone fisiche (responsabili come CEO, CTO, CISO), non contro l’azienda.
| Violazione | Multa fino a |
|---|---|
| Violazione dell’obbligo di informazione | CHF 250’000 |
| Violazione degli obblighi di diligenza (incl. obbligo di notifica) | CHF 250’000 |
| Violazione del segreto professionale | CHF 250’000 |
| Inosservanza delle disposizioni dell’IFPDT | CHF 250’000 |
| Le aziende possono essere multate sussidiariamente (fino a) | CHF 50’000 |
Il termine di 72 ore è estremamente breve in caso di crisi. Una cyberassicurazione con consulenza legale 24/7 garantisce che la notifica avvenga correttamente e nei termini. BTAG Versicherungsbroker AG trova la polizza con la migliore assistenza legale.
L’obbligo di notifica BACS per le infrastrutture critiche — dal 1.4.2025
Chi è soggetto all’obbligo di notifica?
L’obbligo riguarda i gestori di infrastrutture critiche nei seguenti settori:
| Settore | Esempi |
|---|---|
| Energia | Centrali elettriche, fornitori di gas, raffinerie |
| Acqua | Approvvigionamento idrico, depurazione |
| Trasporti | FFS, aeroporti, navigazione |
| Sanità | Ospedali, laboratori, catene di farmacie |
| Finanze | Banche, assicurazioni, infrastrutture borsistiche |
| Telecomunicazioni | Swisscom, Sunrise, Salt, provider Internet |
| Autorità | Amministrazione federale, cantonale, comunale |
| Approvvigionamento alimentare | Grandi distributori, aziende logistiche |
| Università | Università, PF, scuole universitarie professionali |
| Fornitori IT | Fornitori di hosting, cloud, managed services per infrastrutture critiche |
Il termine di 24 ore
| Fase | Termine | Contenuto |
|---|---|---|
| Notifica iniziale | 24 ore dopo la scoperta | Informazioni di base: tipo di attacco, sistemi interessati, prima valutazione |
| Notifica integrativa | 14 giorni | Informazioni dettagliate: causa, portata, misure adottate |
| Notifica finale | Al termine della gestione | Rapporto completo: root cause, danni, lessons learned |
Conseguenze in caso di mancata notifica
- Multa: fino a CHF 100’000 (art. 74a LSIn)
- Disposizione del BACS: ordine di notifica e misure di sicurezza
- Danno reputazionale: le indagini delle autorità diventano note
- Rischio di responsabilità: terzi danneggiati possono agire civilmente
Cosa fare dopo un attacco informatico? — Il piano d’emergenza in 10 passi
Passo 1: Mantenere la calma e attivare lo stato maggiore di crisi (Minuto 0–15)
- Mantenere la calma — azioni affrettate causano spesso più danni dell’attacco stesso
- Convocare lo stato maggiore di crisi (CEO/direzione, responsabile IT, servizio giuridico, comunicazione)
- Chiamare la hotline 24/7 della cyberassicurazione — questa è la prima misura più importante se siete assicurati
- Documentare ogni passo (orario, decisioni, osservazioni)
Passo 2: Isolare i sistemi, NON spegnerli (Minuto 15–60)
- Disconnettere i sistemi colpiti dalla rete (staccare i cavi, disattivare il WLAN)
- NON spegnere i sistemi — i dati volatili nella RAM sono indispensabili per la forensica
- Segmentare la rete per fermare la diffusione
- Disattivare gli accessi VPN
- Verificare i sistemi di backup (NON ripristinare subito)
Passo 3: Valutare la portata e documentare (Ora 1–4)
- Prima valutazione: Quali sistemi sono interessati? Quali dati? Quali processi aziendali?
- Sono interessati dati personali? (decisivo per l’obbligo di notifica nLPD)
- Salvare screenshot e log
- Creare una cronologia
Passo 4: Avviare la forensica IT (Ora 2–6)
- Coinvolgere specialisti forensi IT (tramite la cyberassicurazione o partner esterni)
- Messa in sicurezza forense dei sistemi colpiti
- Identificare il vettore d’attacco
- Stabilire se l’attacco è ancora attivo
Costi tipici della forensica IT: da CHF 5’000–15’000 (singolo endpoint) a CHF 80’000–300’000+ (intera rete). Questi costi sono coperti dalla cyberassicurazione.
Passo 5: Verificare e rispettare gli obblighi di notifica (Ora 4–24)
| Notifica | Termine | Criterio | Responsabile |
|---|---|---|---|
| IFPDT (nLPD art. 24) | 72 ore | Dati personali interessati + rischio elevato | Responsabile protezione dati |
| BACS (LSIn) | 24 ore | Infrastruttura critica interessata | Responsabile sicurezza IT |
| FINMA | Immediatamente | Istituto finanziario interessato | Compliance Officer |
| Persone interessate | Il prima possibile | Se necessario per la loro protezione | Responsabile protezione dati |
| Denuncia penale | Nessun termine fisso | Sempre raccomandato | Direzione/servizio giuridico |
Passo 6: Sporgere denuncia penale (Ora 6–48)
- Denuncia penale alla polizia cantonale
- Portare tutte le prove raccolte (log, screenshot, e-mail, rapporti forensi)
Passo 7: Avviare la comunicazione di crisi (Ora 6–48)
- Comunicazione interna: informare i collaboratori
- Comunicazione esterna: informare proattivamente clienti e partner commerciali
- Preparare una dichiarazione per i media
La cyberassicurazione copre i costi per consulenti PR professionali ed esperti di comunicazione di crisi (tipicamente CHF 10’000–60’000).
Passo 8: Ripristinare i sistemi (Giorno 2–30+)
- Solo dopo l’autorizzazione dei forensi iniziare il ripristino
- Ripristino pulito da backup verificati
- Modificare tutte le password
- Chiudere la vulnerabilità prima di rimettere i sistemi in rete
Passo 9: Notificare le persone interessate (Settimana 1–4)
Costi della notifica: circa CHF 8–15 per persona interessata. Per 10’000 persone: CHF 80’000–150’000. Questi costi sono coperti dalla cyberassicurazione.
Passo 10: Lessons learned e miglioramenti (Settimana 4–12)
- Post-Incident-Review con tutti i partecipanti
- Root Cause Analysis
- Piano delle misure
- Rafforzare durevolmente la sicurezza IT
- Verificare la cyberassicurazione
- Aggiornare l’Incident Response Plan
BTAG Versicherungsbroker AG vi accompagna durante l’intero processo — dalla reazione immediata alle notifiche fino alla gestione post-incidente.
Come una cyberassicurazione aiuta con gli obblighi di notifica
Consulenza legale immediata (24/7)
La cyberassicurazione mette a disposizione entro 2–4 ore avvocati specializzati in protezione dei dati che:
- Verificano gli obblighi di notifica per il vostro caso specifico
- Redigono le notifiche all’IFPDT, al BACS e ad altre autorità nei termini
- Vi rappresentano nella comunicazione con le autorità
- Minimizzano il rischio di multe
Copertura dei costi di conformità
| Voce di costo | Importo tipico | Coperto dalla cyberassicurazione? |
|---|---|---|
| Avvocati specializzati in protezione dei dati | CHF 15’000–80’000 | Sì |
| Notifica e comunicazione con l’IFPDT | CHF 5’000–15’000 | Sì |
| Notifica alle persone interessate | CHF 8–15 per persona | Sì |
| Call center per le persone interessate | CHF 10’000–50’000 | Sì |
| Monitoraggio del credito per le persone interessate | CHF 5–20 per persona/anno | Parzialmente |
| Multe (dove assicurabili) | Fino a CHF 250’000 | Varia a seconda del cantone |
| Costo totale tipico conformità | CHF 50’000–500’000 | Prevalentemente coperto |
Conseguenze del mancato rispetto degli obblighi di notifica
Conseguenze legali
| Violazione | Possibile conseguenza |
|---|---|
| Notifica nLPD tardiva all’IFPDT | Multa fino a CHF 250’000 (personale) |
| Mancata notifica nLPD all’IFPDT | Multa fino a CHF 250’000 (personale) + procedimento penale |
| Notifica BACS tardiva | Multa fino a CHF 100’000 + disposizione dell’autorità |
| Mancata notifica BACS | Multa fino a CHF 100’000 + disposizione dell’autorità + misure |
| Notifica FINMA tardiva | Procedimento di enforcement, vigilanza rafforzata |
| Mancata notifica alle persone interessate | Multa + azioni civili delle persone interessate |
La responsabilità personale — un rischio spesso sottovalutato
La nLPD indirizza le multe principalmente verso persone fisiche. Ciò significa che CEO, CTO, CISO o responsabili della protezione dei dati possono essere multati personalmente — fino a CHF 250’000 dal proprio patrimonio. Questa è una differenza fondamentale rispetto al GDPR dell’UE, che prevede principalmente multe aziendali.
Proteggete voi stessi personalmente: BTAG Versicherungsbroker AG verifica se la vostra cyberassicurazione copre anche la responsabilità personale dei dirigenti.
Domande frequenti (FAQ)
Devo notificare ogni attacco informatico all’IFPDT?
No. L’obbligo di notifica secondo l’art. 24 nLPD si applica solo quando sono interessati dati personali E sussiste un rischio elevato per le persone interessate. Nel dubbio è meglio notificare — una notifica «troppo cauta» non ha conseguenze negative.
Cosa succede se non rispetto il termine di 72 ore?
Notificate comunque il più rapidamente possibile e motivate il ritardo. L’IFPDT tiene conto delle circostanze attenuanti. Una notifica tardiva è sempre meglio di nessuna notifica.
Come PMI sono soggetto all’obbligo di notifica BACS?
Solo se gestite infrastrutture critiche o siete un fornitore IT per gestori di infrastrutture critiche. L’obbligo di notifica nLPD vale però per tutte le aziende che trattano dati personali.
Devo pagare il riscatto e devo notificarlo?
Il BACS e le autorità di perseguimento penale sconsigliano vivamente il pagamento del riscatto. Un pagamento non garantisce il ripristino dei dati e finanzia organizzazioni criminali. La cyberassicurazione mette a disposizione esperti negoziali che valutano professionalmente la situazione.
La cyberassicurazione copre le multe?
L’assicurabilità delle multe in Svizzera è regolata diversamente a livello cantonale. In ogni caso, la cyberassicurazione copre le spese di difesa (spese legali) nel procedimento amministrativo.
Conclusione: la preparazione è la migliore protezione
Gli obblighi di notifica in caso di attacchi informatici in Svizzera sono chiaramente regolati — e le conseguenze del mancato rispetto sono serie:
- nLPD: 72 ore — notifica all’IFPDT per violazioni dei dati con rischio elevato
- BACS: 24 ore — notifica per attacchi informatici a infrastrutture critiche
- Multe fino a CHF 250’000 — responsabilità personale dei dirigenti
- Il piano d’emergenza in 10 passi vi dà una guida operativa chiara per l’emergenza
- Una cyberassicurazione è il vostro alleato più importante — per consulenza legale, forensica, notifiche e copertura dei costi
Preparatevi ora — non solo quando è troppo tardi.
Il vostro prossimo passo: Contattate BTAG Versicherungsbroker AG per un’analisi gratuita della vostra copertura assicurativa in relazione a obblighi di notifica, conformità e gestione delle emergenze. Richiedere una consulenza ora