Conclusione di un’indagine preliminare informale per indizi di violazione delle disposizioni sulla protezione dei dati
20.12.2024 – Nel novembre 2023 la società di software Concevis è stata vittima di un attacco hacker. Tra i suoi clienti figurava l’Ufficio federale di statistica (UST). Sia l’UST che Concevis hanno segnalato il caso all’IFPDT, poiché vi erano indizi che i dati dell’UST potessero essere finiti nelle mani di persone non autorizzate. L’IFPDT ha quindi aperto un’inchiesta preliminare informale contro l’UST e Convevis e ha informato il pubblico con un comunicato.
Dall’indagine dell’IFPDT è emerso che non è necessario avviare un’inchiesta formale secondo l’articolo 49 LPD, poiché non sono state riscontrate gravi carenze. È inoltre stato accertato che i dati oggetto dell’attacco hacker erano criptati ed è improbabile che possano essere letti da terzi.
L’indagine dell’IFPDT ha tuttavia evidenziato che alcuni elementi del trattamento dei dati tra l’UST e Concevis non erano definiti con sufficiente chiarezza. L’IFPDT ha pertanto precisato che i contratti tra servizi della Confederazione e fornitori di servizi devono definire con precisione il ciclo di vita dei dati, vale a dire dal rilevamento alla distruzione. L’IFPDT ha inoltre rimarcato che va disciplinata chiaramente anche la possibilità che l’ufficio o fornitori di servizi esterni effettuino controlli e audit. L’UST e Concevis sono stati inoltre informati delle raccomandazioni concernenti il caso Xplain, che rivestono validità generale.