Con l’entrata in vigore della Legge federale sulla sicurezza delle informazioni (LSIn), la Svizzera ha introdotto un sistema di notifica obbligatoria per incidenti informatici destinato alle cosiddette infrastrutture critiche. Ma chi è realmente obbligato a segnalare un attacco cyber? E soprattutto: i gestori patrimoniali con autorizzazione FINMA rientrano in questo nuovo regime?
La risposta è chiara: no, almeno per ora.
I gestori patrimoniali autorizzati dalla FINMA ai sensi della Legge sugli istituti finanziari (LIsFi) non rientrano tra i soggetti obbligati a notificare gli incidenti cyber all’Ufficio Federale della cibersicurezza (UFCS).
La normativa, infatti, è molto chiara in merito: l’articolo 74b LSIn individua in modo puntuale i fornitori di servizi finanziari soggetti all’obbligo, limitandosi a tre categorie ben precise — banche (LBCR), assicurazioni (LSA) e infrastrutture di mercato (LIMF). Nessun riferimento alla LIsFi, né alcun richiamo indiretto.
Questa assenza può essere interpretata non già come una dimenticanza bensì come una scelta deliberata del legislatore che ha tracciato confini precisi e ha scelto di non estendere l’obbligo di notifica ai gestori patrimoniali, ritenendo che la loro attività — seppur regolamentata — non presenti, almeno allo stato attuale, un grado di criticità sistemica tale da giustificare un obbligo generalizzato di notifica.
Nemmeno la cosiddetta “clausola generale” contenuta all’articolo 2 capoverso 5 LSIn consente di aggirare questo limite. Sebbene tale disposizione estenda gli obblighi cyber ad altre infrastrutture critiche non nominate espressamente, essa non si applica al settore finanziario, proprio perché quest’ultimo è già disciplinato in modo specifico dall’articolo 74b. Anche l’intento del legislatore è inequivocabile: i gestori patrimoniali LIsFi non sono stati inclusi tra i destinatari degli obblighi di notifica, in quanto non ritenuti, allo stato attuale, parte del nucleo delle infrastrutture finanziarie più critiche.
Tutto questo, però, non significa che i gestori patrimoniali siano esonerati da ogni dovere in caso di incidente informatico. Gli obblighi di comunicazione verso la FINMA restano pienamente in vigore. In caso di eventi rilevanti che compromettano la sicurezza, la disponibilità o la continuità operativa dell’istituto, la segnalazione all’autorità di vigilanza rimane obbligatoria, secondo quanto previsto dalla normativa settoriale.
Inoltre, anche in assenza di un obbligo formale, è sempre possibile effettuare una notifica volontaria all’UFCS, come previsto dall’articolo 73b LSIn. Questa possibilità, se ben gestita, può diventare uno strumento utile per rafforzare la trasparenza, la cooperazione con le autorità e, più in generale, la reputazione dell’intermediario sul mercato.
Insomma, se è vero che la legge non impone un obbligo, è altrettanto vero che una buona strategia di governance non può prescindere da una solida gestione del rischio cyber.
È quindi fondamentale dotarsi di procedure chiare per la gestione degli incidenti informatici, definire soglie interne di rilevanza, prevedere protocolli di comunicazione interna ed esterna non solo ai fini della compliance normativa bensì anche in relazione alle prospettive future dell’azienda.
