Pubblicato il 23 gennaio 2026

Sicurezza & Qualità

Sicurezza

Un sistema di autenticazione come AGOV è considerato sicuro quando le persone non autorizzate non possono accedervi e le procedure di autenticazione non possono essere aggirate o falsificate. L'obiettivo è garantire la sicurezza dei vostri dati e impedire che qualcuno possa spacciarsi per voi utilizzando il vostro identificativo AGOV.

Le seguenti misure garantiscono l'elevato livello di sicurezza di AGOV:

  • in AGOV vengono utilizzati solo fattori di identificazione forti che non possono essere falsificati;
  • AGOV è gestito in centri di calcolo sicuri situati in Svizzera, che appartengono a imprese con sede e partecipazione di maggioranza in Svizzera oppure alla Confederazione Svizzera;
  • i telefoni cellulari* e le chiavette di sicurezza non sufficientemente protetti o privi di un'adeguata certificazione sono bloccati per l'utilizzo come fattori di connessione dell'AGOV-Login;
  • AGOV è stato sviluppato da esperti svizzeri di sicurezza, rinomati per l'affidabilità e la robustezza del loro codice di programmazione;
  • la sicurezza di AGOV viene verificata tramite programmi «bug bounty» e «penetration testing». I metodi di verifica sono descritti di seguito.

*Hardware senza elementi di sicurezza, sistema operativo obsoleto, hardware obsoleto, sistema operativo manomesso (rooting/jailbreak, emulatori).

Anche gli utenti hanno un impatto diretto sulla sicurezza di AGOV:

  • Assicuratevi di essere l'unica persona in grado di utilizzare i vostri dati di accesso.
  • Lo stesso vale per i Suoi dispositivi. Ne protegga l’accesso e li mantenga aggiornati.
  • Scansionate il codice QR esclusivamente sul sito ufficiale di AGOV. Maggiori informazioni sono disponibili all'indirizzo agov.ch/qr.

Qualità

La qualità del prodotto AGOV nonché dei processi amministrativi connessi ad AGOV è garantita da una chiara ripartizione dei compiti e dei ruoli tra gli organi di indirizzo, di concertazione, di inquadramento giuridico, di verifica della qualità e di vigilanza, in forma schematica:

Indirizzo → Concertazione → Quadro giuridico → Verifica della qualità → Vigilanza

Cancelleria federale
La Cancelleria federale (CaF TDT) assicura la direzione e la gestione complessiva di AGOV. Essa attribuisce i mandati relativi al prodotto AGOV (architettura, sviluppo, esercizio, manutenzione e garanzia della qualità) e definisce i processi amministrativi connessi ad AGOV. È inoltre responsabile della governance generale e del coordinamento degli attori coinvolti.

AGOV Steering Committee (ASC) e comitato direttivo dei servizi standard (FSD)
Per l’Amministrazione digitale Svizzera (ADS), la Cancelleria federale (CaF TDT) presiede l’AGOV Steering Committee (ASC), nel quale sono rappresentate le autorità che utilizzano AGOV. L’ASC garantisce che AGOV soddisfi le esigenze attuali e future delle autorità svizzere. Poiché AGOV rientra tra i servizi standard TIC dell’Amministrazione federale, i requisiti specifici della Confederazione relativi ad AGOV sono inoltre trattati nell’ambito dell’Comitato direttivo dei servizi standard (FSD) conformemente a W008.

Ufficio federale di giustizia (UFG)
L’Ufficio federale di giustizia (UFG) assume, nel contesto di AGOV, un ruolo giuridico-normativo. È in particolare competente per le basi legali e regolamentari applicabili, segnatamente la legge sull’organizzazione del Governo e dell’Amministrazione (LOGA) con la relativa ordinanza (OLOGA), la legge LMeCA con la relativa ordinanza di esecuzione (OMeCA), nonché la legge federale sull’identità elettronica (LIdE) con la relativa ordinanza (OIdE) (🔍), come pure altri atti giuridici applicabili.

AGOV Compliance Audit Body (ACA)
L’AGOV Compliance Audit Body (ACA) è un’istanza esterna e indipendente incaricata dalla Cancelleria federale di verificare annualmente, a partire dal 2026, la qualità dei processi amministrativi connessi ad AGOV. I risultati delle verifiche sono documentati e pubblicati in un rapporto di audit.

Controllo federale delle finanze (CDF)
Il Controllo federale delle finanze (CDF) esercita la vigilanza sull’Amministrazione federale nell’ambito del proprio mandato legale. Tale vigilanza comprende l’informatica dell’Amministrazione federale e, di conseguenza, anche AGOV.

Programma «bug bounty»

Che cos’è un programma «bug bounty»?
Il concetto nasce dall’unione di due parole inglesi: «bug» (errore) e «bounty» (compenso). Si tratta di un programma che incarica hacker etici di identificare e documentare eventuali vulnerabilità nei sistemi informatici. Per ogni falla individuata è previsto un compenso. Gli hacker etici spesso individuano punti deboli che i classici test e controlli di sicurezza («penetration test» e «security review») non rilevano.

Che cos’è il programma «bug bounty» AGOV?
Il programma «bug bounty» AGOV si svolge nell’ambito del programma «bug bounty» dell’Amministrazione federale, il quale è supervisionato dall’Ufficio federale della cibersicurezza (UFCS) e gestito da Bug Bounty Switzerland SA. Dall’8 dicembre 2025 il programma sarà reso pubblico: tutti i ricercatori di sicurezza interessati potranno registrarsi sulla piattaforma apposita gestita dall’UFCS e prendere parte al programma.

Maggiori dettagli e registrazione: bugbounty.ch/agov
Release notes AGOV: agov.ch/rn

Come si segnala una vulnerabilità senza registrazione?Si prega di seguire le istruzioni alla pagina «Segnalazione di una falla di sicurezza»: Segnalazione di una falla di sicurezza

Penetration test

Immagine rappresentativa del «penetration test»: una persona cerca di aprire una porta con un martello.
Che cos’è un «penetration test»?
Tramite il «pentesting» (contrazione di «penetration testing») si stabilisce se un sistema informatico è sicuro. La sicurezza è garantita se il trattamento dei dati è consentito esclusivamente a persone o sistemi terzi autorizzati. Per svolgere i «pentesting» vengono incaricate persone esperte, le quali ricevono le informazioni sull’architettura e sulla programmazione del sistema. In seguito, verificano se il sistema impedisce gli accessi non autorizzati in modo affidabile, tentando di accedere al sistema senza autorizzazione e adoperando gli strumenti più innovativi che utilizzerebbero anche potenziali veri aggressori.

Che tipo di «penetration test» vengono svolti su AGOV?
L’unità «Trasformazione digitale e governance delle TIC» della Cancelleria federale ha incaricato l’Ufficio federale dell’armamento (armasuisse) di svolgere un «pentesting» su AGOV. L’eliminazione di eventuali vulnerabilità identificate tramite il test viene affidata dalla Cancelleria federale all’Ufficio federale dell’informatica e della telecomunicazione. In caso vengano introdotte nuove funzioni in AGOV, il «pentesting» verrà ripetuto e ampliato per testare anche le ultime novità.