Sicurezza
Un sistema di autenticazione come AGOV è considerato sicuro quando le persone non autorizzate non possono accedervi e le procedure di autenticazione non possono essere aggirate o falsificate. L'obiettivo è garantire la sicurezza dei vostri dati e impedire che qualcuno possa spacciarsi per voi utilizzando il vostro identificativo AGOV.
Le seguenti misure garantiscono l'elevato livello di sicurezza di AGOV:
- in AGOV vengono utilizzati solo fattori di identificazione forti che non possono essere falsificati;
- AGOV è gestito in centri di calcolo sicuri dell’Amministrazione federale;
- i telefoni cellulari* e le chiavette di sicurezza non sufficientemente protetti o privi di un'adeguata certificazione sono bloccati per l'utilizzo come fattori di connessione dell'AGOV-Login;
- AGOV è stato sviluppato da esperti svizzeri di sicurezza, rinomati per l'affidabilità e la robustezza del loro codice di programmazione;
- la sicurezza di AGOV viene verificata tramite programmi «bug bounty» e «penetration testing». I metodi di verifica sono descritti di seguito.
*Hardware senza elementi di sicurezza, sistema operativo obsoleto, hardware obsoleto, sistema operativo manomesso (rooting/jailbreak, emulatori).
Anche gli utenti hanno un impatto diretto sulla sicurezza di AGOV:
- Assicuratevi di essere l'unica persona in grado di utilizzare i vostri dati di accesso.
- Ciò vale anche per il codice di recupero, che deve essere conservato in un luogo sicuro.
- Scansionate il codice QR esclusivamente sul sito ufficiale di AGOV. Maggiori informazioni sono disponibili all'indirizzo agov.ch/qr.
Programma «bug bounty»
Che cos’è un programma «bug bounty»?
Il concetto nasce dall’unione di due parole inglesi: «bug» (errore) e «bounty» (compenso). Si tratta di un programma che incarica hacker etici di identificare e documentare eventuali vulnerabilità nei sistemi informatici. Per ogni falla individuata è previsto un compenso. Gli hacker etici spesso individuano punti deboli che i classici test e controlli di sicurezza («penetration test» e «security review») non rilevano.
Che cos’è il programma «bug bounty» AGOV?
Il programma «bug bounty» AGOV si svolge nell’ambito del programma «bug bounty» dell’Amministrazione federale, il quale è supervisionato dall’Ufficio federale della cibersicurezza (UFCS) e gestito da Bug Bounty Switzerland SA. Dall’8 dicembre 2025 il programma sarà reso pubblico: tutti i ricercatori di sicurezza interessati potranno registrarsi sulla piattaforma apposita gestita dall’UFCS e prendere parte al programma.
Maggiori dettagli e registrazione: bugbounty.ch/agov
Release notes AGOV: agov.ch/rn
Come si segnala una vulnerabilità senza registrazione?Si prega di seguire le istruzioni alla pagina «Segnalazione di una falla di sicurezza»: Segnalazione di una falla di sicurezza
Il concetto nasce dall’unione di due parole inglesi: «bug» (errore) e «bounty» (compenso). Si tratta di un programma che incarica hacker etici di identificare e documentare eventuali vulnerabilità nei sistemi informatici. Per ogni falla individuata è previsto un compenso. Gli hacker etici spesso individuano punti deboli che i classici test e controlli di sicurezza («penetration test» e «security review») non rilevano.
Che cos’è il programma «bug bounty» AGOV?
Il programma «bug bounty» AGOV si svolge nell’ambito del programma «bug bounty» dell’Amministrazione federale, il quale è supervisionato dall’Ufficio federale della cibersicurezza (UFCS) e gestito da Bug Bounty Switzerland SA. Dall’8 dicembre 2025 il programma sarà reso pubblico: tutti i ricercatori di sicurezza interessati potranno registrarsi sulla piattaforma apposita gestita dall’UFCS e prendere parte al programma.
Maggiori dettagli e registrazione: bugbounty.ch/agov
Release notes AGOV: agov.ch/rn
Come si segnala una vulnerabilità senza registrazione?Si prega di seguire le istruzioni alla pagina «Segnalazione di una falla di sicurezza»: Segnalazione di una falla di sicurezza
Penetration test
Che cos’è un «penetration test»?
Tramite il «pentesting» (contrazione di «penetration testing») si stabilisce se un sistema informatico è sicuro. La sicurezza è garantita se il trattamento dei dati è consentito esclusivamente a persone o sistemi terzi autorizzati. Per svolgere i «pentesting» vengono incaricate persone esperte, le quali ricevono le informazioni sull’architettura e sulla programmazione del sistema. In seguito, verificano se il sistema impedisce gli accessi non autorizzati in modo affidabile, tentando di accedere al sistema senza autorizzazione e adoperando gli strumenti più innovativi che utilizzerebbero anche potenziali veri aggressori.
Che tipo di «penetration test» vengono svolti su AGOV?
L’unità «Trasformazione digitale e governance delle TIC» della Cancelleria federale ha incaricato l’Ufficio federale dell’armamento (armasuisse) di svolgere un «pentesting» su AGOV. L’eliminazione di eventuali vulnerabilità identificate tramite il test viene affidata dalla Cancelleria federale all’Ufficio federale dell’informatica e della telecomunicazione. In caso vengano introdotte nuove funzioni in AGOV, il «pentesting» verrà ripetuto e ampliato per testare anche le ultime novità.
Tramite il «pentesting» (contrazione di «penetration testing») si stabilisce se un sistema informatico è sicuro. La sicurezza è garantita se il trattamento dei dati è consentito esclusivamente a persone o sistemi terzi autorizzati. Per svolgere i «pentesting» vengono incaricate persone esperte, le quali ricevono le informazioni sull’architettura e sulla programmazione del sistema. In seguito, verificano se il sistema impedisce gli accessi non autorizzati in modo affidabile, tentando di accedere al sistema senza autorizzazione e adoperando gli strumenti più innovativi che utilizzerebbero anche potenziali veri aggressori.
Che tipo di «penetration test» vengono svolti su AGOV?
L’unità «Trasformazione digitale e governance delle TIC» della Cancelleria federale ha incaricato l’Ufficio federale dell’armamento (armasuisse) di svolgere un «pentesting» su AGOV. L’eliminazione di eventuali vulnerabilità identificate tramite il test viene affidata dalla Cancelleria federale all’Ufficio federale dell’informatica e della telecomunicazione. In caso vengano introdotte nuove funzioni in AGOV, il «pentesting» verrà ripetuto e ampliato per testare anche le ultime novità.