nLPD e sicurezza informatica: cosa devono fare davvero le PMI svizzere

Scritto da ExposIQ | Gennaio 10, 2026

Da settembre 2023 e in vigore la nuova legge svizzera sulla protezione dei dati (nLPD). Molte PMI sono incerte: cosa dobbiamo implementare concretamente a livello tecnico? Basta un’informativa sulla privacy? Abbiamo bisogno di un consulente per la protezione dei dati?

Questo articolo spiega i requisiti tecnici della nLPD — senza linguaggio giuridico, con misure concrete.

Cosa richiede la nLPD a livello tecnico

L’articolo 8 della nLPD parla di «misure tecniche e organizzative adeguate» per proteggere i dati personali. Il Consiglio federale le ha specificate nell’Ordinanza sulla protezione dei dati (OPDa):

  • Controllo degli accessi: Chi ha accesso a quali dati?
  • Crittografia: I dati sono protetti durante la trasmissione e l’archiviazione?
  • Registrazione: Gli accessi e le modifiche sono documentati in modo tracciabile?
  • Disponibilita: Esistono backup e piani di ripristino?
  • Verifica regolare: Le misure vengono controllate periodicamente?

L’ultimo punto e decisivo — e quello piu spesso trascurato.

«Adeguate» — cosa significa concretamente?

La legge non richiede prodotti o certificazioni specifiche. «Adeguate» significa: proporzionate al rischio e alla dimensione dell’azienda.

Per una PMI con 20 collaboratori valgono standard diversi rispetto a una banca. Ma: «siamo troppo piccoli, non ci riguarda» non regge. La nLPD si applica a ogni azienda che tratta dati personali — e lo fa praticamente ogni PMI (dati dei clienti, dati dei collaboratori, indirizzi e-mail).

7 misure concrete che ogni PMI dovrebbe attuare

1. Imporre la crittografia
Tutti i servizi raggiungibili dall’esterno devono utilizzare TLS 1.2 o superiore. TLS 1.0 e 1.1 sono superati e considerati non sicuri.

2. Verificare i diritti di accesso
Chi ha accesso da amministratore? Chi puo accedere ai dati personali? Applicare il principio del minimo privilegio.

3. Mantenere il software aggiornato
Software obsoleto con vulnerabilita note rappresenta un rischio difficile da giustificare in caso di incidente.

4. Vulnerability scan regolari
L’OPDa richiede una «verifica regolare» delle misure di protezione. Un vulnerability scan automatizzato e il modo piu efficiente per soddisfare questo requisito.

5. Documentare la strategia di backup
Backup regolari con ripristino testato. Protezione contro i ransomware: almeno un backup offline o immutabile.

6. Pianificare la risposta agli incidenti
La nLPD richiede la notifica all’IFPDT entro 72 ore in caso di violazione della protezione dei dati. Un processo documentato e obbligatorio.

7. Aggiornare l’informativa sulla privacy
Obbligo di informare le persone interessate. Deve essere accessibile sul sito web e al momento della raccolta dei dati.

Cosa succede in caso di violazione?

La nLPD prevede multe fino a CHF 250’000 — e queste sono rivolte alla persona fisica responsabile, non all’azienda. Questo significa: direttori e responsabili IT sono personalmente responsabili.

Nella pratica, l’IFPDT (Incaricato federale della protezione dei dati e della trasparenza) puntera probabilmente prima sulla cooperazione e sul miglioramento. Ma: in caso di incidente, verra verificato se erano in atto misure di protezione adeguate. Chi non puo dimostrare nulla avra un problema.

La documentazione e la chiave

La nLPD non richiede certificazioni. Ma richiede che possiate dimostrare di aver adottato misure adeguate.

Concretamente, questo significa:

  • Misure di sicurezza informatica documentate
  • Rapporti di verifica regolari (ad es. rapporti di vulnerability scan)
  • Miglioramenti documentati
  • Diritti di accesso tracciabili

Un rapporto di scan professionale nella vostra lingua e esattamente il tipo di prova che un revisore o l’IFPDT vuole vedere.

Conclusione

La nLPD non e una legge sulla sicurezza informatica in senso stretto. Ma richiede misure tecniche che corrispondono agli standard di sicurezza informatica. Chi verifica regolarmente i propri sistemi e documenta i risultati soddisfa la maggior parte dei requisiti tecnici.

ExposIQ genera automaticamente rapporti di verifica conformi alla nLPD in tedesco, francese, italiano e inglese. I rapporti documentano i sistemi verificati, le vulnerabilita identificate e le misure raccomandate — esattamente cio che revisori e regolatori vogliono vedere.

Provatelo gratuitamente per 14 giorni.

ExposIQ è la piattaforma svizzera per la gestione automatizzata delle vulnerabilità. Aiutiamo le PMI e i fornitori di servizi IT a identificare e correggere le vulnerabilità – in modo sicuro, comprensibile e conforme alla nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Azienda

Chi siamo Contatto Blog
 Informativa sulla privacy Termini di utilizzo

Newsletter

[Insert your newsletter form here]

Copyright © ExposIQ Svizzera 2026. Tutti i diritti riservati.