Cyber war e diritto

Dimenticate la tattica oplitica di combattimento, le trincee e le armi da fuoco. Ormai i conflitti si svolgono in modo silenzioso, a distanza e senza macchiarsi (fisicamente) di sangue.

Oggi quasi tutti i settori vitali di un Paese sono vulnerabili, essendo collegati a sovrastrutture informatiche. E-commerce, e-banking, gas, elettricità, trasporti, sistemi di difesa e sorveglianza possono essere colpiti da attacchi sintattici o semantici. I primi sono diretti contro un preciso bersaglio, per neutralizzarlo o distruggerlo usando virus, worms o Trojan Horses. I secondi consistono nella diffusione di false informazioni o richieste per coprire le proprie tracce e indirizzare il nemico verso una direzione sbagliata (es. attacco DDoS o DoS per impedire agli utenti l’accesso ad un servizio o risorsa).

Questi strumenti, sperimentati nei teatri di guerra tradizionali, sono spesso utilizzati da vari individui o gruppi organizzati che non sempre sono alle dipendenze degli Stati. Nel 2007 in Estonia intervenne la NATO per proteggere sistemi informatici del paese da attacchi DDoS, probabilmente della Russia, contro siti web nazionali. Il governo statunitense tra il 2006 e il 2008 ha condotto attacchi informatici con il virus STUXNET per distruggere il programma nucleare iraniano. Nel 2014 la JP Morgan Chase & Co, e nel 2016 la banca centrale del Bangladesh, sono state vulnerate da criminali informatici.

Gli Stati si concentrano sempre più nella lotta al cyber crime. In Italia l’ultimo pacchetto di riforme legislative per adeguare i nostri sistemi di sicurezza è del 2017. L’Unione europea conduce dai primi anni 2000 una campagna di armonizzazione degli ordinamenti nazionali in materia di cyber defence.

Nella comunità internazionale, invece, sorgono problemi circa la legittima difesa degli Stati in caso di cyber war. Quando, come e contro chi si può reagire?

L’art. 51 della Carta ONU riconosce il diritto naturale di autotutela per uno Stato (successivamente a un attacco armato) di difendersi rispettando i principi di proporzionalità e immediatezza della risposta. Dal 1945, però, le tecniche dei conflitti armati si sono evolute, e ci si domanda se un attacco informatico sia considerabile come attacco armato.

Sembrerebbe di sì, essendo la cyber war un impiego di particolari strumenti tecnico-informatici in una guerra di stampo tradizionale. Per la dottrina più recente gli effetti di una guerra cibernetica sono paragonabili a quelli armati tradizionali. La gravitàà dei danni, la velocità di manifestazione degli effetti e il grado di invasività di queste penetrazioni ci fanno propendere per una loro assimilazione.

Per permettere, però, a uno Stato di intervenire in legittima difesa contro un attacco informatico rivolto a sé o a un altro Stato, è necessario che l’attacco sia già stato sferrato e che ci sia stato un effettivo riconoscimento del suo autore.

La legittima difesa. Sin dagli anni ’90 il Consiglio di Sicurezza dell’ONU ha comunque acconsentito a un uso della legittima difesa preventivo, cioè compiuto contro attacchi non ancora sferrati ma con un’alta probabilità di realizzazione, se ce ne sono prove certe. Questo si adatta perfettamente alla prevenzione di attacchi più sfumati, come quelli cyber (soprattutto se questi sono il preludio di attacchi militari tradizionali).

Rimangono però tre problemi: si deve stabilire il grado di danni (tipici di un attacco armato convenzionale) necessari affinché si possa intervenire in legittima difesa; individuare l’effettivo responsabile dell’attacco; stabilire le modalità di reazione.

Ciò è reso sempre più nebuloso perché la cyber war supera i confini geografici ed è spesso condotta da soggetti non statali. Ad esempio, un gruppo di hackers o terroristi coordinati (o un singolo individuo che neppure sa di concorrere con altri in un attacco illegale), disseminati su più Stati, sono riconducibili al disegno di un unico Stato? Si deve reagire contro di loro o contro lo Stato che li coordina? Quale tasso di danni si deve subire per ritenerlo un attacco armato tradizionale?

Innanzitutto, si devono paragonare gli effetti che questi attacchi hanno sul sistema del paese e sulle persone (direttamente o indirettamente) agli effetti che avrebbe un conflitto tradizionale. Se c’è un’assimilazione si ammette una reazione legittima ex art. 51 Carta ONU.

Per l’imputabilità dell’atto a uno Stato (che si nasconda dietro a singoli operatori) si opera un criterio di controllo effettivo della riconducibilità a esso, come affermato dal “Progetto di articoli sulla responsabilità internazionale dello Stato” del 2001, e si reagisce contro di questo.

Le soluzioni. Infine, a un attacco informatico si può rispondere con lo stesso sistema o con contromisure. Non è, per ora, riconosciuta l’immediata possibilità di reagire militarmente. In futuro potrebbe essere ammesso ma comunque entro il limite della proporzionalità (alquanto difficile da calcolare e con rischi di eccesso di legittima difesa).

Per ridurre il rischio di un’escalation militare sono necessarie regole internazionali più chiare per una maggiore sicurezza informatica. Telekom ha proposto una “World Cyber Security Organization”. Microsoft sostiene una “convenzione digitale di Ginevra” per bandire determinate armi cibernetiche. Berlino ha dichiarato di riservarsi il diritto di rispondere a un attacco informatico con un attacco militare. Londra considera una giusta causa il rispondere con un attacco armato a un cyber-aggressore. Il G7 ha adottato una Dichiarazione non vincolante sul comportamento responsabile degli Stati nel cyberspazio.

L’attuale scandalo Huawei dimostra come la interconnessione dei sistemi informatici possa favorire il cyber spionaggio e adombrare una guerra tecnologica.

Purtroppo, non esistono ancora norme espresse e una prassi consolidata da parte degli Stati, attori fondamentali nel diritto internazionale. Ma il quadro normativo sembra applicabile ai conflitti nel cyber space.