Quello della cyberwarfare non è certo un fenomeno nuovo, ma l’attuale conflitto Russia-Ucraina, combattuto non solo con armi convenzionali, ma attraverso il costante utilizzo di risorse informatiche ed elettroniche volte ad indebolire il sistema paese avversario colpendone le infrastrutture critiche, ha attribuito allo stesso una rilevanza ed un’attenzione mediatica senza precedenti.
In un simile contesto, singolare importanza assume il dibattito, che da diverso tempo anima e divide la comunità internazionale, circa la possibilità di applicare le norme di diritto internazionale esistenti anche al dominio cyber.
In particolare, ci si è domandati se l’impiego di mezzi informatici contro uno Stato possa essere considerato una violazione dell’art. 2, par. 4, della Carta della Nazioni Unite, tale da giustificare la legittima operatività dell’art. 51 della stessa.
L’art. 2, par. 4, della Carta, secondo cui “i membri devono astenersi nelle loro relazioni internazionali dalla minaccia e dall’uso della forza, sia contro l’integrità territoriale o l’indipendenza politica di qualsiasi Stato, sia in qualunque altra maniera incompatibile con i fini delle Nazioni Unite”, detta un divieto assoluto dell’uso della forza da parte degli Stati membri, laddove per “forza” deve intendersi, secondo la dottrina maggioritaria, quella armata, militare o almeno violenta. Unica eccezione a questa norma imperativa è quella prevista dall’art. 51 della Carta medesima, il quale riconosce espressamente il diritto di legittima difesa allo Stato membro che subisce un attacco armato. Tuttavia, perché l’esercizio di tale diritto possa dirsi legittimo, è necessario non solo che la reazione risponda ai requisiti di immediatezza, necessità e proporzionalità rispetto all’attacco subito, ma che lo Stato coinvolto informi immediatamente il Consiglio di Sicurezza, unico organo a poter legittimare l’uso della forza nonché un eventuale intervento militare.
In relazione agli attacchi informatici, la maggior parte della comunità internazionale, specialmente nell’emisfero occidentale, riconosce la validità del diritto internazionale anche rispetto alla dimensione cibernetica.
Tuttavia, il carattere eterogeneo e multidimensionale degli attacchi informatici rende piuttosto complessa la valutazione su quando un attacco di tale specie possa costituire una violazione del divieto dell’uso della forza oppure integrare la fattispecie di attacco armato che legittima la difesa ai sensi dell’art. 51 della Carta ONU. Al fine di evitare un’interpretazione eccessivamente elastica di “uso della forza”, la maggioranza degli studiosi ha preferito porre l’accento sugli effetti e le conseguenze causati dall’attacco, orientandosi a ritenere applicabile l’art. 2, par. 4 in esame solo nel caso in cui l’uso malevolo della rete da parte di uno Stato o di entità diversamente riconducibili allo stesso, produca gli stessi effetti di un attacco armato convenzionale, e cioè provochi la distruzione di beni e/o la morte o la lesione fisica di individui.
In altri termini, per giustificare l’uso della forza da parte dello Stato aggredito, l’attacco cibernetico deve produrre i medesimi effetti di un attacco cinetico.
Questa interpretazione, adottata anche dal manuale – Tallin Manual – sul diritto internazionale applicabile ai conflitti cibernetici, elaborato dal NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), presenta il limite di escludere dall’applicazione dell’art. 2, par. 4 in questione tutte quelle azioni informatiche che non implicano danni fisici e visibili, come gli attacchi mirati ai dati ospedalieri, ai sistemi bancari o alle reti delle autorità statali, i quali hanno implicazioni principalmente nel dominio informatico ed, eventualmente, solo in modo indiretto negli altri domini. L’orientamento prevalente, pertanto, non tiene in adeguata considerazione il carattere ibrido del cyberspazio, riconoscendo valore solamente al dominio fisico dello stesso, senza valutare quello virtuale, all’interno del quale possono ugualmente condursi attacchi dannosi, come nel caso in cui vengano sottratte informazioni vitali per la sicurezza nazionale.
Dal punto di vista legale, un ulteriore profilo critico è rappresentato dal problema dell’attribuzione. Come riconosciuto dalla dottrina, l’imputabilità certa (o per lo meno molto probabile) di un attacco cibernetico ad un determinato soggetto è sul piano tecnico-informatico molto difficile.
Gli autori degli attacchi agiscono in modo anonimo, mascherando le proprie tracce, la propria identità e la propria posizione geografica. Alcuni malware sono addirittura concepiti per distruggersi una volta che hanno infettato il sistema, mentre particolari tecniche informatiche consentono di attribuire l’attacco direttamente ad altri soggetti. In questo modo è sempre più arduo, anche se non impossibile, determinare la vera fonte dell’attacco e l’origine dell’uso della forza, anche alla luce della proliferazione di attori non-statali. A tal riguardo, gli attacchi false flag sono in crescente aumento e dimostrare la complicità tra questi autori ed un attore statale si rivela tutt’altro che semplice. Infatti, quand’anche fosse possibile farlo, grazie all’attività di analisi delle agenzie di cybersicurezza e di intelligence, comunque l’attribuzione rimarrebbe incerta a causa della possibilità per gli Stati di negare ogni responsabilità (c.d. plausible deniability). Da ultimo, la mancanza di specifiche sanzioni sul piano internazionale pone un ulteriore problema giuridico e diplomatico di non minore importanza.
In conclusione, le peculiari caratteristiche del dominio cibernetico rivelano, oggi più che mai, la necessità di un intervento normativo che possa colmare le lacune presenti nel diritto internazionale, il quale, allo stato attuale, trova applicazione solo in parte in caso di attacchi informatici. Rispetto a tale materia occorre urgentemente adottare nuove regole di condotta efficaci erga omnes o, per lo meno, adeguare il quadro giuridico esistente, introducendo opportune sanzioni politiche ed economiche, anche in un’ottica di deterrenza.
Ludovica Pelachini
