0,00€

Nessun prodotto nel carrello.

0,00€

Nessun prodotto nel carrello.

TematicheCyber e TechCyberspazio: quale ruolo per il diritto internazionale? Intervista alla...

Cyberspazio: quale ruolo per il diritto internazionale? Intervista alla Prof.ssa Annita Larissa Sciacovelli

-

Il cyberspazio ha acquisito una sempre maggiore rilevanza per i conflitti odierni, come dimostrato dal conflitto russo-ucraino e da quello tra Hamas e Israele, che sono stati preceduti e accompagnati da un incremento notevole di attacchi cibernetici. Ad oggi, la condizione di instabilità e crisi che attraversa il vicinato euroatlantico si riflette anche nel dominio cyber e gli Stati continuano a sviluppare capacità offensive, convinti che l’attacco sia sempre la migliore difesa. In tale contesto, qual è il ruolo del diritto internazionale? Ne abbiamo parlato con Annita Larissa Sciacovelli, Professore aggregato di Diritto internazionale presso il Dipartimento di giurisprudenza dell’Università degli studi di Bari Aldo Moro e Componente dell’Advisory Group dell’Agenzia dell’Unione europea per la cybersecurity (ENISA).

Quali sono i principali trend di minaccia che interessano il cyberspazio e in che modo si riflettono sugli equilibri geopolitici?

Oggi il cyberspazio vive una dinamicità senza precedenti: le superfici di attacco si espandono rapidamente e in modo continuo, gli attacchi diventano sempre più sofisticati, anche grazie allo sviluppo di nuove tecnologie, come ad esempio l’intelligenza artificiale e, in futuro, anche grazie al quantum computing. L’AI rappresenta una disruptive technology e viene utilizzata per compiere attacchi di social engineering, come il phishing o l’assistent target identification. L’AI driven behaviour analysis, poi, viene utilizzata per la profilazione sociale degli individui che sono maggiormente influenzabili dalle notizie in rete e quindi per condurre le c.d. influence operations. Queste rappresentano un grande problema per l’Unione europea in vista delle elezioni del Parlamento europeo del prossimo giugno, in quanto sono finalizzate alla polarizzazione dell’opinione pubblica. L’AI ha molteplici ulteriori applicazioni potenzialmente malevoli: pensiamo all’AI automated vulnerability scanning, strumento di identificazione delle vulnerabilità e l’AI smart data resorting, che permette agli attori malevoli, dopo aver violato i sistemi informatici, di fare una scansione dei dati per identificare quelli più significativi e strategici da esfiltrare ai danni dell’organizzazione colpita.

Ciò che preoccupa in tale contesto è anche il ricorso alla guerra ibrida, concetto che nel 2013 è stato riproposto dal generale Gerasimov, attuale capo dello stato maggiore generale delle Forze armate russe, sostenendo che i conflitti oggigiorno vanno combattuti non più soltanto attraverso i mezzi convenzionali, ma anche impiegando i mezzi diplomatici, strumentalizzando i flussi di migranti e minando la sicurezza energetica e alimentare dei Paesi occidentali.

Per quanto riguarda il conflitto russo-ucraino, è importante dire che le ostilità contro l’Ucraina sono iniziate nel 2014 con l’occupazione della Crimea e che già allora la Federazione Russa ha condotto attacchi cibernetici massicci contro il Paese, che per questo motivo è considerato il test bed cibernetico di Mosca. Occorre poi precisare che l’invasione dell’Ucraina di febbraio 2022 è stata preceduta un mese prima da movimenti laterali nel cyberspazio da parte della Federazione Russa e dei suoi proxies, che poi sono andati intensificandosi. Dall’invasione in poi, si sono registrate numerosissime operazioni di cyberspionaggio e di operazioni di disinformazione e anche di video deepfake su Youtube creati con l’AI, come ad esempio il video in cui il presidente ucraino Zelensky invitava le sue truppe alla resa all’esercito russo. 

Oggigiorno, data l’interazione tra dominio cibernetico e mondo fisico, le agenzie di intelligence prestano sempre maggiore attenzione alle attività di tipo malevolo nel primo dominio, perché non si può più escludere che esse siano il preludio ad attacchi di tipo cinetico o dell’aggravarsi di tensioni internazionali. Ad esempio, alcuni esperti temono che il taglio dei cavi sottomarini nello spazio di mare che divide Cina e Taiwan possa essere letto in tal modo. 

Per comprendere poi lo scenario attuale che caratterizza il cyberspazio, il primo step è identificare quali siano le minacce più rilevanti, sia a livello globale sia europeo. A tal proposito, l’ENISA identifica nel suo report annuale “ENISA Threat Landscape” le minacce che hanno maggiormente caratterizzato il 2023. Tra queste, troviamo gli attacchi Distributed Denial of Service (DDoS) e quelli di tipo ransomware, che vengono utilizzati in una vera e propria strategia, che si sviluppa tramite due canali: quello militare e quello criminale. Per quanto riguarda il primo, gli Stati sono ormai dotati di unità militari di combattimento in ambito cyber, che sono molto sofisticate, i cosiddetti “Nation-state threat actors”. Stiamo assistendo a un cambiamento di paradigma del concetto di sicurezza. Sappiamo che circa un centinaio di Stati stanno facendo una vera e propria “cyber arms race”, cioè una corsa agli armamenti cibernetici: non investendo direttamente nello sviluppo di capacità offensive, ma sfruttando i gruppi di hacker criminali. Questo avviene per due motivi: innanzitutto, in tal modo gli Stati non devono affrontare investimenti per lo sviluppo di capacità offensive (in termini di risorse economiche e di formazione del personale); in secondo luogo, poi, il fatto che gli Stati agiscano tramite le cybergang permette loro di non essere identificati come responsabili a livello internazionale degli attacchi informatici. Per il diritto internazionale, infatti, è molto complesso dimostrare che questi gruppi agiscono come “agenti di fatto” di uno Stato, cioè che compiono delle attività illecite per conto di quello Stato.

Infine, è molto importante comprendere chi siano gli attori di minaccia nel cyberspazio e quali le loro motivazioni e obiettivi. La figura del criminal hacker, ben diverso dal concetto di “hacker” che non persegue obiettivi criminali, è cambiata negli anni. Ad oggi, le organizzazioni di cybercrime sono delle vere e proprie aziende multinazionali che operano da più parti nel globo, che forniscono servizi criminali, quali ad esempio la vendita nel dark web sia di toolkit per condurre attacchi informatici (Ransomware-as-a-Service) a prezzi modici sia di servizi di assistenza 24/7 anche di natura finanziaria e di riciclaggio delle criptovalute. Inoltre, la sempre maggiore sofisticazione degli attacchi e l’utilizzo di strumenti, quali Virtual Private Network (VPN) e server proxy, permettono agli attori malevoli di agire nell’anonimato, impedendo una precisa attribuzione degli attacchi informatici e rendendo molto complessa la repressione del fenomeno criminoso.

In tale contesto, che ruolo gioca il diritto internazionale e quali sono i meccanismi a disposizione degli Stati per cooperare in ambito cyber e provare a creare un clima di maggiore stabilità? 

Innanzitutto, è fondamentale comprendere che il diritto cerca di disciplinare le evoluzioni sociali e tecnologiche. Ricordiamo che i latini dicevano “ibi ius ubi societas”. Quanto detto vale anche per il diritto internazionale che nasce dalla collaborazione tra gli Stati in seno alle conferenze diplomatiche e alle organizzazioni internazionali. Già dagli anni ‘90, le Nazioni Unite hanno cercato di individuare la normativa applicabile al cyberspazio trasponendo in maniera analogica i principi di diritto internazionale. L’obiettivo delle Nazioni Unite è quello di creare un cyberspazio aperto e sicuro e in cui sia rispettato il principio di sovranità degli Stati, i diritti umani e le libertà fondamentali.

A tal proposito, in seno all’ONU sono stati costituiti due gruppi di lavoro: il Group of Governmental Experts (GGE) e l’Open-ended Working Group (OEWG). Il primo, creato per volontà di Stati Uniti e Regno Unito, ha iniziato a lavorare nel 2003 ed è composto da 25 esperti; la Cina e la Federazione Russa, non essendo d’accordo sulle modalità di composizione del GGE, hanno spinto per la creazione di un gruppo più aperto. Così, nel 2019 è stato creato l’Open-ended Working Group. In ambedue i gruppi di lavoro gli Stati hanno dimostrato di essere d’accordo sull’applicazione anche nel cyberspazio del principio del divieto di ingerenza nelle attività interne agli altri Stati e sulla proibizione dell’uso della forza nelle relazioni internazionali, ex articolo 2, paragrafo 4, della Carta delle Nazioni Unite, pur essendovi divergenze circa le sue modalità di applicazione. Infatti, non hanno trovato ancora un accordo su quale debba essere la definizione di attacco cibernetico e quali siano le tipologie di azioni consentite per rispondere a tali attacchi. In questo ambito, un riferimento importante è rappresentato dai due Manuali di Tallinn, il primo sul diritto internazionale applicabile alla guerra cyber del 2013, il secondo sul diritto internazionale applicabile alle operazioni cibernetiche del 2017. Ambedue i manuali sono stati scritti da un pool di esperti di cybersecurity, guidati dal Prof. Michael Schmitt, e rappresentano un primo framework di norme di diritto internazionale applicabili alle attività malevoli compiute dagli Stati (e non solo) nel cyberspazio.

In seno alle Nazioni Unite, poi, si sta lavorando per adottare un Trattato internazionale sul crimine informatico basato sull’esperienza della Convenzione di Budapest sul cybercrime, che è il primo trattato internazionale per il contrasto dei reati informatici, adottato in seno al Consiglio d’Europa e al quale hanno aderito 68 Stati, fra cui molti Stati non membri del Consiglio medesimo.

In Unione europea, è stato definito il cyber diplomacy toolbox, che fornisce agli Stati Membri una serie di strumenti per la prevenzione dei conflitti e il contrasto degli attacchi informatici. Esistono dei meccanismi analoghi a livello internazionale?

L’EU Cyber Diplomacy Toolbox rappresenta uno strumento molto utile per l’Unione perché permette, una volta identificato l’incidente e il responsabile, di adottare una serie di misure, quali il congelamento dei suoi conti bancari e il divieto di ingresso negli Stati Membri dell’UE. È un’attività che permette di evitare l’escalation nel dominio cibernetico in caso di una risposta a un attacco cyber che possa anche essere erroneamente attribuito – direttamente o indirettamente – a uno Stato, con possibili reazioni anche di tipo cinetico. Purtroppo, in ambito internazionale non esiste un meccanismo analogo, ma sarebbe auspicabile che venisse creato dalle Nazioni Unite.

L’elemento essenziale per attivare questo meccanismo è l’attribution, che nel cyberspazio rappresenta la maggiore criticità sotto il profilo tecnico, legale e politico. Per quanto riguarda il primo aspetto, i criminal hackers hanno a disposizione numerosi strumenti (es. VPN) per nascondere la propria identità ed evitare che le attività malevoli siano riconducibile ad essi. Dal punto di visto del diritto internazionale, per poter attribuire un attacco cibernetico, è necessario seguire una serie di step che sono previsti nel “Progetto di articoli sulla responsabilità internazionale dello Stato” redatto dalla Commissione di diritto internazionale dell’ONU nel 2001. In questo si sottolinea che è necessario dimostrare che gli “agenti di fatto”, cioè coloro che compiono attività malevoli per conto di uno Stato, abbiano operato sotto la direzione o il controllo o su istruzioni dello stesso, il c.d. test del controllo effettivo. 

A tal riguardo, è di notevole interesse la sentenza della Corte internazionale di giustizia del 1986 nel caso “Attività militari e paramilitari in e contro il Nicaragua (Nicaragua vs. United States)”, in cui gli Stati Uniti erano ritenuti responsabili di aver finanziato i Contras per boicottare il governo nicaraguense. In tale sentenza, la Corte dell’Aja ricostruisce quali sono i requisiti per poter attribuire le attività di ‘agenti di fatto’ a uno Stato, tra questi vi sono le istruzioni e gli ordini impartiti dallo Stato, il finanziamento delle attività, il supporto logistico e la fornitura di armamenti. Lo stesso test è stato ribadito dalla Corte internazionale di giustizia nella sentenza del 2007 relativa all’Applicazione della Convenzione sul genocidio (Bosnia Erzegovina c. Serbia Montenegro).

Il problema è che l’applicazione di tali requisiti alle operazioni svolte nel cyberspazio pone non pochi problemi: in merito al primo punto, è molto difficile dimostrare il collegamento tra Stato e agenti di fatto, in quanto le comunicazioni avvengono tramite canali protetti da crittografia end-to-end e che, quindi, sono difficilmente intercettabili. Con riferimento al finanziamento, oggi i gruppi di cybercrime utilizzano transazioni in criptovalute che sono raramente tracciabili; in merito alla logistica, invece, l’addestramento e gli attacchi non avvengono in un luogo fisico, in quanto i gruppi di cybercrime sviluppano le capability offensive in modo autonomo, senza ricevere indicazioni dallo Stato che li sponsorizza; né tantomeno c’è un trasferimento fisico di armi, in quanto queste sono digitali e vengono sviluppate dagli stessi gruppi criminali. 

Forse sarebbe preferibile rifarsi alla giurisprudenza del Tribunale penale internazionale ad hoc per i crimini commessi nella ex Jugoslavia, istituito dall’ONU nel 1993, che ha proposto come criterio di imputazione – a un determinato Stato della condotta di gruppi armati organizzati – il test del “controllo complessivo. In tal caso, il grado di controllo varia a seconda alle circostanze di fatto di ciascun caso. Quindi, per ritenere uno Stato responsabile per gli atti di un gruppo armato deve essere dimostrato che tale Stato esercita il controllo complessivo sul gruppo, non solo equipaggiandolo e finanziandolo, ma anche coordinando o aiutando nella pianificazione generale della sua attività militare. Pertanto, non sarebbe necessario dimostrare che lo Stato sia direttamente coinvolto nelle decisioni riguardanti ciascuna specifica azione militare.

Davide Lo Prete

Articoli Correlati

AI Act e aziende: tra innovazione e regolamentazione

L’adozione dell’AI Act rappresenta un passo fondamentale per disciplinare l’utilizzo dei sistemi di intelligenza artificiale soprattutto perché si tratta...

Le nuove frontiere del Cyber Organized Crime

Gli anni della pandemia da Covid-19 hanno apportato un grande cambiamento alla nostra società, portando all’utilizzo quotidiano e massivo...

IA – Instabilità Artificiale: l’incognita della militarizzazione tecnologica e il ruolo di insorgenti e rogue states

L'intelligenza artificiale è già approdata sul campo di battaglia, non è una novità. Quello che potrebbe cambiare nei prossimi...

Le Conferenze di Monaco sulla sicurezza: perché sono importanti e ci riguardano da vicino

Da anni Monaco ospita due importanti conferenze a tema Security: la Munich Security Conference, più datata, e la Munich...