L’applicazione di norme condivise a livello internazionale rappresenta una delle principali problematiche nel dominio cibernetico. Tuttavia, è diffusa la prassi che applica al cyberspazio il diritto internazionale, come dimostrato dall’azione degli Stati, dalle considerazioni del Tallinn Manual e dal report del Group of Governmental Experts (GGE) 2019-2021 dell’ONU. In tal senso, l’Italia ha pubblicato da pochi giorni il “Position Paper sul Diritto internazionale e il cyberspazio”, redatto dal Ministero degli Affari Esteri e della Cooperazione Internazionale (MAECI) in collaborazione con la Presidenza del Consiglio dei Ministri e il Ministero della Difesa. Il documento affronta 11 aspetti differenti, dalla sovranità digitale alla tutela dei diritti umani.
Innanzitutto, l’Italia adotta le conclusioni del Group of Governmental Experts e dell’Open-ended Working Group (OEWG) dell’ONU secondo cui il diritto internazionale – e in particolare la Carta delle Nazioni Unite – “si applica al cyberspazio ed è fondamentale per mantenere la pace e la stabilità”. Il problema non riguarda soltanto quali norme adottare, ma anche come applicarle a un dominio a-territoriale. Il documento sottolinea come i concetti di pace e di sicurezza internazionale trascendano la mera dimensione militare. Questo passaggio è di particolare rilevanza, in quanto nel cyberspazio il confine tra militare e civile è molto labile. La digitalizzazione e la dipendenza da Internet della società, infatti, fanno sì che questa sia sempre più esposta ad attacchi informatici, come dimostrato dall’aumento degli attacchi a livello globale (+12% rispetto al 2020). È fondamentale, quindi, adottare misure concrete per mitigare operazioni cibernetiche ostili che sono al di sotto del livello di conflitto armato.
Volendo procedere per ordine, nel paper viene in primis affrontato il tema della sovranità e della violazione del principio del non intervento. Secondo l’Italia, il principio di sovranità proibisce a uno Stato di condurre operazioni cibernetiche che producono un danno sul territorio di un altro Stato. Tali azioni sarebbero – allo stesso tempo – una violazione del principio di non intervento negli affari interni di un altro Stato, regola del diritto internazionale che risale al 1830. A tal riguardo, il documento fa riferimento ad azioni di influenza, quali la manipolazione delle elezioni o la manomissione delle infrastrutture sanitarie. Con riferimento alla prima minaccia, il caso più rilevante è quello delle elezioni presidenziali statunitensi del 2016, influenzate dal governo russo attraverso campagne di disinformazione. Il secondo caso riguarda l’Italia più da vicino, visto il recente attacco alla Regione Lazio, che ha messo fuori uso il sistema di prenotazione dei vaccini.
Nel documento poi, si tratta il problema dell’attribuzione degli attacchi informatici, ossia della responsabilità. Questo è uno dei principali dilemmi del cyberspazio, in quanto non è facile individuare l’autore di operazioni cibernetiche, soprattutto se si tratta di gruppi state-sponsored, dotati di una maggiore capacità di nascondere le proprie “tracce” rispetto ad altri attori malevoli. Secondo l’Italia, l’attribuzione è una “prerogativa nazionale” e deve avvenire sulla base di prove certe e affidabili. Inoltre, il Paese concorda con l’idea che tale attribuzione sia regolata dalle norme del diritto internazionale sull’attribuzione delle condotte statali, così come codificate dagli articoli della Commissione di diritto internazionale (ILC) sulla responsabilità degli Stati per Atti internazionalmente illeciti (ARSIWA).
Il tema della dovuta diligenza, invece, riguarda l’obbligo per gli Stati di non permettere che sul proprio territorio vengano condotte “azioni contrarie al diritto di altri Stati” e, quindi, adottare tutte le possibili misure atte a prevenire, eliminare o mitigare gli effetti dannosi di operazioni cibernetiche proveniente dal proprio territorio. Qualora uno Stato non sia in grado di prevenire o mitigare tali effetti, pur adottando tutte le misure necessarie, non può essere ritenuto responsabile.
Un altro aspetto che necessita una trattazione approfondita è quello delle contromisure da adottare in risposta a un attacco cibernetico. Secondo l’Italia, queste rappresentano uno strumento adeguato contro gli “atti illeciti a livello internazionale”. Tuttavia, la loro adozione incontra dei limiti, quali la difficoltà di individuare il responsabile degli attacchi. Inoltre, tali misure, prima di essere messe in atto devono essere comunicate alla comunità internazionale, ad eccezione dei casi che necessitano un’azione immediata. Le contromisure, poi, non possono consistere nella minaccia o nell’utilizzo della forza: si vedano, ad esempio, le misure restrittive adottate nel 2020 dall’UE nei confronti di persone ed entità “responsabili di aver compiuto vari attacchi informatici o di avervi preso parte”.
A tal fine, risulta fondamentale capire cosa si intenda per “uso della forza” e per “operazioni cibernetiche ostili”. Secondo quanto scritto nel documento, l’Italia definisce come “uso della forza” “un’operazione cibernetica condotta da uno Stato contro un altro, la cui intensità e i cui effetti sono paragonabili a quelli relativi all’utilizzo convenzionale della forza, che causi danno fisico o perdita di vite umane”. Come sottolineato nel documento, poi, potrebbero essere ricondotte a tale categoria anche quelle operazioni che hanno un effetto “disabilitante”. La società, infatti, è dipendente dalle reti e dai sistemi informatici a tal punto che un attacco perpetrato nel cyberspazio potrebbe causare l’interruzione di servizi essenziali, come nei recenti casi di attacchi informatici a Colonial Pipeline, alla Regione Lazio e al sistema sanitario nazionale irlandese. A tal fine, sarà fondamentale che il Paese implementi in modo adeguato le misure previste dal Perimetro di sicurezza nazionale cibernetica, creato per aumentare il livello di cybersecurity delle reti e dei sistemi informatici nazionali, con particolare riferimento alle infrastrutture critiche.
Infine, il paper affronta due importanti tematiche: i diritti umani e la cooperazione. In merito alla prima, l’Italia ritiene che nel cyberspazio si debba applicare il diritto internazionale dei diritti umani e che ogni Stato debba tutelare tali diritti sia nel mondo reale che in quello digitale, con particolare riferimento alla libertà di espressione, al diritto di accesso alle informazioni e al diritto alla privacy. A tal riguardo, l’ambasciatrice Laura Carpini, capo Unità per le politiche e la sicurezza dello spazio cibernetico della Farnesina, ha sottolineato come l’inclusione di un paragrafo dedicato ai diritti sia stata “una scelta voluta e non scontata”.
La cooperazione è uno strumento fondamentale nel dominio cibernetico. Non a caso, nell’ultimo anno sia in ambito NATO che in ambito UE, è stata sottolineata l’importanza che i paesi collaborino per rafforzare le misure di prevenzione e di contrasto agli attacchi informatici. Nel documento si legge che l’Italia “promuove la cooperazione internazionale per migliorare la resilienza cibernetica e la stabilità internazionale”, facendo leva – in particolare – sulle misure di rafforzamento della fiducia tra Paesi e sulla condivisione delle informazioni.
Conclusioni
Con la pubblicazione del Position Paper, l’Italia ha voluto dare il proprio contributo al dibattito multilaterale sull’applicabilità del diritto internazionale al cyberspazio. Individuare delle norme applicabili universalmente nel dominio cibernetico è un tema di particolare criticità, anche a causa delle diverse definizioni che gli Stati danno di “attacco cibernetico”, “uso della forza” e “attacco armato”. Un altro problema consiste poi nel fatto che molti attacchi cibernetici sono di bassa intensità e, non avendo un impatto diretto sulla sicurezza nazionale, ricadono in una zona grigia, tra guerra e pace, come evidenziato dal professore Martin Libicki nel paper Expactations of Cyber Deterrence. Proprio per tale motivo, la cooperazione nel cyberspazio riveste un ruolo chiave. In tal senso, acquisisce una grande rilevanza la creazione dell’Agenzia per la cybersicurezza nazionale, in quanto essa non solo rappresenta il punto di contatto unico NIS (Network and Information Security), ma ha il potere di stipulare trattati bilaterali e multilaterali con Stati e Organizzazioni regionali e internazionali.
L’Italia sta quindi dimostrando di voler giocare un ruolo di primo piano nel cyberspazio, riaffermando il proprio sostegno al multilateralismo sia sul piano europeo sia su quello internazionale, anche attraverso un’attiva partecipazione ai gruppi di lavoro della Nazioni Unite (GGE e OEWG).
Davide Lo Prete,
Geopolitica.info
