0,00€

Nessun prodotto nel carrello.

0,00€

Nessun prodotto nel carrello.

TematicheCyber e TechL’applicazione del diritto umanitario alle operazioni cyber in guerra 

L’applicazione del diritto umanitario alle operazioni cyber in guerra 

-

L’uso delle operazioni cyber nei conflitti armati è oggi una realtà, come dimostrato dal conflitto in Ucraina. In un simile contesto, è cruciale comprendere come le attuali norme di diritto internazionale umanitario possano applicarsi all’uso di tali operazioni che rivoluzionano il concetto di conflitto contemporaneo.

Il 2022 è stato più volte definito dagli esperti come l’anno del conflitto cybernetico scatenato dalla Russia nei confronti dell’Ucraina, con un incremento degli attacchi del 300% rispetto all’anno precedente, come rilevato dal Centro nazionale ucraino di coordinamento della sicurezza informatica. I target maggiormente coinvolti sono infrastrutture critiche quali reti energetiche e sistemi ferroviari, come si evince dall’attacco contro Dtek, una società energetica privata, in un’ottica strategica che punta all’aumentare la potenza distruttiva delle capacità offensive. Recentemente numerosi servizi essenziali sono stati oggetto di attacchi informatici i cui effetti si sono estesi oltre il semplice raggiungimento di un obiettivo militare-strategico, causando danni a lungo termine alla popolazione civile e alle risorse fondamentali per la sussistenza della stessa, si pensi ad esempio agli attacchi rivolti ad ospedali e aziende sanitarie. Dal punto di vista del diritto umanitario, il quale mira a limitare gli effetti scaturiti dalle ostilità e alla protezione delle vittime nei conflitti armati siano essi civili, feriti o prigionieri di guerra, un simile scenario pone importanti interrogativi circa la liceità di tali operazioni alla luce dei principi vigenti. 

Nonostante il dominio cibernetico sia considerato distinto da quello aereo, terrestre e marittimo per le peculiarità e le implicazioni del suo impiego, l’ICRC (acronimo di International Commitee of the Red Cross) ritiene che non vi siano dubbi sull’applicazione delle norme di diritto umanitario all’uso cyber in contesti di conflitto armato, parimenti alla loro applicazione sull’uso di qualsiasi altra tipologia di mezzi, armi o metodi di guerra. Ciò è reso possibile da una logica di ampliamento della regolazione al futuro sviluppo e acquisizione nonché uso di determinati metodi non esplicitamente vietati, come sancito dall’art.36 del Protocollo Aggiuntivo alla Convenzione di Ginevra del 1977, il quale obbliga gli Stati parte a verificare che nuovi metodi e mezzi di guerra oggetto di ricerca e adozione non siano vietati dalle disposizioni del Protocollo o da qualsiasi altro principio umanitario internazionale, e in caso positivo astenersi dal loro impiego. Questo approccio affonda le radici nell’antica Martens Clause, introdotta nel preambolo della Seconda Convenzione dell’Aia del 1899 sulle Leggi e Usi della Guerra Terrestre, la quale sancisce che, in casi non previsti da vigenti convenzioni di diritto umanitario, civili e combattenti godono ad ogni modo della salvaguardia sotto l’egida dei principi del diritto delle genti, dei principi generali delle nazioni civili e delle leggi dell’umanità nonché delle esigenze della coscienza pubblica. Questo principio è tutt’ora spesso rievocato laddove fosse necessario specificare che in diritto umanitario ciò che non è espressamente proibito non è permesso ipso facto, in quanto scopo primario dello stesso è la tutela delle vittime e la disciplina, nonché limitazione degli effetti delle ostilità nei conflitti armati, che verrebbero meno se lo sviluppo, ricerca e acquisizione di nuove armi non fosse regolata e normata da un tale approccio fondato, più che sugli aspetti tecnologici dei nuovi mezzi di guerra, sui loro effetti. 

Cosa implica, quindi, affermare che il diritto umanitario si applica a mezzi e metodi cibernetici? Ciò significa in primo luogo che il loro uso deve essere in linea con i principi di distinzione, proporzionalità e precauzione: ne deriva dunque che mezzi cyber che non consentono di dirigere l’attacco a un singolo obiettivo militare e la cui diffusione implica effetti e conseguenze ben oltre le intenzioni sono proibiti, che attacchi cyber direttamente rivolti ai civili o a beni civili costituiscono violazione, che sono vietati attacchi cyber sproporzionati che causano danni accidentali a civili in maniera eccessiva rispetto al diretto raggiungimento del vantaggio militare e, allo stesso modo, lo sono quelle operazioni cibernetiche che danneggiano risorse essenziali per la sussistenza della popolazione o che ne inibiscono l’impiego.

La dimensione bellica non è stata esente dal pervasivo processo di digitalizzazione che ha investito la nostra società negli ultimi decenni: se da un lato la digitalizzazione del conflitto apre a nuovi scenari ed opportunità, dall’altro essa introduce potenziali minacce inedite anche e soprattutto a causa della crescente dipendenza delle nostre comunità dalla dimensione digitale. Secondo l’approccio adottato dalla ICRC, la protezione concessa dal dritto umanitario relativa ai beni civili si estenderebbe anche ai dati essenziali sulla popolazione e su infrastrutture civili, come dati medico-sanitari, biometrici, economico-finanziari. Essi rientrerebbero dunque nella categoria di beni indispensabili alla sopravvivenza della popolazione civile, salvaguardati da attacchi diretti e inibizione del loro uso dall’articolo 54 del Protocollo Addizionale considerato ormai norma consuetudinaria. Inoltre, poiché indispensabili all’adeguato funzionamento delle unità mediche, il cui ruolo è riconosciuto, rispettato e protetto durante un conflitto armato dalle Convenzioni di Ginevra, essi possono essere considerati coperti da suddetta salvaguardia per estensione. Tuttavia, non vi è consenso a livello internazionale circa l’applicazione della cosiddetta enhanced protection ai dati personali della popolazione civile, specialmente se a carattere digitale: l’ICRC a questo proposito ha più volte ribadito la necessità di sopperire a tale carenza fino a delineare nel 2015 l’ICRC data protection framework, un quadro regolatore sulla protezione dei dati personali revisionato nel 2020 che prevede una Commissione e un Ufficio responsabili di monitoraggio e consulenza.

Ciò che è certo è che determinate azioni cibernetiche dirette al danneggiamento di dati sensibili possono nuocere alla popolazione civile più di quanto accade con operazioni cinetiche, implicando conseguenze a lungo termine e sistemiche. Caso recente e allarmante è quello dell’attacco ai sistemi e servizi di Ricollegamento Familiare del Movimento Internazionale della Croce Rossa, i cui dati sono essenziali alla riunione di membri di famiglie sfollate e separate in situazioni di conflitti, disastri o migrazioni forzate. I rischi associati a una tale violazione si situano ben oltre il solito danneggiamento, poiché impediscono l’applicazione di tutte le misure, a carico degli enti sanitari umanitari protetti, volte alla tutela e protezione delle vittime delle ostilità, primo obiettivo e fil rouge attorno al quale si tesse la struttura del diritto internazionale umanitario consuetudinario.

Ad un’analisi pragmatica dell’introduzione oggi consolidata delle cyber operations in guerra, sembra di essere di fronte ad un double standard: se da un lato, infatti, tali azioni ledono i principi di proporzionalità e distinzione, esse possono tuttavia costituire metodi che consentono il raggiungimento di obiettivi militari riducendo considerevolmente le civilian casualties e i rischi per i civili. È proprio per queste ragioni che la sinergia tra sviluppo e ricerca tecnico-giuridici in questo campo risultano cruciali, nel tentativo di condurre ad un’evoluzione dei sistemi e implementazioni d’arma cyber che sia il più possibile controllata, normata e coerente con gli attuali principi di proporzionalità, necessità e distinzione. Si auspica, perciò, che i tentativi di dibattito attorno ad una possibile regolamentazione vincolata o addirittura una convenzione dedicata prendano forma, secondo un approccio meno “permissivo” e di adattamento dei contesti inediti alle regole odierne, bensì secondo la formula del “more technology, more regulation”.

Articoli Correlati

Dimensione subacquea: importanza e vulnerabilità dei cavi sottomarini

La dimensione subacquea rappresenta un ambiente geopolitico di estrema importanza anche se ad oggi rimane in gran parte inesplorato....

Minaccia alla sicurezza digitale: Italia e PMI nel mirino degli attacchi hacker

L’Italia appare sempre più nel mirino dei cyber criminali: nel 2023 l’11% degli attacchi informatici di grave entità a...

Information warfare: l’espansione del Deepfake

In un contesto di conflitto geopolitico dominato dalle nuove tecnologie e da ineluttabili processi di digitalizzazione della società, la...

Ddl Intelligenza Artificiale: che cosa prevede la prima normativa italiana in materia?

Lo scorso marzo era stata divulgata una minuta del disegno di legge sull’intelligenza artificiale che, se adottato, avrebbe rappresentato...