I cyber attacchi nel diritto internazionale vigente
di Francesca Sironi De Gregorio
I cyber attacchi sono degli attacchi perpetrati da attori privati o statali per mezzo di armi cibernetiche e informatiche.
La domanda da porsi in presenza di un attacco cibernetico è la seguente: è tale attacco idoneo a costituire un attacco armato così come disciplinato dal diritto internazionale e dunque ad essere considerato uso della forza?
Innanzitutto, occorre definire cosa integra un attacco armato: non esiste una chiara definizione legislativa nella Carta delle Nazioni Unite ma possiamo affermare che il termine faccia riferimento alle forme più gravi di utilizzo dell’uso della forza. L’assemblea generale dell’ONU ha definito nella risoluzione GA/RES/3314 del 1974 all’articolo 1 l’aggressione come l’utilizzo della forza da parte di uno Stato contro la sovranità, l’integrità territoriale o l’indipendenza politica di un altro Stato o in ogni altro modo incompatibile con le disposizioni presenti nella Carta delle Nazioni Unite fermo restando il diritto alla legittima difesa.
Ai fini dell’indagine è dunque necessario porre l’attenzione al vigente diritto dei conflitti armati e ricostruire i profili giuridici applicabili alle cyber operations così come disposto dalla clausola Martens contenuta nel preambolo della IV Convenzione dell’Aja e nelle maggiori convenzioni internazionali di diritto umanitario. La clausola dispone che “le popolazioni e i belligeranti restano sotto la salvaguardia e sotto l’imperio dei principi del diritto delle genti, quali risultano dagli usi stabiliti fra le nazioni civili, dalle leggi di umanità e dalle esigenze della coscienza pubblica”. La clausola ha l’obiettivo, così come esaminato dalla dottrina maggioritaria, di impedire l’interpretazione secondo cui tutto quanto non espressamente vietato sarebbe permesso. Essa impone quindi una valutazione della liceità dell’uso di un’arma non regolata dal diritto internazionale alla luce dei principi del diritto internazionale stesso nella sua interezza (ricomprendendovi quindi non solo il diritto dei conflitti armati ma anche tutto quanto rientra nello ius cogens e nel rispetto dei diritti dell’uomo).
Cercando di definire cosa integra un attacco armato, la dottrina in ambito NATO ha elaborato un test di sette requisiti per determinare se tale attacco costituisca un uso della forza. Nello specifico tali requisiti sono: la gravità del danno, l’immediatezza delle conseguenze dell’attacco, il nesso causale tra l’attacco e il danno prodotto, la violazione della sovranità territoriale di un altro Stato, la misurabilità del danno, il fatto che il soggetto agente sia uno Stato e infine la responsabilità dello Stato stesso così come disciplinata dal diritto internazionale.
Trasponendo le categorie nel mondo cyber, possiamo partire dalla definizione di “cyber operation” così come proposta alla regola 15 del Manuale Tallinn. Nel Manuale è definita operazione cibernetica l’utilizzo di mezzi cibernetici con lo specifico intento di utilizzare il cyberspazio come mezzo per raggiungere obiettivi collocati nello stesso.
Ogni operazione cibernetica ha un duplice scopo: l’ottenimento di informazioni da un lato e l’eventuale causazione di un danno fisico dall’altro.
Non qualunque operazione cyber è espressione di un attacco armato. Muovendo dalle definizioni proposte, Paul Duchaine nel saggio del 2015 “The Notion of Cyber Operation” identifica 5 distinti paradigmi utilizzabili per descrivere un’operazione cibernetica: operazioni di governance, di protezione, di forze di polizia, di intelligence o militari. È proprio in quest’ultima categoria che ricadono i cyber attacchi, attacchi computi attraverso l’uso di mezzi cibernetici con l’obiettivo di causare danni fisici.
A causa della loro forza e della velocità con la quale sono posti in essere, gli attacchi cibernetici sono quindi in questa prospettiva idonei a raggiungere la soglia dell’uso della forza stabilità dall’Articolo 2 numero (4) della Carta delle Nazioni Unite ogniqualvolta producano danni fisici e non semplicemente perdite economiche (seppur ingenti). Affermare il superamento di tale soglia significa rendere applicabile l’intero corpus normativo, sia pattizio che consuetudinario, relativo all’uso della forza e rendere utilizzabile il diritto alla legittima difesa sancito all’articolo 51 della Carta, accanto alla possibilità dell’introduzione di misure di ritorsione, rappresaglia e contromisure come reazione ad un attacco subito.
Partendo da queste considerazioni, esaminiamo due prospettive leggermente diverse sulla questione, nello specifico la prospettiva statunitense e quella estone.
La posizione ufficiale dell’amministrazione statunitense è stata presentata dall’allora Consigliere Legale del Dipartimento di Stato Harold Koh nel settembre 2012: gli attacchi cibernetici in alcune circostanza possono costituire uso della forza secondo la Carta delle Nazioni Unite e il diritto internazionale consuetudinario. I fattori rilevanti riguardano la perdita di vite umane, il contesto dell’evento, gli obiettivi, le condizioni spaziali, gli effetti e l’intento dell’attacco stesso. Nello specifico, se i danni fisici causati dall’attacco sono paragonabili a quelli causabili dall’utilizzo di bombe o di missili, l’attacco cibernetica può senza dubbio essere considerato un attacco armato. La posizione del Governo Statunitense è quindi contro una ricostruzione estensiva della portata degli Articoli 2 (4) e 51 volti a ricomprendere nella definizione di uso della forza quegli attacchi che, pur non provocando danni fisici, hanno come conseguenze perdite economiche e gravi sconvolgimenti politici.
La prospettiva estone invece, nazione vittima nel 2007 di un potente attacco cibernetico che ha portato alla chiusura delle istituzioni finanziarie, parte dal punto di vista che l’economia, la stabilità finanziaria e la sua sicurezza sono necessari per il funzionamento di uno Stato e della solidità dell’ordine mondiale stesso. Nel 2016 il Ministro degli Esteri estone ha affermato che potenzialmente i peggiori attacchi cibernetici sono quelli che mirano ad indebolire o distruggere le infrastrutture critiche e i sistemi di informazione di uno stato. Risolutivo in tal senso potrebbe essere indagare lo specifico intento di attaccare la leadership politico-militare di uno Stato e violare la sua sovranità.
Esaminando il tutto con categorie più semplicistiche possiamo comunque affermare che un cyber attacco integri uno della forza partendo dalla nota Advisory Opinion della Corte Internazionale di Giustizia “Legality of the Threat or Use of Nuclear Wapons” del 1996. Al paragrafo 39 la Corte afferma infatti che gli Articoli 2 numero (4) e 51 della Carta delle Nazioni Unite proibiscono l’uso della forza indipendentemente dall’arma utilizzata. Affermando quindi che un’arma cibernetica è un’arma per il diritto internazionale, l’Advisory Opinion permette di rendere direttamente applicabile il diritto internazionale consuetudinario e pattizio in caso di attacco cibernetico.
Concludendo, non ci sono dubbi che in presenza di danni fisici causati da un’operazione cibernetica ci si trovi in presenza di un vero e proprio attacco armato. Ci si domanda se sia necessario un innovato framework legislativo in grado di regolare il nuovo diritto dei conflitti armati applicabile alla cyber war. Moltissime difficoltà nascono infatti dall’interpretazione di specifiche norme vigenti in riferimento a fattispecie cibernetiche, incompatibili per le loro caratteristiche con l’attuale corpus normativo.
Bibliografia:
– Kriangsak Kittichaisaree; Public International Law of Cyberspace, 2017, Ed. Springer
– Natalino Roniztti, Diritto internazionale dei Conflitti Armati, 2017 VI Edizione, Ed. Giappichelli
– Emanuele Greco, Cyber War e Cyber Security, in Sistema Informativo e Schede (SIS) 2014, Istituto di Ricerche Internazionali, Archivio Disarmo
– Saverio Setti, Diritto e Guerra Cibernetica, Settembre 2017, https://www.sicurezzanazionale.gov.it/sisr.nsf/approfondimenti/diritto-e-guerra-cibernetica.html
– Paul Duchaine, The Notion of Cyber Operation, 2015 in: Research Handbook on International Law and Cyberspace, Capitolo 10, pages 211-232, Edward Elgar Publishing.
Fonti:
– Carta delle Nazioni Unite
– Risoluzione Assemblea Nazionale Nazioni Unite GA/RES/3314 (1974)
– IV Convenzione dell’Aja
– Manuale Tallinn
Autore:
