Il Manuale di Tallinn 2.0
di Francesca Sironi De Gregorio
I quotidiani riportano quasi ogni giorno la notizia di attacchi cibernetici sempre più sofisticati con la capacità di arrivare a minare i meccanismi di difesa nazionale di uno stato e potenzialmente in grado di integrare la definizione di attacco armato per il diritto internazionale.
Il Manuale di Tallinn è il prodotto del lavoro di una équipe di accademici internazionali, indipendenti ed esperti di diritto internazionale umanitario e dell’uso della forza che ha portato all’elaborazione di linee guida circa l’applicabilità delle categorie del diritto internazionale al cyber-warfare e alle cyber-operation. Il gruppo di esperti che ha redatto il Manuale ha lavorato sotto la guida del Professore Michael N. Schmitt, preside del Dipartimento di Diritto Internazionale presso lo U.S. Naval War College ed ex decano del George C. Marshall, Centro Europeo per gli studi sulla sicurezza. Il processo ha avuto inizio nel 2007 a seguito di un potentissimo attacco informatico sferrato dalla Russia a danno di siti internet di governo, banche e organismi di informazione estoni. Si trattò del primo attacco cibernetico in grande stile che, secondo i governanti dell’epoca, sarebbe stato di sufficiente portata da legittimare l’applicazione dell’articolo 5 del Patto Atlantico autorizzando di fatto la difesa collettiva di uno stato aggredito. In seno NATO, venne quindi fondato il NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE), uno dei più importanti centri di eccellenza della NATO con sede a Tallinn con l’obiettivo di avanzare la cooperazione fra gli stati parte dell’Alleanza nel settore della difesa cibernetica.
Il Manuale nasce con lo scopo di creare il primo corpus legislativo in materia di cyber-warfare. Pur essendo privo di valore giuridico, è riconosciuto come il testo di riferimento in materia per la sua capacità di coniugare il diritto internazionale classico, consuetudinario e pattizio, con un commento giuridico di altissimo livello. Una prima versione del manuale è stata pubblicata nel 2013, poi aggiornata nel 2016 con uno spostamento di focus dal concetto di cyber-warfare a quello più generico di cyber-operation, andando incontro a quella che è la realtà, quasi quotidiana, di attacchi cibernetici in grado di minare la sicurezza nazionale di uno Stato.
Nell’introduzione, viene chiarito che il Manuale deve essere inteso come l’espressione delle opinioni di esperti che riflettono lo stato della legislazione internazionale al momento dell’adozione dello stesso senza porsi come best practice né come sviluppo progressivo della normativa e autodefinendosi come obiettiva determinazione della lex lata. Per tali ragioni il Manuale reinterpreta il diritto internazionale operando un’analogia tra il mondo fisico e il mondo cibernetico. L’intuizione nasce dal presupposto che i cyber-attacchi hanno caratteristiche comparabili agli attacchi cinetici specialmente con riguardo alle conseguenze che possono derivarne per l’integrità fisica, la vita e la distruzione di proprietà pubblica o privata. Accanto a questo, per la loro struttura, le operazioni cyber presentano intrinsecamente una dimensione transfrontaliera rendendo la loro regolamentazione oggetto di diritto internazionale. L’operazione compiuta dagli esperti consiste quindi nell’identificare possibili condotte tenute dagli Stati nel cyber-spazio e di interpretarle alla luce del diritto vigente, proponendo soluzioni in linea con la metodologia classica di diritto internazionale.
Strutturalmente, la versione del giugno 2016 del Manuale, definito 2.0, è suddivisa in quattro sezioni e 154 articoli denominati rules; ciascuna regola è corredata da un commento giuridico che ne delinea l’applicazione pratica e fornice esemplificazioni. Da notare è il fatto che, in caso di disaccordo tra i vari esperti, il commento alle singole rules esamina il processo decisorio e fornisce giustificazioni circa la scelta operata. La prima sezione si occupa di indicare i principi fondamentali di diritto internazionale applicabili al cyber-spazio, identificando norme essenziali in tema di sovranità, giurisdizione e responsabilità statale. Successivamente, l’analisi si concentra sull’intersecazione tra il cyberspazio e specifiche aree di diritto internazionale quali la tutela dei diritti umani, il diritto consolare, la regolamentazione aeronautica internazionale e il diritto del mare. Le ultime due sezioni si occupano invece dei temi tradizionali del diritto umanitario e dell’uso della forza cercando di coniugare i principi di diritto internazionale con le innovazioni e le problematiche che l’uso di nuove tecnologie in scenari di guerra o di tensione internazionale possono creare.
Punto di analisi fondamentale è la legittimazione dell’uso della forza militare come legittima difesa a seguito di attacchi cibernetici che, in relazione ai loro effetti e alle loro modalità, integrino la definizione di attacco armato secondo il diritto internazionale. Decisamente più ristretta è la possibilità di utilizzare la forza come contromisura nei confronti di un cyber-attacco che non raggiunga la soglia di attacco armato, categoria sicuramente di più frequente riscontro nella prassi.
Numerose sono le critiche rivolte al Manuale, a partire dall’annoso problema dell’ottica occidentale alla base della metodologia utilizzata dagli esperti. Bisogna comunque precisare che nonostante il progetto si sia sviluppato all’interno di un centro di eccellenza NATO, in alcun modo i risultati riflettono una posizione ufficiale dell’Alleanza o vincolano gli appartenenti alla stessa. Ulteriore critica metodologica è rivolta all’approccio del Manuale al mondo cyber come ad un nuovo spazio fisico da regolamentare al pari della terra, del mare o dell’aria, all’interno del quale uno stato territoriale è in grado di esercitare sovranità e controllo. Nonostante infatti la presenza all’interno di stati territoriali di strutture fisiche che contengono dati, il flusso degli stessi è solo parzialmente assoggettabile a controllo statale lasciando di fatto il cyber-spazio spesso immune dai paradigmi, anche giuridici, che regolano lo spazio fisico.
La trattazione nel Manuale è completa e affronta tutte le principali questioni giuridiche che possono nascere da attacchi cibernetici, da operazioni di cyber-spionaggio ed hackeraggio insieme ad una reinterpretazione delle Convenzioni di Ginevra all’epoca dell’intelligenza artificiale e delle armi autonome. Di particolare interesse è l’approccio alle problematiche sollevate nella trattazione che mira a fornire una guida agli stati, suggerendo focus specifici per le loro politiche militari ed invitandoli ad attuare ed implementare regolamentazioni nazionali in materia così come a supportare iniziative di cooperazione internazionale in ottica difensiva.
Nonostante, quindi, sia uno strumento privo di valore giuridico, il Manuale è sicuramente un importante punto di partenza per l’analisi delle problematiche giuridiche, specialmente in un’ottica di strategia comune che deve guidare gli stati nella disciplina del cyberspazio.
Bibliografia:
Talbot Jensen, The Tallinn Manual 2.0: Highlights and Insights,in Georgetown Journal of International Law, Vol. 48, p. 735-778 (2017);
W.H. Von Heinegg, Chapter 1: The Tallinn Manual and International Cyber Security Law, in Yearbook of International Humanitarian Law, vol. 15, pp. 3-18 (2012);
Efrony; Y. Shany, A Rule Book on the Shelf? Tallinn Manual 2.0 on Cyberoperations and Subsequent State Practice, in The American Journal of International Law, vol. 112, no. 4, pp. 583-657 (2018);
Kessler; W. Werner, Expertise, Uncertainty, and International Law: A Study of the Tallinn Manual on Cyberwarfare, in Leiden Journal of International Law, vol. 26, no. 4, pp. 793-810 (2013);
Schmitt, Tallinn Manual 2.0 on the International Law of Cyber Operations: What It Is and Isn’t, available at https://www.justsecurity.org/37559/tallinn-manual-2-0-international-law-cyber-operations/, [accessed 2/03/19];
Schmitt, Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, Cambridge University Press, Cambridge (2017).
Autore: