Il problema è particolarmente rilevante per il diritto internazionale, che – sviluppatosi nel corso dei secoli – fatica in questo campo a tener testa agli sviluppi della scienza.
Se da un lato, infatti, si vanno moltiplicando gli usi militari della tecnologia informatica da parte di attori statali, dall’altro il basso costo e la relativa semplicità dello strumento lo rendono ideale per attacchi da parte di attori privati. Esempi ben noti sono, per esempio, gli attacchi alla Georgia del 2008 (mai pubblicamente ammessi dalla Russia, ma facilmente imputabili). Ma anche le recenti imprese di “Anonymous”, che ha pensato bene di ergersi con questo mezzo a difensore della libertà.
Per trovare delle regole si sta al momento procedendo per analogia con il diritto internazionale generale. Il primo complesso di norme applicabili è quello relativo all’uso della forza nelle relazioni internazionali.
La prima domanda che si pone è se un cyber-attacco possa costituire un uso della forza.
Si tratta di un quesito importante poiché, l’uso della forza nelle relazioni fra stati essendo proibito dall’art. 2 della Carta delle Nazioni Unite, se di aggressione si tratta lo stato vittima dell’aggressione godrà del diritto di autodifesa e potrà quindi rispondere. Dall’11 settembre, inoltre, si considera che questo ragionamento sia applicabile anche ad attacchi da parte di attori non statali, come per esempio organizzazioni terroristiche come Al-Quaeda o – se del caso – gruppi di hacker.
Il dibattito teorico sulla questione è stato, in passato, piuttosto incandescente. Si può ormai dire con sufficiente certezza che un attacco informatico rappresenta un attacco armato ai sensi della carta delle Nazioni Unite (e del diritto dei conflitti armati) quando le sue conseguenze sono paragonabili a quelle di un attacco cinetico. In altre parole, se uno Stato attacca il network di computer al cuore del sistema finanziario di un’altro stato, per esempio, producendo ingenti danni paragonabili a quelli causati da un attacco convenzionale, allora si sarà avuto un uso della forza. Lo stesso vale per un’attacco ad un’infrastruttura “critica”, come impianti energetici o aeroporti.
D’altro canto, almeno per il momento, bisogna presumere che un’azione senza gravi conseguenze, come quella contro il sito del Parlamento Europeo, atto soltanto a mettere fuori uso un sito, non costituisca di per sé uso della forza. Tuttavia, pare che nel caso della Georgia l’attacco informatico “russo”, che di per sé non ha provocato gravi danni, facesse parte della strategia di attacco cinetico manu militari e che fosse, quindi, un atto di aggressione in quel contesto.
Nel caso in cui si consideri un attacco informatico un atto di aggressione, si applicherà l’ “inherent right to self-defence” come da articolo 51 della Carta delle Nazioni Unite. Gli stati avranno dunque la possibilità di rispondere ad un attacco con un uso della forza proporzionale a quella dell’attacco. Un contrattacco informatico, per esempio, sarà senza dubbio ammissibile, come anche – a seconda delle circostanze del fatto – un contrattacco con armi tradizionali.
Il punto dolente, per quanto riguarda l’uso della forza e l’autodifesa, è però la necessità di attribuire l’attacco ad uno stato. È infatti estremamente difficile scoprire l’origine fisica di un attacco informatico e, ancor più, attribuirlo con certezza ad uno stato.
Alcune regole si stanno già trovando, fra cui la più rilevante, di natura consuetudinaria e ancora in via di formazione, è la cosiddetta “imputed responsibility” (responsabilità imputata). La nuova norma prevedrebbe che, ove uno stato non applichi la dovuta diligenza nel prevenire e punire questi attacchi e rifiuti di collaborare con le vittime a tale fine, ad esso venga attribuita la responsabilità dell’evento (“imputed responsibility”). La vittima potrebbe quindi agire contro quello stato. Si tratta di un approccio non privo di problemi, ma una brutta toppa è pur sempre una toppa.
Il secondo regime rilevante, che si applicherà in seguito ad un cyberattacco, è il diritto dei conflitti armati, incarnato principalmente dalle Convenzioni di Ginevra (1949) e dagli Accordi dell’Aia (1899 e 1907). Questa venerabile branca del diritto internazionale contiene una serie di principi che debbono essere applicati in situazione di conflitto armato e, di conseguenza, anche di cyberconflitto.
Qui sorgono numerosi problemi di interpretazione. Per esempio, una risposta convenzionale ad un attacco informatico potrà difficilmente essere proporzionale in questo senso, data la distruzione fisica che causerebbe, e difficilmente potrà non causare sofferenze eccessive. Per il resto, lo jus in bello è di dubbia utilità, dati i profili particolari di un cyberattacco, che non comporta, per esempio, l’occupazione del territorio nemico.
Come si è visto, vi sono poche certezze: attacchi informatici di una certa gravità possono essere considerati attacchi armati se imputabili ad uno stato, mentre se sono perpetrati da gruppi di individui rimangono una questione penale interna (salvo l’eventuale possibilità di considerare quel gruppo un’organizzazione terroristica o di ascriverne l’azione ad uno stato). Per il resto, molte domande non hanno finora trovato una risposta convincente. Si sta ancora aspettando, insomma, una Pearl Harbor digitale che permetta di regolare tutte queste questioni.
In alcuni casi, come si è visto, le risposte si stanno profilando all’orizzonte. In sostanza, la comunità internazionale ha due possibilità: per quanto riguarda i “cybercrimini”, come la distribuzione di materiale pedopornografico, la vendita di materiale illecito e, eventualmente, lo spionaggio industriale, un trattato di cooperazione in materia penale potrebbe risolvere molti problemi. Lo si è visto, per esempio, con la European Cybercrime Convention, rilevante però soltanto in Europa.
D’altro canto, per il problema dei cyberattacchi propriamente detti – cioè di tipo militare – un trattato multilaterale, per quanto desiderabile, sembra al momento impossibile.
Tuttavia, recenti proposte in seno a organizzazioni come la NATO, l’ONU e l’Unione Europea sembrano tracciare il cammino verso delle regole condivise. Nel frattempo, sarà necessario continuare ad andare a tentoni, per analogia e per “soft law”, di caso in caso.
Dopotutto, se guerra informatica deve essere – e per certi versi lo è già – sarebbe meglio arrivarci preparati. Per inciso, l’Italia, stando ai rapporti in materia, ha ancora molta strada da percorrere.