Il conflitto non si svolge solamente sui tradizionali campi di battaglia.


Purtroppo, mentre sto scrivendo questo articolo, l’aggressione della Russia all’Ucraina prosegue. I progressi sul fronte della diplomazia sono scarsi perché condizionati da altri interessi oltre a quelli sul fronte della guerra iniziata il 24 febbraio scorso.

È bene ricordare che quello russo-ucraino non è l’unico conflitto in corso. È quello a noi più vicino sia fisicamente che culturalmente. I teatri di guerra censiti da Armed conflict location & event data project (ACLED) sono 59 tra i quali: Siria, Yemen, Etiopia, Mali, Repubblica democratica del Congo, Sud Sudan, Libia, Somalia. Un elenco completo lo possiamo trovare su www.guerrenelmondo.it.

Parlare di cyberguerra in questo particolare momento riconduce le mie riflessioni però al particolare contesto di guerra russo-ucraino ma, in realtà, la cyberguerra è una guerra non convenzionale condotta con continuità da tutti gli Stati: propaganda, disinformazione, attacchi a infrastrutture critiche, raccolta dati e informazioni (intelligence), sottrazione e distruzione di dati (hackeraggio) vandalismo informatico (deface), intralcio alle apparecchiature (equipment disruption).

I media ci raccontano in tempo reale la guerra e la tragedia che appare sui nostri schermi si mostra in tutto e per tutto simile alle immagini che troviamo sui libri di storia e che evidentemente, come al solito, non sono bastate. Sì, armamenti più sofisticati, con “a bordo” più tecnologia, ma lo svolgimento delle operazioni sembra avvenire sui tradizionali tre “campi” di battaglia – a terra, in aria e sul mare con, negli ultimi trent’anni, una sempre più sofisticata assistenza satellitare ma, della tanto temuta – e combattuta aspramente, anticipo –, cyberguerra si sente parlare poco.

I danni alle infrastrutture strategiche ucraine, apparentemente, sono stati causati solo da un missile o da una bomba e la devastazione delle città ucraine è figlia delle stesse tecniche di guerra però, effettivamente, la guerra cibernetica si sta combattendo ma è la sua stessa natura – e l’attività di disinformazione che è parte integrante della strategia di qualunque guerra, anche quella informatica – pervasiva e inafferrabile a renderla difficile da decifrare e quindi da raccontare.

Ha fatto certamente notizia l’attacco all’obiettivo molto sensibile rappresentato dal satellite Ka-Sat – provider internet prevalente in Ucraina utilizzato anche dalle forze armate, dall’intelligence, dalla sanità e dalla polizia – all’inizio della guerra anche per la messa a disposizione immediata da parte di Elon Musk per l’Ucraina della sua rete satellitare Starlink che ha avuto un grande risalto mediatico.

Le fasi di una guerra cibernetica, come di qualsiasi altra guerra, sono quelle di “attacco” e di “difesa” ma il campo di battaglia è diverso e i combattenti sono difficilmente individuabili. Ritenere la cyberguerra una guerra più soft, che fa meno danni fisici limitandosi a impedire solo il funzionamento di qualcosa è però sbagliato. Anche i cyberattacchi colpiscono e causano vittime fra i civili tanto quanto le bombe e i missili.

Nella guerra cibernetica i “difensori” sono quasi sempre noti: lo Stato con le sue infrastrutture informatiche, le sue reti e i suoi firewall; mentre gli “attaccanti” sono quasi sempre occulti o occultati in collettivi ben protetti: spesso dei mercenari informatici al di fuori di ogni regola e di ogni convenzione internazionale.

Quindi, tra gli altri citati, il conflitto russo-ucraino, l’unico in questo momento nell’ipertecnologico mondo occidentale, è un conflitto ibrido sul quale il diritto internazionale è impotente. Senza risposte.

Infatti, potremmo ragionare sullo jus ad bellum, il diritto di guerra, giungendo alla conclusione che Putin non aveva alcun diritto di iniziare questa guerra e potremmo ragionare anche dello jus in bellum, ovvero del rispetto dei requisiti per i quali possa ritenersi che una guerra sia correttamente condotta, indipendentemente da chi aveva iniziato il conflitto giungendo alla conclusione che accertamenti internazionali indipendenti devono essere fatti.

Quindi, potremmo, e potremo, ragionare su tutto ciò che presuppone la presenza di Stati contrapposti con armi ed eserciti schierati sul campo. Per tutto ciò dobbiamo invocare l’applicazione del diritto internazionale e delle convenzioni – che dal Rito romano delle Feziali è giunto alle Convenzioni di Ginevra del secondo dopoguerra –. Ma per tutto ciò che esula dal “già visto”, o meglio dal visto troppo recentemente, dal momento che la prima evidenza di una cyberguerra risale all’Agosto del 2008 nel cosiddetto secondo conflitto dell’Ossezia del Sud (il primo conflitto europeo del XXI secolo) che vedeva la Russia (Presidente Medvedev, Primo Ministro, sempre lui, Putin) e le repubbliche dell’Ossezia del Sud e dell’Abcasia contrapposte alla Georgia, non abbiamo riferimenti.

Nell’attuale scenario di guerra stiamo assistendo a interventi di singoli privati (hacker di diversa estrazione), aziende (tutte le bigtech occidentali e orientali), collettivi come Anonymous (ascrivibile al campo NATO), Gruppo Conti e Sandworm (ascrivibili alla Federazione Russa) e ad “attacchi” cyber sferrati da organismi russi e bielorussi, nordcoreani e iraniani verso Paesi non in conflitto anche appartenenti all’Unione europea o all’Alleanza atlantica. Proprio da quest’ultima questione nascono alcune delicate domande: quando un eventuale attacco cibernetico a danno di un paese terzo appartenente alla Alleanza atlantica, può essere qualificato come attacco militare, tale da far scattare l’ormai famoso Art. 5 del Trattato Nord Atlantico, in base al quale l’intervento del Patto atlantico diventerebbe automatico, e legittimare il diritto di difesa, in base all’Art. 51 dello Statuto delle Nazioni Unite? Il diritto internazionale considera attacco militare quello cinetico cioè un attacco distruttivo. Un attacco cibernetico può dar luogo a una risposta cinetica? A una reazione militare tradizionale? Quando una risposta cinetica rispetta il Principio di proporzionalità cardine del citato jus ad bellum?

A complicare il quadro bisogna ricordare che le consuetudini che sono tra le fonti fondamentali del diritto internazionale, peraltro, con un vigente principio di derogabilità fra le stesse e le norme convenzionali del diritto positivo non ci possono aiutare.

L’unico precedente noto è la risposta con missili di Israele all’attacco informatico di Hamas nel Maggio del 2019 in un teatro geopolitico molto complesso come quello medio-orientale che vede fra i principali attori anche l’Iran dotato di elevate capacità cyber.

Tutte queste riflessioni fanno nascere tre considerazioni. La prima: per la prima volta – anche se siamo lontani dai luoghi delle tragedie – abbiamo veramente paura della guerra cibernetica dal momento che la nostra vita è diventata sempre più digitale e le interconnessioni informatiche, oggi e domani lo saranno ancora di più, sono essenziali per quello che consideriamo il normale svolgimento della nostra vita. La seconda: non esiste un quadro regolatorio adatto e aspettare il consolidamento delle consuetudini internazionali potrebbe costare molto caro. La terza: gli attori internazionali devono avere un “peso specifico” adeguato per essere all’altezza di Stati Uniti, Russia, Cina e India.

Mi soffermerò sulle ultime due considerazioni.

Definire un quadro regolatorio adatto è reso difficile dalla complessità di attribuzione a uno Stato delle azioni cyber, a guerra in corso è ancora più difficile reso ulteriormente complicato dalle posizioni, come spesso accade, espresse nel tempo dagli USA, da una parte e da Russia e Cina dall’altra in sede ONU. I primi sostengono che il diritto di guerra e la correttezza della condotta si applicano integralmente allo spazio cibernetico qualsiasi sia il livello dell’attacco, fatta salva l’applicazione del Principio di proporzionalità. I secondi – Russia e Cina – che il diritto di guerra non si applica allo spazio cibernetico, e in particolare non si applica il diritto alla legittima difesa (L'art. 51 della Carta delle Nazioni Unite), perché fare il contrario “militarizzerebbe” lo spazio cibernetico. In sostanza, per lo spazio cibernetico, Russia e Cina non vogliono regole.

La questione del “peso specifico” è principalmente una questione dell’Unione europea. Deve raggiungerlo e, prima che sia troppo tardi, dotarsi di politiche comuni estere, di difesa, economiche e industriali. Mentre, sul lato delle “regole” sulla cybersicurezza, dopo la Direttiva NIS del 2016 (regole per un livello comune, il più elevato possibile, di sicurezza delle reti informatiche e dei sistemi informativi all’interno della UE) e il Reg. 2019/881 per la cybersicurezza, la certificazione della cybersicurezza per le tecnologie dell’informazione e della comunicazione la UE sta oggi lavorando a due proposte legislative: una direttiva aggiornata per proteggere meglio la rete e i sistemi informativi e una nuova direttiva sulla resilienza delle entità critiche, stabilendo anche questa volta la rule of law.