Verso un nuovo diritto di guerra cibernetica? La lezione russo-ucraina

***Questo articolo fa parte della rubrica bisettimanale “Scenari ciber(n)etici” curata da DEAS S.p.A., azienda leader nel settore della Cybersicurezza, che ospita contributi di esperti qualificati su aspetti strategici, politici, internazionali e tecnologici su questo tema sempre più attuale e delicato.

All’interno del conflitto russo-ucraino, con il drammatico dispiegamento delle forze convenzionali in corso, le forze non-convenzionali occupano una posizione strategica rilevante, assieme ai suoi protagonisti (le cyber-armies) e le loro armi digitali (attacchi DDoS e di malware).

La guerra del Nagorno-Karabakh (2020), ma soprattutto quella in corso tra Mosca e Kiev, hanno visto la crescita esponenziale e senza precedenti nell’utilizzo di aeromobili a pilotaggio remoto. Forse stiamo davvero assistendo all’avvento della prima guerra robotica, per dirla con Brendan Cole, corrispondente del quotidianobritannico Newsweek.

Tecnologia / “Splitinternet”: verso la balcanizzazione del web

Tecnologia / Il nuovo report ENISA sull’Intelligenza Artificiale: una prospettiva italiana

Fenomeni non privi di conseguenze sull’evoluzione dello stesso diritto di guerra cibernetico, che si è faticosamente consolidato – soprattutto in Occidente – attraverso la cristallizzazione di consuetudini e prassi degli attori statali (State practice) e la loro validazione da parte di esperti riconosciuti in materia (opiniojuris).

Gli studiosi del diritto dovrebbero trarre l’urgente necessità di chiarire le regole internazionali non soltanto per le operazioni cibernetiche distruttive, ma anche per operazioni di livello inferiore, che rappresentano una minaccia quantitativamente costante sulle infrastrutture ICT ucraine ed europee.

Certo l’applicazione del diritto armato internazionale al contesto cibernetico è particolarmente sfidante.

In primo luogo perché la maggior parte delle operazioni non sortisce effetti che raggiungono una soglia di danno sufficiente a qualificarle come “attacchi”. In secondo luogo perché non vi è unanimità di consenso attorno alla distinzione tra spionaggio e intelligence condotti con mezzi cibernetici: alcune operazioni possono essere deliberatamente invasive senza con ciò provocare danni; altre ancora, invece, provocare danni collaterali non voluti. Infine, è difficile appurare la natura pubblica o privata degli attaccanti, con conseguenze quindi inevitabilmente divergenti sul piano giuridico.

La Carta delle Nazioni Unite, come è noto, sancisce il principio di proibizione della “minaccia o uso della forza” (UN Charter, Art. 2(2)). Ma, nella quinta dimensione, che per sua natura è immateriale e sfugge alle categorie della guerra convenzionale, a cosa corrisponde l’“uso della forza”? Una risposta sufficientemente esauriente, ancorché non definitiva, a questa domanda aiuterebbe a capire il mutamento del quadro normativo dello ius belli contemporaneo e le sfide a venire della guerra ibrida.

Illuminare le cosiddette “zone grigie” del diritto internazionale cibernetico significa chiarire la natura dei fenomeni cibernetici per gestire il rischio di escalation e individuare un framework comune nella tutela di persone e beni da attacchi illegittimi condotti per mezzo di sistemi ICT.

E il Tallinn Manual 2.0, oggi sottoposto ad un’attenta revisione da parte dei suoi autori, costituisce ancora il riferimento dottrinale in materia. Non soltanto la distruzione di beni tecnologici, causata per es. dall’attivazione remota di funzionalità, ma la stessa perdita di funzionalità di un’infrastruttura cyberda parte di un agente straniero equivale ad una violazione della sovranità (I, Rule 4, 14).

In queste ipotesi, quindi, occorre interrogarsi sui limiti e le prospettive che il diritto internazionale può offrire alle ipotesi rilevanti di limitazione o compromissione della sovranità degli Stati, all’interno del cyberspazio.

L’opportunità di far rientrare tali questioni di rilievo entro le maglie dello jus ad bellum, ossia quella branca del diritto internazionale che individua, regola e limita le condizioni in base alle quali uno Stato può intraprendere legittimamente un conflitto armato, è il punto di partenza di una possibile analisi definitoria.

Oltre al divieto dell’uso della forza per risolvere le controversie internazionali, che trova esplicita collocazione nel già citato comma 4 dell’art. 2 dellaCarta delle Nazioni Unite del 1945, si aggiunge la Risoluzione 3314 (XXIX) del 1974, dell’Assemblea Generale delle Nazioni Unite, la quale nell’articolo 3(b) definisce l’aggressione come l’uso di “qualsiasi arma”, da parte di uno Stato, contro la sovranità, l’integrità territoriale, l’indipendenza politica di un altro Stato.

Il panorama normativo finora descritto può, dunque, applicarsi alle condotte degli Stati nel cyberspazio? È possibile conciliare una normativa nata per i domini terrestri alla “quinta dimensione della conflittualità”?

Lo jus ad bellum, infatti, è concepito come diritto applicabile alle sole relazioni tra Stati sovrani che dovrebbero porre in essere, nel contesto cibernetico, condotte equiparabili ad una “minaccia” o ad un “uso della forza” nel contesto cinetico, cioè avendo riguardo della scala e degli effetti di tali attività. Questa rigorosa qualificazione sembrerebbe essere ripresa anche nel Tallinn Manual 2.0, laddove alla Rule 69 è specificato che “una operazione cibernetica costituisce un uso della forza quando la sua scala ed effetti sono comparabili a operazioni non cibernetiche che raggiungono il livello dell’uso della forza”.

Grazie a questa norma è possibile rilevare la sussistenza di alcuni criteri utili per delineare la portata della definizione di una cyber-operation intesa come “uso della forza” (come, ad es., la severità, immediatezza, invasività, misurabilità degli effetti, ecc.).Alcuni tra questi criteri impiegati per definire il concetto di “uso della forza” nel cyberspazio, però, rischiano di rimanere fruibili soltanto secondo un’ottica teorica o dottrinale. Poco efficaci rispetto a fattispecie concrete.

Per quanto riguarda il criterio della invasiveness, per esempio, nel caso di un DDos (Distributed Denial of Service)l’attaccante non pone in essere un’attività intrusiva, ma cerca di ostruire le porte d’ingresso attraverso un flusso massivo di richieste diaccesso al sistema.

Per quanto attiene al criterio dell’immediacy, come altro esempio, potrebbe riscontrarsi la sua inadeguatezza applicativa per quelle tipologie di attacco connaturate dalla produzione di effetti al verificarsi di un determinato evento futuro, ovvero ben oltre il momento in cui l’intrusione cyberha avuto origine (tipico è il caso del Trojan Horseo delleLogicBombs).

È plausibile ritenere che un attacco perpetrato nel “quinto dominio” comporti una violazione dell’art. 2(4) della Carta delleNazioni quando soddisfa due condizioni congiunte:

1. secondo un approccio effect-based, quando è ragionevolmente idoneo a causare conseguenze violente, anche indirette;
2. secondo un approccio target-based, quando ragionevolmente idoneo a causare queste conseguenze sulla popolazione o sugli obiettivi civili.

Indipendentemente dalla severità degli effetti indiretti (dottrina degli effetti), o dalla natura duale, ovvero civile-militare di un’infrastruttura colpita (approccio target-based), vi sono anche altri criteri per determinare la natura illegale di un’operazione cibernetica, e senza che questa sortisca effetti materiali tangibili.

Secondo altri studiosi, tra cui il francese François Delerue (Institut de Recherchestratégique de l’École militaire), il requisito del danno, o la perdita della funzionalità non costituiscono la sola condizione sufficiente per qualificare come illegittima un’operazione cibernetica rispetto al principio di sovranità. Equivalgono infatti ad “uso della forza” anche quelle operazioni cibernetiche che non hanno conseguenze fisiche nel ‘mondo reale’, secondo il criterio del damnum sine iniuria.

Oltre alla già menzionate fonti, rappresentate dalla Carta delle Nazioni Unite e della Risoluzione 3314, esiste un’altra fonte normativa che può aiutare l’interpretazione giuridica dei fenomeni cyber ed includerli nella tassonomia del diritto internazionale.La Commissione del diritto internazionale delle Nazioni Unite riconosce infatti una definizione estensiva di “ingiuria”, che “include qualsiasi danno, sia esso materiale o morale, causato da un atto internazionalmente illegittimo di uno Stato” (ILC, Art. 31(1)).

Nel “quinto domino” il danno “morale” può includere infatti il colpo reputazionale a persone fisiche o giuridiche, ad enti pubblici e privati, l’umiliazione degli utenti a cui è negato un servizio web, o la divulgazione di contenuti falsi o non rispettosi dei costumi condivisi in un Paese.

L’aggressione russa allo Stato ucraino si è aperta con l’interruzione del servizio di numerosi siti governativi, due tra le principali banche ucraine del Paese, e l’attacco DDoS indirizzato alla compagnia statunitense Viasat, che fornisce servizi di sicurezza satellitare.

Un approccio utile e finalizzato a sintetizzare la rilevanza cyber dell’attuale conflitto russo-ucraino potrebbe essere inserito nel contenitore del concetto di“guerra ibrida”, ovvero quel genere di conflitto in cui la componente tradizionale cinetica e quella cibernetica convivono.

Occorre già specificare che, rebus sic stantibus, le modalità del conflitto attuate dalle parti belligeranti si fermano alle soglie della tipicità dei conflitti cinetici.La componente cyber, d’altro canto, riveste una dimensione di carattere funzionale, motivo per il quale potrebbe dirsi che non si stia attraversando un vero e proprio momento di ibridazione del conflitto, seppure esistano non banali manifestazioni.

L’attenzione alla componente cyber, in relazione all’attuale conflitto russo-ucraino, merita di essere descritta a partire dalla fase iniziale dell’escalation militare, ovvero da venerdì 14 gennaio 2022, giorno in cui decine di siti web istituzionali ucraine hanno subito massicci attacchi informatici di tipo DDos, spesso preceduti da messaggi intimidatori di “derivazione” russofila.

Il 23 febbraio 2022, invece, viene scoperto un malware particolarmente distruttivo, potenzialmente capace di compromettere le difese informatiche ucraine e non solo, HermeticWiper.

Le particolarità di HermeticWiper consisterebbero nella capacità distruttiva che potrebbe esprimere nei confronti delle macchine infettate, rendendo i dati in esse contenuti irrecuperabili e compromettendone la stessa funzionalità operativa.

Questo particolare malware potrebbe detenere quelle specificità offensive capaci di integrare i requisiti di idoneità necessari a poter conciliare la sua identità distruttiva verso un vero e proprio atto di warfare, rilevante sotto i profili dello jus ad bellum, qualora potesse colpire obiettivi vitali per l’interesse dello Stato offeso.

Altro aspetto di profonda rilevanza in materia è rappresentato dalla presenza di attori teoricamente estranei e terzi al conflitto russo-ucraino, tra hacktivisti e cyber criminali.

Il loro contributo alle parti in conflitto sembra poter assumere caratteristiche innovative e rilevanti, soprattutto per quanto riguarda temi contingenti ed interrogativi sostanziali in materia di responsabilità e attribuzione degli attacchi cyber.

Gli attori non statali coinvolti, a favore dell’Ucraina, sono rappresentati in primo luogo da Anonymous, famoso collettivo dihacktivisti, i quali a partire dalla prima decade del 2000 hanno promosso numerose campagne, ed altrettanti attacchi informatici, connotati da una forte componente ideologica.

Il gruppo ha preso una posizione critica nei confronti del governo russo, procedendo a massicci attacchi DDos contro siti web istituzionali, nonché compromettendo i contenuti televisivi russi, tramite la diffusione di canzoni patriottiche ucraine o immagini del conflitto in corso.

Anche altri collettivi, provenienti da zone del mondo eterogenee, contribuiscono alla causa ucraina, come BlackHawks e Gng (Georgia), MonarchTurkishHacktivist (Turchia) e GreenXparta_9haan (Indonesia).

Sul fronte russo, d’altro canto, si riscontra una massiccia attività da parte di attori non statali, talvolta identificabili in vere e proprie frange para-militari cyber come Fancy Bear e Voodoo Bear, che danno luogo ad attività ostili parallele al conflitto cinetico.

Tra i gruppi “privati” in supporto di Mosca sono presenti il gruppo Conti, uno dei gruppi di cybercrime più attivi ed “affidabili” nel cyberspazio, nonché gruppi quali Coming Project, Sandworm e Ghostwriter (riconducibile alla Bielorussia).

Questa panoramica sui gruppi, operanti nel cyberspazio, a favore delle parti in conflitto, dovrebbe far riflettere soprattutto su come le modalità del warfare potrebbero essere ricondotte sul piano non convenzionale, causando potenziali danni fisici alla proprietà, all’incolumità delle persone, alla difesa delle infrastrutture critiche degli Stati e, in secondo luogo, a come gli Stati possano predisporre operazioni strategiche e tattiche nel dominio cibernetico, sfruttando la possibilità di celare la loro attività mediante la “copertura” di soggetti non-statali.

Il nuovo diritto internazionale cibernetico, insomma, dovrebbe – da un punto di vista della lexferenda –affrontare la sfida posta da operazioni cibernetiche offensive di natura diversa(che non hanno conseguenze fisiche nel ‘mondo reale’); e, al contempo, individuare modalità e strumenti per rendere imputabili anche attori non-statali all’interno del perimetro giuridico (che sono tradizionalmente esclusi dal diritto internazionale pubblico).

Soltanto ridisegnando i confini del diritto internazionale pubblico, quindi adeguandoli alle nuove frontiere del confronto cibernetico, è possibile equipaggiare gli Stati di “strumenti giuridiche” efficaci e persuasivi per affrontare le guerre ibride.