Cybersecurity

Computer forensic, valido strumento di compensazione in ambito cyber?

di Rosanna Derasmo |

Nonostante le carenze nazionali, la computer forensic potrebbe verosimilmente sopperire alle carenze di legittimazione internazionale della normativa di Tallinn 2.0, fungendo a pieno titolo da strumento di compensazione utilizzabile in ambito cyber war.

La rubrica Digital Crime, a cura di Paolo Galdieri, Avvocato e Docente di Informatica giuridica, alla LUISS di Roma, si occupa del cybercrime dal punto di vista normativo e legale. Clicca qui per leggere tutti i contributi.

Volendo fare un paragone con l’ordinamento penale, per cui i mezzi di ricerca della prova sono codificati con la Legge di ratifica della Convenzione di Budapest, per cui operare ad esempio anche un sequestro o una perquisizione informatica, va detto che invece per i crimini informatici non esiste un protocollo unitario per trattarli ovvero rimangono aperti i problemi relativi alla c.d. catena di custodia, cioè qual è il protocollo da seguire per la conservazione e analisi ed estrazione del dato.

Ma va comunque detto che, nonostante le carenze nazionali, la computer forensic potrebbe verosimilmente sopperire alle carenze di legittimazione internazionale della normativa di Tallinn 2.0, fungendo a pieno titolo da strumento di compensazione utilizzabile in ambito cyber war, in analogia con quanto avviene per esempio nell’ordinamento ambito penale, unitamente all’uso della c.d. “diplomazia per fissare le regole”. Il percorso potrebbe consistere nell’individuare prima facie le metodiche di computer forensic utilizzabili quando l’autore di un reato si sia adoperato in uno scenario di c.d. cyber war, nel senso di arrivare ad individuare che dietro un cyber attacco c’è uno Stato piuttosto che l’inflazionato esempio del cyber lone fighter russo. Al che, in tal ultimo caso, potremmo trovarci ad avere a che fare più con un evento terroristico o di ordinaria criminalità informatica senza poter rispondere con gli strumenti fornitici da Tallinn o meglio dal diritto internazionale dei conflitti armati in risposta ad un atto di guerra statale, e a dover analizzare l’evento con gli strumenti fornitici dalla computer forensic su questo terreno virtuale, con notevoli difficoltà di applicazione trattandosi spesso di operazioni di intelligence che secondo recenti trend teorici sembrerebbero anche lontanamente somigliare a quelle militari, in cui sarebbe necessario sia il supporto dei tecnici, quanto quello dei giuristi ed esperti specializzati in tale specifico ambito.

In ogni caso, va detto che il background o, se si preferisce, il know how richiesto per il personale che potrebbe operare in questo campo non può prescindere da una formazione tecnologica, giuridica ed anche in altre discipline in taluni casi ancora in corso di individuazione che consentano l’investigazione del problema o probabilmente anche ma non solo di un background di derivazione esperienziale maturato non a caso nello specifico settore in cui si verifichi il cyber evento o conflitto. Tale assunto troverebbe la sua ragion d’essere nel fatto che anche le best practice di ogni settore fondamentale dimostrerebbero che solo con un approccio multidisciplinare, basato su dei team in possesso di specifiche e diversificate competenze, ma pur sempre collegate allo specifico ambito dell’evento-incidente, si può pensare di identificare con la migliore approssimazione possibile l’intrusore-attaccante statuale o meno.

Per supplire a questa carenza di strumenti tecnico-legali validi a livello internazionale gli Stati utilizzano la c.d. “diplomazia per fissare e regole” che non ci sono e per dare la possibilità a qualsiasi Stato che subisca un cyber attacco ad una infrastruttura critica di caratura statale di effettuare in maniera tempestiva quella che si può definire una discovery dell’attaccante a prescindere se sia solitario o meno o se invece si tratti di un soggetto di natura statuale o persino di un’organizzazione dai contorni non ben definiti all’uopo ingaggiata per nascondere la natura statuale del cyber attacco. Il pericolo è che si possa trattare comunque di organizzazioni criminali e/o terroristiche pronte a commettere attacchi cibernetici illegali, peraltro indiscriminati, che porterebbero a violazioni ad esempio quali il furto di dati potenzialmente rivendibili ad altrettante organizzazioni con scopi criminali sul c.d. “mercato nero delle info cibernetiche”, che non prevede al momento alcuna limitazione di natura legale, anche perché non inquadrabile in nessuna fattispecie giuridica nazionale.

Quello che comunque secondo il mio parere non è chiaro, anche in questo caso, è quali debbano essere quelli che si potrebbero chiamare i common criteria per stabilire gli strumenti legittimamente utilizzabili in assoluto a livello internazionale per effettuare tale discovery e per esprimere le valutazioni normative del caso, dal momento che due appaiono essere i fattori particolarmente incidenti in tal senso e che continuano a causare ambiguità nella loro individuazione e a frenare la definizione di regole se vogliamo anche consuetudinarie da applicare nonché a determinare la superiorità tecnologica dei paesi considerati i colossi della tecnologia e l’obsolescenza stessa della tecnologia, non a caso definita nella US National Defence Strategy (NDS) americana “disruptive technology”. Siamo quindi in presenza di una techno war piuttosto che di una cyber war o, se si preferisce, di una cyber influence war? Resta un dato di fatto, che comunque tali gravissimi atti, spesso coperti da tecniche di anonimizzazione, potrebbero non rivelarci mai lo Stato (se di Stato si tratta) o l’organizzazione che li ha commissionati, che pertanto rimarrebbero impuniti e verso cui neanche la diplomazia è attualmente in grado di far rilevare le cyber violazioni all’eventuale controparte.

Una cyber diplomacy che annaspa imbarazzata cercando di sostituirsi ad un “cyber law of armed conflict” ancora in attesa di essere definito ed approvato dalla comunità internazionale, in quanto particolarmente condizionata dall’incedere di una tecnologia che potremmo definire aggressiva ed inarrestabile e pertanto non delimitabile nei suoi confini legali. Ciò a meno che non si decida di approvare attraverso l’esercizio della negoziazione un “cyber law of armed conflict” a durata limitata da aggiornare a scadenza fissa e con cui cristallizzare delle cyber law rules internazionale che portino alla sottoscrizione di legittimi accordi e trattati internazionali. Le regole di Tallinn saranno quindi accettate dalla comunità internazionale solo quando sarà possibile ricondurre i cyber attacchi agli Stati stessi?

Chi può dirlo rebus sic stantibus. Restiamo con degli interrogativi aperti. In un cyber spazio senza regole legali approvate dalla comunità internazionale come sarà possibile gestire in maniera legittima la realtà operativa per dare risposta agli attacchi subiti a prescindere dall’originatore? Sarà possibile fornire pareri legali che consentano di rispondere legittimamente ad un c.d attacco armato perpetrato contro le infrastrutture critiche di uno Stato o comunque di caratura statuale, posto che si tratti di un attacco armato inquadrabile come tale nelle definizioni non ancora approvate dalla comunità internazionale, sempre che ne sia accertata la provenienza statuale, statuale delegata o ad esempio unicamente riferibile ad un’imprecisata organizzazione terroristica e in ultima analisi anche da un c.d. lone cyber wolf? Quale potrà essere il percorso normativo da seguire? E soprattutto l’applicabilità ai cyber conflitti della disciplina di Tallinn mutuata dai conflitti armati tradizionali potrà portarci alla concreta applicazione di una prassi internazionale generatasi nell’ambito dei c.d. cyber conflitti simulati? Questo è lo stato delle contromisure cibernetico-legali a meno che non venga approvato dalla comunità internazionale quantomeno un regolamento di applicazione con valenza straordinaria.

Articolo di Rosanna Derasmo