l'analisi

Digital Crime. Perché la cyber war è una guerra senza confini legali 

di Rosanna Derasmo |

Come si può inquadrare la tipologia di un attacco informatico subìto e proporre quindi una reazione valida anche da un punto di vista legale?

La rubrica Digital Crime, a cura di Paolo Galdieri, Avvocato e Docente di Informatica giuridica, alla LUISS di Roma, si occupa del cybercrime dal punto di vista normativo e legale. Clicca qui per leggere tutti i contributi.

Al suo concretizzarsi, secondo gli specialisti del settore, la cyber war prevedrebbe l’applicazione delle medesime regole utilizzate nel diritto internazionale consuetudinario, nonché nella Carta delle Nazioni Unite e nel diritto rispetto alla guerra e richiamate nei due Manuali di Tallinn. Anche se non esiste ancora una prassi consolidata in materia di cyber war, soprattutto per quanto concerne le definizioni di cyber weapon e quella che viene chiamata, secondo un concetto più volte espresso dalla Casa Bianca, l’individuazione dei soggetti agenti.

La definizione di cyber war generalmente presa a riferimento in campo legale è quella contenuta nel I Manuale di Tallinn, in cui esperti legali del Cooperative Cyber Defense Centre of Excellence (NATO CCD COE) di Tallinn colgono l’occasione per dire che la cyber war potrebbe essere quel luogo indefinito e forse indefinibile in quanto immateriale in cui potrebbe essere indiscriminatamente adoperato ogni tipo di tecnologia informatica per il compimento di ogni tipo di crimine informatico.

Del resto, non è ancora stato stabilito quando uno Stato può contrattaccare in risposta ad un attacco cibernetico. Condizione che andrebbe quanto prima regolamentata con una normativa emanata a livello internazionale, quale potrebbe essere quella attualmente contenuta nei Manuali di Tallinn, al fine di stabilire, quantomeno, come obiettivo prioritario quando e come attribuire la responsabilità di presunti attacchi cibernetici agli Stati. Ciò darebbe modo agli specialisti del settore non soltanto di teorizzare, ma di ragionare in punta di diritto cibernetico per la soluzione di problematiche giuridiche, che emergono dalla lettura delle regole non ancora applicabili dei due Manuali di Tallinn, quali ad esempio quelle riferite all’immaterialità e alla natura stessa delle tecnologie, basandosi unicamente sul fatto che l’uso della forza nei conflitti classici secondo il diritto internazionale non è ancora applicabile in quelli cibernetici.

Atteso da tutti gli Stati resta quindi una Convenzione internazionale per la soluzione delle problematiche giuridiche derivanti da un attacco informatico. Un documento quindi utilizzabile dalla comunità internazionale, soprattutto a livello definitorio, per chiarire cosa sia una cyber arma o un cyber attacco e come attribuire responsabilità statuali in ambito cyber war.

Quello che ci è dato finora sapere è che in teoria in un cyber conflitto armato tra Stati ci troviamo nella quinta dimensione della guerra, benché manchi ancora all’attivo la predetta normativa internazionale appositamente dedicata, che serva a dirimere in particolare anche eventi portati non solo all’attenzione della NATO, ma anche della Corte Internazionale di Giustizia, della Corte Europea dei Diritti Umani e del Consiglio di Sicurezza delle Nazioni Unite. Essendo questo lo stato dell’arte, molti esperti di cyber law si limitano a sostenere che durante un cyber conflitto andrebbero applicati gli usi e le leggi basati sugli stessi principi che andrebbero a loro volta rispettati dai protagonisti dei conflitti armati classici.

E quindi, ragionando in termini squisitamente giuridici, se l’attribuzione non è possibile come si può sostenere per esempio che si può rispondere ad un cyber attacco o ad un cyber hostile act or intent utilizzando la forza in modalità cinetica con ripercussioni giuridiche oppure anche in presenza di una tecnica di manipolazione usata nella trasmissione dei dati chiamata spoofing (che rende difficile distinguere un tipo di attacco tipo da un altro).

E come si può inquadrare la tipologia di attacco subito e proporre quindi una reazione valida anche da un punto di vista legale? Una risposta potrebbe essere quella di rinvenire un uso legittimo della forza militare durante un conflitto c.d. armato in risposta ad attacchi per cui sia dimostrabile una partecipazione diretta al conflitto dell’avversario.

In realtà, a tali tipologie di problematiche forse neanche gli specialisti USA della cyber law riuscirebbero a fornire una copertura giuridica, dal momento che persino per loro, esperti nel settore, potrebbe risultare difficile sostenere in punta di diritto di poter usare cineticamente la forza in maniera legittima in risposta ad un cyber attacco, sapendo che dal punto di vista giuridico-normativo internazionale l’attacco cyber non è ancora legittimo e vista anche la frequente indeterminatezza dell’originatore dell’attacco stesso.

La tematica tecnico-giuridica della legittima reazione all’incidente informatico resta quindi pending.