23 LUGLIO 2013
Il Manuale di Tallin: diritto e cyber war
DI Pietro Lucania

“Cyber-warfare” è un termine che indica diverse metodologie di guerra caratterizzate dall’uso di tecnologie informatiche, elettroniche e di telecomunicazione, ma è anche un punto d’incontro degli interessi di quasi tutti i paesi che ritengono indispensabile chiarire gli ambiti di una problematica che l’evoluzione tecnologica ha reso notevolmente complessa nella sua attualità.

In tale ottica un gruppo di accademici internazionali, indipendenti ed esperti in vari settori, si è impegnato in uno studio durato tre anni conclusosi con l’elaborazione di alcune linee guida circa l’applicabilità del diritto internazionale alla cyber-war.

L’equipe di studiosi guidata dal professor Michael N. Schmitt (preside del Dipartimento di Diritto Internazionale presso lo United States Naval War College con sede a Newport, nonché professore onorario presso la Exeter University (Regno Unito), professore onorario di diritto internazionale umanitario presso la Durham University (Regno Unito), ed ex decano del George C. Marshall, Centro europeo per gli studi sulla sicurezza (Germania) ha quindi raccolto i risultati, in un manuale di particolare interesse, pubblicato dalla Cambridge University press, dal titolo “The Tallinn Manual on the International Law Applicable to Cyber Warfare".

Il lavoro è stato svolto in una cornice tutt’altro che casuale, il gruppo di studio, infatti, è parte di un progetto del CCDCOE, ovvero il Cooperative Cyber Defence Centre of Excellence, uno dei centri di eccellenza della NATO, che si trova a Tallin, in Estonia.

Già nel corso del summit NATO di Riga nel 2006 si era parlato della pericolosità di possibili attacchi informatici, inseriti tra le cosiddette minacce asimmetriche e l’opinione condivisa dei partecipanti era stata quella di proporre una serie di iniziative a lungo termine destinate alla sicurezza e alla protezione dei sistemi informatici.

In questo quadro nacque il CCDCOE, istituito successivamente ai fatti di aprile 2007, quando l’Estonia subì un attacco cibernetico senza precedenti, definito da più parti come una operazione scientificamente progettata ed attuata per distruggere determinati obiettivi, individuati in strutture critiche.

Inizialmente formato da Estonia, Lettonia, Lituania, Germania, Italia, Spagna e Slovacchia, cui si sono successivamente aggiunte Polonia, Ungheria, Paesi Bassi e Stati Uniti, il Centro resta comunque aperto a tutti i Paesi NATO (che assumono il ruolo di sponsoring nation) con possibilità di stabilire relazioni di cooperazione con i paesi non facenti parte dell’Alleanza, nonché con Università, istituti di ricerca ed imprese.

Si prefigge inoltre lo scopo di migliorare le capacità di condivisione, cooperazione ed informazione tra la NATO, i Paesi aderenti ed i vari partner, nel settore della cyber-difesa, sulla base di specifici programmi di istruzione, ricerca e sviluppo, sfruttando l’esperienza acquisita sul campo e proponendo un proficuo scambio di conoscenze tra i soggetti partecipanti.

Il “Tallin Manual” non è un documento ufficiale NATO e per tale ragione non riflette la posizione della stessa organizzazione, né di nessuno dei Paesi aderenti, ciononostante gli addetti ai lavori valutano positivamente il lavoro svolto e ritengono possa trattarsi del più importante documento di riferimento giuridico sulla cyber-war, sicuramente utile a chiarire alcuni aspetti applicativi.

È composto da 95 regole, che il gruppo di esperti ha ordinato seguendo una linea che affronta diversi ambiti e che in parte riflette il diritto consuetudinario internazionale (o, per usare un tecnicismo, come lo stesso possa trovare una ideale applicazione ai conflitti del cyberspazio), unito ad un commento che delinea la base giuridica e mette in evidenza le differenze di opinione tra gli esperti.

È strutturato in due parti, la prima che si occupa del diritto internazionale della sicurezza cibernetica e la seconda che si occupa del diritto dei conflitti armati cibernetici, a loro volta ripartite in sette capitoli alcuni dei quali suddivisi in sezioni.

Il primo capitolo denominato “stato e cyberspazio” contiene le sezioni riguardanti la sovranità, la giurisdizione, il controllo e la responsabilità dello stato; il secondo riguarda l’uso della forza e contiene le sezioni relative al divieto dell’uso della forza, la legittima difesa e le azioni delle organizzazioni internazionali. I capitoli terzo e quarto riguardano rispettivamente il diritto dei conflitti armati e la condotta delle ostilità; quest’ultimo contenente le sezioni dedicate alla partecipazione ai conflitti armati, gli attacchi contro le persone, contro altri obiettivi, i mezzi e i metodi di combattimento, la condotta delle ostilità; le precauzioni; gli atti di perfidia, l’uso improprio di emblemi di protezione e lo spionaggio; i blocchi e le zone. Il quinto tratta invece di particolari categorie di persone ed attività; contiene le sezioni dedicate al personale sanitario e religioso, unità mediche e trasporti, personale delle Nazioni Unite, installazioni, materiali, unità e veicoli, detenuti, bambini, giornalisti; installazioni che racchiudono sostanze pericolose, beni indispensabili per la sopravvivenza della popolazione civile, beni culturali, l’ambiente naturale, archivi diplomatici e comunicazioni; punizioni collettive; assistenza umanitaria. Il capitolo sesto è dedicato all’occupazione, mentre il capitolo settimo è dedicato alla neutralità.

Uno dei principi guida del gruppo di lavoro è stata la verifica degli ambiti di applicabilità dello ius ad bellum (parte del diritto internazionale che disciplina il ricorso alla forza da parte degli Stati come strumento della loro politica internazionale) e dello ius in bello (parte del diritto internazionale che regola la condotta dei conflitti armati).

Notevole la concentrazione di contenuti: si affrontano gli aspetti giuridici della responsabilità degli Stati, ma anche la definizione di infrastrutture vitali, la sopravvivenza della popolazione civile, la definizione di attacchi terroristici, le modalità di diffusione di notizie e di cyber-operations lanciate da infrastrutture governative.

Viene analizzata anche la figura dell’hacker che non è di per sé un nemico, ma può diventarlo in circostanze straordinarie, solo quando cioè partecipa attivamente al conflitto; questo sgombera il campo da errate deduzioni circa eventuali azioni di contrasto in risposta ad attacchi generici.

Altro punto di notevole interesse, direttamente correlato al precedente, è la legittimazione dell’uso della forza militare in caso di attacchi di questo tipo; esplicito in tal senso il commento dello stesso prof. Schmitt: “…si può fare ricorso alla forza quando si raggiunge il livello di conflitto armato e questo rafforza la sensazione che l’approccio alla problematica avviene nel rispetto delle basi giuridiche comunemente accettate.”

Lo stesso Schmitt ha anche precisato che spetta ai singoli Stati l’adeguamento normativo sulla base del lavoro fin qui svolto ed evidenzia chiaramente che a questo manuale potrebbe a breve affiancarsi una nuova versione contenente degli ambiti di studio non ancora trattati e che rivestono altrettanta importanza.

Vi sono delle analogie interpretative tra Manuale e la Strategia internazionale per il cyberspazio che gli Stati Uniti hanno adottato nel 2011: anche in quel caso uno dei punti fermi della strategia era stato quello di non procedere a nuovi teoremi giuridici ma di stabilire un adeguato ambito applicativo delle norme già esistenti, seppure con i dovuti accorgimenti conseguenti alla specificità tecnologica della rete.

L’obiettivo comune resta quello di ridurre i rischi causati da eventuali attacchi ad infrastrutture critiche, elementi essenziali per la crescita economica collettiva, la cui corretta funzionalità è alla base di un regolare processo vitale di una comunità; rischi ancor più accentuati se si considera che l’azione distruttiva di un attacco cibernetico si propaga in una “rete” che ormai racchiude e gestisce non solo target militari ma anche quelli civili assolutamente indistinguibili dai primi in caso di attacco indiscriminato e non selettivo.

Dopo l’11 settembre 2011, le priorità della Difesa (e quindi anche i relativi finanziamenti) si sono concentrati sul versante antiterrorismo tralasciando la problematica cyber-warfare che è tornata alla ribalta soltanto dopo il citato attacco subito dall’Estonia del 2007 e, in parte, nel corso del conflitto georgiano del 2008.

Appare quindi indispensabile predisporre le opportune contromisure anche in questo campo e l’auspicio è che il manuale, oltre a fornire particolari linee guida, possa fungere da stimolo per quei paesi che, sotto il profilo della sicurezza interna non si sono ancora dotati di normative idonee o, magari, stanno per approcciarsi timidamente a tale problematica.

In Italia, ad esempio si è giunti alla formazione di un decreto legge a fine gennaio di quest’anno, entrato in vigore a marzo: è il DPCM 24 gennaio 2013 – Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale; si tratta di un primo passo che dimostra maggiore consapevolezza dei rischi attuali e la volontà di pervenire ad una adeguata strategia di difesa.

Anche l’Unione Europea sta muovendo i suoi passi; qualche mese fa è stata presentata al Consiglio ed al Parlamento Europeo la bozza di un documento che delinea la strategia UE nel settore della cyber sicurezza, si tratta della “Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace”, un documento che focalizza l’attenzione sul cyber-crime ma che potrebbe rivelarsi utile per una futura trattazione degli aspetti del cyber-warfare.

La direzione da percorrere è quella di una “global cyberstrategy” che tenga conto delle esigenze di difesa dei singoli ed individui le azioni di contrasto in una dottrina sempre più complessa. Una strategia della sicurezza globale all’interno della quale siano chiari i ruoli e le responsabilità nelle attività gestionali, i cui costi siano compatibili con le risorse disponibili e che riunisca in un coordinamento efficace tutte le normative ed i documenti finora emanati.