Al via l’intesa comune sull’applicazione del diritto internazionale al ciberspazio. A farlo sapere è il Consiglio dell’Unione europea con un nota ufficiale del 18 novembre 2024 , dalla quale si apprende che la UE e tutti i suoi Stati membri adottano una dichiarazione unanime e comune, volta a ribadireche “il diritto internazionale rimane adatto allo scopo in questo settore digitale e […] gli Stati devono rispettare determinati obblighi e norme nello svolgimento di attività nel ciberspazio”.
Ma vediamo bene in che termini.
Indice degli argomenti
Cyberspazio e diritto internazionale: traguardo importante
È la prima volta che l’UE e i suoi Stati membri adottano una dichiarazione su un tema così specifico cioè l’applicazione del diritto internazionale al mondo del cyberspazio.
Per il vero, la UE vi traguarda, facendo seguito al ripetuto avallo da parte dell’UNGA, come si legge nel comunicato, di avere un quadro comune che stabilisca il comportamento responsabile degli Stati nel ciberspazio, fondato sull’applicazione del diritto internazionale.
Ecco che la dichiarazione in parola riassume tutti gli sforzi compiuti a livello delle Nazioni Unite, in particolare del gruppo di lavoro sulla sicurezza e l’uso delle tecnologie dell’informazione e della comunicazione 2021-2025, istituito proprio dalla risoluzione dell’UNGA UN A/RES/75/240 nel 2021.
Le tappe
Nell’aprile 2024 il SEAE ha presentato al gruppo orizzontale “Questioni riguardanti il ciberspazio” cioè a dire un documento informale sull’applicazione del diritto internazionale al ciberspazio.
Tale gruppo, in stretta cooperazione con il gruppo “Diritto internazionale pubblico” (COJUR), ha raggiunto un accordo sul testo della dichiarazione il 4 novembre 2024, e il 13 novembre 2024 il Comitato dei rappresentanti permanenti (Coreper) ha confermato detto accordo.
Cyberspazio: punti cardine della dichiarazione comune
Con questa dichiarazione comune si riconosce che i comportamenti dolosi nel ciberspazio, compreso il ransomware, poiché in significativo aumento in termini di portata, gravità, sofisticazione e impatto, sono e saranno di competenza del diritto internazionale.
D’altronde, come si legge testualmente nel comunicato “il rispetto e l’osservanza del quadro delle Nazioni Unite per il comportamento responsabile degli Stati nel ciberspazio rimangono essenziali per mantenere la pace, la sicurezza e la stabilità internazionali”.
Di qui, la UE con tutti i suoi Stati membri si impegnano (con questa dichiarazione) a favore dell’attuazione di detto Quadro adottando per consenso unanime che il diritto internazionale, in particolare la Carta delle Nazioni Unite, il diritto internazionale dei diritti umani e il diritto internazionale umanitario, trova piena applicazione al mondo del ciberspazio.
Il tutto al fine di attuare e promuovere un comportamento responsabile degli Stati nel ciberspazio, sostenendo l’iniziativa del Programma d’azione per il cyber.
Lo scopo è chiaro: costruire capacità globali e rafforzare la cooperazione internazionale e multi-stakeholder in questo campo.
D’altra parte, un accordo comune sul modo in cui il diritto internazionale si applica al ciberspazio, con tutta evidenza, contribuisce a rafforzare la cyber-resilienza globale, rafforzando trasparenza, prevedibilità e responsabilità della condotta degli Stati nel ciberspazio.
La dichiarazione comune, tra diritti e doveri degli Stati
Ecco di seguito una serie che, come si legge nella Dichiarazione, non è “esaustiva di elementi giuridici, che integra e non pregiudica le posizioni nazionali attuali e future degli Stati membri dell’UE, nonché qualsiasi evoluzione futura di questa intesa comune sull’applicazione del diritto internazionale al ciberspazio”.
Vediamoli in sintesi.
La sovranità statale
La sovranità statale, come noto, è un principio fondamentale del diritto internazionale. Come si legge nella Dichiarazione in disamina, questa “assicura che gli Stati possano scegliere e sviluppare i loro sistemi politici e sociali e perseguire la politica estera. Dalla sovranità statale derivano alcune regole e principi come la giurisdizione territoriale o personale, l’immunità e il non intervento. Gli Stati hanno il diritto di esercitare la giurisdizione territoriale sulle persone, i beni e le attività all’interno dei loro territori e in conformità con gli obblighi derivanti dal diritto internazionale”.
Di qui, gli Stati esercitano la giurisdizione territoriale sulle infrastrutture delle tecnologie dell’informazione e della comunicazione (TIC) situate nel loro territorio e sulle persone impegnate in attività informatiche all’interno del loro territorio.
Ecco che “una violazione dell’obbligo di rispettare la sovranità può verificarsi quando un’operazione cibernetica, attribuibile a uno Stato, violi l’integrità territoriale di un altro Stato o comporti l’ingerenza o l’usurpazione delle funzioni intrinsecamente governative di un altro Stato”.
Il principio di non intervento
Il principio di non intervento quale norma consolidata del diritto internazionale consuetudinario, è un corollario della sovranità e dell’uguaglianza sovrana di tutti gli Stati, vietando a uno Stato di intervenire direttamente o indirettamente negli affari di un altro Stato.
Di conseguenza, l’interferenza coercitiva con i sistemi TIC, i servizi cloud e le reti su un altro viola tale principio.
La dovuta diligenza
La due diligence è un altro principio del diritto internazionale che si può applicare anche al contesto informatico. Qui la Dichiarazione in commento cita la “sentenza del Canale di Corfù, la Corte Internazionale di Giustizia ha stabilito che è obbligo di ogni Stato non permettere che consapevolmente il proprio territorio venga utilizzato per atti contrari ai diritti di altri Stati“.
Si tratta di obbligo di condotta e non di risultato. Gli Stati membri sono tenuti a fare in modo che le infrastrutture TIC vengano utilizzate per atti contrari ai diritti di altri Stati, una volta venuti a conoscenza o avrebbero dovuto essere a conoscenza di tali attività.
Di qui, si legge ancora che “gli Stati sono tenuti ad adottare tutte le misure appropriate, ragionevolmente disponibili e fattibili, nel contesto dato, per agire contro le operazioni informatiche che violano i diritti di un altro Stato ai sensi del diritto internazionale”.
Il divieto dell’uso della forza
Ai sensi dell’art. 2, par. 4, della Carta delle Nazioni Unite e del diritto internazionale consuetudinario, “è vietata la minaccia o l’uso della forza contro l’integrità territoriale o l’indipendenza politica di qualsiasi Stato o in qualsiasi altro modo incompatibile con le finalità della Carta delle Nazioni Unite”.
L’attuale società fa “molto affidamento sulle TIC che possono essere interrotte, il loro utilizzo impedito o negato o il loro funzionamento alterato da un’operazione informatica senza provocare alcun danno fisico”.
Ben note di questi tempi sono le dinamiche per cui “un’operazione informatica può avere effetti negativi di vasta portata o causare gravi interruzioni della vita quotidiana”.
Ne discende, come si legge nella Dichiarazione (facendo presente che la traduzione non è quella ufficiale) che “a seconda delle circostanze, gli effetti combinati di diverse operazioni informatiche potrebbero, presi insieme, essere paragonabili a un uso cinetico della forza”. Se così è, “l’uso della forza può essere autorizzato dal Consiglio di sicurezza delle Nazioni Unite al fine di mantenere o ripristinare la pace e la sicurezza internazionali”.
Rispetto del diritto internazionale umanitario e dei diritti umani
Il diritto internazionale umanitario (DIU) trova sì applicazione alle operazioni informatiche condotte nel contesto di un conflitto armato, internazionale o non internazionale.
Le attività informatiche, d’altra parte, possono costituire attacchi ai sensi del diritto internazionale umanitario, ossia atti di violenza contro l’avversario, per quanto in un mondo virtuale come è il cyberspazio.
Poiché nel contesto cibernetico l’infrastruttura TIC è spesso utilizzata sia per scopi civili che militari, se dunque “un sistema, una rete o un’infrastruttura TIC non costituisce un obiettivo militare, gode della protezione come un oggetto civile”.
Ne deriva che, con riferimento al rispetto del diritto internazionale umanitario, “il principio di distinzione si applica indipendentemente dal fatto che l’attacco informatico sia esercitato in un contesto offensivo o difensivo. I civili devono essere protetti dagli attacchi, a meno che non partecipino direttamente alle ostilità, anche con mezzi informatici, come devono essere gli obiettivi civili”.
Con riferimento poi al rispetto del diritto internazionale dei diritti umani, gli Stati membri “devono rispettare i loro obblighi ai sensi del diritto internazionale dei diritti umani online come offline”. Nel senso che questi “hanno l’obbligo di astenersi dall’agire in violazione dei diritti umani, è l’obbligo di proteggere attivamente i diritti delle persone all’interno della loro giurisdizione contro tali violazioni”.
È verosimile, infatti, che “i diritti umani potrebbero essere particolarmente a rischio nel contesto informatico per quanto riguarda la libertà di opinione e di espressione, il diritto alla vita privata, la libertà di cercare, ricevere e diffondere informazioni, la libertà di riunione pacifica e di associazione, il divieto di discriminazione e i diritti dei minori”.
L’attribuzione di comportamenti che fanno sorgere la responsabilità dello Stato
Ancora, la Dichiarazione poi si occupa dell’attribuzione giuridica in punto responsabilità che rappresenta “uno degli elementi costitutivi di un atto internazionalmente illecito e consiste nel collegare una determinata azione o omissione a uno Stato”.
Si tratta di un prerequisito volto a invocare la responsabilità del singolo Stato.
La dichiarazione comune UE e le risposte degli Stati
Ecco di seguito le risposte degli Stati membri alla Dichiarazione, e in particolare:
- risoluzione pacifica delle controversie nella misura in cui il protrarsi di una controversia rischi di mettere in pericolo il mantenimento della pace e della sicurezza internazionali, ecco che gli Stati intendo addivenire a una soluzione pacifica conmezzi altrettanto pacifici (come misure diplomatiche, negoziazione/mediazione/conciliazione/arbitrato, risoluzione giudiziaria ecc.);
- rappresaglia, si potendo gli Stati “reagire a un’operazione informatica illecita di un altro Stato, adottando ritorsioni” (ad esempio rottura o limitazione delle relazioni diplomatiche o altre misure restrittive, come la riduzione delle relazioni economiche o finanziarie ecc.).
Fatti di cui è esclusa l’illiceità
Si legge ancora e da ultimo nella Dichiarazione che “gli Stati possono anche reagire alle operazioni informatiche di un altro Stato, adottando azioni che si discostano dai loro obblighi internazionali, ma la cui illiceità è preclusa dal diritto internazionale a causa di circostanze specifiche”.
In questi casi, valgono soluzioni (cui si rinvia) come l’autodifesa, l’invocazione della responsabilità dello Stato, uno stato di necessità, e l’ipotesi di contromisure.
Su quest’ultime merita soffermarsi evidenziando come “le contromisure non devono pregiudicare: (a) l’obbligo di astenersi dalla minaccia o dall’uso della forza come sancito dalla Carta delle Nazioni Unite; b) obblighi in materia di tutela dei diritti umani fondamentali; c) obblighi di carattere umanitario che vietino ritorsioni; d) altri obblighi derivanti da norme imperative del diritto internazionale generale”.
In altri termini, gli Stati membri non sono esonerati dall’adempimento dei loro obblighi tanto nell’ambito di una (qualsiasi) procedura di risoluzione delle controversie applicabile quanto nel contesto di dover “rispettare l’inviolabilità degli agenti diplomatici o consolari, dei locali, degli archivi e dei documenti”.
Le contromisure devono evidentemente essere proporzionate e reversibili, cessando al termine della violazione.
Conclusioni
Con tale Dichiarazione la UE e i suoi Stati membri hanno dimostrato che è possibile raggiungere un’intesa congiunta su una serie di principi fondamentali e norme del diritto internazionale senza ombra di dubbio applicabili al cyberspazio.
Era dunque un traguardo assolutamente necessario nella lotta contro i crimini informatici sempre più avanzati, numerosi e aventi ripercussioni gravi, tanto da rappresentare ora una sfida ora una minaccia per il funzionamento della società, delle economie e dello stile di vita europeo.
