Per la prima volta un organo aperto alla partecipazione di tutti gli stati membri dell’ONU ha prodotto un rapporto per consenso sulle attività degli stati e sulla regolamentazione nel cyberspazio. Negli ultimi anni la questione era sempre stata affrontata dal ristretto gruppo di esperti del GGE (Group of Governmental Experts) fino alla creazione dell’OEWG (Open Ended Working Group) a causa delle controversie riscontrate.
Nonostante permangano alcune spaccature fra le diverse concezioni del cyberspazio da parte di blocchi di paesi contrapposti, nel rapporto sono presenti alcuni spunti interessanti per gli sviluppi futuri.
Ripercorriamo i temi salienti del dibattito fino ad analizzare il nuovo rapporto finale.
Indice degli argomenti
Il dibattito in ambito ONU sulle attività statali nel cyberspazio
Le operazioni cibernetiche condotte dagli stati hanno da sempre stimolato un ampio confronto sull’applicazione del diritto internazionale, specialmente sulla possibilità di assoggettare eventuali azioni malevole alle norme sull’uso della forza.
Le Nazioni Unite sono state il foro favorito per tali discussioni sin dall’istituzione nel 2004 del primo GGE al fine di promuovere un comportamento responsabile degli Stati nel cyberspazio.
Nello specifico, come indicato dall’Assemblea Generale, si intendeva analizzare l’impatto degli sviluppi nel campo ICT sulla sicurezza internazionale ed individuare le norme di diritto internazionale eventualmente applicabili.
Oltre a quello originario, altri gruppi di esperti sono stati convocati e hanno presentato i loro rapporti conclusivi nel 2010, 2013, 2015 e 2017, mentre quello attuale dovrebbe ultimare i lavori entro l’anno.
In particolare, i rapporti conclusivi del 2013 e 2015 avevano espressamente citato l’applicabilità e la rilevanza del diritto internazionale e della Carta delle Nazioni Unite nel mantenimento della pace e della stabilità internazionale anche nel dominio del cyberspazio.
La mancata approvazione del rapporto del 2017 e la creazione dell’OEWG
Al di là di questo generale riconoscimento, le spaccature fra gli stati avevano portato ad uno stallo cristallizzatosi con la mancata approvazione del rapporto finale del 2017.
Il rigetto da parte di stati quali Cuba, Russia e Cina derivava dalla volontà degli stati occidentali di includere in particolare il diritto alle contromisure, il diritto alla legittima difesa ex art. 51 della Carta Onu, nonché l’applicabilità del diritto internazionale umanitario.
Alle basi di questa spaccatura c’è un differente approccio al cyberspazio da parte di questi stati, i quali da un lato ne rigettano la “militarizzazione” e propendono per un uso libero dell’ICT, dall’altro preferirebbero che venissero sviluppati strumenti giuridici ad hoc.
In particolare, i maggiori contrasti riguardano proprio la connotazione degli attacchi cibernetici come uso della forza nel senso dell’art.2 par.4 della Carta ONU, o come un attacco armato che giustifichi il ricorso alla legittima difesa.
In effetti, le peculiari caratteristiche del dominio cibernetico rendono incerta sia l’attribuzione degli attacchi, sia la valutazione dei danni cagionati, laddove per alcuni stati andrebbero considerati solo gli attacchi che producono danni rilevanti a cose o persone e non già danni di tipo economico o politico, per quanto seri.
Allo stato attuale sono i singoli stati ad effettuare tali valutazioni sulla scorta delle proprie strategie cyber nazionali, oppure adottando criteri, come quelli elaborati in ambito NATO dal Manuale di Tallinn 2.0, che valutano aspetti quali severità, immediatezza o invasività.
La stessa NATO, ad esempio, ha riconosciuto espressamente come un attacco cibernetico contro uno dei suoi membri possa far scattare il meccanismo di difesa collettiva previsto dall’articolo 5 del trattato. Visione contestata dalla Russia che invece non ritiene si possa rispondere con misure cinetiche, o perlomeno non senza l’intervento del Consiglio di Sicurezza e in presenza di un’attribuzione certa e indipendente.
Al fine di tentare di superare queste divisioni sviluppatesi all’interno del GGE, nonché di democratizzare il processo e includere una più vasta platea di stati, una proposta russa ha portato nel 2018 alla creazione di un secondo organo che avrebbe portato avanti i propri lavori di pari passo con il GGE.
A differenza di quest’ultimo, limitato a 25 membri, l’Open Ended Working Group è aperto alla partecipazione di qualsiasi stato interessato, permettendo per la prima volta all’intera comunità internazionale di intervenire sul tema.
Regolamentazione del cyberspazio: il rapporto finale dell’OEWG
A dispetto di quanti prevedevano che un così vasto gruppo di lavoro non avrebbe mai raggiunto un consenso in materia, lo scorso 10 marzo è stato pubblicato il rapporto finale.
Pur trattandosi di un documento frutto di compromesso fra le diverse correnti di pensiero, ha nondimeno il valore di rappresentare la prima posizione ufficiale della generalità degli stati membri delle Nazioni Unite sul cyberspazio, dato che solo l’Iran si è in qualche modo dissociato.
Regolamentazione del cyberspazio: conferme e soluzioni di compromesso
Partendo da quanto stabilito nei rapporti conclusivi dei precedenti GGE, il rapporto ha nuovamente confermato, questa volta col consensus dell’intera comunità degli stati, che il diritto internazionale, in particolare la Carta ONU, è “applicabile ed essenziale per mantenere la pace e la stabilità e promuovere un ambiente ITC aperto, sicuro, stabile, accessibile e pacifico”.
Tuttavia, stante tale chiarimento, i dubbi permangono in merito al “come” tali norme debbano essere applicate: ciò si è riflesso in soluzioni di compromesso o omissioni.
Le istanze portate avanti dagli stati occidentali, USA in primis, nel corso dei precedenti GGE, hanno dovuto soccombere di fronte alle rimostranze del blocco capitanato da Russia e Cina. Gli accenni al diritto internazionale umanitario o ai diritti umani, temi difficili per Pechino, sono stati espunti o hanno visto la loro importanza ridursi. Mosca, invece, ha ottenuto che venisse quantomeno ventilata la possibilità di elaborare strumenti giuridici legalmente vincolanti e specifici per il cyberspazio.
Ciononostante, l’approvazione dei precedenti rapporti dei GGE, in particolare le considerazioni sul comportamento responsabile degli stati nel cyberspazio, permetterà auspicabilmente di elaborare ulteriormente la questione.
Focalizzando l’attenzione su questo punto si potrebbero sottoporre al sistema di sicurezza collettiva eventuali attività statali malevole che coinvolgono l’utilizzo di tecnologie informatiche.
La questione è quantomai rilevante sia per ciò che concerne le minacce ibride, quindi attacchi non cinetici che sfruttano il dominio informativo come vettore per campagne statali multilivello, sia per le minacce cyber nei confronti di obiettivi quali le infrastrutture critiche.
Focus su infrastrutture critiche e dipendenza dal digitale nell’anno della pandemia
Il rapporto riconosce che “ci sono conseguenze per la sicurezza, economiche, sociali e umanitarie potenzialmente devastanti che derivano dalle attività ICT malevole nei confronti di Infrastrutture Critiche (IC) e Infrastrutture Informatiche Critiche (IIC) che supportano i servizi pubblici essenziali”.
Riportando a titolo di esempio le strutture mediche, i servizi finanziari, l’energia, i trasporti e la raccolta dei rifiuti, gli stati si sono inseriti nel solco che l’Unione Europea sta tracciando con la revisione della direttiva NIS.
Viene espressa preoccupazione anche per quegli attacchi volti anche solo a minare la fiducia nei processi politici ed elettorali e nelle istituzioni pubbliche, nonché aventi un impatto sulla disponibilità generale o integrità della rete internet.
Rifacendosi espressamente all’esperienza della pandemia da Covid-19, il rapporto ha richiamato la dipendenza degli stati e degli individui dalle tecnologie digitali, nonché la necessità di proteggere in particolar modo le infrastrutture ospedaliere.
Gli stati hanno concluso che in tempi di crisi come quelli che stiamo vivendo le vulnerabilità esistenti vengono amplificate: è quindi necessario che siano sempre implementate attività di awareness, nonché migliorate le capacità di rilevazione, difesa e risposta contro le minacce cyber in ottica cooperativa multilaterale.
Significativamente, hanno poi evidenziato che “l’attività ITC contraria agli obblighi del diritto internazionale che danneggia intenzionalmente le infrastrutture critiche, o altrimenti ostacola l’uso e il funzionamento delle infrastrutture critiche per fornire servizi al pubblico, potrebbe rappresentare una minaccia non solo alla sicurezza ma anche alla sovranità dello Stato, così come lo sviluppo economico e i mezzi di sussistenza, e in ultima analisi la sicurezza e il benessere degli individui”.
Conclusioni
Il rapporto finale dell’OEWG rappresenta senza dubbio una pietra miliare nello sviluppo del dibattito in ambito ONU sull’applicazione del diritto internazionale al cyberspazio.
Tuttavia, le molte soluzioni di compromesso e il fatto che parallelamente stanno proseguendo i lavori del GGE a propulsione statunitense portano a frenare l’entusiasmo e ridimensionare la portata del rapporto.
Potrebbe quasi sembrare che l’apparente stallo ed incertezza siano funzionali e ricercati da entrambi gli schieramenti, permettendo ad ognuno di agire liberamente nel cyberspazio secondo ciò che ritiene permesso, ma allo stesso tempo adoperandosi per valutare di volta in volta come malevole le azioni portate avanti nei propri confronti dagli avversari.
