Alessandro Stiano (Università di Napoli Federico II)

Introduzione

Il 24 febbraio 2022, come noto, la Russia ha invaso l’Ucraina. Il conflitto in questione ha già dato luogo a diverse riflessioni da parte della dottrina internazionalistica (v. Acconciamessa; Favuzza). Condivisibilmente, la pressoché totalità delle opinioni è orientata nel senso di condannare le operazioni della Russia, qualificandole come una chiara violazione del divieto di uso della forza, ex art. 2 par. 4 della Carta ONU. Le giustificazioni addotte dal Presidente Putin, infatti, sono apparse piuttosto deboli dal punto di vista giuridico e molto poco convincenti da quello fattuale (v. Milanovic; Spagnolo).

Senonché, oltre alle considerazioni legate al conflitto bellico “tradizionale”, la crisi russo-ucraina si sta rivelando terreno fertile anche da una differente prospettiva: il ruolo del diritto internazionale rispetto alle operazioni informatiche che, precedentemente e contestualmente agli attacchi armati, si stanno via via concretizzando sia da parte delle autorità statali russe sia da parte di attori non-statali. A ben vedere, il ricorso alle operazioni cibernetiche non è di certo nuovo ed anzi proprio la Russia ci ha, in più di una occasione, dimostrato che il conflitto può avvenire su due differenti piani, seppur interconnessi: quello tradizionale e quello virtuale (si pensi, tra tutti, al caso NotPetya).

Tuttavia, rispetto al passato, ciò che sembra caratterizzare la situazione attuale è la risonanza che nella comunità internazionale ha suscitato il ricorso a tale tipologia di attacchi nonché l’ampia partecipazione della società civile, mobilitatasi a difesa della Ucraina anche nell’ambito cyber. La dichiarazione di cyber-guerra del collettivo Anonymous nei confronti della Russia è un chiaro esempio di quanto stiamo dicendo.

Dinanzi a tale scenario, dunque, bisogna chiedersi se il diritto internazionale e, in particolare, le categorie classiche di tale ordinamento possano avere qualche ruolo oppure se, al contrario, sulla base di quello che in dottrina è stato definito come un interventionist approach, sia necessario affrontare questo genere di questioni (soprattutto in ambito tecnologico) con categorie che vanno al di là di quanto attualmente previsto dal diritto internazionale, con l’obiettivo di ‘intervenire’ nei nuovi problemi del mondo e gestirli  sulla base di risposte sviluppate ad hoc che prescindono dalle categorie giuridiche esistenti (v. D’Aspremont, Cyber Operations and International Law: An Interventionist Legal Thought, in Journal of Conflict and Security Law, 2016, p. 11). A dire il vero, nonostante già parte della dottrina si sia schierata contro questa impostazione e quindi in favore dell’applicazione delle categorie classiche del diritto internazionale (tra tutti, v. Ruotolo, Il ruolo del consenso del sovrano territoriale nel transborder data access tra obblighi di diritto internazionale e norme interne di adattamento, in La Comunità internazionale, 2016, p. 185), la poca rilevanza dell’interventionist approach è ancor più evidente se si volge lo sguardo alle attività poste in essere dagli Stati e dalle organizzazioni internazionali (sul contributo delle Nazioni Unite allo sviluppo della cybersecurity si v. Farnelli). Già nel 2011, infatti, il Dipartimento di difesa americano incorporava ufficialmente il cyberspace nella propria agenda politica, strategica ed operativa, definendo le minacce alla cyber sicurezza come una delle più importanti sfide per la sicurezza nazionale, la sicurezza pubblica e l’economia ed affrontando tali questioni proprio alla luce del diritto internazionale come ad oggi esistente (v. Department of Defence Strategy for Operationg in Cyberspace). Similmente, nel 2016, la Nato, dopo il summit di Varsavia, ha qualificato ufficialmente il cyberspazio come un “dominio operativo” al quale devono essere applicate le norme di diritto internazionale (v. Nato recognises cyberspace as a ‘domain of operations’ at Warsaw Summit).

Ebbene, a noi sembra che mai come nella situazione attuale il diritto internazionale abbia un ruolo significativo per la definizione e delimitazione anche di quelle attività che si sostanziano nell’utilizzo di strumenti informatici da parte degli Stati o a questi ultimi imputabili.

Di seguito si esamineranno, attraverso le categorie giuridiche sulla responsabilità degli Stati, le principali operazioni informatiche poste in essere dalla Russia e intercorse prima e durante il conflitto. Ai fini di una più agevole trattazione, offriremo una breve descrizione dei vari attacchi che hanno avuto luogo, per poi successivamente analizzare le questioni giuridiche relative all’attribuzione delle condotte e all’individuazione delle norme di diritto internazionale di volta in volta rilevanti. Seppur particolarmente interessanti, va anticipato che non verranno trattate le questioni relative alla qualificazione, al ruolo e alla partecipazione dei collettivi hacker (come il noto gruppo Anonymous) al conflitto in essere, in quanto queste problematiche paiono rientrare nelle categorie proprie del diritto internazionale umanitario, non oggetto di questo blogpost.

Attacco di tipo Distribuited Denial of Service (DDoS) ai siti web delle istituzioni pubbliche ucraine

Gli attacchi DDoS sono stati senza dubbio le operazioni informatiche più frequenti. Essi consistono nell’invio di un elevatissimo numero di richieste di accesso a un determinato servizio, si pensi ad un sito web, al fine di renderlo inaccessibile. Nei giorni antecedenti l’attacco militare all’ucraina, sono stati colpiti diversi siti web di istituzioni governative dell’Ucraina, come il Ministero degli affari esteri, della difesa e degli affari interni nonché di diverse banche ucraine. Nonostante i siti web colpiti appartenessero a enti governativi, la portata dell’attacco è stata di media/bassa entità dal momento che tutti i servizi sono stati ripristinati dopo qualche ora e senza perdite di funzionalità irreversibili.  

Il procedimento di attribuzione di tali condotte è probabilmente l’operazione tecnico/giuridica più difficile da compiere. Ciò dipende essenzialmente dal fatto che non sempre è possibile in tempi brevi ricondurre l’attività ad uno specifico gruppo e individuare se sussiste “un collegamento” con lo Stato.

Nel caso dell’operazione in questione, tuttavia, ci troviamo dinnanzi all’ipotesi in cui a porre in essere la condotta sia stato, con ragionevole certezza, proprio un organo dello Stato russo. Infatti, attraverso un’analisi tecnica condotta dalla società informatica ESET (ente con sede a Bratislava operante nel settore della cybersicurezza che si è occupato dei profili tecnici relativi alle operazioni informatiche condotte contro l’Ucraina), è stato possibile ricondurre l’attacco informatico all’intelligence militare russa (GRU). Se così fosse, dunque, ci sembrerebbe pienamente riconducibile alla situazione prospettata dall’art. 4 del Progetto di Articoli sulla responsabilità degli Stati (Progetto), il quale com’è noto stabilisce che «il comportamento di un organo dello Stato sarà considerato come un atto dello Stato ai sensi del diritto internazionale, sia che tale organo eserciti funzioni legislative, esecutive, giudiziarie o altre, qualsiasi posizione abbia nell’organizzazione dello Stato e quale che sia la sua natura come organo del governo centrale o di un’unità territoriale dello Stato». D’altro canto, la rilevanza della norma in questione è confermata altresì dal Manuale di Tallinn 2.0 (un insieme di regole sull’applicabilità del diritto internazionale alle operazioni informatiche redatte da un gruppo di esperti sotto la guida del Prof. M. Schmitt), il quale ribadisce che nessun dubbio sussiste in merito all’attribuzione di un attacco informatico ad uno Stato nel caso in cui «State organs, such as the military or intelligence agencies, commit the wrongful acts» (Regola 15).

Per quanto riguarda invece l’individuazione della norma primaria violata dalla condotta russa in questione, ci sembra innanzitutto che non possa dirsi consumata una violazione del divieto di uso della forza ex art. 2, par. 4, della Carta ONU (in questo stesso senso v. Schmitt). Sul punto, infatti, nonostante una esigua prassi statale orientata in senso contrario (v. Francia e Norvegia), va osservato che affinché un attacco informatico possa integrare l’uso della forza è necessario che la condotta in questione sia capace di produrre effetti/conseguenze assimilabili a quelle che si potrebbero avere nel caso di un attacco tradizionale. In altre parole, solo laddove un attacco informatico sia capace di determinare la distruzione di cose oppure comportare la perdita di vite umane, esso potrà qualificarsi alla stregua dell’uso della forza. A medesime conclusioni si giunge pur accedendo a quella teoria che, ampliando la portata del divieto, assimila all’uso della forza quegli attacchi informatici capaci di distruggere soltanto “dati” contenuti in un determinato computer, senza provocare effetti “tangibili”. Il discorso non cambia anche se ci si volesse porre in quella prospettiva, pur emersa in dottrina (v. Sharp, Cyberspace and Use of Force, Ageis Research Corp, 1999, p. 129) secondo cui, indipendentemente dalle conseguenze, una operazione informatica può essere considerata alla stregua dell’art. 2(4) quando sia rivolta verso le infrastrutture critiche di uno Stato. Nel caso di specie, infatti, la portata dell’attacco è stata minima e ha riguardato i siti web delle istituzioni e non direttamente le stesse.

A nostro avviso il discorso non muta neppure se si analizza l’operazione attraverso il prisma del principio di sovranità. Sul punto, il Manuale di Tallinn afferma che una violazione di tale principio si verifica soltanto quando un attacco informatico sia in grado di produrre degli effetti sul territorio dello Stato offeso o di interferire con le sue «inherently governmental functions» (Regola 4). In questi termini, l’ipotesi può plausibile è quella che si verifica quando una operazione informatica comporti la perdita di funzionalità di una infrastruttura digitale di uno Stato in modo permanente. Nel caso di specie, invece, come detto, il malfunzionamento dei siti web è perdurato per un periodo molto limitato di tempo, ciò che ci porta a concludere che non vi sia stata alcuna violazione del principio di sovranità dello Stato.

In definitiva, dunque, rispetto a questo specifico attacco cibernetico ci sembra che nessuna norma internazionale sia stata violata.

Gli attacchi informatici cc.dd. Hermetic Wiper e Isaac Wiper

Gli attacchi in questione si differenziano sensibilmente da quello analizzato in precedenza, sia dal punto di vista tecnico, sia da quello giuridico. Anzitutto, va evidenziato che in questi casi le operazioni informatiche sono state realizzate attraverso l’uso di un c.d. malware, un virus informatico il cui scopo è quello di distruggere in modo irreversibile dati contenuti su un determinato computer. Secondo la ESET, l’operazione dovrebbe articolarsi in tre fasi: la distruzione vera e propria dei dati, la propagazione dell’infezione nei confronti di altri computer e la creazione di un diversivo per rendere più difficile individuare la minaccia. Lo scopo del programma, dunque, non è quello di rendere inaccessibile un determinato servizio oppure sottrarre informazioni sensibili, ma piuttosto quello di distruggerle in modo permanente. La dimostrazione della pericolosità di tale tipo di attacco informatico si evince altresì dalla reazione politica generalizzata che ne è scaturita. Non a caso, successivamente alla sua individuazione, anche l’agenzia italiana per la cybersicurezza, attraverso la sua unità operativa, il CSIRT, ha innalzato il livello di allerta per possibili attacchi informatici anche nei confronti dell’Italia (v. CSIRT).  Infatti, come sottolineato dagli esperti di ESET, nonostante il programma sia stato rilevato per la prima volta in una organizzazione governativa ucraina, non è da escludere che questo possa colpire anche ulteriori computer.

Vista la complessità del programma malevolo, al momento l’attribuibilità dell’attacco non è ancora certa. Da un punto di vista tecnico, infatti, l’ESET ritiene che il malware non sia attribuibile a nessun gruppo noto (v. Eset Research).  Oltre all’attribuzione tecnica, in questo caso ci sembra che vada operata una differenziazione tra una attribuzione politica e una giuridica (v. Delerue, Cyber Operations and International Law, OUP, 2020, p. 165). La prima, com’è facilmente intuibile, consiste nell’attribuzione pubblica da parte di uno o più Stati di un attacco informatico ad un altro Stato, senza però che tale affermazione sia suffragata da prove concrete. Nel caso di specie, invero, non vi è dubbio che alcuni elementi siano riconducibili al modus operandi della Russia, sia perché si innestano in un contesto conflittuale portato avanti con armi tradizionali e con strumenti informatici, sia perché riprendono tecniche già utilizzate in precedenza. Allo stesso tempo, però, va rilevato che, almeno fino al momento in cui si scrive, non vi sono prove concrete a sostegno di tale affermazione. Ciononostante, tale forma di attribuzione non è priva di implicazioni. Basti pensare, a tal proposito, al generale coinvolgimento degli Stati a sostegno delle risorse cyber alla Ucraina nonché, e forse ancor più rilevante, alla dichiarazione di guerra del gruppo Anonymous alla Russia.

Per quanto riguarda la prospettiva giuridica, invece, va osservato in primo luogo che in questo caso l’art. 4 (1) del Progetto difficilmente potrà essere utilizzato dal momento che verosimilmente, vista anche la difficile attribuzione tecnica, la condotta non è stata realizzata da un organo dello Stato russo. A parere di chi scrive, invece, possono assumere rilevanza, almeno potenzialmente, l’art. 4(2), l’art. 8 e l’art. 11 del Progetto. Come è noto, in tutte e tre gli articoli vengono in rilievo quelle ipotesi in cui una condotta posta in essere da un soggetto non statale possa essere attribuita allo Stato; affinché ciò si realizzi è necessario che sussista una connessione tra tali soggetti e lo Stato in questione. Nel caso di specie non è da escludersi, infatti, che la condotta sia stata realizzata da un gruppo di soggetti privati che ha agito come organo de facto dello Stato (art. 4(2)). In questo caso è necessario che la condotta sia stata realizzata sotto la completa dipendenza della Russia. Un’altra ipotesi plausibile è che gli hacker abbiano agito sotto la direzione, il controllo o le istruzioni dello Stato russo (art. 8). Infine, anche in assenza di un legame fattuale come quelli qui indicati, potrebbe verificarsi altresì che la Russia riconosca come propria la condotta auto-attribuendosi in questo modo la responsabilità dell’azione (art. 11).

In definitiva, dunque, ciò che emerge è che le categorie in merito alla responsabilità degli Stati sono pienamente applicabili anche al caso in cui le operazioni vengano condotte attraverso strumenti informatici e da attori non statali.

Nel caso degli attacchi informatici di cui si discute non ci sembra si possa prima facie escludere la rilevanza della norma sul divieto di uso della forza. Come anticipato, un attacco informatico capace di distruggere materialmente beni può senz’altro violare l’art. 2, par.4, della Carta ONU. Se da un lato, nel caso di specie può osservarsi che non sono stati rilevati danni fisici ad alcuna infrastruttura, dall’altro lato va sottolineato che si tratta di un attacco la cui portata può avere degli effetti distruttivi sulle informazioni e sui dati contenuti su uno o più computer. A dire il vero, non manca in dottrina (v. Delerue, op.cit., p. 298; Lin) la tendenza ad includere nel novero degli attacchi in contrasto con l’art. 2 (4) anche quelli che siano capaci di distruggere soltanto elementi non tangibili come dati e informazioni. A riprova di ciò, la recente Risoluzione dell’Assemblea generale – in merito all’applicazione del diritto internazionale alle operazioni informatiche – sembra propendere proprio in questa direzione. La maggior parte degli Stati, infatti, è concorde nel ritenere che «a cyber operation causing severe disruption to the functioning of the State such as the use of crypto viruses or other forms of digital sabotage against governmental or private power grid-or telecommunications infrastructure, or cyber operations leading to the destruction of stockpiles of Covid-19 vaccines, could amount to the use of force in violation of Article 2(4)». È chiaro che una valutazione di questo tipo può essere fatta solo in relazione al singolo caso concreto e soprattutto alla luce di notizie più certe sulla effettiva portata dell’attacco. Ad ogni modo, anche laddove non si raggiungesse la soglia dell’uso della forza, ci pare chiaro che in questo caso sia stato violato quantomeno il principio di sovranità dello Stato ucraino. Come già evidenziato, infatti, la distruzione permanente anche di beni non tangibili rientra in una chiara ipotesi di violazione del principio in questione.

Riflessioni conclusive

In conclusione, ciò che emerge da questa breve analisi è che: i) il diritto internazionale e, in particolare, le categorie in materia di responsabilità degli Stati sono rilevanti anche nel contesto delle operazioni cibernetiche; ii) rispetto alla rilevanza di singole categorie del diritto internazionale, una valutazione sulla concreta applicazione delle stesse non può prescindere dalla specificità della singola operazione informatica realizzata e quindi dall’analisi del singolo caso concreto. Come visto, infatti, a seconda della diversità dell’attacco cibernetico realizzato si può giungere a conclusioni parzialmente o totalmente differenti in merito all’individuazione delle norme di diritto internazionale sulla responsabilità degli stati di volta in volta rilevanti.