Finalmente anche in Europa si può osservare un superamento, forse definitivo, dell’imbarazzo nel parlare apertamente di operazioni cibernetiche offensive da parte delle Forze Armate e del loro utilizzo, ovviamente come mero strumento reattivo, in caso di attacchi cibernetici subiti.
Le frasi del Ministro della Difesa francese Florence Parly, infatti, sono molto chiare, precise e soprattutto indirizzate verso la giusta dimensione del tema.
Tuttavia, occorre altrettanto apertamente evidenziare come in ambito militare si registrino ancora pochissime vere operazioni cibernetiche e che queste siano, peraltro, tutte orientate esclusivamente a supportare e agevolare operazioni militari tradizionali. Il problema principale, infatti, sorge dalla mancanza di un quadro normativo certo che possa offrire le opportune garanzie agli operatori della Difesa impegnati in queste attività. Pertanto, almeno finora, è stata principalmente l’intelligence a farsi carico di operare in questa “zona grigia” così estesa.
Del resto, non è da considerarsi certamente casuale che la governance delle operazioni cibernetiche sia stata costruita dai principali attori internazionali accentrando le capacità cibernetiche militari e di intelligence, sia difensive che offensive, sotto il medesimo comando (un esempio per tutti, lo U.S. Cyber Command e la NSA comandati entrambi dal Generale Paul Nakasone). Per di più, è evidente che gli attacchi cibernetici abbiano avuto finora più successo quando hanno colpito l’economia, la leadership o la segretezza delle informazioni di una nazione, piuttosto che le sue infrastrutture critiche. Basti fare un semplice paragone: l’Iran ha speso poco più di 2 milioni di dollari per recuperare dai danni subiti dal malware Stuxnet, che ha fisicamente spaccato le ventole di raffreddamento delle centrali di arricchimento dell’uranio a Natanz e Bushehr, mentre gli Stati Uniti hanno speso più di 16.5 milioni di dollari per condurre le investigazioni a seguito del tentativo di manipolare le elezioni del Presidente Trump da parte della Russia.
Tuttavia, quello delle norme, è un tema che sicuramente è già sul tavolo del nostro Ministro della Difesa, Elisabetta Trenta, e del Comando Interforze per le Operazioni Cibernetiche (CIOC), così come sui principali tavoli degli altri Stati Membri dell’Unione Europea. È opportuno evidenziare, infatti, come nell’ultima cyber strategy europea si stabilisca in maniera molto chiara che l’Unione promuove fortemente la posizione secondo cui nel ciberspazio si applica il diritto internazionale e in particolare la Carta delle Nazioni Unite. Una presa di posizione che potrebbe apparire scontata, generica e banale, ma che sul piano politico non lo è affatto.
Ciononostante, i nodi principali sul piano legale dovranno essere sciolti necessariamente in sede internazionale. Qui, però, lo scioglimento del Gruppo di Esperti sulla Sicurezza Cibernetica delle Nazioni Unite, avvenuto nel 2017 a seguito dell’incrinarsi dei rapporti diplomatici tra Stati Uniti e il blocco Cina-Russia, ha lasciato un vuoto molto pericoloso, all’interno del quale questi attori si stanno oggi confrontando in un braccio di ferro serrato finalizzato ad ottenere la leadership per lo sviluppo delle future norme di comportamento degli Stati nel e attraverso il ciberspazio.
Nell’attesa che un dialogo comune si riaccenda in seno ai vertici politico-strategici internazionali, il dibattito sulle norme da applicare alle operazioni cibernetiche deve, però, proseguire senza sosta almeno all’interno dell’Unione Europea. Qui, di recente, la Francia si è posta come il principale attore sul piano diplomatico attraverso la sua “Call for Trust and Security in Cyberspace”. Purtroppo, però, il progetto francese difetta – almeno per il momento – di un chiaro quadro giuridico che possa realmente produrre a livello operativo risultati nuovi o significativi.
L’auspicio, quindi, è che, qualora i leader occidentali vogliano prendere realmente sul serio il tema della sicurezza, prestino il giusto livello di attenzione alle potenzialità delle operazioni cibernetiche sia sul piano degli effetti economici, politici e di riservatezza delle informazioni, che su quello della protezione e difesa delle infrastrutture critiche nazionali e della salvaguardia dei comuni interessi e valori.
Articolo di Stefano Mele, Avvocato e Presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano