Quando cadrà il muro di indeterminatezza che consentirà alla cyber war di essere combattuta secondo dei confini legali riconosciuti dalla comunità internazionale?
Questo l’interrogativo che attanaglia i sempre più numerosi esperti e cultori di cyber law del nostro tempo. Nuove regole belliche disciplinano la guerra virtuale, ma senza avere alcuna valenza giuridica. Ma si tratta pur sempre di regole non legalmente utilizzabili in una cyber controversia fra Stati.
L’Unione Europea a disciplinare già nel 2013 la cyber dimensione della guerra con uno dei documenti presentati al Consiglio ed al Parlamento Europeo come strategia UE dal titolo “An Open, Safe and Secure Cyber Space” per poi proseguire con una cyber security strategy dotata di strumenti di tutela in teoria spendibili anche dagli attori statuali.
Una strategia europea flessibile al punto tale da poter essere utilizzati per fronteggiare la complessa dimensione della rete globale in continua evoluzione e forse anche quella non ancora ufficialmente accreditata pubblicata in materia di cyber security.
In definitiva, un progetto europeo che puntando sullo sviluppo di “strong cyber resilience capabilities“, a testimonianza che l’Europa starebbe sempre più orientandosi una vera e propria European Homeland Border Security Cyber Strategy, che va a superare le National Homeland Border Security Cyber Strategy dei singoli Paesi europei.
Sulle orme dello European Cybercrime Centre (EC3) l’Europa è andata oltre inaugurando delle piattaforme con analogo scopo organizzate sul modello di apposite agenzie composte da partner istituzionali, privati e com’era immaginabile anche dell’ambito universitario non solo di provenienza UE secondo il criterio della “preventiva gestione della sicurezza delle informazioni” senza poter operare sulla base di un law of cyber space legittimato a livello internazionale. “Zone grigie” o “black rules” che consentono di portare a segno cyber attacchi asimmetrici non sanzionabili.
Ragion per cui la cyber war resta, ancora adesso, una guerra senza confini legali. Probabilmente il salto di qualità avverrà quando l’esperto di cyber law diventerà “tecnico della tecnologia” Non è facile radunare in progetti internazionali così complessi, quale quello di generare un c.d. “law of cyber space for war” È da qui che molti Stati europei sono partiti per costituire dei gruppi di lavoro work in progress con degli esperti di sorveglianza per concepire quelle che sembrano delle European Cyber Space Border Policies di importante sorveglianza informativa basate su disposti normativi di sicurezza nazionale e, perché no, extra UE. Il punto è se riusciranno a trovare delle policy comuni e gradite ai singoli Paesi europei, per garantire la sicurezza cibernetica del vecchio continente.
Ad oggi, una normativa internazionale sostanzialmente volta a classificare le diverse operazioni cibernetiche non è stata ancora approvata dalla comunità internazionale. la fa da padrona la raccolta di norme predisposta con i due Manuali di Tallinn che, sia pure nell’incertezza giuridica, rappresentano al momento l’unica raccolta di norme eventualmente adottabili dalla comunità internazionale, con conseguente impossibilità di attribuire legalmente precise responsabilità in capo agli Stati.
L’impalcatura di un fronte unico europeo potrà poggiare su degli standard di attribuzione del cyber attaccante flessibili e velocemente modificabili secondo le più attuali tecniche di cyber networking intelligence, ma allo stesso tempo sufficientemente compatibili con gli ordinamenti nazionali dei singoli Stati europei anche con norme che preservino la collettività da una indiscriminata sorveglianza massiva in nome dei principi inderogabili in materia di diritti umani.
Politiche comuni per la difesa e sicurezza cibernetica intermedie negli ordinamenti nazionali degli Stati senza necessariamente comportare la ratifica gli Stati in assenza di normative internazionali sul punto siano ad oggi messi nelle condizioni di deresponsabilizzarsi ingaggiando c.d. soggetti terzi per portare a termine un attacco cibernetico, che comprometterebbero irrimediabilmente delle relazioni internazionali e diplomatiche. E questo a prescindere che gli venga attribuito o meno il ruolo di committente di un attacco cibernetico. La spiegazione di tutto ciò è facilmente intuibile e ci fa pensare all’espediente dello scaricabarile.
Evitando l’attribuzione di condotte violative cibernetiche gli attori statuali oltre a salvaguardare la propria reputazione internazionale riescono per ora a fugare il concretizzarsi di pericolosi precedenti, letali in campo diplomatico, e in un futuro, mai dire mai, neanche tanto lontano, di essere perfettamente sanzionabili sulla base di un ordinamento o accordi internazionali sottoscritti con altri Stati o anche di un ordinamento di matrice consuetudinaria e pertanto riconosciuto come ius gentium del cyber spazio.
Cè da augurarsi che le regole contenute nei due Manuali di Tallinn nonché i documenti per la disciplina del cyber space consentano presto o tardi di esprimere delle valutazioni normative applicabili alla realtà fattuale ed in particolare a quella processuale internazionale delle controversie fra Stati del settore cibernetico per l’adozione di cyber rules of engagement per la cyber-info war.