Nonostante la Nato abbia sempre tenuto in grandissima considerazione la protezione dei propri sistemi informatici e delle informazioni che in essi fluiscono, è solo nel 2002 che gli attacchi cibernetici hanno fatto la loro prima comparsa in un documento pubblico ufficiale. Tuttavia, la Dichiarazione del Summit di Praga di quell’anno conteneva al suo interno un impegno eccessivamente laconico da parte dei Capi di Stato e di Governo del Patto Atlantico, poiché incentrato esclusivamente sul semplice obiettivo di “rafforzare le capacità di difesa dagli attacchi informatici”. Una frase certamente molto asciutta, che trova una giustificazione, in realtà, se contestualizzata all’interno di quel preciso momento storico, il 2002 appunto, ancora così lontano anche solo dallo scalpore dei primissimi attacchi cibernetici di matrice statale del 2007 contro l’Estonia e del 2008 contro la Georgia. Attacchi che spingeranno l’Alleanza Atlantica a guardare a questo settore con grande urgenza e concretezza, tanto da decidere di inaugurare proprio a Tallinn, il 14 maggio 2008, un centro di eccellenza sulla difesa cibernetica, il Nato Cooperative Cyber Defence Centre of Excellence (Nato Ccd Coe).
Di ben diverso tenore, invece, è stata la Dichiarazione del Summit di Bucarest del 2008, tesa non solo ad ufficializzare la prima Policy on Cyber Defence della Nato, ma anche e soprattutto a porre le fondamenta per un ecosistema di protezione cibernetica indirizzato al consolidamento delle capacità difensive della Nato stessa e alla promozione dello sviluppo di queste capacità all’interno di tutti i Paesi membri dell’Alleanza Atlantica, al fine di rafforzare la difesa collettiva, la capacità di gestione delle crisi, nonché la cooperazione militare per la sicurezza. Un impegno cresciuto nel corso degli anni e che ha avuto nel Nato Strategic Concept del 2010 un ideale punto di arrivo della prima fase dell’impegno Atlantico nei confronti dei temi della sicurezza cibernetica.
Da quel momento in poi, la Nato si è adoperata per sviluppare quel giusto livello di sensibilità e focalizzazione nei Paesi Alleati capace di generare, attraverso la sua Enhanced Cyber Defence Policy del 2014, un vero e proprio salto in avanti nel settore. All’esito del Summit del Galles, infatti, i Capi di Stato e di Governo del Patto Atlantico hanno convenuto sull’opportunità di estendere anche al ciberspazio l’applicazione della clausola di solidarietà prevista dall’art. 5 del Trattato Nord Atlantico. Ciò, peraltro, ha creato le premesse affinché due anni dopo, precisamente nel luglio del 2016, all’interno del summit di Varsavia, la Nato potesse di fatto chiudere il cerchio sul piano operativo, riconoscendo ufficialmente il ciberspazio come nuovo dominio militare.
Questa duplice dichiarazione comporta oggigiorno che un attacco armato contro uno o più dei Paesi membri dell’Alleanza Atlantica – anche se condotto nel o attraverso il ciberspazio – è considerato come un attacco diretto contro tutti i Paesi membri. Di conseguenza, qualora si concretizzasse un attacco cibernetico, ciascuno degli Alleati nell’esercizio del diritto di legittima difesa, individuale o collettiva, riconosciuto dall’art. 51 dello Statuto delle Nazioni Unite, dovrà assistere la parte o le parti attaccate intraprendendo immediatamente, individualmente e di concerto con le altre parti, l’azione che giudicherà necessaria, ivi compreso – specifica l’art. 5 – l’uso della forza armata, per ristabilire e mantenere la sicurezza nella regione dell’Atlantico settentrionale.
All’interno di questo breve excursus evolutivo dell’approccio della Nato alla sicurezza cibernetica, non si può non guardare con estremo interesse anche alle attività attuate nell’ultimo triennio. In particolare, appare fondamentale porre l’accento su un’ulteriore nuova fase evolutiva dell’approccio dell’Alleanza Atlantica a questo dominio, passata purtroppo fortemente sottotraccia, ben circostanziata dal Segretario Generale della Nato, Jens Stoltenberg, nel suo discorso di chiusura dell’incontro dei Ministri della Difesa nel novembre 2017.
Dalle parole del Segretario Generale, infatti, si comprende in maniera molto chiara come la Nato abbia deciso di abbracciare la possibilità dell’utilizzo di armi cibernetiche all’interno delle sue operazioni militari e di farlo creando un Cyber Operations Center in cui far convogliare tutte le capacità degli Alleati. Questo cambio di paradigma rappresenta un netto distacco dalla posizione storica dell’Alleanza Atlantica di usare le capacità cibernetiche solo per scopi difensivi e principalmente per contrastare gli attacchi contro le sue stesse reti. Ad un’analisi superficiale, questo cambiamento – anzitutto politico – potrebbe sembrare una semplice evoluzione incrementale della postura della Nato, mentre invece rappresenta il più rilevante cambiamento dell’ultimo decennio. Infatti, l’intenzione di creare un Cyber Operations Center per integrare le capacità cibernetiche dei Paesi appartenenti al blocco Nato appare sottendere un chiarissimo messaggio nei confronti di alcune nazioni, prima fra tutte la Russia, sulla volontà dell’Alleanza Atlantica di usare queste capacità e i relativi armamenti cibernetici durante le future operazioni militari.
Peraltro, un elemento fortemente caratterizzante di questo nuovo Cyber Operations Center sarà che le capacità cibernetiche fornite dai Paesi Alleati saranno sotto il completo comando e controllo dello Stato che le ha messe a disposizione. Ciò rappresenta un evidente discostamento dal tradizionale modus operandi della Nato, ove ogni Stato ha da sempre concesso all’Alleanza Atlantica il pieno controllo operativo sulle risorse militari condivise, tanto da porle sotto la diretta autorità di un comandante Nato. Questo differente approccio appare palesemente teso a far sì che si sgretoli nel tempo la tradizionale reticenza degli Stati nel condividere anche solo delle semplici informazioni sulle reali capacità cibernetiche sviluppate. Ciò, a causa della natura intrinseca delle armi cibernetiche. Infatti, mentre le armi tradizionali mantengono costante nel tempo il loro potenziale di danno, quelle cibernetiche – nella quasi totalità dei casi – vedono ridursi fortemente la loro capacità di produrre gli effetti desiderati sia nel momento in cui vengono utilizzate, in quanto analizzando gli effetti il soggetto colpito può facilmente predisporre un rimedio per il futuro, che nel caso in cui vengano rese note le tecniche o le vulnerabilità sfruttate per realizzare l’effetto desiderato. Essenzialmente, infatti, le armi cibernetiche sono armi monouso e anche solo il condividere le informazioni con gli altri Paesi Alleati potrebbe comportare la riduzione o addirittura la completa perdita del loro potenziale. Lasciare il pieno comando e controllo di queste capacità allo Stato che le ha messe a disposizione della Nato, potrebbe rappresentare, quindi, un possibile rimedio a questo imprescindibile problema. Un rimedio, però, forse solo parziale e temporaneo.
In conclusione, appare comunque evidente come il cambio di paradigma operato di recente dalla Nato segni il definitivo superamento della sua postura esclusivamente difensiva nel dominio cibernetico. Una scelta questa basata, com’è purtroppo evidente, sulla sostanziale scarsissima efficacia pratica di un simile approccio, soprattutto se analizzata nel medio-lungo periodo. Se lo scenario appena tracciato è – come sembra – quello che ormai si prospetta all’orizzonte, appare evidente, però, come per la Nato e per ogni singolo membro dell’Alleanza Atlantica sia quantomai urgente e di fondamentale importanza creare al più presto i presupposti operativi, tecnici e soprattutto giuridici per condurre lecitamente operazioni militari offensive nel e attraverso il ciberspazio come reazione ad un attacco subito.
Stefano Mele, avvocato e presidente della Commissione Sicurezza Cibernetica del Comitato Atlantico Italiano