Un documento del governo italiano realizzato da Farnesina, Palazzo Chigi, intelligence e Difesa traccia una road map per la governance dello spazio cibernetico. Dai diritti umani alla difesa della sovranità fino alle aggressioni di Stati esteri. I commenti dell’ambasciatrice Laura Carpini (Farnesina) e dell’avvocato Stefano Mele (Gianni&Origoni)

Il cyber-spazio non è terra di nessuno. Ci sono regole del diritto internazionale da rispettare, sanzioni e contro-misure in cui incorre chi le viola. È ormai riconosciuto come un “quinto dominio” dove si esercita la sovranità statale, tanto che la Nato applica anche al mondo cyber l’articolo 5 del suo trattato, la clausola della difesa collettiva di fronte all’aggressione di uno Stato terzo.

Certo, applicare regole e buone maniere in un mondo ancora oggi dominato dall’anarchia non è facile. Metterle nero su bianco però è un primo, importante passo. Lo ha fatto l’Italia pubblicando per la prima volta la “posizione italiana sull’applicabilità del diritto internazionale allo spazio cibernetico”. Un documento nato dopo lo sforzo corale della Farnesina, della presidenza del Consiglio dei ministri, in particolare del Dis (Dipartimento per l’informazione e la sicurezza), e del ministero della Difesa. Obiettivo: tracciare una road map italiana per la governance del cyber-spazio.

La prima novità: l’Italia la riconduce sotto il cappello della carta dell’Onu. E in effetti il documento del governo italiano risponde ad alcune raccomandazioni del Palazzo di Vetro. A partire dal rapporto finale dell’Open Ended Working Group della Prima commissione dell’Assemblea generale dell’Onu che in due anni, tra il 2019 e il 2021, ha discusso di diritto internazionale e tecnologie dell’informazione, e dall’ultimo rapporto del Gge (Group of governmental experts) che sta per approdare in Assemblea.

Ma cosa dice, in sostanza, la strategia italiana? Che “un’operazione cyber di uno Stato contro un altro Stato” costituisce “l’uso della forza”. Non sono dettagli: proprio come nel caso della Nato, il governo italiano riconosce un’aggressione di uno Stato estero nel cyber-spazio come un’aggressione alla sua sovranità. Di qui la necessaria conseguenza: nel caso di un “attacco armato” online da parte di un altro Stato, l’Italia ha il diritto all’ “auto-difesa”. E ha diritto a imporre “contromisure” che “non comportano la minaccia o l’uso della forza”, ad esempio le sanzioni, in risposta a “operazioni cyber che costituiscono un atto internazionale ostile che non superi il limite di un attacco armato”.

Nella strategia ci sono ovviamente limiti ben definiti. Un’aggressione cibernetica è paragonabile a un attacco armato solo quando “la scala e gli effetti sono comparabili a quelli di attacchi armati convenzionali, con significativi danni alla proprietà, e la ferita o la perdita di vite umane, così come la distruzione di infrastrutture critiche”. Non a caso alla stesura del documento ha lavorato anche l’intelligence. Che, tanto più ora che ha “appaltato” alla nuova Agenzia per la cybersicurezza nazionale (Acn) il compito della “cyber-resilienza”, deve occuparsi delle “operazioni cyber”, comprese le contro-misure (queste sì, offensive) a un attacco esterno.

Già, ma come attribuire con certezza un attacco hacker a uno Stato? È un cruccio antico per gli addetti ai lavori. Le accuse dirette si contano sulle dita di una mano, la più nota in tempi recenti è quella mossa dal governo americano al Cremlino per l’interferenza nelle elezioni presidenziali del 2016 tramite i Servizi segreti del Gru. Non è facile però sgombrare il campo dai dubbi: l’attribuzione “è una vicenda complessa”, si legge nel documento italiano, e resta “una prerogativa nazionale”.

Il documento “ribadisce da una parte l’impegno per il multilateralismo di un Paese, l’Italia che ha un’importante proiezione giuridica internazionale – spiega a Formiche.net l’ambasciatrice Laura Carpini, capo Unità per le politiche e la sicurezza dello spazio cibernetico della Farnesina – dall’altra conferma il rifiuto dell’uso della forza codificato nella Carta delle Nazioni unite e il diritto a difendere la propria sovranità”.

Da notare  “come l’Italia dichiari, giustamente, di attribuire un’importanza centrale all’applicazione del principio di sovranità nel cyberspazio, comprese le sue regole accessorie, così come del principio di non intervento negli affari interni di uno Stato”, dice Stefano Mele, partner e Head of Cybersecurity dello Studio Gianni&Origoni –Un chiaro segnale di posizionamento sui temi attualissimi delle attività di influenza da parte di Stati esteri volte, ad esempio, a minare la capacità di uno Stato di salvaguardare la salute pubblica durante una pandemia o a manipolare il processo democratico del voto elettorale”.

Fra queste attività rientra il mancato controllo, spesso non casuale, delle organizzazioni criminali cyber che operano nel proprio Stato a danno di Paesi esteri. La presa di posizione del governo sul principio di “due diligence”, cioè l’obbligo di ogni Stato di non consentire che il proprio territorio sia usa per atti contrari al diritto di altri Stati, è “un chiaro segnale nei confronti di quei governi che continuano, anche solo attraverso la loro “inconsapevole” inazione, a dar modo che organizzazioni criminali più che note possano continuare ad alimentare il loro business attraverso vaste campagne di attacchi informatici”, aggiunge Mele.

Ma l’Italia dice la sua anche sui diritti umani. Un passaggio politicamente caldo e centrale nella competizione fra Stati Uniti e Cina anche in campo cyber. Il documento dichiara infatti che “ogni Stato è tenuto a proteggere i diritti umani sia online che offline”, e fra questi “la libertà di opinione ed espressione, il diritto di accesso all’informazione, il diritto alla privacy”. Applica cioè al dominio cyber il Diritto internazionale umanitario. “Dedicare un paragrafo intero ai diritti è una scelta voluta e non scontata”, commenta l’ambasciatrice Carpini. “L’Italia ribadisce la contrarietà al ricorso ai conflitti armati come soluzione delle controversie internazionale e replica nello spazio cibernetico le tutele e i limiti individuati, non senza fatica, nel corso dei secoli”.

Condividi tramite