Il decreto sulla possibilità per lo Stato di reagire ad attacchi informatici è legge, ma le sue criticità non sono state risolte in fase di conversione. Una sentenza della Cassazione, indirettamente, le evidenzia e rende urgente che il governo ponga rimedio a questa paradossale situazione. L’analisi di Andrea Monti, professore incaricato di Digital Law nel corso di laurea di Digital Marketing all’Univeristà di Chieti-Pescara
La legge 21 settembre 2022 numero 142 ha convertito in legge il decreto Aiuti bis che all’articolo 37 prevedeva l’attribuzione al governo del potere di rappresaglia in caso di attacchi informatici anche non State-sponsored.
In fase provvisoria questa norma presentava delle criticità che la legge di conversione non ha risolto. Il risultato è un quadro normativo soltanto abbozzato, che l’emanazione dei provvedimenti attuativi difficilmente potrà completare in modo costituzionalmente coerente.
Rappresaglia informatica e diritto di difesa
Uno degli iceberg sui quali potrebbe infrangersi il potere di rappresaglia cibernetica affiora da una sentenza della Corte di cassazione pubblicata lo scorso 7 settembre 2022. La sentenza ha stabilito che è una lesione del diritto di difesa non rendere disponibili, da parte del pubblico ministero, le informazioni tecniche sul modo in cui sono state acquisite le informazioni utilizzate per le indagini.
Espresso in termini così generali, questo principio di diritto non sembra collegato al tema della rappresaglia informatica; tuttavia, l’analisi di merito dimostra il contrario. La decisione, infatti, ha riguardato le attività di indagine tecnologica che hanno portato allo smantellamento di un sistema di messaggistica ipersicura noto come SkyECC utilizzato da gruppi criminali dalle provenienze più diverse e che ha generato un rilevante numero di processi nei singoli Paesi dove operavano i malviventi grazie allo scambio di informazioni fra le varie autorità di polizia. In estrema sintesi, lo smantellamento di SkyECC è stato il frutto di un coordinamento internazionale franco-belga-olandese che ha coinvolto anche le autorità canadesi e nordamericane, Europol ed Eurojust.
Benché sia comprensibile che le modalità concrete di collaborazione non siano state rese note agli organi di informazione, è meno accettabile che siano state tenute fuori dai fascicoli processuali, ostacolando il diritto di difesa. Da qui, la sentenza della Cassazione che ha stigmatizzato il rifiuto opposto dalla procura della Repubblica all’ostensione delle informazioni tecniche sul modo in cui sono stati acquisiti i messaggi scambiati fra gli imputati, inclusi i contributi forniti da entità non appartenenti all’autorità giudiziaria titolare del fascicolo.
Encrochat, Sky ECC, REvil e la commistione dei ruoli di apparati degli Stati e degli Stati in quanto tali
Per capire quale sia la rilevanza di questa sentenza rispetto al tema della rappresaglia informatica è necessario affrontare in termini più generali il tema del rapporto fra tecnologia e criminalità inter e transnazionale, facendo riferimento ad altri casi-pilota: Encrochat (predecessore di SkyECC) e REvil.
Le indagini sul Encrochat (https://www.europol.europa.eu/media-press/newsroom/news/dismantling-of-encrypted-network-sends-shockwaves-through-organised-crime-groups-across-europe) e quelle sul gruppo criminale russofono che gestiva la piattaforma ransomware REvil (https://www.justice.gov/opa/pr/sodinokibirevil-ransomware-defendant-extradited-united-states-and-arraigned-texas) sono accomunate, a vario titolo e a vario livello, da una commistione fra poteri dello Stato, interventi politici, coinvolgimento di “agenzie” comunitarie e cooptazione del “settore privato”.
Per esempio, nel primo un contributo significativo – e sottratto al diritto di difesa in forza della norma sul secret de la défense nationale – è stato fornito dalla Direction Générale de la Sécurité Intérieure francese.
In quello REevil, il FBI (cioè un organismo di polizia) insieme ad altre entità è andato al contrattacco del gruppo criminale che gestiva la piattaforma tramite la quale veniva comandato un ransomware particolarmente aggressivo. Contestualmente – nell’Unione europea – parti importanti delle indagini venivano svolte con il contributo di “agenzie” che formalmente hanno funzioni di mero “coordinamento” ma che nella sostanza partecipano a pieno titolo alle indagini di polizia che si traducono, come dimostra in particolare il caso REvil, in azioni di interdizione diretta su suolo straniero.
La confusione fra mezzi e fini, e l’inutilità della normativa sulla rappresaglia informatica alla luce della sentenza della Cassazione
È fuori discussione che, a prescindere dalle motivazioni che la muovono, la criminalità internazionale vada contrastata. Il tema, dunque, non è il “se” ma il “come”. È, in altri termini, irrilevante che le azioni cross-border siano “puramente” delinquenziali o favorite, se non addirittura sponsorizzate, da Stati. Quando queste producono effetti immediati che vanno al di là della “semplice” rilevanza penale e aggrediscono infrastrutture critiche devono essere fermate con una rapidità e con metodi che non appartengono ai tempi e alle regole del processo giudiziario. Le sentenze arriveranno poi, a tempo debito.
Se tuttavia, come dimostrano i casi evidenziati, le attività di raccolta informativa, interdizione e reazione finiscono per dare origine a un procedimento penale, è impensabile che un sistema democratico fondato sullo Stato di diritto possa accettare il principio di una responsabilità basata sull’impossibilità di verificare il fondamento (anche) tecnico delle accuse.
Questo significa, in altri termini, che nel processo esiste un dovere degli inquirenti di rendere disponibili una serie di informazioni sul modus operandi anche delle forze di sicurezza e di intelligence. Siamo anni luce lontani da quando, nei primi anni ’90, la Guardia di finanza, in un “eccesso di zelo” inserì in un fascicolo processuale l’informazione sull’esistenza del “Telemonitor TM40”, così facendo sapere a “tutti” di essere in grado di intercettare le nascenti comunicazioni fra modem, fino ad allora considerate “sicure” nell’underground telematico. In termini generali, tuttavia, la sostanza del problema rimane la stessa, e riguarda il rischio che metodi e strumenti utilizzati dalle forze armate e dall’intelligence vengano resi pubblici.
Anche se si volesse sperare in una giurisprudenza “comprensiva” come per esempio quella tedesca formatasi sull’uso delle informazioni raccolte da autorità straniere nell’indagine Encrochat che limitasse il diritto di difesa, la pezza —come si dice— sarebbe peggiore del buco. Si affermerebbe in Italia, infatti, il principio che l’amministrazione della giustizia è sottoposta alle necessità dell’esecutivo ben al di là dei limiti previsti dalla normativa sul segreto di Stato, e che tali necessità possono essere soddisfatte da un lato coinvolgendo parti dello Stato che “fanno un altro mestiere” e, dall’altro, sottraendole al controllo giurisdizionale del processo.
Per essere estremamente chiari: l’attribuzione del potere di rappresaglia informatica crea una sovrapposizione inevitabile fra gli ambiti di difesa, pubblica sicurezza e repressione criminale che, invece dovrebbero rimanere separati in termini di mezzi, metodi, fini e obiettivi.
Le operazioni offensive previste dal DL Aiuti-bis sono, infatti, “reattive” e dunque presuppongono l’attacco a infrastrutture critiche e servizi essenziali che il Codice penale (agli articoli 420, 635-ter e quinquies) qualifica già come “di pubblica utilità” e dunque procedibili d’ufficio. A fronte del silenzio sul punto del decreto legge Aiuti-bis nemmeno sarebbe possibile interpretare il “sistema” per fargli dire che in casi del genere sia possibile per gli operanti invocare il segreto di Stato.
Il nodo irrisolto di strategie di breve, delle covert/clandestine operation e il ruolo cruciale dell’attribution
Il decreto Aiuti-bis e la legge di conversione non si sono fatte carico di queste (e altre) complessità e privilegiano un approccio basato sul conseguimento di risultati di breve-brevissimo periodo, trascurando le conseguenze su scala temporale più estesa. Peraltro, stante la catena di comando costruita dalle norme, è altamente improbabile che l’ordine di rappresaglia possa essere emanato con la rapidità necessaria a contrastare un attacco in corso. Il che pone ancora una volta al centro delle analisi il problema e il ruolo dell’attribution.
Se un’aggressione non è immediatamente qualificabile come State-sponsored rimane di competenza delle strutture di pubblica sicurezza (e dunque, Ministero dell’interno) e poi dell’autorità giudiziaria (e dunque, Ministero della giustizia). Nulla vieta, ovviamente che AISE e AISI raccolgano “discretamente” informazioni legate all’attacco, né che la Difesa innalzi i livelli di allerta. Tuttavia, senza una esplicita qualificazione come atto ostile, il coinvolgimento formale di questi soggetti nelle indagini penali non avrebbe, allo stato, fondamento. Se, invece, l’attacco è riferibile a un attore statale o esplicitamente supportato da un governo straniero, l’indagine giudiziaria che necessariamente sarà avviata deve essere coordinata con le valutazioni politiche del decisore pubblico e dovrà essere subordinata alle necessità di difesa e intelligence —e dunque anche all’apposizione del Segreto di Stato o di un’altra forma di segreto che, al momento, il nostro ordinamento non prevede.
Conclusioni
È evidente che il coinvolgimento di “tutti in tutto” teorizzato dal decreto legge Aiuti-bis non è un’opzione praticabile. Basta solo pensare che la rappresaglia informatica eseguita su suolo straniero, specie se riguarda gruppi criminali non connessi ad attività statali, è pur sempre una violazione della sovranità altrui. Essa, infatti, sarebbe concettualmente identica all’invio di una expeditionary force per tutelare direttamente l’interesse nazionale a prescindere e, possibilmente, anche all’insaputa del Paese “ricevente”. Questo scatenerebbe un’escalation dalle conseguenze imprevedibili.
La storia recente è piena di azioni del genere, come insegnano le targeted assassination praticate da svariati Paesi al di qua e al di là della Cortina di ferro e dunque non ci sarebbe nulla di concettualmente inconcepibile nel prevedere, anche nell’ordinamento italiano, un potere di intervento analogo anche se certamente meno cruento. Il punto è che questo dovrebbe essere fatto abbandonando la ritrosia che impedisce di strutturare anche in Italia la possibilità di operazioni clandestine o covert di tipo offensivo sul modello adottato da Francia, Regno Unito, Stati Uniti e Israele.
Che, poi, rimanga sul tavolo la questione del come gestire indagini giudiziarie ad alto contenuto tecnologico è altrettanto vero. Anche in questo caso, tuttavia, le soluzioni non possono essere costituite da scorciatoie o dal rispetto vuoto e formale delle regole processuali che, certamente vanno modificate ma, altrettanto certamente, non fatte a pezzi in nome del whatever it takes.
