Da tempo l’Unione europea si è mossa in maniera decisa per porre le basi e offrire gli strumenti più utili per gli Stati membri al fine di contrastare in maniera efficace e coordinata le minacce cibernetiche. Oltre alla cyber strategy dell’UE del settembre 2017, che trova nuova vita nella recentissima strategia di sicurezza europea, pietra miliare di quest’attività è sicuramente la creazione di un quadro per una risposta diplomatica comune alle attività cibernetiche dolose (il cosiddetto “Cyber Diplomacy Toolbox”).
Nel maggio del 2019, infatti, in conseguenza delle costanti preoccupazioni del Consiglio europeo per le crescenti capacità cibernetiche di attori statali e non statali e soprattutto della loro evidente volontà di perseguire i propri obiettivi attraverso operazioni dolose nel e attraverso il ciberspazio, il legislatore europeo ha adottato la decisione (PESC) 2019/797 e il conseguente Regolamento (UE) 2019/796, entrambi concernenti le misure restrittive volte a scoraggiare e rispondere agli attacchi informatici con effetti significativi, che costituiscono una minaccia esterna per l’Unione o i suoi Stati membri.
IL REGOLAMENTO (UE) 2019/796
In particolare, questo impianto normativo si applica sia agli attacchi informatici con effetti significativi, che ai tentati attacchi informatici con effetti potenzialmente significativi, qualora però siano classificabili come minacce esterne. Questa qualificazione avviene nel caso in cui detti attacchi (1) provengano o siano sferrati dall’esterno dell’Unione, (2) impieghino infrastrutture esterne all’Unione, (3) siano compiuti da una persona fisica o giuridica, un’entità o un organismo stabiliti o operanti al di fuori dell’Unione, o infine (4) siano commessi con il sostegno, sotto la direzione o sotto il controllo di una persona fisica o giuridica, un’entità o un organismo operanti al di fuori dell’Unione.
Tali attacchi, qualora non siano debitamente autorizzati dal proprietario o da un altro titolare di diritti sul sistema o sui dati o su parte di essi o, ancora, non siano consentiti a norma del diritto dell’Unione o dello Stato membro interessato, devono comportare obbligatoriamente l’accesso o l’interferenza ai sistemi di informazione, oppure l’interferenza o l’intercettazione dei dati. Formule apparentemente generiche, queste, che tuttavia la norma definisce in maniera puntuale, ricomprendendo in esse qualsiasi condotta tesa ad ostacolare o interrompere il funzionamento di un sistema di informazione, oppure a cancellare, danneggiare, deteriorare, alterare, intercettare, sottrarre o sopprimere i dati digitali contenuti in questi sistemi o a rendere tali dati inaccessibili.
Inoltre, la minaccia esterna così come finora delineata dev’essere rivolta, tra gli altri, nei confronti delle infrastrutture critiche o delle funzioni statali essenziali di uno o più Paesi membri, oppure contro i servizi necessari al mantenimento di attività sociali e/o economiche fondamentali nei settori dell’energia, dei trasporti, in quello sanitario, bancario, delle infrastrutture dei mercati finanziari, della fornitura e distribuzione di acqua potabile, delle infrastrutture digitali e qualsiasi altro settore che sia essenziale per lo Stato membro interessato.
Infine, come accennato in precedenza, per precisa richiesta normativa, l’attacco informatico deve avere anche un effetto significativo sul bersaglio. I fattori che concorrono all’identificazione di questa soglia comprendono (1) portata, entità, impatto o gravità delle turbative causate, anche per quanto riguarda le attività economiche e sociali, i servizi essenziali, le funzioni statali essenziali, l’ordine pubblico o la sicurezza pubblica, (2) il numero di persone fisiche o giuridiche, entità o organismi interessati, (3) il numero di Stati membri interessati, (4) l’importo della perdita economica causata per esempio mediante furti su larga scala di fondi, risorse economiche o proprietà intellettuale, (5) il vantaggio economico ottenuto dall’autore dell’atto per se stesso o per terzi, (6) la quantità o la natura dei dati oggetto del furto o entità delle violazioni dei dati e (7) la natura dei dati sensibili sotto il profilo commerciale a cui si è avuto accesso.
LE OPZIONI SANZIONATORIE DEL REGOLAMENTO (UE) 2019/796
Pertanto, qualora l’attacco informatico subìto da uno Stato membro si possa qualificare come una minaccia esterna con effetti significativi tesa al raggiungimento delle condotte poc’anzi descritte e rivolta contro le infrastrutture critiche, le funzioni o i servizi statali essenziali, gli Stati membri possono decidere di adottare le misure necessarie atte ad impedire l’ingresso o il transito nel loro territorio delle persone fisiche responsabili della commissione o del tentativo di commissione di questi attacchi informatici, così come di coloro che abbiano fornito sostegno finanziario, tecnico o materiale a queste attività, o che siano altrimenti coinvolti in tali attacchi o tentati attacchi, anche pianificandoli, preparandoli, partecipandovi, dirigendoli, assistendoli o incoraggiandoli, oppure agevolandoli per azione o omissione.
Contestualmente, sia per le persone fisiche che per quelle giuridiche, il Regolamento (UE) 2019/796 prevede anche l’ulteriore misura del congelamento di tutti i fondi e delle risorse economiche appartenenti, possedute, detenute o controllate dalle persone fisiche o giuridiche, entità o organismi che siano responsabili di questi attacchi informatici o tentati attacchi informatici, così come delle persone fisiche o giuridiche, entità o organismi che abbiano sostenuto o siano comunque coinvolti – nei medesimi modi poc’anzi descritti – nella commissione o nel tentativo di commissione degli attacchi informatici.
Infine, occorre altresì evidenziare che, ove ritenuto necessario ai fini del conseguimento degli obiettivi della politica estera e di sicurezza comune (PESC) nelle pertinenti disposizioni dell’articolo 21 del trattato sull’Unione europea, è possibile applicare misure restrittive ai sensi del Regolamento (UE) 2019/796 anche in risposta ad attacchi informatici con effetti significativi nei confronti di Stati terzi od organizzazioni internazionali.
LA DECISIONE (PESC) 2020/1127 DEL 30 LUGLIO 2020
In tale contesto si inserisce, pertanto, la Decisione (PESC) 2020/1127 del 30 luglio 2020 del Consiglio europeo, che, al fine di prevenire, scoraggiare e contrastare tali attività, per la prima volta in assoluto ha deciso di inserire nell’elenco delle persone fisiche e giuridiche, delle entità e degli organismi soggetti a misure restrittive, previsto nell’allegato della decisione (PESC) 2019/797, ben sei persone fisiche e tre entità o organismi.
In particolare, le sei persone sanzionate sono i cinesi Qiang Gao e Shilong Zhang, coinvolti nella “Operation Cloud Hopper” condotta dal gruppo cinese comunemente noto come “APT10” (alias “Red Apollo”, “CVNX”, “Stone Panda”, “MenuPass” e “Potassium”), oltre ai russi Alexey Valeryevich Minin, Aleksei Sergeyvich Morenets, Evgenii Mikhaylovich Serebriakov e Oleg Mikhaylovich Sotnikov, tutti agenti del GRU (l’intelligence militare russa) e protagonisti dell’attacco informatico contro l’Organizzazione per la proibizione delle armi chimiche (OPCW) nei Paesi Bassi.
Per quanto concerne le entità raggiunte dalla sanzione, invece, si tratta della cinese Tianjin Huaying Haitai Science and Technology Development Co. Ltd, per aver fornito sostegno finanziario, tecnico o materiale e aver agevolato la campagna “Operation Cloud Hopper”, della nord-coreana Chosun Expo, per aver fornito sostegno finanziario, tecnico o materiale e aver agevolato una serie di attacchi informatici con effetti significativi (tra cui spiccano il famosissimo “WannaCry” e quello alla Sony Pictures Entertainment), e del GTsST, ovvero il Centro Principale per le Tecnologie Speciali del GRU (l’intelligence militare russa), anche noto come “Unità 74455”, per essere responsabile di attacchi informatici con effetti significativi provenienti dall’esterno dell’Unione e che hanno costituito una minaccia per l’Unione o i suoi Stati membri, compresi gli attacchi informatici pubblicamente noti come “NotPetya” o “EternalPetya”, lanciati nel giugno 2017, e gli attacchi informatici diretti a una rete elettrica ucraina nell’inverno del 2015 e del 2016.
SULLA NECESSITÀ DI AMPLIARE IL QUADRO DELLE MISURE DIPLOMATICHE PER IL CYBERSPAZIO
Appare evidente come la mossa dell’Unione europea si inserisca – finalmente – nel solco già da tempo tracciato dagli Stati Uniti, che, sin dalla presidenza Obama, hanno agito sul piano diplomatico attraverso una strategia di “name and shame”, tesa ad accendere continuamente i riflettori dell’opinione pubblica attribuendo in maniera diretta gli attacchi cibernetici sofferti al governo che si ritiene responsabile.
A ciò si è affiancato anche l’inteso lavoro del dipartimento di Giustizia statunitense, che sempre più spesso ha permesso di far seguire a quelle accuse pubbliche un’imputazione formale di responsabilità, soprattutto nei confronti di numerosi operatori appartenenti ai ranghi dell’intelligence di Paesi come Russia, Cina, Iran e Corea del Nord. Quest’ulteriore attività, seppure non abbia mai portato – e difficilmente avrebbe mai potuto portare – all’estradizione negli Stati Uniti di questi soggetti, ha sicuramente contribuito ad aumentare la pressione politica sul governo responsabile di quegli attacchi cibernetici. Una strategia che, per esempio, nel 2015, costrinse il presidente cinese Xi Jinping a negoziare un accordo sulle regole e i limiti dello spionaggio cibernetico tra i due Paesi.
Pertanto, per quanto sia indubbio che l’utilizzo di un tale strumento sia oggigiorno indispensabile anche per l’Unione europea e i suoi Stati membri, occorre comunque precisare come l’applicazione di simili sanzioni e misure restrittive non possa in alcun modo far ritenere esaurito ed esaustivo l’impegno europeo verso una risposta diplomatica per il contrasto alle minacce cibernetiche. Si tratta, infatti, dell’attivazione di uno solo degli strumenti potenzialmente a disposizione del decisore politico.
Occorre, invece, partire dall’applicazione di queste misure restrittive per riallacciarci a una visione strategica e complessiva delle azioni diplomatiche per il ciberspazio. Un’esigenza, questa, resa peraltro ancora più concreta a seguito della biforcazione, nel 2018, del dialogo in seno alle Nazioni Unite, che ha portato alla nascita dell’Open-Ended Working Group sui temi della cybersecurity.
In tale contesto, quindi, risulta centrale il ruolo dell’Unione europea nel mantenere coeso l’approccio degli Stati membri e nello spingere il dialogo internazionale, affinché l’applicazione del diritto internazionale al ciberspazio, l’implementazione di norme, regole e principi sul comportamento responsabile degli Stati e il consolidamento delle misure per il rafforzamento della fiducia tra Stati (Confidence Building Measures) siano il terreno fertile dell’azione diplomatica europea e internazionale, confinando così le misure restrittive al loro reale ambito, quello di un mero strumento giuridico residuale.
