Centralizzazione dei ruoli e delle competenze in ambito cyber. È questa la ricetta fornita da Stefano Mele, esperto di cyber security e avvocato specializzato in Diritto delle Tecnologie, Privacy, Sicurezza delle Informazioni e Intelligence.
«Già da tempo quanto meno sin dal 2007 le più importanti potenze a livello internazionale hanno cominciato a sviluppare capacità e a svolgere operazioni militari offensive nel e attraverso il cyber spazio», ha spiegato durante un’audizione tenuta giovedì scorso dinanzi alla Commissione Difesa della Camera nell’ambito di una Indagine conoscitiva sulla sicurezza e la difesa dello spazio cibernetico.
CENTRALIZZAZIONE DI RUOLI E COMPETENZE
«Appare evidente – ha dichiarato Mele durante la seduta – la tendenza a livello internazionale di realizzare nel minor tempo possibile una centralizzazione di ruoli e competenze, sia militari che di intelligence, tanto per la difesa quanto per l’offesa, sotto una medesima linea di comando (peraltro anche molto breve) e addirittura all’interno della medesima struttura e del medesimo luogo. L’Italia deve necessariamente compiere lo stesso passo».
LO SVILUPPO DI CAPACITÀ OFFENSIVE
Nel documento presentato in audizione Mele spiega come l’utilizzo del cyber-spazio e delle tecnologie per scopi militari ha finora assunto nella pratica il solo ruolo di facilitatore di attacchi cinetici ma che da una mera difesa attiva (Active Cyber-Defence) si è arrivati ad un vero e proprio sviluppo di capacità offensive per il cyber-spazio.
«C’è sempre meno imbarazzo da parte degli Stati a condividere apertamente all’interno dei documenti strategici nazionali questa postura sempre più marcatamente offensiva». Una postura, quella militare offensiva per il cyber spazio che, secondo Mele, «non passa più soltanto attraverso semplici parole scritte o dette più o meno apertamente, ma che anzi si concretizza con finanziamenti sempre più cospicui al settore e con vere e proprie riorganizzazioni dal punto di vista strutturale della Difesa», come ha dichiarato in seduta alla Camera.
LE NUOVE MISURE ADOTTATE DA USA, CINA E UK
Negli Stati Uniti l’aspetto più rilevante della dottrina sulle “Cyberspace Operations” è legato al formale riconoscimento e impiego da parte degli U.S. delle attività militari offensive volte a “proiettare la forza attraverso il cyber-spazio”, al fine di “degradare, danneggiare o distruggere l’accesso, il funzionamento o la disponibilità delle capacità di un bersaglio ad un livello e per un periodo di tempo determinato”.
Lo scorso 31 dicembre 2015, la Central Military Commission cinese ha pubblicamente annunciato di aver completato una sostanziale riforma organizzativa della People’s Liberation Army, ovvero le Forze Armate cinesi, dando alla luce tre nuovi organismi: l’Army Leading Organ, la Rocket Force e la Strategic Support Force.
Spostandoci nel Regno Unito, il 23 novembre 2015 è stato pubblicato il nuovo “Strategic Defense and Security Review”, uno dei documenti più rilevanti per comprendere la postura strategica del governo inglese in ambito di difesa e sicurezza nazionale per i prossimi cinque anni. Non solo. Il governo inglese ha previsto, tra le altre cose, che le proprie Forze Armate conseguano capacità militari offensive avanzate nel e attraverso il cyber-spazio, così come previsto dal “National Offensive Cyber Programme” gestito in partnership dal Ministero della Difesa inglese e dal Government Communications Headquarters (GCHQ).
REAZIONE LEGITTIMA DI UNO STATO
La mancanza di norme specifiche sul piano del diritto internazionale non esclude che si possa fare ricorso a delle norme potenzialmente applicabili. Mele nel suo documento spiega che ciò è consentito ad esempio dalla clausola Martens che ha una portata generale ed è volta a colmare eventuali lacune nella codificazione del diritto internazionale.
Nel 2013 il Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security delle Nazioni Unite, è convenuto sul fatto che il diritto internazionale vigente si applica anche all’interno del dominio cibernetico, così come i concetti tradizionali di sovranità statale. Tesi rafforzata ulteriormente nel 2015.
LA CARTA DELLE NAZIONI UNITE
Inoltre, l’articolo 2(4) della Carta delle Nazioni Unite secondo cui «tutti gli Stati membri devono astenersi nelle loro relazioni internazionali dalla minaccia o dall’uso della forza, sia contro l’integrità territoriale o l’indipendenza politica di qualsiasi Stato, sia in qualunque altra maniera incompatibile con i fini delle Nazioni Unite» è stato ritenuto applicabile ed essenziale alle operazioni informatiche per garantire un ambiente digitale aperto, sicuro, pacifico ed accessibile. Ciò a patto che la condotta sia imputabile ad uno Stato, che l’azione possa essere classificata come una minaccia o un utilizzo della forza e che ciò avvenga nell’ambito delle relazioni internazionali.
La Corte Internazionale di Giustizia ha, inoltre, stabilito che l’art. 51 della Carta delle Nazioni Unite si applica a qualsiasi uso della forza, indipendentemente dal mezzo utilizzato, di conseguenza emerge qui la possibilità di estenderlo anche all’ambito informatico. Le condizioni perché si possa invocare la legittima difesa sono l’attacco armato, la necessità dell’uso della forza che presuppone un pericolo imminente e la mancanza di altre possibili soluzioni pacifiche. E ancora, la proporzionalità: ovvero la necessità che le contromisure non eccedano la misura necessaria per reprimere l’attacco. E l’immediatezza che lo Stato reagisca nel minor tempo possibile.
«I cosiddetti ‘Cyber Command’, ovvero le strutture militari deputate specificatamente ad operazioni difensive e offensive nel e attraverso il cyber spazio di cui si discute anche nel nostro Paese – aggiunge l’esperto – sono ormai una realtà consolidata per tutte le più importanti potenze economiche. Anche l’Italia deve urgentemente muoversi in questa direzione», ha concluso Mele durante l’audizione.