Usa, la cyberwar sarà equiparata a una guerra vera

Usa, la cyberwar sarà equiparata a una guerra vera

Gli Stati Uniti hanno compiuto un passo importante affinché gli attacchi cibernetici vengano considerati vere azioni di guerra e non più solo l’iniziativa di un gruppo di hacker burloni che operano da un sottoscala.

Martedì scorso il governo degli Usa s’è pronunciato in questo senso e l’ha fatto per bocca di Harold Hongju Koh, che Barack Obama ha nominato nel 2009 capo dei consulenti legali del Dipartimento di Stato. Koh, un avvocato di origine coreana naturalizzato, è considerato tra l’altro il padre putativo della dottrina che ha legittimato giuridicamente il cosiddetto “targeted killing”, cioè l’eliminazione di figure ritenute pericolose per gli Stati Uniti mediante attacchi mirati portati con i “droni”, i micidiali velivoli senza pilota utilizzati oggi contro Al Qaeda in Afghanistan e in altri teatri e da Israele contro Hamas.

Le possibili conseguenze di questo pronunciamento, che non resterà ovviamente tale, ma che costituisce il terreno sul quale germoglierà una vera dottrina sull’uso militare del cyberspazio e su come comportarsi di fronte a un suo utilizzo ritenuto illecito, sono tutt’altro che trascurabili. Gli attacchi scatenati con mezzi informatici saranno equiparabili a tutti gli effetti a quelli portati con le armi tradizionali. Gli Usa spingono affinché vengano assoggettati al diritto internazionale in vigore in tempo di guerra, o comunque tra stati belligeranti. La “cyberwar”, insomma, verrà elevata al rango di guerra “vera”, e ogni azione in tale ambito potrà essere suscettibile di una reazione che, a scelta dell’attaccato, metterà in conto una risposta sia dello stesso tono, sia portata con armi tradizionali.

In altre parole, di fronte a un cyber-attacco ai suoi computer o contro altre strutture d’importanza vitale per gli Stati Uniti, il Pentagono potrebbe rispondere, per esempio, lanciando missili. Molto opportunamente, Koh ha rivelato gli intendimenti dell’amministrazione americana durante una conferenza tenutasi a Fort Meade (Maryland) presso il quartier generale dell’U. S. Cyber Command, una struttura appositamente creata che risponde al Comando Strategico delle Forze Armate e che ha raggiunto la IOC (Initial Operation Capability) solo nel maggio 2010 e la piena operatività il successivo 31 ottobre. A capo della struttura c’è nientedimeno che Keith Alexander, un generale a quattro stelle con un numero impressionante di lauree e di master in varie discipline legate alla tecnologia che ricopre anche l’incarico di direttore della potente National Security Agency (NSA).

Gli orientamenti del Dipartimento di Stato sul problema della guerra informatica sono stati esposti da Koh in dieci concetti enunciati nel corso della conferenza e posti sotto forma di domanda-risposta. Uno dei punti salienti affrontati è se un cyber-attacco possa essere considerato o meno come un “atto di forza”, secondo la denominazione riportata nell’art. 2 della Carta delle Nazioni Unite e nell’ambito del diritto internazionale consuetudinario. La risposta di Koh è stata positiva, qualora tali azioni provochino distruzioni assimilabili a quelle che provocherebbe un attacco portato con armi “cinetiche” tradizionali, per esempio la fusione del nocciolo del reattore di una centrale nucleare, il cedimento di una diga con l’inondazione di una zona popolata o l’alterazione delle procedure di controllo del traffico aereo.

Un’altra questione cruciale è se uno Stato (cioè principalmente gli Usa, ma la domanda è ovviamente valida a livello planetario) possa far rientrare le azioni volte a contrastare una minaccia informatica in quelle previste dall’esercizio del potere di auto-difesa nazionale, e anche in questo caso Koh ha risposto di sì: «Se e quando giustificato, gli Stati Uniti dovranno rispondere ad atti ostili o alle possibilità di atti ostili imminenti portati attraverso il cyberspazio reagendo come farebbero per qualsiasi altro tipo di offesa».

Riguardo al fatto che una reazione a un attacco informatico debba distinguere tra obiettivi civili e militari, Koh s’è pronunciato positivamente e lo stesso vale per il cosiddetto “principio di proporzionalità”, ossia quello che, nell’ambito del “Jus in bello”, vieta attacchi che possano causare la perdita di vite umane o lesioni o perdita di beni in ambito civile “eccessivi rispetto ai vantaggi militari concreti previsti”. Nel settore del cyberspazio, questo principio è (o dovrebbe essere) finalizzato a valutare i possibili effetti collaterali di un attacco o contrattacco informatico sulle strutture civili e sull’erogazione dei servizi alla popolazione. Per esempio, i danni causati alle infrastrutture di produzione e distribuzione dell’energia elettrica e alle reti informatiche non militari.

Koh ha dichiarato che gli Stati membri delle Nazioni Unite dovrebbero intraprendere un «profondo esame sotto il profilo giuridico delle armi informatiche a loro disposizione», per determinare quali potrebbero o non potrebbero essere utilizzate rispettando sia il principio di distinzione tra gli obiettivi civili e militari, sia quello di proporzionalità. «Il governo degli Stati Uniti – ha dichiarato Koh – attua già tale procedura in due fasi: nella prima valuta ogni nuova arma per determinare se il suo uso sarebbe di per sé vietato o meno dalle leggi in vigore in caso di conflitto, mentre nella seconda stabilisce se l’utilizzo di una determinata arma già disponibile è legale nell’ambito di una certa operazione».

L’ultimo aspetto (ma non certo per importanza) preso in considerazione da Koh è quello, fondamentale, della responsabilità giuridica degli Stati rispetto alle attività militari “cyber” svolte mediante l’utilizzo dei proxy. È stato chiarito che tale responsabilità esiste, se il proxy è utilizzato da persone che agiscono sotto un “sufficiente controllo” (e questa dicitura potrebbe dar luogo a interpretazioni di comodo: chi stabilisce se e quando il controllo è “sufficiente”? – ndr) dello Stato che ha deciso di intraprendere tale attività. Quindi, secondo questa interpretazione, sono prive di giustificazione legale tutte le attività informatiche effettuate in modo occulto mediante proxy che mascherano il vero attore.

La dichiarazione dell’avvocato Koh chiariscono a sufficienza gli intendimenti generali dell’amministrazione americana, ma lasciano irrisolte alcune questioni sollevate dallo stesso relatore alla conferenza di Fort Meade. Per esempio, nessuno ha ancora chiarito in base a quali criteri si può stabilire un esatto parallelismo tra gli effetti di una minaccia informatica e quelli di un attacco portato con armi tradizionali. Eppure, tale criterio va stabilito, se si si assume che a parità di effetti è legittimo parlare di “uso della forza” e quindi di diritto alla reazione. Un altro serio problema è costituito dal cosiddetto “doppio uso” della infrastrutture civili e militari. È noto che, secondo il diritto internazionale, in tempo di guerra le prime non possono essere utilizzate per rendere immuni o proteggere le seconde dagli attacchi, e ciò vale ovviamente anche per quelle informatiche. Ma le reti civili possono essere facilmente interfacciate a quelle militari, e se si attaccano queste ultime per scopi bellici, anche le prime possono riportare danni. Si ripropone così, in forma ancora più delicata, l’obbligo di procedere a un’analisi quanto mai difficoltosa degli effetti di un cyber-attacco contro strutture che di fatto non hanno nulla di militare, ma il il cui danneggiamento sarebbe possibile e, a questo punto, illegale.

Terza questione, pur assumendo che l’utilizzo ai fini militari di un proxy per coprire il mandante-autore di un cyber attacco sia illegale e che quest’ultimo possa essere perseguito con mezzi giuridici, rimangono da chiarire le questioni tecniche e politiche legate all’attribuzione delle responsabilità, i cui aspetti potrebbero essere non tutti risolvibili in ambito giuridico. Infine, rimane in sospeso il problema della neutralità degli Stati, che diverrebbe critico se, per esempio, un hacker o un gruppo di hacker scatenasse un cyber-attacco utilizzando come base di partenza una nazione non schierata. Come si vede, gli argomenti da dibattere e riguardo ai quali occorre trovare soluzioni sono numerosi e complessi.

In ogni caso, è significativo che alla questione del diritto di guerra applicato al cyberspazio sia stato dato un improvviso impulso proprio ora e propria da parte del Dipartimento di Stato americano. Forse non si tratta di una coincidenza, poiché da qualche settimana si sono fatte più insistenti le voci di un pesante coinvolgimento degli Usa nella creazione e nella diffusione del virus Stuxnet che, a partire dal giugno 2010, ha provocato forti ritardi al programma nucleare iraniano. Il malware si era installato nei controller (forniti dalla tedesca Siemens) dei motori elettrici che azionavano le centrifughe necessare per il processo di arricchimento del combustibile nucleare, mandandoli fuori giri e causandone il corto circuito ma, com’è ben noto, aveva poi creato malfunzionamenti alle reti informatiche di mezzo mondo collegate ai processi industriali.

Le newsletter de Linkiesta

X

Un altro formidabile modo di approfondire l’attualità politica, economica, culturale italiana e internazionale.

Iscriviti alle newsletter