Post on 12-Sep-2020
transcript
Centro Militare di Studi Strategici
Rapporto di Ricerca 2015 - Cod. AI-SA-22
Andrea LOCATELLI
data di chiusura della ricerca: settembre 2015
CENTRO ALTI STUDI PER LA DIFESA
CENTRO MILITARE DI STUDI STRATEGICI
La reazione in legittima difesa di uno Stato a fronte di un attacco cyber (SOCMIL AI-SA- 22 - anno 2015).
Dott. Andrea LOCATELLI
LOCATELLI RICERCA FINALE AI-SA-22 i Dott. Andrea LOCATELLI
INDICE
SOMMARIO pag. 1
PARTE GENERALE / ANALITICA / PROPOSITIVA:
MIGHT E RIGHT NEL CYBER SPAZIO: CONSIDERAZIONI GIURIDICHE E
STRATEGICHE
3 Introduzione – Inter arma silent leges? pag. 6
1 Capitolo 1 - Caratteristiche tecniche e implicazioni
strategiche del cyber spazio pag. 10
1.1 – Peculiarità del cyber spazio rispetto
agli altri ambiti del conflitto pag. 12
1.2 – Le azioni offensive nel cyber spazio pag. 16
1.3 – Definizione e tipologie di attacco cyber pag. 19
1.4 – Conclusioni pag. 28
Capitolo 2 – Gli strumenti normativi per regolare l’esercizio
della violenza nel cyber spazio pag. 31
2.1 – Il principio di legittima difesa nel
Diritto Internazionale Pubblico pag. 31
2.2 – Problemi di applicabilità all’ambito cyber pag. 36
2.3 – Quale reazione legittima nel cyber spazio? pag. 41
2.4 – Conclusioni pag. 49
La reazione in legittima difesa di uno Stato a fronte di un
attacco cyber
LOCATELLI RICERCA FINALE AI-SA-22 ii Dott. Andrea LOCATELLI
Capitolo 3 – Analisi di attacchi nel cyber spazio pag. 51
3.1 – Iran 2010 (STUXNET) pag. 51
3.2 – Estonia 2007 pag. 55
3.3 – Stati Uniti 2015 (Sony) pag. 60
3.4 – Conclusioni pag. 65
Conclusioni – Prescrizioni per rendere efficace l’apparato
normativo nel cyber spazio pag. 67
PARTE SPECIALISTICA / DI SUPPORTO / BIBLIOGRAFICA:
Bibliografia pag. 72
Ringraziamenti pag. 82
NOTA SUL Ce.Mi.S.S. e NOTA SULL' AUTORE pag. 83
LOCATELLI RICERCA FINALE AI-SA-22 1 Dott. Andrea LOCATELLI
SOMMARIO
In ambito cyber, quali sono le possibili forme di difesa che la Comunità Internazionale può
accettare come legittime? Le caratteristiche del cyber spazio sono tali da impedire
un’applicazione immediata del Diritto Internazionale Pubblico. Per regolamentare il diritto
all’autodifesa in questo ambito occorre superare una serie di problemi di natura giuridica,
così come di carattere puramente politico. Per anticipare le conclusioni di questo lavoro,
nonostante alcuni pregevoli sforzi di aggiornare ed emendare il corpus di norme mutuabile
dal Diritto Internazionale, rimangono aperte diverse aree di incertezza, la cui
interpretazione sarà senza dubbio controversa e conflittuale. A questo problema se ne
aggiunge un secondo, collegato al primo ed altrettanto grave: in questi primi anni dell’era
del warfare digitale, il comportamento degli Stati vittima di attacco si è discostato
sensibilmente da quanto previsto dalla dottrina. Il cuore del problema sta quindi nel fatto
che l’incertezza nella dottrina e l’incoerenza della prassi e si nutrono a vicenda,
contribuendo ad alimentare la gravità della mancata regolamentazione nel nuovo dominio
del warfare.
Per sviluppare con ordine questa argomentazione, la sezione analitica del rapporto di
ricerca si articolerà in tre capitoli. Nel primo capitolo si fornirà una panoramica generale
delle caratteristiche che contraddistinguono il cyber spazio e delle possibili operazioni che
possono essere eseguite al suo interno. In particolare, dopo aver definito cosa intendiamo
per cyber spazio, nel primo paragrafo verranno discusse le peculiarità che lo
contraddistinguono dagli altri ambiti del conflitto. Come emergerà nelle pagine che
seguono, quello che sino alla fine del secolo scorso era di fatto uno scenario
fantascientifico è diventato in meno di dieci anni una realtà: le operazioni offensive (militari
o civili non fa differenza) sono ormai parte del repertorio e degli arsenali che gli Stati
possono impiegare nella gestione delle loro reciproche relazioni. Questo fa sì che oltre alle
consuete dimensioni del conflitto – terra, aria e mari – sia opportuno studiare le specificità
delle operazioni in ambito cibernetico. Come si vedrà, rispetto agli altri ambiti, le peculiarità
La reazione in legittima difesa di uno Stato a fronte di un
attacco cyber
LOCATELLI RICERCA FINALE AI-SA-22 2 Dott. Andrea LOCATELLI
del cyber spazio sono tali da imporre una serie di problemi, tanto a livello strategico-
operativo, quanto a livello politico e, ancor più, legale.
Nel secondo paragrafo si fornirà un elenco ragionato delle operazioni offensive che
possono essere perpetrate attraverso le infrastrutture informatiche. Si noterà come
esistano diverse possibili azioni, i cui effetti possono essere più o meno dannosi o più o
meno ampi. Si noterà ad esempio che, come sarà probabilmente successo a qualsiasi
utente connesso a Internet, i virus e i malware possono avere un effetto inabilitante sulle
macchine che colpiscono, mentre altre azioni, come gli Zombie, non creano alcun danno
ai computer che colpiscono. Ancora, mentre alcune azioni possono essere mirate ad
obiettivi specifici e circoscritti (ad esempio un malware progettato per infiltrarsi in una
specifica struttura, come nel caso di STUXNET), altre possono essere concepite per
propagarsi e diffondersi su quante più strutture possibile, avendo quindi un effetto
inabilitante potenzialmente su interi settori della società.
Il terzo paragrafo, infine, prende in esame la letteratura sul cyber warfare per arrivare alla
formulazione di una definizione operativa di cyber attacco. Questa, a sua volta, sarà utile
per distinguere tra azioni offensive e difensive, ma soprattutto tra diversi tipi di utilizzo
dell’ambiente digitale per finalità politiche. Si illustreranno quindi categorie prossime al, ma
diverse dal, cyber warfare (come il cyber spionaggio, la cyber protesta e il cyber
terrorismo). Questa trattazione permetterà di mettere un poco di ordine nella varietà di
offese e illeciti perpetrabili nel cyber spazio. In particolare, consentirà di escludere ab
origine le azioni che non rientrano nel nostro interesse di ricerca.
Una volta esaurita la questione sotto un profilo tecnico/strategico, sarà possibile rivolgere
l’attenzione alla dimensione giuridica del problema. Nel secondo capitolo si arriverà a una
prima (parziale) risposta al quesito che informa la ricerca: quali risposte possono essere
considerate lecite in risposta ad un attacco cyber? O, più precisamente, quali risposte
sono compatibili con le varie possibili modalità d’attacco cyber? Sarà una risposta parziale
perché si concentrerà esclusivamente sull’aspetto dottrinario, senza alcuna
considerazione per la prassi sviluppata fino ad ora dagli Stati.
Anche questo capitolo si articola conseguentemente in tre paragrafi: in primo luogo,
verranno presentate in maniera succinta le disposizioni del Diritto Internazionale Pubblico
in merito al principio di legittima difesa. Partendo dalle disposizioni della Carta delle
Nazioni Unite, si discuterà delle implicazioni dell’articolo 51, in cui viene sancito il diritto
LOCATELLI RICERCA FINALE AI-SA-22 3 Dott. Andrea LOCATELLI
naturale degli Stati all’autodifesa in caso di attacco armato. Si osserverà poi come la
lettera della Carta ONU abbia sollevato una serie di controversie interpretative – in
particolare in merito a cosa costituisca un attacco armato – che hanno contribuito a
disallineare la prassi degli Stati da quanto disposto nelle norme dell’ONU. Ai nostri fini
risulta utile sottolineare la presenza di queste zone grigie di interpretazione, poiché
solleveranno una serie di problemi nell’applicazione del Diritto Internazionale all’ambito
cyber.
Nel secondo paragrafo verranno discussi gli ostacoli che rendono difficile l’applicazione
delle norme di Diritto Internazionale all’ambito cyber. Tra questi risulteranno di primaria
rilevanza i problemi di applicazione, attribuzione e valutazione. Il problema
dell’applicazione sta a indicare la necessità di classificare gli eventi in base a categorie
giuridiche, al fine di stabilire quali regole debbano applicarsi e, non meno importante, quali
azioni costituiscano un illecito. Il problema dell’attribuzione si risolve nel compito di
ascrivere a un soggetto la responsabilità dell’attacco cyber. Questo problema, date le
possibilità che la tecnologia offre di occultare l’identità dell’aggressore, risulta in questo
ambito particolarmente complesso. Il terzo problema consiste infine nella limitata capacità
di “misurare” secondo criteri oggettivi (quindi non contestabili) se le azioni compiute nel
cyber spazio rispettino le norme del Diritto Internazionale. In riferimento al problema della
reazione in legittima difesa, cioè, ci si dovrà chiedere quali attacchi possano soddisfare le
condizioni poste dal Diritto Internazionale per generare una legittima reazione.
Nel terzo paragrafo, infine, si indagherà in maggior dettaglio la letteratura finora prodotta in
tema di diritto all’uso della forza nel cyber spazio. La domanda che informa la ricerca verrà
spezzata in due interrogativi distinti: 1) quando è legittimo reagire a un attacco cyber? 2)
Quali modalità di reazione sono legittime? Prendendo come principale riferimento il
cosiddetto Manuale di Tallin, si noterà come l’applicazione del Diritto Internazionale
fornisca delle indicazioni di massima per rispondere a entrambi i quesiti. Tuttavia,
rimangono diverse e rilevanti zone di ambiguità, che sicuramente impegneranno gli Stati in
un (potenzialmente conflittuale) sforzo di interpretazione. Tutto questo fa sì che sotto il
profilo dottrinale non si siano ancora sedimentate norme ampiamente condivise, a grave
detrimento delle potenzialità regolative del Diritto.
Da ultimo, nel terzo capitolo verranno descritti e analizzati tre casi di attacco cyber. Nello
specifico verranno trattati l’attacco subito dall’Iran nel 2010, quello subito dall’Estonia nel
LOCATELLI RICERCA FINALE AI-SA-22 4 Dott. Andrea LOCATELLI
2007 e, più recente, l’hackeraggio di Sony Pictures Entertainment nel 2014. La
discussione di casi empirici nasce dalla necessità di confrontare la componente dottrinale
del Diritto con la prassi degli Stati. Pur consapevoli del fatto che tre soli casi – per di più
assai diversi tra loro – non sono sufficienti a trarre conclusioni generali sulle linee di
tendenza condivise a livello internazionale, si è ritenuto comunque utile appurare in primo
luogo se dottrina e comportamento reale sono coerenti tra loro oppure no. Inoltre, un
confronto tra casi tanto diversi si rivelerà utile ai fini della nostra analisi, poiché permetterà
di mettere in evidenza la varietà di implicazioni e problematiche che modalità diverse di
attacco comportano.
La ricostruzione empirica mostra chiaramente come gli Stati colpiti da attacco cyber non
abbiano dato alcun segno di interesse nell’appellarsi al proprio diritto all’autodifesa. Solo
l’Estonia ha inizialmente cercato di dipingere l’attacco DDOS che l’ha colpita come
un’aggressione. Tuttavia, di fronte al chiaro rifiuto di condividere questa interpretazione da
parte della Comunità Internazionale (rappresentata in questo senso tanto dagli alleati –
Stati Uniti ed Europa – quanto dalla Russia), l’Estonia ha adottato un più basso profilo.
Iran e Stati Uniti, sebbene colpiti in modi diversi e con effetti diversi, in ultima istanza
hanno reagito presumibilmente nello stesso modo: con una rappresaglia nell’ambito cyber
di cui hanno negato la responsabilità. La previsione a cui si può giungere per il futuro è
dunque che maggiore sarà il margine di incertezza nell’applicazione del Diritto
Internazionale, maggiore sarà l’incentivo per gli Stati ad allontanare la prassi dalle norme
internazionali e fare un uso sempre più massiccio e disinvolto delle tecnologie
cibernetiche.
Per porre rimedio a questa situazione, il lavoro si chiude con quattro prescrizioni volte a
favorire la cooperazione tra Stati e, conseguentemente, l’armonizzazione del loro
comportamento nel cyber spazio: 1) al fine di circoscrivere le zone di ambiguità, qualsiasi
norma emerga dovrà risultare quanto più possibile chiara e precisa; 2) per porre un freno
alle possibilità di escalation, occorre che le definizioni di uso della forza e attacco armato
siano chiare e condivise da tutte le cyber potenze; 3) le Nazioni Unite dovranno essere
messe in grado di intervenire efficacemente; 4) qualsiasi intento normativo dovrà
coinvolgere gli esperti del settore
LOCATELLI RICERCA FINALE AI-SA-22 5 Dott. Andrea LOCATELLI
PARTE GENERALE / ANALITICA / PROPOSITIVA
MIGHT E RIGHT NEL CYBER SPAZIO:
CONSIDERAZIONI GIURIDICHE E STRATEGICHE
LOCATELLI RICERCA FINALE AI-SA-22 6 Dott. Andrea LOCATELLI
Alla vigilia della visita diplomatica del Presidente cinese Xi Jinping negli Stati Uniti, nella
seconda metà di settembre 2015, l’amministrazione Obama annunciò una decisione
importante per distendere le relazioni (evidentemente piuttosto tese) tra i due paesi:
rinunciare a imporre le sanzioni minacciate poche settimane prima contro cittadini e
imprese cinesi. La questione potrà apparire di scarsa rilevanza rispetto alla varietà di
problemi all’ordine del giorno. Né, d’altronde, è la prima volta che i rapporti tra Stati Uniti e
Cina si tendono al punto da sfiorare la crisi diplomatica. In questa occasione, però,
l’elemento più rilevante non riguarda tanto la crescente competizione tra Washington e
Pechino, quanto piuttosto il casus belli che ha portato l’amministrazione Obama a ricorrere
a una misura tanto grave: il cyber spionaggio perpetrato sistematicamente negli ultimi anni
dalla Cina (nell’accusa americana) contro le imprese americane1.
Il cyber spazio costituisce ormai una nuova dimensione del conflitto, al pari di quella
terrestre, navale e aero-spaziale2. Data la crescita continua di attacchi nel cyber spazio3
ad opera di una varietà di attori diversi, per gli Stati si pongono due incentivi contrastanti:
da una parte, investire nello sviluppo di queste tecnologie e opporsi a qualsiasi forma di
regolamentazione o limitazione delle stesse: si tratta infatti di armi dalle grandi
potenzialità, in grado (almeno virtualmente) di creare grossi danni all’infrastruttura dei
propri avversari e, al tempo stesso, difficilmente affrontabili con difese o ritorsioni. Per altro
verso, sta crescendo sempre più la consapevolezza della necessità di regolamentare il 1 The Economist, Trouble Shooting. America’s computers and networks are under attack. Retaliation against
Chinese hackers looms, 12 settembre 2015, http://www.economist.com/news/united-states/21664145-americas-computers-and-networks-are-under-attack-retaliation-against-chinese-hackers?frsc=dg%7Cd. 2 John Arquilla, David Ronfeldt, Cyberwar is Coming!, “Comparative Strategy”, Vol. 12, No. 2, 1993, pp. 141-
65; Stephen Blank, Rethinking Asymmetric Threats, Carlisle Barracks (PA), US Army War College, 2003, pp. 30-31; Richard Clarke, Robert Knake, Cyber War: The Next Threat to National Security and What to Do About It, New York, HarperCollins, 2010; Adam Liff, Cyberwar: A New ‘‘Absolute Weapon’’? The Proliferation of Cyberwarfare Capabilities and Interstate War, “Journal of Strategic Studies”, Vol. 35, No. 3, 2012, pp. 401-428; John Stone, Cyber War Will Take Place!, “Journal of Strategic Studies”, Vol. 36, No. 1, 2013, pp.101-108. Per una posizione più critica, si veda Martin C. Libicki, Cyberspace Is Not a Warfighting Domain, “I/S: A Journal of Law and Policy for the Information Society”, Vol. 8, No. 2, 2012, pp. 321-336. 3 GAO: United States General Accountability Office, INFORMATION SECURITY. Cyber Threats and Data
Breaches Illustrate Need for Stronger Controls across Federal Agencies, GAO-15-758T, 8 luglio 2015, http://www.gao.gov/assets/680/671253.pdf, p. 7.
Introduzione:
Inter arma silent leges?
LOCATELLI RICERCA FINALE AI-SA-22 7 Dott. Andrea LOCATELLI
cyber spazio, così come è avvenuto storicamente per le nuove dimensioni del conflitto (si
pensi all’ambito aerospaziale e all’impiego dell’arma nucleare)4.
Nel caso in cui uno Stato sia vittima di un attacco cyber, è possibile fare appello al Diritto
Internazionale? La questione non è solamente teorica, ma ha risvolti empirici
estremamente rilevanti. Da un punto di vista strategico, la questione concerne la
possibilità di evitare (o quantomeno porre un freno a) l’escalation di un eventuale conflitto.
Se, cioè, le norme del Diritto Internazionale Pubblico possano essere applicate all’ambito
cyber, questo significa che – per quanto la loro applicazione possa essere soggetta ad
eccezioni e limiti – esistono dei vincoli all’esercizio della violenza. Esistono cioè dei freni
normativi, “groziani”5, che restringono la libertà d’azione di chi ha la capacità di perpetrare
questo tipo di offese, con il risultato di contenere l’escalation della violenza. Da un punto di
vista più prettamente giuridico, la rilevanza del tema è altrettanto innegabile: se il Diritto
Internazionale si applica ai conflitti cosiddetti cinetici, perché non rilevare un’analoga
capacità di applicazione anche nell’ambito cibernetico?
Le implicazioni della risposta a tale quesito sono di importanza vitale, poiché la posta in
gioco consiste nel definire i principi di funzionamento del sistema internazionale6.
Analogamente, per quanto concerne la politica di difesa, una base normativa su cui
fondare la risposta ad un attacco cyber costituisce un requisito fondamentale per la
sicurezza nazionale: giusto per toccare soltanto la punta dell’iceberg, si può osservare
come, in abito convenzionale, la capacità di legittima difesa abbia anche una funzione di
deterrenza: se uno Stato ritiene che il proprio avversario potrà verosimilmente difendersi
da un attacco con una risposta supportata dalla Comunità Internazionale, i vantaggi di tale
attacco saranno ampiamente controbilanciati dai costi della rappresaglia7.
In ambito cyber, quali sono le possibili forme di difesa che la Comunità Internazionale può
accettare come legittime? Prima ancora di addentrarci nella complessità del dibattito
giuridico e accademico, sarà evidente anche al lettore meno esperto che si pone un
4 Shmuel Even, David Siman-Tov, Cyber Warfare: Concepts and Strategic Trends, Memorandum 117, The
Institute for National Security Studies, Tel Aviv, 2012, p. 8. 5 Alessandro Colombo, La guerra ineguale, Pace e violenza nel tramonto della società internazionale,
Bologna, il Mulino, 2006. 6 Hedley Bull, The Anarchical Society. A Study of Order in World Politics, New York, Columbia University
Press, 1977 (trad. It. La società anarchica. L’ordine nella politica mondiale, Milano, Vita e Pensiero, 2005). 7 Sul punto, si vedano gli ormai classici: Bernard Brodie, The Atomic Bomb and American Security, New
Haven (CT), Yale Institute for International Studies, 1945; Lawrence Freedman, The Evolution of Nuclear Strategy, London, Palgrave Macmillan, 1981; Henry Kissinger, The Evolution of Nuclear Strategy, London, Palgrave Macmillan, 1957; Basil Lidell Hart, Deterrence or Defence, London, Stevens, 1960; Thomas Schelling, Arms and Influence, Hew Haven (CT), Yale University Press, 1966.
LOCATELLI RICERCA FINALE AI-SA-22 8 Dott. Andrea LOCATELLI
dilemma: da una parte, se la risposta legittima non sarà adeguata, si perderà l’effetto
deterrente. Se, d’altro canto, l’azione giudicata legittima consentirà un incremento della
violenza esercitata, prevedendo al limite anche un’azione nell’ambito cinetico, il rischio di
escalation sarà tale da inficiare l’effetto di moderazione proprio del Diritto Internazionale.
Come si avrà modo di constatare nelle pagine che seguono, le caratteristiche del cyber
spazio sono tali da impedire un’applicazione immediata del Diritto Internazionale in tale
ambito. Sarà quindi necessario uno sforzo per comprendere quali siano le peculiarità
dell’ambito cyber e discutere perché pongono un problema giuridico: alla luce di queste
considerazioni, si potrà infine proporre alcune prescrizioni per superare questo problema.
Per argomentare la tesi sopra esposta, la sezione analitica del rapporto di ricerca si
articolerà in tre capitoli. Il primo capitolo è volto a fornire al lettore le informazioni di base
per comprendere le peculiarità e le complessità del cyber spazio. Pur senza entrare nel
dettaglio tecnico della questione, si cercherà di mettere in evidenza la varietà di strumenti
e azioni possibili. Nel tentativo di mettere ordine in una materia altrimenti complicata, si
procederà in prima battuta a definire cosa si intende per cyber spazio e quali ne sono gli
elementi costitutivi. Si passerà poi nel primo paragrafo ad elencarne le caratteristiche
peculiari che lo contraddistinguono rispetto agli ambiti cinetici del conflitto, mentre nel
secondo paragrafo verranno presentati i tipi più comuni di azione offensiva. Nel terzo
paragrafo, infine, verrà formulata una definizione operativa di attacco cyber che permetta
di escludere aspetti altrimenti controversi come il cyber terrorismo e il cyber crime.
Nel secondo capitolo si capitalizzeranno le nozioni presentate nel primo capitolo per
valutare se e come il Diritto Internazionale Pubblico possa adattarsi al cyber spazio per
regolamentare l’utilizzo della forza in questo ambito – ovviamente, con particolare
riferimento alle azioni di legittima difesa. A questo fine, il primo paragrafo prenderà in
considerazione le disposizioni del Diritto Internazionale in tema di utilizzo della forza,
aggressione e diritto all’autodifesa. Il secondo paragrafo discuterà invece i problemi che
emergono nel momento in cui si cerca di ampliare l’ambito tradizionale d’applicazione del
Diritto per adattarlo all’ambito cyber. Il terzo paragrafo, infine, illustrerà lo stato dell’arte
sulla dottrina internazionalistica, con particolare riferimento alle disposizioni contenute nel
Manuale di Tallin.
Il terzo capitolo intende invece mostrare lo iato che si pone tra dottrina e prassi degli Stati.
A questo fine sono stati scelti tre casi particolarmente rilevanti di attacchi cyber: in ordine
LOCATELLI RICERCA FINALE AI-SA-22 9 Dott. Andrea LOCATELLI
cronologico, il caso dell’Estonia nel 2007 (quando il paese fu oggetto di un attacco DDOS
su larga scala contro banche, partiti ed agenzie governative); l’attacco subito dall’Iran nel
2010 (quando il malware STUXNET danneggiò gravemente le centrifughe per
l’arricchimento dell’uranio di Natanz); da ultimo, l’attacco – si suppone – perpetrato nel
2014 dalla Corea del Nord contro la Sony Pictures Entertainment (attacco che portò al
furto e distruzione di una quantità considerevole di dati riservati, tra cui film, documenti
privati, e-mail, ecc.). In tutti e tre i casi, lo Stato attaccato non ha fatto appello al Diritto
Internazionale per giustificare il proprio diritto all’autodifesa, ma ha reagito unilateralmente
in modi più o meno violenti.
Quest’ultima considerazione costituisce il punto centrale da cui verranno tratte le
conclusioni del presente lavoro. Di fronte a una dottrina che lascia ampie zone di
ambiguità, la prassi degli Stati (seppure ancora molto limitata) mostra una tendenza
piuttosto chiara, che dalle norme prende letteralmente le distanze: nel cyber spazio ancora
più che nell’ambito cinetico, l’interpretazione del diritto e la definizione dei termini (come
ad esempio il concetto di attacco armato) sono in netto contrasto con l’analisi dottrinaria –
segno evidente della volontà diffusa all’interno della Comunità Internazionale di non
accettare i freni all’azione posti dalle norme. Questa constatazione rende alquanto
improbabile la formulazione di trattati e accordi vincolanti, altrimenti necessari per far
avanzare il Diritto Internazionale nell’ambito cyber. Come si vedrà nelle ultime pagine di
questo lavoro, la conclusione a cui si giungerà in questa sede è che occorre affiancare
all’analisi dottrinaria delle norme prescrizioni politiche su come incrementare la
cooperazione tra Stati nel cyber spazio.
LOCATELLI RICERCA FINALE AI-SA-22 10 Dott. Andrea LOCATELLI
Il cyber spazio costituisce un argomento di studio tutto sommato recente. Ciononostante,
l’analisi dei possibili utilizzi di questo medium sta diventando sempre più importante non
solo in ambito accademico, ma anche da un punto di vista politico, come testimoniano i
tanti documenti ufficiali prodotti dai principali eserciti di tutto il mondo8. La domanda che ci
si deve porre inizialmente è: dato che finora non ci sono state delle cyber Pearl Harbor
(ovvero, degli attacchi così gravi da mettere a repentaglio la sicurezza o l’esistenza stessa
delle persone) dovremmo davvero preoccuparci della minaccia nel cyber spazio? Oppure
si tratta solamente di una possibilità remota, i cui effetti saranno comunque limitati per la
maggior parte delle persone?
Come è d’obbligo nell’affrontare qualsiasi questione complessa, occorre partire da alcune
considerazioni introduttive: in primo luogo, cosa è il cyber spazio? Quali ne sono le
caratteristiche che lo rendono politicamente e strategicamente rilevante? E perché può
essere inteso come uno spazio di conflitto al pari dello spazio terrestre, aereo o navale?
Per la propria natura artificiale, è possibile riscontrare alcune peculiarità del cyber spazio
che lo rendono diverso dalle dimensioni naturali del conflitto. È dall’analisi di queste
caratteristiche distintive, e delle modalità di attacco in questo ambiente, che occorre partire
per meglio comprendere le problematiche giuridiche proprie del cyber spazio.
Cosa intendiamo quindi per cyber spazio, quali ne sono le caratteristiche e in che modo
funziona? Quando si fa riferimento al cyber spazio, solitamente si allude a una realtà dalla
duplice natura, poiché è allo stesso tempo virtuale e materiale. Internet è il primo referente
empirico che balza alla mente, poiché attraverso il web passa la quasi totalità dei flussi di
dati. Internet è inoltre un network di connessione e trasporto universale, pubblicamente
accessibile ed ulteriormente espandibile attraverso qualsiasi ulteriore network di dati.
8 Una sintetica panoramica è disponibile in Even, Siman-Tov, Cyber Warfare, pp. 10-13.
Caratteristiche tecniche e implicazioni
strategiche del cyber spazio
1
LOCATELLI RICERCA FINALE AI-SA-22 11 Dott. Andrea LOCATELLI
Tuttavia, gli attacchi cyber possono sfruttare qualsiasi strumento digitale o qualsiasi altra
connessione (dal peer-to-peer a una intranet), per cui ridurre la definizione del cyber
spazio a Internet sarebbe riduttivo.
Occorre quindi prendere in esame la letteratura sul tema per arrivare a una definizione
operativa del termine. Sono stati proposti molti contributi in questo senso, al punto da
rendere impossibile riassumere in questa sede tutte le formulazioni accademiche e
giuridiche formulate; tuttavia, una sintesi degli elementi caratterizzanti è fattibile e
necessaria per introdurre le questioni più rilevanti per l’analisi che segue.
Un ottimo punto di partenza è la definizione adottata nei documenti ufficiali del Pentagono,
in cui il cyber spazio viene definito come “un ambito globale all’interno dell’ambiente
informatico che consiste nel network interdipendente di infrastrutture informatiche, tra cui
Internet, network di telecomunicazioni, sistemi di computer e processori e sistemi di
controllo ivi contenuti”9. Questa formulazione aiuta a cogliere l’aspetto di pervasività del
cyber spazio (che quindi comprende, ma va oltre Internet), ma occulta le diverse
dimensioni in cui esso si articola. Più chiara in questo senso è la definizione proposta
dall’Unione Internazionale delle Telecomunicazioni delle Nazioni Unite, secondo cui il
cyber spazio consiste nel “campo fisico e non fisico creato da e/o composto da alcuni o
tutti i seguenti elementi: computer, sistemi di computer, network e programmi informatici, i
dati, i contenuti di questi di dati, il traffico di dati e gli utenti”10. Analogamente, secondo
Reveron11 il cyber spazio include componenti diverse su dimensioni diverse: un livello
fisico (hardware), un livello basato sulle informazioni, ovvero sui dati (software), un livello
virtuale, ovvero lo spazio in cui le persone hanno relazioni sociali non fisiche. Reveron
aggiunge anche una dimensione cognitiva, che include i processi mentali delle persone.
Non sarebbe difficile incrementare la complessità del discorso aggiungendo distinguo e
precisazioni, o enfatizzando alcuni aspetti del cyber spazio piuttosto che altri. Dato però
che il nostro fine è di gettare le basi per una definizione condivisa di attacco cyber, è
9 The United States Army’s Cyberspace Operations Concept Capability Plan, TRADOC Pamphlet 525-7-8,
22 febbraio 2010, p. 6, http://fas.org/irp/doddir/army/pam525-7-8.pdf. 10
www.itu.int/cybersecurity 11
Derek S. Reveron, An Introduction to National Security and Cyberspace, in Derek S. Reveron (a cura di), Cyberspace and National Security, Washington (DC), Georgetown University Press, 2012, p. 5.
LOCATELLI RICERCA FINALE AI-SA-22 12 Dott. Andrea LOCATELLI
opportuno limitarsi in questa sede limitarci a evidenziare tre livelli (tra loro interdipendenti)
su cui il cyber spazio si articola12. :
- il primo livello è quello umano, e consiste negli utenti delle strutture informatiche.
- Il secondo livello è quello logico e corrisponde sostanzialmente ai software e ai dati,
nonché al modo in cui questi si spostano e sono utilizzati in quanto informazioni,
istruzioni o vere e proprie risorse (come ad esempio valuta virtuale o virus).
- Il terzo livello, quello fisico, è costituito dai componenti del sistema informatico, tra
cui i computer, le strutture che costituiscono il network e i sistemi SCADA13.
1.1 – Peculiarità del cyber spazio rispetto agli altri ambiti del conflitto
Già da questa definizione introduttiva, emerge chiaramente la prima caratteristica distintiva
del cyber spazio: è sì uno spazio virtuale, ma questo dipende dal livello fisico. Ciò, da un
punto di vista strategico, lo rende attaccabile su due fronti: si può, cioè, operare nel cyber
spazio, oppure distruggere fisicamente le macchine. O, ancora, si può operare attraverso
tecniche di ingegneria sociale per colpire le macchine attraverso le persone. In secondo
luogo, questo tipo di ambiente è molto più fluido e versatile rispetto all’ambito naturale in
cui viviamo, perché può essere rimodellato, al limite distrutto e ricostruito. Queste
caratteristiche rientrano prepotenti in ambito strategico, e lo rendono un’assoluta novità
anche rispetto allo spazio aereo, che in guerra è stato scoperto per ultimo (ovvero con
l’invenzione degli aeroplani). Da questo conseguono una serie di proprietà particolarmente
rilevanti. In estrema sintesi, queste possono essere riassunte in nove punti:
1. Il costo e i tempi di produzione delle armi cibernetiche sono ridotti rispetto alle armi
cinetiche per essere competitivi nello spazio aereo bisogna possedere una flotta di velivoli,
per affrontare una grande potenza è necessario possedere diversi squadroni, il che
comporta costi per miliardi di euro. A questo si aggiunge il fatto che, analogamente ai
software commerciali, le armi cibernetiche possono essere replicate di fatto a costo zero e
12
Even, Siman-Tov, Cyber Warfare, p. 10. 13
Dall’acronimo inglese Supervisory Control And Data Acquisition, i sistemi SCADA sono apparecchiature di controllo che nell’ambito di sistemi industriali permettono il monitoraggio di determinati processi. Essi si compongono solitamente di una serie di sensori volti a misurare determinati parametri delle macchine sotto controllo, uno i più processori che registrano e processano i valori rilevati dai sensori, e un computer supervisore (esterno quindi al componente SCADA) che elabora i dati e permette all’operatore umano di verificare il funzionamento del processo. Come si vedrà nel par. 3.1, un particolare tipo di componente SCADA era il bersaglio del malware STUXNET.
LOCATELLI RICERCA FINALE AI-SA-22 13 Dott. Andrea LOCATELLI
in tempi rapidissimi: se, cioè, per dotarsi di un arsenale di armi e/o piattaforme il costo
delle singole unità è significativo rispetto ai costi fissi, in ambito cibernetico il costo
marginale è pari a zero14.Nel cyber spazio tutto ciò non è necessario: una manciata di
ingegneri informatici può progettare un virus e operare anche senza una struttura di
supporto forte. Questo significa che gli entry costs sono relativamente bassi e quindi una
varietà di attori (pubblici e privati) può diventare facilmente una minaccia. L’esperienza di
STUXNET sembra ridimensionare questa affermazione15, ma rimane ad oggi un caso
unico.
2. Spazio e tempo sono drasticamente ridotti: è cioè possibile perpetrare attacchi
pressoché immediati senza alcun limite geografico. Questo rende le armi cibernetiche
particolarmente attraenti, poiché le azioni nel cyber spazio avvengono letteralmente alla
velocità della luce, ovvero il tempo necessario per trasportare delle stringhe di dati da un
punto all’altro. Ovviamente, questo dato non tiene in considerazione il tempo necessario
per creare le risorse e le condizioni propizie all’attacco, ma in ambito cinetico sono
necessari tempi di mobilitazione altrettanto lunghi. La maggior parte degli attacchi
oggigiorno avviene dalla Cina agli Stati Uniti (e viceversa), ma anche dalla Russia agli
Stati Uniti16, e il loro risultato (se hanno successo contro le difese avversarie) è
solitamente istantaneo.
3. Nel cyber spazio è possibile agire segretamente. Come discusso trattando degli attacchi
DDOS, le azioni offensive molto spesso si celano dietro a coperture che fungono da agenti
dell’attacco spesso in modo del tutto inconsapevole. In questo modo, chi attacca (ancora
una volta, diversamente dall’ambito cinetico) minimizza il problema legato all’esposizione
a un possibile contrattacco. Inoltre, una seconda conseguenza consiste nel fatto che
risulta molto difficile, se non impossibile, arrivare a una chiara attribuzione degli attacchi17:
se chi ha colpito può nascondere la propria identità e la propria origine, chi si difende non
14
Timothy F. Bresnahan, Shane Greenstein (1999), Technological Competition and the Structure of the Computer Industry, “Journal of Industrial Economics”, Vol. 47, No. 1, pp. 1-40. Herbert Lin, Operational Considerations in Cyber Attack and Cyber Exploitation, in Derek S. Reveron (a cura di), Cyberspace and National Security, Washington (DC), Georgetown University Press, 2012, p. 38. 15
Si veda infra, par. 3.1. 16
Robert Windrem, , Exclusive: Secret NSA Map Shows China Cyber Attacks on U.S. Targets, NBCNEWS, 20 luglio 2005, http://www.nbcnews.com/news/us-news/exclusive-secret-nsa-map-shows-china-cyber-attacks-us-targets-n401211; Symantec, 2015 Internet Security Threat Report, https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-threat-report-volume-20-2015-social_v2.pdf, p. 97. 17
Si tornerà su questo punto in maggior dettaglio infra, par. 2.2.
LOCATELLI RICERCA FINALE AI-SA-22 14 Dott. Andrea LOCATELLI
riuscirà a reagire in risposta con una strategia di deterrenza18: se infatti un attore desidera
impedire un attacco minacciando una rappresaglia, deve essere in grado di sapere contro
chi dovrà scagliarsi.
4. Attaccare è più facile che difendersi: questo punto è la logica conseguenza di quanto
sopra affermato: se il costo per armarsi è relativamente basso, la portata degli attacchi è
virtualmente illimitata e i rischi di incorrere in una rappresaglia sono minori rispetto ad altri
ambiti, ne consegue che l’offesa ha un vantaggio comparato sulla difesa19. Con il corollario
non marginale che, potendo scegliere se attaccare o essere attaccati, la prima opzione
risulta conseguentemente preferibile. In altri termini, tutto ciò conduce a una maggiore
propensione all’attacco preventivo. Gestire il conflitto nel cyber spazio risulta quindi più
difficile che in altri ambiti, perché ci sono diversi incentivi all’escalation e pochi freni, per
utilizzare un’espressione clausewitziana, all’ascesa agli estremi.
5. Più è sviluppata la rete informatica di uno Stato, più questo sarà vulnerabile.
Paradossalmente, gli Stati più avanzati saranno anche quelli più facilmente attaccabili,
mentre gli Stati tradizionalmente più deboli potranno contare su una nuova risorsa. Il
senso di questa affermazione, che ovviamente circola con maggiore insistenza e
preoccupazione nei circoli della difesa americani20, è che il grado di dipendenza delle
società, così come dei governi, dall’infrastruttura informatica abbia trasformato i network
da moltiplicatori di forza a elementi di vulnerabilità21. Secondo il Manuale di Tallin22, le
infrastrutture critiche comprendono quei sistemi hardware e software che rientrano sotto la
giurisdizione di uno Stato e risultano tanto essenziali da poterne compromettere, qualora
danneggiati o distrutti, la sicurezza, l’economia, la salute pubblica o l’ambiente di uno
Stato.
6. Le armi cibernetiche possono essere utilizzate anche come armi non letali. Il fatto che
l’attacco nel cyberspazio possa creare una serie di problemi al funzionamento di uno Stato
18
Martin C. Libicki, Cyberdeterrence and Cyberwar, Santa Monica (CA), RAND, 2009. 19
Questa posizione è stata messa in discussione da alcuni autori. Tuttavia, la maggior parte degli analisti strategici sembra condividere il punto. Si veda per una sintetica ricostruzione Andrea Locatelli, The Offence/Defence Balance in Cyberspace, ISPI Analysis No. 203, October 2013. 20
Clarke, Knake, Cyber War; Joel Brenner, America the Vulnerable: Inside the New Threat Matrix of Digital Espionage, Crime, and Warfare, New York, Penguin Press, 2011. 21
Il concetto di vulnerabilità è fondamentale per comprendere questo punto: le vulnerabilità sono degli errori nella progettazione dei software che vengono scoperti solo una volta che vengono installati sulle macchine (e spesso dopo mesi di utilizzo). La maggior parte degli attacchi (siano questi realizzati con virus, worms, netbots non importa) è indirizzata a bersagli che presentano tali vulnerabilità: i malware sono insomma progettati apposta per scovare e penetrare all’interno di tali vulnerabilità. 22
Cfr. Infra, par. 2.3.
LOCATELLI RICERCA FINALE AI-SA-22 15 Dott. Andrea LOCATELLI
(o della società su cui questo insiste) senza danni materiali a infrastrutture o persone
costituisce un ulteriore incentivo all’utilizzo di questo strumento nelle relazioni tra Stati
avversari. Tuttavia, gli attacchi cibernetici possono essere usati anche per colpire obiettivi
altrimenti difficili da raggiungere o da individuare, creando in questo modo un danno fisico
e potenzialmente umano di rilevanza non trascurabile23. Rientrano tra questi bersagli i
network e le infrastrutture per il comando e controllo delle forze armate, solitamente difese
e nascoste in luoghi difficilmente accessibili; il sistema finanziario, con tutte le
conseguenze che questo comporta a livello di capacità delle banche di operare; i sistemi
di trasporto; da ultimo, i grandi database delle agenzie governative24.
7. Il basso rischio di danno collaterale, sia per chi attacca, sia per chi si difende. Questo
aspetto ha importanti conseguenze: diversamente dall’ambito cinetico delle operazioni,
dove chi attacca (ad eccezione dei droni e dei missili a lunga distanza) si espone al rischio
di scontrarsi con la difesa avversaria e mette quindi a repentaglio la propria
sopravvivenza, un attacco cyber avviene solitamente senza alcun rischio da parte di chi lo
perpetra25. Parallelamente, per la parte che si difende, dato il basso rischio di perdita di
vite umane, è possibile implementare risposte automatiche, cioè che non richiedano
l’intervento umano26.
8. La reversibilità. Anche laddove un attacco sia perpetrato con successo, nella misura in
cui l’effetto sia limitato al software, è possibile ripristinare le condizioni precedenti
all’attacco (solitamente grazie a un semplice sistema di backup). Questo aspetto solleva
importanti interrogativi sulla rilevanza strategica delle armi cibernetiche: se, infatti, a livello
tattico possono essere ragionevolmente considerate di qualche utilità – sia in una guerra
convenzionale, come componente di operazioni più vaste, sia in una cyber war, come
unica dimensione delle operazioni – a livello strategico i loro effetti saranno di gran lunga
più circoscritti27. Un aspetto ad esso collegato, e che risulta particolarmente rilevante nella
dinamica strategica, è che una volta rilevato l’attacco e ripristinato il funzionamento dei
sistemi colpiti, è relativamente facile riparare la struttura in modo da eliminare le
vulnerabilità che hanno reso possibile l’attacco: insomma, una volta scoperto esso perde
23
Even, Siman-Tov, Cyber Warfare, p. 14. 24
È questo il caso di infrazioni come quella descritta nelle pagine introduttive del presente lavoro. 25
L’unica, parziale, eccezione, consiste nella combinazione di attacco cyber e intelligence, dove il fattore umano può risultare importante per la realizzazione dell’attacco. 26
Even, Siman-Tov, Cyber Warfare, p. 15. 27
Sulla distinzione tra livello tattico e strategico si può fare riferimento a Giampiero Giacomello, Gianmarco Badialetti, Manuale di Studi Strategici. Da Sun Tzu alle nuove guerre, Milano, Vita e Pensiero, 2009, cap. 1.
LOCATELLI RICERCA FINALE AI-SA-22 16 Dott. Andrea LOCATELLI
la propria efficacia. In altre parole, come ha già evidenziato nel suo magistrale lavoro
Edward Luttwak28, anche il cyber spazio rispetta una regola aurea della strategia: quello
che funziona una volta (sia essa un’arma, una tecnologia di supporto, una tattica o una
strategia) la volta successiva sarà destinata al fallimento.
9. La distinzione tra ambito militare e civile tende a sfumare. Come già avviene con altre
tecnologie avanzate, come il GPS, anche nel cyber spazio la distinzione tra infrastrutture
militari e civili perde di pregnanza. Per quanto sia possibile distinguere tra Internet
(solitamente utilizzato dai civili) e i network riservati all’uso militare, le connessioni tra
questi due sistemi sono tanto fitte da rendere impossibile una reale distinzione. Inoltre,
considerata la dipendenza delle società dalle infrastrutture civili, ne consegue che queste
abbiano una valenza anche in ambito militare. Da ultimo, le stesse capacità di cui i governi
dispongono per difendere le proprie infrastrutture possono essere adoperate per difendere
e monitorare quelle civili29. Negli Stati liberali, questo comporta un difficile equilibrio tra
l’esigenza di garantire la sicurezza da una parte e la tutela delle libertà individuali, come
mostrato nel modo più evidente dal problema sorto in seguito all’uso di intercettazioni ad
opera dell’NSA30.
1.2 – Le azioni offensive nel cyber spazio
Viste le caratteristiche precipue del cyber spazio, non dovrebbe stupire che diversi governi
ne abbiano prontamente colto le potenzialità come nuova dimensione del conflitto.
Essendo ormai riconosciuto come tale, sono state sviluppate nel corso degli anni vere e
proprie armi e tattiche di attacco, per alcuni versi assimilabili all’ambito cinetico. Un elenco
esaustivo sarebbe impossibile in questa sede, sia per gli evidenti motivi di spazio che
questo sforzo imporrebbe, sia per la necessaria trattazione tecnica che ne discenderebbe.
Ci si limiterà quindi a descrivere i tipi principali di azioni offensive nel cyber spazio,
discutendone le principali implicazioni a livello strategico e giuridico:
Spamming: è il tipo di azione più comune, che colpisce quotidianamente qualsiasi utente:
consiste nell’invio non richiesto di comunicazioni commerciali via e-mail volte a
28
Edward Luttwak, Strategy. The Logic of War and Peace, Cambridge (MA), Harvard University Press, 1987 (trad. it. Strategia. Le logiche della Guerra e della pace nel confronto tra le grandi potenze, Milano, Rizzoli, 1989). 29
Libicki, Cyberdeterrence and Cyberwar, p. 153. 30
Even, Siman-Tov, Cyber Warfare, p. 17.
LOCATELLI RICERCA FINALE AI-SA-22 17 Dott. Andrea LOCATELLI
pubblicizzare qualsiasi tipo di prodotto. In sé l’atto non costituisce un’azione offensiva, ma
spesso viene utilizzato come strumento per diffondere malware o altre minacce digitali.
Phishing/Spear phishing: è un tipo di attacco che si basa sui social media ed è volto a
trarre in inganno l’utente fisico in modo da estorcergli informazioni. In particolare, questo
avviene attraverso la simulazione di identità fasulle (ma verosimili) volte a indurre la
persona a condividere informazioni personali (come password e codici d’accesso) Lo
spear phishing è l’applicazione di questo attacco contro un obiettivo mirato – un singolo
individuo o gruppo. Come vedremo più avanti31, il phishing è stato probabilmente utilizzato
per l’attacco compiuto nel 2014 ai danni di Sony.
Cross-site scripting: è un tipo di attacco che permette di eseguire uno script sul browser
del computer bersaglio (o altre applicazioni analoghe) attraverso la manipolazione di un
sito terzo. Questo attacco ha luogo quando l’utente visita un sito o un link contenenti
malware (vedi sotto). La gravità dell’attacco in sé non è ingente, ma a seconda dello script
eseguito e della presenza di vulnerabilità sulla macchina, l’aggressore può avere accesso
a una varietà di dati e, al limite, controllare la macchina da remoto (vedi Botnet sotto).
Defacciamento: è una delle principali forme di cyber attivismo e consiste nel modificare
illecitamente una o più pagine di un sito web. Avviene solitamente ad opera di hacker
guidati da motivazioni ideologiche, ma a volte più semplicemente come pura
dimostrazione di abilità da parte di un hacker. Nei casi in cui questo tipo di attacco sia
finalizzato alla truffa e all’estorsione, le modalità d’azione rientrano più propriamente nella
fattispecie dello spoofing.
Spoofing/E-mail spoofing: significa letteralmente falsificare un’identità. Nella forma più
comune, consiste nel creare un sito web fraudolento che imita un sito esistente (e
solitamente ben conosciuto). Analogamente, l’e-mail spoofing si ha quando un hacker
invia e-mail alterando l’indirizzo o altre componenti del messaggio (intestazione, firma,
ecc.) in modo che il ricevente creda che l’e-mail sia stata inviata da una fonte diversa. Lo
spoofing è solitamente utilizzato per commettere reati quali il furto e la frode: in sostanza,
la vittima viene indotta a svolgere operazioni bancarie che ritiene sicure (ad esempio un
bonifico a un conoscente), quando in realtà versa denaro sul conto corrente
dell’aggressore.
31
Vedi Infra, par. 3.3.
LOCATELLI RICERCA FINALE AI-SA-22 18 Dott. Andrea LOCATELLI
Botnet: si tratta di un network di macchine compromesse da un attacco (definite anche
Zombie), che rispondono ai comandi di chi ha organizzato l’azione, spesso all’insaputa
dell’utente della macchina. Solitamente vengono utilizzati per inviare un numero massiccio
di richieste simultanee a un server in modo da mandarlo in overflow.
Denial-Of-Service/Distributed-Denial-of-Service (DOS/D-DOS): è un attacco a un server
volto a inibirne la capacità operativa attraverso l’esaurimento delle risorse del sistema
informatico. Questo avviene solitamente attraverso l’invio di un numero di richieste
superiore alla capacità di calcolo della macchina (che va così in runtime error), o
consumando la banda disponibile con un elevato traffico dati. Si definisce Distributed-
Denial-of-Service un attacco perpetrato da una serie di fonti diverse. In pratica, ciò avviene
quando l’aggressore fa uso di un Botnet. Questo secondo tipo di azione è più comune,
poiché permette all’agente di occultare la propria presenza: gli attacchi, infatti, risultano
provenire dall’IP dei computer infetti (che possono essere sparsi ovunque nel globo).
Malware/virus/worm: Un malware è un software maligno (o codice maligno) che viene
inserito in una macchina per comprometterne il funzionamento. Esso solitamente colpisce
parti del sistema operativo, causando danni di maggiore o minore entità a seconda dei
casi: i malware possono infatti compromettere i dati salvati sulla macchina colpita
(copiandoli e inviandoli all’aggressore, oppure cancellandoli, o entrambe le cose), o
impedire l’esecuzione corretta di alcuni programmi, ma possono anche danneggiare
l’hardware della macchina infetta32 o un’intera rete. I malware costituiscono la forma di
offesa più grave a livello di relazioni tra Stati. Esistono svariate categorie di malware, di cui
alcune non sono rilevanti ai nostri fini33. È però opportuno descrivere almeno le seguenti
forme:
Bomba logica: consiste in una porzione di codice inserita in un programma
altrimenti innocuo che si attiva solo al verificarsi di determinate condizioni
(un’istruzione lanciata dall’utente, il raggiungimento di una data, ecc.). Il danno
causato dalla bomba logica dipende dall’azione per cui viene programmata:
32
È il caso di STUXNET. Vedi Infra, par. 3.1. 33
Ne sono un esempio i ransomware, ovvero dei codici maligni che bloccano l’accesso ad alcuni dati o programmi e chiedono all’utente il pagamento di una somma per sbloccare il software infetto. Secondo un recente rapporto Symantec si tratta di una delle forme di attacco in più rapida diffusione. Symantec, Symantec Intelligence Report, giugno 2015, https://www.symantec.com/content/en/us/enterprise/other_resources/intelligence-report-06-2015.en-us.pdf.
LOCATELLI RICERCA FINALE AI-SA-22 19 Dott. Andrea LOCATELLI
solitamente consiste nella cancellazione di alcuni dati, ma può arrivare alla
formattazione del disco fisso o al blocco del sistema.
Trojan horse: indica un codice contenente istruzioni maligne che si cela all’interno
di un programma apparentemente utile. Le funzioni possono essere le più
disparate: dalla cancellazione o furto di dati all’apertura di backdoor, fino al controllo
da remoto della macchina colpita. Diversamente da altri malware non sono in grado
di replicarsi e devono quindi essere fisicamente installati sul computer bersaglio da
un utente o dall’aggressore.
Backdoor: è un tipo di malware che permette di superare i sistemi di sicurezza del
sistema colpito consentendo un accesso non autorizzato da parte dell’agente che
ha inoculato il codice maligno.
Rootkit: si tratta di un malware in grado di installarsi su un computer e assumerne il
controllo aggirando l’autorizzazione dell’amministratore. In questo modo, il rootkit
permette all’aggressore di rubare dati personali contenuti sulla macchina, ma anche
di occultare eventuali trojan horse e funzioni di backdoor.
Virus: consiste in una codice maligno in grado di auto-riprodursi e causare danni
alle macchine che infetta – come ad esempio cancellare dati, modificare la struttura
delle directory o eseguire programmi non desiderati.
Worm: rappresenta una categoria di malware simile ai virus, ma che a differenza di
questi non necessita di infettare altri file per replicarsi e diffondersi.
1.3 – Definizione e tipologie di attacco cyber
Nelle pagine precedenti si è fornita una sintetica descrizione delle caratteristiche
costitutive del cyber spazio e delle conseguenze che queste comportano per il suo
impiego in ambito militare. In questo paragrafo ci avvicineremo maggiormente alla
problematica giuridica, cercando di conciliare gli aspetti tecnici del problema con quelli
legati al diritto. In particolare, l’obiettivo delle pagine che seguono è di formulare una
definizione di attacco cyber che possa fungere da base per qualsiasi tentativo di
regolamentazione.
Come si potrà comprendere, il compito in questione risulta alquanto complesso, poiché le
fattispecie di offesa perpetrabili sono assai diverse tra loro. E, problema altrettanto
LOCATELLI RICERCA FINALE AI-SA-22 20 Dott. Andrea LOCATELLI
rilevante, dati i continui progressi della tecnologia, non è possibile prevedere gli sviluppi
futuri nemmeno nel breve-medio periodo. Giusto a titolo di esempio, si pensi all’azione di
un’organizzazione eversiva che si impegna a defacciare i siti web di agenzie governative.
Oppure al furto di dati sensibili relativi al personale di agenzie di intelligence, come nel
caso discusso in apertura del lavoro. O ad organizzazioni criminali impegnate in frodi
informatiche, furti d’identità o spionaggio industriale. O, ancora, alla possibilità che
organizzazioni terroristiche riescano a sabotare il sistema informatico per il controllo dello
spazio aereo. Oppure, infine, ad un attacco mirato tramite un virus contro una struttura
statale da parte di un altro Stato34.
Tale casistica, come è facile intuire, presenta una notevole varietà sotto molteplici punti di
vista: dalla natura dell’aggressore a quella del bersaglio, dalle modalità di attacco all’entità
del danno. Di fronte al tentativo di formulare una definizione universalmente valida di cosa
costituisca un attacco cyber (e, soprattutto, quali risposte posta legittimamente generare),
la natura eterogenea e multiforme delle azioni offensive nel cyber spazio costituisce un
problema difficilmente superabile. Non vi è quindi motivo di stupirsi se organizzazioni
governative, internazionali e la comunità accademica hanno sviluppato proposte tra loro
molto diverse.
Per affrontare la questione in modo ordinato ed esaustivo, procederemo in primo luogo a
presentare le principali formulazioni proposte a livello internazionale35. Si cercherà di
metterne in luce gli elementi comuni, le differenze e le problematiche che ciascuna di esse
solleva. Si procederà poi ad elaborare una definizione operativa, che possa fungere da
base per l’applicazione del Diritto Internazionale e, possibilmente, possa guidare gli sforzi
della Comunità Internazionale per la stesura di futuri accordi e trattati. Infine, si
tracceranno i confini oltre i quali le offese perpetrate nel cyber spazio non rientrano nella
fattispecie degli attacchi, ma costituiscono forme diverse, al di fuori del nostro ambito di
interesse: il cyber crime e il cyber terrorismo.
Nel tentativo di formulare una definizione di cyber warfare, si potrà ricordare come già nel
1995, in un saggio ormai classico, Martin Libicki constatasse l’intrattabilità della questione.
L’analista della RAND si limitava quindi a sussumere il cyber warfare a una forma di
34
Tutte queste eventualità, con la fortunata eccezione dell’attentato terroristico, si sono già verificate in passato. 35
È questo lo spunto seguito da Oona Hataway e colleghi, e che qui riprendiamo fedelmente. Oona A. Hathaway (et al)., The Law of Cyber Attack, “California Law Review”, Vol. 100, 2012, pp. 823-826.
LOCATELLI RICERCA FINALE AI-SA-22 21 Dott. Andrea LOCATELLI
attacco semantico: “un sistema sotto attacco semantico funziona e sarà percepito come se
funzionasse correttamente […] ma genererà risposte discordanti con la realtà”36. Il punto
centrale di questa definizione era il focus sul tipo di attacco e gli effetti che produceva: un
attacco semantico non solo non danneggia fisicamente l’hardware, ma produce un
malfunzionamento delle infrastrutture che non è rilevato, poiché le macchine restituiscono
risposte diverse dal loro reale funzionamento. È forse il caso più comune di attacco, quello
in cui un aggressore utilizza il computer di un altro utente per svolgere istruzioni di cui
l’utente è ignaro. Questa definizione però non esaurisce la gamma di offese possibili.
Ci vogliamo per questo a una seconda definizione, di Richard Clarke, uno dei principali
esperti a livello mondiale di sicurezza cibernetica, il quale usa il termine cyber war per
intendere “quelle azioni perpetrate da uno Stato nazione al fine di penetrare i computer o i
network di un’altra nazione per causarne il danneggiamento o l’interdizione”37. Il vantaggio
di questo approccio consiste nell’andare oltre i soli attacchi semantici per comprendere
anche quelli sintattici, ovvero quel tipo di offesa che provoca danni al sistema operativo di
una macchina, quali la perdita di dati o il danneggiamento fisico dell’hardware.
Diversamente dalla definizione di Libicki, possiamo includere in questo caso tra gli attacchi
cyber tutte quelle azioni volte a compromettere il sistema nemico. Tuttavia, neanche il
contributo di Clarke è esente da critiche: infatti, restringendo la definizione di cyber war ad
azioni perpetrate da uno Stato, la sua definizione impone di mettere da parte tutte le forme
di attacco perpetrate da gruppi criminali, hacker, attivisti e terroristi.
Infine, un limite che accomuna entrambe è che concentrandosi sulla finalità tecnica
(potremmo dire il bersaglio) dell’attacco, non permettono di distinguere tra forme diverse di
utilizzo della forza nel cyber spazio (come terrorismo, crimine, spionaggio, ecc.): è infatti
evidente che le motivazioni dell’azione e i danni che si intendono infliggere possono
variare significativamente (si pensi alla differenza tra il semplice furto di informazioni e
l’interdizione delle capacità di comando e controllo delle forze armate). Sebbene queste
diverse modalità di utilizzo della forza siano accomunate dalla natura fraudolenta, in
termini di applicazione del Diritto necessitano di essere trattate separatamente38.
Passando dall’accademia ai circoli della difesa, un tentativo più articolato di definizione è
quello proposto dallo Stato Maggiore delle forze armate americane in un documento del
36
Martin C. Libicki, What is Information Warfare?, Washington, National Defense University, 2005. 37
Clarke, Knake, Cyber War, p. 6. Con la parola interdizione si intende tradurre il termine inglese disruption. 38
Hathaway et al., The Law of Cyber Attack, p. 824.
LOCATELLI RICERCA FINALE AI-SA-22 22 Dott. Andrea LOCATELLI
201139. Una caratteristica fondamentale di questo approccio è che, analogamente a
quanto fanno Libicki e Clarke, si concentra sugli obiettivi (che rimangono le infrastrutture
cibernetiche di uno Stato), ma diversamente dai due studiosi ne amplia la gamma delle
conseguenze possibili40. Risulta quindi centrale in questa definizione tanto l’implicito
riferimento all’infrastruttura militare, quanto il proposito dell’aggressore di rendere
inutilizzabili le capacità della vittima.
Da ultimo, una definizione ben diversa di attacco cyber è quella proposta dalla Shangai
Cooperation Organization, che in un documento ufficiale definisce information war “un
lavaggio del cervello psicologico di massa per destabilizzare la società e lo Stato, così
come per costringere lo Stato a prendere decisioni nell’interesse di una fazione avversa”41.
Inoltre, l’istituzione identifica nella disseminazione di informazioni dannose “per i sistemi
socio-politici, socio-economici, così come le sfere spirituali, morali e culturali, di altri
Stati”42 come una delle principali minacce. Come è evidente da quest’ultimo passaggio,
tale definizione ha una prospettiva ben diversa da quelle sopra discusse.
Dalla lettera di questo documento si può inferire una scarsa attenzione per la sicurezza
nazionale intesa nei termini classici delle proprie infrastrutture propria della visione
americana. Piuttosto, il documento sembra abbracciare una visione improntata alla
sicurezza societaria, secondo la quale non si può scindere la sicurezza dello Stato da
quella della società. E, analogamente, le minacce principali per lo Stato sono quelle che
minano la coesione sociale. La natura non democratica e illiberale dei regimi che
compongono l’organizzazione ha portato alcuni a temere per il suo possibile utilizzo quale
giustificazione per la censura della libertà di parola su Internet.
Alla luce delle considerazioni sopra esposte, emerge la necessità di formulare una
definizione che permetta di distinguere chiaramente quali operazioni cibernetiche
costituiscano un attacco dal punto di vista strategico e quali no. Per quanto tale impresa
sia destinata ad essere parziale e bisognosa di un continuo aggiornamento a seconda
39
Nella formulazione esatta, la definizione di attacco cyber recita come segue: “un attacco ostile perpetrato utilizzando computer o sistemi o network collegati e finalizzato a interdire e/o distruggere le risorse o le funzioni critiche dei sistemi cibernetici di un avversario. Gli effetti attesi di un attacco non sono necessariamente limitati ai computer scelti come bersaglio, o ai dati stessi – ad esempio, gli attacchi volti a inibire o distruggere l’infrastruttura di comando e controllo”. James E. Cartwright, Memorandum for Chiefs of the Military Services, Commanders of the Combatant Commands, Directors of the Jount Staff Directories on Joint Terminology for Cyberspace Operations, Washington (DC), 2011, http://www.nsci-va.org/CyberReferenceLib/2010-11-joint%20Terminology%20for%20Cyberspace%20Operations.pdf. 40
Hathaway (et al)., The Law of Cyber Attack, p. 824. 41
Shanghai Cooperation Agreement, Annex I, par. 209. 42
Ibidem.
LOCATELLI RICERCA FINALE AI-SA-22 23 Dott. Andrea LOCATELLI
dell’evoluzione tecnologica, seguendo ancora lo spunto di Hathaway ed altri, si ritiene
comunque possibile formulare una definizione in questi termini:
un attacco cyber consiste in un’azione intrapresa per minare le funzioni di un network
informatico per finalità politiche o di sicurezza nazionale.43
Analizzando un poco più in dettaglio i termini della questione, è opportuno fare alcune
considerazioni sui concetti elaborati:
Azione: quali sono le modalità di offesa che costituiscono un cyber attacco? In primo
luogo, per quanto banale possa apparire, dalla formulazione proposta consegue che il tipo
di azione debba essere volontaria e attiva: questo significa che vengono escluse le azioni
commesse per errore e quei possibili danni causati dalle difese passive. Ne consegue che
rientrano quindi nella categoria dell’attacco sia le azioni offensive già discusse nel
paragrafo precedente, sia le difese attive44. In secondo luogo, quello che conta è il risultato
dell’azione, quindi non tanto in mero strumento utilizzato (che l’azione passi attraverso una
chiavetta USB, una mail o quant’altro non importa); il criterio discriminante è che tale
azione sia rivolta verso un obiettivo, ovvero il bersaglio diretto diverso dal fine ultimo
dell’azione. E, appunto, l’obiettivo dell’azione deve essere uno degli elementi del cyber
spazio, sia questo la dimensione software, hardware o umana.
Questo approccio ha il vantaggio di essere semplice e intuitivo. Pensiamoci: se definiamo
l’attacco di un drone che bombarda un bersaglio in un paese lontano, nonostante
l’infrastruttura informatica su cui si basa, questo attacco non può essere definito cyber, ma
semplicemente un attacco convenzionale basato su tecnologie sofisticate, poiché il
bersaglio è appunto di natura convenzionale. Per converso, secondo questa logica, colpire
con mezzi convenzionali un cavo sottomarino per le telecomunicazioni dovrebbe essere
definito un attacco cyber. Questo punto risulta non poco controverso: sebbene alcuni
autori abbiano condiviso l’idea che anche le armi cinetiche possano costituire uno
43
Hathaway (et al)., The Law of Cyber Attack, p. 826. 44
Le difese attive sono software per la sicurezza dei sistemi che agiscono in anticipo rispetto alle possibili minacce. Hanno la funzione di effettuare scansioni e ricercare eventuali malware anche prima che questi infettino il sistema difeso. Per questo motivo considerati una sorta di attacco anticipatorio e solitamente percepite come una forma di offesa anziché di difesa.
LOCATELLI RICERCA FINALE AI-SA-22 24 Dott. Andrea LOCATELLI
strumento per il cyber warfare45, questo tipo di attacco risulterebbe meno intuitivo in
quanto cyber warfare. Un secondo vantaggio dell’approccio basato sull’obiettivo è che
risulterebbe coerente con la divisione delle funzioni all’interno delle forze armate: così
come Esercito, Marina ed Aeronautica hanno l’obiettivo di controllare i rispettivi ambiti, e
per far questo possono utilizzare gli stessi strumenti, analogamente, qualsiasi divisione
cibernetica sarebbe organizzata in base a questo principio (ovvero garantire la capacità di
operare nel cyberspazio con qualsiasi mezzo disponibile). Da ultimo, il problema sopra
discusso del possibile conflitto tra controllo del cyber spazio e libertà di parola sarebbe in
questo modo evitato: lo scopo delle forze cibernetiche non sarebbe più quello di
regolamentare qualsiasi attività avvenga su Internet, ma soltanto quelle che hanno una
finalità offensiva verso determinati bersagli46.
Effetto dell’attacco: come anticipato, gli attacchi cyber, diversamente da quanto avviene
con gli attacchi cinetici, non è rivolto alla distruzione di un bersaglio, ma a comprometterne
la capacità di svolgere una funzione. Ovviamente, anche attacchi cinetici possono avere
questo obiettivo, ma la differenza è che, per fare questo, gli attacchi cinetici devono
necessariamente compromettere l’integrità fisica del bersaglio. Non è questo il caso
dell’attacco cyber. In questo senso è possibile distinguere tra due strategie diverse: la
prima è quella già citata degli attacchi semantici, che lasciano intatto il sistema che
colpiscono, ma compromettono la precisione o la velocità con cui le informazioni vengono
processate. Il secondo tipo di strategia è definito attacco sintattico, che provoca danni al
sistema operativo di una macchina causandone il malfunzionamento. Una terza strategia
ancora è quella che prevede il danno fisico a livello di hardware. L’alterazione del sistema
informatico e il funzionamento alterato che questo comporta escludono dalla definizione di
attacco le azioni di cyber spionaggio, poiché queste si limitano all’acquisizione di dati
senza alcuna alterazione dei sistemi su cui sono memorizzati47.
La finalità politica: nella misura in cui l’agente responsabile dell’attacco è un attore
pubblico (sia esso uno Stato o un’Organizzazione Internazionale), la finalità dell’azione è
necessariamente politica, per cui la questione non è problematica. Ben più complesso è il
caso in cui il responsabile dell’attacco sia un attore privato. In tale circostanza la finalità
politica è un elemento discriminante che permette così di distinguere tra attacco e
45
Vida M. Antolin-Jenkins, defining the Parameters of Cyberwar Operations: Looking for Law in All the Wronge Places? “Naval Law Review”, Vol. 51, 2005, p. 138. 46
Hathaway (et al)., The Law of Cyber Attack, pp. 826-828. 47
Ibi., p. 829-830.
LOCATELLI RICERCA FINALE AI-SA-22 25 Dott. Andrea LOCATELLI
semplice azione criminale. Evidentemente, anche questo criterio è complesso e abbisogna
di ulteriore articolazione. Come riuscire a giudicare la finalità dell’attacco? In alcune
circostanze possono sovrapporsi finalità multiple, quali un guadagno personale, un fine
eversivo o, ancora, la finalità terroristica. Ancora, sempre le azioni cibernetiche hanno una
finalità espressa48.
Il vantaggio di questo approccio è che, in primo luogo, non richiede nella definizione il
riferimento esplicito agli Stati, ma include indifferentemente anche gli attori non statali. In
secondo luogo, poiché i bersagli di un attacco possono essere non governativi, l’accento
sulla finalità permette di distinguere tra quelle azioni che rientrano nella fattispecie
dell’illecito privato rispetto a quelle che, invece, hanno una valenza pubblica (e possono
pertanto configurarsi come aggressione). Questo è sicuramente utile nel caso di gravi
attacchi contro attori rilevanti della società, o infrastrutture private su cui gli attori sociali si
appoggiano. Il problema che emerge in questo caso è che tale definizione potrebbe
essere applicata per finalità repressive e di censura, giacché un’azione di protesta è
necessariamente un’azione politica, anche se non necessariamente concernente la
sicurezza nazionale49.
Questa definizione ci permette infine di circoscrivere l’ambito dei referenti empirici che
rientrano nella fenomenologia che vogliamo studiare. In particolare, permette di escludere
già ora come cyber attacchi tre fenomeni diversi, ma i cui confini sfumano nel cyber
warfare: cyber crime, cyber terrorismo e cyber protesta. Il primo, configurandosi come un
atto illecito di gruppi privati motivati da fini di lucro, costituisce infatti un tipo di
comportamento privato, e che rientra più propriamente nell’ambito del Diritto Penale.
Analogamente, il cyber terrorismo è perpetrato da attori privati (anche se non
necessariamente per fini di interesse personale), per cui nemmeno questo può essere
compreso tra le possibili azioni di guerra. Da ultimo, la cyber protesta viene solitamente
realizzata da attivisti ed organizzazioni dalla struttura fluida (un esempio è Anonymous) ed
ha per lo più finalità di propaganda. Per questo motivo, a meno che non sia accompagnata
da azioni violente (perdendo così la qualifica distintiva del cyber), può essere considerata
al massimo parte del soft cyber warfare (di cui parleremo a seguire)50.
48
Ibi., p. 830. 49
Ibi., p. 829-830. 50
Per una discussione dei tre fenomeni si rimanda a: David S. Wall, Cybercrime.The Transformation of Crime in the Information Age, Cambridge, Polity Press, 2007; Giampiero Giacomello, Close to the Edge. Cyberterrorism Today, in Raul Caruso, Andrea Locatelli (a cura di), Understanding Terrorism. A Socio-
LOCATELLI RICERCA FINALE AI-SA-22 26 Dott. Andrea LOCATELLI
Ciò detto, il passo successivo è classificare le azioni che si qualificano come attacco cyber
in base a uno o più criteri. Per i nostri fini, come vedremo meglio nel prossimo capitolo, il
criterio più rilevante è l’intensità dell’azione offensiva: in altri termini, pur senza danni fisici
o spargimenti di sangue, è possibile catalogare l’attività nel cyberspazio in funzione della
maggiore o minore gravità dell’intrusione che causano? Seguendo lo spunto di Even e
Siman-Tov51 possiamo distinguere gli attacchi nel cyberspazio in tre grandi aree:
1. Azioni di spionaggio. Lo spionaggio consiste nel riuscire a penetrare i sistemi informatici
di un avversario per acquisire informazioni in modo illegale. È evidente che questa attività
non è necessariamente finalizzata a danneggiare o rendere inaccessibili all’avversario
queste informazioni, né si presta ad avere un effetto diretto sul nemico. A sua volta, il
cyber spionaggio si divide in due tipi di attività: a) la raccolta di informazioni (di natura
militare, politica, tecnologica) circa le capacità e le intenzioni di uno Stato al fine di
formulare una strategia contro questo Stato; b) la raccolta di dati di intelligence tecnologica
ed economica, che include il furto di segreti tecnologici o legati alle imprese; b) il furto di
risorse informatiche del nemico: azioni di questo tipo comprendono il furto di programmi o
database per utilizzarli in modo illecito52.
Poiché si tratta di una duplicazione di dati che non implica la sottrazione di alcuna risorsa
dall’avversario, queste attività non possono essere considerate una forma di cyber war.
L’esempio forse più conosciuto risale al 2008, quando alcuni progetti top secret del
Pentagono, tra cui i progetti di alcuni componenti elettroniche del futuro F-35, furono rubati
in seguito a un’intrusione che si ritiene sia stata realizzata dalla Cina53. In conclusione, dei
tre tipi di azione che uno Stato può realizzare nel cyberspazio, il cyber spionaggio non può
essere considerato un atto di guerra, dato che non causa alcun danno o
malfunzionamento54.
2. Soft cyber warfare. Il termine sta a indicare attività finalizzate a compromettere il
funzionamento del nemico (tra cui il warfare psicologico e la propaganda) senza causarne
Economic Perspective, Bingley, Emerald, 2014, pp. 217-236; Robin Gandhi (et al.), Dimensions of Cyber Attacks, “IEEE Technology and Society Magazine”, Spring 2011, pp. 28-38. 51
Even, Siman-Tov, Cyber Warfare, pp. 20ss. 52
Ibi., p. 21. 53
William J. Lynn, Defending a New Domain, “Foreign Affairs”, Vol, 89, No. 5, 2010, p. 97. 54
Advance Questions for Lieutenant General Keith Alexander, USA Nominee for Commander, United States Cyber Command, U.S. Senate, Committee on Armed Services, Washington (DC), 15 aprile 2010. Questa posizione è confermata anche dal Diritto Internazionale, che non pone alcun divieto allo spionaggio convenzionale. Michael Schmitt, The Law of Cyberwarfare: Quo Vadis?, “Stanford Law & Policy Review”, Vol, 25, No. 2, 2014, p. 275.
LOCATELLI RICERCA FINALE AI-SA-22 27 Dott. Andrea LOCATELLI
la distruzione. Il suo fine è di modificare le opinioni e la condotta dell’avversario – e dei
suoi alleati – secondo gli interessi e gli obiettivi di chi perpetra queste azioni. In questo
caso, ancora, non si può parlare di utilizzo della forza. Si tratta insomma del lato oscuro
della diplomazia pubblica. La principale differenza tra questo tipo di soft cyber warfare e il
cyber warfare propriamente inteso consiste nella componente umana del cyber space che
è bersaglio dell’attacco: se infatti il primo tipo utilizza informazioni che vengono
organizzate e presentate in modo da risultare comprensibili per l’utente medio,
diversamente gli attacchi vengono perpetrati a livello logico o fisico in un linguaggio
compreso solo da ingegneri e sviluppatori di software55.
Esempi di questo tipo di azioni appartengono tanto all’ambito prettamente militare (come
testimoniato dalla campagna americana contro al Qaeda in Iraq e Afghanistan tramite i
social media), quanto a quello civile (si pensi ad esempio alla capacità dell’ISIS di
utilizzare gli stessi media, tra cui Facebook, Twitter, ecc., o ancora al ruolo di questi media
nelle sollevazioni popolari che generarono le Primavere Arabe)56. Rientrano nel soft cyber
warfare anche le sanzioni nel cyber spazio. Queste sanzioni possono comportare un
attacco volto a inibire le comunicazioni del paese target con il resto del mondo. Altre forme
di ostracismo nel cyber spazio si risolvono comunque tutte in un’azione che limiti il traffico
Internet nel paese target57.
3. Cyber war. Rientrano in questa categoria gli atti di guerra nel cyber spazio che sono
finalizzati a causare un danno con l’obiettivo di inficiarne la capacità di funzionamento
nemico e portarlo ad agire seguendo uno script che è dettato da chi attacca58. Diventano
così bersagli privilegiati in ambito militare i sistemi di difesa aerea, i sistemi d’arma e le
strutture di comando e controllo; in ambito civile, le infrastrutture fondamentali per la
capacità della società di funzionare correttamente, come il sistema di trasporti, quello
bancario e le centrali elettriche59. Possiamo quindi distinguere tra due tipi di attacco: uno
che viene dal cyber spazio, volto a distruggere o rendere inutilizzabili le capacità
cibernetiche dell’avversario (è questo il caso dell’Estonia); l’altro tipo consiste nell’utilizzo
55
Ibi., p. 22. 56
Monica Maggioni, Paolo Magri, Twitter e Jihad: la comunicazione dell’ISIS, Milano, ISPI, 2015. 57
Vedi Infra., par. 3.3. 58
Interpretando il pensiero di Thomas Rid sul sabotaggio, si può far rientrare anche questa prassi all’interno del cyber warfare. Thomas Rid, Cyber War Will Not Take Place, “Journal of Strategic Studies”, Vol. 35, No. 1, 2012, pp. 16-20. 59
Even, Siman-Tov, Cyber Warfare, pp. 24-25.
LOCATELLI RICERCA FINALE AI-SA-22 28 Dott. Andrea LOCATELLI
del cyber spazio per colpire le infrastrutture fisiche che ad esso sono collegate (è questo il
caso di STUXNET).
Un attacco cyber può conseguire una logica nei seguenti ambiti: 1) per esercitare
pressione su un nemico affinché cambi le proprie politiche senza che tra questi Stati
sussista uno status di guerra (l’esempio in questo caso è l’Estonia); 2) per sventare
minacce o rischi potenziali (come avvenne nel caso di STUXNET, con il virus che ritardò
l’acquisizione dell’arma nucleare da parte dell’Iran); 3) come risposta o rappresaglia, nei
confronti di Stati o attori non statali responsabili di aver attaccato per primi (è forse questo
il caso dell’attacco americano alla Corea del Nord)60.
1.4 – Conclusioni
In questo primo capitolo si è cercato di fornire al lettore gli strumenti per orientarsi nella
complessità tecnica e strategica del cyber spazio. Un prospetto sintetico che riassume
gran parte dei concetti trattati finora è disponibile nella tabella 1. Nelle quattro colonne
sono indicati gli elementi principali di una possibile azione nel cyber spazio: strumenti,
agenti, tattica e strategia.
Gli strumenti disponibili sono quelli elencati nel paragrafo 1.2, e possono essere utilizzati
indifferentemente da tutti gli attori per tutti i fini tattici o strategici. Ad esempio, il phishing
viene solitamente utilizzato dagli hacker per ottenere i dati personali di un utente (che
rientra nella tattica dell’exploitation), dati che a loro volta possono essere usati per scopi
criminali come il furto, o per lo spionaggio. Analogamente, un malware può essere creato
da un hacker privato o da agenti dello Stato, può avere obiettivi tattici piuttosto limitati (ad
esempio estorcere denaro, come nel caso dei ransomware), oppure obiettivi militarmente
rilevanti (rendere inefficace un’infrastruttura militare). Gli agenti, come detto, possono
essere pubblici o privati: rientrano nel primo caso i servizi segreti, mentre alla seconda
categoria appartengono gli hackers, gli hacktivisti (ovvero gli hacker guidati da scopi di
protesta politica o ideologica) e i terroristi.
Quanto detto permette di comprendere cosa intendiamo per tattica (la terza colonna nella
figura che segue): il termine non viene utilizzato in questa sede nel senso convenzionale
60
Vedi Infra, parr. 3.1, 3.2, 3.3.
LOCATELLI RICERCA FINALE AI-SA-22 29 Dott. Andrea LOCATELLI
del termine, ma per indicare l’obiettivo immediato dell’azione, ovvero qual è il risultato
dell’offesa sul bersaglio. Qui possiamo rinvenire quattro categorie diverse: exploitation,
che delle quattro rappresenta la forma meno invasiva, giacché si limita a copiare dati
violando una rete a cui non si ha legittimamente accesso; disruption, che coincide grosso
modo con l’attacco semantico discusso precedentemente e si limita quindi a limitare
l’utilizzo della macchina colpita da parte dell’utente; danno fisico, che comprende non solo
il danneggiamento dell’hardware, ma anche la distruzione di dati; da ultimo, il furto o la
frode. La quarta colonna, infine, permette di individuare cinque possibili strategie: le prime
tre sono quelle discusse in precedenza, del cyber spionaggio, soft cyber war (sia sotto
forma di cyber sanzioni, sia sotto forma di cyber sabotaggio) e cyber war. Le ultime due –
cyber terrorismo e cyber crime – sono invece al di là del nostro ambito di ricerca.
Tabella 1. Sunto delle varietà di agenti, strumenti, tattiche e strategie possibili nel
cyber spazio.
Pur nella consapevolezza di aver fornito solo un quadro parziale e poco approfondito, si
ritiene opportuno ora volgere l’attenzione verso le problematiche più prettamente
giuridiche. Nelle pagine che seguono, la trattazione sarà dunque concentrata
STRUMENTI AGENTI TATTICA STRATEGIA
Spoofing
Botnets
DOS/D-DOS
Malware/virus
Hackers
Hacktivisti
Servizi segreti
Cyberspionaggio
Soft cyber war
Cyber war
Exploitation
Disruption
Danno fisico
Terroristi Cyberterrorismo
Organizz. criminali Cyber crime Furto/frode
Defacciamento
Spamming
Phishing/Spear phishing
LOCATELLI RICERCA FINALE AI-SA-22 30 Dott. Andrea LOCATELLI
esclusivamente alle azioni compiute da agenzie statali (verosimilmente i servizi segreti)
volte alla disruption e al danno fisico, di gravità tale da costituire un caso di cyber war.
LOCATELLI RICERCA FINALE AI-SA-22 31 Dott. Andrea LOCATELLI
Dopo aver discusso delle caratteristiche del cyber spazio e, più in dettaglio, le azioni
offensive che si possono realizzare in questo ambiente, è opportuno cercare di dare ora
una risposta al quesito che informa la ricerca: in base alle norme vigenti del Diritto
Internazionale, quali risposte possono essere considerate lecite in risposta ad un attacco
cyber? O, più precisamente, quali risposte sono compatibili con le varie possibili modalità
d’attacco cyber? Nel tentativo di affrontare con ordine la questione, si procederà a
sviluppare l’argomentazione in tre passaggi diversi: in primo luogo, verranno presentate in
maniera succinta le disposizioni del Diritto Internazionale Pubblico in merito al principio di
legittima difesa; In secondo luogo, verranno discussi i problemi che rendono difficile
l’applicazione tout court delle norme di Diritto Internazionale all’ambito cyber; infine, nel
terzo paragrafo, si tireranno le conclusioni dei problemi sollevati finora, nel tentativo di
fornire una risposta ai quesiti in oggetto.
2.1 – Il principio di legittima difesa nel Diritto Internazionale Pubblico
Il diritto di qualsiasi Stato a difendersi è sancito dall’articolo 51 della Carta delle Nazioni
Unite, che recita testualmente:
Nessuna disposizione del presente Statuto pregiudica il diritto naturale di autotutela
individuale o collettiva, nel caso che abbia luogo un attacco armato contro un Membro
delle Nazioni Unite, fintantoché il Consiglio di Sicurezza non abbia preso le misure
necessarie per mantenere la pace e la sicurezza internazionale. Le misure prese da
Membri nell’esercizio di questo diritto di autotutela sono immediatamente portate a
conoscenza del Consiglio di Sicurezza e non pregiudicano in alcun modo il potere e il
Gli strumenti normativi per regolare
l’esercizio della violenza nel cyber spazio 2
LOCATELLI RICERCA FINALE AI-SA-22 32 Dott. Andrea LOCATELLI
compito spettanti, secondo il presente Statuto, al Consiglio di Sicurezza, di
intraprendere in qualsiasi momento quell’azione che esso ritenga necessaria per
mantenere o ristabilire la pace e la sicurezza internazionale61
Già prima delle Nazioni Unite, questo principio era parte del Diritto Internazionale
Consuetudinario. Quello che la Carta dell’ONU cercò di formalizzare fu la portata, ovvero i
limiti, di tale diritto. Così facendo, però, solleva alcuni quesiti che hanno animato il dibattito
dottrinario fino ad oggi. Ad esempio, la formulazione presente nell’art. 51 sta a indicare
che il diritto all’autodifesa si può invocare solo dopo che uno Stato ha subito un attacco
armato, e prima che il Consiglio di Sicurezza intervenga? La risposta a questo duplice
interrogativo può entrare in contraddizione con la prassi consuetudinaria accettata fino alla
fine della Seconda Guerra Mondiale dell’autodifesa anticipata e pone un freno alla
capacità di uno Stato di agire indipendentemente dal Consiglio di Sicurezza nell’esercizio
della propria autodifesa?
La dottrina ha così visto opporsi due posizioni antitetiche. Da una parte stanno i sostenitori
di un approccio restrittivo all’interpretazione della Carta ONU, secondo i quali l’autodifesa
anticipata è incompatibile con il dettato della Carta e, analogamente, l’autorità del
Consiglio di Sicurezza è superiore a quella degli Stati62. Nell’altro campo, alcuni autori e
alcuni Stati (tra cui gli Stati Uniti) sostengono la necessità di un’interpretazione più ampia,
argomentando che il diritto consuetudinario all’autodifesa costituiva un diritto primario di
qualsiasi Stato sovrano, per cui al di fuori delle competenze dell’ONU63. Osservando
inoltre come l’esperienza storica mostrasse l’incapacità del Consiglio di Sicurezza di agire
efficacemente per rimediare ad atti di aggressione, i sostenitori di questa posizione
ritenevano più utile conformarsi ai criteri per la reazione legittima formulati dalla prassi.
Il diritto all’autodifesa anticipata costituisce nel Diritto Internazionale un primo punto
controverso: esso assume che l’utilizzo della forza possa essere legittimo anche prima che
uno Stato subisca un attacco armato. La giustificazione di questa argomentazione è che,
di fronte ad alcuni tipi di attacchi (per la gravità dei danni che potrebbero infliggere, o per
61
United Nations Charter, San Francisco, 26 giugno 1946. 62
Ian Brownlie, International Law and the Use of Force by States, Oxford, Oxford University Press, 1963, pp. 275-278. Yoram Dinstein, War, Aggression and Self-Defence, Cambridge, Cambridge University Press, 5a ediz., 2011, pp. 203-204. 63
Albrecht Randelzhofer, Georg Nolte, Article 51, in Bruno Simma et al. (a cura di), The Charter of the United Nations: A Commentary, 3a ediz., Vol. 2, 2012, pp. 1403-1404.
LOCATELLI RICERCA FINALE AI-SA-22 33 Dott. Andrea LOCATELLI
la loro natura asimmetrica), lo Stato colpito non sarebbe in grado di reagire. Questo
principio trova la prima formulazione nel caso Caroline del 183764. Poiché manca uno
standard preciso di applicazione di questo diritto, ma dipende dalle circostanze specifiche,
la questione non ha ancora trovato una sistemazione dottrinaria65. Non è questa la sede
per riprendere le complessità di un dibattito giuridico e politologico alquanto articolato, ma
basti notare che, in seguito agli attacchi dell’11 settembre, l’argomentazione formulata
dall’amministrazione americana era che la natura elusiva delle minacce e soprattutto degli
avversari americani (ormai non più limitati agli Stati, ma che comprendeva anche gli attori
non statali, come al Qaeda) rendeva proibitiva qualsiasi forma di rappresaglia o difesa da
un attacco. In altri termini, lasciare ai terroristi la possibilità di attaccare per primi avrebbe
messo a repentaglio la sopravvivenza stessa degli Stati Uniti, così giustificando il diritto
all’autodifesa anticipata 66. A questo dibattito ha forse fornito la risposta definitiva Michael
Schmitt67, il quale ha proposto che l’utilizzo anticipato della forza possa essere giudicato
legittimo a condizione che: 1) ci siano prove concrete che mostrino la volontà e la capacità
di un aggressore di perpetrare l’attacco; 2) ritardare la risposta vanificherebbe la capacità
del difensore di montare una valida difesa.
Dove la Carta ONU segue senza alcun problema il diritto consuetudinario è nel definire i
requisiti necessari per giustificare il ricorso alla forza: questi sono il principio di necessità e
proporzionalità e immediatezza68. Con il primo termine si indica la condizione per cui la
forza debba essere utilizzata soltanto come ultima istanza. Questo comporta che gli Stati
debbano aver prima tentato tutte le vie pacifiche di risoluzione della controversia, e che
queste si siano mostrate inefficaci; lo Stato che intende appellarvisi deve inoltre dimostrare
la natura coercitiva e violenta dell’aggressione, gli obiettivi delle parti in causa e la
probabilità che l’intervento della Comunità Internazionale possa avere successo.
Il principio di proporzionalità sta a indicare che la reazione dello Stato attaccato deve
essere contenuta in termini di ampiezza, durata e obiettivi, poiché deve essere
64
Helen Duffy, The 'War on Terror' and the Framework of International Law. Cambridge, Cambridge University Press. 2005, p. 157. 65
In particolare, il dibattito sul tema si è riacceso nel 2002, con la pubblicazione della National Security Strategy americana, che stabiliva la dottrina dell’azione pre-emptive contro quegli Stati-canaglia e quei terroristi che ponevano una minaccia vitale agli Stati Uniti. 66
Il problema suscitato da questo documento fu reso ancora più complesso dall’utilizzo confuso e superficiale dei termini prevention e pre-emption. Per una discussione al riguardo, si veda Ivo H. Daalder, James M. Lindsay, America Unbound, Washington (DC), Brookings Institution Press, 2003 (trad. it. America senza freni, Milano, Vita e Pensiero, 2005). 67
Michael Schmitt, Preemptive Strategies in International Law, “Michigan Journal of International Law”, Vol.
24, 2003, pp. 513-548. 68
Dinstein, War, Aggression and Self-Defence, p. 205.
LOCATELLI RICERCA FINALE AI-SA-22 34 Dott. Andrea LOCATELLI
proporzionale all’attacco subito. Questo non significa che la reazione in legittima difesa
debba essere identica all’attacco subito, ma sta ad indicare che il danno che ne consegue
non debba essere superiore a quello subito dall’attacco. Con immediatezza si intende
infine esprimere il senso d’urgenza scaturisce dall’essere soggetti all’aggressione: la
risposta deve quindi essere tempestiva, poiché una reazione ritardata non potrebbe
essere giustificata come necessaria o efficace per rimediare al danno subito.
Per stabilire la liceità di un’azione di legittima difesa, tuttavia, il punto critico – come
traspare dalla formulazione dell’art.51 della Carta ONU – consiste nello stabilire se
l’aggressione costituisca un “attacco armato” 69. L’evoluzione successiva della
giurisprudenza, in assenza di una definizione chiara di quali azioni rientrino in questa
fattispecie, ha cercato di colmare questa lacuna. Un passo fondamentale in questa
direzione è costituito dall’adozione della Risoluzione 3314 dell’Assemblea Generale
dell’ONU del 14 dicembre 197470, in cui si stabiliva la distinzione tra aggressione tout court
(non tale da costituire un crimine contro la pace internazionale) e guerra d’aggressione.
Ma, ancora, nessuna indicazione in merito a quali caratteristiche avrebbe dovuto avere la
guerra d’aggressione. Una seconda fonte normativa rilevante si è avuta con la sentenza
della Corte di Giustizia del 1986 relativa al caso Nicaragua v. Stati Uniti71, che – seppur
rivoluzionaria per quanto concerne la definizione delle responsabilità di attori statali
rispetto all’azione di attori non statali – si è limitata ad allargare la fattispecie per includere
“l’invio […] di bande armate, gruppi irregolari o mercenari”. Il punto tuttora aperto è che il
Diritto Internazionale è ancora silente (o aperto a interpretazioni diverse) sulla dimensione
quantitativa del fenomeno – ovvero, quanta violenza deve essere esercitata per
configurare l’attacco armato. Questo punto, come vedremo più avanti, è particolarmente
critico nel momento in cui si voglia adattare il Diritto Internazionale all’ambito cyber.
Una volta stabilito il diritto all’autodifesa, questo può essere realizzato in due modi:
l’autodifesa individuale e l’autodifesa collettiva. Nel primo caso, la carta ONU e il diritto
consuetudinario individuano tre circostanze in cui la reazione di autodifesa può essere
giustificata:
69
Nel caso in cui l’offesa non configuri un attacco armato, ma un meno grave “utilizzo della forza”, lo Stato colpito è legittimato a rispondere, ma solo con misure non violente (in pratica, sanzioni). 70
Assemblea Generale dell’ONU, Risoluzione 3314, 14 dicembre 1974. 71
Caso delle attività militari e paramilitari in e contro il Nicaragua, sentenza di merito del 27 giugno 1986, par. 195. http://www.icj-cij.org/docket/files/70/6503.pdf.
LOCATELLI RICERCA FINALE AI-SA-22 35 Dott. Andrea LOCATELLI
1. La difesa dell’integrità territoriale. Come anticipato, tanto il diritto consuetudinario
quanto l’art. 51 sanciscono il diritto all’integrità territoriale come corollario del principio di
sovranità. Questo garantisce ad ogni Stato il diritto di proteggere i confini nazionali, lo
spazio aereo e le acque territoriali.
2. La difesa dell’indipendenza politica. Poiché l’indipendenza politica è un attributo della
sovranità al pari dell’integrità territoriale, rimane come obbligo per tutti gli Stati rispettare
questo diritto. Questo si realizza in una serie di comportamenti politici, che vanno dalla
scelta del tipo di regime, della forma di governo, degli allineamenti e delle alleanze, il
diritto di stringere rapporti diplomatici con la Comunità Internazionale e, infine, la libertà di
intessere legami commerciali ed economici a livello internazionale72.
3. La protezione dei propri connazionali all’estero. Questo principio consuetudinario si
risolve nel diritto di qualsiasi Stato di proteggere la vita dei propri cittadini all’estero,
qualora questa sia messa in pericolo. Questo dà l’autorità agli Stati di condurre operazioni
di evacuazione, sulla cui base sono state giustificate operazioni anche controverse come
quelle a Panama e Granada. Dato lo scopo circoscritto di questo tipo di operazione, è
evidente che il diritto alla protezione dei propri connazionali non possa essere considerata
una base sufficiente per operazioni prolungate nel tempo.
La seconda modalità di realizzazione del principio di autodifesa è la difesa collettiva. In
sostanza, questa si risolve nella facoltà degli Stati oggetto di aggressione di richiedere e
ricevere assistenza da altri Stati nella propria reazione contro l’attacco armato. In questo
caso, affinché l’azione collettiva sia ritenuta legittima, si devono rispettare tutti i criteri
sopra discussi e, in aggiunta, è necessaria una richiesta esplicita da parte dello Stato
aggredito. Ciò significa che l’intervento unilaterale di intervento di uno Stato terzo in
assenza di un consenso esplicito non è riconosciuto come legittimo.
Infine, il Diritto Internazionale deve prevedere la possibilità che gli Stati possano invocare il
diritto all’autodifesa contro attori non statali. Anche su questo punto la dottrina non è
unanime. In primo luogo, la risposta a questo quesito dipende dalla responsabilità dello
Stato che ospita gli attori non statali responsabili dell’aggressione: la maggior parte degli
studiosi ritiene fondamentale che lo Stato che ospita questi attori sia giudicato incapace o
72
Evidentemente, la definizione di cosa consista l’indipendenza può essere ampliata fino ad includere una varietà di funzioni statali: come nel caso delle relazioni economiche, questo comporta il rischio che sorgano diversi motivi di controversia – ad esempio, nella misura in cui le relazioni economiche tra due Stati diventino fonte di tensione e crisi.
LOCATELLI RICERCA FINALE AI-SA-22 36 Dott. Andrea LOCATELLI
non disposto a frenarne l’azione. Questo però comporta per lo Stato vittima
dell’aggressione la necessità di fornire un’evidenza schiacciante per dimostrare questa
mancanza da parte dello Stato ospite per poter legittimare il proprio attacco73.
2.2 – Problemi di applicabilità all’ambito cyber
Dato che indagare sulle possibili azioni in legittima difesa contro un attacco cyber significa
addentrarsi più in generale all’interno del problema dell’applicabilità del Diritto
Internazionale al cyber spazio, prima ancora di rispondere al quesito che informa la ricerca
occorre esplorare le problematiche sollevate da questa complessa relazione. In estrema
sintesi, seguendo l’approccio di David Fidler74, possono essere identificati quattro problemi
principali: applicazione attribuzione, valutazione e responsabilità. Ai nostri fini risultano
rilevanti solo i primi tre, giacché l’ultimo – ovvero come incriminare i soggetti responsabili
di azioni – rientra più propriamente nell’ambito del Diritto Penale Internazionale.
Applicazione: rispetto ad analisi più approfondite del tema, qui ci si concentrerà in modo
quasi esclusivo sullo ius ad bellum, ovvero quali siano le condizioni e le norme
internazionali che regolano la possibilità degli Stati di ricorrere alla forza. Il problema
dell’applicazione si risolve in ultima istanza nella necessità, difficile da soddisfare nel cyber
spazio, di classificare gli eventi in base a categorie giuridiche al fine di stabilire quali regole
debbano applicarsi e, non meno importante, quali azioni costituiscano un illecito. Le
complessità discusse nel capitolo precedente dovrebbero aiutare a comprendere già in
prima battuta perché possa risultare concretamente difficile capire cosa stia succedendo
realmente nel caso di un attacco cyber e quali ne siano le conseguenze. Mentre
nell’ambito dei conflitti cinetici questo problema non si pone75, nel cyber spazio l’utilizzo
delle tecnologie più avanzate rende difficile comprendere quali e quante infrastrutture
siano state colpite, quali ne saranno gli effetti e, sovente, quale ne sia la dinamica
d’attacco.
73
Questo è il caso che si è rivelato più controverso con l’operazione Enduring Freedom in Afghanistan nel 2001. Per una trattazione del tema si veda Michael Schmitt, Responding to Transnational Terrorism Under the Jus Ad Bellum: A Normative Framework, “Naval Law Review”, Vol. 56, 2008, pp. 1-42. 74
David P. Fidler, Inter arma silent leges Redux? The Law of Armed Conflict and Cyber Conflict, in Derek S. Reveron (a cura di), Cyberspace and National Security, Washington (DC), Georgetown University Press, 2012, pp. 71-87. 75
Quando un’arma esplode, solitamente le cause, gli effetti e la dinamica dell’attacco sono piuttosto visibili e raramente richiedono un’analisi forense sofisticata.
LOCATELLI RICERCA FINALE AI-SA-22 37 Dott. Andrea LOCATELLI
Il problema, insomma, è che rimane una profonda ambiguità su come caratterizzare
qualsiasi attacco. Ad esempio, l’infiltrazione da parte di hacker cinesi nel sistema
informatico del governo americano dal 2010 ad oggi è stata caratterizzata dal governo
americano come un attacco, un’aggressione, o perfino un atto di terrorismo. Stesse
categorie sono state utilizzate dal governo estone in seguito agli attacchi del 2007.
Tuttavia, in entrambi i casi queste posizioni sono difficilmente sostenibili. Nel caso degli
attacchi contro gli Stati Uniti, in sostanza la Cina si è limitata a copiare dei dati, per cui
l’azione si risolve più semplicemente in un atto di spionaggio76. Anche l’accusa più grave –
ovvero di aver dirottato una parte cospicua del traffico di Internet nel 2010 – sembra
giustificare il ricorso a categorie legate al conflitto. Analogamente, nel caso dell’Estonia, gli
attacchi subiti sono stati meglio classificati come cyber sommossa, poiché non hanno
creato alcun danno materiale e i costi finanziari sono stati tutto sommato contenuti.
Il problema dell’applicazione non si solleva nel caso in cui l’utilizzo di cyber attacchi
avvenga nel contesto di un conflitto armato in corso. Nel caso della guerra tra Russia e
Georgia del 2008, ad esempio, la dimensione cibernetica fu solo uno degli elementi che
contribuirono alla rapida vittoria della Russia. Essendo già il conflitto in corso, in questo
caso già si applicava il Diritto Internazionale – evidentemente, non quello relativo allo ius
ad bellum, quanto piuttosto quello relativo allo ius in bello77. Anche in questo caso, data la
evidente maggiore violenza degli attacchi cinetici, l’applicazione del diritto all’ambito cyber
rimase marginale.
Ne consegue che, in virtù di questa indeterminatezza, gran parte dell’attività nel cyber
spazio avviene in contesti in cui le parti in causa non riconoscono l’applicabilità del Diritto
Internazionale. In queste zone d’ambiguità, tanto gli attori statali quanto quelli non statali
hanno tutti gli incentivi a utilizzare – o almeno tollerare – qualsiasi forma di attività nel
cyber spazio che non si configuri evidentemente come aggressione.
Attribuzione. Il problema dell’attribuzione si risolve nel rispondere al semplice quesito: chi
è stato? Il problema è tutt’altro che nuovo: qualsiasi incidente (terroristico, diplomatico, o
nell’ambito interno legato al diritto civile o penale) necessita di una chiara attribuzione
della responsabilità. Questo problema, date le specificità della tecnologia cibernetica,
risulta in questo ambito particolarmente complesso. Per comprendere al meglio la
76
Si veda Supra, par. 1.3. 77
Come noto, lo ius in bello non stabilisce i criteri che rendono legittima un’azione violenta, quanto le azioni che sono concesse sul campo di battaglia.
LOCATELLI RICERCA FINALE AI-SA-22 38 Dott. Andrea LOCATELLI
complessità della situazione, può essere utile comparare le procedure per l’attribuzione
nell’ambito del diritto interno rispetto a quanto avviene nel cyber spazio. Nel diritto penale,
ad esempio, il primo passaggio necessario è la segnalazione di un crimine, a cui poi
segue (si spera in tempi brevi) l’arrivo degli investigatori sulla scena del crimine. Questa
viene poi messa in sicurezza e l’analisi forense indagherà sulla dinamica del fatto. Gli
investigatori formuleranno quindi un’accusa contro un sospetto, che verrà poi giudicato da
un tribunale. La risposta al quesito relativo all’attribuzione corrisponderà di fatto al verdetto
del giudice. Si tratta quindi di una procedura metodica, istituzionalizzata e con regole
molto precise78.
Le caratteristiche di questo scenario sono indicative della possibilità di organizzare il
lavoro attraverso una divisione delle funzioni e, altrettanto rilevante, la possibilità di
spezzare la procedura in diverse fasi. Nell’ambito del cyber spazio questo processo non
può avere luogo in modo altrettanto lineare per via di una serie di problemi. Da una parte,
la struttura stessa del cyber spazio79 fornisce un’ampia gamma di strumenti e strategie per
nascondere il proprio intervento80. Un secondo problema consiste nel trovare l’evidenza
empirica – ovvero le prove – non tanto analizzarle e comunicare i risultati a un’audience
più ampia dei soli tecnici81.
Insomma, perché si possa applicare il Diritto Internazionale – e, ai nostri fini, si possa
stabilire quale possa essere una giusta risposta ad un attacco – occorre avere la certezza
dell’identità di chi attacca. Al problema tecnologico-operativo si aggiunge poi il problema
giuridico-politico legato alla possibilità che l’azione sia perpetrata non da uno Stato ma da
gruppi non statali. Al momento non si intravedono soluzioni facilmente percorribili per
porre rimedio a questi problemi.
Alcuni, con non poco ottimismo, suggeriscono una risposta tecnologica: si tratterebbe in
sostanza di rivedere l’impianto tecnico di Internet, il che richiederebbe necessariamente
78
Thomas Rid, Ben Buchanan, Attributing Cyber Attacks, “Journal of Strategic Studies”, Vol. 38, No. 1, 2015, pp. 4-37. 79
Vedi Supra, par. 1.2. 80
Libicki, Cyberdeterrence and Cyberwar, pp. 46-47. Nicholas Tsagourias, Cyber Attacks, Self-Defence and the Problem of Attribution, “Journal of Conflict & Security Law”, Vol. 17, 2013, pp. 229-244; Marco Roscini, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, pp. 33-40. 81
Rid, Buchanan, Attributing Cyber Attacks; Sergio Caltagirone, Andrew Pendergast, Christopher Betz, The Diamond Model of Intrusion Analysis, ADA586960, Hanover (MD): Center for Cyber Threat Intelligence and Threat Research, 5 luglio 2013; Eric M. Hutchins, Michael J. Cloppert, Rohan M. Amin, Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, Bethesda (MD), Lockheed Martin Corporation, 2010.
LOCATELLI RICERCA FINALE AI-SA-22 39 Dott. Andrea LOCATELLI
una capacità di indirizzamento dell’industria informatica che al momento appare poco
realistica82. Altrettanto controversa è la posizione di Rid e Buchanan, i quali sostengono in
un recente articolo che il problema dell’attribuzione non si risolva in una scienza (esatta),
ma sia piuttosto un’arte: in altre parole, si tratterebbe di uno sforzo per minimizzare
l’incertezza nell’attribuzione, per cui non esisterebbe alcuna metodologia né formula esatta
per risolvere il problema. Non si arriverà quindi mai a un verdetto colpevole/innocente, ma
a un certo grado di attendibilità dell’ipotesi di attribuzione. Il problema di questa proposta,
per quanto sicuramente affascinante e utile da un punto di vista strategico-operativo, è che
non aiuta a risolvere il problema da un punto di vista legale. Avere una ragionevole
certezza che uno Stato abbia contribuito a realizzare un attacco difficilmente potrebbe
essere sufficiente a guadagnarsi il consenso della Comunità Internazionale. Un’azione in
legittima difesa basata su indizi circostanziali, per mantenere il paragone con il diritto
penale, non è verosimilmente accettabile.
Una seconda strada, secondo Fidler, è quella giuridica. In questo caso, analogamente
all’approccio proposto per abbassare la soglia di applicabilità, si potrebbero ampliare le
regole usate per imputare la responsabilità di uno Stato per le azioni di attori non statali83.
Questa scelta ha senso se non si pone il problema tecnologico, ma quello politico. Qui la
giurisprudenza internazionale viene d’aiuto. Con la sentenza della Corte Internazionale di
Giustizia Nicaragua contro Stati Uniti84, la Corte ha fissato un principio molto chiaro e
restrittivo: nel giudicare colpevoli gli Stati Uniti per aver supportato i gruppi armati di
oppositori contro il governo nicaraguense, il principio che è stato fatto valere è quello della
completa dipendenza di tali gruppi dallo Stato sponsor. Nell’ambito cyber, soddisfare tale
criterio è molto più difficile, e ci si dovrebbe accontentare di una soglia più bassa, per cui
sarebbe sufficiente una forma di controllo o indirizzamento generale da parte dello Stato
sponsor sull’attore privato responsabile dell’attacco85.
La terza strada proposta da Fidler, infine, implica una diversa condotta da parte degli Stati
nello svolgimento degli attacchi. In sostanza, essa richiede la disponibilità degli Stati che
compiono azioni offensive nel cyber spazio di assumersene piena responsabilità, anche
82
Mike McConnell, How to Win the Cyberwar We’re Losing, “Washington Post”, 28 febbraio 2010; Greg Rattray, Chris Evans, Jason Healey, American Security in the Cybercommons, in Abraham M. Denmark, James Mulvenon (a cura di), Contested Commons: The Future of American Power in a Multipolar World, Washington (DC), Center for a New American Security, 2010, pp. 151-172. 83
Fidler, Inter arma silent leges Redux?, p. 77. 84
Caso delle attività militari e paramilitari in e contro il Nicaragua. 85
La base legale per questa interpretazione potrebbe fondarsi sulla sentenza Tadic del Tribunale Penale Internazionale per l’ex Jugoslavia. ICTY, Prosecutor v. Dusko Tadic, Case No. IT-94-1-A, 15 luglio 1999.
LOCATELLI RICERCA FINALE AI-SA-22 40 Dott. Andrea LOCATELLI
laddove esista la possibilità di occultare la propria presenza. È questa, ad esempio, la
dichiarazione d’intenti del generale Keith Alexander, primo direttore dello US Cyber
Command in un’audizione al Senato86. Come si potrà facilmente comprendere,
un’affermazione lodevole e che lascia ben sperare, ma finora in chiaro contrasto con la
prassi statunitense. Se così fosse, in sostanza, sarebbe come se i responsabili dei reati si
costituissero appena compiuto il fatto. Questo comportamento può essere razionale e
conveniente per organizzazione terroristiche impegnate in cyber attacchi che volessero
rivendicare le proprie azioni, ma un’evoluzione in tal senso del cyber warfare appare del
tutto improbabile.
Valutazione. Il terzo problema consiste nella limitata capacità di valutare se le azioni
compiute nel cyber spazio rispettino le norme del Diritto Internazionale. La questione è
resa se possibile ancora più complessa rispetto a quelle trattate precedentemente, poiché
alle complicazioni create dall’unicità dell’ambiente cyber si unisce una serie di interrogativi
ancora aperti all’interno del diritto stesso: infatti, alcuni comportamenti non hanno ancora
trovato una sistemazione normativa accettata, rimanendo tuttora oggetto di controversia87.
Prendendo in esame il primo tipo di problematica, la varietà di strumenti offensivi nel cyber
spazio, unita alla mancanza di casi studio sufficientemente conosciuti rende la questione
puramente teorica e speculativa. Con particolare riferimento al problema della reazione in
legittima difesa, ci si dovrà interrogare in primo luogo su quali attacchi possano soddisfare
le condizioni poste dal Diritto Internazionale che sono state discusse nel paragrafo
precedente. In questo senso, la differenza principale dell’ambito cyber rispetto agli altri
ambienti del conflitto sta nel fatto che le armi cibernetiche non esercitano violenza diretta
contro le persone e, se non in rari casi88, nemmeno contro le cose. La conseguenza che
ne discende è che non rimangono che due alternative: o le armi cyber risultano al di fuori
86
Statement of General Keith B. Alexander, Commander United States Cyber Command, before the House Committee on Armed Services (23 settembre 2010). 87
Si pensi ad esempio alla fattispecie del sabotaggio. Sebbene sia indiscusso che costituisca un uso illegale della forza, è ancora dibattuto se possa essere considerato come un attacco armato. 88
L’unico caso di danno all’hardware come risultato di un attacco cyber, da quanto è dato sapere, è costituito da STUXNET, il cui obiettivo era appositamente creare un malfunzionamento nelle centrifughe iraniane per l’arricchimento dell’uranio. Sempre a livello teorico, in base alla definizione proposta nel primo capitolo, un attacco cyber potrebbe comportare il danneggiamento o la distruzione fisica di una struttura hardware come mezzo per generare un danno a livello virtuale. Tale eventualità non incapperebbe in questo problema di valutazione, poiché il mezzo utilizzato per perpetrare l’attacco sarebbe comunque di natura cinetica.
LOCATELLI RICERCA FINALE AI-SA-22 41 Dott. Andrea LOCATELLI
della giurisdizione del Diritto Internazionale, oppure le si considerano come armi non letali,
e in quanto tali legali (ovviamente, poste alcune condizioni di utilizzo)89.
Posto quindi che le armi cyber, stante le condizioni tecnologiche attuali, non possono
essere considerate illegali, il problema che si pone consiste nello stabilire se il loro utilizzo
costituisca un illecito, e di che gravità. Il punto, centrale per la nostra analisi, è insomma
stabilire se un attacco cyber costituisca un uso della forza (illecito, se non vengono
riconosciute le condizioni discusse nel paragrafo precedente) o una attacco armato.
Diversamente dagli altri ambiti del conflitto, il tipo di arma utilizzata non può costituire un
criterio discriminante, poiché, come visto, uno stesso malware può causare più o meno
danni su più o meno macchine. Non resta che concentrarsi, quindi, sulle conseguenze
dell’attacco90. Qui però entra in gioco il secondo problema rilevato, ovvero la mancanza di
norme condivise nel Diritto Internazionale. Come visto nel paragrafo precedente, la stessa
definizione di uso della forza, attacco armato e aggressione è problematica e questo crea
ampio spazio all’interpretazione da parte dei singoli Stati.
2.3 – Quale reazione legittima nel cyber spazio?
Nonostante le problematiche sopra esposte, gli sforzi di regolamentare l’attività nel cyber
spazio sono stati innumerevoli. In ambito accademico esistono validissime pubblicazioni
che possono fungere da base dottrinale per la formulazione di un futuro Diritto Pubblico
del cyber spazio91. In particolare, tra questi lavori il più importante è probabilmente il
cosiddetto Manuale di Tallin, risultato di un progetto durato più di due anni e sponsorizzato
dal Centro di Eccellenza della NATO. Sebbene frutto dell’attività intellettuale di un gruppo
di accademici, la rilevanza politica (se non giuridica) del lavoro, merita di essere discussa
in questa sede. Essendo il testo composto di 95 regole con i relativi commenti, è
impossibile riassumerne i contenuti. È tuttavia utile concentrare l’attenzione sulla sezione
del volume dedicata all’autodifesa. In particolare, facendo riferimento a questo testo,
89
Fidler, Inter arma silent leges Redux?, p. 78. 90
Michael Schmitt, Computer Network Attack and the Use of Force in International Law: Thoughts on a Normative Framework, “Columbia Journal of Transnational Law”, Vol. 37, 1999, pp. 885-937. 91
Michael Schmitt (rapporteur), Tallin Manual on the International Law Applicable to Cyber Warfare, Cambridge, Cambridge University Press, 2013; Marco Roscini, Cyber Operations and the Use of Force in International Law; Heather Harrison Dinniss, Cyber Warfare and the Laws of War, Cambridge, Cambridge University Press, 2012; Yarozlav Radziwill, Cyber-Attacks and the Exploitable Imperfections of International Law, Leiden Brill, 2015.
LOCATELLI RICERCA FINALE AI-SA-22 42 Dott. Andrea LOCATELLI
cercheremo di dare risposta a due quesiti: 1) quando è legittimo reagire a un attacco
cyber? 2) Quali modalità di reazione sono legittime?
Su entrambe le questioni, il Manuale di Tallin si allinea al diritto Pubblico Internazionale.
Per quanto concerne il primo interrogativo, il punto di partenza è chiaramente la regola
numero 13, che così recita: “uno Stato che sia bersaglio di un’operazione cyber che
configuri un attacco armato può esercitare il suo diritto naturale all’autodifesa”92. Appare
evidente che questo punto riflette la lettera dell’art. 51 della Carta ONU. Più
realisticamente rispetto a questa, tuttavia, il Manuale prosegue osservando come la
definizione di attacco armato nel cyber spazio sia soggetta all’interpretazione: in
particolare, occorre definire i termini di uso della forza ed attacco armato.
L’uso della forza, che costituisce una violazione del Diritto Internazionale ma non è
sufficiente a giustificare una risposta violenta in legittima difesa93, viene definito nel
Manuale di Tallin in base a otto criteri. Ognuno di questi può essere stimato rispondendo
ai seguenti quesiti:
(a) Gravità: Quante persone sono state uccise? Quanto ampia è l’area attaccata? Qual è
l’entità del danno all’interno di quest’area.
(b) Immediatezza: Quanto rapidamente sono stati avvertiti gli effetti dell’operazione cyber?
Quanto rapidamente sono svaniti?
(c) Causa diretta: L’azione è stata la causa immediata degli effetti? Ci sono state altre cause
che hanno contribuito a produrre quegli effetti?
(d) Invasività: L’azione ha richiesto di penetrare un network che avrebbe dovuto essere
sicuro? Il luogo dell’azione era all’interno del paese colpito?
(e) Misurabilità: Come possono essere quantificati gli effetti dell’azione? Gli effetti dell’azione
sono distinti dalle conseguenze di azioni parallele od opposte? Quanto è esatto il calcolo
degli effetti?
(f) Natura militare: L’operazione cyber è stata condotta dai militari? L’obiettivo
dell’operazione cyber erano le forze armate?
92
Schmitt, Tallin Manual on the International Law Applicable to Cyber Warfare, regola 13. 93
La posizione contraria, intesa a legittimare l’uso della forza anche per azioni meno gravi dell’attacco armato, è rimasta decisamente minoritaria nel dibattito internazionalistico. E, probabilmente, diventerà ancora più marginale nell’ambito cyber parallelamente al crescere del numero di Stati che si dotano di queste capacità.
LOCATELLI RICERCA FINALE AI-SA-22 43 Dott. Andrea LOCATELLI
(g) Coinvolgimento statale: Lo Stato è coinvolto direttamente o indirettamente nell’atto in
questione? L’atto asseconda l’interesse dello Stato che l’ha compiuto?
(h) Presunzione di legalità: Questa categoria di azione è stata generalmente caratterizzata
come uso della forza, oppure no? I mezzi utilizzati sono qualitativamente simili ad altri
che si presumono legittimi in base al Diritto Internazionale?94
È quindi evidente che gran parte degli attacchi cyber discussi nel primo capitolo può
rientrare nella fattispecie dell’uso della forza, implicando così una violazione del Diritto
Internazionale. Il punto più controverso, però, è stabilire se la gravità dell’azione sia
sufficiente a superare la soglia dell’attacco armato: se è infatti vero che qualsiasi attacco
armato implica l’utilizzo della forza, per converso solo alcuni tipi di utilizzo della forza
possono assumere l’intensità necessaria per qualificarsi come attacchi armati. E,
analogamente a quanto avviene nel Diritto Internazionale Pubblico, soltanto l’attacco
armato può legittimare un’azione in autodifesa.
Il criterio discriminante tra i due termini è mutuato ancora una volta dalla sentenza della
Corte di Giustizia95, che nel giudicare sulla controversia tra Stati Uniti e Nicaragua
identificava come criteri distintivi le dimensioni e gli effetti dell’uso della forza. Questo
fornisce un’indicazione di massima, ma lascia un ampio margine di discrezionalità
all’interno di una zona grigia. In ambito cyber, a un estremo appare chiaro che un’azione
che genera danni fisici e uccide persone su larga scala potrà configurarsi come un attacco
armato; all’estremo opposto, gli atti di cyber spionaggio, cyber furto o le operazioni che
comportano soltanto malfunzionamenti limitati o marginali di servizi non essenziali non
rientrano in questa categoria. Tra queste due posizioni estreme è però possibile trovare
una serie di casi intermedi: che dire, ad esempio, di quei casi che non comportano danni
fisici, distruzioni o vittime, ma che possono creare una disfunzionalità nel sistema
economico, sociale o politico di un paese?96.
In conclusione, la dottrina fornisce una valida argomentazione per sostenere che il diritto
ad utilizzare la forza per l’autodifesa si applica alle operazioni cibernetiche in misura non
diversa da quanto avviene nell’ambito cinetico. Qualora uno Stato attaccato intenda
94
Schmitt, Tallin Manual on the International Law Applicable to Cyber Warfare, regola 11, punto 9, nota 22. 95
Caso delle attività militari e paramilitari in e contro il Nicaragua, par. 191. 96
Si pensi ad esempio a un attacco al sistema bancario di uno Stato, il tentativo di falsare un risultato elettorale, o ancora l’attacco contro l’infrastruttura delle comunicazioni.
LOCATELLI RICERCA FINALE AI-SA-22 44 Dott. Andrea LOCATELLI
appellarsi al diritto naturale all’autodifesa, in linea di principio non dovrà fare altro che
dimostrare la gravità dell’azione in termini di dimensioni e gravità del danno subito.
Tuttavia, emergono una serie di questioni controverse, che in futuro saranno
probabilmente soggette all’interpretazione.
Una prima area di incertezza riguarda quel tipo di attacchi cyber che non creano un danno
fisico, ma generano gravi conseguenze. Un esempio di questo tipo sarebbe un attacco
prolungato nel tempo al sistema finanziario di un paese tale, supponiamo, da impedire di
effettuare transazioni bancarie su larga scala; o un attacco al sistema dei trasporti che
blocchi con successo la rete ferroviaria o paralizzi i voli. In entrambi i casi non si
registrerebbero danni fisici97, ma in un modo o nell’altro la capacità della società di
svolgere funzioni basilari (movimento di valuta e di persone) verrebbe meno. Di fronte a
tale evenienza si aprono due posizioni: una più ristretta, che seguendo la lettera e la
prassi del Diritto Internazionale stabilisce la soglia dell’attacco armato in base alle
conseguenze fisiche dell’offesa; e una più ampia, che si concentra invece sulla gravità del
danno subito98. Chi sostiene questa posizione argomenta, non senza ragione, che se per
converso si accetta come attacco armato il bombardamento di alcuni siti produttivi,
sarebbe incoerente non fare lo stesso con un’azione i cui effetti sarebbero ancora più
ampi.
Non è possibile stabilire oggi quale direzione prenderà l’interpretazione della norma. Sarà
la prassi statale a stabilirlo, per cui al momento non possiamo fare altro che constatare
come, nonostante siano avvenuti attacchi gravi o su larga scala, nessuno Stato finora
abbia sollevato la questione. Questo silenzio è probabilmente indicativo di una visione
condivisa dagli Stati interessati alla competizione nel cyber spazio: almeno fino ad oggi,
perché un’offesa configuri l’attacco armato deve comportare una disruption significativa.
C’è motivo di ritenere che, al crescere della dipendenza dei governi dall’infrastruttura
informatica e al parallelo aumentare delle azioni ostili99, questa soglia andrà ad
abbassarsi.
Se, come è probabile, l’interpretazione basata sulla gravità degli effetti diventerà
maggioritaria, un secondo problema da superare sarà la valutazione dei danni. Il problema
97
Paradossalmente, nel secondo caso il rischio di incidenti sarebbe perfino inferiore rispetto alla situazione ordinaria, essendo la circolazione bloccata. 98
Schmitt, The Law of Cyberwarfare, p. 283. 99
Un dato questo rilevato ad esempio dal General Accounting Office; GAO, INFORMATION SECURITY. Cyber Threats and Data Breaches Illustrate Need for Stronger Controls across Federal Agencies, p. 7.
LOCATELLI RICERCA FINALE AI-SA-22 45 Dott. Andrea LOCATELLI
è in primo luogo qualitativo, ma anche quantitativo: sotto il primo aspetto, la questione si
risolve nello stabilire se ci sono dei bersagli maggiormente sensibili e che quindi, se colpiti,
configurerebbero automaticamente un attacco armato (rientrerebbero in questa categoria,
a titolo di esempio, le infrastrutture militari, le centrali elettriche, i sistemi sanitari o di
depurazione dell’acqua). Il secondo problema, di natura quantitativa, consiste nel trovare
un metro di misura per quantificare l’entità dei danni: escludendo come criterio il danno
economico – poiché sarebbe palesemente contrario al Diritto Internazionale100 – non
rimangono alternative oggettive, col risultato di lasciare nuovamente un ampio margine per
l’interpretazione101.
Una seconda area di incertezza concerne le modalità di applicazione del diritto alla difesa
anticipata. Come discusso in precedenza102, la questione ha suscitato un dibattito anche
all’interno del Diritto Internazionale Pubblico. Nell’ambito cyber, dove sappiamo che le
operazioni possono svolgersi in tempi ridottissimi, invocare il diritto all’autodifesa anticipata
è tutt’altro che un’eventualità remota. Occorrerà quindi stabilire quali condizioni devono
porsi per potersi appellare a questo diritto. Come osserva acutamente Michael Schmitt, “le
operazioni cyber […] sono solitamente organizzate segretamente, possono avvenire
istantaneamente, possono essere difficili da attribuire con sicurezza in tempo reale e
possono produrre conseguenze cataclismatiche”103.
Per far fronte a questa problematica, il Manuale di Tallin suggerisce di sostituire il criterio
puramente temporale (attaccare subito prima di essere attaccati) con uno basato sulla
capacità di difendersi104: questo approccio, battezzato “test dell’ultima finestra
d’opportunità”105, richiede che si verifichino tre condizioni affinché l’attacco difensivo possa
essere legittimo: 1) il potenziale aggressore deve avere (o almeno essere sul punto di
avere) le capacità necessarie per perpetrare l’attacco cyber; 2) il potenziale aggressore
deve avere l’intenzione di attaccare; 3) l’attacco anticipato può legittimamente avvenire
100
Tra i principali riferimenti normative, si vedano: United Nations Conference on International Organization, Docs. 2, 334, 609, 617(e)(4) (1945); United Nations Special Commission on Friendly Relations, U.N. Doc. A/AC.125/SR.110-14 (1970); Caso delle attività militari e paramilitari in e contro il Nicaragua, par. 228. 101
Ad esempio Oona Hathaway e altri distinguono tre possibili approcci nella letteratura: uno basato sullo strumento, uno basato sull’obiettivo e uno basato sugli effetti. Hathaway (et al)., The Law of Cyber Attack, pp. 845-847. 102
Vedi Supra, par. 2.1. 103
Schmitt, The Law of Cyberwarfare, p. 286. 104
Schmitt, Tallin Manual on the International Law Applicable to Cyber Warfare, regola 15, punti 3-6. 105
Schmitt, Preemptive Strategies in International Law, pp. 534-536.
LOCATELLI RICERCA FINALE AI-SA-22 46 Dott. Andrea LOCATELLI
solo nel momento in cui si sta per chiudere la finestra d’opportunità per prendere misure
difensive efficaci106.
Per quanto promettente, questo approccio lascia aperta una questione che nella prassi
potrebbe rendere impossibile giustificare la difesa anticipata: il problema dell’evidenza
empirica dei tre criteri. In altri termini, dimostrare che si pongono le tre condizioni può
risultare impossibile o non conveniente. Supponiamo che lo Stato A riesca a dimostrare
che lo Stato B è in possesso di un malware. Dato che verosimilmente lo Stato B avrà
sviluppato il codice in segreto e che questo non è un’arma visibile (a differenza di un’arma
convenzionale, come un missile), nasce spontaneo l’interrogativo: come ha fatto lo Stato A
ad ottenere questa informazione? Molto probabilmente con un’operazione di spionaggio.
Questo pone l’interrogativo: se anche lo spionaggio non rientra tra le attività illecite, sarà
disposto lo Stato A ad ammettere di aver compiuto tali azioni (probabilmente cyber) e
rischiare, oltretutto, di fornire strumenti allo Stato B per fare controspionaggio?
Analogamente, come può lo Stato A dimostrare che lo Stato B è intenzionato a usare il
malware? E in particolare a usarlo contro di lui? L’unico modo, a meno che non ci sia stata
una qualche dichiarazione pubblica in proposito, è craccare il malware per trovare le prove
che è stato progettato per colpire lo Stato A, ma questo può richiedere anche molto tempo.
Se si è in possesso del malware, è più opportuno lavorare alle difese per renderlo
inoffensivo che non appellarsi al diritto di autodifesa anticipata. Da ultimo, se anche fosse
possibile e legittimo lanciare un attacco anticipato, quali speranze ha lo Stato A che così
facendo lo Stato B sarà inibito dal lanciare il malware? In conclusione, quindi, c’è da
aspettarsi che nella prassi gli Stati non si cureranno più di tanto di questo problema. Di
fronte a una minaccia incombente sceglieranno probabilmente l’opzione che appare
strategicamente conveniente senza curarsi troppo di doversi giustificare.
La terza e ultima area di incertezza riguarda la possibilità che un attacco venga scagliato
da attori non statali. Il quesito è insomma formulabile in questi termini: come può reagire
legittimamente uno Stato di fronte a un attacco perpetrato da un gruppo o
un’organizzazione non statale? Il problema è stato ampiamente affrontato nel Diritto
Internazionale, sia in riferimento al caso in cui gli attori privati siano legati a uno Stato107,
106
Schmitt, The Law of Cyberwarfare, p. 286. 107
Vedi Supra, note 64 e 65.
LOCATELLI RICERCA FINALE AI-SA-22 47 Dott. Andrea LOCATELLI
sia nel caso in cui siano indipendenti da esso108. Se nel primo caso non sussistono motivi
di controversia (le azioni di agenti privati controllati o sponsorizzati da uno Stato possono
giustificare una reazione in legittima difesa), nel secondo il punto è tuttora oggetto di
dibattito. Nell’ambito cyber, come discusso nel primo capitolo109, gli entry costs sono
relativamente bassi, per cui è probabile che in futuro attori privati si renderanno
responsabili di attacchi dalle dimensioni non trascurabili. Se questa previsione si rivelerà
corretta, è probabile che gli Stati convergeranno verso una visione estensiva del diritto di
autodifesa110.
Dopo aver sviluppato le problematiche legate al primo interrogativo, possiamo ora volgerci
alla seconda grande questione a cui non è facile dare risposta: le modalità di reazione.
Posto cioè che uno Stato subisca un attacco tale da giustificare la legittima difesa, come
potrà rispondere questo Stato senza violare il Diritto Internazionale? Quali principi dovrà
rispettare? E, in ultima istanza, quanto violenta potrà essere la sua risposta?
Per procedere con ordine, occorre ripartire dalla distinzione tra uso della forza e attacco
armato. Tanto la dottrina quanto la prassi degli Stati concorda nel ritenere che solo
l’attacco armato renda legittima una reazione che comprenda l’uso della forza. Un’offesa
che si configuri come uso della forza può legittimare sì una risposta, ma entro i limiti della
non violenza. Ne consegue che in quest’ultimo caso il repertorio delle azioni possibili sarà
piuttosto limitato e, come avviene nell’ambito cinetico, si risolva nell’imposizione di
sanzioni. Che tipo di sanzioni siano ammesse è un aspetto su cui la dottrina pare non
essersi soffermata. In linea di principio, la reazione più logica sembrerebbe quella di
imporre sanzioni nel cyber spazio111. Lo Stato vittima, tuttavia, può decidere di imporre
sanzioni economiche, politiche o di altro tipo112. Questa seconda eventualità non solleva
problemi di natura giuridica, ma costituisce una forma di escalation, poiché sposta la
reazione dall’ambito cibernetico a quello fisico.
Per quanto concerne invece la reazione a un attacco armato, i principi da rispettare
rimangono quelli già visti discutendo del Diritto Internazionale Pubblico: discriminazione
108
Per una rassegna, si veda Matthew Evangelista, Law, Ethics and the War on Terror, Cambridge, Polity Press, 2008 (trad. it. Diritto, etica e guerra al terrore, Milano, Vita e Pensiero, 2009). 109
Vedi Supra, par. 1.1. 110
Schmitt, The Law of Cyberwarfare, p. 287. 111
Vedi Supra, par. 1.3. 112
È questa la minaccia paventata dall’amministrazione Obama nei confronti delle imprese cinesi discussa nell’esempio iniziale. Inoltre, sanzioni mirate a singoli individui sono state emanate in risposta all’hackeraggio di Sony. Vedi Infra, par. 3.3.
LOCATELLI RICERCA FINALE AI-SA-22 48 Dott. Andrea LOCATELLI
dei non combattenti, necessità e proporzionalità. Le armi cibernetiche, infatti, possono
essere indirizzate per colpire obiettivi molto precisi (singoli server, supporti SCADA o
perfino specifici file), rispettando così il principio di non indiscriminatezza113. È tuttavia
possibile progettare malware con un payload114 non mirato – in grado, cioè, di contagiare
e danneggiare indiscriminatamente qualsiasi computer, civile o militare. Inoltre, una
strategia d’attacco su larga scala, analogamente a quanto è avvenuto in Estonia nel 2007,
potrebbe deliberatamente colpire obiettivi civili. In questi due casi ipotetici, stabilire se la
reazione ha rispettato il principio di discriminazione può rivelarsi assai controverso.
Altrettanto complesso è comprendere se, ad esempio, un attacco all’infrastruttura civile di
un avversario (mezzi di comunicazione, di trasporto, ecc.) infranga il principio di necessità
e proporzionalità. Ad esempio, possiamo chiederci se la supposta rappresaglia operata
dagli Stati Uniti contro la Corea del Nord115 nel dicembre del 2014 come risposta
all’hackeraggio contro la Sony non violi il principio di proporzionalità116. Nel caso in
questione, il governo nordcoreano accusò gli Stati Uniti di essere responsabili di un
attacco alla rete informatica del paese che rese inoperabili le reti del paese per due giorni.
Ipotizzando che gli Stati Uniti siano realmente responsabili del fatto, si potrebbe
argomentare che quest’azione viola il principio di proporzionalità, poiché sia l’obiettivo (la
rete del paese) sia l’effetto (due giorni offline) sono difficilmente comparabili con l’attacco
subito dagli Stati Uniti (un solo obiettivo – Sony – e un danno, per quanto
economicamente ingente, limitato al furto e alla distruzione di dati). Per altro verso, si
potrebbe osservare che le che azioni violente contro obiettivi non militari sono purtroppo
parte del repertorio di qualsiasi guerra. In prospettiva (e con un poco di cinismo), si può
quindi argomentare che il danno collaterale causato da un attacco cyber sia comunque
inferiore a quello causato da un attacco cinetico117. Questo renderebbe quindi la reazione
cyber legittima, a prescindere dalle modalità di esecuzione. Come è facile intuire, sul
punto rimane ampio spazio sia per l’elaborazione dottrinaria sia per l’interpretazione.
113
International Committee of the Red Cross, Customary International Humanitarian Law, Rule 271: Weapons That Are by Nature Indiscriminate. 114
Si indicano con questo termine le istruzioni malevole che il malware esegue una volta raggiunto il suo obiettivo. 115
Vedi Infra, par. 3.3. 116
Questo esempio è puramente speculativo. Infatti, non solo non ci sono prove sicure del coinvolgimento americano nell’incidente che ha mandato offline le reti nordcoreane, ma è anche difficile qualificare l’hackeraggio della Sony come un attacco armato (sulla cui paternità, incidentalmente, il governo di Pyongyang ha pubblicamente negato ogni accusa). Più verosimile, probabilmente, è qualificare l’attacco alla Sony come uso della forza e la successiva reazione come cyber sanzione. 117
Fidler, Inter arma silent leges Redux?, p. 80.
LOCATELLI RICERCA FINALE AI-SA-22 49 Dott. Andrea LOCATELLI
Un’ultima questione riguarda la necessità/possibilità di coinvolgimento delle Nazioni Unite
nella difesa da un attacco cyber. La regola 17 del Manuale di Tallin afferma a tal proposito
che le misure prese in risposta ad un attacco cyber debbano essere immediatamente
riferite al Consiglio di Sicurezza delle Nazioni Unite118. Questo punto è una diretta
conseguenza della ricezione dell’art. 51 della Carta ONU, ma (non diversamente da
quanto accaduto negli ultimi 70 anni) è abbastanza evidente che se già in ambito cinetico
il Consiglio di Sicurezza non è stato particolarmente efficace, in ambito cyber le sue
capacità sono ancora del tutto speculative. Se anche la dottrina recepisse senza
controversie questa disposizione, è probabile che la prassi degli Stati se ne scosterà
significativamente.
2.4 – Conclusioni
L’utilità di applicare al cyber spazio le categorie e le norme che regolano l’utilizzo della
forza nel Diritto Internazionale nasce dalla necessità di ridurre l’incertezza in merito a quali
comportamenti possano essere ammissibili in questo ambito. I principali attori responsabili
della sua formulazione e costante aggiornamento sono gli Stati: non a caso, sono gli Stati
ad avvertire maggiormente il bisogno di rendere in qualche modo prevedibili i
provvedimenti delle loro controparti119, e sono sempre gli Stati a ottenere i maggiori
benefici dalla conformità generalizzata alle norme del Diritto Internazionale. In questo
senso, il Diritto Internazionale si pone come meccanismo ordinatore del sistema
internazionale120: almeno nelle ambizioni, l’applicazione al cyber spazio delle norme
sviluppate nella dimensione fisica dovrebbe risultare nell’interesse degli Stati.
Questa visione evidentemente ottimista del Diritto coglie solo una parte della questione.
Come traspare dall’analisi presentata nei paragrafi precedenti, la fissazione delle regole è
il prodotto di una tensione tra interessi divergenti, a volte in conflitto. Altrettanto rilevante,
una volta che le regole sono state formulate (vuoi nella lettera dei trattati, vuoi nel diritto
consuetudinario) esse limitano la libertà d’azione degli Stati. Questo genera una tensione
118
Schmitt, Tallin Manual on the International Law Applicable to Cyber Warfare, regola 17. 119
Mario Stoppino, Potere e politica, Milano, Giuffrè 2001. 120
John G. Ikenberry, Institutions, Strategic Restraint, and the Persistence of American Postwar Order, in “International Security”, Vol. 23, No. 3, 1998, pp. 43-78. John G. Ikenberry, After Victory. Insitutions, Strategic Restraint and the Rebuilding of Order after Major Wars, Princeton, Princeton University Press, 2001 (trad. it. Dopo la Vittoria. Istituzioni, strategie della moderazione e ricostruzione dell’ordine internazionale dopo le grandi guerre, Milano, Vita&Pensiero, 2002).
LOCATELLI RICERCA FINALE AI-SA-22 50 Dott. Andrea LOCATELLI
continua tra norme e comportamento, che porta a una continua ridefinizione del Diritto. In
questo capitolo si è cercato di illustrare quali norme sono state elaborate o semplicemente
proposte dalla dottrina. Nelle pagine che seguono si cercherà di confrontare tali norme con
la prassi nascente – ovvero, il comportamento degli Stati in tre casi di attacco cyber.
LOCATELLI RICERCA FINALE AI-SA-22 51 Dott. Andrea LOCATELLI
Nei capitoli precedenti si è cercato di fornire al lettore gli strumenti per comprendere le
complessità dell’ambiente cyber e le sfide che questo pone all’applicazione del Diritto
Internazionale. L’analisi finora è stata esclusivamente teorica, poiché – salvo alcuni
esempi dalla funzione puramente illustrativa – non si è preso in esame alcun caso
empirico di attacco cyber. Per questo motivo, nelle pagine che seguono si illustreranno in
dettaglio tre diversi casi indicativi delle difficoltà che le diverse modalità d’azione
cibernetica sollevano. Nella selezione dei casi, si è deciso di optare per due dei casi di
studio maggiormente investigati dalla letteratura – STUXNET e gli attacchi all’Estonia del
2007 – e per un caso recente, meno investigato, ma dalle rilevanti implicazioni giuridiche.
Tale scelta non soddisfa forse i canoni più stringenti della metodologia politica121, ma si
rivela utile ai nostri fini, poiché permette di mettere in evidenza le diverse implicazioni e
problematiche che hanno comportato. In ultima istanza, si osserverà come le
problematiche giuridiche discusse nel capitolo precedente si siano manifestate
concretamente, così inibendo qualsiasi risposta di legittima difesa da parte degli Stati
colpiti.
3.1 – Iran 2010 (STUXNET)
L’attacco cyber contro l’Iran che ebbe luogo nel 2010 è considerato da molti un momento
di svolta nel cyber warfare. Il malware etichettato dagli esperti forensi come STUXNET
erra riuscito a conseguire un obiettivo di importanza strategica assai rilevante: riuscendo a
compromettere oltre un migliaio di centrifughe (su un totale di 8.000) all’interno nel sito di
121
Giovanni Sartori, Leonardo Morlino (a cura di), La comparazione nelle scienze sociali, Bologna, Il Mulino, 1991.
Analisi di attacchi nel cyber spazio 3#Capitolo
LOCATELLI RICERCA FINALE AI-SA-22 52 Dott. Andrea LOCATELLI
Natanz, a circa 250 chilometri a sud di Teheran, il virus ritardò il progetto iraniano di
acquisizione dell’arma nucleare di diversi mesi.
STUXNET è riconosciuto come l’attacco cibernetico più sofisticato mai realizzato. Si
trattava di un’azione rivolta contro un bersaglio ben preciso, il sito di Natanz, e può essere
classificato come un singolo atto di sabotaggio senza alcuna connessione con altre
operazioni militari. Per quanto venga datato al 2010, ovvero quando fu scoperto dagli
operatori iraniani, si presume che il programma risalga ad almeno due anni prima,
probabilmente già alla fine del 2007122. La data in cui il virus è stato inoculato nei computer
non è certa, ma pare che abbia colpito le centrifughe di Natanz in tre ondate: tra giugno e
luglio 2009, a marzo del 2010 e tra aprile e maggio del 2010. In ognuna di queste ondate il
malware si è presentato in una versione diversa, ma nella ricostruzione di Jon Lindsay,
soltanto la prima ha creato danni reali123.
Il virus era basato su una vulnerabilità insita in un pacchetto per l’automazione industriale
prodotto da Siemens: SIMATIC STEP7. L’obiettivo dell’attacco, o meglio il punto di
ingresso, era quindi un sistema per il controllo industriale. Questo tipo di strumento ha la
forma di una scatola che non dispone né di terminali d’accesso (tastiera o mouse) né di
schermi. L’operatore che programma i controller logici della macchina deve connettere il
device ad un PC portatile (solitamente anch’esso prodotto da SIEMENS) che usa come
sistema operativo Microsoft Windows. Poiché questi notebook sono protetti da eventuali
attacchi dal cosiddetto air-gap, ovvero dall’assenza di qualsiasi connessione, tanto a
Internet quanto a reti interne, esistevano solo due modi per inoculare il virus: utilizzare
direttamente su uno di questi portatili una memoria removibile (come una penna USB),
oppure attraverso e-mail di phishing a qualche operatore della centrale. Non è dato sapere
quale delle tue modalità sia stata seguita, né se l’autore dell’infezione fosse parte del
piano o, più probabilmente, uno strumento inconsapevole del contagio. Nell’ottobre del
2010 vennero arrestate alcune persone con l’accusa di essere “spie nucleari” in qualche
modo legate a STUXNET, ma sul processo – e quindi sulla reale colpevolezza di queste
persone – non si hanno notizie affidabili124.
122
Ralph Langner, What STUXNET is All About, 10 gennaio 2011, http://www.langner.com/en/2011/01/10/what-stuxnet-is-all-about/. 123
Jon R. Lindsay, Stuxnet and the Limits of Cyber Warfare, “Security Studies”, Vol. 22, No. 3, 2013, p. 381. 124
William Yong, Iran Says It Arrested Computer Worm Suspects, “New York Times”, 10 ottobre 2010. Non stupirebbe che le persone arrestate non fossero in alcun modo responsabili del virus, ma la loro incarcerazione fosse uno stratagemma per creare un capro espiatorio.
LOCATELLI RICERCA FINALE AI-SA-22 53 Dott. Andrea LOCATELLI
Un secondo motivo per cui STUXNET viene considerato estremamente complesso nella
sua realizzazione riguarda la sua capacità di duplicarsi, e quindi contagiare altri computer,
pur rimanendo nascosto. Si stima che alla fine del 2010 i computer infettati dal virus
fossero circa 100.000, di cui solo il 60% in Iran125. Questo fu reso possibile dal design del
software, che poteva vantare delle capacità di attacco e difesa dagli antivirus molto
sofisticate: in primo luogo, STUXNET aveva quattro vulnerabilità zero-day, da cui per
definizione non è possibile difendersi, oltre a diverse altre vulnerabilità di Siemes, che
entrarono in funzione là dove i sistemi iraniani non erano dotati delle patch aggiornate.
Inoltre, STUXNET era dotato di due certificati digitali delle compagnie taiwanesi Realtek e
Jmicron, con le quali fu possibile installare un rootkit sui computer infetti. Inoltre,
STUXNET era programmato per comunicare via Internet (e in modalità peer-to-peer) con
particolari server. Un po’ come un soldato che penetra oltre le linee nemiche, in questo
modo il malware poté inviare informazioni alla base (ovvero ai suoi creatori), ed
eventualmente ricevere nuove istruzioni. Inoltre, riuscì a infiltrarsi in altri computer e
utilizzarli come zombie. In questo modo, ogni computer infettato dal virus diventava a sua
volta un worm che andava alla ricerca del proprio obiettivo.
Una volta raggiunto il bersaglio126, l’effetto del virus si realizzò in una manomissione del
converter del rotore di una centrifuga: in estrema sintesi, anziché mantenere la frequenza
standard a 1,064 Hz, STUXNET alzò e abbassò la frequenza a intervalli regolari: per 27
giorni incrementò il valore a 1,410 Hz per 15 minuti al giorno, per poi abbassare per 50
minuti la frequenza in modo che la velocità della turbina fosse insufficiente ad arricchire
l’uranio, e poi di nuovo tornare alla normalità. Questa sequenza sembra concepita non per
causare una rottura delle centrifughe, ma per generare un affaticamento strutturale127. Da
ultimo, attraverso un sofisticato sistema di occultamento, il malware restituiva agli
operatori della macchina dei dati falsi, che indicavano un normale funzionamento delle
centrifughe anche laddove le turbine giravano a velocità irregolare. L’obiettivo insomma
125
Rid, Cyber War Will Not Take Place, p. 18. Un terzo circa degli altri computer infetti si trovava in India e Indonesia. L’obiettivo circoscritto di STUXNET non ha creato grossi problemi al di fuori della centrale di Natanz. Nicolas Falliere, Liam O Murchu, Eric Chien, W32.Stuxnet Dossier, versione 1.4, Symantec, 2011, pp. 5-7, disponibile su http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf. 126
In dettaglio, si trattava di due modelli di controller logici della Siemens, 6ES7-315-2 e 6ES7-417, che si ritiene controllassero le turbine e le centrifughe nei reattori di Busheher e Natanz. Thomas Rid, Cyber War Will Not Take Place, p. 18. 127
Un secondo codice di istruzioni, che però risultava secondario e apparentemente incompiuto, andava a manipolare le valvole dei moduli di arricchimento, ottenendo un ulteriore effetto di stress sulle parti meccaniche.
LOCATELLI RICERCA FINALE AI-SA-22 54 Dott. Andrea LOCATELLI
non era semplicemente di ingannare gli operatori nella sala di controllo, ma
compromettere la sicurezza stessa dei sistemi.
Non è stato possibile arrivare ad attribuire la responsabilità dell’attacco ad alcuno Stato,
ma i sospetti convergono verso una possibile cooperazione tra Israele e Stati Uniti. Le
conclusioni a cui si può facilmente giungere alla luce dei fatti sopra esposti sono che: a)
per sviluppare un virus tanto sofisticato sia stato necessario un lavoro piuttosto lungo (dai
sei mesi a un anno)128; b) il team che ha scritto il codice doveva essere composto da
decine di ingegneri informatici e nucleari, con l’ausilio di risorse dell’intelligence129; c) che i
costi di realizzazione possano aver toccato i cento milioni di dollari130. Tanta complessità
implica ncessariamente uno sforzo finanziario, organizzativo e tecnologico che, nelle
parole di Ralph Langner, può possedere soltanto una “superpotenza cyber”131.
Il progetto di sviluppo del nucleare iraniano è stato così rallentato di almeno un anno, e
questo è avvenuto in modo apparentemente non controverso sotto il profilo legale. Questo
ci porta a sostenere, con un po’ di ottimismo, che l’operazione è stata di successo perché
le alternative sarebbero state meno efficaci e più preoccupanti: un attacco fisico al reattore
di Natanz avrebbe costituito un atto di guerra, e avrebbe probabilmente legittimato una
reazione violenta di Teheran, con conseguente probabile guerra contro gli Stati Uniti o
Israele (o più probabilmente entrambi). D’altro canto, il semplice ricorso alla diplomazia e
alle sanzioni non sarebbe verosimilmente stato in grado di bloccare in modo così efficace
il programma nucleare iraniano.
Resta quindi da stabilire come caratterizzare l’attacco e, conseguentemente, quali reazioni
avrebbe potuto giustificare. Secondo le categorie discusse nel capitolo precedente,
occorre quindi stabilire se STUXNET rappresenti una fattispecie di uso illegale della forza,
attacco armato o atto di aggressione. L’analisi della dottrina lascia spazio per argomentare
che l’attacco configuri il caso più grave132, per una serie di motivi: l’effetto dell’azione è
stato un danno fisico; l’intervento è stato reiterato e superiore all’anno; l’intenzionalità
dell’azione era chiaramente aggressiva; nel contesto più ampio del programma nucleare
128
Nicolas Falliere, Liam O. Murchu, Eric Chien, W32.Stuxnet Dossier, p. 5. 129
Il rapporto di Symantec, con una stima molto conservativa, ipotizzava una squadra di almeno 5-6, forse 10 core designer, oltre a un numero imprecisato di personale di supporto. Dossier, p. 3. 130
A far incrementare tanto i costi hanno contribuito principalmente l’acquisto delle 4 zero-day-vulnerability e dei codici di accesso per penetrare nel sistema. 131
Ralph Langner, Cracking STUXNET, “TED Talk”, marzo 2011. 132
È questa ad esempio la posizione di alcuni degli esperti che hanno redatto il Manuale di Tallin.
LOCATELLI RICERCA FINALE AI-SA-22 55 Dott. Andrea LOCATELLI
iraniano, l’azione ha portato a un rallentamento di svariati mesi. Tutto ciò porta sostegno
alla tesi dell’attacco armato, se non addirittura dell’aggressione.
Tuttavia, l’applicazione della dottrina è solo un aspetto del Diritto Internazionale, poiché ad
essa si aggiunge la prassi degli Stati. Come già accennato, la dottrina lascia solitamente
spazio all’interpretazione da parte degli Stati, per cui il modo in cui questi si comportano e
reagiscono ad eventi particolari è indicativo di tale interpretazione. Ovviamente, la
definizione della prassi non è meno controversa della formulazione dei trattati e degli
accordi internazionali, ma nel caso di STUXNET assistiamo a una singolare concordanza:
tutte le principali potenze – incluso l’Iran – hanno accuratamente evitato di fare dell’evento
una questione rilevante. Il fatto che il regime di Teheran non si sia appellato al Diritto
Internazionale per tutelare il proprio diritto alla difesa è indicativo di una prassi del tutto
singolare: la regola che vige nel cyber spazio è che l’aggressione e l’uso della forza si
definiscono secondo criteri diversi rispetto all’ambito cinetico – criteri che gli Stati
mantengono volutamente elevati per mantenere una maggiore libertà d’azione133. Non a
caso, la reazione iraniana è avvenuta, verosimilmente, con una rappresaglia cibernetica
nel 2012134.
3.2 – Estonia 2007
Tra il 26 aprile e il 19 maggio del 2007 l’Estonia è stata oggetto di un attacco informatico
massiccio diretto contro la propria infrastruttura informatica. L’attacco si realizzò attraverso
diverse modalità, dal DDOS, allo spamming, al defacciamento di alcuni siti, tra cui il Partito
Riformatore Estone. L’evento scatenante fu la decisione da parte del governo estone di
spostare dal centro di Tallin la statua del Milite ignoto, simbolo della liberazione nazista da
parte dell’Armata Rossa. Tale scelta, motivata da calcoli di mera politica interna, era
principalmente finalizzata a rinfocolare l’orgoglio nazionale estone a detrimento del
sentimento filorusso. E, quasi immediatamente, la rimozione della statua generò un’ondata
di manifestazioni nella capitale: la comunità di lingua russa residente in Estonia, infatti,
133
David P. Fidler, Was STUXNET An Act of War? Decoding a Cyberattack, IEEE Security and Privacy 9, No. 4, 2011, luglio/agosto 2011, https://armscontrollaw.files.wordpress.com/2013/03/fidler-on-stuxnet-and-il.pdf. 134
Ellen Nakashima, Iran blamed for cyberattacks on U.S. banks and companies, “Washington Post”, 21 settembre 2012, https://www.washingtonpost.com/world/national-security/iran-blamed-for-cyberattacks/2012/09/21/afbe2be4-0412-11e2-9b24-ff730c7f6312_story.html.
LOCATELLI RICERCA FINALE AI-SA-22 56 Dott. Andrea LOCATELLI
reagì con una serie di proteste – anche violente – che portarono all’arresto di 1300
persone, un centinaio di feriti e un morto135.
Gli attacchi cyber iniziarono quasi simultaneamente: già nella tarda serata del 27 aprile
iniziarono le prime azioni con sistemi di attacco piuttosto semplici, come attacchi ping136.
Sempre attraverso la strategia del DDOS, dopo pochi giorni la tattica divenne più
sofisticata, con l’utilizzo di Botnet e un successivo maggiore coordinamento di questi
attacchi. L’apice degli attacchi fu raggiunto il 9 maggio, ricorrenza dell’anniversario della
vittoria sovietica sul nazismo. In tal giorno furono oscurati 58 siti governativi, il servizio di
home banking della principale banca estone fu disattivato per 90 minuti137. Quello che
risulta rilevante di questo attacco non è tanto la tecnologia utilizzata, quanto le dimensioni
dell’attacco stesso: come rilevato dalle indagini che ne sono seguite, il numero di Botnet,
ovvero di computer utilizzati in maniera fraudolenta per lanciare l’attacco, è arrivato a
85.000. Il tutto per tre settimane.
Di fronte a un attacco così ampio e organizzato, fu subito chiaro che la mente e
l’organizzazione che ne stava alle spalle non poteva che essere un’organizzazione
complessa. In modo abbastanza plateale, il Ministro della dDifesa estone accusò il
Cremlino, arrivando a dichiarare di possedere le prove che alcuni attacchi provenissero
direttamente da computer del governo russo. Tuttavia, le indagini realizzate da esperti
della NATO e della Commissione Europea non furono in grado di convalidare la tesi del
coinvolgimento russo.
Questo ci riporta al problema discusso precedentemente dell’attribuzione. Ci sono diversi
indizi che inducono a ritenere valida l’accusa sollevata dal governo estone contro la
Russia. Il primo indizio concerne la pianificazione delle dimostrazioni di piazza. Come
rilevato da diversi autori138, la pianificazione delle manifestazioni a Tallin e, parallelamente,
contro l’ambasciata estone a Mosca, richiese sicuramente mesi prima della sua
esecuzione. Parimenti, Secondo Mihkel Tammet (uno degli informatici estoni incaricati di
indagare sul fatto) già nelle settimane precedenti agli attacchi, si era assistito a “un
135
Rid, Cyber War Will Not Take Place, p. 11. 136
Si tratta di un tipo di DDOS che avviene mediante l’invio al sistema bersaglio di pacchetti ICMP Echo Request. In pratica, il computer che viene attaccato consuma banda sia in entrata, per la notevole quantità di richieste ricevute, sia in uscita, per l’invio di pacchetti ICMP Echo Reply. La difesa da questo tipo di attacco è piuttosto semplice e consiste in un firewall istruito per filtrare i pacchetti ICMP Echo Request. 137
Eneken Tikk, Kadri Kaska Liis Vihul, International Cyber Incidents, Tallinn, CCDCOE 2010, p. 20. 138
Vedi ad esempio Stephen Blank, Web War I: Is Europe’s First Information War a New Kind of War?,
“Comparative Strategy”, Vol. 27, No. 3, 2008, pp. 227-247.
LOCATELLI RICERCA FINALE AI-SA-22 57 Dott. Andrea LOCATELLI
assembramento di botnets simile a un assembramento di armate”139. Pare quindi
improbabile che di fronte a tanto sforzo organizzativo, il governo e le organizzazioni filo-
governative russe non abbiano avuto un ruolo anche nella pianificazione delle azioni
cyber.
In secondo luogo c’è il movente: di fronte alla provocazione nazionalista del governo di
Tallin, e parallelamente alla politica di rally-round-the-flag che Putin ha realizzato con
continuità negli ultimi dieci anni, appare evidente come questo attacco informatico
costituisse un’utilissima componente del proprio disegno di influenza sul proprio near
abroad. Come confermato poi dalla successiva esperienza in Ucraina, è un tratto ormai
distintivo della politica di Putin l’utilizzo delle minoranze di lingua russa in altri paesi per
rinfocolare l’irredentismo140. Se quindi la responsabilità della Russia è facilmente
dimostrabile in riferimento alle azioni materiali di destabilizzazione141, è decisamente
inverosimile che gli attacchi cibernetici siano avvenuti per mano diversa da quella del
Cremlino. Una terza osservazione, per quanto minore, è che (con poco acume
diplomatico) diversi attivisti russi e perfino un parlamentare della Duma si attribuirono la
responsabilità degli attacchi.
Per quanto non sia possibile dimostrare la responsabilità legale del governo russo in
questo attacco, da un punto di vista politico-strategico, “indubbiamente questa operazione
era finalizzata a costringere l’Estonia a tenere in considerazione gli interessi russi; in altre
parole, aveva una finalità classicamente clausewitziana di compellenza nei confronti del
nemico, affinché assecondasse la volontà russa, pur essendo un attacco non violento e
senza spargimento di sangue. In tal caso […] questo attacco potrebbe riflettere non solo
un tentativo di correggere il comportamento dell’Estonia o influenzarne l’orientamento, ma
anche il tentativo di punirla ed esercitare deterrenza nei confronti di altri […] facendone un
esempio di avvertimento per chiunque volesse sfidare la Russia” 142.
Un secondo problema concerne l’applicazione del Diritto Internazionale. In quale categoria
dovrebbero rientrare gli attacchi del 2007 contro l’Estonia? Prima ancora di stabilire se la
gravità delle azioni possa configurare un caso di attacco armato, occorre stabilire se
139
Rid, Cyber War Will Not Take Place, p. 12. 140
Serena Giusti, La Proiezione Esterna della Federazione Russa, Pisa, Edizioni ETS, 2012; Roger Kanet, Russian Foreign Policy in the Twenty-first Century, Houndsmill, Palgrave, 2010. 141
Blank, Web War I, p. 228. 142
Ibi., p. 229.
LOCATELLI RICERCA FINALE AI-SA-22 58 Dott. Andrea LOCATELLI
davvero i cyber attacchi costituissero un caso di cyber warfare, se non di cyber crime o
cyber terrorismo.
Quest’ultima possibilità, sebbene non intuitiva data la natura tutto sommato non violenta
delle operazioni (ad esclusione della manifestazione del 26 aprile) è stata apertamente
dichiarata dal Ministro della Difesa estone Jaak Aviksoo, secondo cui “l’obiettivo di chi ci
ha attaccato era di destabilizzare la società estone, creando tra la popolazione la paura
che non funzionasse nulla, che i servizi non fossero operativi; in qualche modo questo è
chiaramente terrore psicologico”143. Altri diplomatici estoni aggiunsero che il combinato di
attacchi informatici e manifestazioni di piazza fosse finalizzato a colpire tanto il governo
quanto la società estoni, poiché l’effetto di destabilizzazione che questi avrebbero
comportato avrebbe diffuso il panico generalizzato e conseguentemente minato la fiducia
nelle istituzioni. D’altronde, prendendo come bersaglio centri nevralgici dell’infrastruttura
elettronica del paese (come banche, network televisivi, telecomunicazioni, nameserver144),
gli attacchi furono caratterizzati dal governo estone come una minaccia alla sicurezza
nazionale145. Questa affermazione rende di fatto l’attacco equivalente a una forma di
terrorismo cibernetico di matrice statale146, con tutte le conseguenze che ne derivano in
termini di legittima difesa.
Per converso, la NATO non seguirono questa linea e si limitarono a definire l’evento come
una perturbazione della pace o al limite una “cyber sommossa”147. Questa posizione,
probabilmente condizionata dal timore di una possibile escalation con la Russia, pare
suffragata anche dal consenso accademico: in base al gruppo internazionale di esperti
che ha curato il Manuale di Tallin, infatti, l’attacco in Estonia non si configurò come attacco
armato, poiché né gli effetti né le dimensioni furono sufficienti a superare la soglia
dell’attacco armato148.
143
Citato in ibi., p. 230. 144
Si tratta di server DNS che hanno la funzione di convertire il nome di un dominio nell’indirizzo IP corrispondente, in particolare indirizzando le richieste relative a un dominio di primo livello (in pratica, l’estensione dell’URL) ai server propri di quel dominio. Come è facile intuire, colpendo questi server si impedisce a tutti gli utenti di accedere ai siti appartenenti a uno o più domini. 145
Joshua Davis, Web War I, “Wired”, settembre 2007, p. 163. 146
Per una definizione di questi termini sia concesso rimandare ad Andrea Locatelli, What is terrorism? Concepts, definitions and classifications, in Raul Caruso, Andrea Locatelli (a cura di), Understanding Terrorism. A Socio-Economic Perspective, Bingley, Emerald, 2014, pp. 1-23. 147
Scott J. Shackleford, From Nuclear War to Net War. Analogizing Cyber Attacks in International Law, “Berkeley Journal of International Law”, Vol. 27, No. 1, 2009, p. 209. 148
Schmitt, Tallin Manual on the International Law Applicable to Cyber Warfare, Rule 13, punto 13.
LOCATELLI RICERCA FINALE AI-SA-22 59 Dott. Andrea LOCATELLI
Venendo quindi alle considerazioni di natura giuridica, nonostante le dichiarazioni
enfatiche sopra riportate, fu chiaro sin dall’inizio alle autorità estoni che i cyber attacchi
andassero trattati come cyber crime, e quindi le investigazioni e i processi dovessero
essere soggetti al diritto penale nazionale (nonché, ovviamente, agli accordi internazionali
rilevanti149. Sebbene la legislazione nazionale estone prevedesse la raccolta di
informazioni sul traffico di dati elettronici da parte delle agenzie statali, esistevano dei limiti
molto severi, che circoscrissero la possibilità di raccogliere e analizzare dati importanti al
fine di identificare la fonte degli attacchi150.
In aggiunta, poiché la maggior parte degli attacchi proveniva dall’estero, la giurisdizione
delle autorità rimase limitata. Fu quindi ben presto necessario cercare di ottenere la
cooperazione da parte di altri Stati, in primis la Russia. Il 10 maggio, ovvero all’apice degli
attacchi, il Procuratore Generale inviò una rogatoria a Mosca in cui chiedeva di fornire gli
indirizzi IP dei potenziali responsabili degli attacchi, in virtù dell’Accordo di Mutua
Assistenza Legale tra i due paesi del 1993151. La risposta russa arrivò dopo più di un anno
e fu negativa. Non è questa la sede per argomentare sulla liceità di tale posizione152, che
invero pare guidata più da considerazioni politiche che non di mera applicazione del diritto.
Quello che occorre rilevare è che la mancata cooperazione russa ha di fatto bloccato
qualsiasi possibilità di investigazione da parte delle autorità estoni – così vanificando ogni
speranza di individuare, ergo incriminare, i responsabili degli attacchi.
Ad oggi, le indagini hanno portato all’incriminazione di una sola persona: il diciannovenne
estone di lingua russa Dmitri Galushkevich, reo di aver lanciato attacchi Ping contro il
Partito Riformatore Estone, per un danno stimato di 2820 Euro153. Da un punto di vista
politico, invece, l’attacco ha avuto una conseguenza importante in termini di alleanze,
giacché ha comprovato la fedeltà dei principali alleati dell’Estonia: l’Unione Europea e la
NATO. Nonostante la reazione piuttosto lenta di queste istituzioni internazionali, entrambe
non mancarono di schierarsi in difesa del governo di Tallin. Come risultato della solidarietà
all’interno dell’organizzazione atlantica, il governo estone ha ottenuto la costituzione a
Tallin dell’importante Cooperative Cyber Defence Center of Excellence.
149
Tikk, Kaska Vihul, International Cyber Incidents, p. 25. 150
Republic of Estonia, Estonia Surveillance Act, 1994, disponibile al sito www.unodc.org; Codice Penale Estone, §, 137; Codice di Procedura Penale Estone, § 110-112. 151 The Republic of Estonia and the Russian Federation Agreement on legal assistance and legal relationship in civil, family and criminal matters, 26 gennaio 1993. 152 Per una sintetica illustrazione delle argomentazioni avanzate dal Procuratore russo, si veda Tikk, Kaska Vihul, International Cyber Incidents, p. 27. 153
Sentenza della Corte della contea di Harju numero 1-07-15185 (Galushkevich) del 13 dicembre 2007.
LOCATELLI RICERCA FINALE AI-SA-22 60 Dott. Andrea LOCATELLI
3.3 – Stati Uniti 2015 (Sony)
L’attacco informatico ai danni di Sony Pictures Entertainment avvenuto tra novembre e
dicembre 2014 è stato uno degli attacchi più significativi degli ultimi tempi. La sua
peculiarità è che molto probabilmente è stato sponsorizzato o addirittura perpetrato da uno
Stato, la Corea del Nord, ai danni di una multinazionale154. L’attacco è durato una
settimana e ha messo in ginocchio sia la sede americana del colosso giapponese, sia il
sistema che ruota intorno ad Hollywood155. Le modalità d’attacco inizialmente furono di
tipo spearphishing156. Molto probabilmente l’attacco è stato effettuato ai danni di un
amministratore di sistema, persona con i privilegi più alti all’interno di una rete157. Gli
investigatori hanno concluso che la fase di ricognizione158 deve essere durata più di due
mesi, da metà settembre a metà novembre. Durante questa fase gli hacker nordcoreani
hanno mappato i sistemi informatici di Sony, identificando le vulnerabilità e i file più
importanti, per poi procedere all’attacco159.
Il 24 novembre 2014 più di 7000 dipendenti della Sony trovarono sui propri desktop un
macabro fotomontaggio raffigurante la testa decapitata dell’amministratore delegato
Michael Lynton. All’immagine si accompagnava una sorta di rivendicazione firmata da un
gruppo di hacker, i Guardians of Peace (GOP). Nel messaggio, il gruppo dichiarava di
essere in possesso di tutti i dati di Sony e minacciava di renderli pubblici nel caso in cui la
154
Apparentemente la Corea del Nord avrebbe attaccato la Sony per via di un suo film in uscita: The Interview. Nella pellicola comica, due giornalisti vengono ingaggiati dalla CIA per uccidere Kim Jong-Un, e nel film sarebbe stata presente la scena dell’assassinio del leader. 155
I danni causati sono stati molteplici: prima di rendere i computer inutilizzabili, sono stati trafugati circa 100 Terabyte di dati contenenti e-mail riservate, dati personali degli impiegati (come l’ammontare dei loro stipendi, i numeri di previdenza sociale, informazioni sanitarie) oltre a budget e programmazioni cinematografiche future, film non ancora proiettati ufficialmente (ad esempio, Fury di Brad Pitt è stato il primo ad essere stato messo online, ed è stato scaricato più di 2,3 milioni di volte). Jose Pagliery, 'Sony-pocalypse': Why the Sony hack is one of the worst hacks ever, CNN Money, 4 dicembre 2014, http://money.cnn.com/2014/12/04/technology/security/sony-hack/. 156
Questa tecnica si effettua tramite l’utilizzo iniziale di ingegneria sociale, poi si crea una falsa mail con l’aspetto di una mail ufficiale e si chiede al ricevente di cliccare su un link, con cui, involontariamente, l’utente installa sul computer un software dannoso. 157
David Gilbert, NSA monitored North Korean hackers since 2010 but were unable to prevent Sony hack, “International Business Times”, 19 gennaio 2015, http://www.ibtimes.co.uk/nsa-monitored-north-korean-hackers-since-2010-were-unable-prevent-sony-hack-1484021. 158
La fase iniziale di un attacco, dove si monitorano le reti e le potenziali vulnerabilità dell’obiettivo. 159
Dmitri Alperovitch, Sony Hack: Poster Child For A New Era Of Cyber Attacks, Darkreading, 13 febbraio 2015, http://www.darkreading.com/attacks-breaches/sony-hack-poster-child-for-a-new-era-of-cyber-attacks-/a/d-id/1319081.
LOCATELLI RICERCA FINALE AI-SA-22 61 Dott. Andrea LOCATELLI
multinazionale non avesse esaudito le proprie richieste160. Come misura di sicurezza,
Sony decideva di mettere offline la rete, tornando così all’improvviso indietro di
vent’anni161.
Inizialmente, l’azienda cercò di sminuire la portata dell’attacco. Fu il primo errore
commesso dalla multinazionale nella gestione dell’intrusione: pochi giorni dopo, il 27
novembre, cominciarono ad apparire online diversi film prodotti da Sony, alcuni dei quali
non ancora usciti nelle sale162. Iniziava così a prendere forma il sospetto che dietro
l’attacco si celasse la Corea del Nord, che il giugno precedente, attraverso un portavoce
del Ministero degli Esteri, aveva dichiarato che se la Sony non avesse ritirato The
Interview avrebbe preso “contromisure decisive e impietose”163. Come terza fase
dell’attacco, il primo dicembre vennero pubblicati online gli stipendi di 17 dirigenti Sony,
oltre a quelli di più di 6000 tra dipendenti ed ex dipendenti.
Di fronte a quello che appariva evidentemente come uno dei peggiori attacchi cibernetici
subiti da un’azienda privata americana intervenne l’FBI164. Il tentativo di gestire la
faccenda esclusivamente dall’interno, infatti, costituì il secondo grande errore di Sony. Gli
analisti dell’agenzia, ad ogni modo, non poterono fare molto di più se non constatare Il
bilancio dell’attacco: i data center erano stati completamente cancellati dopo essere stati
svuotati dei dati che contenevano; il 75% dei server era fuori uso; contratti, stipendi,
budget dei film, dati medici personali, numeri di previdenza sociale, passaporti di impiegati
e attori che hanno collaborato con Sony, indirizzi, contatti e-mail personali e interi film
erano in mano agli hacker165.
160
Andrew Griffin, Sony hack: who are the Guardians of Peace, and is North Korea really behind the attack?, “The Independent”, 17 dicembre 2014, http://www.independent.co.uk/life-style/gadgets-and-tech/news/sony-hack-who-are-the-guardians-of-peace-and-is-north-korea-really-behind-the-attack-9931282.html. 161
Gli impiegati dovettero tornare a carta e penna, e la dirigenza riuscì a comunicare tramite vecchi Blackberry recuperati in magazzino. Kelly Gilblom, Old BlackBerrys Came to Sony’s Rescue After Systems Hacked, Bloomberg, 31 dicembre 2014, http://www.bloomberg.com/news/articles/2014-12-31/old-blackberrys-came-to-the-rescue-after-sonys-systems-hacked. 162
La tecnica usata dai GOP era quella di pubblicare i dati su siti protetti da anonimato, come pastebin, per poi addirittura avvisare della pubblicazione giornalisti noti per essere interessati alla vicenda. 163
Associated Press, Obama Says North Korea Hacked Sony, Vows Response, “New York Times”, 19 dicembre 2014, http://www.nytimes.com/aponline/2014/12/19/arts/ap-us-sony-hack.html. 164
Nonostante Sony abbia la sede principale in Giappone, Sony Pictures Entertainment ha sede negli Stati Uniti. 165
Michael Cieply, Brooks Barnes, Sony Cyberattack, First a Nuisance, Swiftly Grew Into a Firestorm, “The New York Times”, 30 dicembre 2014, http://www.nytimes.com/2014/12/31/business/media/sony-attack-first-a-nuisance-swiftly-grew-into-a-firestorm-.html.
LOCATELLI RICERCA FINALE AI-SA-22 62 Dott. Andrea LOCATELLI
Il 15 dicembre ci fu una svolta nel caso. Gli Hacker pubblicarono quello che venne da loro
definito un regalo di natale, ovvero centinaia di e-mail private di Lynton166. Soprattutto,
aggiunsero ai file una minaccia evocativa degli eventi dell’11 settembre e un riferimento
esplicito al film The Interview167. Il riferimento all’11 settembre diede all’attacco un’altra
veste, trasformandolo da una controversia privata ad una minaccia nazionale. Questo
portò ad un’immediata riunione della National Association of Theater Owners, dove Lynton
affermò che Sony non avrebbe ritirato il film, ma non avrebbe nemmeno perseguito quei
cinema che, per motivi di sicurezza, avessero rinunciato alla proiezione di The Interview.
La mattina del giorno successivo, più dell’80% dei cinema del paese aveva ritirato il film. Il
17 dicembre Sony commise il terzo errore fondamentale nella gestione della vicenda:
decise di ritirare The Interview dalla programmazione nei cinema168. Il messaggio che
passò da questa decisione fu che Sony avesse ceduto al ricatto degli hacker terroristi.
Due giorni dopo arrivò una critica molto dura da parte del presidente Obama, che dichiarò
che la Sony aveva commesso un errore a ritirare il film a causa di un attacco informatico;
Obama dichiarò altresì che l’attacco aveva causato molti danni, e che gli Stati Uniti
avrebbero risposto “in modo proporzionato, con luoghi e modalità che decideremo noi; non
è qualcosa che può essere dichiarato pubblicamente in conferenza stampa”169. Secondo il
presidente, l’attacco da parte della Corea del Nord era inteso specificamente a creare
danni all’interno del suolo americano, e soprattutto fu un attacco contro la libertà
espressione dei cittadini americani170.
Apparentemente, Obama era certo della responsabilità nordcoreana – certezza giustificata
dai risultati delle indagini dell’FBI, ma non solo. Secondo James A. Lewis, esperto di cyber
warfare al Center for Strategic and International Studies, un’attribuzione così veloce e
precisa nasconde una conoscenza dell’aggressore più chiara di quello che è stato detto
166
Kim Zetter, Sony Hackers Threaten to Release a Huge ‘Christmas Gift’ of Secrets, “Wired”, 15 dicembre 2014, disponibile a http://www.wired.com/2014/12/sony-hack-part-deux/. 167
Dominic Rushe, Hackers who targeted Sony invoke 9/11 attacks in warning to moviegoers, “The Guardian”, 16 dicembre 2014, http://www.theguardian.com/film/2014/dec/16/employees-sue-failure-guard-personal-data-leaked-hackers. 168
Sebbene a posteriori si scoprisse che in realtà era prevista una pubblicazione per il mercato online, decisione poi confermata da Google. Jacob Kastrenakes, Sony cancels The Interview release after theaters pull out, “The Verge”, 17 dicembre 2014, http://www.theverge.com/2014/12/17/7412393/sony-cancels-the-interview-release-after-theaters-pull-out. 169
Greg Jaffe, Steven Mufson, Obama criticizes Sony’s decision to pull ‘The Interview’, “Washington Post”, 18 dicembre 2004, http://www.washingtonpost.com/politics/obama-criticizes-sonys-decision-to-pull-the-interview/2014/12/19/77d1ce9a-87ad-11e4-b9b7-b8632ae73d25_story.html. 170
Nick Allen, Sony hack: Obama considers 'proportional response' against North Korea, “The Telegraph”, dicembre 18 dicembre 2014, http://www.telegraph.co.uk/news/worldnews/northamerica/usa/11302590/Sony-hack-Obama-considers-proportional-response-against-North-Korea.html.
LOCATELLI RICERCA FINALE AI-SA-22 63 Dott. Andrea LOCATELLI
apertamente171. La ragione di tale consapevolezza delle capacità nordcoreane è dovuta,
molto probabilmente, a un’operazione di cyber spionaggio avvenuta nel 2010 contro il
regime di Pyongyang. Tale operazione aveva permesso di tracciare i dati delle reti
nordcoreane usate dagli hacker del paese, tra cui oltre 1800 esperti informatici del Bureau
121, l’unità segreta di hacker del governo sotto il controllo del Reconnaissance General
Bureau (l’ufficio di intelligence principale)172.
La sofisticatezza dell’attacco per alcuni esperti è troppo elevata per essere di origine
esclusivamente Nord Coreana, e pertanto si è valutata la tesi dell’aiuto di un insider.
Questa tesi è avallata da diversi esperti di sicurezza informatica173 Nonostante ciò, l’FBI in
questo caso si è dimostrata molto sicura del processo di attribuzione. Il direttore
dell’agenzia, James Comey, ha dichiarato che gli hacker sono stati frettolosi e poco precisi
nel cancellare le loro tracce, tracce che sono state seguite dall’FBI per rintracciarli174.
Secondo Comey furono tracciati gli indirizzi IP usati per mandare le e-mail a Sony e per
pubblicare i dati trafugati online, ed erano indirizzi usati dai nordcoreani175. Per fugare il
dubbio di un attacco false-flag, Comey disse che c’erano altre prove certe ma che non
poteva esplicitarne la natura per motivi di sicurezza176.
Caratteristica primaria del malware utilizzato per l’attacco, che molto probabilmente è una
versione modificata di Wiper177, così battezzato perché cancella i dati dai sistemi (modus
171
David Sanger, Martin Fackler, N.S.A. Breached North Korean Networks Before Sony Attack, Officials Say, “The New York Times”, 18 gennaio 2015, http://www.nytimes.com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-before-sony-attack-officials-say.html?_r=0. 172
Ju-Min Park, James Pearson, In North Korea, hackers are a handpicked, pampered elite, Reuters, 5 dicembre 2014, http://www.reuters.com/article/2014/12/05/us-sony-cybersecurity-northkorea-idUSKCN0JJ08B20141205. 173
Noah Rayman, New Research Blames Insiders, Not North Korea, for Sony Hack, “Time”, 30 dicembre 2014, http://time.com/3649394/sony-hack-inside-job-north-korea/. 174
Andy Greenberg, FBI Director: Sony’s ‘Sloppy’ North Korean Hackers Revealed Their IP Addresses, “Wired”, 7 gennaio 2015, http://www.wired.com/2015/01/fbi-director-says-north-korean-hackers-sometimes-failed-use-proxies-sony-hack/. 175
Pare infatti che gli hacker abbiano commesso lo stesso errore compiuto in un precedente attacco alle banche sudcoreane: lasciare una traccia da cui fu possibile rintracciare un IP e così scoprire l’origine degli attacchi. Da notare che lo stesso IP era in una lista di IP appartenenti ad aziende Nord Coreane. Sanger, Fackler, N.S.A. Breached North Korean Networks Before Sony Attack, Officials Say, 176
Arik Hesseldahl, Details Emerge on Malware Used in Sony Hacking Attack, Recode.net, 2 dicembre 2014, http://recode.net/2014/12/02/details-emerge-on-malware-used-in-sony-hacking-attack/. 177
In realtà “Wiper” è un termine generico che si riferisce ad un attacco che si compone di tre divers i malware che agiscono in sincrono: BKDR_WIPALL.A, che protegge un set di utenti e password crittato, che serve ad ottenere l’accesso alla rete della compagnia target; BKDR_WIPALL.B, che viene rilasciato dal precedente, ed è la parte che serve a causare il danno. Una volta nel sistema rimane dormiente per 10 minuti e poi inizia a cancellare i files oltre a fermare i processi di Microsoft Exchange Information Store, che serve a gestire diverse informazioni all’interno di un sistema sotto Microsoft Exchange Server, tra cui cartelle pubbliche e mail. Il malware torna dormiente per due ore e poi forza un riavvio del sistema; BKDR_WIPALL.B è in grado di rilasciare un componente addizionale, ovvero “usbdrv32.sys”. Questo file consente a chi lo utilizza di poter leggere e sovrascrivere i file della macchina infettata.
LOCATELLI RICERCA FINALE AI-SA-22 64 Dott. Andrea LOCATELLI
operandi usato spesso durante gli attacchi nordcoreani). Chi ha modifcato il malware ha
usato Microsoft Windows in Coreano e ha poi attaccato attraverso computer compromessi
in vari paesi, tra cui Tailandia, Italia e Polonia. Il malware sfrutta una falla all’interno di
Windows Management Instrumentation, uno strumento creato apposta per la gestione di
terminali Windows in ambienti aziendali. Una volta che il malware si è introdotto nella rete,
viene utilizzato WMI per lanciarlo tra tutte le macchine connesse simultaneamente. Una
volta che ha compiuto il suo dovere, questo elimina tutti i dati presenti nei sistemi.
Soprattutto, il malware elimina il Master Boot Record, il settore di un hard disk contenente
le informazioni per l’avvio del sistema operativo, rendendo quindi impossibile l’accensione
della macchina colpita178.
Alla luce di ciò, da dove nasce c’è il sospetto che sia lo stesso usato nel Sony Hack? Il
wiper del Sony Hack, secondo Trend Micro era in realtà una variante differente,
denominata BKDR_WIPALL.D, la quale rilasciava BKDR_WIPALL.C. Tra le funzioni di
quest’ultimo c’era quella di poter pubblicare il file d’immagine walls.bmp, che è quello che
recitava “Hacked by GOP”: lo sfondo del desktop trovato dagli impiegati Sony. Ulteriori
analisi effettuate da AlienVault Labs, hanno permesso di scoprire che il codice del wiper
era stato scritto appositamente per Sony: infatti conteneva username e password per
accedere alla rete della multinazionale. Questo prova che è stata compiuta un’azione di
spearphishing per ottenere le credenziali179. In conclusione, la ricostruzione forense più
attendibile è che i nordcoreani siano riusciti a mettere le mani su di un wiper e l’abbiano
modificato tramite un computer con un’impostazione di tastiera in coreano per poter
violare i sistemi di Sony.
In conclusione, nonostante i soggetti privati, come le multinazionali, siano responsabili
della loro sicurezza, in questo caso è palese che Sony non fosse all’altezza di gestire un
attacco di questa dimensione. Senza l’ausilio del governo e dell’FBI, l’azienda si sarebbe
trovata ancora più impreparata ad affrontare l’attacco e le conseguenze sarebbero state
ben peggiori. È quindi fondamentale sottolineare l’importanza della partnership tra
pubblico e privato, dove in questo caso il pubblico ha dato anche una legittimità a livello
nazionale all’accaduto, facendosi carico della difesa, della gestione – e probabilmente
anche della rappresaglia di un evento che era inizialmente circoscritto ad un’azienda.
178
Hesseldahl, Details Emerge on Malware Used in Sony Hacking Attack. 179
Brandon Bailey, Youkyung Lee, Experts: The Sony Hack Looks A Lot Like Previous Attacks On South Korea, “Business Insider”, 4 dicembre 2014, http://uk.businessinsider.com/experts-the-sony-hack-looks-a-lot-like-previous-attacks-on-south-korea-2014-12?r=US&IR=T.
LOCATELLI RICERCA FINALE AI-SA-22 65 Dott. Andrea LOCATELLI
Al riguardo, un portavoce nordcoreano accusò gli Stati Uniti di essere responsabili di un
attacco contro le reti del paese asiatico, che rimasero inoperabili tra il 21 e il 22 dicembre.
È difficile non collegare questo apparente attacco con la “risposta proporzionata” citata da
Obama, ma è altrettanto difficile in questo caso dimostrare la colpevolezza degli Stati
Uniti. La rappresaglia è uno scenario possibile, dato che la rete nordcoreana è rimasta
fuori servizio per un lungo periodo e in modo continuo, come avviene durante gli attacchi
informatici180. Come nei casi discussi in precedenza, tuttavia, il problema dell’attribuzione
– complice anche la mancanza di trasparenza da parte di Pyongyang – sembra
insormontabile.
Sicure invece sono le sanzioni imposte alla Corea del Nord volute da Obama il 2 gennaio
in relazione all’attacco – sanzioni che vietano a qualsiasi ufficiale o agente nordcoreano di
accedere o ai propri beni su suolo statunitense181. In più, Obama ha proposto al
Congresso di aggiornare le proprie leggi in tema di sicurezza, e di aggiungerne di nuove in
modo da poter agevolare la gestione e la risposta in casi come quello analizzato182.
Sicuramente la vicenda del Sony Hack rappresenta quindi un’altra pietra miliare nella
giovane storia del cyber warfare. È importante sottolineare come in questo caso il governo
americano si sia fatto carico della gestione della sicurezza di un ente privato e sia riuscito
ad avere un livello di attribuzione molto elevato per poter prima accusare e poi sanzionare
la Corea del Nord. Ai fini della nostra analisi, insomma,
3.4 – Conclusioni
Uno dei problemi di cui gli studiosi di diritto lamentano maggiormente la presenza,
nell’applicare il Diritto Internazionale al cyber spazio consiste nell’assenza di una prassi
consolidata. L’assenza di casi di attacco cyber e relativa reazione, si sostiene, costringe a
mantenere la discussione giuridica a livello esclusivamente teorico e impedisce di stabilire
una consuetudine. L’analisi dei tre casi sopra discussi illustra in modo evidente come,
180
Max Fisher, North Korea's internet appears to be under mass cyber attack, Vox.com, 22 dicembre 2014, http://www.vox.com/2014/12/22/7433873/north-korea-internet-down. 181
Gregory Korte, David, Jackson, Obama sanctions North Korea for movie hacking, “Usa Today”, 2 gennaio 2015, http://www.usatoday.com/story/news/politics/2015/01/02/obama-north-korea-sanctions-interview-movie/21195385/. 182
John Kerry, Condemning Cyber-Attack by North Korea, US Department of State, 19 dicembre 2014, http://www.state.gov/secretary/remarks/2014/12/235444.htm.
LOCATELLI RICERCA FINALE AI-SA-22 66 Dott. Andrea LOCATELLI
nonostante le peculiarità e le differenze di ciascun attacco, sia possibile trarre diverse
lezioni dall’esperienza pregressa. Come mostra in maniera sintetica la tabella che segue,
è possibile notare come Iran, Estonia e Stati Uniti abbiano reagito in tre modi
sostanzialmente diversi.
Iran Estonia Stati Uniti
Applicabilità Certa Dubbia Dubbia
Attribuzione Impossibile Impossibile Possibile
Valutazione Cyber sabotaggio Cyber sommossa Cyber spionaggio
Reazione: Cyber rappresaglia (?) Azione penale;
cooperazione NATO
Cyber rappresaglia
Sanzioni (?)
Tabella 2. Sunto dei tre casi di studio
Sfortunatamente, in tutti e tre i casi, le giustificazioni legali basati sulla legittima difesa
sono passate in secondo piano rispetto alle considerazioni strategiche: l’Iran, pur
denunciando l’attacco come un’azione ostile nei propri confronti, non si è preoccupato più
di tanto di invocare il diritto alla legittima difesa, optando per una strategia simmetrica a
quella subita – ovvero una cyber rappresaglia. Nel caso dell’Estonia, nonostante le iniziali
pretese di considerare l’attacco subito come una fattispecie di terrorismo di Stato, la
reazione si è risolta principalmente in un’azione penale (di fatto contro ignoti) dai risultati
inconcludenti (oltre che, nel lungo periodo, in una maggiore cooperazione con gli alleati
della NATO). Infine, nel caso dell’attacco subito da Sony, gli Stati Uniti hanno
(verosimilmente) utilizzato un mix di approccio strategico e giuridico, reagendo nei
confronti della Corea del Nord sia con una rappresaglia sia con l’imposizione di sanzioni
mirate.
LOCATELLI RICERCA FINALE AI-SA-22 67 Dott. Andrea LOCATELLI
Alcune considerazioni conclusive portano ad avere un poco di ottimismo in merito al cyber
spazio, ma impongono al tempo stesso di sollevare qualche nota di cautela. Il problema
principale è che, se osserviamo l’utilizzo del cyber spazio in una prospettiva di lungo
periodo, noteremo che siamo davvero agli albori di una nuova era, e lo scenario che si
presenterà da qui a dieci anni sarà probabilmente molto diverso da quello attuale, poiché
la tecnologia continua ad evolversi: in particolare, le modalità d’attacco potrebbero
modificarsi e diventare ben più sofisticate e pericolose (al punto da portare a un danno
fisico su larga scala a persone e oggetti). Il secondo problema è l’assenza di un quadro
normativo solido che possa regolare non solo le modalità d’attacco, ma soprattutto le
possibili reazioni in legittima difesa, con il rischio che scoppi una escalation incontrollata.
Da ultimo, quali sono le implicazioni politico/strategiche, ovvero cosa può succedere se un
attacco cyber riesce a colpire uno Stato in modo efficace? Potrebbe paralizzare un paese?
Potrebbe portare al caos e all’instabilità? Ancora non lo sappiamo. Potrebbe essere uno
dei tanti strumenti all’interno del portafoglio di possibilità della gestione della violenza al
pari degli arsenali di armi cinetiche, ma potrebbe essere davvero un game changer,
ovvero costituire una nuova frontiera del conflitto, con tutte le conseguenze nefaste che
questo comporta.
L’analisi delle pagine precedenti non mira a dare una risposta definitiva a problemi tanto
complessi. Al contrario, di fronte a un dibattito giuridico, strategico e politico ancora in
corso, si è cercato di presentare in modo esaustivo le principali posizioni in campo.
L’assunto che ha guidato la scrittura di questo rapporto è infatti che qualsiasi risposta si
cerchi di proporre non potrà che essere parziale. Il problema ultimo a cui si dovrà dare una
risposta riguarda infatti l’eccesso di controversie e ambiguità tra le varie posizioni emerse
finora. Maggiore sarà il margine di incertezza nell’applicazione del Diritto Internazionale,
maggiore sarà l’incentivo per gli Stati (e, altrettanto rilevante, per gli attori non statali) ad
allontanare la prassi dalle norme internazionali e fare un uso sempre più massiccio e
disinvolto delle tecnologie cibernetiche. Apparentemente, siamo ancora in una fase di
Conclusioni:
Prescrizioni per rendere efficace l’apparato
normativo nel cyber spazio
LOCATELLI RICERCA FINALE AI-SA-22 68 Dott. Andrea LOCATELLI
apprendimento, in cui le cyber potenze stanno ancora valutando gli effetti e le potenzialità
delle nuove tecnologie in questioni di sicurezza.
Finché le cose rimarranno invariate, il loro utilizzo rimarrà vincolato non tanto da norme
giuridiche, quanto da considerazioni strategiche, di cautela e, in ultima istanza, di buon
senso183. In altri termini, tra might e right, le azioni nel cyber spazio saranno limitate
esclusivamente dalle capacità degli attori, senza particolare riguardo per considerazioni
normative. Si tratta dunque di una situazione alquanto rischiosa, da cui occorre
allontanarsi al più presto. Sul come fare, tuttavia, le proposte finora articolate sono poche
e poco promettenti. Secondo Evan e Siman-Tov184, qualsiasi tentativo di
regolamentazione potrà avvenire secondo tre modalità: attraverso forme di cooperazione
internazionale; attraverso l’adattamento del Diritto Internazionale al cyber spazio e, infine,
con un trattato internazionale vincolante. Stante la prassi attuale, la terza opzione sembra
un’eventualità remota: come visto analizzando il comportamento degli Stati colpiti da
attacchi cyber, se anche si riuscisse a ratificare un trattato internazionale, questo non
comporterebbe necessariamente un adeguamento della prassi degli Stati. È quindi
improbabile che gli Stati saranno disposti nel breve periodo a sottoscrivere nuove regole.
Più probabile sarà un mix tra le prime due strategie185. Dati i limiti sopra discussi di
adattamento del Diritto Internazionale, le prescrizioni che seguono sono intese come guida
per favorire la cooperazione tra Stati e, conseguentemente, l’armonizzazione del loro
comportamento nel cyber spazio.
Seguendo il recente spunto di Radziwill186, per poter conseguire qualche successo sarà
necessario operare in quattro direzioni: 1) al fine di circoscrivere le zone di ambiguità – e
quindi le possibili fonti di controversia – qualsiasi norma emerga, dovrà risultare quanto più
possibile chiara e precisa; 2) per porre un freno alle possibilità di escalation in seguito ad
un attacco cyber, occorre che le definizioni di uso della forza e attacco armato siano chiare
e condivise da tutte le cyber potenze; 3) al duplice fine di limitare le possibilità d’azione
degli Stati in risposta a un attacco cyber e allineare le modalità di legittima difesa rispetto
183
Quelli che Alessandro Colombo chiama i “freni clausewitziani” della guerra. Colombo, La guerra ineguale. 184
Even, Siman-Tov, Cyber Warfare, p. 8. 185
Even, Siman-Tov, Cyber Warfare, p. 8. 186
In questo senso sarà certamente di grande rilevanza l’esito dei negoziati in corso tra Stati Uniti e Cina in merito a un possibile accordo bilaterale per limitare l’uso delle armi cibernetiche. Sul punto, tuttavia, non sembra si riscontrino le condizioni per sperare in un accordo che sia veramente in grado di vincolare le due cyber potenze. Stefano Mele, Francesco N. Moro, Cyber security: un fronte sempre più caldo, ISPI Commentary, 25 settembre 2015, http://www.ispionline.it/sites/default/files/pubblicazioni/commentarymelemoro.pdf.
LOCATELLI RICERCA FINALE AI-SA-22 69 Dott. Andrea LOCATELLI
all’ambito cinetico, le Nazioni Unite dovranno essere messe in grado di intervenire
efficacemente; 4) data la complessità delle tecnologie utilizzate nell’ambito cyber e la loro
continua evoluzione, qualsiasi intento normativo dovrà coinvolgere gli esperti del settore.
La tabella 3 fornisce un prospetto riassuntivo dei problemi evidenziati nelle pagine
precedenti e delle soluzioni proposte.
Problema Soluzione
Zone di ambiguità Formulare norme che siano quanto più
possibile chiare e articolate
Distanza tra prassi e dottrina Formulare norme precise e articolate;
Definizione di attacco armato
Assenza di limiti all’escalation Definizione chiara e condivisa di quali
azioni costituiscano un attacco armato
Ruolo marginale dell’ONU Dotare le Nazioni Unite degli strumenti
per essere rilevanti.
Evoluzione della tecnologia Coinvolgimento di esperti del settore
nell’elaborazione delle norme
Tabella 3. Sunto delle prescrizioni politiche
In conclusione, le prescrizioni qui proposte non sono che il punto di partenza per una
riforma del sistema normativo nel cyber spazio: come tali, dovranno poi essere realizzate
concretamente in quanto politiche pubbliche. Come noto, questo processo – di
implementazione187, per usare il gergo della Scienza Politica – sarà particolarmente
complesso e ricco di ostacoli, molti dei quali non saranno prevedibili in fase di
elaborazione dottrinaria188. Tuttavia, ci sono buoni motivi per ritenere che uno sforzo in tal
senso sia più che utile: fintantoché non si riusciranno a imporre dei vincoli legali all’azione
degli Stati – per quanto deboli possano essere tali freni – i margini di incertezza saranno
187
Giusppe Ieraci, L’analisi delle politiche pubbliche, Roma, Aracne, 2009, pp. 113-128. 188
Giusto a titolo d’esempio, si pensi alla prescrizione di dotare l’ONU di strutture e risorse per poter essere rilevante nel cyber-space. Questo, se portato alle logiche conseguenze, significa istituire nuovi uffici cyber all’interno delle agenzie esistenti (finora solo l’Unione Internazionale delle Comunicazioni dell’ONU e UNICRI sembra vantare una qualche competenza nel settore), o addirittura la creazione di un’agenzia ONU dedicata al cyber spazio – con tutti i problemi di bilancio, catena di comando, procedure operative e via dicendo che ne conseguono.
LOCATELLI RICERCA FINALE AI-SA-22 70 Dott. Andrea LOCATELLI
difficilmente quantificabili, e con essi anche il rischio che il cyber spazio diventi un nuovo
sanguinoso campo di battaglia.
LOCATELLI RICERCA FINALE AI-SA-22 71 Dott. Andrea LOCATELLI
PARTE SPECIALISTICA / DI SUPPORTO /
BIBLIOGRAFICA
LOCATELLI RICERCA FINALE AI-SA-22 72 Dott. Andrea LOCATELLI
BIBLIOGRAFIA
Allen Nick, Sony hack: Obama considers 'proportional response' against North Korea,
“The Telegraph”, dicembre 18 dicembre 2014,
http://www.telegraph.co.uk/news/worldnews/northamerica/usa/11302590/Sony-hack-
Obama-considers-proportional-response-against-North-Korea.html.
Alperovitch Dmitri, Sony Hack: Poster Child For A New Era Of Cyber Attacks,
Darkreading, 13 febbraio 2015, http://www.darkreading.com/attacks-breaches/sony-hack-
poster-child-for-a-new-era-of-cyber-attacks-/a/d-id/1319081.
Antolin-Jenkins Vida M., Defining the Parameters of Cyberwar Operations: Looking for
Law in All the Wronge Places? “Naval Law Review”, Vol. 51, 2005, pp. 132-174.
Arquilla John, David Ronfeldt, Cyberwar is Coming!, “Comparative Strategy”, Vol. 12, No.
2, 1993, pp. 141-65.
Associated Press, Obama Says North Korea Hacked Sony, Vows Response, “New York
Times”, 19 dicembre 2014, http://www.nytimes.com/aponline/2014/12/19/arts/ap-us-sony-
hack.html.
Bailey Brandon, Youkyung Lee, Experts: The Sony Hack Looks A Lot Like Previous
Attacks On South Korea, “Business Insider”, 4 dicembre 2014,
http://uk.businessinsider.com/experts-the-sony-hack-looks-a-lot-like-previous-attacks-on-
south-korea-2014-12?r=US&IR=T.
Blank Stephen, Rethinking Asymmetric Threats, Carlisle Barracks (PA), US Army War
College, 2003.
Blank Stephen, Web War I: Is Europe’s First Information War a New Kind of War?,
“Comparative Strategy”, Vol. 27, No. 3, 2008, pp. 227-247.
Brenner Joel, America the Vulnerable: Inside the New Threat Matrix of Digital Espionage,
Crime, and Warfare, New York, Penguin Press, 2011.
LOCATELLI RICERCA FINALE AI-SA-22 73 Dott. Andrea LOCATELLI
Bresnahan Timothy F., Shane Greenstein (1999), Technological Competition and the
Structure of the Computer Industry, “Journal of Industrial Economics”, Vol. 47, No. 1, pp.
1-40.
Brodie Bernard, The Atomic Bomb and American Security, New Haven (CT), Yale Institute
for International Studies, 1945.
Brownlie Ian, International Law and the Use of Force by States, Oxford, Oxford University
Press, 1963.
Bull Hedley, The Anarchical Society. A Study of Order in World Politics, New York,
Columbia University Press, 1977 (trad. It. La società anarchica. L’ordine nella politica
mondiale, Milano, Vita e Pensiero, 2005).
Caltagirone Sergio, Andrew Pendergast, Christopher Betz, The Diamond Model of
Intrusion Analysis, ADA586960, Hanover (MD): Center for Cyber Threat Intelligence and
Threat Research, 5 luglio 2013.
Cartwright James E., Memorandum for Chiefs of the Military Services, Commanders of the
Combatant Commands, Directors of the Jount Staff Directories on Joint Terminology for
Cyberspace Operations, Washington (DC), 2011, http://www.nsci-
va.org/CyberReferenceLib/2010-11-
joint%20Terminology%20for%20Cyberspace%20Operations.pdf.
Caso delle attività militari e paramilitari in e contro il Nicaragua, sentenza di merito del 27
giugno 1986, par. 195. http://www.icj-cij.org/docket/files/70/6503.pdf.
Cieply Michael, Brooks Barnes, Sony Cyberattack, First a Nuisance, Swiftly Grew Into a
Firestorm, “The New York Times”, 30 dicembre 2014,
http://www.nytimes.com/2014/12/31/business/media/sony-attack-first-a-nuisance-swiftly-
grew-into-a-firestorm-.html.
Clarke Richard, Robert Knake, Cyber War: The Next Threat to National Security and What
to Do About It, New York, HarperCollins, 2010.
Codice di Procedura Penale Estone.
Codice Penale Estone.
LOCATELLI RICERCA FINALE AI-SA-22 74 Dott. Andrea LOCATELLI
Colombo Alessandro, La guerra ineguale, Bologna, Il Mulino, 2006.
Daalder Ivo H., James M. Lindsay, America Unbound, Washington (DC), Brookings
Institution Press, 2003 (trad. it. America senza freni, Milano, Vita e Pensiero, 2005).
Davis Joshua, Web War I, “Wired”, settembre 2007.
Dinstein Yoram, War, Aggression and Self-Defence, Cambridge, Cambridge University
Press, 5a ediz., 2011.
Duffy Helen, The 'War on Terror' and the Framework of International Law. Cambridge,
Cambridge University Press. 2005.
(The) Economist, Trouble Shooting. America’s computers and networks are under attack.
Retaliation against Chinese hackers looms, 12 settembre 2015,
http://www.economist.com/news/united-states/21664145-americas-computers-and-
networks-are-under-attack-retaliation-against-chinese-hackers?frsc=dg%7Cd.
Evangelista Matthew, Law, Ethics and the War on Terror, Cambridge, Polity Press, 2008
(trad. it. Diritto, etica e guerra al terrore, Milano, Vita e Pensiero, 2009).
Even Shmuel, David Siman-Tov, Cyber Warfare: Concepts and Strategic Trends,
Memorandum 117, The Institute for National Security Studies, Tel Aviv, 2012.
Falliere Nicolas, Liam O Murchu, Eric Chien, W32.Stuxnet Dossier, versione 1.4,
Symantec, 2011, pp. 5-7, disponibile su
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/
w32_stuxnet_dossier.pdf.
Fidler David P., Inter arma silent leges Redux? The Law of Armed Conflict and Cyber
Conflict, in Derek S. Reveron (a cura di), Cyberspace and National Security, Washington
(DC), Georgetown University Press, 2012, pp. 71-87.
Fidler David P., Was STUXNET An Act of War? Decoding a Cyberattack, IEEE Security
and Privacy 9, No. 4, 2011, luglio/agosto 2011,
https://armscontrollaw.files.wordpress.com/2013/03/fidler-on-stuxnet-and-il.pdf.
LOCATELLI RICERCA FINALE AI-SA-22 75 Dott. Andrea LOCATELLI
Fisher Max, North Korea's internet appears to be under mass cyber attack, Vox.com, 22
dicembre 2014, http://www.vox.com/2014/12/22/7433873/north-korea-internet-down.
Freedman Lawrence, The Evolution of Nuclear Strategy, London, Palgrave Macmillan,
1981.
Gandhi Robin (et al.), Dimensions of Cyber Attacks, “IEEE Technology and Society
Magazine”, Spring 2011, pp. 28-38.
GAO, INFORMATION SECURITY. Cyber Threats and Data Breaches Illustrate Need for
Stronger Controls across Federal Agencies.
Giacomello Giampiero, Close to the Edge. Cyberterrorism Today, in Raul Caruso, Andrea
Locatelli (a cura di), Understanding Terrorism. A Socio-Economic Perspective, Bingley,
Emerald, 2014, pp. 217-236.
Giacomello Giampiero, Gianmarco Badialetti, Manuale di Studi Strategici. Da Sun Tzu alle
nuove guerre, Milano, Vita e Pensiero, 2009.
Gilbert David, NSA monitored North Korean hackers since 2010 but were unable to
prevent Sony hack, “International Business Times”, 19 gennaio 2015,
http://www.ibtimes.co.uk/nsa-monitored-north-korean-hackers-since-2010-were-unable-
prevent-sony-hack-1484021.
Giusti Serena, La Proiezione Esterna della Federazione Russa, Pisa, Edizioni ETS, 2012.
Greenberg Andy, FBI Director: Sony’s ‘Sloppy’ North Korean Hackers Revealed Their IP
Addresses, “Wired”, 7 gennaio 2015, http://www.wired.com/2015/01/fbi-director-says-
north-korean-hackers-sometimes-failed-use-proxies-sony-hack/.
Griffin Andrew, Sony hack: who are the Guardians of Peace, and is North Korea really
behind the attack?, “The Independent”, 17 dicembre 2014,
http://www.independent.co.uk/life-style/gadgets-and-tech/news/sony-hack-who-are-the-
guardians-of-peace-and-is-north-korea-really-behind-the-attack-9931282.html.
Harrison Dinniss Heather, Cyber Warfare and the Laws of War, Cambridge, Cambridge
University Press, 2012.
LOCATELLI RICERCA FINALE AI-SA-22 76 Dott. Andrea LOCATELLI
Hathaway Oona A. (et al)., The Law of Cyber Attack, “California Law Review”, Vol. 100,
2012, pp. 817-886.
Hesseldahl Arik, Details Emerge on Malware Used in Sony Hacking Attack, Recode.net, 2
dicembre 2014, http://recode.net/2014/12/02/details-emerge-on-malware-used-in-sony-
hacking-attack/.
Hutchins Eric M., Michael J. Cloppert, Rohan M. Amin, Intelligence-Driven Computer
Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains,
Bethesda (MD), Lockheed Martin Corporation, 2010.
ICTY, Prosecutor v. Dusko Tadic, Case No. IT-94-1-A, 15 luglio 1999.
Ieraci Giusppe, L’analisi delle politiche pubbliche, Roma, Aracne, 2009, pp. 113-128.
Ikenberry John G., After Victory. Insitutions, Strategic Restraint and the Rebuilding of
Order after Major Wars, Princeton, Princeton University Press, 2001 (trad. it. Dopo la
Vittoria. Istituzioni, strategie della moderazione e ricostruzione dell’ordine internazionale
dopo le grandi guerre, Milano, Vita&Pensiero, 2002).
Ikenberry John G., Institutions, Strategic Restraint, and the Persistence of American
Postwar Order, in “International Security”, Vol. 23, No. 3, 1998, pp. 43-78.
International Committee of the Red Cross, Customary International Humanitarian Law,
Rule 271: Weapons That Are by Nature Indiscriminate.
Jaffe Greg, Steven Mufson, Obama criticizes Sony’s decision to pull ‘The Interview’,
“Washington Post”, 18 dicembre 2004, http://www.washingtonpost.com/politics/obama-
criticizes-sonys-decision-to-pull-the-interview/2014/12/19/77d1ce9a-87ad-11e4-b9b7-
b8632ae73d25_story.html.
Kanet Roger, Russian Foreign Policy in the Twenty-first Century, Houndsmill, Palgrave,
2010.
Kastrenakes Jacob, Sony cancels The Interview release after theaters pull out, “The
Verge”, 17 dicembre 2014, http://www.theverge.com/2014/12/17/7412393/sony-cancels-
the-interview-release-after-theaters-pull-out.
LOCATELLI RICERCA FINALE AI-SA-22 77 Dott. Andrea LOCATELLI
Kerry John, Condemning Cyber-Attack by North Korea, US Department of State, 19
dicembre 2014, http://www.state.gov/secretary/remarks/2014/12/235444.htm.
Kissinger Henry, The Evolution of Nuclear Strategy, London, Palgrave Macmillan, 1957.
Korte Gregory, David, Jackson, Obama sanctions North Korea for movie hacking, “Usa
Today”, 2 gennaio 2015, http://www.usatoday.com/story/news/politics/2015/01/02/obama-
north-korea-sanctions-interview-movie/21195385/.
Langner Ralph, Cracking STUXNET, “TED Talk”, marzo 2011.
Langner Ralph, What STUXNET is All About, 10 gennaio 2011,
http://www.langner.com/en/2011/01/10/what-stuxnet-is-all-about/.
Libicki Martin C., Cyberdeterrence and Cyberwar, Santa Monica (CA), RAND, 2009.
Libicki Martin C., Cyberspace Is Not a Warfighting Domain, “I/S: A Journal of Law and
Policy for the Information Society”, Vol. 8, No. 2, 2012, pp. 321-336.
Libicki Martin C., What is Information Warfare?, Washington, National Defense University,
2005.
Lidell Hart Basil, Deterrence or Defence, London, Stevens, 1960.
Liff Adam, Cyberwar: A New ‘‘Absolute Weapon’’? The Proliferation of Cyberwarfare
Capabilities and Interstate War, “Journal of Strategic Studies”, Vol. 35, No. 3, 2012, pp.
401-428.
Lin Herbert, Operational Considerations in Cyber Attack and Cyber Exploitation, in Derek
S. Reveron (a cura di), Cyberspace and National Security, Washington (DC), Georgetown
University Press, 2012, pp. 37-56.
Lindsay Jon R., Stuxnet and the Limits of Cyber Warfare, “Security Studies”, Vol. 22, No.
3, 2013, pp. 365-404.
Locatelli Andrea, The Offence/Defence Balance in Cyberspace, ISPI Analysis No. 203,
October 2013.
LOCATELLI RICERCA FINALE AI-SA-22 78 Dott. Andrea LOCATELLI
Locatelli Andrea, What is terrorism? Concepts, definitions and classifications, in Raul
Caruso, Andrea Locatelli (a cura di), Understanding Terrorism. A Socio-Economic
Perspective, Bingley, Emerald, 2014, pp. 1-23.
Luttwak Edward, Strategy. The Logic of War and Peace, Cambridge (MA), Harvard
University Press, 1987 (trad. it. Strategia. Le logiche della Guerra e della pace nel
confronto tra le grandi potenze, Milano, Rizzoli, 1989).
Maggioni Monica, Paolo Magri, Twitter e Jihad: la comunicazione dell’ISIS, Milano, ISPI,
2015.
McConnell Mike, How to Win the Cyberwar We’re Losing, “Washington Post”, 28 febbraio
2010.
Mele Stefano, Francesco N. Moro, Cyber security: un fronte sempre più caldo, ISPI
Commentary, 25 settembre 2015,
http://www.ispionline.it/sites/default/files/pubblicazioni/commentarymelemoro.pdf.
Nakashima Ellen, Iran blamed for cyberattacks on U.S. banks and companies,
“Washington Post”, 21 settembre 2012, https://www.washingtonpost.com/world/national-
security/iran-blamed-for-cyberattacks/2012/09/21/afbe2be4-0412-11e2-9b24-
ff730c7f6312_story.html.
Old BlackBerrys Came to Sony’s Rescue After Systems Hacked, Bloomberg, 31 dicembre
2014, http://www.bloomberg.com/news/articles/2014-12-31/old-blackberrys-came-to-the-
rescue-after-sonys-systems-hacked.
Pagliery Jose, 'Sony-pocalypse': Why the Sony hack is one of the worst hacks ever, CNN
Money, 4 dicembre 2014, http://money.cnn.com/2014/12/04/technology/security/sony-
hack/.
Park Ju-Min, James Pearson, In North Korea, hackers are a handpicked, pampered elite,
Reuters, 5 dicembre 2014, http://www.reuters.com/article/2014/12/05/us-sony-
cybersecurity-northkorea-idUSKCN0JJ08B20141205.
Radziwill Yarozlav, Cyber-Attacks and the Exploitable Imperfections of International Law,
Leiden Brill, 2015.
LOCATELLI RICERCA FINALE AI-SA-22 79 Dott. Andrea LOCATELLI
Randelzhofer Albrecht, Georg Nolte, Article 51, in Bruno Simma et al. (a cura di), The
Charter of the United Nations: A Commentary, 3a ediz., Vol. 2, 2012, pp. 1397-1428.
Rattray Greg, Chris Evans, Jason Healey, American Security in the Cybercommons, in
Abraham M. Denmark, James Mulvenon (a cura di), Contested Commons: The Future of
American Power in a Multipolar World, Washington (DC), Center for a New American
Security, 2010, pp. 151-172.
Rayman Noah, New Research Blames Insiders, Not North Korea, for Sony Hack, “Time”,
30 dicembre 2014, http://time.com/3649394/sony-hack-inside-job-north-korea/.
(The) Republic of Estonia and the Russian Federation Agreement on legal assistance and
legal relationship in civil, family and criminal matters, 26 gennaio 1993.
Republic of Estonia, Estonia Surveillance Act, 1994, disponibile al sito www.unodc.org.
Reveron Derek S., An Introduction to National Security and Cyberspace, in Derek S.
Reveron (a cura di), Cyberspace and National Security, Washington (DC), Georgetown
University Press, 2012, pp. 3-19.
Rid Thomas, Ben Buchanan, Attributing Cyber Attacks, “Journal of Strategic Studies”, Vol.
38, No. 1, 2015, pp. 4-37.
Rid Thomas, Cyber War Will Not Take Place, “Journal of Strategic Studies”, Vol. 35, No. 1,
2012, pp. 5-32.
Roscini Marco, Cyber Operations and the Use of Force in International Law, Oxford,
Oxford University Press, 2014.
Rushe Dominic, Hackers who targeted Sony invoke 9/11 attacks in warning to moviegoers,
“The Guardian”, 16 dicembre 2014,
http://www.theguardian.com/film/2014/dec/16/employees-sue-failure-guard-personal-data-
leaked-hackers.
Sanger David, Martin Fackler, N.S.A. Breached North Korean Networks Before Sony
Attack, Officials Say, “The New York Times”, 18 gennaio 2015,
http://www.nytimes.com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-
before-sony-attack-officials-say.html?_r=0 ultimo accesso effettuato il: 18 settembre 2015.
LOCATELLI RICERCA FINALE AI-SA-22 80 Dott. Andrea LOCATELLI
Sartori Giovanni, Leonardo Morlino (a cura di), La comparazione nelle scienze sociali,
Bologna, Il Mulino, 1991.
Schelling Thomas, Arms and Influence, Hew Haven (CT), Yale University Press, 1966.
Schmitt Michael (rapporteur), Tallin Manual on the International Law Applicable to Cyber
Warfare, Cambridge, Cambridge University Press, 2013.
Schmitt Michael, Computer Network Attack and the Use of Force in International Law:
Thoughts on a Normative Framework, “Columbia Journal of Transnational Law”, Vol. 37,
1999, pp. 885-937.
Schmitt Michael, Preemptive Strategies in International Law, “Michigan Journal of
International Law”, Vol. 24, 2003, pp. 513-548.
Schmitt Michael, Responding to Transnational Terrorism Under the Jus Ad Bellum: A
Normative Framework, “Naval Law Review”, Vol. 56, 2008, pp. 1-42.
Schmitt Michael, The Law of Cyberwarfare: Quo Vadis?, “Stanford Law & Policy Review”,
Vol, 25, No. 2, 2014, pp. 269-300.
Sentenza della Corte della contea di Harju numero 1-07-15185 (Galushkevich) del 13
dicembre 2007.
Shackleford Scott J., From Nuclear War to Net War. Analogizing Cyber Attacks in
International Law, “Berkeley Journal of International Law”, Vol. 27, No. 1, 2009, pp. 192-
251.
Shanghai Cooperation Agreement, Annex I, par. 209.
Statement of General Keith B. Alexander, Commander United States Cyber Command,
before the House Committee on Armed Services (23 settembre 2010).
Stone John, Cyber War Will Take Place!, “Journal of Strategic Studies”, Vol. 36, No. 1,
2013, pp.101-108.
Stoppino Mario, Potere e politica, Milano, Giuffrè 2001.
LOCATELLI RICERCA FINALE AI-SA-22 81 Dott. Andrea LOCATELLI
Symantec, 2015 Internet Security Threat Report,
https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-
threat-report-volume-20-2015-social_v2.pdf.
The United States Army’s Cyberspace Operations Concept Capability Plan, TRADOC
Pamphlet 525-7-8, 22 febbraio 2010, http://fas.org/irp/doddir/army/pam525-7-8.pdf.
Tikk Eneken, Kadri Kaska Liis Vihul, International Cyber Incidents, Tallinn, CCDCOE
2010.
Tsagourias Nicholas, Cyber Attacks, Self-Defence and the Problem of Attribution, “Journal
of Conflict & Security Law”, Vol. 17, 2013, pp. 229-244.
United Nations Conference on International Organization, Docs. 2, 334, 609, 617(e)(4)
(1945).
United Nations Special Commission on Friendly Relations, U.N. Doc. A/AC.125/SR.110-14
(1970).
United States General Accountability Office, INFORMATION SECURITY. Cyber Threats
and Data Breaches Illustrate Need for Stronger Controls across Federal Agencies, GAO-
15-758T, 8 luglio 2015, http://www.gao.gov/assets/680/671253.pdf.
Wall David S., Cybercrime.The Transformation of Crime in the Information Age,
Cambridge, Polity Press, 2007.
Windrem Robert, Exclusive: Secret NSA Map Shows China Cyber Attacks on U.S.
Targets, NBCNEWS, 20 luglio 2005, http://www.nbcnews.com/news/us-news/exclusive-
secret-nsa-map-shows-china-cyber-attacks-us-targets-n401211.
Yong William, Iran Says It Arrested Computer Worm Suspects, “New York Times”, 10
ottobre 2010.
Zetter Kim, Sony Hackers Threaten to Release a Huge ‘Christmas Gift’ of Secrets,
“Wired”, 15 dicembre 2014, disponibile a http://www.wired.com/2014/12/sony-hack-part-
deux/.
LOCATELLI RICERCA FINALE AI-SA-22 82 Dott. Andrea LOCATELLI
RINGRAZIAMENTI
Per i preziosi suggerimenti bibliografici, e per aver letto e discusso diverse altre sezioni del
rapporto, merita un riconoscimento particolare il dott. Alessandro FASANI, dell’Università
degli Studi di Milano.
Ogni errore, imprecisione e omissione rimane ovviamente esclusiva responsabilità del
direttore della ricerca.
LOCATELLI RICERCA FINALE AI-SA-22 83 Dott. Andrea LOCATELLI
NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE
Ce.Mi.S.S.189
Il Centro Militare di Studi Strategici (Ce.Mi.S.S.) è l'Organismo che gestisce, nell'ambito e
per conto del Ministero della Difesa, la ricerca su temi di carattere strategico.
Costituito nel 1987 con Decreto del Ministro della Difesa, il Ce.Mi.S.S. svolge la propria
opera valendosi di esperti civili e militari, italiani ed esteri, in piena libertà di espressione di
pensiero.
Quanto contenuto negli studi pubblicati riflette quindi esclusivamente l'opinione del
Ricercatore e non quella del Ministero della Difesa.
Andrea LOCATELLI
Andrea Locatelli è ricercatore presso l’Università Cattolica del
Sacro Cuore di Milano.
Dopo aver conseguito il dottorato in Scienza Politica presso
l’Università di Firenze è stato scholar-in-residence presso il
Center for European Studies della Carleton University (Canada)
e borsista post-dottorato presso l’Università di Bologna.
È stato docente a contratto e visiting professor presso svariati atenei in Italia e all’estero,
tra cui l’Università Cattolica di Milano, l’Università di Pavia, la University of Ghana,
Novosibirsk State University (Russia), Pázmány Péter Catholic University (Ungheria) e
Carleton University.
Pagina web: http://docenti.unicatt.it/ita/andrea_locatelli/
189
http://www.difesa.it/SMD_/CASD/IM/CeMiSS/Pagine/default.aspx