Testo di prova · 2016. 12. 15. · Il problema dell’attribuzione si risolve nel compito di...

Centro Militare di Studi Strategici

Rapporto di Ricerca 2015 - Cod. AI-SA-22

Andrea LOCATELLI

data di chiusura della ricerca: settembre 2015

CENTRO ALTI STUDI PER LA DIFESA

CENTRO MILITARE DI STUDI STRATEGICI

La reazione in legittima difesa di uno Stato a fronte di un attacco cyber (SOCMIL AI-SA- 22 - anno 2015).

Dott. Andrea LOCATELLI

http://www.difesa.it/smd/casd/istituti_militari/CeMISS/Pagine/default.aspx

LOCATELLI RICERCA FINALE AI-SA-22 i Dott. Andrea LOCATELLI

INDICE

SOMMARIO pag. 1

PARTE GENERALE / ANALITICA / PROPOSITIVA:

MIGHT E RIGHT NEL CYBER SPAZIO: CONSIDERAZIONI GIURIDICHE E

STRATEGICHE

3 Introduzione – Inter arma silent leges? pag. 6

1 Capitolo 1 - Caratteristiche tecniche e implicazioni

strategiche del cyber spazio pag. 10

1.1 – Peculiarità del cyber spazio rispetto

agli altri ambiti del conflitto pag. 12

1.2 – Le azioni offensive nel cyber spazio pag. 16

1.3 – Definizione e tipologie di attacco cyber pag. 19

1.4 – Conclusioni pag. 28

Capitolo 2 – Gli strumenti normativi per regolare l’esercizio

della violenza nel cyber spazio pag. 31

2.1 – Il principio di legittima difesa nel

Diritto Internazionale Pubblico pag. 31

2.2 – Problemi di applicabilità all’ambito cyber pag. 36

2.3 – Quale reazione legittima nel cyber spazio? pag. 41


La reazione in legittima difesa di uno Stato a fronte di un

attacco cyber

LOCATELLI RICERCA FINALE AI-SA-22 ii Dott. Andrea LOCATELLI

Capitolo 3 – Analisi di attacchi nel cyber spazio pag. 51

3.1 – Iran 2010 (STUXNET) pag. 51

3.2 – Estonia 2007 pag. 55

3.3 – Stati Uniti 2015 (Sony) pag. 60


Conclusioni – Prescrizioni per rendere efficace l’apparato

normativo nel cyber spazio pag. 67

PARTE SPECIALISTICA / DI SUPPORTO / BIBLIOGRAFICA:

Bibliografia pag. 72

Ringraziamenti pag. 82

NOTA SUL Ce.Mi.S.S. e NOTA SULL' AUTORE pag. 83

LOCATELLI RICERCA FINALE AI-SA-22 1 Dott. Andrea LOCATELLI

SOMMARIO

In ambito cyber, quali sono le possibili forme di difesa che la Comunità Internazionale può

accettare come legittime? Le caratteristiche del cyber spazio sono tali da impedire

un’applicazione immediata del Diritto Internazionale Pubblico. Per regolamentare il diritto

all’autodifesa in questo ambito occorre superare una serie di problemi di natura giuridica,

così come di carattere puramente politico. Per anticipare le conclusioni di questo lavoro,

nonostante alcuni pregevoli sforzi di aggiornare ed emendare il corpus di norme mutuabile

dal Diritto Internazionale, rimangono aperte diverse aree di incertezza, la cui

interpretazione sarà senza dubbio controversa e conflittuale. A questo problema se ne

aggiunge un secondo, collegato al primo ed altrettanto grave: in questi primi anni dell’era

del warfare digitale, il comportamento degli Stati vittima di attacco si è discostato

sensibilmente da quanto previsto dalla dottrina. Il cuore del problema sta quindi nel fatto

che l’incertezza nella dottrina e l’incoerenza della prassi e si nutrono a vicenda,

contribuendo ad alimentare la gravità della mancata regolamentazione nel nuovo dominio

del warfare.

Per sviluppare con ordine questa argomentazione, la sezione analitica del rapporto di

ricerca si articolerà in tre capitoli. Nel primo capitolo si fornirà una panoramica generale

delle caratteristiche che contraddistinguono il cyber spazio e delle possibili operazioni che

possono essere eseguite al suo interno. In particolare, dopo aver definito cosa intendiamo

per cyber spazio, nel primo paragrafo verranno discusse le peculiarità che lo

contraddistinguono dagli altri ambiti del conflitto. Come emergerà nelle pagine che

seguono, quello che sino alla fine del secolo scorso era di fatto uno scenario

fantascientifico è diventato in meno di dieci anni una realtà: le operazioni offensive (militari

o civili non fa differenza) sono ormai parte del repertorio e degli arsenali che gli Stati

possono impiegare nella gestione delle loro reciproche relazioni. Questo fa sì che oltre alle

consuete dimensioni del conflitto – terra, aria e mari – sia opportuno studiare le specificità

delle operazioni in ambito cibernetico. Come si vedrà, rispetto agli altri ambiti, le peculiarità

La reazione in legittima difesa di uno Stato a fronte di un

attacco cyber


del cyber spazio sono tali da imporre una serie di problemi, tanto a livello strategico-

operativo, quanto a livello politico e, ancor più, legale.

Nel secondo paragrafo si fornirà un elenco ragionato delle operazioni offensive che

possono essere perpetrate attraverso le infrastrutture informatiche. Si noterà come

esistano diverse possibili azioni, i cui effetti possono essere più o meno dannosi o più o

meno ampi. Si noterà ad esempio che, come sarà probabilmente successo a qualsiasi

utente connesso a Internet, i virus e i malware possono avere un effetto inabilitante sulle

macchine che colpiscono, mentre altre azioni, come gli Zombie, non creano alcun danno

ai computer che colpiscono. Ancora, mentre alcune azioni possono essere mirate ad

obiettivi specifici e circoscritti (ad esempio un malware progettato per infiltrarsi in una

specifica struttura, come nel caso di STUXNET), altre possono essere concepite per

propagarsi e diffondersi su quante più strutture possibile, avendo quindi un effetto

inabilitante potenzialmente su interi settori della società.

Il terzo paragrafo, infine, prende in esame la letteratura sul cyber warfare per arrivare alla

formulazione di una definizione operativa di cyber attacco. Questa, a sua volta, sarà utile

per distinguere tra azioni offensive e difensive, ma soprattutto tra diversi tipi di utilizzo

dell’ambiente digitale per finalità politiche. Si illustreranno quindi categorie prossime al, ma

diverse dal, cyber warfare (come il cyber spionaggio, la cyber protesta e il cyber

terrorismo). Questa trattazione permetterà di mettere un poco di ordine nella varietà di

offese e illeciti perpetrabili nel cyber spazio. In particolare, consentirà di escludere ab

origine le azioni che non rientrano nel nostro interesse di ricerca.

Una volta esaurita la questione sotto un profilo tecnico/strategico, sarà possibile rivolgere

l’attenzione alla dimensione giuridica del problema. Nel secondo capitolo si arriverà a una

prima (parziale) risposta al quesito che informa la ricerca: quali risposte possono essere

considerate lecite in risposta ad un attacco cyber? O, più precisamente, quali risposte

sono compatibili con le varie possibili modalità d’attacco cyber? Sarà una risposta parziale

perché si concentrerà esclusivamente sull’aspetto dottrinario, senza alcuna

considerazione per la prassi sviluppata fino ad ora dagli Stati.

Anche questo capitolo si articola conseguentemente in tre paragrafi: in primo luogo,

verranno presentate in maniera succinta le disposizioni del Diritto Internazionale Pubblico

in merito al principio di legittima difesa. Partendo dalle disposizioni della Carta delle

Nazioni Unite, si discuterà delle implicazioni dell’articolo 51, in cui viene sancito il diritto


naturale degli Stati all’autodifesa in caso di attacco armato. Si osserverà poi come la

lettera della Carta ONU abbia sollevato una serie di controversie interpretative – in

particolare in merito a cosa costituisca un attacco armato – che hanno contribuito a

disallineare la prassi degli Stati da quanto disposto nelle norme dell’ONU. Ai nostri fini

risulta utile sottolineare la presenza di queste zone grigie di interpretazione, poiché

solleveranno una serie di problemi nell’applicazione del Diritto Internazionale all’ambito

cyber.

Nel secondo paragrafo verranno discussi gli ostacoli che rendono difficile l’applicazione

delle norme di Diritto Internazionale all’ambito cyber. Tra questi risulteranno di primaria

rilevanza i problemi di applicazione, attribuzione e valutazione. Il problema

dell’applicazione sta a indicare la necessità di classificare gli eventi in base a categorie

giuridiche, al fine di stabilire quali regole debbano applicarsi e, non meno importante, quali

azioni costituiscano un illecito. Il problema dell’attribuzione si risolve nel compito di

ascrivere a un soggetto la responsabilità dell’attacco cyber. Questo problema, date le

possibilità che la tecnologia offre di occultare l’identità dell’aggressore, risulta in questo

ambito particolarmente complesso. Il terzo problema consiste infine nella limitata capacità

di “misurare” secondo criteri oggettivi (quindi non contestabili) se le azioni compiute nel

cyber spazio rispettino le norme del Diritto Internazionale. In riferimento al problema della

reazione in legittima difesa, cioè, ci si dovrà chiedere quali attacchi possano soddisfare le

condizioni poste dal Diritto Internazionale per generare una legittima reazione.

Nel terzo paragrafo, infine, si indagherà in maggior dettaglio la letteratura finora prodotta in

tema di diritto all’uso della forza nel cyber spazio. La domanda che informa la ricerca verrà

spezzata in due interrogativi distinti: 1) quando è legittimo reagire a un attacco cyber? 2)

Quali modalità di reazione sono legittime? Prendendo come principale riferimento il

cosiddetto Manuale di Tallin, si noterà come l’applicazione del Diritto Internazionale

fornisca delle indicazioni di massima per rispondere a entrambi i quesiti. Tuttavia,

rimangono diverse e rilevanti zone di ambiguità, che sicuramente impegneranno gli Stati in

un (potenzialmente conflittuale) sforzo di interpretazione. Tutto questo fa sì che sotto il

profilo dottrinale non si siano ancora sedimentate norme ampiamente condivise, a grave

detrimento delle potenzialità regolative del Diritto.

Da ultimo, nel terzo capitolo verranno descritti e analizzati tre casi di attacco cyber. Nello

specifico verranno trattati l’attacco subito dall’Iran nel 2010, quello subito dall’Estonia nel


2007 e, più recente, l’hackeraggio di Sony Pictures Entertainment nel 2014. La

discussione di casi empirici nasce dalla necessità di confrontare la componente dottrinale

del Diritto con la prassi degli Stati. Pur consapevoli del fatto che tre soli casi – per di più

assai diversi tra loro – non sono sufficienti a trarre conclusioni generali sulle linee di

tendenza condivise a livello internazionale, si è ritenuto comunque utile appurare in primo

luogo se dottrina e comportamento reale sono coerenti tra loro oppure no. Inoltre, un

confronto tra casi tanto diversi si rivelerà utile ai fini della nostra analisi, poiché permetterà

di mettere in evidenza la varietà di implicazioni e problematiche che modalità diverse di

attacco comportano.

La ricostruzione empirica mostra chiaramente come gli Stati colpiti da attacco cyber non

abbiano dato alcun segno di interesse nell’appellarsi al proprio diritto all’autodifesa. Solo

l’Estonia ha inizialmente cercato di dipingere l’attacco DDOS che l’ha colpita come

un’aggressione. Tuttavia, di fronte al chiaro rifiuto di condividere questa interpretazione da

parte della Comunità Internazionale (rappresentata in questo senso tanto dagli alleati –

Stati Uniti ed Europa – quanto dalla Russia), l’Estonia ha adottato un più basso profilo.

Iran e Stati Uniti, sebbene colpiti in modi diversi e con effetti diversi, in ultima istanza

hanno reagito presumibilmente nello stesso modo: con una rappresaglia nell’ambito cyber

di cui hanno negato la responsabilità. La previsione a cui si può giungere per il futuro è

dunque che maggiore sarà il margine di incertezza nell’applicazione del Diritto

Internazionale, maggiore sarà l’incentivo per gli Stati ad allontanare la prassi dalle norme

internazionali e fare un uso sempre più massiccio e disinvolto delle tecnologie

cibernetiche.

Per porre rimedio a questa situazione, il lavoro si chiude con quattro prescrizioni volte a

favorire la cooperazione tra Stati e, conseguentemente, l’armonizzazione del loro

comportamento nel cyber spazio: 1) al fine di circoscrivere le zone di ambiguità, qualsiasi

norma emerga dovrà risultare quanto più possibile chiara e precisa; 2) per porre un freno

alle possibilità di escalation, occorre che le definizioni di uso della forza e attacco armato

siano chiare e condivise da tutte le cyber potenze; 3) le Nazioni Unite dovranno essere

messe in grado di intervenire efficacemente; 4) qualsiasi intento normativo dovrà

coinvolgere gli esperti del settore


PARTE GENERALE / ANALITICA / PROPOSITIVA

MIGHT E RIGHT NEL CYBER SPAZIO:

CONSIDERAZIONI GIURIDICHE E STRATEGICHE


Alla vigilia della visita diplomatica del Presidente cinese Xi Jinping negli Stati Uniti, nella

seconda metà di settembre 2015, l’amministrazione Obama annunciò una decisione

importante per distendere le relazioni (evidentemente piuttosto tese) tra i due paesi:

rinunciare a imporre le sanzioni minacciate poche settimane prima contro cittadini e

imprese cinesi. La questione potrà apparire di scarsa rilevanza rispetto alla varietà di

problemi all’ordine del giorno. Né, d’altronde, è la prima volta che i rapporti tra Stati Uniti e

Cina si tendono al punto da sfiorare la crisi diplomatica. In questa occasione, però,

l’elemento più rilevante non riguarda tanto la crescente competizione tra Washington e

Pechino, quanto piuttosto il casus belli che ha portato l’amministrazione Obama a ricorrere

a una misura tanto grave: il cyber spionaggio perpetrato sistematicamente negli ultimi anni

dalla Cina (nell’accusa americana) contro le imprese americane1.

Il cyber spazio costituisce ormai una nuova dimensione del conflitto, al pari di quella

terrestre, navale e aero-spaziale2. Data la crescita continua di attacchi nel cyber spazio3

ad opera di una varietà di attori diversi, per gli Stati si pongono due incentivi contrastanti:

da una parte, investire nello sviluppo di queste tecnologie e opporsi a qualsiasi forma di

regolamentazione o limitazione delle stesse: si tratta infatti di armi dalle grandi

potenzialità, in grado (almeno virtualmente) di creare grossi danni all’infrastruttura dei

propri avversari e, al tempo stesso, difficilmente affrontabili con difese o ritorsioni. Per altro

verso, sta crescendo sempre più la consapevolezza della necessità di regolamentare il 1 The Economist, Trouble Shooting. America’s computers and networks are under attack. Retaliation against

Chinese hackers looms, 12 settembre 2015, http://www.economist.com/news/united-states/21664145-americas-computers-and-networks-are-under-attack-retaliation-against-chinese-hackers?frsc=dg%7Cd. 2 John Arquilla, David Ronfeldt, Cyberwar is Coming!, “Comparative Strategy”, Vol. 12, No. 2, 1993, pp. 141-

65; Stephen Blank, Rethinking Asymmetric Threats, Carlisle Barracks (PA), US Army War College, 2003, pp. 30-31; Richard Clarke, Robert Knake, Cyber War: The Next Threat to National Security and What to Do About It, New York, HarperCollins, 2010; Adam Liff, Cyberwar: A New ‘‘Absolute Weapon’’? The Proliferation of Cyberwarfare Capabilities and Interstate War, “Journal of Strategic Studies”, Vol. 35, No. 3, 2012, pp. 401-428; John Stone, Cyber War Will Take Place!, “Journal of Strategic Studies”, Vol. 36, No. 1, 2013, pp.101-108. Per una posizione più critica, si veda Martin C. Libicki, Cyberspace Is Not a Warfighting Domain, “I/S: A Journal of Law and Policy for the Information Society”, Vol. 8, No. 2, 2012, pp. 321-336. 3 GAO: United States General Accountability Office, INFORMATION SECURITY. Cyber Threats and Data

Breaches Illustrate Need for Stronger Controls across Federal Agencies, GAO-15-758T, 8 luglio 2015, http://www.gao.gov/assets/680/671253.pdf, p. 7.

Introduzione:

Inter arma silent leges?

http://www.economist.com/news/united-states/21664145-americas-computers-and-networks-are-under-attack-retaliation-against-chinese-hackers?frsc=dg%7Cd


http://www.gao.gov/assets/680/671253.pdf


cyber spazio, così come è avvenuto storicamente per le nuove dimensioni del conflitto (si

pensi all’ambito aerospaziale e all’impiego dell’arma nucleare)4.

Nel caso in cui uno Stato sia vittima di un attacco cyber, è possibile fare appello al Diritto

Internazionale? La questione non è solamente teorica, ma ha risvolti empirici

estremamente rilevanti. Da un punto di vista strategico, la questione concerne la

possibilità di evitare (o quantomeno porre un freno a) l’escalation di un eventuale conflitto.

Se, cioè, le norme del Diritto Internazionale Pubblico possano essere applicate all’ambito

cyber, questo significa che – per quanto la loro applicazione possa essere soggetta ad

eccezioni e limiti – esistono dei vincoli all’esercizio della violenza. Esistono cioè dei freni

normativi, “groziani”5, che restringono la libertà d’azione di chi ha la capacità di perpetrare

questo tipo di offese, con il risultato di contenere l’escalation della violenza. Da un punto di

vista più prettamente giuridico, la rilevanza del tema è altrettanto innegabile: se il Diritto

Internazionale si applica ai conflitti cosiddetti cinetici, perché non rilevare un’analoga

capacità di applicazione anche nell’ambito cibernetico?

Le implicazioni della risposta a tale quesito sono di importanza vitale, poiché la posta in

gioco consiste nel definire i principi di funzionamento del sistema internazionale6.

Analogamente, per quanto concerne la politica di difesa, una base normativa su cui

fondare la risposta ad un attacco cyber costituisce un requisito fondamentale per la

sicurezza nazionale: giusto per toccare soltanto la punta dell’iceberg, si può osservare

come, in abito convenzionale, la capacità di legittima difesa abbia anche una funzione di

deterrenza: se uno Stato ritiene che il proprio avversario potrà verosimilmente difendersi

da un attacco con una risposta supportata dalla Comunità Internazionale, i vantaggi di tale

attacco saranno ampiamente controbilanciati dai costi della rappresaglia7.

In ambito cyber, quali sono le possibili forme di difesa che la Comunità Internazionale può

accettare come legittime? Prima ancora di addentrarci nella complessità del dibattito

giuridico e accademico, sarà evidente anche al lettore meno esperto che si pone un

4 Shmuel Even, David Siman-Tov, Cyber Warfare: Concepts and Strategic Trends, Memorandum 117, The

Institute for National Security Studies, Tel Aviv, 2012, p. 8. 5 Alessandro Colombo, La guerra ineguale, Pace e violenza nel tramonto della società internazionale,

Bologna, il Mulino, 2006. 6 Hedley Bull, The Anarchical Society. A Study of Order in World Politics, New York, Columbia University

Press, 1977 (trad. It. La società anarchica. L’ordine nella politica mondiale, Milano, Vita e Pensiero, 2005). 7 Sul punto, si vedano gli ormai classici: Bernard Brodie, The Atomic Bomb and American Security, New

Haven (CT), Yale Institute for International Studies, 1945; Lawrence Freedman, The Evolution of Nuclear Strategy, London, Palgrave Macmillan, 1981; Henry Kissinger, The Evolution of Nuclear Strategy, London, Palgrave Macmillan, 1957; Basil Lidell Hart, Deterrence or Defence, London, Stevens, 1960; Thomas Schelling, Arms and Influence, Hew Haven (CT), Yale University Press, 1966.


dilemma: da una parte, se la risposta legittima non sarà adeguata, si perderà l’effetto

deterrente. Se, d’altro canto, l’azione giudicata legittima consentirà un incremento della

violenza esercitata, prevedendo al limite anche un’azione nell’ambito cinetico, il rischio di

escalation sarà tale da inficiare l’effetto di moderazione proprio del Diritto Internazionale.

Come si avrà modo di constatare nelle pagine che seguono, le caratteristiche del cyber

spazio sono tali da impedire un’applicazione immediata del Diritto Internazionale in tale

ambito. Sarà quindi necessario uno sforzo per comprendere quali siano le peculiarità

dell’ambito cyber e discutere perché pongono un problema giuridico: alla luce di queste

considerazioni, si potrà infine proporre alcune prescrizioni per superare questo problema.

Per argomentare la tesi sopra esposta, la sezione analitica del rapporto di ricerca si

articolerà in tre capitoli. Il primo capitolo è volto a fornire al lettore le informazioni di base

per comprendere le peculiarità e le complessità del cyber spazio. Pur senza entrare nel

dettaglio tecnico della questione, si cercherà di mettere in evidenza la varietà di strumenti

e azioni possibili. Nel tentativo di mettere ordine in una materia altrimenti complicata, si

procederà in prima battuta a definire cosa si intende per cyber spazio e quali ne sono gli

elementi costitutivi. Si passerà poi nel primo paragrafo ad elencarne le caratteristiche

peculiari che lo contraddistinguono rispetto agli ambiti cinetici del conflitto, mentre nel

secondo paragrafo verranno presentati i tipi più comuni di azione offensiva. Nel terzo

paragrafo, infine, verrà formulata una definizione operativa di attacco cyber che permetta

di escludere aspetti altrimenti controversi come il cyber terrorismo e il cyber crime.

Nel secondo capitolo si capitalizzeranno le nozioni presentate nel primo capitolo per

valutare se e come il Diritto Internazionale Pubblico possa adattarsi al cyber spazio per

regolamentare l’utilizzo della forza in questo ambito – ovviamente, con particolare

riferimento alle azioni di legittima difesa. A questo fine, il primo paragrafo prenderà in

considerazione le disposizioni del Diritto Internazionale in tema di utilizzo della forza,

aggressione e diritto all’autodifesa. Il secondo paragrafo discuterà invece i problemi che

emergono nel momento in cui si cerca di ampliare l’ambito tradizionale d’applicazione del

Diritto per adattarlo all’ambito cyber. Il terzo paragrafo, infine, illustrerà lo stato dell’arte

sulla dottrina internazionalistica, con particolare riferimento alle disposizioni contenute nel

Manuale di Tallin.

Il terzo capitolo intende invece mostrare lo iato che si pone tra dottrina e prassi degli Stati.

A questo fine sono stati scelti tre casi particolarmente rilevanti di attacchi cyber: in ordine


cronologico, il caso dell’Estonia nel 2007 (quando il paese fu oggetto di un attacco DDOS

su larga scala contro banche, partiti ed agenzie governative); l’attacco subito dall’Iran nel

2010 (quando il malware STUXNET danneggiò gravemente le centrifughe per

l’arricchimento dell’uranio di Natanz); da ultimo, l’attacco – si suppone – perpetrato nel

2014 dalla Corea del Nord contro la Sony Pictures Entertainment (attacco che portò al

furto e distruzione di una quantità considerevole di dati riservati, tra cui film, documenti

privati, e-mail, ecc.). In tutti e tre i casi, lo Stato attaccato non ha fatto appello al Diritto

Internazionale per giustificare il proprio diritto all’autodifesa, ma ha reagito unilateralmente

in modi più o meno violenti.

Quest’ultima considerazione costituisce il punto centrale da cui verranno tratte le

conclusioni del presente lavoro. Di fronte a una dottrina che lascia ampie zone di

ambiguità, la prassi degli Stati (seppure ancora molto limitata) mostra una tendenza

piuttosto chiara, che dalle norme prende letteralmente le distanze: nel cyber spazio ancora

più che nell’ambito cinetico, l’interpretazione del diritto e la definizione dei termini (come

ad esempio il concetto di attacco armato) sono in netto contrasto con l’analisi dottrinaria –

segno evidente della volontà diffusa all’interno della Comunità Internazionale di non

accettare i freni all’azione posti dalle norme. Questa constatazione rende alquanto

improbabile la formulazione di trattati e accordi vincolanti, altrimenti necessari per far

avanzare il Diritto Internazionale nell’ambito cyber. Come si vedrà nelle ultime pagine di

questo lavoro, la conclusione a cui si giungerà in questa sede è che occorre affiancare

all’analisi dottrinaria delle norme prescrizioni politiche su come incrementare la

cooperazione tra Stati nel cyber spazio.


Il cyber spazio costituisce un argomento di studio tutto sommato recente. Ciononostante,

l’analisi dei possibili utilizzi di questo medium sta diventando sempre più importante non

solo in ambito accademico, ma anche da un punto di vista politico, come testimoniano i

tanti documenti ufficiali prodotti dai principali eserciti di tutto il mondo8. La domanda che ci

si deve porre inizialmente è: dato che finora non ci sono state delle cyber Pearl Harbor

(ovvero, degli attacchi così gravi da mettere a repentaglio la sicurezza o l’esistenza stessa

delle persone) dovremmo davvero preoccuparci della minaccia nel cyber spazio? Oppure

si tratta solamente di una possibilità remota, i cui effetti saranno comunque limitati per la

maggior parte delle persone?

Come è d’obbligo nell’affrontare qualsiasi questione complessa, occorre partire da alcune

considerazioni introduttive: in primo luogo, cosa è il cyber spazio? Quali ne sono le

caratteristiche che lo rendono politicamente e strategicamente rilevante? E perché può

essere inteso come uno spazio di conflitto al pari dello spazio terrestre, aereo o navale?

Per la propria natura artificiale, è possibile riscontrare alcune peculiarità del cyber spazio

che lo rendono diverso dalle dimensioni naturali del conflitto. È dall’analisi di queste

caratteristiche distintive, e delle modalità di attacco in questo ambiente, che occorre partire

per meglio comprendere le problematiche giuridiche proprie del cyber spazio.

Cosa intendiamo quindi per cyber spazio, quali ne sono le caratteristiche e in che modo

funziona? Quando si fa riferimento al cyber spazio, solitamente si allude a una realtà dalla

duplice natura, poiché è allo stesso tempo virtuale e materiale. Internet è il primo referente

empirico che balza alla mente, poiché attraverso il web passa la quasi totalità dei flussi di

dati. Internet è inoltre un network di connessione e trasporto universale, pubblicamente

accessibile ed ulteriormente espandibile attraverso qualsiasi ulteriore network di dati.

8 Una sintetica panoramica è disponibile in Even, Siman-Tov, Cyber Warfare, pp. 10-13.

Caratteristiche tecniche e implicazioni

strategiche del cyber spazio

1


Tuttavia, gli attacchi cyber possono sfruttare qualsiasi strumento digitale o qualsiasi altra

connessione (dal peer-to-peer a una intranet), per cui ridurre la definizione del cyber

spazio a Internet sarebbe riduttivo.

Occorre quindi prendere in esame la letteratura sul tema per arrivare a una definizione

operativa del termine. Sono stati proposti molti contributi in questo senso, al punto da

rendere impossibile riassumere in questa sede tutte le formulazioni accademiche e

giuridiche formulate; tuttavia, una sintesi degli elementi caratterizzanti è fattibile e

necessaria per introdurre le questioni più rilevanti per l’analisi che segue.

Un ottimo punto di partenza è la definizione adottata nei documenti ufficiali del Pentagono,

in cui il cyber spazio viene definito come “un ambito globale all’interno dell’ambiente

informatico che consiste nel network interdipendente di infrastrutture informatiche, tra cui

Internet, network di telecomunicazioni, sistemi di computer e processori e sistemi di

controllo ivi contenuti”9. Questa formulazione aiuta a cogliere l’aspetto di pervasività del

cyber spazio (che quindi comprende, ma va oltre Internet), ma occulta le diverse

dimensioni in cui esso si articola. Più chiara in questo senso è la definizione proposta

dall’Unione Internazionale delle Telecomunicazioni delle Nazioni Unite, secondo cui il

cyber spazio consiste nel “campo fisico e non fisico creato da e/o composto da alcuni o

tutti i seguenti elementi: computer, sistemi di computer, network e programmi informatici, i

dati, i contenuti di questi di dati, il traffico di dati e gli utenti”10. Analogamente, secondo

Reveron11 il cyber spazio include componenti diverse su dimensioni diverse: un livello

fisico (hardware), un livello basato sulle informazioni, ovvero sui dati (software), un livello

virtuale, ovvero lo spazio in cui le persone hanno relazioni sociali non fisiche. Reveron

aggiunge anche una dimensione cognitiva, che include i processi mentali delle persone.

Non sarebbe difficile incrementare la complessità del discorso aggiungendo distinguo e

precisazioni, o enfatizzando alcuni aspetti del cyber spazio piuttosto che altri. Dato però

che il nostro fine è di gettare le basi per una definizione condivisa di attacco cyber, è

9 The United States Army’s Cyberspace Operations Concept Capability Plan, TRADOC Pamphlet 525-7-8,

22 febbraio 2010, p. 6, http://fas.org/irp/doddir/army/pam525-7-8.pdf. 10

www.itu.int/cybersecurity 11

Derek S. Reveron, An Introduction to National Security and Cyberspace, in Derek S. Reveron (a cura di), Cyberspace and National Security, Washington (DC), Georgetown University Press, 2012, p. 5.

http://fas.org/irp/doddir/army/pam525-7-8.pdf

http://www.itu.int/cybersecurity


opportuno limitarsi in questa sede limitarci a evidenziare tre livelli (tra loro interdipendenti)

su cui il cyber spazio si articola12. :

- il primo livello è quello umano, e consiste negli utenti delle strutture informatiche.

- Il secondo livello è quello logico e corrisponde sostanzialmente ai software e ai dati,

nonché al modo in cui questi si spostano e sono utilizzati in quanto informazioni,

istruzioni o vere e proprie risorse (come ad esempio valuta virtuale o virus).

- Il terzo livello, quello fisico, è costituito dai componenti del sistema informatico, tra

cui i computer, le strutture che costituiscono il network e i sistemi SCADA13.

1.1 – Peculiarità del cyber spazio rispetto agli altri ambiti del conflitto

Già da questa definizione introduttiva, emerge chiaramente la prima caratteristica distintiva

del cyber spazio: è sì uno spazio virtuale, ma questo dipende dal livello fisico. Ciò, da un

punto di vista strategico, lo rende attaccabile su due fronti: si può, cioè, operare nel cyber

spazio, oppure distruggere fisicamente le macchine. O, ancora, si può operare attraverso

tecniche di ingegneria sociale per colpire le macchine attraverso le persone. In secondo

luogo, questo tipo di ambiente è molto più fluido e versatile rispetto all’ambito naturale in

cui viviamo, perché può essere rimodellato, al limite distrutto e ricostruito. Queste

caratteristiche rientrano prepotenti in ambito strategico, e lo rendono un’assoluta novità

anche rispetto allo spazio aereo, che in guerra è stato scoperto per ultimo (ovvero con

l’invenzione degli aeroplani). Da questo conseguono una serie di proprietà particolarmente

rilevanti. In estrema sintesi, queste possono essere riassunte in nove punti:

1. Il costo e i tempi di produzione delle armi cibernetiche sono ridotti rispetto alle armi

cinetiche per essere competitivi nello spazio aereo bisogna possedere una flotta di velivoli,

per affrontare una grande potenza è necessario possedere diversi squadroni, il che

comporta costi per miliardi di euro. A questo si aggiunge il fatto che, analogamente ai

software commerciali, le armi cibernetiche possono essere replicate di fatto a costo zero e

12

Even, Siman-Tov, Cyber Warfare, p. 10. 13

Dall’acronimo inglese Supervisory Control And Data Acquisition, i sistemi SCADA sono apparecchiature di controllo che nell’ambito di sistemi industriali permettono il monitoraggio di determinati processi. Essi si compongono solitamente di una serie di sensori volti a misurare determinati parametri delle macchine sotto controllo, uno i più processori che registrano e processano i valori rilevati dai sensori, e un computer supervisore (esterno quindi al componente SCADA) che elabora i dati e permette all’operatore umano di verificare il funzionamento del processo. Come si vedrà nel par. 3.1, un particolare tipo di componente SCADA era il bersaglio del malware STUXNET.


in tempi rapidissimi: se, cioè, per dotarsi di un arsenale di armi e/o piattaforme il costo

delle singole unità è significativo rispetto ai costi fissi, in ambito cibernetico il costo

marginale è pari a zero14.Nel cyber spazio tutto ciò non è necessario: una manciata di

ingegneri informatici può progettare un virus e operare anche senza una struttura di

supporto forte. Questo significa che gli entry costs sono relativamente bassi e quindi una

varietà di attori (pubblici e privati) può diventare facilmente una minaccia. L’esperienza di

STUXNET sembra ridimensionare questa affermazione15, ma rimane ad oggi un caso

unico.

2. Spazio e tempo sono drasticamente ridotti: è cioè possibile perpetrare attacchi

pressoché immediati senza alcun limite geografico. Questo rende le armi cibernetiche

particolarmente attraenti, poiché le azioni nel cyber spazio avvengono letteralmente alla

velocità della luce, ovvero il tempo necessario per trasportare delle stringhe di dati da un

punto all’altro. Ovviamente, questo dato non tiene in considerazione il tempo necessario

per creare le risorse e le condizioni propizie all’attacco, ma in ambito cinetico sono

necessari tempi di mobilitazione altrettanto lunghi. La maggior parte degli attacchi

oggigiorno avviene dalla Cina agli Stati Uniti (e viceversa), ma anche dalla Russia agli

Stati Uniti16, e il loro risultato (se hanno successo contro le difese avversarie) è

solitamente istantaneo.

3. Nel cyber spazio è possibile agire segretamente. Come discusso trattando degli attacchi

DDOS, le azioni offensive molto spesso si celano dietro a coperture che fungono da agenti

dell’attacco spesso in modo del tutto inconsapevole. In questo modo, chi attacca (ancora

una volta, diversamente dall’ambito cinetico) minimizza il problema legato all’esposizione

a un possibile contrattacco. Inoltre, una seconda conseguenza consiste nel fatto che

risulta molto difficile, se non impossibile, arrivare a una chiara attribuzione degli attacchi17:

se chi ha colpito può nascondere la propria identità e la propria origine, chi si difende non

14

Timothy F. Bresnahan, Shane Greenstein (1999), Technological Competition and the Structure of the Computer Industry, “Journal of Industrial Economics”, Vol. 47, No. 1, pp. 1-40. Herbert Lin, Operational Considerations in Cyber Attack and Cyber Exploitation, in Derek S. Reveron (a cura di), Cyberspace and National Security, Washington (DC), Georgetown University Press, 2012, p. 38. 15

Si veda infra, par. 3.1. 16

Robert Windrem, , Exclusive: Secret NSA Map Shows China Cyber Attacks on U.S. Targets, NBCNEWS, 20 luglio 2005, http://www.nbcnews.com/news/us-news/exclusive-secret-nsa-map-shows-china-cyber-attacks-us-targets-n401211; Symantec, 2015 Internet Security Threat Report, https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-threat-report-volume-20-2015-social_v2.pdf, p. 97. 17

Si tornerà su questo punto in maggior dettaglio infra, par. 2.2.

http://www.nbcnews.com/news/us-news/exclusive-secret-nsa-map-shows-china-cyber-attacks-us-targets-n401211

http://www.nbcnews.com/news/us-news/exclusive-secret-nsa-map-shows-china-cyber-attacks-us-targets-n401211

https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-threat-report-volume-20-2015-social_v2.pdf

https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-threat-report-volume-20-2015-social_v2.pdf


riuscirà a reagire in risposta con una strategia di deterrenza18: se infatti un attore desidera

impedire un attacco minacciando una rappresaglia, deve essere in grado di sapere contro

chi dovrà scagliarsi.

4. Attaccare è più facile che difendersi: questo punto è la logica conseguenza di quanto

sopra affermato: se il costo per armarsi è relativamente basso, la portata degli attacchi è

virtualmente illimitata e i rischi di incorrere in una rappresaglia sono minori rispetto ad altri

ambiti, ne consegue che l’offesa ha un vantaggio comparato sulla difesa19. Con il corollario

non marginale che, potendo scegliere se attaccare o essere attaccati, la prima opzione

risulta conseguentemente preferibile. In altri termini, tutto ciò conduce a una maggiore

propensione all’attacco preventivo. Gestire il conflitto nel cyber spazio risulta quindi più

difficile che in altri ambiti, perché ci sono diversi incentivi all’escalation e pochi freni, per

utilizzare un’espressione clausewitziana, all’ascesa agli estremi.

5. Più è sviluppata la rete informatica di uno Stato, più questo sarà vulnerabile.

Paradossalmente, gli Stati più avanzati saranno anche quelli più facilmente attaccabili,

mentre gli Stati tradizionalmente più deboli potranno contare su una nuova risorsa. Il

senso di questa affermazione, che ovviamente circola con maggiore insistenza e

preoccupazione nei circoli della difesa americani20, è che il grado di dipendenza delle

società, così come dei governi, dall’infrastruttura informatica abbia trasformato i network

da moltiplicatori di forza a elementi di vulnerabilità21. Secondo il Manuale di Tallin22, le

infrastrutture critiche comprendono quei sistemi hardware e software che rientrano sotto la

giurisdizione di uno Stato e risultano tanto essenziali da poterne compromettere, qualora

danneggiati o distrutti, la sicurezza, l’economia, la salute pubblica o l’ambiente di uno

Stato.

6. Le armi cibernetiche possono essere utilizzate anche come armi non letali. Il fatto che

l’attacco nel cyberspazio possa creare una serie di problemi al funzionamento di uno Stato

18

Martin C. Libicki, Cyberdeterrence and Cyberwar, Santa Monica (CA), RAND, 2009. 19

Questa posizione è stata messa in discussione da alcuni autori. Tuttavia, la maggior parte degli analisti strategici sembra condividere il punto. Si veda per una sintetica ricostruzione Andrea Locatelli, The Offence/Defence Balance in Cyberspace, ISPI Analysis No. 203, October 2013. 20

Clarke, Knake, Cyber War; Joel Brenner, America the Vulnerable: Inside the New Threat Matrix of Digital Espionage, Crime, and Warfare, New York, Penguin Press, 2011. 21

Il concetto di vulnerabilità è fondamentale per comprendere questo punto: le vulnerabilità sono degli errori nella progettazione dei software che vengono scoperti solo una volta che vengono installati sulle macchine (e spesso dopo mesi di utilizzo). La maggior parte degli attacchi (siano questi realizzati con virus, worms, netbots non importa) è indirizzata a bersagli che presentano tali vulnerabilità: i malware sono insomma progettati apposta per scovare e penetrare all’interno di tali vulnerabilità. 22

Cfr. Infra, par. 2.3.


(o della società su cui questo insiste) senza danni materiali a infrastrutture o persone

costituisce un ulteriore incentivo all’utilizzo di questo strumento nelle relazioni tra Stati

avversari. Tuttavia, gli attacchi cibernetici possono essere usati anche per colpire obiettivi

altrimenti difficili da raggiungere o da individuare, creando in questo modo un danno fisico

e potenzialmente umano di rilevanza non trascurabile23. Rientrano tra questi bersagli i

network e le infrastrutture per il comando e controllo delle forze armate, solitamente difese

e nascoste in luoghi difficilmente accessibili; il sistema finanziario, con tutte le

conseguenze che questo comporta a livello di capacità delle banche di operare; i sistemi

di trasporto; da ultimo, i grandi database delle agenzie governative24.

7. Il basso rischio di danno collaterale, sia per chi attacca, sia per chi si difende. Questo

aspetto ha importanti conseguenze: diversamente dall’ambito cinetico delle operazioni,

dove chi attacca (ad eccezione dei droni e dei missili a lunga distanza) si espone al rischio

di scontrarsi con la difesa avversaria e mette quindi a repentaglio la propria

sopravvivenza, un attacco cyber avviene solitamente senza alcun rischio da parte di chi lo

perpetra25. Parallelamente, per la parte che si difende, dato il basso rischio di perdita di

vite umane, è possibile implementare risposte automatiche, cioè che non richiedano

l’intervento umano26.

8. La reversibilità. Anche laddove un attacco sia perpetrato con successo, nella misura in

cui l’effetto sia limitato al software, è possibile ripristinare le condizioni precedenti

all’attacco (solitamente grazie a un semplice sistema di backup). Questo aspetto solleva

importanti interrogativi sulla rilevanza strategica delle armi cibernetiche: se, infatti, a livello

tattico possono essere ragionevolmente considerate di qualche utilità – sia in una guerra

convenzionale, come componente di operazioni più vaste, sia in una cyber war, come

unica dimensione delle operazioni – a livello strategico i loro effetti saranno di gran lunga

più circoscritti27. Un aspetto ad esso collegato, e che risulta particolarmente rilevante nella

dinamica strategica, è che una volta rilevato l’attacco e ripristinato il funzionamento dei

sistemi colpiti, è relativamente facile riparare la struttura in modo da eliminare le

vulnerabilità che hanno reso possibile l’attacco: insomma, una volta scoperto esso perde

23


È questo il caso di infrazioni come quella descritta nelle pagine introduttive del presente lavoro. 25

L’unica, parziale, eccezione, consiste nella combinazione di attacco cyber e intelligence, dove il fattore umano può risultare importante per la realizzazione dell’attacco. 26


Sulla distinzione tra livello tattico e strategico si può fare riferimento a Giampiero Giacomello, Gianmarco Badialetti, Manuale di Studi Strategici. Da Sun Tzu alle nuove guerre, Milano, Vita e Pensiero, 2009, cap. 1.


la propria efficacia. In altre parole, come ha già evidenziato nel suo magistrale lavoro

Edward Luttwak28, anche il cyber spazio rispetta una regola aurea della strategia: quello

che funziona una volta (sia essa un’arma, una tecnologia di supporto, una tattica o una

strategia) la volta successiva sarà destinata al fallimento.

9. La distinzione tra ambito militare e civile tende a sfumare. Come già avviene con altre

tecnologie avanzate, come il GPS, anche nel cyber spazio la distinzione tra infrastrutture

militari e civili perde di pregnanza. Per quanto sia possibile distinguere tra Internet

(solitamente utilizzato dai civili) e i network riservati all’uso militare, le connessioni tra

questi due sistemi sono tanto fitte da rendere impossibile una reale distinzione. Inoltre,

considerata la dipendenza delle società dalle infrastrutture civili, ne consegue che queste

abbiano una valenza anche in ambito militare. Da ultimo, le stesse capacità di cui i governi

dispongono per difendere le proprie infrastrutture possono essere adoperate per difendere

e monitorare quelle civili29. Negli Stati liberali, questo comporta un difficile equilibrio tra

l’esigenza di garantire la sicurezza da una parte e la tutela delle libertà individuali, come

mostrato nel modo più evidente dal problema sorto in seguito all’uso di intercettazioni ad

opera dell’NSA30.

1.2 – Le azioni offensive nel cyber spazio

Viste le caratteristiche precipue del cyber spazio, non dovrebbe stupire che diversi governi

ne abbiano prontamente colto le potenzialità come nuova dimensione del conflitto.

Essendo ormai riconosciuto come tale, sono state sviluppate nel corso degli anni vere e

proprie armi e tattiche di attacco, per alcuni versi assimilabili all’ambito cinetico. Un elenco

esaustivo sarebbe impossibile in questa sede, sia per gli evidenti motivi di spazio che

questo sforzo imporrebbe, sia per la necessaria trattazione tecnica che ne discenderebbe.

Ci si limiterà quindi a descrivere i tipi principali di azioni offensive nel cyber spazio,

discutendone le principali implicazioni a livello strategico e giuridico:

Spamming: è il tipo di azione più comune, che colpisce quotidianamente qualsiasi utente:

consiste nell’invio non richiesto di comunicazioni commerciali via e-mail volte a

28

Edward Luttwak, Strategy. The Logic of War and Peace, Cambridge (MA), Harvard University Press, 1987 (trad. it. Strategia. Le logiche della Guerra e della pace nel confronto tra le grandi potenze, Milano, Rizzoli, 1989). 29

Libicki, Cyberdeterrence and Cyberwar, p. 153. 30

Even, Siman-Tov, Cyber Warfare, p. 17.


pubblicizzare qualsiasi tipo di prodotto. In sé l’atto non costituisce un’azione offensiva, ma

spesso viene utilizzato come strumento per diffondere malware o altre minacce digitali.

Phishing/Spear phishing: è un tipo di attacco che si basa sui social media ed è volto a

trarre in inganno l’utente fisico in modo da estorcergli informazioni. In particolare, questo

avviene attraverso la simulazione di identità fasulle (ma verosimili) volte a indurre la

persona a condividere informazioni personali (come password e codici d’accesso) Lo

spear phishing è l’applicazione di questo attacco contro un obiettivo mirato – un singolo

individuo o gruppo. Come vedremo più avanti31, il phishing è stato probabilmente utilizzato

per l’attacco compiuto nel 2014 ai danni di Sony.

Cross-site scripting: è un tipo di attacco che permette di eseguire uno script sul browser

del computer bersaglio (o altre applicazioni analoghe) attraverso la manipolazione di un

sito terzo. Questo attacco ha luogo quando l’utente visita un sito o un link contenenti

malware (vedi sotto). La gravità dell’attacco in sé non è ingente, ma a seconda dello script

eseguito e della presenza di vulnerabilità sulla macchina, l’aggressore può avere accesso

a una varietà di dati e, al limite, controllare la macchina da remoto (vedi Botnet sotto).

Defacciamento: è una delle principali forme di cyber attivismo e consiste nel modificare

illecitamente una o più pagine di un sito web. Avviene solitamente ad opera di hacker

guidati da motivazioni ideologiche, ma a volte più semplicemente come pura

dimostrazione di abilità da parte di un hacker. Nei casi in cui questo tipo di attacco sia

finalizzato alla truffa e all’estorsione, le modalità d’azione rientrano più propriamente nella

fattispecie dello spoofing.

Spoofing/E-mail spoofing: significa letteralmente falsificare un’identità. Nella forma più

comune, consiste nel creare un sito web fraudolento che imita un sito esistente (e

solitamente ben conosciuto). Analogamente, l’e-mail spoofing si ha quando un hacker

invia e-mail alterando l’indirizzo o altre componenti del messaggio (intestazione, firma,

ecc.) in modo che il ricevente creda che l’e-mail sia stata inviata da una fonte diversa. Lo

spoofing è solitamente utilizzato per commettere reati quali il furto e la frode: in sostanza,

la vittima viene indotta a svolgere operazioni bancarie che ritiene sicure (ad esempio un

bonifico a un conoscente), quando in realtà versa denaro sul conto corrente

dell’aggressore.

31

Vedi Infra, par. 3.3.


Botnet: si tratta di un network di macchine compromesse da un attacco (definite anche

Zombie), che rispondono ai comandi di chi ha organizzato l’azione, spesso all’insaputa

dell’utente della macchina. Solitamente vengono utilizzati per inviare un numero massiccio

di richieste simultanee a un server in modo da mandarlo in overflow.

Denial-Of-Service/Distributed-Denial-of-Service (DOS/D-DOS): è un attacco a un server

volto a inibirne la capacità operativa attraverso l’esaurimento delle risorse del sistema

informatico. Questo avviene solitamente attraverso l’invio di un numero di richieste

superiore alla capacità di calcolo della macchina (che va così in runtime error), o

consumando la banda disponibile con un elevato traffico dati. Si definisce Distributed-

Denial-of-Service un attacco perpetrato da una serie di fonti diverse. In pratica, ciò avviene

quando l’aggressore fa uso di un Botnet. Questo secondo tipo di azione è più comune,

poiché permette all’agente di occultare la propria presenza: gli attacchi, infatti, risultano

provenire dall’IP dei computer infetti (che possono essere sparsi ovunque nel globo).

Malware/virus/worm: Un malware è un software maligno (o codice maligno) che viene

inserito in una macchina per comprometterne il funzionamento. Esso solitamente colpisce

parti del sistema operativo, causando danni di maggiore o minore entità a seconda dei

casi: i malware possono infatti compromettere i dati salvati sulla macchina colpita

(copiandoli e inviandoli all’aggressore, oppure cancellandoli, o entrambe le cose), o

impedire l’esecuzione corretta di alcuni programmi, ma possono anche danneggiare

l’hardware della macchina infetta32 o un’intera rete. I malware costituiscono la forma di

offesa più grave a livello di relazioni tra Stati. Esistono svariate categorie di malware, di cui

alcune non sono rilevanti ai nostri fini33. È però opportuno descrivere almeno le seguenti

forme:

Bomba logica: consiste in una porzione di codice inserita in un programma

altrimenti innocuo che si attiva solo al verificarsi di determinate condizioni

(un’istruzione lanciata dall’utente, il raggiungimento di una data, ecc.). Il danno

causato dalla bomba logica dipende dall’azione per cui viene programmata:

32

È il caso di STUXNET. Vedi Infra, par. 3.1. 33

Ne sono un esempio i ransomware, ovvero dei codici maligni che bloccano l’accesso ad alcuni dati o programmi e chiedono all’utente il pagamento di una somma per sbloccare il software infetto. Secondo un recente rapporto Symantec si tratta di una delle forme di attacco in più rapida diffusione. Symantec, Symantec Intelligence Report, giugno 2015, https://www.symantec.com/content/en/us/enterprise/other_resources/intelligence-report-06-2015.en-us.pdf.

https://www.symantec.com/content/en/us/enterprise/other_resources/intelligence-report-06-2015.en-us.pdf


solitamente consiste nella cancellazione di alcuni dati, ma può arrivare alla

formattazione del disco fisso o al blocco del sistema.

Trojan horse: indica un codice contenente istruzioni maligne che si cela all’interno

di un programma apparentemente utile. Le funzioni possono essere le più

disparate: dalla cancellazione o furto di dati all’apertura di backdoor, fino al controllo

da remoto della macchina colpita. Diversamente da altri malware non sono in grado

di replicarsi e devono quindi essere fisicamente installati sul computer bersaglio da

un utente o dall’aggressore.

Backdoor: è un tipo di malware che permette di superare i sistemi di sicurezza del

sistema colpito consentendo un accesso non autorizzato da parte dell’agente che

ha inoculato il codice maligno.

Rootkit: si tratta di un malware in grado di installarsi su un computer e assumerne il

controllo aggirando l’autorizzazione dell’amministratore. In questo modo, il rootkit

permette all’aggressore di rubare dati personali contenuti sulla macchina, ma anche

di occultare eventuali trojan horse e funzioni di backdoor.

Virus: consiste in una codice maligno in grado di auto-riprodursi e causare danni

alle macchine che infetta – come ad esempio cancellare dati, modificare la struttura

delle directory o eseguire programmi non desiderati.

Worm: rappresenta una categoria di malware simile ai virus, ma che a differenza di

questi non necessita di infettare altri file per replicarsi e diffondersi.

1.3 – Definizione e tipologie di attacco cyber

Nelle pagine precedenti si è fornita una sintetica descrizione delle caratteristiche

costitutive del cyber spazio e delle conseguenze che queste comportano per il suo

impiego in ambito militare. In questo paragrafo ci avvicineremo maggiormente alla

problematica giuridica, cercando di conciliare gli aspetti tecnici del problema con quelli

legati al diritto. In particolare, l’obiettivo delle pagine che seguono è di formulare una

definizione di attacco cyber che possa fungere da base per qualsiasi tentativo di

regolamentazione.

Come si potrà comprendere, il compito in questione risulta alquanto complesso, poiché le

fattispecie di offesa perpetrabili sono assai diverse tra loro. E, problema altrettanto


rilevante, dati i continui progressi della tecnologia, non è possibile prevedere gli sviluppi

futuri nemmeno nel breve-medio periodo. Giusto a titolo di esempio, si pensi all’azione di

un’organizzazione eversiva che si impegna a defacciare i siti web di agenzie governative.

Oppure al furto di dati sensibili relativi al personale di agenzie di intelligence, come nel

caso discusso in apertura del lavoro. O ad organizzazioni criminali impegnate in frodi

informatiche, furti d’identità o spionaggio industriale. O, ancora, alla possibilità che

organizzazioni terroristiche riescano a sabotare il sistema informatico per il controllo dello

spazio aereo. Oppure, infine, ad un attacco mirato tramite un virus contro una struttura

statale da parte di un altro Stato34.

Tale casistica, come è facile intuire, presenta una notevole varietà sotto molteplici punti di

vista: dalla natura dell’aggressore a quella del bersaglio, dalle modalità di attacco all’entità

del danno. Di fronte al tentativo di formulare una definizione universalmente valida di cosa

costituisca un attacco cyber (e, soprattutto, quali risposte posta legittimamente generare),

la natura eterogenea e multiforme delle azioni offensive nel cyber spazio costituisce un

problema difficilmente superabile. Non vi è quindi motivo di stupirsi se organizzazioni

governative, internazionali e la comunità accademica hanno sviluppato proposte tra loro

molto diverse.

Per affrontare la questione in modo ordinato ed esaustivo, procederemo in primo luogo a

presentare le principali formulazioni proposte a livello internazionale35. Si cercherà di

metterne in luce gli elementi comuni, le differenze e le problematiche che ciascuna di esse

solleva. Si procederà poi ad elaborare una definizione operativa, che possa fungere da

base per l’applicazione del Diritto Internazionale e, possibilmente, possa guidare gli sforzi

della Comunità Internazionale per la stesura di futuri accordi e trattati. Infine, si

tracceranno i confini oltre i quali le offese perpetrate nel cyber spazio non rientrano nella

fattispecie degli attacchi, ma costituiscono forme diverse, al di fuori del nostro ambito di

interesse: il cyber crime e il cyber terrorismo.

Nel tentativo di formulare una definizione di cyber warfare, si potrà ricordare come già nel

1995, in un saggio ormai classico, Martin Libicki constatasse l’intrattabilità della questione.

L’analista della RAND si limitava quindi a sussumere il cyber warfare a una forma di

34

Tutte queste eventualità, con la fortunata eccezione dell’attentato terroristico, si sono già verificate in passato. 35

È questo lo spunto seguito da Oona Hataway e colleghi, e che qui riprendiamo fedelmente. Oona A. Hathaway (et al)., The Law of Cyber Attack, “California Law Review”, Vol. 100, 2012, pp. 823-826.


attacco semantico: “un sistema sotto attacco semantico funziona e sarà percepito come se

funzionasse correttamente […] ma genererà risposte discordanti con la realtà”36. Il punto

centrale di questa definizione era il focus sul tipo di attacco e gli effetti che produceva: un

attacco semantico non solo non danneggia fisicamente l’hardware, ma produce un

malfunzionamento delle infrastrutture che non è rilevato, poiché le macchine restituiscono

risposte diverse dal loro reale funzionamento. È forse il caso più comune di attacco, quello

in cui un aggressore utilizza il computer di un altro utente per svolgere istruzioni di cui

l’utente è ignaro. Questa definizione però non esaurisce la gamma di offese possibili.

Ci vogliamo per questo a una seconda definizione, di Richard Clarke, uno dei principali

esperti a livello mondiale di sicurezza cibernetica, il quale usa il termine cyber war per

intendere “quelle azioni perpetrate da uno Stato nazione al fine di penetrare i computer o i

network di un’altra nazione per causarne il danneggiamento o l’interdizione”37. Il vantaggio

di questo approccio consiste nell’andare oltre i soli attacchi semantici per comprendere

anche quelli sintattici, ovvero quel tipo di offesa che provoca danni al sistema operativo di

una macchina, quali la perdita di dati o il danneggiamento fisico dell’hardware.

Diversamente dalla definizione di Libicki, possiamo includere in questo caso tra gli attacchi

cyber tutte quelle azioni volte a compromettere il sistema nemico. Tuttavia, neanche il

contributo di Clarke è esente da critiche: infatti, restringendo la definizione di cyber war ad

azioni perpetrate da uno Stato, la sua definizione impone di mettere da parte tutte le forme

di attacco perpetrate da gruppi criminali, hacker, attivisti e terroristi.

Infine, un limite che accomuna entrambe è che concentrandosi sulla finalità tecnica

(potremmo dire il bersaglio) dell’attacco, non permettono di distinguere tra forme diverse di

utilizzo della forza nel cyber spazio (come terrorismo, crimine, spionaggio, ecc.): è infatti

evidente che le motivazioni dell’azione e i danni che si intendono infliggere possono

variare significativamente (si pensi alla differenza tra il semplice furto di informazioni e

l’interdizione delle capacità di comando e controllo delle forze armate). Sebbene queste

diverse modalità di utilizzo della forza siano accomunate dalla natura fraudolenta, in

termini di applicazione del Diritto necessitano di essere trattate separatamente38.

Passando dall’accademia ai circoli della difesa, un tentativo più articolato di definizione è

quello proposto dallo Stato Maggiore delle forze armate americane in un documento del

36

Martin C. Libicki, What is Information Warfare?, Washington, National Defense University, 2005. 37

Clarke, Knake, Cyber War, p. 6. Con la parola interdizione si intende tradurre il termine inglese disruption. 38

Hathaway et al., The Law of Cyber Attack, p. 824.


201139. Una caratteristica fondamentale di questo approccio è che, analogamente a

quanto fanno Libicki e Clarke, si concentra sugli obiettivi (che rimangono le infrastrutture

cibernetiche di uno Stato), ma diversamente dai due studiosi ne amplia la gamma delle

conseguenze possibili40. Risulta quindi centrale in questa definizione tanto l’implicito

riferimento all’infrastruttura militare, quanto il proposito dell’aggressore di rendere

inutilizzabili le capacità della vittima.

Da ultimo, una definizione ben diversa di attacco cyber è quella proposta dalla Shangai

Cooperation Organization, che in un documento ufficiale definisce information war “un

lavaggio del cervello psicologico di massa per destabilizzare la società e lo Stato, così

come per costringere lo Stato a prendere decisioni nell’interesse di una fazione avversa”41.

Inoltre, l’istituzione identifica nella disseminazione di informazioni dannose “per i sistemi

socio-politici, socio-economici, così come le sfere spirituali, morali e culturali, di altri

Stati”42 come una delle principali minacce. Come è evidente da quest’ultimo passaggio,

tale definizione ha una prospettiva ben diversa da quelle sopra discusse.

Dalla lettera di questo documento si può inferire una scarsa attenzione per la sicurezza

nazionale intesa nei termini classici delle proprie infrastrutture propria della visione

americana. Piuttosto, il documento sembra abbracciare una visione improntata alla

sicurezza societaria, secondo la quale non si può scindere la sicurezza dello Stato da

quella della società. E, analogamente, le minacce principali per lo Stato sono quelle che

minano la coesione sociale. La natura non democratica e illiberale dei regimi che

compongono l’organizzazione ha portato alcuni a temere per il suo possibile utilizzo quale

giustificazione per la censura della libertà di parola su Internet.

Alla luce delle considerazioni sopra esposte, emerge la necessità di formulare una

definizione che permetta di distinguere chiaramente quali operazioni cibernetiche

costituiscano un attacco dal punto di vista strategico e quali no. Per quanto tale impresa

sia destinata ad essere parziale e bisognosa di un continuo aggiornamento a seconda

39

Nella formulazione esatta, la definizione di attacco cyber recita come segue: “un attacco ostile perpetrato utilizzando computer o sistemi o network collegati e finalizzato a interdire e/o distruggere le risorse o le funzioni critiche dei sistemi cibernetici di un avversario. Gli effetti attesi di un attacco non sono necessariamente limitati ai computer scelti come bersaglio, o ai dati stessi – ad esempio, gli attacchi volti a inibire o distruggere l’infrastruttura di comando e controllo”. James E. Cartwright, Memorandum for Chiefs of the Military Services, Commanders of the Combatant Commands, Directors of the Jount Staff Directories on Joint Terminology for Cyberspace Operations, Washington (DC), 2011, http://www.nsci-va.org/CyberReferenceLib/2010-11-joint%20Terminology%20for%20Cyberspace%20Operations.pdf. 40

Hathaway (et al)., The Law of Cyber Attack, p. 824. 41

Shanghai Cooperation Agreement, Annex I, par. 209. 42

Ibidem.

http://www.nsci-va.org/CyberReferenceLib/2010-11-joint%20Terminology%20for%20Cyberspace%20Operations.pdf

http://www.nsci-va.org/CyberReferenceLib/2010-11-joint%20Terminology%20for%20Cyberspace%20Operations.pdf


dell’evoluzione tecnologica, seguendo ancora lo spunto di Hathaway ed altri, si ritiene

comunque possibile formulare una definizione in questi termini:

un attacco cyber consiste in un’azione intrapresa per minare le funzioni di un network

informatico per finalità politiche o di sicurezza nazionale.43

Analizzando un poco più in dettaglio i termini della questione, è opportuno fare alcune

considerazioni sui concetti elaborati:

Azione: quali sono le modalità di offesa che costituiscono un cyber attacco? In primo

luogo, per quanto banale possa apparire, dalla formulazione proposta consegue che il tipo

di azione debba essere volontaria e attiva: questo significa che vengono escluse le azioni

commesse per errore e quei possibili danni causati dalle difese passive. Ne consegue che

rientrano quindi nella categoria dell’attacco sia le azioni offensive già discusse nel

paragrafo precedente, sia le difese attive44. In secondo luogo, quello che conta è il risultato

dell’azione, quindi non tanto in mero strumento utilizzato (che l’azione passi attraverso una

chiavetta USB, una mail o quant’altro non importa); il criterio discriminante è che tale

azione sia rivolta verso un obiettivo, ovvero il bersaglio diretto diverso dal fine ultimo

dell’azione. E, appunto, l’obiettivo dell’azione deve essere uno degli elementi del cyber

spazio, sia questo la dimensione software, hardware o umana.

Questo approccio ha il vantaggio di essere semplice e intuitivo. Pensiamoci: se definiamo

l’attacco di un drone che bombarda un bersaglio in un paese lontano, nonostante

l’infrastruttura informatica su cui si basa, questo attacco non può essere definito cyber, ma

semplicemente un attacco convenzionale basato su tecnologie sofisticate, poiché il

bersaglio è appunto di natura convenzionale. Per converso, secondo questa logica, colpire

con mezzi convenzionali un cavo sottomarino per le telecomunicazioni dovrebbe essere

definito un attacco cyber. Questo punto risulta non poco controverso: sebbene alcuni

autori abbiano condiviso l’idea che anche le armi cinetiche possano costituire uno

43

Hathaway (et al)., The Law of Cyber Attack, p. 826. 44

Le difese attive sono software per la sicurezza dei sistemi che agiscono in anticipo rispetto alle possibili minacce. Hanno la funzione di effettuare scansioni e ricercare eventuali malware anche prima che questi infettino il sistema difeso. Per questo motivo considerati una sorta di attacco anticipatorio e solitamente percepite come una forma di offesa anziché di difesa.


strumento per il cyber warfare45, questo tipo di attacco risulterebbe meno intuitivo in

quanto cyber warfare. Un secondo vantaggio dell’approccio basato sull’obiettivo è che

risulterebbe coerente con la divisione delle funzioni all’interno delle forze armate: così

come Esercito, Marina ed Aeronautica hanno l’obiettivo di controllare i rispettivi ambiti, e

per far questo possono utilizzare gli stessi strumenti, analogamente, qualsiasi divisione

cibernetica sarebbe organizzata in base a questo principio (ovvero garantire la capacità di

operare nel cyberspazio con qualsiasi mezzo disponibile). Da ultimo, il problema sopra

discusso del possibile conflitto tra controllo del cyber spazio e libertà di parola sarebbe in

questo modo evitato: lo scopo delle forze cibernetiche non sarebbe più quello di

regolamentare qualsiasi attività avvenga su Internet, ma soltanto quelle che hanno una

finalità offensiva verso determinati bersagli46.

Effetto dell’attacco: come anticipato, gli attacchi cyber, diversamente da quanto avviene

con gli attacchi cinetici, non è rivolto alla distruzione di un bersaglio, ma a comprometterne

la capacità di svolgere una funzione. Ovviamente, anche attacchi cinetici possono avere

questo obiettivo, ma la differenza è che, per fare questo, gli attacchi cinetici devono

necessariamente compromettere l’integrità fisica del bersaglio. Non è questo il caso

dell’attacco cyber. In questo senso è possibile distinguere tra due strategie diverse: la

prima è quella già citata degli attacchi semantici, che lasciano intatto il sistema che

colpiscono, ma compromettono la precisione o la velocità con cui le informazioni vengono

processate. Il secondo tipo di strategia è definito attacco sintattico, che provoca danni al

sistema operativo di una macchina causandone il malfunzionamento. Una terza strategia

ancora è quella che prevede il danno fisico a livello di hardware. L’alterazione del sistema

informatico e il funzionamento alterato che questo comporta escludono dalla definizione di

attacco le azioni di cyber spionaggio, poiché queste si limitano all’acquisizione di dati

senza alcuna alterazione dei sistemi su cui sono memorizzati47.

La finalità politica: nella misura in cui l’agente responsabile dell’attacco è un attore

pubblico (sia esso uno Stato o un’Organizzazione Internazionale), la finalità dell’azione è

necessariamente politica, per cui la questione non è problematica. Ben più complesso è il

caso in cui il responsabile dell’attacco sia un attore privato. In tale circostanza la finalità

politica è un elemento discriminante che permette così di distinguere tra attacco e

45

Vida M. Antolin-Jenkins, defining the Parameters of Cyberwar Operations: Looking for Law in All the Wronge Places? “Naval Law Review”, Vol. 51, 2005, p. 138. 46

Hathaway (et al)., The Law of Cyber Attack, pp. 826-828. 47

Ibi., p. 829-830.


semplice azione criminale. Evidentemente, anche questo criterio è complesso e abbisogna

di ulteriore articolazione. Come riuscire a giudicare la finalità dell’attacco? In alcune

circostanze possono sovrapporsi finalità multiple, quali un guadagno personale, un fine

eversivo o, ancora, la finalità terroristica. Ancora, sempre le azioni cibernetiche hanno una

finalità espressa48.

Il vantaggio di questo approccio è che, in primo luogo, non richiede nella definizione il

riferimento esplicito agli Stati, ma include indifferentemente anche gli attori non statali. In

secondo luogo, poiché i bersagli di un attacco possono essere non governativi, l’accento

sulla finalità permette di distinguere tra quelle azioni che rientrano nella fattispecie

dell’illecito privato rispetto a quelle che, invece, hanno una valenza pubblica (e possono

pertanto configurarsi come aggressione). Questo è sicuramente utile nel caso di gravi

attacchi contro attori rilevanti della società, o infrastrutture private su cui gli attori sociali si

appoggiano. Il problema che emerge in questo caso è che tale definizione potrebbe

essere applicata per finalità repressive e di censura, giacché un’azione di protesta è

necessariamente un’azione politica, anche se non necessariamente concernente la

sicurezza nazionale49.

Questa definizione ci permette infine di circoscrivere l’ambito dei referenti empirici che

rientrano nella fenomenologia che vogliamo studiare. In particolare, permette di escludere

già ora come cyber attacchi tre fenomeni diversi, ma i cui confini sfumano nel cyber

warfare: cyber crime, cyber terrorismo e cyber protesta. Il primo, configurandosi come un

atto illecito di gruppi privati motivati da fini di lucro, costituisce infatti un tipo di

comportamento privato, e che rientra più propriamente nell’ambito del Diritto Penale.

Analogamente, il cyber terrorismo è perpetrato da attori privati (anche se non

necessariamente per fini di interesse personale), per cui nemmeno questo può essere

compreso tra le possibili azioni di guerra. Da ultimo, la cyber protesta viene solitamente

realizzata da attivisti ed organizzazioni dalla struttura fluida (un esempio è Anonymous) ed

ha per lo più finalità di propaganda. Per questo motivo, a meno che non sia accompagnata

da azioni violente (perdendo così la qualifica distintiva del cyber), può essere considerata

al massimo parte del soft cyber warfare (di cui parleremo a seguire)50.

48

Ibi., p. 830. 49

Ibi., p. 829-830. 50

Per una discussione dei tre fenomeni si rimanda a: David S. Wall, Cybercrime.The Transformation of Crime in the Information Age, Cambridge, Polity Press, 2007; Giampiero Giacomello, Close to the Edge. Cyberterrorism Today, in Raul Caruso, Andrea Locatelli (a cura di), Understanding Terrorism. A Socio-


Ciò detto, il passo successivo è classificare le azioni che si qualificano come attacco cyber

in base a uno o più criteri. Per i nostri fini, come vedremo meglio nel prossimo capitolo, il

criterio più rilevante è l’intensità dell’azione offensiva: in altri termini, pur senza danni fisici

o spargimenti di sangue, è possibile catalogare l’attività nel cyberspazio in funzione della

maggiore o minore gravità dell’intrusione che causano? Seguendo lo spunto di Even e

Siman-Tov51 possiamo distinguere gli attacchi nel cyberspazio in tre grandi aree:

1. Azioni di spionaggio. Lo spionaggio consiste nel riuscire a penetrare i sistemi informatici

di un avversario per acquisire informazioni in modo illegale. È evidente che questa attività

non è necessariamente finalizzata a danneggiare o rendere inaccessibili all’avversario

queste informazioni, né si presta ad avere un effetto diretto sul nemico. A sua volta, il

cyber spionaggio si divide in due tipi di attività: a) la raccolta di informazioni (di natura

militare, politica, tecnologica) circa le capacità e le intenzioni di uno Stato al fine di

formulare una strategia contro questo Stato; b) la raccolta di dati di intelligence tecnologica

ed economica, che include il furto di segreti tecnologici o legati alle imprese; b) il furto di

risorse informatiche del nemico: azioni di questo tipo comprendono il furto di programmi o

database per utilizzarli in modo illecito52.

Poiché si tratta di una duplicazione di dati che non implica la sottrazione di alcuna risorsa

dall’avversario, queste attività non possono essere considerate una forma di cyber war.

L’esempio forse più conosciuto risale al 2008, quando alcuni progetti top secret del

Pentagono, tra cui i progetti di alcuni componenti elettroniche del futuro F-35, furono rubati

in seguito a un’intrusione che si ritiene sia stata realizzata dalla Cina53. In conclusione, dei

tre tipi di azione che uno Stato può realizzare nel cyberspazio, il cyber spionaggio non può

essere considerato un atto di guerra, dato che non causa alcun danno o

malfunzionamento54.

2. Soft cyber warfare. Il termine sta a indicare attività finalizzate a compromettere il

funzionamento del nemico (tra cui il warfare psicologico e la propaganda) senza causarne

Economic Perspective, Bingley, Emerald, 2014, pp. 217-236; Robin Gandhi (et al.), Dimensions of Cyber Attacks, “IEEE Technology and Society Magazine”, Spring 2011, pp. 28-38. 51

Even, Siman-Tov, Cyber Warfare, pp. 20ss. 52

Ibi., p. 21. 53

William J. Lynn, Defending a New Domain, “Foreign Affairs”, Vol, 89, No. 5, 2010, p. 97. 54

Advance Questions for Lieutenant General Keith Alexander, USA Nominee for Commander, United States Cyber Command, U.S. Senate, Committee on Armed Services, Washington (DC), 15 aprile 2010. Questa posizione è confermata anche dal Diritto Internazionale, che non pone alcun divieto allo spionaggio convenzionale. Michael Schmitt, The Law of Cyberwarfare: Quo Vadis?, “Stanford Law & Policy Review”, Vol, 25, No. 2, 2014, p. 275.


la distruzione. Il suo fine è di modificare le opinioni e la condotta dell’avversario – e dei

suoi alleati – secondo gli interessi e gli obiettivi di chi perpetra queste azioni. In questo

caso, ancora, non si può parlare di utilizzo della forza. Si tratta insomma del lato oscuro

della diplomazia pubblica. La principale differenza tra questo tipo di soft cyber warfare e il

cyber warfare propriamente inteso consiste nella componente umana del cyber space che

è bersaglio dell’attacco: se infatti il primo tipo utilizza informazioni che vengono

organizzate e presentate in modo da risultare comprensibili per l’utente medio,

diversamente gli attacchi vengono perpetrati a livello logico o fisico in un linguaggio

compreso solo da ingegneri e sviluppatori di software55.

Esempi di questo tipo di azioni appartengono tanto all’ambito prettamente militare (come

testimoniato dalla campagna americana contro al Qaeda in Iraq e Afghanistan tramite i

social media), quanto a quello civile (si pensi ad esempio alla capacità dell’ISIS di

utilizzare gli stessi media, tra cui Facebook, Twitter, ecc., o ancora al ruolo di questi media

nelle sollevazioni popolari che generarono le Primavere Arabe)56. Rientrano nel soft cyber

warfare anche le sanzioni nel cyber spazio. Queste sanzioni possono comportare un

attacco volto a inibire le comunicazioni del paese target con il resto del mondo. Altre forme

di ostracismo nel cyber spazio si risolvono comunque tutte in un’azione che limiti il traffico

Internet nel paese target57.

3. Cyber war. Rientrano in questa categoria gli atti di guerra nel cyber spazio che sono

finalizzati a causare un danno con l’obiettivo di inficiarne la capacità di funzionamento

nemico e portarlo ad agire seguendo uno script che è dettato da chi attacca58. Diventano

così bersagli privilegiati in ambito militare i sistemi di difesa aerea, i sistemi d’arma e le

strutture di comando e controllo; in ambito civile, le infrastrutture fondamentali per la

capacità della società di funzionare correttamente, come il sistema di trasporti, quello

bancario e le centrali elettriche59. Possiamo quindi distinguere tra due tipi di attacco: uno

che viene dal cyber spazio, volto a distruggere o rendere inutilizzabili le capacità

cibernetiche dell’avversario (è questo il caso dell’Estonia); l’altro tipo consiste nell’utilizzo

55

Ibi., p. 22. 56

Monica Maggioni, Paolo Magri, Twitter e Jihad: la comunicazione dell’ISIS, Milano, ISPI, 2015. 57

Vedi Infra., par. 3.3. 58

Interpretando il pensiero di Thomas Rid sul sabotaggio, si può far rientrare anche questa prassi all’interno del cyber warfare. Thomas Rid, Cyber War Will Not Take Place, “Journal of Strategic Studies”, Vol. 35, No. 1, 2012, pp. 16-20. 59

Even, Siman-Tov, Cyber Warfare, pp. 24-25.


del cyber spazio per colpire le infrastrutture fisiche che ad esso sono collegate (è questo il

caso di STUXNET).

Un attacco cyber può conseguire una logica nei seguenti ambiti: 1) per esercitare

pressione su un nemico affinché cambi le proprie politiche senza che tra questi Stati

sussista uno status di guerra (l’esempio in questo caso è l’Estonia); 2) per sventare

minacce o rischi potenziali (come avvenne nel caso di STUXNET, con il virus che ritardò

l’acquisizione dell’arma nucleare da parte dell’Iran); 3) come risposta o rappresaglia, nei

confronti di Stati o attori non statali responsabili di aver attaccato per primi (è forse questo

il caso dell’attacco americano alla Corea del Nord)60.

1.4 – Conclusioni

In questo primo capitolo si è cercato di fornire al lettore gli strumenti per orientarsi nella

complessità tecnica e strategica del cyber spazio. Un prospetto sintetico che riassume

gran parte dei concetti trattati finora è disponibile nella tabella 1. Nelle quattro colonne

sono indicati gli elementi principali di una possibile azione nel cyber spazio: strumenti,

agenti, tattica e strategia.

Gli strumenti disponibili sono quelli elencati nel paragrafo 1.2, e possono essere utilizzati

indifferentemente da tutti gli attori per tutti i fini tattici o strategici. Ad esempio, il phishing

viene solitamente utilizzato dagli hacker per ottenere i dati personali di un utente (che

rientra nella tattica dell’exploitation), dati che a loro volta possono essere usati per scopi

criminali come il furto, o per lo spionaggio. Analogamente, un malware può essere creato

da un hacker privato o da agenti dello Stato, può avere obiettivi tattici piuttosto limitati (ad

esempio estorcere denaro, come nel caso dei ransomware), oppure obiettivi militarmente

rilevanti (rendere inefficace un’infrastruttura militare). Gli agenti, come detto, possono

essere pubblici o privati: rientrano nel primo caso i servizi segreti, mentre alla seconda

categoria appartengono gli hackers, gli hacktivisti (ovvero gli hacker guidati da scopi di

protesta politica o ideologica) e i terroristi.

Quanto detto permette di comprendere cosa intendiamo per tattica (la terza colonna nella

figura che segue): il termine non viene utilizzato in questa sede nel senso convenzionale

60

Vedi Infra, parr. 3.1, 3.2, 3.3.


del termine, ma per indicare l’obiettivo immediato dell’azione, ovvero qual è il risultato

dell’offesa sul bersaglio. Qui possiamo rinvenire quattro categorie diverse: exploitation,

che delle quattro rappresenta la forma meno invasiva, giacché si limita a copiare dati

violando una rete a cui non si ha legittimamente accesso; disruption, che coincide grosso

modo con l’attacco semantico discusso precedentemente e si limita quindi a limitare

l’utilizzo della macchina colpita da parte dell’utente; danno fisico, che comprende non solo

il danneggiamento dell’hardware, ma anche la distruzione di dati; da ultimo, il furto o la

frode. La quarta colonna, infine, permette di individuare cinque possibili strategie: le prime

tre sono quelle discusse in precedenza, del cyber spionaggio, soft cyber war (sia sotto

forma di cyber sanzioni, sia sotto forma di cyber sabotaggio) e cyber war. Le ultime due –

cyber terrorismo e cyber crime – sono invece al di là del nostro ambito di ricerca.

Tabella 1. Sunto delle varietà di agenti, strumenti, tattiche e strategie possibili nel

cyber spazio.

Pur nella consapevolezza di aver fornito solo un quadro parziale e poco approfondito, si

ritiene opportuno ora volgere l’attenzione verso le problematiche più prettamente

giuridiche. Nelle pagine che seguono, la trattazione sarà dunque concentrata

STRUMENTI AGENTI TATTICA STRATEGIA

Spoofing

Botnets

DOS/D-DOS

Malware/virus

Hackers

Hacktivisti

Servizi segreti

Cyberspionaggio

Soft cyber war

Cyber war

Exploitation

Disruption

Danno fisico

Terroristi Cyberterrorismo

Organizz. criminali Cyber crime Furto/frode

Defacciamento

Spamming

Phishing/Spear phishing


esclusivamente alle azioni compiute da agenzie statali (verosimilmente i servizi segreti)

volte alla disruption e al danno fisico, di gravità tale da costituire un caso di cyber war.


Dopo aver discusso delle caratteristiche del cyber spazio e, più in dettaglio, le azioni

offensive che si possono realizzare in questo ambiente, è opportuno cercare di dare ora

una risposta al quesito che informa la ricerca: in base alle norme vigenti del Diritto

Internazionale, quali risposte possono essere considerate lecite in risposta ad un attacco

cyber? O, più precisamente, quali risposte sono compatibili con le varie possibili modalità

d’attacco cyber? Nel tentativo di affrontare con ordine la questione, si procederà a

sviluppare l’argomentazione in tre passaggi diversi: in primo luogo, verranno presentate in

maniera succinta le disposizioni del Diritto Internazionale Pubblico in merito al principio di

legittima difesa; In secondo luogo, verranno discussi i problemi che rendono difficile

l’applicazione tout court delle norme di Diritto Internazionale all’ambito cyber; infine, nel

terzo paragrafo, si tireranno le conclusioni dei problemi sollevati finora, nel tentativo di

fornire una risposta ai quesiti in oggetto.

2.1 – Il principio di legittima difesa nel Diritto Internazionale Pubblico

Il diritto di qualsiasi Stato a difendersi è sancito dall’articolo 51 della Carta delle Nazioni

Unite, che recita testualmente:

Nessuna disposizione del presente Statuto pregiudica il diritto naturale di autotutela

individuale o collettiva, nel caso che abbia luogo un attacco armato contro un Membro

delle Nazioni Unite, fintantoché il Consiglio di Sicurezza non abbia preso le misure

necessarie per mantenere la pace e la sicurezza internazionale. Le misure prese da

Membri nell’esercizio di questo diritto di autotutela sono immediatamente portate a

conoscenza del Consiglio di Sicurezza e non pregiudicano in alcun modo il potere e il

Gli strumenti normativi per regolare

l’esercizio della violenza nel cyber spazio 2


compito spettanti, secondo il presente Statuto, al Consiglio di Sicurezza, di

intraprendere in qualsiasi momento quell’azione che esso ritenga necessaria per

mantenere o ristabilire la pace e la sicurezza internazionale61

Già prima delle Nazioni Unite, questo principio era parte del Diritto Internazionale

Consuetudinario. Quello che la Carta dell’ONU cercò di formalizzare fu la portata, ovvero i

limiti, di tale diritto. Così facendo, però, solleva alcuni quesiti che hanno animato il dibattito

dottrinario fino ad oggi. Ad esempio, la formulazione presente nell’art. 51 sta a indicare

che il diritto all’autodifesa si può invocare solo dopo che uno Stato ha subito un attacco

armato, e prima che il Consiglio di Sicurezza intervenga? La risposta a questo duplice

interrogativo può entrare in contraddizione con la prassi consuetudinaria accettata fino alla

fine della Seconda Guerra Mondiale dell’autodifesa anticipata e pone un freno alla

capacità di uno Stato di agire indipendentemente dal Consiglio di Sicurezza nell’esercizio

della propria autodifesa?

La dottrina ha così visto opporsi due posizioni antitetiche. Da una parte stanno i sostenitori

di un approccio restrittivo all’interpretazione della Carta ONU, secondo i quali l’autodifesa

anticipata è incompatibile con il dettato della Carta e, analogamente, l’autorità del

Consiglio di Sicurezza è superiore a quella degli Stati62. Nell’altro campo, alcuni autori e

alcuni Stati (tra cui gli Stati Uniti) sostengono la necessità di un’interpretazione più ampia,

argomentando che il diritto consuetudinario all’autodifesa costituiva un diritto primario di

qualsiasi Stato sovrano, per cui al di fuori delle competenze dell’ONU63. Osservando

inoltre come l’esperienza storica mostrasse l’incapacità del Consiglio di Sicurezza di agire

efficacemente per rimediare ad atti di aggressione, i sostenitori di questa posizione

ritenevano più utile conformarsi ai criteri per la reazione legittima formulati dalla prassi.

Il diritto all’autodifesa anticipata costituisce nel Diritto Internazionale un primo punto

controverso: esso assume che l’utilizzo della forza possa essere legittimo anche prima che

uno Stato subisca un attacco armato. La giustificazione di questa argomentazione è che,

di fronte ad alcuni tipi di attacchi (per la gravità dei danni che potrebbero infliggere, o per

61

United Nations Charter, San Francisco, 26 giugno 1946. 62

Ian Brownlie, International Law and the Use of Force by States, Oxford, Oxford University Press, 1963, pp. 275-278. Yoram Dinstein, War, Aggression and Self-Defence, Cambridge, Cambridge University Press, 5a ediz., 2011, pp. 203-204. 63

Albrecht Randelzhofer, Georg Nolte, Article 51, in Bruno Simma et al. (a cura di), The Charter of the United Nations: A Commentary, 3a ediz., Vol. 2, 2012, pp. 1403-1404.


la loro natura asimmetrica), lo Stato colpito non sarebbe in grado di reagire. Questo

principio trova la prima formulazione nel caso Caroline del 183764. Poiché manca uno

standard preciso di applicazione di questo diritto, ma dipende dalle circostanze specifiche,

la questione non ha ancora trovato una sistemazione dottrinaria65. Non è questa la sede

per riprendere le complessità di un dibattito giuridico e politologico alquanto articolato, ma

basti notare che, in seguito agli attacchi dell’11 settembre, l’argomentazione formulata

dall’amministrazione americana era che la natura elusiva delle minacce e soprattutto degli

avversari americani (ormai non più limitati agli Stati, ma che comprendeva anche gli attori

non statali, come al Qaeda) rendeva proibitiva qualsiasi forma di rappresaglia o difesa da

un attacco. In altri termini, lasciare ai terroristi la possibilità di attaccare per primi avrebbe

messo a repentaglio la sopravvivenza stessa degli Stati Uniti, così giustificando il diritto

all’autodifesa anticipata 66. A questo dibattito ha forse fornito la risposta definitiva Michael

Schmitt67, il quale ha proposto che l’utilizzo anticipato della forza possa essere giudicato

legittimo a condizione che: 1) ci siano prove concrete che mostrino la volontà e la capacità

di un aggressore di perpetrare l’attacco; 2) ritardare la risposta vanificherebbe la capacità

del difensore di montare una valida difesa.

Dove la Carta ONU segue senza alcun problema il diritto consuetudinario è nel definire i

requisiti necessari per giustificare il ricorso alla forza: questi sono il principio di necessità e

proporzionalità e immediatezza68. Con il primo termine si indica la condizione per cui la

forza debba essere utilizzata soltanto come ultima istanza. Questo comporta che gli Stati

debbano aver prima tentato tutte le vie pacifiche di risoluzione della controversia, e che

queste si siano mostrate inefficaci; lo Stato che intende appellarvisi deve inoltre dimostrare

la natura coercitiva e violenta dell’aggressione, gli obiettivi delle parti in causa e la

probabilità che l’intervento della Comunità Internazionale possa avere successo.

Il principio di proporzionalità sta a indicare che la reazione dello Stato attaccato deve

essere contenuta in termini di ampiezza, durata e obiettivi, poiché deve essere

64

Helen Duffy, The 'War on Terror' and the Framework of International Law. Cambridge, Cambridge University Press. 2005, p. 157. 65

In particolare, il dibattito sul tema si è riacceso nel 2002, con la pubblicazione della National Security Strategy americana, che stabiliva la dottrina dell’azione pre-emptive contro quegli Stati-canaglia e quei terroristi che ponevano una minaccia vitale agli Stati Uniti. 66

Il problema suscitato da questo documento fu reso ancora più complesso dall’utilizzo confuso e superficiale dei termini prevention e pre-emption. Per una discussione al riguardo, si veda Ivo H. Daalder, James M. Lindsay, America Unbound, Washington (DC), Brookings Institution Press, 2003 (trad. it. America senza freni, Milano, Vita e Pensiero, 2005). 67

Michael Schmitt, Preemptive Strategies in International Law, “Michigan Journal of International Law”, Vol.

24, 2003, pp. 513-548. 68

Dinstein, War, Aggression and Self-Defence, p. 205.


proporzionale all’attacco subito. Questo non significa che la reazione in legittima difesa

debba essere identica all’attacco subito, ma sta ad indicare che il danno che ne consegue

non debba essere superiore a quello subito dall’attacco. Con immediatezza si intende

infine esprimere il senso d’urgenza scaturisce dall’essere soggetti all’aggressione: la

risposta deve quindi essere tempestiva, poiché una reazione ritardata non potrebbe

essere giustificata come necessaria o efficace per rimediare al danno subito.

Per stabilire la liceità di un’azione di legittima difesa, tuttavia, il punto critico – come

traspare dalla formulazione dell’art.51 della Carta ONU – consiste nello stabilire se

l’aggressione costituisca un “attacco armato” 69. L’evoluzione successiva della

giurisprudenza, in assenza di una definizione chiara di quali azioni rientrino in questa

fattispecie, ha cercato di colmare questa lacuna. Un passo fondamentale in questa

direzione è costituito dall’adozione della Risoluzione 3314 dell’Assemblea Generale

dell’ONU del 14 dicembre 197470, in cui si stabiliva la distinzione tra aggressione tout court

(non tale da costituire un crimine contro la pace internazionale) e guerra d’aggressione.

Ma, ancora, nessuna indicazione in merito a quali caratteristiche avrebbe dovuto avere la

guerra d’aggressione. Una seconda fonte normativa rilevante si è avuta con la sentenza

della Corte di Giustizia del 1986 relativa al caso Nicaragua v. Stati Uniti71, che – seppur

rivoluzionaria per quanto concerne la definizione delle responsabilità di attori statali

rispetto all’azione di attori non statali – si è limitata ad allargare la fattispecie per includere

“l’invio […] di bande armate, gruppi irregolari o mercenari”. Il punto tuttora aperto è che il

Diritto Internazionale è ancora silente (o aperto a interpretazioni diverse) sulla dimensione

quantitativa del fenomeno – ovvero, quanta violenza deve essere esercitata per

configurare l’attacco armato. Questo punto, come vedremo più avanti, è particolarmente

critico nel momento in cui si voglia adattare il Diritto Internazionale all’ambito cyber.

Una volta stabilito il diritto all’autodifesa, questo può essere realizzato in due modi:

l’autodifesa individuale e l’autodifesa collettiva. Nel primo caso, la carta ONU e il diritto

consuetudinario individuano tre circostanze in cui la reazione di autodifesa può essere

giustificata:

69

Nel caso in cui l’offesa non configuri un attacco armato, ma un meno grave “utilizzo della forza”, lo Stato colpito è legittimato a rispondere, ma solo con misure non violente (in pratica, sanzioni). 70

Assemblea Generale dell’ONU, Risoluzione 3314, 14 dicembre 1974. 71

Caso delle attività militari e paramilitari in e contro il Nicaragua, sentenza di merito del 27 giugno 1986, par. 195. http://www.icj-cij.org/docket/files/70/6503.pdf.

http://www.icj-cij.org/docket/files/70/6503.pdf


1. La difesa dell’integrità territoriale. Come anticipato, tanto il diritto consuetudinario

quanto l’art. 51 sanciscono il diritto all’integrità territoriale come corollario del principio di

sovranità. Questo garantisce ad ogni Stato il diritto di proteggere i confini nazionali, lo

spazio aereo e le acque territoriali.

2. La difesa dell’indipendenza politica. Poiché l’indipendenza politica è un attributo della

sovranità al pari dell’integrità territoriale, rimane come obbligo per tutti gli Stati rispettare

questo diritto. Questo si realizza in una serie di comportamenti politici, che vanno dalla

scelta del tipo di regime, della forma di governo, degli allineamenti e delle alleanze, il

diritto di stringere rapporti diplomatici con la Comunità Internazionale e, infine, la libertà di

intessere legami commerciali ed economici a livello internazionale72.

3. La protezione dei propri connazionali all’estero. Questo principio consuetudinario si

risolve nel diritto di qualsiasi Stato di proteggere la vita dei propri cittadini all’estero,

qualora questa sia messa in pericolo. Questo dà l’autorità agli Stati di condurre operazioni

di evacuazione, sulla cui base sono state giustificate operazioni anche controverse come

quelle a Panama e Granada. Dato lo scopo circoscritto di questo tipo di operazione, è

evidente che il diritto alla protezione dei propri connazionali non possa essere considerata

una base sufficiente per operazioni prolungate nel tempo.

La seconda modalità di realizzazione del principio di autodifesa è la difesa collettiva. In

sostanza, questa si risolve nella facoltà degli Stati oggetto di aggressione di richiedere e

ricevere assistenza da altri Stati nella propria reazione contro l’attacco armato. In questo

caso, affinché l’azione collettiva sia ritenuta legittima, si devono rispettare tutti i criteri

sopra discussi e, in aggiunta, è necessaria una richiesta esplicita da parte dello Stato

aggredito. Ciò significa che l’intervento unilaterale di intervento di uno Stato terzo in

assenza di un consenso esplicito non è riconosciuto come legittimo.

Infine, il Diritto Internazionale deve prevedere la possibilità che gli Stati possano invocare il

diritto all’autodifesa contro attori non statali. Anche su questo punto la dottrina non è

unanime. In primo luogo, la risposta a questo quesito dipende dalla responsabilità dello

Stato che ospita gli attori non statali responsabili dell’aggressione: la maggior parte degli

studiosi ritiene fondamentale che lo Stato che ospita questi attori sia giudicato incapace o

72

Evidentemente, la definizione di cosa consista l’indipendenza può essere ampliata fino ad includere una varietà di funzioni statali: come nel caso delle relazioni economiche, questo comporta il rischio che sorgano diversi motivi di controversia – ad esempio, nella misura in cui le relazioni economiche tra due Stati diventino fonte di tensione e crisi.


non disposto a frenarne l’azione. Questo però comporta per lo Stato vittima

dell’aggressione la necessità di fornire un’evidenza schiacciante per dimostrare questa

mancanza da parte dello Stato ospite per poter legittimare il proprio attacco73.

2.2 – Problemi di applicabilità all’ambito cyber

Dato che indagare sulle possibili azioni in legittima difesa contro un attacco cyber significa

addentrarsi più in generale all’interno del problema dell’applicabilità del Diritto

Internazionale al cyber spazio, prima ancora di rispondere al quesito che informa la ricerca

occorre esplorare le problematiche sollevate da questa complessa relazione. In estrema

sintesi, seguendo l’approccio di David Fidler74, possono essere identificati quattro problemi

principali: applicazione attribuzione, valutazione e responsabilità. Ai nostri fini risultano

rilevanti solo i primi tre, giacché l’ultimo – ovvero come incriminare i soggetti responsabili

di azioni – rientra più propriamente nell’ambito del Diritto Penale Internazionale.

Applicazione: rispetto ad analisi più approfondite del tema, qui ci si concentrerà in modo

quasi esclusivo sullo ius ad bellum, ovvero quali siano le condizioni e le norme

internazionali che regolano la possibilità degli Stati di ricorrere alla forza. Il problema

dell’applicazione si risolve in ultima istanza nella necessità, difficile da soddisfare nel cyber

spazio, di classificare gli eventi in base a categorie giuridiche al fine di stabilire quali regole

debbano applicarsi e, non meno importante, quali azioni costituiscano un illecito. Le

complessità discusse nel capitolo precedente dovrebbero aiutare a comprendere già in

prima battuta perché possa risultare concretamente difficile capire cosa stia succedendo

realmente nel caso di un attacco cyber e quali ne siano le conseguenze. Mentre

nell’ambito dei conflitti cinetici questo problema non si pone75, nel cyber spazio l’utilizzo

delle tecnologie più avanzate rende difficile comprendere quali e quante infrastrutture

siano state colpite, quali ne saranno gli effetti e, sovente, quale ne sia la dinamica

d’attacco.

73

Questo è il caso che si è rivelato più controverso con l’operazione Enduring Freedom in Afghanistan nel 2001. Per una trattazione del tema si veda Michael Schmitt, Responding to Transnational Terrorism Under the Jus Ad Bellum: A Normative Framework, “Naval Law Review”, Vol. 56, 2008, pp. 1-42. 74

David P. Fidler, Inter arma silent leges Redux? The Law of Armed Conflict and Cyber Conflict, in Derek S. Reveron (a cura di), Cyberspace and National Security, Washington (DC), Georgetown University Press, 2012, pp. 71-87. 75

Quando un’arma esplode, solitamente le cause, gli effetti e la dinamica dell’attacco sono piuttosto visibili e raramente richiedono un’analisi forense sofisticata.


Il problema, insomma, è che rimane una profonda ambiguità su come caratterizzare

qualsiasi attacco. Ad esempio, l’infiltrazione da parte di hacker cinesi nel sistema

informatico del governo americano dal 2010 ad oggi è stata caratterizzata dal governo

americano come un attacco, un’aggressione, o perfino un atto di terrorismo. Stesse

categorie sono state utilizzate dal governo estone in seguito agli attacchi del 2007.

Tuttavia, in entrambi i casi queste posizioni sono difficilmente sostenibili. Nel caso degli

attacchi contro gli Stati Uniti, in sostanza la Cina si è limitata a copiare dei dati, per cui

l’azione si risolve più semplicemente in un atto di spionaggio76. Anche l’accusa più grave –

ovvero di aver dirottato una parte cospicua del traffico di Internet nel 2010 – sembra

giustificare il ricorso a categorie legate al conflitto. Analogamente, nel caso dell’Estonia, gli

attacchi subiti sono stati meglio classificati come cyber sommossa, poiché non hanno

creato alcun danno materiale e i costi finanziari sono stati tutto sommato contenuti.

Il problema dell’applicazione non si solleva nel caso in cui l’utilizzo di cyber attacchi

avvenga nel contesto di un conflitto armato in corso. Nel caso della guerra tra Russia e

Georgia del 2008, ad esempio, la dimensione cibernetica fu solo uno degli elementi che

contribuirono alla rapida vittoria della Russia. Essendo già il conflitto in corso, in questo

caso già si applicava il Diritto Internazionale – evidentemente, non quello relativo allo ius

ad bellum, quanto piuttosto quello relativo allo ius in bello77. Anche in questo caso, data la

evidente maggiore violenza degli attacchi cinetici, l’applicazione del diritto all’ambito cyber

rimase marginale.

Ne consegue che, in virtù di questa indeterminatezza, gran parte dell’attività nel cyber

spazio avviene in contesti in cui le parti in causa non riconoscono l’applicabilità del Diritto

Internazionale. In queste zone d’ambiguità, tanto gli attori statali quanto quelli non statali

hanno tutti gli incentivi a utilizzare – o almeno tollerare – qualsiasi forma di attività nel

cyber spazio che non si configuri evidentemente come aggressione.

Attribuzione. Il problema dell’attribuzione si risolve nel rispondere al semplice quesito: chi

è stato? Il problema è tutt’altro che nuovo: qualsiasi incidente (terroristico, diplomatico, o

nell’ambito interno legato al diritto civile o penale) necessita di una chiara attribuzione

della responsabilità. Questo problema, date le specificità della tecnologia cibernetica,

risulta in questo ambito particolarmente complesso. Per comprendere al meglio la

76

Si veda Supra, par. 1.3. 77

Come noto, lo ius in bello non stabilisce i criteri che rendono legittima un’azione violenta, quanto le azioni che sono concesse sul campo di battaglia.


complessità della situazione, può essere utile comparare le procedure per l’attribuzione

nell’ambito del diritto interno rispetto a quanto avviene nel cyber spazio. Nel diritto penale,

ad esempio, il primo passaggio necessario è la segnalazione di un crimine, a cui poi

segue (si spera in tempi brevi) l’arrivo degli investigatori sulla scena del crimine. Questa

viene poi messa in sicurezza e l’analisi forense indagherà sulla dinamica del fatto. Gli

investigatori formuleranno quindi un’accusa contro un sospetto, che verrà poi giudicato da

un tribunale. La risposta al quesito relativo all’attribuzione corrisponderà di fatto al verdetto

del giudice. Si tratta quindi di una procedura metodica, istituzionalizzata e con regole

molto precise78.

Le caratteristiche di questo scenario sono indicative della possibilità di organizzare il

lavoro attraverso una divisione delle funzioni e, altrettanto rilevante, la possibilità di

spezzare la procedura in diverse fasi. Nell’ambito del cyber spazio questo processo non

può avere luogo in modo altrettanto lineare per via di una serie di problemi. Da una parte,

la struttura stessa del cyber spazio79 fornisce un’ampia gamma di strumenti e strategie per

nascondere il proprio intervento80. Un secondo problema consiste nel trovare l’evidenza

empirica – ovvero le prove – non tanto analizzarle e comunicare i risultati a un’audience

più ampia dei soli tecnici81.

Insomma, perché si possa applicare il Diritto Internazionale – e, ai nostri fini, si possa

stabilire quale possa essere una giusta risposta ad un attacco – occorre avere la certezza

dell’identità di chi attacca. Al problema tecnologico-operativo si aggiunge poi il problema

giuridico-politico legato alla possibilità che l’azione sia perpetrata non da uno Stato ma da

gruppi non statali. Al momento non si intravedono soluzioni facilmente percorribili per

porre rimedio a questi problemi.

Alcuni, con non poco ottimismo, suggeriscono una risposta tecnologica: si tratterebbe in

sostanza di rivedere l’impianto tecnico di Internet, il che richiederebbe necessariamente

78

Thomas Rid, Ben Buchanan, Attributing Cyber Attacks, “Journal of Strategic Studies”, Vol. 38, No. 1, 2015, pp. 4-37. 79

Vedi Supra, par. 1.2. 80

Libicki, Cyberdeterrence and Cyberwar, pp. 46-47. Nicholas Tsagourias, Cyber Attacks, Self-Defence and the Problem of Attribution, “Journal of Conflict & Security Law”, Vol. 17, 2013, pp. 229-244; Marco Roscini, Cyber Operations and the Use of Force in International Law, Oxford, Oxford University Press, 2014, pp. 33-40. 81

Rid, Buchanan, Attributing Cyber Attacks; Sergio Caltagirone, Andrew Pendergast, Christopher Betz, The Diamond Model of Intrusion Analysis, ADA586960, Hanover (MD): Center for Cyber Threat Intelligence and Threat Research, 5 luglio 2013; Eric M. Hutchins, Michael J. Cloppert, Rohan M. Amin, Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, Bethesda (MD), Lockheed Martin Corporation, 2010.


una capacità di indirizzamento dell’industria informatica che al momento appare poco

realistica82. Altrettanto controversa è la posizione di Rid e Buchanan, i quali sostengono in

un recente articolo che il problema dell’attribuzione non si risolva in una scienza (esatta),

ma sia piuttosto un’arte: in altre parole, si tratterebbe di uno sforzo per minimizzare

l’incertezza nell’attribuzione, per cui non esisterebbe alcuna metodologia né formula esatta

per risolvere il problema. Non si arriverà quindi mai a un verdetto colpevole/innocente, ma

a un certo grado di attendibilità dell’ipotesi di attribuzione. Il problema di questa proposta,

per quanto sicuramente affascinante e utile da un punto di vista strategico-operativo, è che

non aiuta a risolvere il problema da un punto di vista legale. Avere una ragionevole

certezza che uno Stato abbia contribuito a realizzare un attacco difficilmente potrebbe

essere sufficiente a guadagnarsi il consenso della Comunità Internazionale. Un’azione in

legittima difesa basata su indizi circostanziali, per mantenere il paragone con il diritto

penale, non è verosimilmente accettabile.

Una seconda strada, secondo Fidler, è quella giuridica. In questo caso, analogamente

all’approccio proposto per abbassare la soglia di applicabilità, si potrebbero ampliare le

regole usate per imputare la responsabilità di uno Stato per le azioni di attori non statali83.

Questa scelta ha senso se non si pone il problema tecnologico, ma quello politico. Qui la

giurisprudenza internazionale viene d’aiuto. Con la sentenza della Corte Internazionale di

Giustizia Nicaragua contro Stati Uniti84, la Corte ha fissato un principio molto chiaro e

restrittivo: nel giudicare colpevoli gli Stati Uniti per aver supportato i gruppi armati di

oppositori contro il governo nicaraguense, il principio che è stato fatto valere è quello della

completa dipendenza di tali gruppi dallo Stato sponsor. Nell’ambito cyber, soddisfare tale

criterio è molto più difficile, e ci si dovrebbe accontentare di una soglia più bassa, per cui

sarebbe sufficiente una forma di controllo o indirizzamento generale da parte dello Stato

sponsor sull’attore privato responsabile dell’attacco85.

La terza strada proposta da Fidler, infine, implica una diversa condotta da parte degli Stati

nello svolgimento degli attacchi. In sostanza, essa richiede la disponibilità degli Stati che

compiono azioni offensive nel cyber spazio di assumersene piena responsabilità, anche

82

Mike McConnell, How to Win the Cyberwar We’re Losing, “Washington Post”, 28 febbraio 2010; Greg Rattray, Chris Evans, Jason Healey, American Security in the Cybercommons, in Abraham M. Denmark, James Mulvenon (a cura di), Contested Commons: The Future of American Power in a Multipolar World, Washington (DC), Center for a New American Security, 2010, pp. 151-172. 83

Fidler, Inter arma silent leges Redux?, p. 77. 84

Caso delle attività militari e paramilitari in e contro il Nicaragua. 85

La base legale per questa interpretazione potrebbe fondarsi sulla sentenza Tadic del Tribunale Penale Internazionale per l’ex Jugoslavia. ICTY, Prosecutor v. Dusko Tadic, Case No. IT-94-1-A, 15 luglio 1999.


laddove esista la possibilità di occultare la propria presenza. È questa, ad esempio, la

dichiarazione d’intenti del generale Keith Alexander, primo direttore dello US Cyber

Command in un’audizione al Senato86. Come si potrà facilmente comprendere,

un’affermazione lodevole e che lascia ben sperare, ma finora in chiaro contrasto con la

prassi statunitense. Se così fosse, in sostanza, sarebbe come se i responsabili dei reati si

costituissero appena compiuto il fatto. Questo comportamento può essere razionale e

conveniente per organizzazione terroristiche impegnate in cyber attacchi che volessero

rivendicare le proprie azioni, ma un’evoluzione in tal senso del cyber warfare appare del

tutto improbabile.

Valutazione. Il terzo problema consiste nella limitata capacità di valutare se le azioni

compiute nel cyber spazio rispettino le norme del Diritto Internazionale. La questione è

resa se possibile ancora più complessa rispetto a quelle trattate precedentemente, poiché

alle complicazioni create dall’unicità dell’ambiente cyber si unisce una serie di interrogativi

ancora aperti all’interno del diritto stesso: infatti, alcuni comportamenti non hanno ancora

trovato una sistemazione normativa accettata, rimanendo tuttora oggetto di controversia87.

Prendendo in esame il primo tipo di problematica, la varietà di strumenti offensivi nel cyber

spazio, unita alla mancanza di casi studio sufficientemente conosciuti rende la questione

puramente teorica e speculativa. Con particolare riferimento al problema della reazione in

legittima difesa, ci si dovrà interrogare in primo luogo su quali attacchi possano soddisfare

le condizioni poste dal Diritto Internazionale che sono state discusse nel paragrafo

precedente. In questo senso, la differenza principale dell’ambito cyber rispetto agli altri

ambienti del conflitto sta nel fatto che le armi cibernetiche non esercitano violenza diretta

contro le persone e, se non in rari casi88, nemmeno contro le cose. La conseguenza che

ne discende è che non rimangono che due alternative: o le armi cyber risultano al di fuori

86

Statement of General Keith B. Alexander, Commander United States Cyber Command, before the House Committee on Armed Services (23 settembre 2010). 87

Si pensi ad esempio alla fattispecie del sabotaggio. Sebbene sia indiscusso che costituisca un uso illegale della forza, è ancora dibattuto se possa essere considerato come un attacco armato. 88

L’unico caso di danno all’hardware come risultato di un attacco cyber, da quanto è dato sapere, è costituito da STUXNET, il cui obiettivo era appositamente creare un malfunzionamento nelle centrifughe iraniane per l’arricchimento dell’uranio. Sempre a livello teorico, in base alla definizione proposta nel primo capitolo, un attacco cyber potrebbe comportare il danneggiamento o la distruzione fisica di una struttura hardware come mezzo per generare un danno a livello virtuale. Tale eventualità non incapperebbe in questo problema di valutazione, poiché il mezzo utilizzato per perpetrare l’attacco sarebbe comunque di natura cinetica.


della giurisdizione del Diritto Internazionale, oppure le si considerano come armi non letali,

e in quanto tali legali (ovviamente, poste alcune condizioni di utilizzo)89.

Posto quindi che le armi cyber, stante le condizioni tecnologiche attuali, non possono

essere considerate illegali, il problema che si pone consiste nello stabilire se il loro utilizzo

costituisca un illecito, e di che gravità. Il punto, centrale per la nostra analisi, è insomma

stabilire se un attacco cyber costituisca un uso della forza (illecito, se non vengono

riconosciute le condizioni discusse nel paragrafo precedente) o una attacco armato.

Diversamente dagli altri ambiti del conflitto, il tipo di arma utilizzata non può costituire un

criterio discriminante, poiché, come visto, uno stesso malware può causare più o meno

danni su più o meno macchine. Non resta che concentrarsi, quindi, sulle conseguenze

dell’attacco90. Qui però entra in gioco il secondo problema rilevato, ovvero la mancanza di

norme condivise nel Diritto Internazionale. Come visto nel paragrafo precedente, la stessa

definizione di uso della forza, attacco armato e aggressione è problematica e questo crea

ampio spazio all’interpretazione da parte dei singoli Stati.

2.3 – Quale reazione legittima nel cyber spazio?

Nonostante le problematiche sopra esposte, gli sforzi di regolamentare l’attività nel cyber

spazio sono stati innumerevoli. In ambito accademico esistono validissime pubblicazioni

che possono fungere da base dottrinale per la formulazione di un futuro Diritto Pubblico

del cyber spazio91. In particolare, tra questi lavori il più importante è probabilmente il

cosiddetto Manuale di Tallin, risultato di un progetto durato più di due anni e sponsorizzato

dal Centro di Eccellenza della NATO. Sebbene frutto dell’attività intellettuale di un gruppo

di accademici, la rilevanza politica (se non giuridica) del lavoro, merita di essere discussa

in questa sede. Essendo il testo composto di 95 regole con i relativi commenti, è

impossibile riassumerne i contenuti. È tuttavia utile concentrare l’attenzione sulla sezione

del volume dedicata all’autodifesa. In particolare, facendo riferimento a questo testo,

89

Fidler, Inter arma silent leges Redux?, p. 78. 90

Michael Schmitt, Computer Network Attack and the Use of Force in International Law: Thoughts on a Normative Framework, “Columbia Journal of Transnational Law”, Vol. 37, 1999, pp. 885-937. 91

Michael Schmitt (rapporteur), Tallin Manual on the International Law Applicable to Cyber Warfare, Cambridge, Cambridge University Press, 2013; Marco Roscini, Cyber Operations and the Use of Force in International Law; Heather Harrison Dinniss, Cyber Warfare and the Laws of War, Cambridge, Cambridge University Press, 2012; Yarozlav Radziwill, Cyber-Attacks and the Exploitable Imperfections of International Law, Leiden Brill, 2015.


cercheremo di dare risposta a due quesiti: 1) quando è legittimo reagire a un attacco

cyber? 2) Quali modalità di reazione sono legittime?

Su entrambe le questioni, il Manuale di Tallin si allinea al diritto Pubblico Internazionale.

Per quanto concerne il primo interrogativo, il punto di partenza è chiaramente la regola

numero 13, che così recita: “uno Stato che sia bersaglio di un’operazione cyber che

configuri un attacco armato può esercitare il suo diritto naturale all’autodifesa”92. Appare

evidente che questo punto riflette la lettera dell’art. 51 della Carta ONU. Più

realisticamente rispetto a questa, tuttavia, il Manuale prosegue osservando come la

definizione di attacco armato nel cyber spazio sia soggetta all’interpretazione: in

particolare, occorre definire i termini di uso della forza ed attacco armato.

L’uso della forza, che costituisce una violazione del Diritto Internazionale ma non è

sufficiente a giustificare una risposta violenta in legittima difesa93, viene definito nel

Manuale di Tallin in base a otto criteri. Ognuno di questi può essere stimato rispondendo

ai seguenti quesiti:

(a) Gravità: Quante persone sono state uccise? Quanto ampia è l’area attaccata? Qual è

l’entità del danno all’interno di quest’area.

(b) Immediatezza: Quanto rapidamente sono stati avvertiti gli effetti dell’operazione cyber?

Quanto rapidamente sono svaniti?

(c) Causa diretta: L’azione è stata la causa immediata degli effetti? Ci sono state altre cause

che hanno contribuito a produrre quegli effetti?

(d) Invasività: L’azione ha richiesto di penetrare un network che avrebbe dovuto essere

sicuro? Il luogo dell’azione era all’interno del paese colpito?

(e) Misurabilità: Come possono essere quantificati gli effetti dell’azione? Gli effetti dell’azione

sono distinti dalle conseguenze di azioni parallele od opposte? Quanto è esatto il calcolo

degli effetti?

(f) Natura militare: L’operazione cyber è stata condotta dai militari? L’obiettivo

dell’operazione cyber erano le forze armate?

92

Schmitt, Tallin Manual on the International Law Applicable to Cyber Warfare, regola 13. 93

La posizione contraria, intesa a legittimare l’uso della forza anche per azioni meno gravi dell’attacco armato, è rimasta decisamente minoritaria nel dibattito internazionalistico. E, probabilmente, diventerà ancora più marginale nell’ambito cyber parallelamente al crescere del numero di Stati che si dotano di queste capacità.


(g) Coinvolgimento statale: Lo Stato è coinvolto direttamente o indirettamente nell’atto in

questione? L’atto asseconda l’interesse dello Stato che l’ha compiuto?

(h) Presunzione di legalità: Questa categoria di azione è stata generalmente caratterizzata

come uso della forza, oppure no? I mezzi utilizzati sono qualitativamente simili ad altri

che si presumono legittimi in base al Diritto Internazionale?94

È quindi evidente che gran parte degli attacchi cyber discussi nel primo capitolo può

rientrare nella fattispecie dell’uso della forza, implicando così una violazione del Diritto

Internazionale. Il punto più controverso, però, è stabilire se la gravità dell’azione sia

sufficiente a superare la soglia dell’attacco armato: se è infatti vero che qualsiasi attacco

armato implica l’utilizzo della forza, per converso solo alcuni tipi di utilizzo della forza

possono assumere l’intensità necessaria per qualificarsi come attacchi armati. E,

analogamente a quanto avviene nel Diritto Internazionale Pubblico, soltanto l’attacco

armato può legittimare un’azione in autodifesa.

Il criterio discriminante tra i due termini è mutuato ancora una volta dalla sentenza della

Corte di Giustizia95, che nel giudicare sulla controversia tra Stati Uniti e Nicaragua

identificava come criteri distintivi le dimensioni e gli effetti dell’uso della forza. Questo

fornisce un’indicazione di massima, ma lascia un ampio margine di discrezionalità

all’interno di una zona grigia. In ambito cyber, a un estremo appare chiaro che un’azione

che genera danni fisici e uccide persone su larga scala potrà configurarsi come un attacco

armato; all’estremo opposto, gli atti di cyber spionaggio, cyber furto o le operazioni che

comportano soltanto malfunzionamenti limitati o marginali di servizi non essenziali non

rientrano in questa categoria. Tra queste due posizioni estreme è però possibile trovare

una serie di casi intermedi: che dire, ad esempio, di quei casi che non comportano danni

fisici, distruzioni o vittime, ma che possono creare una disfunzionalità nel sistema

economico, sociale o politico di un paese?96.

In conclusione, la dottrina fornisce una valida argomentazione per sostenere che il diritto

ad utilizzare la forza per l’autodifesa si applica alle operazioni cibernetiche in misura non

diversa da quanto avviene nell’ambito cinetico. Qualora uno Stato attaccato intenda

94

Schmitt, Tallin Manual on the International Law Applicable to Cyber Warfare, regola 11, punto 9, nota 22. 95

Caso delle attività militari e paramilitari in e contro il Nicaragua, par. 191. 96

Si pensi ad esempio a un attacco al sistema bancario di uno Stato, il tentativo di falsare un risultato elettorale, o ancora l’attacco contro l’infrastruttura delle comunicazioni.


appellarsi al diritto naturale all’autodifesa, in linea di principio non dovrà fare altro che

dimostrare la gravità dell’azione in termini di dimensioni e gravità del danno subito.

Tuttavia, emergono una serie di questioni controverse, che in futuro saranno

probabilmente soggette all’interpretazione.

Una prima area di incertezza riguarda quel tipo di attacchi cyber che non creano un danno

fisico, ma generano gravi conseguenze. Un esempio di questo tipo sarebbe un attacco

prolungato nel tempo al sistema finanziario di un paese tale, supponiamo, da impedire di

effettuare transazioni bancarie su larga scala; o un attacco al sistema dei trasporti che

blocchi con successo la rete ferroviaria o paralizzi i voli. In entrambi i casi non si

registrerebbero danni fisici97, ma in un modo o nell’altro la capacità della società di

svolgere funzioni basilari (movimento di valuta e di persone) verrebbe meno. Di fronte a

tale evenienza si aprono due posizioni: una più ristretta, che seguendo la lettera e la

prassi del Diritto Internazionale stabilisce la soglia dell’attacco armato in base alle

conseguenze fisiche dell’offesa; e una più ampia, che si concentra invece sulla gravità del

danno subito98. Chi sostiene questa posizione argomenta, non senza ragione, che se per

converso si accetta come attacco armato il bombardamento di alcuni siti produttivi,

sarebbe incoerente non fare lo stesso con un’azione i cui effetti sarebbero ancora più

ampi.

Non è possibile stabilire oggi quale direzione prenderà l’interpretazione della norma. Sarà

la prassi statale a stabilirlo, per cui al momento non possiamo fare altro che constatare

come, nonostante siano avvenuti attacchi gravi o su larga scala, nessuno Stato finora

abbia sollevato la questione. Questo silenzio è probabilmente indicativo di una visione

condivisa dagli Stati interessati alla competizione nel cyber spazio: almeno fino ad oggi,

perché un’offesa configuri l’attacco armato deve comportare una disruption significativa.

C’è motivo di ritenere che, al crescere della dipendenza dei governi dall’infrastruttura

informatica e al parallelo aumentare delle azioni ostili99, questa soglia andrà ad

abbassarsi.

Se, come è probabile, l’interpretazione basata sulla gravità degli effetti diventerà

maggioritaria, un secondo problema da superare sarà la valutazione dei danni. Il problema

97

Paradossalmente, nel secondo caso il rischio di incidenti sarebbe perfino inferiore rispetto alla situazione ordinaria, essendo la circolazione bloccata. 98

Schmitt, The Law of Cyberwarfare, p. 283. 99

Un dato questo rilevato ad esempio dal General Accounting Office; GAO, INFORMATION SECURITY. Cyber Threats and Data Breaches Illustrate Need for Stronger Controls across Federal Agencies, p. 7.


è in primo luogo qualitativo, ma anche quantitativo: sotto il primo aspetto, la questione si

risolve nello stabilire se ci sono dei bersagli maggiormente sensibili e che quindi, se colpiti,

configurerebbero automaticamente un attacco armato (rientrerebbero in questa categoria,

a titolo di esempio, le infrastrutture militari, le centrali elettriche, i sistemi sanitari o di

depurazione dell’acqua). Il secondo problema, di natura quantitativa, consiste nel trovare

un metro di misura per quantificare l’entità dei danni: escludendo come criterio il danno

economico – poiché sarebbe palesemente contrario al Diritto Internazionale100 – non

rimangono alternative oggettive, col risultato di lasciare nuovamente un ampio margine per

l’interpretazione101.

Una seconda area di incertezza concerne le modalità di applicazione del diritto alla difesa

anticipata. Come discusso in precedenza102, la questione ha suscitato un dibattito anche

all’interno del Diritto Internazionale Pubblico. Nell’ambito cyber, dove sappiamo che le

operazioni possono svolgersi in tempi ridottissimi, invocare il diritto all’autodifesa anticipata

è tutt’altro che un’eventualità remota. Occorrerà quindi stabilire quali condizioni devono

porsi per potersi appellare a questo diritto. Come osserva acutamente Michael Schmitt, “le

operazioni cyber […] sono solitamente organizzate segretamente, possono avvenire

istantaneamente, possono essere difficili da attribuire con sicurezza in tempo reale e

possono produrre conseguenze cataclismatiche”103.

Per far fronte a questa problematica, il Manuale di Tallin suggerisce di sostituire il criterio

puramente temporale (attaccare subito prima di essere attaccati) con uno basato sulla

capacità di difendersi104: questo approccio, battezzato “test dell’ultima finestra

d’opportunità”105, richiede che si verifichino tre condizioni affinché l’attacco difensivo possa

essere legittimo: 1) il potenziale aggressore deve avere (o almeno essere sul punto di

avere) le capacità necessarie per perpetrare l’attacco cyber; 2) il potenziale aggressore

deve avere l’intenzione di attaccare; 3) l’attacco anticipato può legittimamente avvenire

100

Tra i principali riferimenti normative, si vedano: United Nations Conference on International Organization, Docs. 2, 334, 609, 617(e)(4) (1945); United Nations Special Commission on Friendly Relations, U.N. Doc. A/AC.125/SR.110-14 (1970); Caso delle attività militari e paramilitari in e contro il Nicaragua, par. 228. 101

Ad esempio Oona Hathaway e altri distinguono tre possibili approcci nella letteratura: uno basato sullo strumento, uno basato sull’obiettivo e uno basato sugli effetti. Hathaway (et al)., The Law of Cyber Attack, pp. 845-847. 102



Schmitt, Tallin Manual on the International Law Applicable to Cyber Warfare, regola 15, punti 3-6. 105

Schmitt, Preemptive Strategies in International Law, pp. 534-536.


solo nel momento in cui si sta per chiudere la finestra d’opportunità per prendere misure

difensive efficaci106.

Per quanto promettente, questo approccio lascia aperta una questione che nella prassi

potrebbe rendere impossibile giustificare la difesa anticipata: il problema dell’evidenza

empirica dei tre criteri. In altri termini, dimostrare che si pongono le tre condizioni può

risultare impossibile o non conveniente. Supponiamo che lo Stato A riesca a dimostrare

che lo Stato B è in possesso di un malware. Dato che verosimilmente lo Stato B avrà

sviluppato il codice in segreto e che questo non è un’arma visibile (a differenza di un’arma

convenzionale, come un missile), nasce spontaneo l’interrogativo: come ha fatto lo Stato A

ad ottenere questa informazione? Molto probabilmente con un’operazione di spionaggio.

Questo pone l’interrogativo: se anche lo spionaggio non rientra tra le attività illecite, sarà

disposto lo Stato A ad ammettere di aver compiuto tali azioni (probabilmente cyber) e

rischiare, oltretutto, di fornire strumenti allo Stato B per fare controspionaggio?

Analogamente, come può lo Stato A dimostrare che lo Stato B è intenzionato a usare il

malware? E in particolare a usarlo contro di lui? L’unico modo, a meno che non ci sia stata

una qualche dichiarazione pubblica in proposito, è craccare il malware per trovare le prove

che è stato progettato per colpire lo Stato A, ma questo può richiedere anche molto tempo.

Se si è in possesso del malware, è più opportuno lavorare alle difese per renderlo

inoffensivo che non appellarsi al diritto di autodifesa anticipata. Da ultimo, se anche fosse

possibile e legittimo lanciare un attacco anticipato, quali speranze ha lo Stato A che così

facendo lo Stato B sarà inibito dal lanciare il malware? In conclusione, quindi, c’è da

aspettarsi che nella prassi gli Stati non si cureranno più di tanto di questo problema. Di

fronte a una minaccia incombente sceglieranno probabilmente l’opzione che appare

strategicamente conveniente senza curarsi troppo di doversi giustificare.

La terza e ultima area di incertezza riguarda la possibilità che un attacco venga scagliato

da attori non statali. Il quesito è insomma formulabile in questi termini: come può reagire

legittimamente uno Stato di fronte a un attacco perpetrato da un gruppo o

un’organizzazione non statale? Il problema è stato ampiamente affrontato nel Diritto

Internazionale, sia in riferimento al caso in cui gli attori privati siano legati a uno Stato107,

106


Vedi Supra, note 64 e 65.


sia nel caso in cui siano indipendenti da esso108. Se nel primo caso non sussistono motivi

di controversia (le azioni di agenti privati controllati o sponsorizzati da uno Stato possono

giustificare una reazione in legittima difesa), nel secondo il punto è tuttora oggetto di

dibattito. Nell’ambito cyber, come discusso nel primo capitolo109, gli entry costs sono

relativamente bassi, per cui è probabile che in futuro attori privati si renderanno

responsabili di attacchi dalle dimensioni non trascurabili. Se questa previsione si rivelerà

corretta, è probabile che gli Stati convergeranno verso una visione estensiva del diritto di

autodifesa110.

Dopo aver sviluppato le problematiche legate al primo interrogativo, possiamo ora volgerci

alla seconda grande questione a cui non è facile dare risposta: le modalità di reazione.

Posto cioè che uno Stato subisca un attacco tale da giustificare la legittima difesa, come

potrà rispondere questo Stato senza violare il Diritto Internazionale? Quali principi dovrà

rispettare? E, in ultima istanza, quanto violenta potrà essere la sua risposta?

Per procedere con ordine, occorre ripartire dalla distinzione tra uso della forza e attacco

armato. Tanto la dottrina quanto la prassi degli Stati concorda nel ritenere che solo

l’attacco armato renda legittima una reazione che comprenda l’uso della forza. Un’offesa

che si configuri come uso della forza può legittimare sì una risposta, ma entro i limiti della

non violenza. Ne consegue che in quest’ultimo caso il repertorio delle azioni possibili sarà

piuttosto limitato e, come avviene nell’ambito cinetico, si risolva nell’imposizione di

sanzioni. Che tipo di sanzioni siano ammesse è un aspetto su cui la dottrina pare non

essersi soffermata. In linea di principio, la reazione più logica sembrerebbe quella di

imporre sanzioni nel cyber spazio111. Lo Stato vittima, tuttavia, può decidere di imporre

sanzioni economiche, politiche o di altro tipo112. Questa seconda eventualità non solleva

problemi di natura giuridica, ma costituisce una forma di escalation, poiché sposta la

reazione dall’ambito cibernetico a quello fisico.

Per quanto concerne invece la reazione a un attacco armato, i principi da rispettare

rimangono quelli già visti discutendo del Diritto Internazionale Pubblico: discriminazione

108

Per una rassegna, si veda Matthew Evangelista, Law, Ethics and the War on Terror, Cambridge, Polity Press, 2008 (trad. it. Diritto, etica e guerra al terrore, Milano, Vita e Pensiero, 2009). 109




È questa la minaccia paventata dall’amministrazione Obama nei confronti delle imprese cinesi discussa nell’esempio iniziale. Inoltre, sanzioni mirate a singoli individui sono state emanate in risposta all’hackeraggio di Sony. Vedi Infra, par. 3.3.


dei non combattenti, necessità e proporzionalità. Le armi cibernetiche, infatti, possono

essere indirizzate per colpire obiettivi molto precisi (singoli server, supporti SCADA o

perfino specifici file), rispettando così il principio di non indiscriminatezza113. È tuttavia

possibile progettare malware con un payload114 non mirato – in grado, cioè, di contagiare

e danneggiare indiscriminatamente qualsiasi computer, civile o militare. Inoltre, una

strategia d’attacco su larga scala, analogamente a quanto è avvenuto in Estonia nel 2007,

potrebbe deliberatamente colpire obiettivi civili. In questi due casi ipotetici, stabilire se la

reazione ha rispettato il principio di discriminazione può rivelarsi assai controverso.

Altrettanto complesso è comprendere se, ad esempio, un attacco all’infrastruttura civile di

un avversario (mezzi di comunicazione, di trasporto, ecc.) infranga il principio di necessità

e proporzionalità. Ad esempio, possiamo chiederci se la supposta rappresaglia operata

dagli Stati Uniti contro la Corea del Nord115 nel dicembre del 2014 come risposta

all’hackeraggio contro la Sony non violi il principio di proporzionalità116. Nel caso in

questione, il governo nordcoreano accusò gli Stati Uniti di essere responsabili di un

attacco alla rete informatica del paese che rese inoperabili le reti del paese per due giorni.

Ipotizzando che gli Stati Uniti siano realmente responsabili del fatto, si potrebbe

argomentare che quest’azione viola il principio di proporzionalità, poiché sia l’obiettivo (la

rete del paese) sia l’effetto (due giorni offline) sono difficilmente comparabili con l’attacco

subito dagli Stati Uniti (un solo obiettivo – Sony – e un danno, per quanto

economicamente ingente, limitato al furto e alla distruzione di dati). Per altro verso, si

potrebbe osservare che le che azioni violente contro obiettivi non militari sono purtroppo

parte del repertorio di qualsiasi guerra. In prospettiva (e con un poco di cinismo), si può

quindi argomentare che il danno collaterale causato da un attacco cyber sia comunque

inferiore a quello causato da un attacco cinetico117. Questo renderebbe quindi la reazione

cyber legittima, a prescindere dalle modalità di esecuzione. Come è facile intuire, sul

punto rimane ampio spazio sia per l’elaborazione dottrinaria sia per l’interpretazione.

113

International Committee of the Red Cross, Customary International Humanitarian Law, Rule 271: Weapons That Are by Nature Indiscriminate. 114

Si indicano con questo termine le istruzioni malevole che il malware esegue una volta raggiunto il suo obiettivo. 115

Vedi Infra, par. 3.3. 116

Questo esempio è puramente speculativo. Infatti, non solo non ci sono prove sicure del coinvolgimento americano nell’incidente che ha mandato offline le reti nordcoreane, ma è anche difficile qualificare l’hackeraggio della Sony come un attacco armato (sulla cui paternità, incidentalmente, il governo di Pyongyang ha pubblicamente negato ogni accusa). Più verosimile, probabilmente, è qualificare l’attacco alla Sony come uso della forza e la successiva reazione come cyber sanzione. 117

Fidler, Inter arma silent leges Redux?, p. 80.


Un’ultima questione riguarda la necessità/possibilità di coinvolgimento delle Nazioni Unite

nella difesa da un attacco cyber. La regola 17 del Manuale di Tallin afferma a tal proposito

che le misure prese in risposta ad un attacco cyber debbano essere immediatamente

riferite al Consiglio di Sicurezza delle Nazioni Unite118. Questo punto è una diretta

conseguenza della ricezione dell’art. 51 della Carta ONU, ma (non diversamente da

quanto accaduto negli ultimi 70 anni) è abbastanza evidente che se già in ambito cinetico

il Consiglio di Sicurezza non è stato particolarmente efficace, in ambito cyber le sue

capacità sono ancora del tutto speculative. Se anche la dottrina recepisse senza

controversie questa disposizione, è probabile che la prassi degli Stati se ne scosterà

significativamente.

2.4 – Conclusioni

L’utilità di applicare al cyber spazio le categorie e le norme che regolano l’utilizzo della

forza nel Diritto Internazionale nasce dalla necessità di ridurre l’incertezza in merito a quali

comportamenti possano essere ammissibili in questo ambito. I principali attori responsabili

della sua formulazione e costante aggiornamento sono gli Stati: non a caso, sono gli Stati

ad avvertire maggiormente il bisogno di rendere in qualche modo prevedibili i

provvedimenti delle loro controparti119, e sono sempre gli Stati a ottenere i maggiori

benefici dalla conformità generalizzata alle norme del Diritto Internazionale. In questo

senso, il Diritto Internazionale si pone come meccanismo ordinatore del sistema

internazionale120: almeno nelle ambizioni, l’applicazione al cyber spazio delle norme

sviluppate nella dimensione fisica dovrebbe risultare nell’interesse degli Stati.

Questa visione evidentemente ottimista del Diritto coglie solo una parte della questione.

Come traspare dall’analisi presentata nei paragrafi precedenti, la fissazione delle regole è

il prodotto di una tensione tra interessi divergenti, a volte in conflitto. Altrettanto rilevante,

una volta che le regole sono state formulate (vuoi nella lettera dei trattati, vuoi nel diritto

consuetudinario) esse limitano la libertà d’azione degli Stati. Questo genera una tensione

118

Schmitt, Tallin Manual on the International Law Applicable to Cyber Warfare, regola 17. 119

Mario Stoppino, Potere e politica, Milano, Giuffrè 2001. 120

John G. Ikenberry, Institutions, Strategic Restraint, and the Persistence of American Postwar Order, in “International Security”, Vol. 23, No. 3, 1998, pp. 43-78. John G. Ikenberry, After Victory. Insitutions, Strategic Restraint and the Rebuilding of Order after Major Wars, Princeton, Princeton University Press, 2001 (trad. it. Dopo la Vittoria. Istituzioni, strategie della moderazione e ricostruzione dell’ordine internazionale dopo le grandi guerre, Milano, Vita&Pensiero, 2002).


continua tra norme e comportamento, che porta a una continua ridefinizione del Diritto. In

questo capitolo si è cercato di illustrare quali norme sono state elaborate o semplicemente

proposte dalla dottrina. Nelle pagine che seguono si cercherà di confrontare tali norme con

la prassi nascente – ovvero, il comportamento degli Stati in tre casi di attacco cyber.


Nei capitoli precedenti si è cercato di fornire al lettore gli strumenti per comprendere le

complessità dell’ambiente cyber e le sfide che questo pone all’applicazione del Diritto

Internazionale. L’analisi finora è stata esclusivamente teorica, poiché – salvo alcuni

esempi dalla funzione puramente illustrativa – non si è preso in esame alcun caso

empirico di attacco cyber. Per questo motivo, nelle pagine che seguono si illustreranno in

dettaglio tre diversi casi indicativi delle difficoltà che le diverse modalità d’azione

cibernetica sollevano. Nella selezione dei casi, si è deciso di optare per due dei casi di

studio maggiormente investigati dalla letteratura – STUXNET e gli attacchi all’Estonia del

2007 – e per un caso recente, meno investigato, ma dalle rilevanti implicazioni giuridiche.

Tale scelta non soddisfa forse i canoni più stringenti della metodologia politica121, ma si

rivela utile ai nostri fini, poiché permette di mettere in evidenza le diverse implicazioni e

problematiche che hanno comportato. In ultima istanza, si osserverà come le

problematiche giuridiche discusse nel capitolo precedente si siano manifestate

concretamente, così inibendo qualsiasi risposta di legittima difesa da parte degli Stati

colpiti.

3.1 – Iran 2010 (STUXNET)

L’attacco cyber contro l’Iran che ebbe luogo nel 2010 è considerato da molti un momento

di svolta nel cyber warfare. Il malware etichettato dagli esperti forensi come STUXNET

erra riuscito a conseguire un obiettivo di importanza strategica assai rilevante: riuscendo a

compromettere oltre un migliaio di centrifughe (su un totale di 8.000) all’interno nel sito di

121

Giovanni Sartori, Leonardo Morlino (a cura di), La comparazione nelle scienze sociali, Bologna, Il Mulino, 1991.

Analisi di attacchi nel cyber spazio 3#Capitolo


Natanz, a circa 250 chilometri a sud di Teheran, il virus ritardò il progetto iraniano di

acquisizione dell’arma nucleare di diversi mesi.

STUXNET è riconosciuto come l’attacco cibernetico più sofisticato mai realizzato. Si

trattava di un’azione rivolta contro un bersaglio ben preciso, il sito di Natanz, e può essere

classificato come un singolo atto di sabotaggio senza alcuna connessione con altre

operazioni militari. Per quanto venga datato al 2010, ovvero quando fu scoperto dagli

operatori iraniani, si presume che il programma risalga ad almeno due anni prima,

probabilmente già alla fine del 2007122. La data in cui il virus è stato inoculato nei computer

non è certa, ma pare che abbia colpito le centrifughe di Natanz in tre ondate: tra giugno e

luglio 2009, a marzo del 2010 e tra aprile e maggio del 2010. In ognuna di queste ondate il

malware si è presentato in una versione diversa, ma nella ricostruzione di Jon Lindsay,

soltanto la prima ha creato danni reali123.

Il virus era basato su una vulnerabilità insita in un pacchetto per l’automazione industriale

prodotto da Siemens: SIMATIC STEP7. L’obiettivo dell’attacco, o meglio il punto di

ingresso, era quindi un sistema per il controllo industriale. Questo tipo di strumento ha la

forma di una scatola che non dispone né di terminali d’accesso (tastiera o mouse) né di

schermi. L’operatore che programma i controller logici della macchina deve connettere il

device ad un PC portatile (solitamente anch’esso prodotto da SIEMENS) che usa come

sistema operativo Microsoft Windows. Poiché questi notebook sono protetti da eventuali

attacchi dal cosiddetto air-gap, ovvero dall’assenza di qualsiasi connessione, tanto a

Internet quanto a reti interne, esistevano solo due modi per inoculare il virus: utilizzare

direttamente su uno di questi portatili una memoria removibile (come una penna USB),

oppure attraverso e-mail di phishing a qualche operatore della centrale. Non è dato sapere

quale delle tue modalità sia stata seguita, né se l’autore dell’infezione fosse parte del

piano o, più probabilmente, uno strumento inconsapevole del contagio. Nell’ottobre del

2010 vennero arrestate alcune persone con l’accusa di essere “spie nucleari” in qualche

modo legate a STUXNET, ma sul processo – e quindi sulla reale colpevolezza di queste

persone – non si hanno notizie affidabili124.

122

Ralph Langner, What STUXNET is All About, 10 gennaio 2011, http://www.langner.com/en/2011/01/10/what-stuxnet-is-all-about/. 123

Jon R. Lindsay, Stuxnet and the Limits of Cyber Warfare, “Security Studies”, Vol. 22, No. 3, 2013, p. 381. 124

William Yong, Iran Says It Arrested Computer Worm Suspects, “New York Times”, 10 ottobre 2010. Non stupirebbe che le persone arrestate non fossero in alcun modo responsabili del virus, ma la loro incarcerazione fosse uno stratagemma per creare un capro espiatorio.

http://www.langner.com/en/2011/01/10/what-stuxnet-is-all-about/


Un secondo motivo per cui STUXNET viene considerato estremamente complesso nella

sua realizzazione riguarda la sua capacità di duplicarsi, e quindi contagiare altri computer,

pur rimanendo nascosto. Si stima che alla fine del 2010 i computer infettati dal virus

fossero circa 100.000, di cui solo il 60% in Iran125. Questo fu reso possibile dal design del

software, che poteva vantare delle capacità di attacco e difesa dagli antivirus molto

sofisticate: in primo luogo, STUXNET aveva quattro vulnerabilità zero-day, da cui per

definizione non è possibile difendersi, oltre a diverse altre vulnerabilità di Siemes, che

entrarono in funzione là dove i sistemi iraniani non erano dotati delle patch aggiornate.

Inoltre, STUXNET era dotato di due certificati digitali delle compagnie taiwanesi Realtek e

Jmicron, con le quali fu possibile installare un rootkit sui computer infetti. Inoltre,

STUXNET era programmato per comunicare via Internet (e in modalità peer-to-peer) con

particolari server. Un po’ come un soldato che penetra oltre le linee nemiche, in questo

modo il malware poté inviare informazioni alla base (ovvero ai suoi creatori), ed

eventualmente ricevere nuove istruzioni. Inoltre, riuscì a infiltrarsi in altri computer e

utilizzarli come zombie. In questo modo, ogni computer infettato dal virus diventava a sua

volta un worm che andava alla ricerca del proprio obiettivo.

Una volta raggiunto il bersaglio126, l’effetto del virus si realizzò in una manomissione del

converter del rotore di una centrifuga: in estrema sintesi, anziché mantenere la frequenza

standard a 1,064 Hz, STUXNET alzò e abbassò la frequenza a intervalli regolari: per 27

giorni incrementò il valore a 1,410 Hz per 15 minuti al giorno, per poi abbassare per 50

minuti la frequenza in modo che la velocità della turbina fosse insufficiente ad arricchire

l’uranio, e poi di nuovo tornare alla normalità. Questa sequenza sembra concepita non per

causare una rottura delle centrifughe, ma per generare un affaticamento strutturale127. Da

ultimo, attraverso un sofisticato sistema di occultamento, il malware restituiva agli

operatori della macchina dei dati falsi, che indicavano un normale funzionamento delle

centrifughe anche laddove le turbine giravano a velocità irregolare. L’obiettivo insomma

125

Rid, Cyber War Will Not Take Place, p. 18. Un terzo circa degli altri computer infetti si trovava in India e Indonesia. L’obiettivo circoscritto di STUXNET non ha creato grossi problemi al di fuori della centrale di Natanz. Nicolas Falliere, Liam O Murchu, Eric Chien, W32.Stuxnet Dossier, versione 1.4, Symantec, 2011, pp. 5-7, disponibile su http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf. 126

In dettaglio, si trattava di due modelli di controller logici della Siemens, 6ES7-315-2 e 6ES7-417, che si ritiene controllassero le turbine e le centrifughe nei reattori di Busheher e Natanz. Thomas Rid, Cyber War Will Not Take Place, p. 18. 127

Un secondo codice di istruzioni, che però risultava secondario e apparentemente incompiuto, andava a manipolare le valvole dei moduli di arricchimento, ottenendo un ulteriore effetto di stress sulle parti meccaniche.

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf


non era semplicemente di ingannare gli operatori nella sala di controllo, ma

compromettere la sicurezza stessa dei sistemi.

Non è stato possibile arrivare ad attribuire la responsabilità dell’attacco ad alcuno Stato,

ma i sospetti convergono verso una possibile cooperazione tra Israele e Stati Uniti. Le

conclusioni a cui si può facilmente giungere alla luce dei fatti sopra esposti sono che: a)

per sviluppare un virus tanto sofisticato sia stato necessario un lavoro piuttosto lungo (dai

sei mesi a un anno)128; b) il team che ha scritto il codice doveva essere composto da

decine di ingegneri informatici e nucleari, con l’ausilio di risorse dell’intelligence129; c) che i

costi di realizzazione possano aver toccato i cento milioni di dollari130. Tanta complessità

implica ncessariamente uno sforzo finanziario, organizzativo e tecnologico che, nelle

parole di Ralph Langner, può possedere soltanto una “superpotenza cyber”131.

Il progetto di sviluppo del nucleare iraniano è stato così rallentato di almeno un anno, e

questo è avvenuto in modo apparentemente non controverso sotto il profilo legale. Questo

ci porta a sostenere, con un po’ di ottimismo, che l’operazione è stata di successo perché

le alternative sarebbero state meno efficaci e più preoccupanti: un attacco fisico al reattore

di Natanz avrebbe costituito un atto di guerra, e avrebbe probabilmente legittimato una

reazione violenta di Teheran, con conseguente probabile guerra contro gli Stati Uniti o

Israele (o più probabilmente entrambi). D’altro canto, il semplice ricorso alla diplomazia e

alle sanzioni non sarebbe verosimilmente stato in grado di bloccare in modo così efficace

il programma nucleare iraniano.

Resta quindi da stabilire come caratterizzare l’attacco e, conseguentemente, quali reazioni

avrebbe potuto giustificare. Secondo le categorie discusse nel capitolo precedente,

occorre quindi stabilire se STUXNET rappresenti una fattispecie di uso illegale della forza,

attacco armato o atto di aggressione. L’analisi della dottrina lascia spazio per argomentare

che l’attacco configuri il caso più grave132, per una serie di motivi: l’effetto dell’azione è

stato un danno fisico; l’intervento è stato reiterato e superiore all’anno; l’intenzionalità

dell’azione era chiaramente aggressiva; nel contesto più ampio del programma nucleare

128

Nicolas Falliere, Liam O. Murchu, Eric Chien, W32.Stuxnet Dossier, p. 5. 129

Il rapporto di Symantec, con una stima molto conservativa, ipotizzava una squadra di almeno 5-6, forse 10 core designer, oltre a un numero imprecisato di personale di supporto. Dossier, p. 3. 130

A far incrementare tanto i costi hanno contribuito principalmente l’acquisto delle 4 zero-day-vulnerability e dei codici di accesso per penetrare nel sistema. 131

Ralph Langner, Cracking STUXNET, “TED Talk”, marzo 2011. 132

È questa ad esempio la posizione di alcuni degli esperti che hanno redatto il Manuale di Tallin.


iraniano, l’azione ha portato a un rallentamento di svariati mesi. Tutto ciò porta sostegno

alla tesi dell’attacco armato, se non addirittura dell’aggressione.

Tuttavia, l’applicazione della dottrina è solo un aspetto del Diritto Internazionale, poiché ad

essa si aggiunge la prassi degli Stati. Come già accennato, la dottrina lascia solitamente

spazio all’interpretazione da parte degli Stati, per cui il modo in cui questi si comportano e

reagiscono ad eventi particolari è indicativo di tale interpretazione. Ovviamente, la

definizione della prassi non è meno controversa della formulazione dei trattati e degli

accordi internazionali, ma nel caso di STUXNET assistiamo a una singolare concordanza:

tutte le principali potenze – incluso l’Iran – hanno accuratamente evitato di fare dell’evento

una questione rilevante. Il fatto che il regime di Teheran non si sia appellato al Diritto

Internazionale per tutelare il proprio diritto alla difesa è indicativo di una prassi del tutto

singolare: la regola che vige nel cyber spazio è che l’aggressione e l’uso della forza si

definiscono secondo criteri diversi rispetto all’ambito cinetico – criteri che gli Stati

mantengono volutamente elevati per mantenere una maggiore libertà d’azione133. Non a

caso, la reazione iraniana è avvenuta, verosimilmente, con una rappresaglia cibernetica

nel 2012134.

3.2 – Estonia 2007

Tra il 26 aprile e il 19 maggio del 2007 l’Estonia è stata oggetto di un attacco informatico

massiccio diretto contro la propria infrastruttura informatica. L’attacco si realizzò attraverso

diverse modalità, dal DDOS, allo spamming, al defacciamento di alcuni siti, tra cui il Partito

Riformatore Estone. L’evento scatenante fu la decisione da parte del governo estone di

spostare dal centro di Tallin la statua del Milite ignoto, simbolo della liberazione nazista da

parte dell’Armata Rossa. Tale scelta, motivata da calcoli di mera politica interna, era

principalmente finalizzata a rinfocolare l’orgoglio nazionale estone a detrimento del

sentimento filorusso. E, quasi immediatamente, la rimozione della statua generò un’ondata

di manifestazioni nella capitale: la comunità di lingua russa residente in Estonia, infatti,

133

David P. Fidler, Was STUXNET An Act of War? Decoding a Cyberattack, IEEE Security and Privacy 9, No. 4, 2011, luglio/agosto 2011, https://armscontrollaw.files.wordpress.com/2013/03/fidler-on-stuxnet-and-il.pdf. 134

Ellen Nakashima, Iran blamed for cyberattacks on U.S. banks and companies, “Washington Post”, 21 settembre 2012, https://www.washingtonpost.com/world/national-security/iran-blamed-for-cyberattacks/2012/09/21/afbe2be4-0412-11e2-9b24-ff730c7f6312_story.html.

https://armscontrollaw.files.wordpress.com/2013/03/fidler-on-stuxnet-and-il.pdf

https://armscontrollaw.files.wordpress.com/2013/03/fidler-on-stuxnet-and-il.pdf

https://www.washingtonpost.com/world/national-security/iran-blamed-for-cyberattacks/2012/09/21/afbe2be4-0412-11e2-9b24-ff730c7f6312_story.html

https://www.washingtonpost.com/world/national-security/iran-blamed-for-cyberattacks/2012/09/21/afbe2be4-0412-11e2-9b24-ff730c7f6312_story.html


reagì con una serie di proteste – anche violente – che portarono all’arresto di 1300

persone, un centinaio di feriti e un morto135.

Gli attacchi cyber iniziarono quasi simultaneamente: già nella tarda serata del 27 aprile

iniziarono le prime azioni con sistemi di attacco piuttosto semplici, come attacchi ping136.

Sempre attraverso la strategia del DDOS, dopo pochi giorni la tattica divenne più

sofisticata, con l’utilizzo di Botnet e un successivo maggiore coordinamento di questi

attacchi. L’apice degli attacchi fu raggiunto il 9 maggio, ricorrenza dell’anniversario della

vittoria sovietica sul nazismo. In tal giorno furono oscurati 58 siti governativi, il servizio di

home banking della principale banca estone fu disattivato per 90 minuti137. Quello che

risulta rilevante di questo attacco non è tanto la tecnologia utilizzata, quanto le dimensioni

dell’attacco stesso: come rilevato dalle indagini che ne sono seguite, il numero di Botnet,

ovvero di computer utilizzati in maniera fraudolenta per lanciare l’attacco, è arrivato a

85.000. Il tutto per tre settimane.

Di fronte a un attacco così ampio e organizzato, fu subito chiaro che la mente e

l’organizzazione che ne stava alle spalle non poteva che essere un’organizzazione

complessa. In modo abbastanza plateale, il Ministro della dDifesa estone accusò il

Cremlino, arrivando a dichiarare di possedere le prove che alcuni attacchi provenissero

direttamente da computer del governo russo. Tuttavia, le indagini realizzate da esperti

della NATO e della Commissione Europea non furono in grado di convalidare la tesi del

coinvolgimento russo.

Questo ci riporta al problema discusso precedentemente dell’attribuzione. Ci sono diversi

indizi che inducono a ritenere valida l’accusa sollevata dal governo estone contro la

Russia. Il primo indizio concerne la pianificazione delle dimostrazioni di piazza. Come

rilevato da diversi autori138, la pianificazione delle manifestazioni a Tallin e, parallelamente,

contro l’ambasciata estone a Mosca, richiese sicuramente mesi prima della sua

esecuzione. Parimenti, Secondo Mihkel Tammet (uno degli informatici estoni incaricati di

indagare sul fatto) già nelle settimane precedenti agli attacchi, si era assistito a “un

135

Rid, Cyber War Will Not Take Place, p. 11. 136

Si tratta di un tipo di DDOS che avviene mediante l’invio al sistema bersaglio di pacchetti ICMP Echo Request. In pratica, il computer che viene attaccato consuma banda sia in entrata, per la notevole quantità di richieste ricevute, sia in uscita, per l’invio di pacchetti ICMP Echo Reply. La difesa da questo tipo di attacco è piuttosto semplice e consiste in un firewall istruito per filtrare i pacchetti ICMP Echo Request. 137

Eneken Tikk, Kadri Kaska Liis Vihul, International Cyber Incidents, Tallinn, CCDCOE 2010, p. 20. 138

Vedi ad esempio Stephen Blank, Web War I: Is Europe’s First Information War a New Kind of War?,

“Comparative Strategy”, Vol. 27, No. 3, 2008, pp. 227-247.


assembramento di botnets simile a un assembramento di armate”139. Pare quindi

improbabile che di fronte a tanto sforzo organizzativo, il governo e le organizzazioni filo-

governative russe non abbiano avuto un ruolo anche nella pianificazione delle azioni

cyber.

In secondo luogo c’è il movente: di fronte alla provocazione nazionalista del governo di

Tallin, e parallelamente alla politica di rally-round-the-flag che Putin ha realizzato con

continuità negli ultimi dieci anni, appare evidente come questo attacco informatico

costituisse un’utilissima componente del proprio disegno di influenza sul proprio near

abroad. Come confermato poi dalla successiva esperienza in Ucraina, è un tratto ormai

distintivo della politica di Putin l’utilizzo delle minoranze di lingua russa in altri paesi per

rinfocolare l’irredentismo140. Se quindi la responsabilità della Russia è facilmente

dimostrabile in riferimento alle azioni materiali di destabilizzazione141, è decisamente

inverosimile che gli attacchi cibernetici siano avvenuti per mano diversa da quella del

Cremlino. Una terza osservazione, per quanto minore, è che (con poco acume

diplomatico) diversi attivisti russi e perfino un parlamentare della Duma si attribuirono la

responsabilità degli attacchi.

Per quanto non sia possibile dimostrare la responsabilità legale del governo russo in

questo attacco, da un punto di vista politico-strategico, “indubbiamente questa operazione

era finalizzata a costringere l’Estonia a tenere in considerazione gli interessi russi; in altre

parole, aveva una finalità classicamente clausewitziana di compellenza nei confronti del

nemico, affinché assecondasse la volontà russa, pur essendo un attacco non violento e

senza spargimento di sangue. In tal caso […] questo attacco potrebbe riflettere non solo

un tentativo di correggere il comportamento dell’Estonia o influenzarne l’orientamento, ma

anche il tentativo di punirla ed esercitare deterrenza nei confronti di altri […] facendone un

esempio di avvertimento per chiunque volesse sfidare la Russia” 142.

Un secondo problema concerne l’applicazione del Diritto Internazionale. In quale categoria

dovrebbero rientrare gli attacchi del 2007 contro l’Estonia? Prima ancora di stabilire se la

gravità delle azioni possa configurare un caso di attacco armato, occorre stabilire se

139

Rid, Cyber War Will Not Take Place, p. 12. 140

Serena Giusti, La Proiezione Esterna della Federazione Russa, Pisa, Edizioni ETS, 2012; Roger Kanet, Russian Foreign Policy in the Twenty-first Century, Houndsmill, Palgrave, 2010. 141

Blank, Web War I, p. 228. 142

Ibi., p. 229.


davvero i cyber attacchi costituissero un caso di cyber warfare, se non di cyber crime o

cyber terrorismo.

Quest’ultima possibilità, sebbene non intuitiva data la natura tutto sommato non violenta

delle operazioni (ad esclusione della manifestazione del 26 aprile) è stata apertamente

dichiarata dal Ministro della Difesa estone Jaak Aviksoo, secondo cui “l’obiettivo di chi ci

ha attaccato era di destabilizzare la società estone, creando tra la popolazione la paura

che non funzionasse nulla, che i servizi non fossero operativi; in qualche modo questo è

chiaramente terrore psicologico”143. Altri diplomatici estoni aggiunsero che il combinato di

attacchi informatici e manifestazioni di piazza fosse finalizzato a colpire tanto il governo

quanto la società estoni, poiché l’effetto di destabilizzazione che questi avrebbero

comportato avrebbe diffuso il panico generalizzato e conseguentemente minato la fiducia

nelle istituzioni. D’altronde, prendendo come bersaglio centri nevralgici dell’infrastruttura

elettronica del paese (come banche, network televisivi, telecomunicazioni, nameserver144),

gli attacchi furono caratterizzati dal governo estone come una minaccia alla sicurezza

nazionale145. Questa affermazione rende di fatto l’attacco equivalente a una forma di

terrorismo cibernetico di matrice statale146, con tutte le conseguenze che ne derivano in

termini di legittima difesa.

Per converso, la NATO non seguirono questa linea e si limitarono a definire l’evento come

una perturbazione della pace o al limite una “cyber sommossa”147. Questa posizione,

probabilmente condizionata dal timore di una possibile escalation con la Russia, pare

suffragata anche dal consenso accademico: in base al gruppo internazionale di esperti

che ha curato il Manuale di Tallin, infatti, l’attacco in Estonia non si configurò come attacco

armato, poiché né gli effetti né le dimensioni furono sufficienti a superare la soglia

dell’attacco armato148.

143

Citato in ibi., p. 230. 144

Si tratta di server DNS che hanno la funzione di convertire il nome di un dominio nell’indirizzo IP corrispondente, in particolare indirizzando le richieste relative a un dominio di primo livello (in pratica, l’estensione dell’URL) ai server propri di quel dominio. Come è facile intuire, colpendo questi server si impedisce a tutti gli utenti di accedere ai siti appartenenti a uno o più domini. 145

Joshua Davis, Web War I, “Wired”, settembre 2007, p. 163. 146

Per una definizione di questi termini sia concesso rimandare ad Andrea Locatelli, What is terrorism? Concepts, definitions and classifications, in Raul Caruso, Andrea Locatelli (a cura di), Understanding Terrorism. A Socio-Economic Perspective, Bingley, Emerald, 2014, pp. 1-23. 147

Scott J. Shackleford, From Nuclear War to Net War. Analogizing Cyber Attacks in International Law, “Berkeley Journal of International Law”, Vol. 27, No. 1, 2009, p. 209. 148

Schmitt, Tallin Manual on the International Law Applicable to Cyber Warfare, Rule 13, punto 13.


Venendo quindi alle considerazioni di natura giuridica, nonostante le dichiarazioni

enfatiche sopra riportate, fu chiaro sin dall’inizio alle autorità estoni che i cyber attacchi

andassero trattati come cyber crime, e quindi le investigazioni e i processi dovessero

essere soggetti al diritto penale nazionale (nonché, ovviamente, agli accordi internazionali

rilevanti149. Sebbene la legislazione nazionale estone prevedesse la raccolta di

informazioni sul traffico di dati elettronici da parte delle agenzie statali, esistevano dei limiti

molto severi, che circoscrissero la possibilità di raccogliere e analizzare dati importanti al

fine di identificare la fonte degli attacchi150.

In aggiunta, poiché la maggior parte degli attacchi proveniva dall’estero, la giurisdizione

delle autorità rimase limitata. Fu quindi ben presto necessario cercare di ottenere la

cooperazione da parte di altri Stati, in primis la Russia. Il 10 maggio, ovvero all’apice degli

attacchi, il Procuratore Generale inviò una rogatoria a Mosca in cui chiedeva di fornire gli

indirizzi IP dei potenziali responsabili degli attacchi, in virtù dell’Accordo di Mutua

Assistenza Legale tra i due paesi del 1993151. La risposta russa arrivò dopo più di un anno

e fu negativa. Non è questa la sede per argomentare sulla liceità di tale posizione152, che

invero pare guidata più da considerazioni politiche che non di mera applicazione del diritto.

Quello che occorre rilevare è che la mancata cooperazione russa ha di fatto bloccato

qualsiasi possibilità di investigazione da parte delle autorità estoni – così vanificando ogni

speranza di individuare, ergo incriminare, i responsabili degli attacchi.

Ad oggi, le indagini hanno portato all’incriminazione di una sola persona: il diciannovenne

estone di lingua russa Dmitri Galushkevich, reo di aver lanciato attacchi Ping contro il

Partito Riformatore Estone, per un danno stimato di 2820 Euro153. Da un punto di vista

politico, invece, l’attacco ha avuto una conseguenza importante in termini di alleanze,

giacché ha comprovato la fedeltà dei principali alleati dell’Estonia: l’Unione Europea e la

NATO. Nonostante la reazione piuttosto lenta di queste istituzioni internazionali, entrambe

non mancarono di schierarsi in difesa del governo di Tallin. Come risultato della solidarietà

all’interno dell’organizzazione atlantica, il governo estone ha ottenuto la costituzione a

Tallin dell’importante Cooperative Cyber Defence Center of Excellence.

149

Tikk, Kaska Vihul, International Cyber Incidents, p. 25. 150

Republic of Estonia, Estonia Surveillance Act, 1994, disponibile al sito www.unodc.org; Codice Penale Estone, §, 137; Codice di Procedura Penale Estone, § 110-112. 151 The Republic of Estonia and the Russian Federation Agreement on legal assistance and legal relationship in civil, family and criminal matters, 26 gennaio 1993. 152 Per una sintetica illustrazione delle argomentazioni avanzate dal Procuratore russo, si veda Tikk, Kaska Vihul, International Cyber Incidents, p. 27. 153

Sentenza della Corte della contea di Harju numero 1-07-15185 (Galushkevich) del 13 dicembre 2007.

http://www.unodc.org/


3.3 – Stati Uniti 2015 (Sony)

L’attacco informatico ai danni di Sony Pictures Entertainment avvenuto tra novembre e

dicembre 2014 è stato uno degli attacchi più significativi degli ultimi tempi. La sua

peculiarità è che molto probabilmente è stato sponsorizzato o addirittura perpetrato da uno

Stato, la Corea del Nord, ai danni di una multinazionale154. L’attacco è durato una

settimana e ha messo in ginocchio sia la sede americana del colosso giapponese, sia il

sistema che ruota intorno ad Hollywood155. Le modalità d’attacco inizialmente furono di

tipo spearphishing156. Molto probabilmente l’attacco è stato effettuato ai danni di un

amministratore di sistema, persona con i privilegi più alti all’interno di una rete157. Gli

investigatori hanno concluso che la fase di ricognizione158 deve essere durata più di due

mesi, da metà settembre a metà novembre. Durante questa fase gli hacker nordcoreani

hanno mappato i sistemi informatici di Sony, identificando le vulnerabilità e i file più

importanti, per poi procedere all’attacco159.

Il 24 novembre 2014 più di 7000 dipendenti della Sony trovarono sui propri desktop un

macabro fotomontaggio raffigurante la testa decapitata dell’amministratore delegato

Michael Lynton. All’immagine si accompagnava una sorta di rivendicazione firmata da un

gruppo di hacker, i Guardians of Peace (GOP). Nel messaggio, il gruppo dichiarava di

essere in possesso di tutti i dati di Sony e minacciava di renderli pubblici nel caso in cui la

154

Apparentemente la Corea del Nord avrebbe attaccato la Sony per via di un suo film in uscita: The Interview. Nella pellicola comica, due giornalisti vengono ingaggiati dalla CIA per uccidere Kim Jong-Un, e nel film sarebbe stata presente la scena dell’assassinio del leader. 155

I danni causati sono stati molteplici: prima di rendere i computer inutilizzabili, sono stati trafugati circa 100 Terabyte di dati contenenti e-mail riservate, dati personali degli impiegati (come l’ammontare dei loro stipendi, i numeri di previdenza sociale, informazioni sanitarie) oltre a budget e programmazioni cinematografiche future, film non ancora proiettati ufficialmente (ad esempio, Fury di Brad Pitt è stato il primo ad essere stato messo online, ed è stato scaricato più di 2,3 milioni di volte). Jose Pagliery, 'Sony-pocalypse': Why the Sony hack is one of the worst hacks ever, CNN Money, 4 dicembre 2014, http://money.cnn.com/2014/12/04/technology/security/sony-hack/. 156

Questa tecnica si effettua tramite l’utilizzo iniziale di ingegneria sociale, poi si crea una falsa mail con l’aspetto di una mail ufficiale e si chiede al ricevente di cliccare su un link, con cui, involontariamente, l’utente installa sul computer un software dannoso. 157

David Gilbert, NSA monitored North Korean hackers since 2010 but were unable to prevent Sony hack, “International Business Times”, 19 gennaio 2015, http://www.ibtimes.co.uk/nsa-monitored-north-korean-hackers-since-2010-were-unable-prevent-sony-hack-1484021. 158

La fase iniziale di un attacco, dove si monitorano le reti e le potenziali vulnerabilità dell’obiettivo. 159

Dmitri Alperovitch, Sony Hack: Poster Child For A New Era Of Cyber Attacks, Darkreading, 13 febbraio 2015, http://www.darkreading.com/attacks-breaches/sony-hack-poster-child-for-a-new-era-of-cyber-attacks-/a/d-id/1319081.

http://money.cnn.com/2014/12/04/technology/security/sony-hack/

http://www.ibtimes.co.uk/nsa-monitored-north-korean-hackers-since-2010-were-unable-prevent-sony-hack-1484021


http://www.darkreading.com/attacks-breaches/sony-hack-poster-child-for-a-new-era-of-cyber-attacks-/a/d-id/1319081



multinazionale non avesse esaudito le proprie richieste160. Come misura di sicurezza,

Sony decideva di mettere offline la rete, tornando così all’improvviso indietro di

vent’anni161.

Inizialmente, l’azienda cercò di sminuire la portata dell’attacco. Fu il primo errore

commesso dalla multinazionale nella gestione dell’intrusione: pochi giorni dopo, il 27

novembre, cominciarono ad apparire online diversi film prodotti da Sony, alcuni dei quali

non ancora usciti nelle sale162. Iniziava così a prendere forma il sospetto che dietro

l’attacco si celasse la Corea del Nord, che il giugno precedente, attraverso un portavoce

del Ministero degli Esteri, aveva dichiarato che se la Sony non avesse ritirato The

Interview avrebbe preso “contromisure decisive e impietose”163. Come terza fase

dell’attacco, il primo dicembre vennero pubblicati online gli stipendi di 17 dirigenti Sony,

oltre a quelli di più di 6000 tra dipendenti ed ex dipendenti.

Di fronte a quello che appariva evidentemente come uno dei peggiori attacchi cibernetici

subiti da un’azienda privata americana intervenne l’FBI164. Il tentativo di gestire la

faccenda esclusivamente dall’interno, infatti, costituì il secondo grande errore di Sony. Gli

analisti dell’agenzia, ad ogni modo, non poterono fare molto di più se non constatare Il

bilancio dell’attacco: i data center erano stati completamente cancellati dopo essere stati

svuotati dei dati che contenevano; il 75% dei server era fuori uso; contratti, stipendi,

budget dei film, dati medici personali, numeri di previdenza sociale, passaporti di impiegati

e attori che hanno collaborato con Sony, indirizzi, contatti e-mail personali e interi film

erano in mano agli hacker165.

160

Andrew Griffin, Sony hack: who are the Guardians of Peace, and is North Korea really behind the attack?, “The Independent”, 17 dicembre 2014, http://www.independent.co.uk/life-style/gadgets-and-tech/news/sony-hack-who-are-the-guardians-of-peace-and-is-north-korea-really-behind-the-attack-9931282.html. 161

Gli impiegati dovettero tornare a carta e penna, e la dirigenza riuscì a comunicare tramite vecchi Blackberry recuperati in magazzino. Kelly Gilblom, Old BlackBerrys Came to Sony’s Rescue After Systems Hacked, Bloomberg, 31 dicembre 2014, http://www.bloomberg.com/news/articles/2014-12-31/old-blackberrys-came-to-the-rescue-after-sonys-systems-hacked. 162

La tecnica usata dai GOP era quella di pubblicare i dati su siti protetti da anonimato, come pastebin, per poi addirittura avvisare della pubblicazione giornalisti noti per essere interessati alla vicenda. 163

Associated Press, Obama Says North Korea Hacked Sony, Vows Response, “New York Times”, 19 dicembre 2014, http://www.nytimes.com/aponline/2014/12/19/arts/ap-us-sony-hack.html. 164

Nonostante Sony abbia la sede principale in Giappone, Sony Pictures Entertainment ha sede negli Stati Uniti. 165

Michael Cieply, Brooks Barnes, Sony Cyberattack, First a Nuisance, Swiftly Grew Into a Firestorm, “The New York Times”, 30 dicembre 2014, http://www.nytimes.com/2014/12/31/business/media/sony-attack-first-a-nuisance-swiftly-grew-into-a-firestorm-.html.

http://www.independent.co.uk/life-style/gadgets-and-tech/news/sony-hack-who-are-the-guardians-of-peace-and-is-north-korea-really-behind-the-attack-9931282.html


http://www.bloomberg.com/news/articles/2014-12-31/old-blackberrys-came-to-the-rescue-after-sonys-systems-hacked


http://www.nytimes.com/aponline/2014/12/19/arts/ap-us-sony-hack.html

http://www.nytimes.com/2014/12/31/business/media/sony-attack-first-a-nuisance-swiftly-grew-into-a-firestorm-.html



Il 15 dicembre ci fu una svolta nel caso. Gli Hacker pubblicarono quello che venne da loro

definito un regalo di natale, ovvero centinaia di e-mail private di Lynton166. Soprattutto,

aggiunsero ai file una minaccia evocativa degli eventi dell’11 settembre e un riferimento

esplicito al film The Interview167. Il riferimento all’11 settembre diede all’attacco un’altra

veste, trasformandolo da una controversia privata ad una minaccia nazionale. Questo

portò ad un’immediata riunione della National Association of Theater Owners, dove Lynton

affermò che Sony non avrebbe ritirato il film, ma non avrebbe nemmeno perseguito quei

cinema che, per motivi di sicurezza, avessero rinunciato alla proiezione di The Interview.

La mattina del giorno successivo, più dell’80% dei cinema del paese aveva ritirato il film. Il

17 dicembre Sony commise il terzo errore fondamentale nella gestione della vicenda:

decise di ritirare The Interview dalla programmazione nei cinema168. Il messaggio che

passò da questa decisione fu che Sony avesse ceduto al ricatto degli hacker terroristi.

Due giorni dopo arrivò una critica molto dura da parte del presidente Obama, che dichiarò

che la Sony aveva commesso un errore a ritirare il film a causa di un attacco informatico;

Obama dichiarò altresì che l’attacco aveva causato molti danni, e che gli Stati Uniti

avrebbero risposto “in modo proporzionato, con luoghi e modalità che decideremo noi; non

è qualcosa che può essere dichiarato pubblicamente in conferenza stampa”169. Secondo il

presidente, l’attacco da parte della Corea del Nord era inteso specificamente a creare

danni all’interno del suolo americano, e soprattutto fu un attacco contro la libertà

espressione dei cittadini americani170.

Apparentemente, Obama era certo della responsabilità nordcoreana – certezza giustificata

dai risultati delle indagini dell’FBI, ma non solo. Secondo James A. Lewis, esperto di cyber

warfare al Center for Strategic and International Studies, un’attribuzione così veloce e

precisa nasconde una conoscenza dell’aggressore più chiara di quello che è stato detto

166

Kim Zetter, Sony Hackers Threaten to Release a Huge ‘Christmas Gift’ of Secrets, “Wired”, 15 dicembre 2014, disponibile a http://www.wired.com/2014/12/sony-hack-part-deux/. 167

Dominic Rushe, Hackers who targeted Sony invoke 9/11 attacks in warning to moviegoers, “The Guardian”, 16 dicembre 2014, http://www.theguardian.com/film/2014/dec/16/employees-sue-failure-guard-personal-data-leaked-hackers. 168

Sebbene a posteriori si scoprisse che in realtà era prevista una pubblicazione per il mercato online, decisione poi confermata da Google. Jacob Kastrenakes, Sony cancels The Interview release after theaters pull out, “The Verge”, 17 dicembre 2014, http://www.theverge.com/2014/12/17/7412393/sony-cancels-the-interview-release-after-theaters-pull-out. 169

Greg Jaffe, Steven Mufson, Obama criticizes Sony’s decision to pull ‘The Interview’, “Washington Post”, 18 dicembre 2004, http://www.washingtonpost.com/politics/obama-criticizes-sonys-decision-to-pull-the-interview/2014/12/19/77d1ce9a-87ad-11e4-b9b7-b8632ae73d25_story.html. 170

Nick Allen, Sony hack: Obama considers 'proportional response' against North Korea, “The Telegraph”, dicembre 18 dicembre 2014, http://www.telegraph.co.uk/news/worldnews/northamerica/usa/11302590/Sony-hack-Obama-considers-proportional-response-against-North-Korea.html.

http://www.wired.com/2014/12/sony-hack-part-deux/

http://www.theguardian.com/film/2014/dec/16/employees-sue-failure-guard-personal-data-leaked-hackers


http://www.theverge.com/2014/12/17/7412393/sony-cancels-the-interview-release-after-theaters-pull-out


http://www.washingtonpost.com/politics/obama-criticizes-sonys-decision-to-pull-the-interview/2014/12/19/77d1ce9a-87ad-11e4-b9b7-b8632ae73d25_story.html


http://www.telegraph.co.uk/news/worldnews/northamerica/usa/11302590/Sony-hack-Obama-considers-proportional-response-against-North-Korea.html

http://www.telegraph.co.uk/news/worldnews/northamerica/usa/11302590/Sony-hack-Obama-considers-proportional-response-against-North-Korea.html


apertamente171. La ragione di tale consapevolezza delle capacità nordcoreane è dovuta,

molto probabilmente, a un’operazione di cyber spionaggio avvenuta nel 2010 contro il

regime di Pyongyang. Tale operazione aveva permesso di tracciare i dati delle reti

nordcoreane usate dagli hacker del paese, tra cui oltre 1800 esperti informatici del Bureau

121, l’unità segreta di hacker del governo sotto il controllo del Reconnaissance General

Bureau (l’ufficio di intelligence principale)172.

La sofisticatezza dell’attacco per alcuni esperti è troppo elevata per essere di origine

esclusivamente Nord Coreana, e pertanto si è valutata la tesi dell’aiuto di un insider.

Questa tesi è avallata da diversi esperti di sicurezza informatica173 Nonostante ciò, l’FBI in

questo caso si è dimostrata molto sicura del processo di attribuzione. Il direttore

dell’agenzia, James Comey, ha dichiarato che gli hacker sono stati frettolosi e poco precisi

nel cancellare le loro tracce, tracce che sono state seguite dall’FBI per rintracciarli174.

Secondo Comey furono tracciati gli indirizzi IP usati per mandare le e-mail a Sony e per

pubblicare i dati trafugati online, ed erano indirizzi usati dai nordcoreani175. Per fugare il

dubbio di un attacco false-flag, Comey disse che c’erano altre prove certe ma che non

poteva esplicitarne la natura per motivi di sicurezza176.

Caratteristica primaria del malware utilizzato per l’attacco, che molto probabilmente è una

versione modificata di Wiper177, così battezzato perché cancella i dati dai sistemi (modus

171

David Sanger, Martin Fackler, N.S.A. Breached North Korean Networks Before Sony Attack, Officials Say, “The New York Times”, 18 gennaio 2015, http://www.nytimes.com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-before-sony-attack-officials-say.html?_r=0. 172

Ju-Min Park, James Pearson, In North Korea, hackers are a handpicked, pampered elite, Reuters, 5 dicembre 2014, http://www.reuters.com/article/2014/12/05/us-sony-cybersecurity-northkorea-idUSKCN0JJ08B20141205. 173

Noah Rayman, New Research Blames Insiders, Not North Korea, for Sony Hack, “Time”, 30 dicembre 2014, http://time.com/3649394/sony-hack-inside-job-north-korea/. 174

Andy Greenberg, FBI Director: Sony’s ‘Sloppy’ North Korean Hackers Revealed Their IP Addresses, “Wired”, 7 gennaio 2015, http://www.wired.com/2015/01/fbi-director-says-north-korean-hackers-sometimes-failed-use-proxies-sony-hack/. 175

Pare infatti che gli hacker abbiano commesso lo stesso errore compiuto in un precedente attacco alle banche sudcoreane: lasciare una traccia da cui fu possibile rintracciare un IP e così scoprire l’origine degli attacchi. Da notare che lo stesso IP era in una lista di IP appartenenti ad aziende Nord Coreane. Sanger, Fackler, N.S.A. Breached North Korean Networks Before Sony Attack, Officials Say, 176

Arik Hesseldahl, Details Emerge on Malware Used in Sony Hacking Attack, Recode.net, 2 dicembre 2014, http://recode.net/2014/12/02/details-emerge-on-malware-used-in-sony-hacking-attack/. 177

In realtà “Wiper” è un termine generico che si riferisce ad un attacco che si compone di tre divers i malware che agiscono in sincrono: BKDR_WIPALL.A, che protegge un set di utenti e password crittato, che serve ad ottenere l’accesso alla rete della compagnia target; BKDR_WIPALL.B, che viene rilasciato dal precedente, ed è la parte che serve a causare il danno. Una volta nel sistema rimane dormiente per 10 minuti e poi inizia a cancellare i files oltre a fermare i processi di Microsoft Exchange Information Store, che serve a gestire diverse informazioni all’interno di un sistema sotto Microsoft Exchange Server, tra cui cartelle pubbliche e mail. Il malware torna dormiente per due ore e poi forza un riavvio del sistema; BKDR_WIPALL.B è in grado di rilasciare un componente addizionale, ovvero “usbdrv32.sys”. Questo file consente a chi lo utilizza di poter leggere e sovrascrivere i file della macchina infettata.

http://www.nytimes.com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-before-sony-attack-officials-say.html?_r=0


http://www.reuters.com/article/2014/12/05/us-sony-cybersecurity-northkorea-idUSKCN0JJ08B20141205


http://time.com/3649394/sony-hack-inside-job-north-korea/

http://www.wired.com/2015/01/fbi-director-says-north-korean-hackers-sometimes-failed-use-proxies-sony-hack/


http://recode.net/2014/12/02/details-emerge-on-malware-used-in-sony-hacking-attack/


operandi usato spesso durante gli attacchi nordcoreani). Chi ha modifcato il malware ha

usato Microsoft Windows in Coreano e ha poi attaccato attraverso computer compromessi

in vari paesi, tra cui Tailandia, Italia e Polonia. Il malware sfrutta una falla all’interno di

Windows Management Instrumentation, uno strumento creato apposta per la gestione di

terminali Windows in ambienti aziendali. Una volta che il malware si è introdotto nella rete,

viene utilizzato WMI per lanciarlo tra tutte le macchine connesse simultaneamente. Una

volta che ha compiuto il suo dovere, questo elimina tutti i dati presenti nei sistemi.

Soprattutto, il malware elimina il Master Boot Record, il settore di un hard disk contenente

le informazioni per l’avvio del sistema operativo, rendendo quindi impossibile l’accensione

della macchina colpita178.

Alla luce di ciò, da dove nasce c’è il sospetto che sia lo stesso usato nel Sony Hack? Il

wiper del Sony Hack, secondo Trend Micro era in realtà una variante differente,

denominata BKDR_WIPALL.D, la quale rilasciava BKDR_WIPALL.C. Tra le funzioni di

quest’ultimo c’era quella di poter pubblicare il file d’immagine walls.bmp, che è quello che

recitava “Hacked by GOP”: lo sfondo del desktop trovato dagli impiegati Sony. Ulteriori

analisi effettuate da AlienVault Labs, hanno permesso di scoprire che il codice del wiper

era stato scritto appositamente per Sony: infatti conteneva username e password per

accedere alla rete della multinazionale. Questo prova che è stata compiuta un’azione di

spearphishing per ottenere le credenziali179. In conclusione, la ricostruzione forense più

attendibile è che i nordcoreani siano riusciti a mettere le mani su di un wiper e l’abbiano

modificato tramite un computer con un’impostazione di tastiera in coreano per poter

violare i sistemi di Sony.

In conclusione, nonostante i soggetti privati, come le multinazionali, siano responsabili

della loro sicurezza, in questo caso è palese che Sony non fosse all’altezza di gestire un

attacco di questa dimensione. Senza l’ausilio del governo e dell’FBI, l’azienda si sarebbe

trovata ancora più impreparata ad affrontare l’attacco e le conseguenze sarebbero state

ben peggiori. È quindi fondamentale sottolineare l’importanza della partnership tra

pubblico e privato, dove in questo caso il pubblico ha dato anche una legittimità a livello

nazionale all’accaduto, facendosi carico della difesa, della gestione – e probabilmente

anche della rappresaglia di un evento che era inizialmente circoscritto ad un’azienda.

178

Hesseldahl, Details Emerge on Malware Used in Sony Hacking Attack. 179

Brandon Bailey, Youkyung Lee, Experts: The Sony Hack Looks A Lot Like Previous Attacks On South Korea, “Business Insider”, 4 dicembre 2014, http://uk.businessinsider.com/experts-the-sony-hack-looks-a-lot-like-previous-attacks-on-south-korea-2014-12?r=US&IR=T.

http://uk.businessinsider.com/experts-the-sony-hack-looks-a-lot-like-previous-attacks-on-south-korea-2014-12?r=US&IR=T



Al riguardo, un portavoce nordcoreano accusò gli Stati Uniti di essere responsabili di un

attacco contro le reti del paese asiatico, che rimasero inoperabili tra il 21 e il 22 dicembre.

È difficile non collegare questo apparente attacco con la “risposta proporzionata” citata da

Obama, ma è altrettanto difficile in questo caso dimostrare la colpevolezza degli Stati

Uniti. La rappresaglia è uno scenario possibile, dato che la rete nordcoreana è rimasta

fuori servizio per un lungo periodo e in modo continuo, come avviene durante gli attacchi

informatici180. Come nei casi discussi in precedenza, tuttavia, il problema dell’attribuzione

– complice anche la mancanza di trasparenza da parte di Pyongyang – sembra

insormontabile.

Sicure invece sono le sanzioni imposte alla Corea del Nord volute da Obama il 2 gennaio

in relazione all’attacco – sanzioni che vietano a qualsiasi ufficiale o agente nordcoreano di

accedere o ai propri beni su suolo statunitense181. In più, Obama ha proposto al

Congresso di aggiornare le proprie leggi in tema di sicurezza, e di aggiungerne di nuove in

modo da poter agevolare la gestione e la risposta in casi come quello analizzato182.

Sicuramente la vicenda del Sony Hack rappresenta quindi un’altra pietra miliare nella

giovane storia del cyber warfare. È importante sottolineare come in questo caso il governo

americano si sia fatto carico della gestione della sicurezza di un ente privato e sia riuscito

ad avere un livello di attribuzione molto elevato per poter prima accusare e poi sanzionare

la Corea del Nord. Ai fini della nostra analisi, insomma,

3.4 – Conclusioni

Uno dei problemi di cui gli studiosi di diritto lamentano maggiormente la presenza,

nell’applicare il Diritto Internazionale al cyber spazio consiste nell’assenza di una prassi

consolidata. L’assenza di casi di attacco cyber e relativa reazione, si sostiene, costringe a

mantenere la discussione giuridica a livello esclusivamente teorico e impedisce di stabilire

una consuetudine. L’analisi dei tre casi sopra discussi illustra in modo evidente come,

180

Max Fisher, North Korea's internet appears to be under mass cyber attack, Vox.com, 22 dicembre 2014, http://www.vox.com/2014/12/22/7433873/north-korea-internet-down. 181

Gregory Korte, David, Jackson, Obama sanctions North Korea for movie hacking, “Usa Today”, 2 gennaio 2015, http://www.usatoday.com/story/news/politics/2015/01/02/obama-north-korea-sanctions-interview-movie/21195385/. 182

John Kerry, Condemning Cyber-Attack by North Korea, US Department of State, 19 dicembre 2014, http://www.state.gov/secretary/remarks/2014/12/235444.htm.

http://www.vox.com/2014/12/22/7433873/north-korea-internet-down

http://www.usatoday.com/story/news/politics/2015/01/02/obama-north-korea-sanctions-interview-movie/21195385/


http://www.state.gov/secretary/remarks/2014/12/235444.htm


nonostante le peculiarità e le differenze di ciascun attacco, sia possibile trarre diverse

lezioni dall’esperienza pregressa. Come mostra in maniera sintetica la tabella che segue,

è possibile notare come Iran, Estonia e Stati Uniti abbiano reagito in tre modi

sostanzialmente diversi.

Iran Estonia Stati Uniti

Applicabilità Certa Dubbia Dubbia

Attribuzione Impossibile Impossibile Possibile

Valutazione Cyber sabotaggio Cyber sommossa Cyber spionaggio

Reazione: Cyber rappresaglia (?) Azione penale;

cooperazione NATO

Cyber rappresaglia

Sanzioni (?)

Tabella 2. Sunto dei tre casi di studio

Sfortunatamente, in tutti e tre i casi, le giustificazioni legali basati sulla legittima difesa

sono passate in secondo piano rispetto alle considerazioni strategiche: l’Iran, pur

denunciando l’attacco come un’azione ostile nei propri confronti, non si è preoccupato più

di tanto di invocare il diritto alla legittima difesa, optando per una strategia simmetrica a

quella subita – ovvero una cyber rappresaglia. Nel caso dell’Estonia, nonostante le iniziali

pretese di considerare l’attacco subito come una fattispecie di terrorismo di Stato, la

reazione si è risolta principalmente in un’azione penale (di fatto contro ignoti) dai risultati

inconcludenti (oltre che, nel lungo periodo, in una maggiore cooperazione con gli alleati

della NATO). Infine, nel caso dell’attacco subito da Sony, gli Stati Uniti hanno

(verosimilmente) utilizzato un mix di approccio strategico e giuridico, reagendo nei

confronti della Corea del Nord sia con una rappresaglia sia con l’imposizione di sanzioni

mirate.


Alcune considerazioni conclusive portano ad avere un poco di ottimismo in merito al cyber

spazio, ma impongono al tempo stesso di sollevare qualche nota di cautela. Il problema

principale è che, se osserviamo l’utilizzo del cyber spazio in una prospettiva di lungo

periodo, noteremo che siamo davvero agli albori di una nuova era, e lo scenario che si

presenterà da qui a dieci anni sarà probabilmente molto diverso da quello attuale, poiché

la tecnologia continua ad evolversi: in particolare, le modalità d’attacco potrebbero

modificarsi e diventare ben più sofisticate e pericolose (al punto da portare a un danno

fisico su larga scala a persone e oggetti). Il secondo problema è l’assenza di un quadro

normativo solido che possa regolare non solo le modalità d’attacco, ma soprattutto le

possibili reazioni in legittima difesa, con il rischio che scoppi una escalation incontrollata.

Da ultimo, quali sono le implicazioni politico/strategiche, ovvero cosa può succedere se un

attacco cyber riesce a colpire uno Stato in modo efficace? Potrebbe paralizzare un paese?

Potrebbe portare al caos e all’instabilità? Ancora non lo sappiamo. Potrebbe essere uno

dei tanti strumenti all’interno del portafoglio di possibilità della gestione della violenza al

pari degli arsenali di armi cinetiche, ma potrebbe essere davvero un game changer,

ovvero costituire una nuova frontiera del conflitto, con tutte le conseguenze nefaste che

questo comporta.

L’analisi delle pagine precedenti non mira a dare una risposta definitiva a problemi tanto

complessi. Al contrario, di fronte a un dibattito giuridico, strategico e politico ancora in

corso, si è cercato di presentare in modo esaustivo le principali posizioni in campo.

L’assunto che ha guidato la scrittura di questo rapporto è infatti che qualsiasi risposta si

cerchi di proporre non potrà che essere parziale. Il problema ultimo a cui si dovrà dare una

risposta riguarda infatti l’eccesso di controversie e ambiguità tra le varie posizioni emerse

finora. Maggiore sarà il margine di incertezza nell’applicazione del Diritto Internazionale,

maggiore sarà l’incentivo per gli Stati (e, altrettanto rilevante, per gli attori non statali) ad

allontanare la prassi dalle norme internazionali e fare un uso sempre più massiccio e

disinvolto delle tecnologie cibernetiche. Apparentemente, siamo ancora in una fase di

Conclusioni:

Prescrizioni per rendere efficace l’apparato

normativo nel cyber spazio


apprendimento, in cui le cyber potenze stanno ancora valutando gli effetti e le potenzialità

delle nuove tecnologie in questioni di sicurezza.

Finché le cose rimarranno invariate, il loro utilizzo rimarrà vincolato non tanto da norme

giuridiche, quanto da considerazioni strategiche, di cautela e, in ultima istanza, di buon

senso183. In altri termini, tra might e right, le azioni nel cyber spazio saranno limitate

esclusivamente dalle capacità degli attori, senza particolare riguardo per considerazioni

normative. Si tratta dunque di una situazione alquanto rischiosa, da cui occorre

allontanarsi al più presto. Sul come fare, tuttavia, le proposte finora articolate sono poche

e poco promettenti. Secondo Evan e Siman-Tov184, qualsiasi tentativo di

regolamentazione potrà avvenire secondo tre modalità: attraverso forme di cooperazione

internazionale; attraverso l’adattamento del Diritto Internazionale al cyber spazio e, infine,

con un trattato internazionale vincolante. Stante la prassi attuale, la terza opzione sembra

un’eventualità remota: come visto analizzando il comportamento degli Stati colpiti da

attacchi cyber, se anche si riuscisse a ratificare un trattato internazionale, questo non

comporterebbe necessariamente un adeguamento della prassi degli Stati. È quindi

improbabile che gli Stati saranno disposti nel breve periodo a sottoscrivere nuove regole.

Più probabile sarà un mix tra le prime due strategie185. Dati i limiti sopra discussi di

adattamento del Diritto Internazionale, le prescrizioni che seguono sono intese come guida

per favorire la cooperazione tra Stati e, conseguentemente, l’armonizzazione del loro

comportamento nel cyber spazio.

Seguendo il recente spunto di Radziwill186, per poter conseguire qualche successo sarà

necessario operare in quattro direzioni: 1) al fine di circoscrivere le zone di ambiguità – e

quindi le possibili fonti di controversia – qualsiasi norma emerga, dovrà risultare quanto più

possibile chiara e precisa; 2) per porre un freno alle possibilità di escalation in seguito ad

un attacco cyber, occorre che le definizioni di uso della forza e attacco armato siano chiare

e condivise da tutte le cyber potenze; 3) al duplice fine di limitare le possibilità d’azione

degli Stati in risposta a un attacco cyber e allineare le modalità di legittima difesa rispetto

183

Quelli che Alessandro Colombo chiama i “freni clausewitziani” della guerra. Colombo, La guerra ineguale. 184



In questo senso sarà certamente di grande rilevanza l’esito dei negoziati in corso tra Stati Uniti e Cina in merito a un possibile accordo bilaterale per limitare l’uso delle armi cibernetiche. Sul punto, tuttavia, non sembra si riscontrino le condizioni per sperare in un accordo che sia veramente in grado di vincolare le due cyber potenze. Stefano Mele, Francesco N. Moro, Cyber security: un fronte sempre più caldo, ISPI Commentary, 25 settembre 2015, http://www.ispionline.it/sites/default/files/pubblicazioni/commentarymelemoro.pdf.


all’ambito cinetico, le Nazioni Unite dovranno essere messe in grado di intervenire

efficacemente; 4) data la complessità delle tecnologie utilizzate nell’ambito cyber e la loro

continua evoluzione, qualsiasi intento normativo dovrà coinvolgere gli esperti del settore.

La tabella 3 fornisce un prospetto riassuntivo dei problemi evidenziati nelle pagine

precedenti e delle soluzioni proposte.

Problema Soluzione

Zone di ambiguità Formulare norme che siano quanto più

possibile chiare e articolate

Distanza tra prassi e dottrina Formulare norme precise e articolate;

Definizione di attacco armato

Assenza di limiti all’escalation Definizione chiara e condivisa di quali

azioni costituiscano un attacco armato

Ruolo marginale dell’ONU Dotare le Nazioni Unite degli strumenti

per essere rilevanti.

Evoluzione della tecnologia Coinvolgimento di esperti del settore

nell’elaborazione delle norme

Tabella 3. Sunto delle prescrizioni politiche

In conclusione, le prescrizioni qui proposte non sono che il punto di partenza per una

riforma del sistema normativo nel cyber spazio: come tali, dovranno poi essere realizzate

concretamente in quanto politiche pubbliche. Come noto, questo processo – di

implementazione187, per usare il gergo della Scienza Politica – sarà particolarmente

complesso e ricco di ostacoli, molti dei quali non saranno prevedibili in fase di

elaborazione dottrinaria188. Tuttavia, ci sono buoni motivi per ritenere che uno sforzo in tal

senso sia più che utile: fintantoché non si riusciranno a imporre dei vincoli legali all’azione

degli Stati – per quanto deboli possano essere tali freni – i margini di incertezza saranno

187

Giusppe Ieraci, L’analisi delle politiche pubbliche, Roma, Aracne, 2009, pp. 113-128. 188

Giusto a titolo d’esempio, si pensi alla prescrizione di dotare l’ONU di strutture e risorse per poter essere rilevante nel cyber-space. Questo, se portato alle logiche conseguenze, significa istituire nuovi uffici cyber all’interno delle agenzie esistenti (finora solo l’Unione Internazionale delle Comunicazioni dell’ONU e UNICRI sembra vantare una qualche competenza nel settore), o addirittura la creazione di un’agenzia ONU dedicata al cyber spazio – con tutti i problemi di bilancio, catena di comando, procedure operative e via dicendo che ne conseguono.


difficilmente quantificabili, e con essi anche il rischio che il cyber spazio diventi un nuovo

sanguinoso campo di battaglia.


PARTE SPECIALISTICA / DI SUPPORTO /

BIBLIOGRAFICA


BIBLIOGRAFIA

Allen Nick, Sony hack: Obama considers 'proportional response' against North Korea,

“The Telegraph”, dicembre 18 dicembre 2014,

http://www.telegraph.co.uk/news/worldnews/northamerica/usa/11302590/Sony-hack-

Obama-considers-proportional-response-against-North-Korea.html.

Alperovitch Dmitri, Sony Hack: Poster Child For A New Era Of Cyber Attacks,

Darkreading, 13 febbraio 2015, http://www.darkreading.com/attacks-breaches/sony-hack-

poster-child-for-a-new-era-of-cyber-attacks-/a/d-id/1319081.

Antolin-Jenkins Vida M., Defining the Parameters of Cyberwar Operations: Looking for

Law in All the Wronge Places? “Naval Law Review”, Vol. 51, 2005, pp. 132-174.

Arquilla John, David Ronfeldt, Cyberwar is Coming!, “Comparative Strategy”, Vol. 12, No.

2, 1993, pp. 141-65.

Associated Press, Obama Says North Korea Hacked Sony, Vows Response, “New York

Times”, 19 dicembre 2014, http://www.nytimes.com/aponline/2014/12/19/arts/ap-us-sony-

hack.html.

Bailey Brandon, Youkyung Lee, Experts: The Sony Hack Looks A Lot Like Previous

Attacks On South Korea, “Business Insider”, 4 dicembre 2014,

http://uk.businessinsider.com/experts-the-sony-hack-looks-a-lot-like-previous-attacks-on-

south-korea-2014-12?r=US&IR=T.

Blank Stephen, Rethinking Asymmetric Threats, Carlisle Barracks (PA), US Army War

College, 2003.

Blank Stephen, Web War I: Is Europe’s First Information War a New Kind of War?,

“Comparative Strategy”, Vol. 27, No. 3, 2008, pp. 227-247.

Brenner Joel, America the Vulnerable: Inside the New Threat Matrix of Digital Espionage,

Crime, and Warfare, New York, Penguin Press, 2011.








Bresnahan Timothy F., Shane Greenstein (1999), Technological Competition and the

Structure of the Computer Industry, “Journal of Industrial Economics”, Vol. 47, No. 1, pp.

1-40.

Brodie Bernard, The Atomic Bomb and American Security, New Haven (CT), Yale Institute

for International Studies, 1945.

Brownlie Ian, International Law and the Use of Force by States, Oxford, Oxford University

Press, 1963.

Bull Hedley, The Anarchical Society. A Study of Order in World Politics, New York,

Columbia University Press, 1977 (trad. It. La società anarchica. L’ordine nella politica

mondiale, Milano, Vita e Pensiero, 2005).

Caltagirone Sergio, Andrew Pendergast, Christopher Betz, The Diamond Model of

Intrusion Analysis, ADA586960, Hanover (MD): Center for Cyber Threat Intelligence and

Threat Research, 5 luglio 2013.

Cartwright James E., Memorandum for Chiefs of the Military Services, Commanders of the

Combatant Commands, Directors of the Jount Staff Directories on Joint Terminology for

Cyberspace Operations, Washington (DC), 2011, http://www.nsci-

va.org/CyberReferenceLib/2010-11-

joint%20Terminology%20for%20Cyberspace%20Operations.pdf.

Caso delle attività militari e paramilitari in e contro il Nicaragua, sentenza di merito del 27

giugno 1986, par. 195. http://www.icj-cij.org/docket/files/70/6503.pdf.

Cieply Michael, Brooks Barnes, Sony Cyberattack, First a Nuisance, Swiftly Grew Into a

Firestorm, “The New York Times”, 30 dicembre 2014,

http://www.nytimes.com/2014/12/31/business/media/sony-attack-first-a-nuisance-swiftly-

grew-into-a-firestorm-.html.

Clarke Richard, Robert Knake, Cyber War: The Next Threat to National Security and What

to Do About It, New York, HarperCollins, 2010.

Codice di Procedura Penale Estone.

Codice Penale Estone.




Colombo Alessandro, La guerra ineguale, Bologna, Il Mulino, 2006.

Daalder Ivo H., James M. Lindsay, America Unbound, Washington (DC), Brookings

Institution Press, 2003 (trad. it. America senza freni, Milano, Vita e Pensiero, 2005).

Davis Joshua, Web War I, “Wired”, settembre 2007.

Dinstein Yoram, War, Aggression and Self-Defence, Cambridge, Cambridge University

Press, 5a ediz., 2011.

Duffy Helen, The 'War on Terror' and the Framework of International Law. Cambridge,

Cambridge University Press. 2005.

(The) Economist, Trouble Shooting. America’s computers and networks are under attack.

Retaliation against Chinese hackers looms, 12 settembre 2015,

http://www.economist.com/news/united-states/21664145-americas-computers-and-

networks-are-under-attack-retaliation-against-chinese-hackers?frsc=dg%7Cd.

Evangelista Matthew, Law, Ethics and the War on Terror, Cambridge, Polity Press, 2008

(trad. it. Diritto, etica e guerra al terrore, Milano, Vita e Pensiero, 2009).

Even Shmuel, David Siman-Tov, Cyber Warfare: Concepts and Strategic Trends,

Memorandum 117, The Institute for National Security Studies, Tel Aviv, 2012.

Falliere Nicolas, Liam O Murchu, Eric Chien, W32.Stuxnet Dossier, versione 1.4,

Symantec, 2011, pp. 5-7, disponibile su

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/

w32_stuxnet_dossier.pdf.

Fidler David P., Inter arma silent leges Redux? The Law of Armed Conflict and Cyber

Conflict, in Derek S. Reveron (a cura di), Cyberspace and National Security, Washington

(DC), Georgetown University Press, 2012, pp. 71-87.

Fidler David P., Was STUXNET An Act of War? Decoding a Cyberattack, IEEE Security

and Privacy 9, No. 4, 2011, luglio/agosto 2011,

https://armscontrollaw.files.wordpress.com/2013/03/fidler-on-stuxnet-and-il.pdf.




Fisher Max, North Korea's internet appears to be under mass cyber attack, Vox.com, 22

dicembre 2014, http://www.vox.com/2014/12/22/7433873/north-korea-internet-down.

Freedman Lawrence, The Evolution of Nuclear Strategy, London, Palgrave Macmillan,

1981.

Gandhi Robin (et al.), Dimensions of Cyber Attacks, “IEEE Technology and Society

Magazine”, Spring 2011, pp. 28-38.

GAO, INFORMATION SECURITY. Cyber Threats and Data Breaches Illustrate Need for

Stronger Controls across Federal Agencies.

Giacomello Giampiero, Close to the Edge. Cyberterrorism Today, in Raul Caruso, Andrea

Locatelli (a cura di), Understanding Terrorism. A Socio-Economic Perspective, Bingley,

Emerald, 2014, pp. 217-236.

Giacomello Giampiero, Gianmarco Badialetti, Manuale di Studi Strategici. Da Sun Tzu alle

nuove guerre, Milano, Vita e Pensiero, 2009.

Gilbert David, NSA monitored North Korean hackers since 2010 but were unable to

prevent Sony hack, “International Business Times”, 19 gennaio 2015,

http://www.ibtimes.co.uk/nsa-monitored-north-korean-hackers-since-2010-were-unable-

prevent-sony-hack-1484021.

Giusti Serena, La Proiezione Esterna della Federazione Russa, Pisa, Edizioni ETS, 2012.

Greenberg Andy, FBI Director: Sony’s ‘Sloppy’ North Korean Hackers Revealed Their IP

Addresses, “Wired”, 7 gennaio 2015, http://www.wired.com/2015/01/fbi-director-says-

north-korean-hackers-sometimes-failed-use-proxies-sony-hack/.

Griffin Andrew, Sony hack: who are the Guardians of Peace, and is North Korea really

behind the attack?, “The Independent”, 17 dicembre 2014,

http://www.independent.co.uk/life-style/gadgets-and-tech/news/sony-hack-who-are-the-

guardians-of-peace-and-is-north-korea-really-behind-the-attack-9931282.html.

Harrison Dinniss Heather, Cyber Warfare and the Laws of War, Cambridge, Cambridge

University Press, 2012.

http://www.vox.com/2014/12/22/7433873/north-korea-internet-down








Hathaway Oona A. (et al)., The Law of Cyber Attack, “California Law Review”, Vol. 100,

2012, pp. 817-886.

Hesseldahl Arik, Details Emerge on Malware Used in Sony Hacking Attack, Recode.net, 2

dicembre 2014, http://recode.net/2014/12/02/details-emerge-on-malware-used-in-sony-

hacking-attack/.

Hutchins Eric M., Michael J. Cloppert, Rohan M. Amin, Intelligence-Driven Computer

Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains,

Bethesda (MD), Lockheed Martin Corporation, 2010.

ICTY, Prosecutor v. Dusko Tadic, Case No. IT-94-1-A, 15 luglio 1999.

Ieraci Giusppe, L’analisi delle politiche pubbliche, Roma, Aracne, 2009, pp. 113-128.

Ikenberry John G., After Victory. Insitutions, Strategic Restraint and the Rebuilding of

Order after Major Wars, Princeton, Princeton University Press, 2001 (trad. it. Dopo la

Vittoria. Istituzioni, strategie della moderazione e ricostruzione dell’ordine internazionale

dopo le grandi guerre, Milano, Vita&Pensiero, 2002).

Ikenberry John G., Institutions, Strategic Restraint, and the Persistence of American

Postwar Order, in “International Security”, Vol. 23, No. 3, 1998, pp. 43-78.

International Committee of the Red Cross, Customary International Humanitarian Law,

Rule 271: Weapons That Are by Nature Indiscriminate.

Jaffe Greg, Steven Mufson, Obama criticizes Sony’s decision to pull ‘The Interview’,

“Washington Post”, 18 dicembre 2004, http://www.washingtonpost.com/politics/obama-

criticizes-sonys-decision-to-pull-the-interview/2014/12/19/77d1ce9a-87ad-11e4-b9b7-

b8632ae73d25_story.html.

Kanet Roger, Russian Foreign Policy in the Twenty-first Century, Houndsmill, Palgrave,

2010.

Kastrenakes Jacob, Sony cancels The Interview release after theaters pull out, “The

Verge”, 17 dicembre 2014, http://www.theverge.com/2014/12/17/7412393/sony-cancels-

the-interview-release-after-theaters-pull-out.









Kerry John, Condemning Cyber-Attack by North Korea, US Department of State, 19

dicembre 2014, http://www.state.gov/secretary/remarks/2014/12/235444.htm.

Kissinger Henry, The Evolution of Nuclear Strategy, London, Palgrave Macmillan, 1957.

Korte Gregory, David, Jackson, Obama sanctions North Korea for movie hacking, “Usa

Today”, 2 gennaio 2015, http://www.usatoday.com/story/news/politics/2015/01/02/obama-

north-korea-sanctions-interview-movie/21195385/.

Langner Ralph, Cracking STUXNET, “TED Talk”, marzo 2011.

Langner Ralph, What STUXNET is All About, 10 gennaio 2011,

http://www.langner.com/en/2011/01/10/what-stuxnet-is-all-about/.

Libicki Martin C., Cyberdeterrence and Cyberwar, Santa Monica (CA), RAND, 2009.

Libicki Martin C., Cyberspace Is Not a Warfighting Domain, “I/S: A Journal of Law and

Policy for the Information Society”, Vol. 8, No. 2, 2012, pp. 321-336.

Libicki Martin C., What is Information Warfare?, Washington, National Defense University,

2005.

Lidell Hart Basil, Deterrence or Defence, London, Stevens, 1960.

Liff Adam, Cyberwar: A New ‘‘Absolute Weapon’’? The Proliferation of Cyberwarfare

Capabilities and Interstate War, “Journal of Strategic Studies”, Vol. 35, No. 3, 2012, pp.

401-428.

Lin Herbert, Operational Considerations in Cyber Attack and Cyber Exploitation, in Derek

S. Reveron (a cura di), Cyberspace and National Security, Washington (DC), Georgetown

University Press, 2012, pp. 37-56.

Lindsay Jon R., Stuxnet and the Limits of Cyber Warfare, “Security Studies”, Vol. 22, No.

3, 2013, pp. 365-404.

Locatelli Andrea, The Offence/Defence Balance in Cyberspace, ISPI Analysis No. 203,

October 2013.

http://www.state.gov/secretary/remarks/2014/12/235444.htm




Locatelli Andrea, What is terrorism? Concepts, definitions and classifications, in Raul

Caruso, Andrea Locatelli (a cura di), Understanding Terrorism. A Socio-Economic

Perspective, Bingley, Emerald, 2014, pp. 1-23.

Luttwak Edward, Strategy. The Logic of War and Peace, Cambridge (MA), Harvard

University Press, 1987 (trad. it. Strategia. Le logiche della Guerra e della pace nel

confronto tra le grandi potenze, Milano, Rizzoli, 1989).

Maggioni Monica, Paolo Magri, Twitter e Jihad: la comunicazione dell’ISIS, Milano, ISPI,

2015.

McConnell Mike, How to Win the Cyberwar We’re Losing, “Washington Post”, 28 febbraio

2010.

Mele Stefano, Francesco N. Moro, Cyber security: un fronte sempre più caldo, ISPI

Commentary, 25 settembre 2015,

http://www.ispionline.it/sites/default/files/pubblicazioni/commentarymelemoro.pdf.

Nakashima Ellen, Iran blamed for cyberattacks on U.S. banks and companies,

“Washington Post”, 21 settembre 2012, https://www.washingtonpost.com/world/national-

security/iran-blamed-for-cyberattacks/2012/09/21/afbe2be4-0412-11e2-9b24-

ff730c7f6312_story.html.

Old BlackBerrys Came to Sony’s Rescue After Systems Hacked, Bloomberg, 31 dicembre

2014, http://www.bloomberg.com/news/articles/2014-12-31/old-blackberrys-came-to-the-

rescue-after-sonys-systems-hacked.

Pagliery Jose, 'Sony-pocalypse': Why the Sony hack is one of the worst hacks ever, CNN

Money, 4 dicembre 2014, http://money.cnn.com/2014/12/04/technology/security/sony-

hack/.

Park Ju-Min, James Pearson, In North Korea, hackers are a handpicked, pampered elite,

Reuters, 5 dicembre 2014, http://www.reuters.com/article/2014/12/05/us-sony-

cybersecurity-northkorea-idUSKCN0JJ08B20141205.

Radziwill Yarozlav, Cyber-Attacks and the Exploitable Imperfections of International Law,

Leiden Brill, 2015.








Randelzhofer Albrecht, Georg Nolte, Article 51, in Bruno Simma et al. (a cura di), The

Charter of the United Nations: A Commentary, 3a ediz., Vol. 2, 2012, pp. 1397-1428.

Rattray Greg, Chris Evans, Jason Healey, American Security in the Cybercommons, in

Abraham M. Denmark, James Mulvenon (a cura di), Contested Commons: The Future of

American Power in a Multipolar World, Washington (DC), Center for a New American

Security, 2010, pp. 151-172.

Rayman Noah, New Research Blames Insiders, Not North Korea, for Sony Hack, “Time”,

30 dicembre 2014, http://time.com/3649394/sony-hack-inside-job-north-korea/.

(The) Republic of Estonia and the Russian Federation Agreement on legal assistance and

legal relationship in civil, family and criminal matters, 26 gennaio 1993.

Republic of Estonia, Estonia Surveillance Act, 1994, disponibile al sito www.unodc.org.

Reveron Derek S., An Introduction to National Security and Cyberspace, in Derek S.

Reveron (a cura di), Cyberspace and National Security, Washington (DC), Georgetown

University Press, 2012, pp. 3-19.

Rid Thomas, Ben Buchanan, Attributing Cyber Attacks, “Journal of Strategic Studies”, Vol.

38, No. 1, 2015, pp. 4-37.

Rid Thomas, Cyber War Will Not Take Place, “Journal of Strategic Studies”, Vol. 35, No. 1,

2012, pp. 5-32.

Roscini Marco, Cyber Operations and the Use of Force in International Law, Oxford,

Oxford University Press, 2014.

Rushe Dominic, Hackers who targeted Sony invoke 9/11 attacks in warning to moviegoers,

“The Guardian”, 16 dicembre 2014,

http://www.theguardian.com/film/2014/dec/16/employees-sue-failure-guard-personal-data-

leaked-hackers.

Sanger David, Martin Fackler, N.S.A. Breached North Korean Networks Before Sony

Attack, Officials Say, “The New York Times”, 18 gennaio 2015,

http://www.nytimes.com/2015/01/19/world/asia/nsa-tapped-into-north-korean-networks-

before-sony-attack-officials-say.html?_r=0 ultimo accesso effettuato il: 18 settembre 2015.

http://time.com/3649394/sony-hack-inside-job-north-korea/






Sartori Giovanni, Leonardo Morlino (a cura di), La comparazione nelle scienze sociali,

Bologna, Il Mulino, 1991.

Schelling Thomas, Arms and Influence, Hew Haven (CT), Yale University Press, 1966.

Schmitt Michael (rapporteur), Tallin Manual on the International Law Applicable to Cyber

Warfare, Cambridge, Cambridge University Press, 2013.

Schmitt Michael, Computer Network Attack and the Use of Force in International Law:

Thoughts on a Normative Framework, “Columbia Journal of Transnational Law”, Vol. 37,

1999, pp. 885-937.

Schmitt Michael, Preemptive Strategies in International Law, “Michigan Journal of

International Law”, Vol. 24, 2003, pp. 513-548.

Schmitt Michael, Responding to Transnational Terrorism Under the Jus Ad Bellum: A

Normative Framework, “Naval Law Review”, Vol. 56, 2008, pp. 1-42.

Schmitt Michael, The Law of Cyberwarfare: Quo Vadis?, “Stanford Law & Policy Review”,

Vol, 25, No. 2, 2014, pp. 269-300.

Sentenza della Corte della contea di Harju numero 1-07-15185 (Galushkevich) del 13

dicembre 2007.

Shackleford Scott J., From Nuclear War to Net War. Analogizing Cyber Attacks in

International Law, “Berkeley Journal of International Law”, Vol. 27, No. 1, 2009, pp. 192-

251.

Shanghai Cooperation Agreement, Annex I, par. 209.

Statement of General Keith B. Alexander, Commander United States Cyber Command,

before the House Committee on Armed Services (23 settembre 2010).

Stone John, Cyber War Will Take Place!, “Journal of Strategic Studies”, Vol. 36, No. 1,

2013, pp.101-108.

Stoppino Mario, Potere e politica, Milano, Giuffrè 2001.


Symantec, 2015 Internet Security Threat Report,

https://www4.symantec.com/mktginfo/whitepaper/ISTR/21347932_GA-internet-security-

threat-report-volume-20-2015-social_v2.pdf.

The United States Army’s Cyberspace Operations Concept Capability Plan, TRADOC

Pamphlet 525-7-8, 22 febbraio 2010, http://fas.org/irp/doddir/army/pam525-7-8.pdf.

Tikk Eneken, Kadri Kaska Liis Vihul, International Cyber Incidents, Tallinn, CCDCOE

2010.

Tsagourias Nicholas, Cyber Attacks, Self-Defence and the Problem of Attribution, “Journal

of Conflict & Security Law”, Vol. 17, 2013, pp. 229-244.

United Nations Conference on International Organization, Docs. 2, 334, 609, 617(e)(4)

(1945).

United Nations Special Commission on Friendly Relations, U.N. Doc. A/AC.125/SR.110-14

(1970).

United States General Accountability Office, INFORMATION SECURITY. Cyber Threats

and Data Breaches Illustrate Need for Stronger Controls across Federal Agencies, GAO-

15-758T, 8 luglio 2015, http://www.gao.gov/assets/680/671253.pdf.

Wall David S., Cybercrime.The Transformation of Crime in the Information Age,

Cambridge, Polity Press, 2007.

Windrem Robert, Exclusive: Secret NSA Map Shows China Cyber Attacks on U.S.

Targets, NBCNEWS, 20 luglio 2005, http://www.nbcnews.com/news/us-news/exclusive-

secret-nsa-map-shows-china-cyber-attacks-us-targets-n401211.

Yong William, Iran Says It Arrested Computer Worm Suspects, “New York Times”, 10

ottobre 2010.

Zetter Kim, Sony Hackers Threaten to Release a Huge ‘Christmas Gift’ of Secrets,

“Wired”, 15 dicembre 2014, disponibile a http://www.wired.com/2014/12/sony-hack-part-

deux/.




RINGRAZIAMENTI

Per i preziosi suggerimenti bibliografici, e per aver letto e discusso diverse altre sezioni del

rapporto, merita un riconoscimento particolare il dott. Alessandro FASANI, dell’Università

degli Studi di Milano.

Ogni errore, imprecisione e omissione rimane ovviamente esclusiva responsabilità del

direttore della ricerca.


NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE

Ce.Mi.S.S.189

Il Centro Militare di Studi Strategici (Ce.Mi.S.S.) è l'Organismo che gestisce, nell'ambito e

per conto del Ministero della Difesa, la ricerca su temi di carattere strategico.

Costituito nel 1987 con Decreto del Ministro della Difesa, il Ce.Mi.S.S. svolge la propria

opera valendosi di esperti civili e militari, italiani ed esteri, in piena libertà di espressione di

pensiero.

Quanto contenuto negli studi pubblicati riflette quindi esclusivamente l'opinione del

Ricercatore e non quella del Ministero della Difesa.

Andrea LOCATELLI

Andrea Locatelli è ricercatore presso l’Università Cattolica del

Sacro Cuore di Milano.

Dopo aver conseguito il dottorato in Scienza Politica presso

l’Università di Firenze è stato scholar-in-residence presso il

Center for European Studies della Carleton University (Canada)

e borsista post-dottorato presso l’Università di Bologna.

È stato docente a contratto e visiting professor presso svariati atenei in Italia e all’estero,

tra cui l’Università Cattolica di Milano, l’Università di Pavia, la University of Ghana,

Novosibirsk State University (Russia), Pázmány Péter Catholic University (Ungheria) e

Carleton University.

Pagina web: http://docenti.unicatt.it/ita/andrea_locatelli/

189

http://www.difesa.it/SMD_/CASD/IM/CeMiSS/Pagine/default.aspx


http://docenti.unicatt.it/ita/andrea_locatelli/


Date post:	12-Sep-2020
Category:	Documents
Upload:	others
View:	3 times
Download:	0 times

Testo di prova · 2016. 12. 15. · Il problema dell’attribuzione si risolve nel compito di...

Documents