La guerra cibernetica assume connotazioni di quotidianità, imponendo valutazioni finora rinviate per scarsa conoscenza dell’argomento o per semplice pigrizia culturale
Chi ha pensato che i confini della sicurezza non oltrepassassero la propria scrivania o – per i lungimiranti – il perimetro aziendale, è costretto a ricredersi.
Security e cyberwar sono le due facce della stessa medaglia e pertanto lo scenario assume rapidamente un orizzonte di vastità incredibile. Un virus informatico – un tempo considerato problema circoscritto al pc infettato o a quelli in seguito contaminati – diventa un’arma e il suo impiego può richiamare regolamentazioni planetarie.
L’attacco perpetrato con Stuxnet nei confronti dell’Iran è stato considerato un “atto di forza illegale” e dirlo è toccato a Michael Schmitt, docente di diritto internazionale all’US Naval War College, ossia la Scuola di Guerra della Marina Militare statunitense.
Schmitt – per dirla con un pubblicità degli anni Sessanta, “il signore sì che se ne intende” – è uno degli estensori del documento di regole sul cyberwarfare redatto sulla falsariga della Convenzione di Ginevra e intitolato “Tallinn Manual on the International Law Applicable to Cyber Warfare”.
L’ammissione – pur ufficiosa, da parte di funzionari USA e israeliani – della creazione del worm, che ha mandato in tilt centrali nucleari e sistemi di arricchimento dell’uranio in Iran, costituisce il punto di partenza di una serie di valutazioni sulla reale portata dell’accaduto e sulle sue riverberazioni in termini di diritto.
Se l’aggressione tecnologica in questione sia da considerare un “attacco armato” oppure no può essere oggetto di riflessione. La pluralità di esperti concorda nel ritenere che ci si trovi comunque dinanzi a un atto ostile. E’ legittimo spaventarsi pensando alle conseguenze di un simile “gesto” ed è ancor più comprensibile temere “reazioni legittime” o semplicemente legittimate a fronte di offensive digitali.
La Regola 9 recita – infatti – che “uno stato colpito da un atto internazionalmente ritenuto iniquo può adottare proporzionali contromisure, anche di carattere cibernetico, contro il paese responsabile”.
C’è chi trova quiete nella Regola 15 che stabilisce che “il diritto al ricorso alla forza per legittima difesa scatta se un cyber-attacco è in corso o sia imminente a manifestarsi” e sottolinea il requisito dell’immediatezza, escludendo reazioni successive da considerarsi atti di aggressione. Ma – forse – c’è poco da star tranquilli.
Discussioni di questo genere non hanno precedenti: non se ne è parlato nel corso della paralisi telematica che ha bloccato l’Estonia nel 2007, non c’è stato nessun dibattito a seguito del cyber-conflitto tra Russia e Georgia nel 2008. Adesso – però – il tema comincia a “lievitare” e non sarà possibile ignorarlo troppo a lungo.
Il vero focus non è tanto sulle operazioni militari vere e proprie, ma sul coinvolgimento dei “civili” in un così multiforme campo di battaglia.
L’universo “laico” è un bersaglio noto e da anni è anche bacino di reclutamento e di impiego di risorse con finalità di carattere bellico o paramilitare. Si spazia dagli hacker non inquadrati in reparti tradizionali ai “dormienti”, che popolano organizzazioni pubbliche e private dal cui interno sono in grado di innescare le più diverse manovre.
Il problema è serio, al punto che la Regola 28 paragona gli “hacker a noleggio” ai mercenari, che non godono di alcuna immunità riconosciuta a chi combatte e tantomeno il potenziale status di prigionieri di guerra…
Basteranno le regole a sedare la turbolenta atmosfera digitale? Probabilmente no. Ma una maggiore attenzione a certe questioni può già essere un significativo passo avanti.
«Fermate il mondo, voglio scendere» – esclamerebbe l’attore Giorgio Forconi nel Carosello di mezzo secolo fa. E purtroppo, oggi, non ci sarebbe Ernesto Calindri a rassicurarlo con un bicchiere d’amaro al carciofo.