Uso della forza, legittima difesa e problemi di attribuzione in situazioni di attacco informatico

ALESSANDRO BUFALINI

USO DELLA FORZA, LEGITTIMA DIFESA E PROBLEMI DI ATTRIBUZIONE

IN SITUAZIONI DI ATTACCO INFORMATICO

SOMMARIO: 1. Problemi di fatto e questioni giuridiche. – 2 Casi di prassi rela-tivi a attentati alla sicurezza di uno Stato attraverso l’uso dei mezzi infor-matici. – 3 Il problema del contrasto agli attacchi informatici nelle «dot-trine strategiche» e in altri documenti adottati da Stati e organizzazioniinternazionali. – 4. L’attacco informatico come violazione del divieto diuso della forza. – 5. Legittima difesa e attacchi informatici. – 6. Il pro-blema dell’attribuzione del fatto illecito. – 7. Riflessioni conclusive el’opportunità di un trattato in materia.

1. Problemi di fatto e questioni giuridiche

La continua interazione tra i diversi attori che operano nellascena internazionale si esprime ormai prevalentemente attraversoi mezzi informatici. Milioni di individui nel mondo hanno oggiaccesso a internet e, attraverso la rete, si scambiano informa-zioni. Imprese nazionali, multinazionali ed organizzazioni nongovernative operano nella rete non solo per diffondere prodottio divulgare idee, ma anche per controllare, gestire e coordinareinfrastrutture essenziali degli Stati. La maggior parte dei governifonda, inoltre, la propria forza economica e militare sulle reti dicomputer. A loro volta i singoli Stati condividono dati, informa-zioni e software e, attraverso lo scambio di questi, agiscono con-giuntamente e cooperano tra loro. Le modalità stesse attraversocui le guerre sono condotte hanno subito importanti cambia-

406 ALESSANDRO BUFALINI

menti1. Proprio la rapida e impressionante diffusione di questanuova tecnologia mostra oggi più che mai la pericolosità insitanel mezzo telematico. Negli ultimi anni, infatti, le reti informati-che sono apparse tutt’altro che impenetrabili mettendo così inluce la presenza di nuovi rischi per la sicurezza degli Stati. Le in-frastrutture critiche di ogni Stato sono ormai sotto la costanteminaccia di quelli che vengono definiti «attacchi informatici».

Prima di entrare nel merito delle questioni giuridiche che siintendono affrontare e di vedere quindi come le norme interna-zionali sul divieto di uso della forza possono regolare questo tipodi attacchi, alcuni aspetti fattuali meritano di essere sottolineatipoiché influiscono in modo determinante su alcune delle proble-matiche cui ci si prefigge dare risposta in questa indagine.

Il primo concerne i soggetti. La possibilità diffusa dell’ac-cesso alla rete e la facilità con la quale anche singoli individuipossono penetrare nei sistemi informatici governativi o di infra-strutture essenziali determina un’indiscriminata ed ampia gam-ma di potenziali autori di attacchi: Stati, gruppi terroristici o an-che soggetti isolati e legati o meno a particolari entità governa-tive o ad organizzazioni non statali. Individui, insomma, chepossono essere mossi da orientamenti ideologici propri («hackti-vists») o essere mercenari al soldo di entità statali od organizza-zioni criminali («crackers»2). Peraltro, come detto, proprio la pe-culiarità del mezzo informatico e l’impressionante varietà di tec-

1 Sul punto cfr. alcune interessanti osservazioni di CEBROWSKI, CNE and CNA inthe Network-Centric Battlespace: Challenges for Operators and Lawyers, in SCHMITT,O’DONNELL (a cura di), Computer Network Attack and International Law, Newport,2002, p. 1 e ss. Cfr. anche SCULLEY, Computers, Military Use of, in DUPUY (ed.), inInternational Military and Defense Encyclopedia, vol. 2, 1993, p. 617.

2 Sul punto è stato osservato come il termine «hackers» sia spesso usato impro-priamente in questi casi. L’intento dei c.d «hackers» è quello di mostrare le falle dei si-stemi informatici e la propria capacità di penetrarvi in modo da indurre ad un costanteaffinamento delle funzionalità e miglioramento delle prestazioni. I «crackers» sono, in-vece, mossi dal profitto personale e dalla finalità precipua di immettere malware o«eludere o eliminare blocchi imposti a software». Cfr. TAPPERO MERLO, Il dominio deglispazi: il cosmo, la cyberwar e l’urgenza di una dottrina operativa per la guerra futura, inCI, 2010, p. 540.

Ale

Highlight

407USO DELLA FORZA, LEGITTIMA DIFESA E PROBLEMI DI ATTRIBUZIONE

niche che sono messe a disposizione permette agli aggressori direstare anonimi o comunque difficilmente identificabili3. Tale va-sta molteplicità dei mezzi e dei potenziali attori modifica in ma-niera sostanziale i tradizionali equilibri e rapporti di forza fon-dati sulla pura e semplice potenza militare o economica. Con po-chi strumenti a disposizione, un piccolo Stato, un’organizzazioneterroristica o, addirittura, un singolo individuo può mettere sottoscacco un intero paese, minacciandone alcune infrastrutture es-senziali, come ad esempio il sistema energetico, quello sanitarioo quello economico-finanziario. È proprio la facilità di accessoad internet, in termini di costi e modalità, a determinare l’asim-metria delle guerre informatiche4.

Anche le conseguenze degli attacchi informatici meritanoparticolare attenzione. Questi, infatti, possono rivelarsi di un’en-tità tale, in termini di vittime e di danni a beni e strutture, da es-sere a tutti gli effetti paragonabili ad attacchi militari convenzio-nali. Tuttavia, possono anche raggiungere importanti obiettivistrategico-militari senza provocare la perdita di vite umane o al-cun danno materiale. Peraltro, gli effetti di un attacco informa-tico possono non essere immediati ma manifestarsi piuttostodopo un lungo arco temporale, rendendo in tal modo complessodeterminarne con certezza la portata.

Infine, la natura stessa del mezzo informatico e la diffusionedi messaggi attraverso la rete cambia la percezione dei confini edei limiti dell’esercizio della sovranità statale5.

Prima di procedere all’analisi di quei casi che nel corso del-l’ultimo ventennio appaiono più rilevanti ai fini della presente ri-

3 Le classificazioni delle diverse tipologie di attacchi informatici sono diverse.Generalmente, si parla di tre categorie: l’immissione di virus, i «denial of service at-tack» e l’intrusione non autorizzata in un computer. Cfr. SKLEROV, Solving the Dilemmaof States Responses to Cyberattacks: A Justification for the Use of Active Defensesagainst States Who Neglet their Duty to Prevent, in MilLR, vol. 201, 2009, p. 13 e ss.

4 Cfr. GHIONI, PREATONI, Ombre asimmetriche. La guerra cibernetica e i suoi pro-tagonisti, Roma, 2005.

5 JOYNER, LOTRIONTE, Information Warfare as International Coercion: Elements ofa Legal Framework, in EJIL, vol. 12, n. 5, 2001, p. 842-845.

Ale

Highlight

Ale

Highlight


cerca, occorre effettuare una distinzione terminologica. Nella pre-sente indagine saranno principalmente utilizzati i termini guerrainformatica (cyber-war) ed attacchi informatici, cibernetici o tele-matici (cyber-attacks). Si ritengono questi ultimi comprensivi dialtri termini impiegati in dottrina quali: information warfare ocomputer network attack (CNA)6. La definizione di CNA più ci-tata in dottrina, seppur non esente da critiche7, è quella data dalDipartimento della Difesa americano che così recita:

«[o]perations to disrupt, deny, degrade, or destroy information resi-dent in computers and computer networks, or the computers andnetworks themselves»8.

2. Casi di prassi relativi a attentati alla sicurezza di uno Stato at-traverso l’uso dei mezzi informatici

È difficile ricostruire una casistica in materia di attacchiinformatici. Nonostante nessuno ne possa negare la frequenza, èanche noto tuttavia che gli Stati spesso preferiscono non rivelaredi aver subito un attacco di questo tipo o comunque non speci-ficarne gli effetti. Naturalmente la ragione di questo atteggia-mento è quella di non scalfire la propria immagine di invulnera-bilità, stabilità e sicurezza. Inoltre, il fatto stesso che la rete sipresti ad operazioni segrete o di spionaggio rende ancor piùcomplicato ed improbabile il venire a conoscenza di un attacco.Nel caso di attacchi informatici intercorrenti tra entità statali l’i-

6 È stato giustamente sottolineato, invece, che il concetto di Information Opera-tion (IO) è più ampio rispetto a quelli sopra citati poiché comprende al suo internoquelle operazioni condotte in tempo di pace e che non sono «intended to effect speci-fic results against a particular oppontent». Cfr. SCHMITT, Computer Network Attack andthe Use of Force in International Law: Thoughts on a Normative Framework, in Colum.J. Transnat’l L., vol. 37, 1999, p. 7. Per una più ampia e dettagliata distinzione cfr. RO-SCINI, World Wide Warfare - Jus ad Bellum and the Use of Cyberforce, in Max PlanckUNYB, vol. 14, 2010, p. 91-96.

7 Cfr. DINSTEIN, Computer Network Attack and Self-Defense, in SCHMITT,O’DONNELL (eds.), op. cit., p. 102.

8 United States Department of Defence, An Assessment of International LegalIssues in Information Operations, maggio 1999.

Ale

Highlight


dentificazione di una prassi rilevante è ancor più complessa: ilfatto che tali attacchi nella maggior parte dei casi si affianchinoad operazioni belliche tradizionali non impone agli Stati l’esi-genza di confrontarsi con il problema della qualificazione giuri-dica di interventi condotti attraverso mezzi informatici, essen-dosi la violazione del divieto dell’uso della forza già concretizzatacon l’uso dei mezzi convenzionali9.

Alcuni esempi di prassi, tuttavia, sono noti e possono aiu-tare a comprendere la portata del fenomeno. Gli Stati Uniti, cheprobabilmente oggi più di tutti temono gli attacchi informatici,sono stati anche i primi a farne uso in passato. Nel 1982, infatti,esplose in Siberia uno dei più importanti gasdotti sovietici. Lacausa di questa impressionante detonazione parve dovuta al mal-funzionamento di un sistema di controllo computerizzato. Il pro-gramma informatico, rubato in Canada da agenti del KGB, erastato manomesso a sua volta, e naturalmente all’insaputa dei so-vietici, dalla CIA in modo che dopo qualche mese la pressionedel gas all’interno delle condutture aumentasse fino all’esplo-sione.

Anche nella prima Guerra del golfo, l’accesso alle informa-zioni del nemico e la rapidità con cui si rese il governo irakenoincapace di coordinare le proprie forze militari risultarono de-terminanti nello schiacciante successo della coalizione.

Nel tempo, tuttavia, il fenomeno ha assunto dimensionipreoccupanti. Nel 1998, un primissimo segnale di allarme venneda due studenti californiani e un ragazzo israeliano che per di-versi giorni misero sotto scacco circa cinquecento siti governativie privati statunitensi. Date le forti tensioni che nello stesso pe-riodo intercorrevano tra Stati Uniti ed Iraq, la paternità del virus(Solar Sunrise) venne in un primo momento attribuita allo Statoirakeno.

Ma è solo negli ultimissimi anni che gli attacchi informaticisi sono situati, per frequenza ed intensità, al centro delle politi-

9 SILVER, Computer Network Attack as a Use of Force under Article 2(4), inSCHMITT, O’DONNELL, op. cit., p.79.


che di difesa di molti Stati. Il primo caso eclatante ha coinvoltouno dei paesi più “connessi” al mondo al punto da meritarsiun’ironica variazione del proprio nome: l’E-stonia. Nel 2007, loStato baltico è stato per diverse settimane oggetto di un pesanteattacco informatico che ha paralizzato siti governativi, banche,compagnie televisive ed altre industrie nazionali. Perfino le lineetelefoniche di soccorso medico e dei vigili del fuoco venneromesse temporaneamente fuori uso10. L’Estonia ha ritenuto laRussia responsabile dell’attacco e ha affermato di trovarsi difronte ad un vero e proprio «act of war». La Russia ha negato ca-tegoricamente la propria responsabilità e la NATO ha smentitoche tale azione potesse essere qualificata come attacco armato11.

Nello stesso anno persino il Pentagono è stato oggetto di unpesante attacco che ha arrestato definitivamente il funziona-mento di una parte del suo sistema di difesa12.

Con riguardo al conflitto armato tra Russia e Georgia nell’a-gosto del 2008, prima ancora che iniziasse l’occupazione militaredella Ossezia del sud, una serie di attacchi informatici coordinatiera stata sferrata nei confronti di siti governativi, di istituzioni fi-nanziarie e di mezzi di telecomunicazione georgiani. È questo ilprimo caso in cui un’operazione militare viene condotta, nello

10 Le reti venivano sostanzialmente intasate da infinite richieste di informazionifino a sovraccaricare e bloccare completamente il sistema. Si tratta in linguaggiotecnico dei c.d. attacchi DoS («denial of service»), anzi nello specifico di una serie diDDoS («distributed denial of service»).

11 Qualche indicazione in tal senso nella conferenza stampa di James Appathuraidel 23 maggio 2007, disponibile su http://www.nato.int/cps/en/natolive/opi-nions_8313.htm?selectedLocale=en. Cfr. anche HOLLIS, Why States Need an Internatio-nal Law for Information Operations, in L&CLR, vol. 11, 2007, p. 1026-1028. La ragionedell’attacco sarebbe dovuta alla rimozione del «Soldato di bronzo», monumento dedi-cato ai caduti russi nello scontro per la liberazione di Tallin dai nazisti. Per gli estoni ilmonumento rappresentava, invece, un simbolo dell’occupazione sovietica. Cfr. WESTBY,WEGENER, BARLETTA, Rights and Responsibilities in Cyberspace Balancing the Need forSecurity and Liberty, 2010, p. 11. Vedi anche Economist, Newly Nasty, maggio, 2007 eDAVIS, Hackers Take Down the Most Wired Country in Europe, in Wired, 21 agosto2007, http://www.wired.com/politics/security/magazine/15-09/ff_estonia.

12 SEVASTOPULO, Chinese Hacked into Pentagon, in Financial Times Online, 3 set-tembre, 2007, http://www.ft.com/cms/s/0/9dba9ba2-5a3b-11dc-9bcd-0000779fd2ac.html#axzz1ZjVu3hN3.

Ale

Highlight


specifico addirittura preceduta, da una serie di attacchi informa-tici mirati. È interessante notare che a seguito di questi attacchi,seppur ancora non seguiti da vere e proprie azioni belliche, laGeorgia dichiarò lo «stato di guerra»13.

Ancora, nell’aprile del 2009, vennero scoperte da parte delgoverno americano alcune infiltrazioni nella rete informatica digestione delle centrali elettriche. Nella circostanza furono rilevatialcuni programmi che, se attivati, avrebbero permesso agli ag-gressori di controllare il funzionamento del sistema.

Un ulteriore caso concerne l’Iran e risale al luglio del 2010.La particolarità di questo attacco risiede nella sofisticatezza, pro-babilmente finora mai raggiunta, dei mezzi con cui è stato predi-sposto. Stuxnet, questo il nome del virus, è stato dapprima iniet-tato in un qualche terminale attraverso una chiave USB. Rimastonascosto all’interno del sistema per un periodo non determinabilesi è poi diffuso in modo autonomo ed incontrollato una volta at-tivato. Ma la vera peculiarità consiste nell’essere stato predispostoper attaccare solo alcuni tipi di programmi che rispondono a pa-rametri molto precisi e solitamente utilizzati su reti elettriche,oleodotti e nella maggior parte degli impianti nucleari. Pur rico-noscendo di aver effettivamente subito tale attacco, l’Iran ha af-fermato di non aver patito particolari danni. Sembra, tuttavia,che, nonostante le versioni ufficiali, il programma nucleare dellaRepubblica islamica abbia subito un rallentamento. Mentre gli at-tacchi all’Estonia ed alla Georgia sembrano riconducibili (ilprimo con un maggior grado di certezza) alla Russia, nel caso ira-niano aleggiano diversi dubbi. Una cosa sembra sicura: la sofisti-catezza dell’attacco e la complessità nel predisporlo sembrano farpropendere decisamente per un’entità statale14.

13 Anche nel Report of the Indipendent International Fact-Finding Mission on theConflict in Georgia si sottolinea la novità dell’utilizzo del mezzo informatico nellacondotta di un conflitto interstatuale e le difficoltà enormi in material di attribuzione,Report, settembre 2009, vol. 2, p. 219.

14 Il principale indiziato sembra Israele, in alternativa o congiuntamente agliStati Uniti. Alcuni però ritengono non del tutto improbabile un coinvolgimento dellaRussia o della Cina. Cfr. BAHELI, Iran sotto attacco, le nuove frontiere della cyber war,


Infine, proprio in questi ultimi mesi, McAfee, una società disicurezza informatica, ha dichiarato di aver identificato la più im-ponente serie di attacchi informatici che almeno dal 2006 afflig-gevano 72 diversi soggetti, tra questi l’ONU, diversi Stati e altreorganizzazioni internazionali. Anche in quest’ultimo caso non èstata accertata alcuna paternità, ma la società americana ha affer-mato che le azioni offensive sarebbero da attribuire ad un’entitàstatale, che secondo molti sarebbe ancora una volta da indivi-duare nella Cina15.

3. Il problema del contrasto agli attacchi informatici nelle «dot-trine strategiche» e in altri documenti adottati da Stati e orga-nizzazioni internazionali

Esistono ad oggi una serie di documenti predisposti da or-ganizzazioni internazionali o da singoli Stati che affrontano laquestione della tutela della sicurezza dello Stato rispetto ad at-tacchi esterni condotti con mezzi telematici. Questi testi solle-vano, anche solo implicitamente, il problema di stabilire il qua-dro giuridico internazionale di riferimento per valutare la legitti-mità di un attacco condotto per via telematica e delle misureprese in risposta a tali attacchi.

La pericolosità delle guerre informatiche è stata recente-mente riconosciuta dalla NATO nella sua nuova dottrina strate-gica, approvata il 30 novembre del 2010 a Lisbona16. In questo

Limes, Rivista italiana di geopolitica, 2010; Economist, The meaning of Stuxnet, 30 set-tembre, 2010.

15 Cfr. BARBOZA, DREW, Security Firm Sees Global Cyberspying, The New YorkTimes, 3 agosto, 2011.

16 Strategic Concept For the Defence and Security of the Members of the NorthAtlantic Treaty Organisation. Si veda: http://www.nato.int/cps/en/natolive/official_texts_68580.htm.

17 A seguito dell’attacco all’Estonia di cui sopra, la NATO ha istituito proprio aTallin, il suo «Cooperative Cyber Defence Centre of Excellence» (CCDCOE) che harecentemente intrapreso il difficile compito di redigere il proprio Manual on Interna-tional Law Applicable to Cyber Warfare, o anche «The Tallinn Manual», cfr.http://www.ccdcoe.org/249.html.


documento, se da una parte si riconosce che «[t]oday the threatof a conventional attack against NATO territory is low», dall’altrasi osserva che «cyber attacks are becoming more frequent, more or-ganised and more costly in the damage that they inflict on govern-ment administrations, businesses, economies and potentially alsotransportation and supply networks and other critical infrastruc-ture; they can reach a threshold that threatens national and Euro-Atlantic prosperity, security and stability. Foreign militaries andintelligence services, organised criminals, terrorist and/or extre-mist groups can each be the source of such attacks». Nella nuovadottrina strategica della NATO si prospetta inoltre la creazionedi un sistema di difesa informatico centralizzato per le strutturedell’organizzazione17.

Il problema della sicurezza informatica ha assunto impor-tanza notevole nella politica di sicurezza degli Stati Uniti. Il 16maggio 2011, l’amministrazione Obama ha adottato una dottrinastrategica in materia dove per la prima volta si tenta di coordi-nare l’impegno americano «with international partners on the fullrange of cyber issues», sottolineando la necessità di costruire unasempre maggior cooperazione a livello internazionale18. Già nel2009 gli Stati Uniti avevano investito ingenti somme di denaroper istituire un Cyber Command a capo del quale è posto un fun-zionario della Casa Bianca che opera come coordinatore dellepolitiche e delle attività in materia di sicurezza informatica19.

Su di un diverso piano la lotta contro ingerenze telematichein grado di mettere in pericolo la sicurezza dello Stato ha portatoalla instaurazione di forme di cooperazione per la persecuzionepenale degli individui autori di questo attacchi. In proposito, lostrumento normativo più avanzato è certamente la Convenzionedel Consiglio d’Europa sulla criminalità informatica, firmata aBudapest il 23 novembre 2001, nella quale si prevedono alcune

18 White House, International Strategy for Cyberspace: Prosperity, Security, andOpenness in a Networked World (May 2011), disponibile su http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf.

19 A seguito della creazione di tale organismo, molti altri Stati, tra i quali adesempio Regno Unito e Cina, hanno deciso di dotarsi di istituzioni simili.


forme di cooperazione giudiziaria e di armonizzazione della nor-mativa penale tra i diversi ordinamenti nazionali. Tale strumentoriguarda in generale i reati informatici e la protezione dei datipersonali e solo indirettamente concerne la sicurezza degli Stati.

Anche a livello di Unione Europea sono state adottate di-verse misure volte a coordinare gli sforzi tra gli Stati membri.D’altronde, nei primi mesi del 2011, le istituzioni europee sonostate oggetto di due diversi attacchi informatici. Il primo ha col-pito il sistema di mercato delle quote di anidride carbonica chele aziende sono legittimate ad emettere attraverso il loro acquisto(Emissions Trading System), mentre il secondo ha riguardato i si-stemi informatici di Commissione, Parlamento e Servizio euro-peo per l’azione esterna, i cui siti sono stati paralizzati per diversigiorni.

In breve, le risposte dell’Unione in materia operano su trediversi livelli: protezione della privacy e dei dati personali, lottaalla criminalità informatica e, infine, la protezione delle infra-strutture critiche informatizzate (CIIP, Critical Information Infra-structure Protection).

4. L’attacco informatico come violazione del divieto di uso dellaforza

Nel diritto internazionale gli attacchi informatici possonoessere osservati da diversi punti di vista. Innanzitutto, si può di-sciplinare l’attacco informatico come crimine individuale20; si di-scute in particolare sulla possibilità di qualificare come crimineinternazionale il c.d. «cyberterrorism»21. Ci si può poi porre sul

20 Cfr. POCAR, Note sullo sviluppo della normativa internazionale sui crimini rela-tivi ai sistemi di informazione, in Scritti in onore di Umberto Leanza, Napoli, 2008;BROWN, The Cyber Side of Crime, in BROWN (a cura di), Combating InternationalCrime; the Longer Arm of the Law, London, 2008, p. 232-240; DANIEL, La criminalitéinformatique. Cyber-crime, sabotage, piratage, etc. Evolution et répression, Paris, 1997;ALDRICH, The International Legal Implications of Information Warfare, Institute forNational Security Studies, US Air Force Academy, 1996.

21 BRENNER, «At light speed»: Attribution and Response to Cybercrime/Terro-rism/Warfare, in JCrimL&C, vol. 97, 2007. SIEBER, BRUNST, Cyberterrorism and Other

Ale

Highlight


piano dello jus in bello e, dunque, affrontare i problemi di nonpoco conto sollevati dall’uso delle tecnologie informatiche nellaconduzione delle ostilità22. Infine, ed è quanto in questa indagineci si propone di fare, si può porre il problema di stabilire se equando un attacco informatico ricade nell’ambito di applica-zione delle regole in tema di jus ad bellum.

La disposizione centrale in tema di uso della forza, conside-rata più in generale «the heart of the United Nation Charter»23, è,come noto, l’art. 2(4) della Carta delle Nazioni Unite che imponeagli Stati di astenersi dalla minaccia o dall’uso della forza nellerelazioni internazionali. Se è vero che più volte i principi espressinella Carta sono stati messi a dura prova dall’emergere di nuovetecnologie o, più in generale, da profondi mutamenti storici epolitici che hanno cambiato i modi di fare la guerra, nel nostrocaso si tratta di capire se e in quale misura l’uso dei mezzi tele-matici per mettere in pericolo la sicurezza di uno Stato possa es-sere ricondotto nell’ambito di applicazione del divieto sancitodalla Carta. Si ripropone dunque l’annoso dibattito tra chi so-stiene che i fondamenti stessi della Carta non siano più in gradodi rispecchiare la realtà e la complessità delle relazioni interna-

Use of the Internet for Terrorist Purposes - Threat Analysis and Evaluation of Interna-tional Conventions, Council of Europe (eds.), Strasbourg, 2007.

22 Cfr. tra gli altri, DÖGE, Cyber Warfare, Challenges for the Applicability of theTraditional Law of War Regime, in AVR, vol. 48, 2010, p. 486-501; WATTS, CombatantStatus and Computer Network Attack, in Va. J. Int’l L., vol. 50, n. 2, 2010; BROWN, AProposal for an International Convention To Regulate the Use of Information Systems inArmed Conflict, Harv. Int’l L.J., vol. 47, n. 1, 2006; SCHMITT, Wired Warfare: ComputerNetwork Attack and Jus in Bello in SANAJAOBA, A manual of international humanitarianlaws, New Delhi, 2004, p. 564-598. Appare interessante in particolare come il dirittoumanitario potrebbe ad esempio inquadrare l’utilizzo dei droni, questione tutt’altroche fantascientifica, cfr. O’CONNELL, Lawful Use of Combat Drones (www.fas.org/irp/congress/2010_hr/042810oconnell.pdf), si veda anche The Economist, Joining the dro-nes club, 13 agosto 2011. In uno studio ancor più recente della stessa rivista, si mostracome l’impiego dei droni sia aumentato in modo esponenziale negli ultimi anni, inparticolare durante l’amministrazione Obama, cfr. The Economist, Unmanned aerialwarfare, Flight of the drones, 8 ottobre 2011, p. 32-34.

23 HENKIN, The Reports of the Death of Article 2(4) are Greatly Exaggerated, inAJIL, vol. 65, 1971, p. 544-548.

Ale

Highlight

Ale

Highlight

Ale

Highlight

Ale

Highlight


zionali contemporanee24 e chi, invece, ha piuttosto rimarcato lastraordinaria capacità di quei principi di adattarsi ai cambia-menti e alle numerose difficoltà di inquadramento giuridico chetali trasformazioni hanno sollevato nel corso della storia25.

I problemi che sorgono sono numerosi, trattandosi di stabi-lire se e quando un attacco informatico costituisce una sempliceviolazione del principio del non intervento, oppure una viola-zione del divieto dell’uso della forza, o ancora un attacco armatoin grado di giustificare una risposta in legittima difesa da partedello Stato vittima dell’attacco.26

In prima approssimazione si può dire che nella maggiorparte dei casi gli attacchi informatici condotti da Stati non pos-sono essere intesi come uso della forza ma, al più, potranno es-sere considerati come violazioni del principio del non inter-vento27. Tali attacchi, infatti, in genere si sostanziano in attiaventi come obiettivo la violazione non autorizzata del computerdi uno Stato, della sua rete o di qualsiasi altra attività interessatada un sistema informatico, con lo scopo di falsificarne i dati, cau-sarne l’interruzione o il danneggiamento. Si pensi inoltre a tuttele attività di disturbo o blocco di siti governativi che non hannoricadute concrete in termini di danni materiali (web vandalism) oalle campagne di disinformazione.

Tuttavia, le potenzialità degli attacchi informatici sono or-mai enormi. Si è già detto come questi possano arrivare a com-

24 FRANCK, Who killed Article 2(4)? Or: Changing Norms Governing the Use ofForce by States, AJIL, n. 64, 1970, p. 809.

25 Cfr. HENKIN, op. cit.; WIPPMAN, The Nine Lives of Article 2(4), in MinnJIL, vol.16, 2007.

26 Cfr. RANDELZHOFER, Article 51, in SIMMA, The Charter of the United Nations: aCommentary (2nd ed.), Oxford, 2002, p. 788, 796.

27 Il principio del non intervento non è contenuto nella Carta delle NazioniUnite, ma è tuttavia considerato norma di diritto consuetudinario. Sul punto si è chia-ramente espressa la Corte internazionale di giustizia nel caso Nicaragua, ove ha affer-mato che «the principle of non-intervention involves the right of every sovereing state toconduct its affairs without outside interference … it is part and parcel of customary in-ternational law». Sul tema si veda, in generale, SAPIENZA, Il principio del non interventonegli affari interni, Milano, 1990.


promettere infrastrutture essenziali quali le reti di trasporto, dicomunicazione, quelle energetiche o idriche. Un attacco infor-matico potrebbe anche provocare la distruzione di un aereo o dialtre apparecchiature militari. Appare innegabile che, qualoral’attacco informatico produca effetti del tutto simili a quelli chesi sarebbero potuti verificare con i tradizionali mezzi bellici, que-sto non possa che essere considerato come una violazione del di-vieto di uso della forza. D’altronde, l’art. 2(4) non stabilisce al-cuna distinzione in merito al mezzo attraverso il quale l’uso dellaforza debba concretarsi. Ciò è stato chiaramente ribadito dallaCorte internazionale di giustizia nel caso sulla liceità dell’usodelle armi nucleari, ove si è affermato che le norme sull’uso dellaforza «do not refer to specific weapons»28. D’altro canto, se è veroche la norma sul divieto di uso della forza è stata per lo più lettacome riferita ad un uso della forza militare, con esclusione, comevedremo, di forme di coercizione politica o economica, la no-zione di «forza militare» è costretta ad adeguarsi alle rapide e co-stanti evoluzioni tecnologiche. In altre parole, non è immagina-bile una lettura dell’art. 2(4) tale da limitarne l’ambito di appli-cazione alle armi esistenti all’epoca della stesura della Carta29.Come è stato rilevato da Brownlie quasi cinquant’anni fa, nel de-terminare se certe armi possono o meno essere causa di una vio-lazione dell’uso della forza, il criterio determinante, piuttostoche le modalità attraverso cui si conduce una certa operazione, èil risultato della stessa: «the destruction of life and property»30.L’emergere di nuove armi il cui impiego può essere all’origine dieffetti ancor più devastanti in termini di danni alla proprietà operdita di vite umane rispetto alle armi convenzionali non puònon indurre ad un’assimilazione delle prime alle seconde. Alcuniesempi possono essere fatti in riferimento al nostro specifico og-

28 Legality of the Threat or Use of Nuclear Weapons, I.C.J. Reports, 1996, par. 39.29 SILVER, Computer Network Attack as a Use of Force under Article 2(4) of the

United Nations Charter, in SCHMITT, O’DONNELL, op. cit., 2001, p.84.30 BROWNLIE, International Law and The Use of Force by States, London, 1963,

p. 362.


getto. L’esempio classico in tema di attacchi informatici è quellodi un attacco che mandi in tilt il sistema di controllo del trafficoaereo di uno Stato, ma si può forse pensare anche a casi più par-ticolari ma non meno inimmaginabili, come la falsificazione didati all’interno di un sistema sanitario nazionale.

Se la valutazione degli effetti distruttivi costituisce il criteriodeterminante per stabilire quando un attacco informatico possaessere qualificato come violazione del divieto dell’uso della forza,risulta allora chiaro che nella maggior parte dei casi tali attacchinon costituiscono forme di violenza bellica ma possono al limiteessere considerate come forme di violenza economica o politica.

Con riferimento alla possibilità di ricondurre anche questeforme di violenza all’art. 2(4), è stato ritenuto che l’ordinamentointernazionale è un «purposive system» nel quale le norme de-vono essere interpretate per i fini e nel perseguimento degliscopi che esso si prefigge, ovvero la pace e la stabilità nelle rela-zioni internazionali31. Si è quindi sostenuto che una lettura piùequilibrata dell’articolo 2(4) porterebbe a concludere che anchealcune forme di coercizione economica o politica condotte me-diante mezzi informatici possono rappresentare una minacciaalla pace ed alla sicurezza internazionale e costituire una lesionedell’integrità territoriale e dell’indipendenza di uno Stato. Taleultimo approccio ha portato ad includere nel divieto di uso dellaforza alcune tipologie di attacchi che difficilmente appaiono po-tervi rientrare. Per esempio, si è sostenuto che anche un attaccoai mercati finanziari o ai sistemi bancari potrebbe essere una vio-lazione dell’art. 2(4)32.

Appare chiaro tuttavia che non si possa ammettere un’e-stensione del divieto di cui all’art. 2(4) fino ad includere la coer-cizione economica e politica33. Questa questione, come noto, è

31 D’AMATO, International Law, Cybernetics, and Cyberspace, in SCHMITT,O’DONNELL, op. cit., p. 60.

32 SHARP, Cyberspace and the Use of Force, Falls Church Virginia, 1999, p. 102.33 BOWETT, International Law and Economic Coercion, in Va. J. Int’l L., vol. 16,

1975-76, p. 245.


stata al centro di un confronto tra le grandi potenze occidentalie diversi Stati del blocco sovietico, ma ha visto in definitiva pre-valere le prime. Anche la Dichiarazione del 1970 sulle relazioniamichevoli e la cooperazione fra gli Stati sembra riferirsi al di-vieto di minaccia o uso della forza unicamente in termini di forzaarmata34. È stato notato, inoltre, come la Dichiarazione sembriricondurre le azioni di coercizione economica o politica al prin-cipio del non intervento35. Quest’ultimo collegamento peraltronon vuol significare che ogni coercizione economica sia sempre ecomunque una violazione del principio di non intervento, mapiuttosto, si è detto, «decisive is the relation between means andend»36.

Per quanto concerne la specifica materia dei «cyber-attacks»,un autore ha prospettato una soluzione che si fonda sulla pre-senza di sei parametri. Per determinare se un attacco possa es-sere considerato espressione di uso della forza piuttosto checoercizione economica o politica, egli ritiene necessari i seguentiparametri: «severity, immediacy, directness, invasiveness, measura-bility, presumptive legitimacy»37. In realtà anche questa tesi fini-sce per dare importanza agli effetti distruttivi che l’attacco infor-matico è in grado di produrre. In particolare, è stato rilevato

34 Sul punto cfr. BOWETT, Economic Coercion and Reprisals by States, in Va. J.Int’l L., 1972; SCHACHTER, International Law: The Right of States to Use Armed Force,in MichLR, vol. 82, 1984.

35 RANDELZHOFER, Use of Force, in Bernhardt, EPIL, vol. IV, Amsterdam, 1982;altri hanno sostenuto che la sostanziale non differenziazione tra le violazioni in terminidi conseguenze alle stesse dovrebbe piuttosto condurre ad una loro equiparazione, cfr.ARANGIO-RUIZ, Friendly Relations Resolution, in Bernhardt, EPIL, vol. II, Amsterdam,1995, p. 485-90.

36 Cfr. RANDELZHOFER, op. cit., p. 268.37 Cfr. SCHMITT, Computer Network Attack and the Use of Force, op. cit., p. 914-

915; Cfr., in generale, per un approccio fondato sugli effetti dell’attacco, ancoraSCHMITT, Bellum Americanum: The U.S. View of Twenty-First Century War and ItsPossible Implications for the Law of Armed Conflict, in Mich. J. Int’l L., vol. 19, p.1071-1072; BARKHAM, Information Warfare and International Law on the Use of Force,in N.Y.U. J. Int’l L. & Pol., vol. 34, p. 79-80; HOISINGTON, Cyberwarfare and the Use ofForce Giving Rise to the Right of Self-defence, in B.C. Int’l & Comp. L. Rev., vol. 32,2009, p. 446-449.

Ale

Highlight

Ale

Highlight

Ale

Highlight

Ale

Highlight


come ai fini della qualificazione della condotta l’unico elemento«scriminante» sarebbe quello della «severity» poiché gli altri ele-menti non sarebbero di alcun aiuto nella distinzione tra uso dellaforza e forme di coercizione economica o politica. In generale,come risulta da diverse dichiarazioni, l’impostazione fondata su-gli effetti e le conseguenze di un attacco cibernetico sembra es-sere quella preferita anche dal governo americano38.

Una tendenza che si rinviene in una parte della dottrinaconsidera, invece, come violazione del divieto dell’uso della forzaqualsiasi attacco informatico rivolto contro infrastrutture essen-ziali39. Questa posizione ha il pregio di tenere in conto l’impor-tanza dei sistemi informatici nelle società moderne e, di conse-guenza, del fatto che un attacco alle reti di alcuni centri nevral-gici del funzionamento di uno Stato possa avere effettinotevolmente più deleteri di un qualsiasi attacco militare. Tutta-via anche questa tesi si presta ad alcune osservazioni critiche, acominciare dal fatto che essa imporrebbe la necessità di indivi-duare quali possano essere considerate le infrastrutture essenzialidi uno Stato. Operazione quest’ultima tutt’altro che semplice eche non può per ovvie ragioni essere lasciata alla totale discre-zionalità degli Stati40.

Sembrano opportune due considerazioni finali su alcunipossibili sviluppi in tema di qualificazione degli attacchi condottimedianti mezzi informatici. La prima muove dalla constatazionedell’importanza crescente nella nostra società dei mezzi informa-tici. In un’epoca in cui lo scambio di informazioni rappresenta la

38 WAXMAN, Cyber-attacks and the Use of Force: Back to the Future of Article 2(4),in Yale JIL, vol. 36, 2011, p. 433-435.

39 SHARP, op. cit., p. 140.40 ANTOLIN-JENKINS, Defining the Parameters of Cyberwar Operations: Looking

for Law in All the Wrong Places?, in NavalLR, n. 51, 2005, p. 165-166. Una defini-zione, per quanto generica, di «critical infrastructure» la si può rinvenire nella legisla-zione statunitense: «systems and assets, whether physical or virtual, so vital to the Uni-ted States that the incapacity or destruction of such systems assets would have a debilita-ting impact on security, national economic security, national public health or safety»,Critical Infrastructure Protection Act, 2001.

Ale

Highlight


linfa vitale delle relazioni tra individui ed istituzioni governativeo private, il totale isolamento di uno Stato, attraverso l’interru-zione di tutte le linee di comunicazione interne ed esterne, ap-pare sempre più destinata ad essere vista come una grave viola-zione della sovranità ed indipendenza dello Stato, nonché un pe-ricolo per l’esercizio di alcune attività vitali per il funzionamentodi un apparato statale. Per questo motivo non si può escludereche la portata della norma consuetudinaria in materia di usodella forza possa estendersi in futuro per includere le forme piùgravi di coercizione economica o politica mediante mezzi infor-matici.

La seconda considerazione riguarda l’importanza che inquesto contesto assume, ai fini della qualificazione giuridica, l’a-nalisi del dato effettivo. Negli attacchi informatici, infatti, rive-stono fondamentale importanza i c.d. effetti indiretti, che nonrappresentano l’immediata conseguenza di un attacco, bensì pos-sono manifestarsi dopo un certo lasso temporale ed essere il pro-dotto ultimo di eventi causalmente concatenati. Se riprendiamol’esempio di un attacco ai mercati finanziari, che a prima vistaabbiamo escluso dalle ipotesi di violazione del divieto di usodella forza, sembra che l’ipotesi non sia invece da scartare in as-soluto. Immaginiamo un attacco massiccio e piuttosto prolun-gato nel tempo che blocchi sostanzialmente qualsiasi transazioneeconomica ed emissione di moneta: gli effetti ultimi di una talesituazione protratta nel tempo potrebbero essere visti, in circo-stanze particolari, come uso della forza.

5. Legittima difesa e attacchi informatici

Tirando le fila del nostro discorso, nel tentativo di inqua-drare gli attacchi informatici alla luce delle regole tradizionali suldivieto di uso della forza sembra si possano individuare, in gene-rale, tre correnti interpretative. La prima, «instrument-based»,prende come riferimento le armi convenzionali. È il mezzo coer-citivo impiegato – economico, politico o militare – a determinarela natura della violazione. La seconda, invece, prende in consi-


derazione l’insieme delle conseguenze di un attacco o di una se-rie di attacchi, siano esse quelle tipiche del confronto bellico o dialtro genere, che possano avere come risultato ultimo la perditadi vite umane o ingenti danni alla proprietà (si è accennato alclassico esempio della messa in tilt del controllo del traffico ae-reo, ma si sono prospettati anche nuovi e diversi scenari)41. Laterza, di ancor più ampia portata, imporrebbe invece di conside-rare violazioni del divieto di uso della forza (e nella maggiorparte dei casi veri e propri attacchi armati) tutti gli attacchi ri-volti contro quelle che possono essere considerate le infrastrut-ture essenziali degli Stati.

Cercheremo ora di esaminare, in modo inevitabilmente suc-cinto, la possibilità che, a fronte di attacchi informatici, lo Statovittima invochi il diritto alla legittima difesa. In particolare, sicercherà di mettere in luce alcuni problemi che sono destinati asorgere qualora si ammetta la possibilità di esercitare il diritto dilegittima difesa in risposta ad attacchi di natura informatica.

Quello che ci interessa in primo luogo notare è che inognuna delle tre diverse impostazioni cui si è accennato è con-templata la possibilità di un attacco armato condotto attraversostrumenti informatici che faccia sorgere in capo allo Stato vittimadell’attacco un diritto alla legittima difesa ex art. 51 della Cartadelle Nazioni Unite.

È noto come l’esercizio del diritto alla legittima difesa siasubordinato all’esistenza di un «armed attack». È noto altresì chesecondo una certa giurisprudenza della Corte internazionale digiustizia non ogni violazione della regola generale sul divieto diuso della forza costituisce un attacco armato. Tale assuntoemerge con chiarezza dalla sentenza sulle Attività militari e para-militari in e contro il Nicaragua, ove la Corte ha accertato la vio-lazione da parte degli Stati Uniti delle norme sul divieto di uso

41 La valutazione delle conseguenze in questo tipo di approccio, in alcune sueinterpretazione, ha uno spettro piuttosto ampio. «It can affect economic, social, mental,and physical well-being, either directly or indirectly, and its potential scope grows almostdaily, being capable of targeting everything from individual persons or objects to entiresocieties». Cfr. SCHMITT, Computer Network Attack and the Use of Force, cit., p. 885.


della forza per l’invio di bande armate, gruppi, truppe irregolario mercenari, ma ha ritenuto che le attività di rifornimento diarmi e di supporto a gruppi ribelli di altri Stati non potessero es-sere inquadrate nella categoria dell’attacco armato42. Tale distin-zione è stata confermata anche nella più recente sentenza relativaall’affare delle Piattaforme petrolifere (Iran c. Stati Uniti)43.

Ci si può dunque chiedere quali forme di violazione del di-vieto di uso della forza fanno sorgere un diritto alla legittima di-fesa in risposta ad attacchi informatici. In dottrina, alcuni esempidi violazioni del divieto dell’uso della forza di gravità tale da po-ter esser definiti come attacchi armati, sono già stati avanzati, inparticolare:

«Fatalities caused by loss of computer-controlled life-sup-port system; an extensive power grid outage (electricity blackout)creating considerable deleterious repercussions; a shutdown ofcomputers controlling waterworks and dams, generating therebyfloods of inhabited areas; deadly crashes deliberately engineered(e.g., through misinformation fed into aircraft computers), etc.The most egregious case is the wanton instigation of a core-melt-down of a reactor in a nuclear plant, leading to release of ra-dioactive materials that can cause countless casualties if theneighbouring areas are densely populated»44.

Un problema sul quale può valere la pena soffermarsi, datala rilevanza che esso è destinato ad assumere in relazione ad at-tacchi di natura informatica, è se il diritto alla legittima difesa siainvocabile a fronte di attacchi provenienti da attori non statali.Sul punto, è noto che, nonostante la trattazione a dir poco con-cisa delle questioni legate alla legittima difesa, il parere sulle

42 Military and Paramilitary Activities in and against Nicaragua (Nicaragua v.United States), I.C.J. Reports, 1986, par. 195. Cfr. in generale, RANDELZHOFER, Article51, in SIMMA, op. cit., p. 790.

43 Oil Platforms Case, I.C.J. Reports, 186-192, parr. 51-64.44 Cfr. DINSTEIN, Computer Network, cit., p. 105. L’A. sottolinea inoltre che la

reale entità di un attacco informatico è data non dalla valutazione della singola intru-sione in un sistema informatico, ma dall’effetto complessivo della totalità delle azionidirette a danneggiarlo, cfr. ibidem, p. 109.


Conseguenze giuridiche derivanti dalla costruzione del muro neiterritori palestinesi occupati sembra confermare in generale la vo-lontà della Corte di non estendere l’interpretazione dell’art. 51,nel caso specifico alla possibilità di rispondere in legittima difesaad attori non statali che non siano sotto la direzione o il con-trollo di un altro Stato. Tale parere è stato oggetto di notevolicritiche da parte della dottrina. Sul punto è stato osservato chein realtà l’atteggiamento eccessivamente restrittivo da parte dellaCorte, che non tiene in debita considerazione l’evoluzione dellaprassi in materia, rischia di aumentare «the pressure to recognizefurther non-written exceptions to Article 2(4)»45. In particolare, siè osservato che non è stata data alcuna rilevanza alle note risolu-zioni del Consiglio di sicurezza 1368(2001) e 1373(2001) e dun-que al «new approach to the concept of self-defence» che sarebbesorto dalle risposte al fenomeno del terrorismo internazionale,peraltro non in contrasto con una lettura testuale dell’art. 5146.

Il problema della liceità di una risposta in legittima difesacontro attori non statali è riemerso nel caso delle Attività armatesul territorio del Congo (Congo c. Uganda). Per quanto qui inte-ressa, la Corte appare voler ribadire la posizione assunta nel casoNicaragua e già oggetto di critiche47. Quando l’azione degli attorinon statali non è imputabile ad uno Stato, il coinvolgimento diquest’ultimo non può farlo ritenere autore di un «attacco ar-mato», ma piuttosto il comportamento di quello potrà rappre-sentare una forma meno grave di violazione del divieto di usodella forza e del principio del non intervento negli affari internidi un altro Stato. Perché uno Stato possa essere ritenuto respon-

45 TAMS, Light Treatment of a Complex Problem: The Law of Self-defence in theWall Case, in EJIL, vol. 16, n. 5, 2006, p. 976.

46 Cfr. Opinione individuale del giudice Kooijmans annessa al parere del 9 luglio2004, par. 35. Hanno assunto una posizione contraria a quella della Corte anche i giu-dici Higgins e Buergenthal. In posizione opposta a quella del giudice Kooijmans, epreferibile almeno sul fatto che si possa essere formata sul punto una consuetudineistantanea, cfr. VERHOEVEN, Les ‘étirements’ de la légitime défense, in AFDI, n. 49,2002, p. 61-62.

47 Vedi supra nota 50.

Ale

Highlight


sabile di un attacco indiretto suscettibile di far sorgere un dirittoalla legittima difesa, questo deve essere di una gravità tale da es-sere qualificato come attacco armato e le azioni delle forze irre-golari devono aver implicato un «substantial involvment» delloStato. Per determinare quando tale coinvolgimento possa dirsisostanziale si ricorre al criterio di imputazione del controllo ef-fettivo. Negata la possibilità che si possa agire in legittima difesacontro uno Stato in caso di aggressione indiretta, tuttavia, comeosservato in dottrina nonché da alcuni giudici, la Corte non co-glie un’importante occasione per esprimere una posizione in me-rito alla possibilità di rispondere in legittima difesa direttamentecontro attori non statali a seguito di imponenti attacchi sferratidagli stessi48.

Tuttavia, come è stato meglio evidenziato in un altro contri-buto al presente lavoro, l’orientamento maggioritario in dottrinasembra ormai propendere per l’ammissibilità della risposta in le-gittima difesa contro attori non statali, pur sempre nel rispettodei principi della necessità e della proporzionalità49. D’altronde,quasi nessuno ha negato, per esempio, il diritto di Israele a ri-spondere in legittima difesa agli attacchi rivolti nel 2006 contro ilsuo territorio da parte di Hezbollah e frange estremiste di Ha-mas. Ciò che veniva a ragione contestato era piuttosto l’assenzadi proporzionalità. D’altra parte, però, pur nella conferma del-l’eventualità che una risposta in legittima difesa avvenga nei con-fronti di attori non-statali, è stato sostenuto che un attento stu-

48 Cfr. CANNIZZARO, La legittima difesa nei confronti di entità non statali nellasentenza della Corte internazionale di giustizia nel caso Congo c. Uganda, RDI, p. 120-122; MANEGGIA, Attori non statali, uso della forza e legittima difesa nella giurisprudenzapiù recente della Corte internazionale di Giustizia, in FOCARELLI (a cura di), Le nuovefrontiere del diritto internazionale, Perugia, 2008. L’A. osserva anche come dal ragio-namento della Corte sembra sfumare la distinzione contenuta nell’art. 3(g) della riso-luzione 3314 tra l’invio delle bande armate, truppe irregolare e mercenari e il «sostan-ziale coinvolgimento» dello Stato. Ibidem, il riferimento alle opinioni individuali deigiudici Kooijmans annessa alla sentenza del 19 dicembre 2005, parr. 26-31, p. 6-7) eSimma (parr. 4-15, p. 2-4).

49 Cfr. MILANO, L’uso della forza nei confronti degli attori non statali, in questovolume.

Ale

Highlight

Ale

Highlight


dio dei fatti avvenuti sul territorio libanese nell’estate del 2006confermerebbe, pur nella complessità delle intricate relazionigiuridiche tra i diversi attori, il paradigma interstatuale dell’eser-cizio di quel diritto. Da un lato, infatti, Hezbollah esercita unaforma di potere di governo su un territorio e dall’altra, il Libanodeve consentire che tale reazione in legittima difesa avvenga suquesto (suo) territorio. Infatti, nonostante l’attacco armato nonfosse ad esso attribuibile, nondimeno può essere individuato undiverso rapporto di responsabilità tra lo Stato territoriale equello vittima dell’attacco, per esempio per non esser stato ingrado di impedire che il proprio territorio venisse usato per taliattacchi50.

Nel caso degli attacchi informatici questa tendenza assumeun’importanza non indifferente. La possibilità di agire in legit-tima difesa nei confronti degli attori non statali individuati comeautori dell’attacco potrà forse in alcuni casi limitarsi ad un’a-zione mirata nei confronti di quelli, in particolare nel caso que-sta sia condotta attraverso le reti informatiche; in linea di princi-pio, tuttavia, e secondo la linea interpretativa da ultimo propo-sta, questa potrà esprimersi in azioni, informatiche o militari, inviolazione dell’integrità territoriale o l’indipendenza politica disoggetti statali cui non possa essere imputato il comportamentoillecito, ma su cui tuttavia pesa una qualche forma di responsa-bilità.

Un’ulteriore e rilevante questione attiene alla c.d. legittimadifesa preventiva. La sua importanza e complessità nel nostrocampo d’indagine è data da un lato, dalla difficoltà di indivi-duare il terminale e l’autore dell’attacco informatico e quindi dalpericolo di colpire, in maniera preventiva, attori del tutto estra-nei all’operazione, dall’altro, dalla difficoltà di determinare inquale momento un attacco informatico possa essere consideratoimminente. Nel caso di attacchi convenzionali, l’imminenza di

50 Cfr. CANNIZZARO, Entités non-étatiques et régime international de l’emploi de laforce: une étude sur le cas de la réaction israélienne au Liban, in RGDP, 2007, vol. 111,n. 2, p. 333-354

Ale

Highlight


un attacco può risultare evidente da alcuni segnali tangibili: lospostamento di truppe o dichiarazioni aggressive da parte delleautorità governative nemiche. Nel caso degli attacchi informatici,le prime manifestazioni di questi potrebbero non rivelarne le po-tenzialità, e quindi non essere considerate, in una prima analisi,come rivelatori di un imminente attacco.

Sulla questione del momento in cui può dirsi sorto un di-ritto all’uso della forza in legittima difesa gli approcci oscillanotra diverse interpretazioni più o meno estensive del concetto.Possiamo infatti individuare una prima lettura dell’art. 51, se-condo cui dal contenuto della norma non si può dedurre la pos-sibilità di una risposta in legittima difesa prima che si sia concre-tizzato il presupposto stesso per poter agire: l’attacco armato.Questa impostazione ammette, tuttavia, una forma di legittimadifesa cosiddetta «interceptive» che permetterebbe una rispostanel momento in cui l’aggressore «embarks upon an irreversibilecourse of action, thereby crossing the Rubicon»51. Una seconda in-terpretazione del diritto alla legittima difesa viene comunementedefinita anticipatoria («anticipatory») e si intende con questaun’azione militare contro un attacco a tal punto imminente danon lasciare, per usare espressioni assai note, alcuna possibile«choice of means and no moment for deliberation»52. Infine, la«pre-emptive self-defence» si fonda sull’idea che l’art. 51 nonvada ad intaccare il diritto consuetudinario esistente prima dellastesura della Carta53. In quest’ultima impostazione, il potenzialeattacco si trova ad uno stato per così dire iniziale o solo ipote-tico, ma potrebbe, ad avviso dello Stato che se ne ritiene even-

51 DINSTEIN, War, Aggression, cit., p. 172.52 Si tratta del celebre caso Caroline (1842) e le parole sono quelle del Segreta-

rio di Stato americano Daniel Webster in una lettera a Henry S. Fox, plenipotenziariobritannico, riprodotta in British and Foreign State Papers 19, 1957, p. 1129 e ss. Inun’interessante critica dell’intervento in Iraq, si è cercato di spiegare il significato diqueste espressioni ritenendo in buona sostanza necessario un elevato grado di certezzariguardo alla effettiva «capacity and intent» del nemico di sferrare l’attacco, cfr. ZEDA-LIS, Circumstances Justifying Pre-emptive Self-Defence: Thoughts Prompted by the Mili-tary Action Against Iraq, in NJIL, n. 274, 2005, p. 209-230.

53 BOWETT, Self-defence in International Law, 1958, p. 191-192.

Ale

Highlight

Ale

Highlight

Ale

Highlight


tuale vittima, portare a una minaccia o un vero e proprio attacco,in mancanza di un intervento preventivo. La tesi è stata notoria-mente sostenuta a più riprese dal governo statunitense54, ma nonsembra trovare una conferma nella prassi del Consiglio di sicu-rezza55 o nella opionio juris della maggior parte degli Stati. In ge-nerale, è stato da più parti osservato in dottrina che una legittimadifesa preventiva così intesa condurrebbe ad una situazione nellaquale «a purely subjective determination of the state asserting self-defence would be sufficient to justify the use of force»56.

L’applicazione di un diritto alla legittima difesa così intesa sirivelerebbe ancor più discrezionale nel terreno degli attacchiinformatici. La pericolosità deriverebbe sostanzialmente da dueaspetti, legati entrambi ad una valutazione della natura e dellaportata dell’attacco: in primo luogo, l’attacco informatico, persua natura segreto e spesso non conoscibile ad altri che alla vit-tima, lascerebbe a quest’ultima un’ancor più ampia discreziona-lità nel determinare la soglia di pericolosità della minaccia, senza

54 In generale, si veda la National Security Strategy of the United States, cfr.www.whitehouse.gov/nsc/nss.html

55 WOLFRUM, The Attack of September 11, 2001, the Wars Against the Taliban andIraq: Is There a Need to Reconsider International Law on the Recourse of Force and theRules in Armed Conflict?, in Max Planck UNYB, vol. 7, 2003., p. 32.

56 Ibidem, p. 34. Vedi anche CANNIZZARO, La dottrina della legittima difesa pre-ventiva e la disciplina internazionale sull’uso della forza, in RDI, 2003, vol. 86, p. 171 ess., l’A., in particolare, sottolinea come nella prospettiva emersa nella dottrina strate-gica americana la legittima difesa preventiva sia strettamente legata all’idea per cui l’a-zione unilaterale non è concepita come strumento «provvisorio e eccezionale», mapiuttosto «parallelo e alternativo rispetto ai rimedi di ordine istituzionale», vanificandocosì nella sostanza il funzionamento di quest’ultimo. In senso opposto sono note le po-sizioni, ivi citate, di FALK, The Beirut Raid and the International Law of Retaliation, inAJIL, vol. 63, 1984, p. 642 e ss. Per una critica (a ridosso dell’11 settembre) della con-cezione americana della legittima difesa preventiva, anche per quanto concerne il fattoche questa fosse diretta nei confronti di uno Stato cui non poteva essere imputato ilcomportamento illecito, cfr. CONDORELLI, Les attentats du 11 septembre et leurs suites:où va le droit international, cit., p. 829-848. Anche altri in dottrina hanno sottolineatol’ampiezza nella legittima difesa preventiva della «self-assigned interpretative latitude»e la sua natura «extrapolative and speculative», cfr. REISMAN, ARMSTRONG, The Past andFuture of the Claim of Pre-emptive Self-Defense, in AJIL Centennial Essays, 2006, p.190.

Ale

Highlight

Ale

Highlight

Ale

Highlight

Ale

Highlight


possibilità alcuna di valutazioni esterne; in secondo luogo, taleautodeterminazione del grado di pericolosità della minaccia sa-rebbe ancor più estesa e ipoteticamente giustificabile attraversol’argomento degli «effetti indiretti» che come detto, sono unaspetto piuttosto rilevante negli attacchi informatici e creano in-dubbiamente un problema in termini di valutazione dell’inten-sità di un attacco.

I problemi relativi alla risposta in legittima difesa contro at-tori non-statali e alla possibile attuazione preventiva della stessasono intimamente legati e a loro volta pongono drammatica-mente l’accento sull’importanza fondamentale che riveste il pro-blema dell’attribuzione in materia di uso della forza. Riguardo atale questione si cercherà, anche se in modo lontano dall’essereesaustivo, di tracciare un possibile quadro normativo nel para-grafo che segue.

6. Il problema dell’attribuzione del fatto illecito

Una volta determinato il tipo di norma internazionale che ri-sulta violata da un attacco informatico, si tratta poi di indivi-duare quando un tale attacco possa determinare il sorgere dellaresponsabilità di uno Stato. Si pone insomma il problema del-l’attribuzione del fatto illecito. Date le peculiari modalità in cuisi estrinsecano le guerre informatiche, si rivela spesso estrema-mente difficile, se non impossibile, risalire all’esecutore materialedell’attacco e anche ad una sua certa collocazione geografica. Seè tecnicamente possibile risalire al terminale dal quale l’attacco èstato sferrato, questo però non comporta automaticamente l’i-dentificazione del soggetto autore, che potrebbe essere proprie-tario della macchina ma del tutto estraneo all’operazione offen-siva57. Inoltre, anche nel caso in cui si riesca a risalire al soggetto

57 Cfr. per qualche soluzione tecnica sul problema dell’attribuzione WHEELER,LARSEN, Techniques for Cyber Attack Attribution, Institute for Defense Analyses, otto-bre 2003. Le garanzie di identificazione che tali tecniche fornirebbero sono a fonda-mento di alcune tesi volte a sostenere una possibile legittima difesa anticipatoria, cfr.sul punto SKLEROV, Solving the Dilemma, cit. Soluzioni tecniche e tesi giuridiche, tut-


che ha posto in essere l’attacco, rimane problematico individuarel’entità governativa che eventualmente lo ha commissionato o co-munque il tipo di legame esistente tra questa e l’individuo. In-fine, e vista la possibile stretta connessione tra attacchi informa-tici e terrorismo, è già stato da molto tempo osservato quanto siadifficile l’attribuzione ad uno Stato di atti terroristici58.

In materia sono probabilmente necessari dei criteri presun-tivi. Questi potrebbero essere in parte dedotti da alcuni docu-menti del governo americano, come ad esempio, «the state of re-lationship between the two countries, the prior involvement of thesuspect state in computer network attacks» oppure «the nature ofthe system attacked, the nature and sophistication of the methodand equipment used»59. Mentre una scelta dei primi due criterinon sembra sostenibile, gli ulteriori elementi presuntivi maggior-mente legati al tipo di attacco sferrato sono forse preferibili, matuttavia non decisivi. In generale, è già stato correttamente osser-vato come questi criteri proposti dal Dipartimento della Difesaamericano per provare l’esistenza di un legame e potere così at-tribuire un certo attacco ad uno Stato risultino piuttosto vaghi60.

Le enormi difficoltà in tema di attribuzione hanno portatoalcuni ad affermare la totale impossibilità di risalire agli autoridegli attacchi. Si propone di conseguenza un cambio di para-digma rispetto alle tradizionali regole in materia di attribuzione.Si sostiene che al centro della regolamentazione dovrebbe tro-varsi la vittima, nei confronti della quale gli altri attori hanno undovere di assistenza61. Tale tesi finisce in sostanza per aggirare ilproblema dell’attribuzione, ritenendo uno Stato responsabileladdove non abbia prestato assistenza al fine di far cessare l’at-

tavia, sono state criticate e ritenute non decisive da GAYCKEN, The Necessity of (Some)Certainty - A Critical Remark Concerning Matthew Sklerov’s Concept of «Active De-fense», in JMSS, vol. 12, n. 2, 2010, p. 4.

58 CONDORELLI, The Imputability to States of acts of International Terrorism, inIYHR, vol. 19, 1989, p. 233-245. Vedi anche CASSESE, Terrorism is Also DisruptingSome Crucial Legal Categories of International Law, in EJIL, vol. 12, n. 5, 2001, p. 997.

59 Department of Defense, An assessment, cit., p. 21-22.60 ROSCINI, op. cit., p. 97.61 HOLLIS, An e-SOS for Cyberspace, in Harv. Int’l L.J., vol. 52, n. 2, 2011.

Ale

Highlight

Ale

Highlight


tacco ed eventualmente di perseguirne gli autori. Tuttavia, da unlato, risalire all’autore dell’attacco, seppur complesso, non ap-pare come detto impossibile: in alcuni casi potrebbero essere gliStati stessi a dichiararne la paternità, in altri i mezzi tecnici po-trebbero permettere di risalire non solo al mezzo ma anche al-l’individuo da cui l’attacco è partito. Dall’altro, porre al centro laquestione della portata degli obblighi primari, tra i quali rientre-rebbe questo «dovere di assistenza», non esclude la parallela ap-plicabilità delle regole secondarie in materia di attribuzione.

In principio, si applicano al problema dell’attribuzione leregole internazionali codificate nel progetto di articoli sulla re-sponsabilità degli Stati. Nulla quaestio, quindi, se l’attacco pro-viene da veri e propri soldati informatici: in quanto organi dejure dello Stato, l’attacco viene attribuito allo Stato. Si è già vistocome molti paesi si stiano dotando di apparati governativi o mi-litari informatici; si pensi al Cyber Command statunitense, che èstato richiamato in precedenza.

Maggiori incertezze sorgono, invece, nello stabilire le ipotesiin cui gli attori potrebbero essere qualificati come organi de facto.Ciò non solo per la nota contrapposizione tra il c.d. «effectivecontrol test»62 e l’«overall control test»63 ma più in generale perchénella prassi internazionale i criteri utilizzati per l’attribuzionesembrano aver valorizzato elementi di volta in volta diversi64.

Al riguardo, ci si può chiedere se, proprio per le difficoltànell’identificazione dei soggetti autori degli attacchi cibernetici,non sia preferibile utilizzare regole di attribuzione meno restrit-tive (overall control)65 o che siano fondate principalmente su cri-

62 Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. Uni-ted States), I.C.J. Reports, 1986.

63 Prosecutor v. Tadic, Appeals Chamber, Judgment, 15 July 1999.64 PALCHETTI, L’organo di fatto dello Stato nell’illecito internazionale, Milano,

2007, p. 147.65 SHACKELFORD, From Nuclear War to Net War: Analogizing Cyber Attacks in

International Law, in BJIL, vol. 27, n. 1, 2009. Cfr. anche SHACKELFORD, ANDRES, StateResponsibility For Cyber Attacks: Competing Standards For A Growing Problem, inGeoJIL, vol. 4, 2011.


teri presuntivi. A questa tesi si è però opposta una diversa con-cezione che muove dalla considerazione per cui la natura stessadel mezzo informatico, attraverso il quale si può volutamente farricadere l’attribuzione della condotta illecita a soggetti terzi e deltutto estranei, induce a pretendere un parametro maggiormentestringente (effective control) che riduca il più possibile il marginedi errore, in particolare per le azioni più gravi dalle quali possaessere ad esempio invocato un diritto alla legittima difesa66. Tut-tavia, nel caso delle guerre informatiche più che altrove sembradifficile individuare precisi criteri normativi per l’attribuzione etrascurare «il ruolo svolto dall’effettività in materia»67. In altreparole, ci sembra che, al fine di stabilire l’esistenza di un legamedi fatto tra l’individuo autore dell’attacco e lo Stato, sia impor-tante tenere conto di tutti gli elementi che possono suffragare l’e-sistenza di un tale rapporto: se l’individuo ha già avuto rapporticon lo Stato, se l’attacco è partito dal territorio dello Stato o ad-dirittura da computer presenti in strutture pubbliche, se lo Statosapeva del rischio di attacchi (per esempio perché avvertito) enon ha fatto niente per opporsi.

Si tratta poi di valutare in quali casi l’avallo dello Stato (oanche solo la mancata repressione) rispetto ad un attacco infor-matico che ha origine sul proprio territorio possa giustificarel’attribuzione allo Stato di tali attacchi. Diversi siti russi, adesempio, fornivano liste di siti governativi georgiani particolar-mente vulnerabili e istruzioni su come potevano essere attaccati.In questo caso, si può ipotizzare l’applicazione del criterio indi-cato dalla Corte internazionale di giustizia nel caso dell’occupa-zione dell’ambasciata americana a Tehran e successivamente co-dificato nell’art. 11 degli Articoli della Commissione di diritto in-ternazionale sulla responsabilità degli Stati. L’avallo della Russia,o meglio l’implicito incitamento a compiere quegli atti, sembraimporre di considerare attribuibile l’illecito allo Stato per averfatto proprio quel comportamento.

66 ROSCINI, op. cit., p. 101.67 PALCHETTI, op. cit., p. 258.


È bene precisare che, anche qualora lo Stato non parteci-passe attivamente alla condotta criminosa dei propri cittadini,ma tuttavia omettesse di intervenire per evitarli, commetterebbecomunque una violazione. L’obbligo di non permettere di usareil proprio territorio per la violazione di diritti di altri Stati, de-riva, a livello consuetudinario, da un principio più volte enun-ciato dalla Corte internazionale di giustizia68. A livello pattizio,con riguardo agli attacchi cibernetici, tale principio emerge dauna serie di obblighi contenuti nella European Convention onCybercrime. Infine esso è stato ripreso da diverse risoluzioni del-l’Assemblea generale delle Nazioni Unite che invitano inoltre gliStati a criminalizzare tali attacchi (come già prevede la Conven-zione) e a cooperare nella fase investigativa e di persecuzione neiconfronti degli autori dei crimini69.

7. Riflessioni conclusive e l’opportunità di un trattato in materia

In questa breve analisi si è cercato di mettere in luce la com-plessità di questa materia e le difficili questioni che le guerreinformatiche pongono per il diritto internazionale. L’applica-zione delle regole tradizionali è stata, come visto, da più partimessa in discussione o quanto meno criticata. A noi sembra, tut-tavia, che queste non potranno che mantenere la propria impor-tanza fondamentale in tema di uso della forza. Nondimeno, inquesto specifico ambito, mentre in astratto le diverse situazionipossono essere immaginate e in seguito classificate come viola-zioni dell’uso della forza o del principio di non intervento, inconcreto, ai fini della determinazione circa la norma primariaviolata sarà inevitabile un approccio casistico che cerchi di volta

68 S. S. Lotus, Francia c. Turchia, PCIJ (ser. A) n. 10, p. 88, J. Moore, opinionedissidente; Corfù Channel (Regno Unito c. Albania), I.C.J. Reports, 1949, 22. «It is along-established principle of international law that a state is bound to use due diligenceto prevent the commission within its dominions of criminal acts against another nationor its people».

69 UNGA, Res. 45/121, par. 3, A/RES/45/121, 14 dicembre 1990. Per l’invito acooperare invece: A/RES/55/63, par.1, 22 gennaio 2001.


in volta di valutare gli effetti complessivi di un attacco. Ancheper quanto concerne l’attribuzione del fatto illecito, non si ve-dono motivi per negare l’applicabilità rispetto al problema inesame delle norme cui generalmente ci si riferisce in materia edalla prassi internazionale rilevante. Sul delicato tema della legit-tima difesa, invece, il primo difficile compito è quello di deter-minare i confini di un istituto da sempre oggetto di dibattiti ac-cesi e opinioni contrastanti.

Più in generale, è stata da più parti prospettata come solu-zione preferibile nella regolamentazione degli attacchi informa-tici la conclusione di un trattato in materia70. Una proposta in talsenso è stata fatta dalla Russia. A partire dal 1998, infatti, la Fe-derazione russa ha proposto una serie di regole internazionaliche proibiscano alcune armi informatiche. Tali insistenze ave-vano trovato un’opposizione degli Stati Uniti che insistevanomaggiormente sulla adozione di misure di repressione dei cri-mini commessi sulla rete e di forme di cooperazione tra gli Statiper perseguirne gli autori71.

Nella recente dottrina strategia americana per lo spazio ci-bernetico si afferma la volontà di costruire «an environment inwhich norms of responsible behavior guide states’ actions, sustainpartnerships, and support the rule of law in cyberspace»72. Tutta-via, «the development of norms for state conduct in cyberspace

70 Cfr. HOLLIS, Why States, cit., p. 1023; B. SILVER, op. cit., p. 94. Diversi gliapprocci in dottrina, alcuni hanno evidenziato piuttosto l’opportunità di trovare im-portanti analogie con diversi regimi convenzionali che potevano tuttavia trovare appli-cazione in materia di attacchi informatici, cfr. SHACKELFORD, op. cit.; altri hanno evi-denziato vantaggi e limiti dell’adozione di un trattato in materia, cfr. BARKHAM, op. cit.,p. 96 e ss. e JOHNSON, Is it Time for a Treaty on Information Warfare?, in SCHMITT,O’DONNELL, op. cit., 2001, Altri ancora, in modo originale, hanno auspicato l’inseri-mento degli attacchi informatici nella definizione di aggressione ed individuato nellaCorte penale internazionale, il luogo più adatto per perseguire gli autori di tali azioni,cfr. OPHARDT, Cyber Warfare and the Crime of Aggression: the Need for IndividualAccountability on Tomorrow’s Battlefield, in Duke L. & Tech. Review, n. 3, 2010.

71 Department of Defense, An assessment.72 White House, International Strategy for Cyberspace: Prosperity, Security, and

Openness in a Networked World, maggio 2011, p. 8.

Ale

Highlight


does not require a reinvention of customary international law, nordoes it render existing international norms obsolete»73.

In altre parole si invitano i propri alleati e gli Stati interessatia cooperare «to consolidate regional and international consensuson key cyberspace activities, including norms»74 e allo stessotempo si riafferma, oltre ad un «inherent right to self-defense»che tutti gli Stati possiedono, «the right to use all necessary means– diplomatic, informational, military, and economic – as appro-priate and consistent with applicable international law, in order todefend our Nation, our allies, our partners, and our interests»75.Insomma i riferimenti giuridici fondamentali sembrano rimanerequelli classici.

Nonostante il nuovo impulso dell’amministrazione ameri-cana verso una disciplina della materia, ancora oggi sembra im-probabile, almeno a breve termine, l’adozione di un trattato. Almomento, appare forse più conveniente per gli Stati avere unquadro più chiaro delle possibili condotte che costituiscono unaminaccia alla propria sicurezza, che solo la prassi e una maggioresperienza possono aiutare ad evidenziare.

Abstract

THE USE OF FORCE, SELF-DEFENCE AND THE PROBLEMS

OF ATTRIBUTION CONCERNING CYBER-ATTACKS

The present contribution deals with one of the most topical issues re-garding the use of force: i.e. computer network attacks and their implicationsin the light of the Charter of the United Nations. After analysing the most re-cent practice in the field, the study moves to the investigation of the positiontaken on the issue in hand by the main actors on the international scene. Tothat end, a special attention has been given to the international instrumentsadopted by States and international organizations on cyber-attacks. The arti-cle addresses the question whether a cyber-attack may be considered as abreach of the rule prohibiting the use of force and, if so, when it may amount

73 Ibidem, p. 9.74 Ibidem, p. 1875 Ibidem, p. 14.


to an armed attack giving rise to the right of self-defence. In that context italso examines the complex issue of the attribution of a cyber-attack to a State.By way of conclusion, the article presents a number policy consideration onthe political appropriateness and feasibility of the negotiation and adoption ofan international treaty on the subject in the years to come.

Uso della forza, legittima difesa e problemi di attribuzione in situazioni di attacco informatico

Documents

Transcript of Uso della forza, legittima difesa e problemi di attribuzione in situazioni di attacco informatico