CENTRO ALTI STUDI

PER LA DIFESA

CENTRO MILITARE

DI STUDI STRATEGICI

Barbara Scolart

Il diritto all’autodifesa nel dominio cyber

(Codice AO-SMD-01)

Il Centro Militare di Studi Strategici (Ce.Mi.S.S.), costituito nel 1987 e situato presso Palazzo

Salviati a Roma, è diretto da un Generale di Divisione (Direttore), o Ufficiale di grado

equivalente, ed è strutturato su due Dipartimenti (Monitoraggio Strategico - Ricerche) ed un

Ufficio Relazioni Esterne. Le attività sono regolate dal Decreto del Ministro della Difesa del

21 dicembre 2012.

Il Ce.Mi.S.S. svolge attività di studio e ricerca a carattere strategico-politico-militare, per le

esigenze del Ministero della Difesa, contribuendo allo sviluppo della cultura e della

conoscenza, a favore della collettività nazionale.

Le attività condotte dal Ce.Mi.S.S. sono dirette allo studio di fenomeni di natura politica,

economica, sociale, culturale, militare e dell'effetto dell'introduzione di nuove tecnologie,

ovvero dei fenomeni che determinano apprezzabili cambiamenti dello scenario di sicurezza.

Il livello di analisi è prioritariamente quello strategico.

Per lo svolgimento delle attività di studio e ricerca, il Ce.Mi.S.S. impegna:

a) di personale militare e civile del Ministero della Difesa, in possesso di idonea esperienza

e qualifica professionale, all'uopo assegnato al Centro, anche mediante distacchi

temporanei, sulla base di quanto disposto annualmente dal Capo di Stato Maggiore dalla

Difesa, d'intesa con il Segretario Generale della difesa/Direttore Nazionale degli

Armamenti per l'impiego del personale civile;

b) collaboratori non appartenenti all'amministrazione pubblica, (selezionati in conformità alle

vigenti disposizioni fra gli esperti di comprovata specializzazione).

Per lo sviluppo della cultura e della conoscenza di temi di interesse della Difesa, il

Ce.Mi.S.S. instaura collaborazioni con le Università, gli istituti o Centri di Ricerca, italiani o

esteri e rende pubblici gli studi di maggiore interesse.

Il Ministro della Difesa, sentiti il Capo di Stato Maggiore dalla Difesa, d'intesa con il

Segretario Generale della difesa/Direttore Nazionale degli Armamenti, per gli argomenti di

rispettivo interesse, emana le direttive in merito alle attività di ricerca strategica, stabilendo

le lenee guida per l'attività di analisi e di collaborazione con le istituzioni omologhe e

definendo i temi di studio da assegnare al Ce.Mi.S.S..

I ricercatori sono lasciati completamente liberi di esprimere il proprio pensiero sugli

argomenti trattati, il contenuto degli studi pubblicati riflette esclusivamente il pensiero dei

singoli autori, e non quello del Ministero della Difesa né delle eventuali Istituzioni militari e/o

civili alle quali i Ricercatori stessi appartengono.

(Codice AO-SMD-01)

CENTRO ALTI STUDI

PER LA DIFESA

CENTRO MILITARE

DI STUDI STRATEGICI

Barbara Scolart

Il diritto all’autodifesa nel dominio cyber

Il diritto all’autodifesa nel dominio cyber

NOTA DI SALVAGUARDIA

Quanto contenuto in questo volume riflette esclusivamente il pensiero dell’autore, e non

quello del Ministero della Difesa né delle eventuali Istituzioni militari e/o civili alle quali

l’autore stesso appartiene.

NOTE

Le analisi sono sviluppate utilizzando informazioni disponibili su fonti aperte.

Questo volume è stato curato dal Centro Militare di Studi Strategici

Direttore

Gen. D.A. Stefano Vito Salamida

Vice Direttore - Capo Dipartimento Ricerche Col. c.(li.) s.SM Andrea Carrino

Progetto grafico

Massimo Bilotta - Roberto Bagnato

Autore

Barbara Scolart

Stampato dalla tipografia del Centro Alti Studi per la Difesa

Centro Militare di Studi Strategici

Dipartimento Ricerche

Palazzo Salviati

Piazza della Rovere, 83 - 00165 – Roma

tel. 06 4691 3205 - fax 06 6879779

e-mail caporicerche.cemiss@casd.difesa.it

chiusa a Gennaio 2020

ISBN 978-88-31203-38-8

5

INDICE

SOMMARIO 6

ABSTRACT 8

CAPITOLO 1 10

TASSONOMIA DELL’AMBIENTE CIBERNETICO 10

1. Il dominio cyber come (quinto) dominio delle operazioni 10

2. Gli attacchi cibernetici. Una tassonomia 14

CAPITOLO 2 29

LE OPERAZIONI CIBERNETICHE NEL DIRITTO INTERNAZIONALE 29

1. L’uso della forza nell’ordinamento internazionale 33

1.1. Le conseguenze della violazione del divieto ex art. 2, § 4, della Carta delle

Nazioni Unite 37

1.2. L’uso della forza e le operazioni cibernetiche 40

2. La legittima difesa nell’ordinamento internazionale 47

3. Il regime della responsabilità internazionale e le operazioni cibernetiche. Il

problema dell’attribution. 57

CAPITOLO 3 64

LA DIFESA CIBERNETICA IN ITALIA 64

1. Le previsioni costituzionali e sub-costituzionali in materia di guerra e difesa 64

1.1. L’articolo 11 64

1.2 La difesa nazionale (profili ex art. 52 Cost.) 72

2. Evoluzione della normativa nazionale in materia di sicurezza cibernetica. Dal

DPCM del 24 gennaio del 2013 al D.L. 105 del 21 settembre 2019 76

2.1. Il DPCM del 24 gennaio del 2013 76

2.2. Il DPCM del 17 febbraio 2017 81

2.3. Il D.L. 21 settembre 2019, n. 105 (perimetro di sicurezza cibernetica) 84

3. Il ruolo delle forze armate nella difesa cibernetica: stato attuale e prospettive. 85

3.1 Le forze armate nell’architettura nazionale cyber 85

3.2 Prospettive circa le attribuzioni delle forze armate in materia di difesa

cibernetica 90

CONCLUSIONI 98

BIGLIOGRAFIA 100

NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE 115

6

SOMMARIO

VON CLAUSEWITZ, indagando filosoficamente l’origine della guerra, scriveva: «la difesa

non esiste che contro l’attacco, e cioè presupponendolo necessariamente»1. Una ricerca

sull’autodifesa nel dominio cyber impone allora, necessariamente, di chiedersi quando si sia

in presenza di un attacco cyber, cosa sia il dominio cyber e come ci si possa difendere da

un attacco cyber.

La prospettiva qui adottata è quella del diritto internazionale, in particolare dello jus ad

(rectius, contra) bellum, e del diritto costituzionale italiano. Attraverso i paradigmi offerti dal

primo, si affronta la questione della configurabilità degli attacchi cibernetici come attacchi

armati e il connesso tema della responsabilità internazionale e della legittima difesa, mentre

con gli strumenti offerti dal secondo si analizza il novero di opzioni disponibili per le forze

armate ai fini di una efficace azione difensiva di natura non cinetica.

Il primo capitolo affronta questioni terminologiche e concettuali, partendo dalla

qualificazione dell’ambiente cibernetico come “dominio” in senso tecnico-militare,

proseguendo con la ricognizione delle diverse tipologie di operazioni cibernetiche, che il

linguaggio corrente accomuna, con eccessiva semplificazione, sotto il termine “attacco” e

concludendo con un cenno alla tesi dell’esistenza di “armi cibernetiche”, che a sua volta

concorre a parametrare le circostanze in cui si può ritenere raggiunta la soglia dell’uso della

forza o dell’attacco armato.

Il secondo capitolo ricostruisce gli istituti che nel diritto internazionale regolamentano

l’uso della forza e le sue conseguenze, il diritto di legittima difesa e il tema dell’attribuzione

e indaga, con il contributo della dottrina e delle pronunce delle giurisdizioni internazionali, il

modo in cui tale apparato normativo può attagliarsi alla specificità delle operazioni

cibernetiche. La questione è resa complessa dal fatto che la scala e la tipologia di danni che

è possibile provocare attraverso strumenti informatici sono piuttosto ampi e che la difficoltà

principale sembra consistere non tanto nel sapere cosa fare quando la soglia è talmente

alta da giustificare, in ipotesi, persino una reazione cinetica, ma cosa fare in tutti quei casi

in cui si può parlare di una violazione della sovranità o di un uso della forza ma non ancora

di un attacco armato.

Questa mancanza di chiarezza si riverbera sul novero delle opzioni disponibili per lo

Stato che ne è vittima e la questione è particolarmente delicata in un Paese come l’Italia, la

1 Clausewitz K. von, Della guerra, trad. it, Milano, 1970, Vol. II, Lib. VI, VII, p. 473.

7

cui Costituzione parametra in termini piuttosto severi il ricorso alla violenza di tipo bellico e

la missione delle forze armate.

Il terzo capitolo investiga dunque l’ordinamento italiano muovendo da una ricognizione

delle previsioni costituzionali e sub-costituzionali in materia di guerra e difesa,

indispensabile per comprendere il ruolo e i compiti delle forze armate italiane. Prosegue poi

tratteggiando l’attuale assetto della difesa e sicurezza cibernetica, nel quale alle forze

armate è attribuito un ruolo certamente residuale anche in considerazione del fatto che il

Codice dell’ordinamento militare, nel delineare i loro compiti, non prevede esplicitamente la

protezione dello spazio cibernetico. A ciò si aggiunge che l’ordinamento penale italiano

vincola in certo senso la difesa delle reti da parte delle forze armate alla sola difesa passiva,

ricorrendo, nel caso di operazioni più incisive, i divieti ex art. 615-ter, 615-quater, 615-

quinquies, 635-bis e 635-quater del codice penale, che incriminano diverse fattispecie di

introduzione abusiva nei e danneggiamento dei sistemi informatici.

A questo riguardo, muovendo dalle raccomandazioni formulate dalla IV Commissione

Difesa della Camera dei Deputati ad esito dell’indagine conoscitiva sulla sicurezza e la

difesa nello spazio cibernetico, condotta tra il 2016 e il 2017, e preso atto dei tentativi di

sistematizzazione delle competenze e delle capacità delle forze armate in materia di difesa

cibernetica effettuati nel corso della XVII legislatura, si propone un intervento legislativo sul

Codice dell’ordinamento militare che consenta alle forze armate di adottare contromisure

cibernetiche nei confronti degli autori di attacchi informatici. Questa capacità deve essere

assistita da opportune garanzie funzionali che la ricerca ipotizza, anche sulla scorta di

un’esperienza comparatistica (il caso francese), limitata alle sole fattispecie di reato

concretamente e direttamente connesse con le operazioni cibernetiche.

8

ABSTRACT

VON CLAUSEWITZ, philosophically reflecting upon the commencement of war, wrote:

"the warding off is directed entirely against the attack; therefore, supposes it, necessarily"

(*). A research on self-defense in the cyber domain requires then, necessarily, to investigate

when we are confronted with a cyber-attack, what the cyber domain is and how we can

defend ourselves from a cyber-attack.

The perspective here adopted is that of international law, in particular jus ad (rectius,

contra) bellum, and Italian constitutional law. Through the paradigms offered by the former,

the question of the qualification of cyber-attacks as armed attacks and the related issues of

international responsibility and self-defence are addressed, while the range of options

available to the armed forces for an effective defensive action of non-kinetic nature is

assessed under the provisions of the latter.

The first chapter deals with terminological and conceptual issues, starting from the

qualification of the cyber environment as a "domain" in a technical-military sense, continuing

with the identification of the different types of cyber operations, which the common language

groups, with an over-simplification, under the term "attacks", and concluding mentioning the

thesis of the existence of "cyber weapons", which in turn would help defining the

circumstances in which the threshold of the use of force or armed attack can be considered

reached.

The second chapter deals with the international law provisions on the use of force and

its consequences, on the right of self-defense and on the issue of attribution and

investigates, referring also to scholar essays and rulings of international jurisdictions, how

these provisions suit to the specificity of cyber operations. The issue is made complex by

the fact that the scale and type of damages caused by cyber tools are quite large and the

main difficulty seems to consist not so much in knowing what to do when the threshold is

high enough as to even justify a kinetic reaction, but what to do in all those cases where

there might be a violation of sovereignty or a use of force but not yet an armed attack.

This lack of clarity affects the range of options available to the victim State. The issue is

particularly sensitive in a country like Italy, whose Constitution sets out in rather strict terms

the recourse to war and the mission of the armed forces.

_________________

(*) This version of Carl von Clausewitz's “On War” is the J.J. Graham translation of Clausewitz's Vom Kriege

published in London in 1873 and available on http://www.clausewitz.com/readings/OnWar1873/BK6ch07.html

9

The third chapter therefore investigates the Italian legal system starting from a

presentation of constitutional and sub-constitutional provisions on war and defence, which

is essential to understand the role and tasks of the Italian armed forces. It then continues

outlining the current structure of cyber defence and security, where the armed forces are

given a residual role, also because the Legislative Decree 66/2010 (Codice dell’ordinamento

militare), in outlining their tasks, does not explicitly envisage the protection of cyberspace.

Not to mention that the Italian criminal system somehow limits the networks defence

activities of the armed forces to the only passive defence, since more incisive operations

would infringe the prohibitions under articles 615-ter, 615-quater, 615-quinquies, 635-bis

and 635-quater of the Criminal Code, which incriminate various cases of abusive

introduction into and damage to the computer systems.

In this regard, taking into considerations the recommendations made by the Fourth

Defence Commission of the Chamber of Deputies in its survey on security and defence in

cyberspace, carried out between 2016 and 2017, and taking also note of the attempts to

systematise competences and capabilities of the armed forces in the field of cyber defence

made during the XVII legislature, this paper proposes a legislative intervention on the Military

Code to enable the armed forces to undertake cyber countermeasures against the authors

of cyber-attacks. Appropriate functional guarantees should accompany this capacity: this

paper suggests, also on the basis of comparative experience (the French case), that these

guarantees should be limited only to the types of offences concretely and directly connected

with cyber operations.

10

CAPITOLO 1

TASSONOMIA DELL’AMBIENTE CIBERNETICO

Sommario: 1. Il dominio cyber come (quinto) dominio delle operazioni; 2. Gli attacchi cibernetici. Una

tassonomia

1. Il dominio cyber come (quinto) dominio delle operazioni

Dall’inizio del XX secolo il fenomeno bellico ha visto ampliarsi significativamente il

proprio orizzonte di estrinsecazione, dapprima con l’accesso alla terza dimensione, l’aria,

poi con l’avvio dell’esplorazione spaziale e l’aggiunta dello spazio come quarta dimensione

della guerra2. Le forze armate usano infatti i satelliti per le loro operazioni terrestri,

utilizzandoli per la guida di munizioni, il lancio di missili e il tracciamento delle forze.

Ogni allargamento dell’ambito della conflittualità ha imposto l’elaborazione di una

dottrina, di una strategia e di tattiche adeguate alle caratteristiche fisiche di quell’ambiente

nonché un adattamento delle dottrine, strategie e tattiche esistenti per applicarle alle

combinazioni e permutazioni dei domini operativi.

Peraltro, si deve osservare che non è incontroversa la stessa scelta di utilizzare il

termine “dominio”, per il quale non è dato riscontrare definizioni uniformi e tra loro coerenti

nelle dottrine militari dei Paesi membri dell’Alleanza atlantica e della NATO medesima.

Non è questa la sede per approfondire analiticamente e comparativamente la questione3 e

2 Una precisazione è doverosa. Nonostante sia invalsa la prassi di definire quello cibernetico come “quinto” dominio assumendo per conclamata l’affermazione dello spazio come “quarto”, tecnicamente, non è ancora possibile definire lo spazio come un dominio: esso è piuttosto un ambiente operativo nel quale si sviluppano servizi e capacità satellitari a supporto delle operazioni (Positioning, Navigation and Time – PNT, ISR e comunicazioni). Solo nel meeting del Consiglio nord-atlantico tenutosi a Londra il 3 e 4 dicembre 2019, l’Alleanza atlantica ha dichiarato lo spazio un “operational domain”, «recognising its importance in keeping us safe and tackling security challenges, while upholding international law» (cfr. London Declaration Issued by the Heads of State and Government participating in the meeting of the North Atlantic Council in London 3-4 December 2019, par. 6) Dal punto di vista del diritto internazionale, lo spazio è oggetto del trattato “Outer Space” del 1967 che vieta di installare armi di distruzione di massa e armi nucleari nello spazio extra-atmosferico. Per una ricognizione delle criticità legate alla gestione dello spazio e un parallelismo con le sfide poste dall’ambiente cibernetico, cfr. Nyman Metcalf K., A legal view on outer space and cyberspace: similarities and differences, Tallin Paper no. 10, 2018, https://ccdcoe.org/uploads/2018/10/Tallinn-Paper_10_2018.pdf

3 Un utile punto di partenza è il paper di Heftye E., Multi-domain confusion: all domains are not created equal (https://thestrategybridge.org/the-bridge/2017/5/26/multi-domain-confusion-all-domains-are-not-created-equal) e la bibliografia ivi riportata. La questione della definizione è resa complicata dal fatto che oltre ai domini fisici (terra, mare, aria e spazio) e virtuali (informazione e cyber) si comincia a parlare anche del dominio “umano”, nei suoi profili cognitivo, morale e sociale.

11

si fa, pertanto, riferimento esclusivamente alla dottrina militare italiana4. Il punto di partenza

è la nozione di ambiente, quale «insieme continuo delimitato che presenta caratteristiche di

omogeneità e non totalmente incluso in altro analogo insieme»5: in concreto, ciò significa

che ogni ambiente deve avere proprie caratteristiche fisiche e/o immateriali, tra loro

interconnesse, e che lo isolano, in tutto o in parte rispetto ad altri ambienti. Ciò che

differenzia la nozione di ambiente nella dottrina militare da quella in uso in altri ambiti

scientifici è che l’ambiente di volta in volta considerato deve avere rilevanza per i fini dello

strumento militare.

Il termine “dominio” esprime invece «l’unione fra un determinato ambiente e l’abilità di

operare nello stesso – attraverso l’impiego di capacità specifiche peculiari – svolgendo nello

stesso attività, funzioni e operazioni al fine di compiere una missione ed esercitare il

controllo su un avversario per produrre gli effetti desiderati sia nell’ambiente di riferimento

che in altri»6.

Ciò che rende un ambiente un dominio è, di conseguenza, la disponibilità di capacità

militari specifiche per operarvi.

In particolare, secondo la dottrina nazionale, affinché un dominio possa essere

individuato come tale occorre che:

- siano richieste capacità uniche/specifiche per operarvi;

- esso non sia un sottoinsieme di un qualsiasi altro dominio (principio di non inclusione);

- possano agirvi sia capacità amiche sia capacità avversarie;

- vi possa essere esercitata una qualche forma di controllo e/o influenza;

- vi possa essere sviluppata la funzione operativa comando e controllo;

- vi possa essere sviluppata la funzione operativa intelligence;

- vi possa essere sviluppata la funzione operativa manovra;

- vi possa essere ingaggiato un eventuale avversario attraverso lo sviluppo di almeno una

tra le funzioni operative fuoco o informazione.

4 Stato Maggiore della Difesa, III Reparto, Centro Innovazione della Difesa, Ambienti e Domini delle Operazioni, Nota dottrinale interforze 005, ed. 2018.

5 SMD-CID, Ambienti e Domini delle Operazioni, cit., par. 2.2. 6 SMD-CID, Ambienti e Domini delle Operazioni, cit., par. 3.1.

12

Tanto premesso, oltre agli ambienti fisici nei quali è possibile esprimere capacità

militari7, esistono anche ambienti artificiali, creati dall’uomo, tra cui8 l’ambiente, o spazio,

cibernetico.

Lo spazio cyber è definito, nell’ordinamento giuridico italiano, dall’art. 2 del decreto del

Presidente del Consiglio dei Ministri del 17 febbraio 2017 - Direttiva recante indirizzi per la

protezione cibernetica e la sicurezza informatica nazionali - come «l’insieme delle

infrastrutture informatiche interconnesse, comprensivo di hardware, software, dati ed utenti,

nonché delle relazioni logiche, comunque stabilite, tra di essi»9.

Ha dunque una dimensione fisica, costituita dalle infrastrutture della rete, quali server,

banche dati, satelliti, cavi sottomarini, fibre ottiche, computer, memorie di massa; una

dimensione logica, rappresentata dai software e dai protocolli di rete; una dimensione

cognitiva, composta dell’insieme di dati, informazioni e contenuti che circolano nella rete;

una dimensione “umana” costituita dagli utenti10.

7 Attualmente, gli ambienti fisici rilevanti per le operazioni sono quello terrestre, quello marittimo, quello aereo e quello spaziale. Quanto a questi ultimi due, la demarcazione è costituita dalla linea di Kármán, posta convenzionalmente a 100 km sopra il livello del mare per delimitare il punto oltre il quale i velivoli, a causa della rarefazione dell’atmosfera, dovrebbero viaggiare a una velocità superiore alla velocità orbitale per poter ottenere e mantenere sufficiente spinta aerodinamica. La questione della collocazione della linea di separazione tra ambiente aereo e ambiente spaziale (o tra reame dell'aeronautica e quello dell'astronautica) ha rilevanza giuridica in quanto delimita il punto oltre il quale non si esercita più la giurisdizione statale e lo spazio è libero.

8 Oltre allo spazio cibernetico, è ritenuto ambiente artificiale rilevante per le operazioni quello “dell’informazione”, vale a dire l’insieme costituito dall’informazione stessa, dagli esseri umani, dalle organizzazioni e sistemi di comunicazione/informativi che veicolano, ricevono e processano l’informazione.

9 La definizione è simile a quella proposta da altre autorità nazionali. L’Agence nationale de la sécurité des systèmes d’information francese definisce il cyber-spazio come « espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques » (https://www.ssi.gouv.fr/entreprise/glossaire/c/). La definizione statunitense è più articolata: “Cyberspace is defined as a domain characterized by the use of electronics and the electromagnetic spectrum to store, modify and exchange data via networked systems and associated physical infrastructures”, cfr. Chairman of the Joint Chiefs of Staff, Department of Defense, National Military Strategy for Cyberspace Operations, December 2006, p. ix (ora declassificata). La definizione è sostanzialmente identica a quella proposta dal Manuale di Tallin 2.0, nel glossario (Tallin Manual 2.0 on the International Law Applicable to Cyber Operations, Schmitt M.N. ed., 2d ed., 2017). L’Istituto delle Nazioni Unite per la ricerca sul disarmo (UNIDIR), richiamando alcuni contributi dottrinali, descrive lo spazio cibernetico come il luogo che, grazie all'uso dell'elettronica e dello spettro elettromagnetico, consente la creazione, l'archiviazione, la modifica, lo scambio e lo sfruttamento di informazioni attraverso reti interdipendenti e interconnesse che utilizzano tecnologie di comunicazione dell'informazione. Cfr. UNIDIR, The United Nations, Cyberspace and International Peace and Security. Responding to Complexity in the 21st Century, 2017, p. 7.

10 La pubblicazione statunitense Cyberspace Operations (Joint Chiefs of Staff, Joint Publication 3-12 dell’8 giugno 2018, https://www.jcs.mil/Portals/36/Documents/Doctrine/pubs/jp3_12.pdf) descrive lo spazio cibernetico come formato da tre strati interconnessi - physical network, logical network e cyber-

13

Sua caratteristica peculiare, rispetto agli ambienti “fisici”, è che si tratta di un costrutto

artificiale (man-made) in continua evoluzione e di natura ibrida a causa della complessità

della sua struttura, nella quale si intersecano, come visto, molteplici livelli e dimensioni.

Né può trascurarsi il fatto che lo spazio cyber è non solo il luogo “nel” quale si svolgono le

operazioni, ma anche (e forse soprattutto) lo strumento “mediante” il quale esse si svolgono:

basti pensare al fatto che la gran parte dei moderni sistemi d’arma è collegata a una rete (e

che, di conseguenza, nello spazio cibernetico è possibile influenzare direttamente la

componente fisica del fighting power avversario) per concludere che, piuttosto che

qualificare quello cibernetico come un nuovo dominio, lo si potrebbe descrivere come

l’“unico” dominio esistente11.

Nel 2016, nel corso del Summit tenutosi a Varsavia dall’8 al 9 luglio, la NATO ha

“riconosciuto” lo spazio cibernetico quale dominio di operazioni nel quale difendersi con la

stessa efficacia con cui si difende nell'aria, sulla terraferma e in mare12.

In precedenza, nel corso del NATO Summit di Newport (Galles) del 4 e 5 settembre

2014, era stata approvata13 l’Enhanced Cyber Defence Policy le cui basi erano già state

poste nel corso della Ministeriale Difesa del 3 e 4 giugno 2014 a Bruxelles. In base alla

Policy, la NATO riconosce che il diritto internazionale, ivi inclusi il diritto internazionale

persona - in ognuno dei quali è possibile pianificare, condurre e valutare un’operazione cibernetica. In particolare, «[t]he cyber-persona layer is a view of cyberspace created by abstracting data from the logical network layer using the rules that apply in the logical network layer to develop descriptions of digital representations of an actor or entity identity in cyberspace (cyber-persona). The cyber-persona layer consists of network or IT user accounts, whether human or automated, and their relationships to one another» (p. 1-4). La cyber-persona include dunque due componenti, quella virtuale e quella fisica-individuale, dove la prima si riferisce all’identificazione di una persona nella rete attraverso il suo indirizzo e-mail, l’indirizzo IP del suo computer, gli account e le password con cui interagisce nei forum o nei servizi istituzionali, commerciali, finanziari, mentre la seconda si riferisce alle persone effettivamente presenti in rete. Ne deriva che, così come a un individuo possono corrispondere diverse cyberpersonas (ad esempio, diversi account di posta elettronica), una singola cyberpersona può essere utilizzata da più individui (ad esempio, quando più utenti accedono a un unico account di posta elettronica dell’organizzazione cui appartengono). Il profilo della relazione o, meglio, della interconnessione tra i diversi livelli è quello che più caratterizza lo spazio cibernetico. Oggi l’interconnessione è affidata essenzialmente a Internet, «but there could be many alternative cyberspaces, defined (and created) by different approaches to interconnection» (cfr. Clark D., Characterizing Cyberspace: Past, Present and Future, working paper, version 1.2, 12 March 2010, https://projects.csail.mit.edu/ecir/wiki/images/7/77/Clark_Characterizing_cyberspace_1-2r.pdf)

11 Cfr. Shea J., Cyberspace as a Domain of Operations. What Is NATO’s Vision and Strategy?, in MCU Journal, vol. 9 (2), 2018, p. 137

12 NATO, Warsaw Summit Communiqué Issued by the Heads of State and Government participating in the meeting of the North Atlantic Council in Warsaw 8-9 July 2016, 9 July 2016, par. 70: « […] we reaffirm NATO's defensive mandate, and recognise cyberspace as a domain of operations in which NATO must defend itself as effectively as it does in the air, on land, and at sea».

13 NATO, Wales Summit Declaration, par. 72-73.

14

umanitario e la Carta delle Nazioni Unite, si applica allo spazio cibernetico e che la cyber

defence è parte del core task di difesa collettiva dell’Alleanza. Poiché «[c]yber attacks can

reach a threshold that threatens national and Euro-Atlantic prosperity, security, and

stability», può essere invocata l’applicazione dell’art. 5 del trattato NATO, con riferimento

all’autodifesa collettiva, anche nel caso di attacchi cibernetici con effetti paragonabili a quelli

di un conflitto armato convenzionale.

Nel corso del Summit NATO dell’11 e 12 luglio 2018 a Bruxelles, questo impegno degli

Alleati è stato riconfermato nei termini seguenti: «Reaffirming NATO’s defensive mandate,

we are determined to employ the full range of capabilities, including cyber, to deter, defend

against, and to counter the full spectrum of cyber threats, including those conducted as part

of a hybrid campaign»14.

2. Gli attacchi cibernetici. Una tassonomia

Legata all’individuazione dei costituenti dello spazio cibernetico è la comprensione di

quale autorità debba mantenervi l’ordine. Fino a un’epoca recentissima, infatti, il regime

della sicurezza si articolava intorno alla dicotomia sicurezza interna / sicurezza esterna, con

la prima affidata alla repressione penale e alle forze di polizia e la seconda al diritto

internazionale e alle forze armate. Questo approccio al mantenimento dell'ordine si basa (si

basava?) sul presupposto che ogni società occupi un luogo fisico territorialmente definito e

che, pertanto, si dia sostanziale coincidenza tra sovranità e territorio con la conseguenza

che le minacce all'ordine sociale sono facilmente identificabili o come interne

(crimine/terrorismo) o come esterne (guerra). Lo sviluppo delle tecnologie della

comunicazione informatica ha invece eroso la validità di questo modello e, in qualche

maniera, reso il territorio sempre più irrilevante15.

Quali sono le minacce all’ordine dello/nello spazio cibernetico?

Il già citato dPCM 17 febbraio 2017 definisce (art. 2, comma 1, let. l ed m) la minaccia

cibernetica quale il «complesso delle condotte che possono essere realizzate nello spazio

cibernetico o tramite esso, ovvero in danno dello stesso e dei suoi elementi costitutivi, che

si sostanzia, in particolare, nelle azioni di singoli individui od organizzazioni, statali e non,

pubbliche o private, finalizzate all'acquisizione e al trasferimento indebiti di dati, alla loro

modifica o distruzione illegittima, ovvero a controllare indebitamente, danneggiare,

distruggere o ostacolare il regolare funzionamento delle reti e dei sistemi informativi o dei

14 NATO, Brussels Summit Declaration, par. 20. 15 Cfr. Brenner S.W., At Light Speed: Attribution and Response to Cybercrime/Terrorism/Warfare,

in Journal of Criminal Law & Criminology, Vol. 97, 2007, p. 382.

15

loro elementi costitutivi»16 e l’evento cibernetico come un «avvenimento significativo, di

natura volontaria o accidentale, consistente nell'acquisizione e nel trasferimento indebiti di

dati, nella loro modifica o distruzione illegittima, ovvero nel controllo indebito,

danneggiamento, distruzione o blocco del regolare funzionamento delle reti e dei sistemi

informativi o dei loro elementi costitutivi».

Minaccia ed evento possono rispondere a diverse finalità e danno luogo pertanto a

diverse ipotesi di condotta17, che vanno da quella puramente criminale (cybercrime),

finalizzata ad ottenere denaro o a sottrarre informazioni allo scopo di monetizzare le

informazioni stesse, a quella terroristica (cyber terrorism), dallo spionaggio (cyber

espionage), sia esso di tipo geopolitico o industriale e mirato al furto di proprietà intellettuale,

all’attivismo (cyber hacktivism)18, allo svolgimento di operazioni militari con mezzi virtuali per

conseguire effetti nell’ambiente cibernetico (cyberwarfare)19.

Diverse ipotesi di condotta che il linguaggio comune riconduce ad un unico termine -

“attacco” cibernetico – ma che non sono tutte rilevanti in un discorso intorno al tema

dell’autodifesa.

Appare allora preferibile utilizzare una diversa terminologia e riferirsi, piuttosto, alle

operazioni cibernetiche - computer network operation (CNO) – nell’ambito delle quali è dato

16 La minaccia cyber non viaggia solo sulla rete internet, ma può attaccare anche reti chiuse, superando le protezioni cd. air-gap (vuoto d’aria) delle reti chiuse, che vengono isolate fisicamente proprio per incrementarne la sicurezza (tipicamente, si tratta di reti classificate militari, dei sistemi di controllo di grandi aziende e industrie sensibili, quali ad esempio quelle del settore energetico -gas, petrolio, nucleare- o chimico). In questo tipo di reti, è sufficiente che un utente violi i protocolli di sicurezza collegando un proprio dispositivo esterno infetto (una pen-drive, ad esempio) a un apparecchio appartenente al dominio classificato, per immettere virus o malware nel dominio stesso; lo stesso malware, all’insaputa dell’utente, salva le informazioni classificate sul dispositivo esterno e, quando questo viene collegato al dominio aperto, le inoltra agli ideatori del malware, che in questo modo riescono dunque ad acquisire informazioni anche da domini tecnicamente chiusi.

17 Dalla lettura del Documento di sicurezza nazionale 2018 allegato alla Relazione annuale al Parlamento ai sensi dell’art. 38, co. 1 bis, Legge 124/2007 (http://www.sicurezzanazionale.gov.it/sisr.nsf/relazione-2018.htlm) e del Rapporto CLUSIT 2019 (CLUSIT, Rapporto 2019 sulla Sicurezza ICT in Italia, Milano, 2019) si ricava il quadro della minaccia cibernetica riferita al nostro Paese, partendo dal presupposto fondamentale della «elevata rimuneratività dello strumento cyber per gli attori ostili, in ragione dell’ampia disponibilità di tool offensivi e dei bassi livelli di rischio operativo» (Documento di sicurezza nazionale 2018, cit., p. 8.).

18 “Hacktivismo” deriva dall’unione dei due termini hacking e activism e indica la pratica dell’azione diretta digitale in stile hacker. Nell’ambito dell’hacktivism le forme dell’azione diretta tradizionale sono trasformate nei loro equivalenti elettronici, che si estrinsecano prevalentemente, ma non solo, in attacchi DDoS e web defacement. Cfr. Documento di sicurezza nazionale 2016 allegato alla Relazione annuale al Parlamento ai sensi dell’art. 38, co. 1 bis, Legge 124/2007 (http://www.sicurezzanazionale.gov.it/sisr.nsf/relazione2016.html), p. 30.

19 Hildreth S. A., Congressional Research Service, Cyberwarfare. Report to the Congress (2001), http://www.fas.org/irp/crs/RL30735.pdf

16

distinguere la computer network defence (CND), la computer network exploitation (CNE) e

il computer network attack (CNA).

Nell’ambito delle operazioni difensive, si distinguono la difesa cibernetica in senso

stretto (cyber defence o cyber security), passiva, che comprende misure di separazione

fisica o di protezione (reti autonome, firewall, antivirus) e protocolli di sicurezza, e la difesa

cibernetica proattiva (active cyber defence), che implica un’interazione attiva con l’esterno

per proteggere la propria rete e che è prodromica alle capacità di exploitation (sondare

restando invisibili) e di attacco (produrre danni) nello spazio cibernetico. Nel concetto di

difesa cibernetica rientrano dunque quelli di protezione, reazione, deterrenza rispetto ad un

attacco cibernetico.

La distinzione tra spionaggio (exploitation)20 e attacco, nitida nel mondo fisico21, lo è

meno in quello cibernetico. La maggior parte delle operazioni informatiche “ostili”

presuppongono un accesso non autorizzato o segreto a un sistema informatico, ma il

20 Il rapido miglioramento della tecnologia e delle tecniche informatiche, nonché l'aumento esponenziale della quantità di dati memorizzati online, hanno reso lo spionaggio informatico più “redditizio” rispetto ai metodi tradizionali di spionaggio consentendo, grazie alla velocità nell’accesso e nell’esfiltrazione, l’acquisizione di una enorme mole di informazioni. Quanto alla definizione di spionaggio internazionale, si fa riferimento al fatto di esplorare le intenzioni e le azioni politiche, economiche e militari del nemico, nel suo territorio, per riferirne ai propri connazionali con l’intento di nuocere (Cfr. Preto P., Le parole dello spionaggio, in Per Aspera ad Veritatem, Rivista del SISDE, n. 6 settembre-dicembre 1996, http://gnosis.aisi.gov.it/sito/Rivista6.nsf/ServNavig/5). Dall’art. 46 del I Protocollo addizionale alle Convenzioni di Ginevra, riferito allo spionaggio commesso da membri delle forze armate, si evince che la caratteristica tipica dell’attività è la clandestinità e il fatto che sia svolta in danno della Parte avversaria che esercita il controllo o la giurisdizione su un determinato territorio (non è infatti considerato spia colui che svolge l’attività di ricerca di informazioni in uniforme né colui che risiede nel territorio occupato da una Parte avversaria salvo che agisca sotto falsi pretesti o in modo deliberatamente clandestino). Prescinde dalla caratteristica della clandestinità la definizione apprestata dal Sistema italiano di informazioni per la sicurezza che parla di «attività condotte da agenzie intelligence straniere nonché da individui od organizzazioni operanti in modo autonomo ovvero in collegamento con servizi di informazione esteri al fine di acquisire notizie in danno della sicurezza nazionale» (cfr. Il linguaggio degli organismi informativi. Glossario intelligence, 2013, ad vocem, https://www.sicurezzanazionale.gov.it/sisr.nsf/wp-content/uploads/2013/12/Glossario-intelligence-2013.pdf). Si riferisce alla difesa e non alla sicurezza nazionale e contempla anche il solo vantaggio dell’avversario senza necessità di un correlato danno per la vittima, la definizione del Dipartimento della difesa statunitense: «the act of obtaining, delivering, transmitting, communicating, or receiving information about the national defense with an intent, or reason to believe, that the information may be used to the injury of the United States or to the advantage of any foreign nation» (cfr. U.S. Department of Defense, Joint Publication 1-02. Department of Defense Dictionary of Military and Associated Terms. 8 November 2010 (As Amended Through 15 February 2016), p. 80, ad vocem).

21 Brown nota, ad esempio, che le attività di spionaggio nel mondo fisico sono svolte da persone abbigliate in modo ordinario, disarmate o equipaggiate con armi leggere tenute nascoste, e che lavorano in sostanziale solitudine, mentre le attività belliche sono compiute da persone in uniforme, obbligate al porto aperto delle armi, con l’utilizzo di armamento pesante e movimenti collettivi. Cfr. Brown G., Spying and Fighting in Cyberspace: What is Which?, in Journal of National Security Law & Policy, Vol. 8, 2016, p. 624-625.

17

semplice fatto che l’accesso avvenga con modalità occulte non aiuta a qualificare di per sé

l’azione come spionaggio, atteso che il fine perseguito dopo l’accesso potrebbe essere sia

un fine distruttivo in sé sia una ricognizione a preludio di future operazioni offensive, anche

cinetiche. L’accesso non autorizzato può inoltre comportare il danneggiamento22 del

sistema, in termini sia di riduzione dell'efficacia del suo software antivirus, sia della

diminuzione dell'efficacia dei suoi programmi di crittografia, oppure tramite l'installazione di

una back door o l'alterazione del sistema operativo.

La dottrina statunitense definisce la cyber exploitation come l’insieme di «enabling

operations and intelligence collection capabilities conducted through the use of computer

networks to gather data from target or adversary automated information systems or

networks »23. L'espressione “enabling” include le attività informatiche che, provocando

danni, rientrano anche nella definizione di attacco informatico, poiché un'operazione

abilitante può includere il danneggiamento fisico di un sistema per facilitare la raccolta di

informazioni. Le operazioni abilitanti sono distinte dalla raccolta di informazioni e,

essenzialmente, sono ciò che consente tale raccolta. Includono pertanto sia l’introduzione

fisica in un centro di calcolo straniero sia l’introduzione “virtuale”, tramite il ricorso a software

e, evidentemente, includono le azioni collaterali necessarie per raccogliere informazioni,

quali il riavvio forzato di un computer per installarvi malware o l'invio di e-mail di phishing,

che di per sé non sono raccolta di informazioni. Benché alcune di queste attività collaterali

siano attacchi informatici, nel contesto del cyber exploitation sono definite come parte di

un'operazione di intelligence, con una sovrapposizione semantica tra due tipologie di attività

fondamentalmente diverse.

Ancora, il pre-posizionamento di capacità informatiche su reti o sistemi informatici

avversari non costituisce di per sé un attacco informatico ma non è necessariamente ancora

spionaggio, poiché non è avviata la raccolta di informazioni; nel mondo fisico, al contrario,

lo stoccaggio di armi in un deposito segreto nel territorio di un altro Stato sarebbe

indubbiamente qualificato come preparazione per un attacco armato. Poiché il semplice

accesso a un sistema informatico non consente di capire quale sarà il seguito dell’attività,

le operazioni cibernetiche sono particolarmente impegnative tenuto anche conto del fatto

che il rapido miglioramento della tecnologia e delle tecniche informatiche, nonché l'aumento

esponenziale della quantità di dati memorizzati online, hanno reso lo spionaggio informatico

22 Nella nozione di danno rientrano le attività «that decrease effectiveness or cause a system to cease its intended function» (Cfr. Brown, op. cit., p. 626).

23 Cfr. United States Government Accountability Office, Defense Department Cyber Efforts: Definitions, Focal Point, and Methodology Needed for DOD to Develop Full-Spectrum Cyberspace Budget Estimates, GAO-11-695R Defense Cyber Efforts, July 29, 2011.

18

più “redditizio” rispetto ai metodi tradizionali di spionaggio consentendo, grazie alla velocità

nell’accesso e nell’esfiltrazione, l’acquisizione di una enorme mole di informazioni.

Secondo BROWN24, la differenza tra cyber espionage e cyber attack si apprezza

unicamente nell’ultima delle fasi di cui constano entrambe le operazioni, quella del

danneggiamento, che nelle operazioni di spionaggio consiste nel fatto che l’autore

dell’operazione acquisisce informazioni riservate concernenti la sicurezza nazionale (sia

perché si è impadronito di informazioni strategiche sia perché ha acquisito informazioni

rilevanti sulle capacità tecniche avversarie25) mentre nelle operazioni più aggressive

consiste in danni effettivi al sistema informatico attaccato, nella distruzione di dati critici o

nel danneggiamento/distruzione di sistemi industriali collegati alla rete.

I principali strumenti utilizzati nelle operazioni informatiche sono i cd. software malevoli

(malware), che possono essere classificati in diverse tipologie26, a seconda che essi siano

progettati per eseguire atti di spionaggio e furto di dati, per distruggere i dati o per

manipolare i sistemi industriali controllati da computer o reti digitali. La prima tipologia è

costituita dai ransomware vale a dire malware progettati per rendere indisponibili i dati,

generalmente crittografandoli, a meno che la vittima non paghi un riscatto27.

24 Cfr. Brown G., Spying and Fighting in Cyberspace: What is Which?, in Journal of National Security Law & Policy, cit., p. 627-629. Nella ricostruzione dell’A., sono 5 le fasi in cui si articola un’operazione cibernetica: la prima è il target identification¸ ovvero l’identificazione del bersaglio che avviene solitamente tramite un bot, vale a dire un programma automatico che setaccia la rete alla ricerca di sistemi con caratteristiche analoghe a quelle dell’obiettivo cui si intende mirare. Segue l’initial penetration, ossia l’accesso iniziale al sistema, tipicamente e frequentemente realizzato tramite un worm (come nel caso di Stuxnet), oppure chiavette USB contaminate da malware (come nell’evento che diede luogo all’operazione Buckshot Yankee), oppure ancora per mezzo di e-mail di phishing. Segue la presence in the system, ossia il fatto che si permane nascosti all’interno del sistema attaccato allo scopo di accedervi ripetutamente anche in momenti successivi a quello della penetrazione iniziale, nonostante gli aggiornamenti del sistema e dei software antivirus, in modo da mantenere l’accesso alle nuove informazioni che sono via via caricate nel sistema. Con la fase dell’exploitation comincia lo sfruttamento, che può assumere le forme più diverse, dall’esfiltrazione di informazioni verso un server situato in qualsiasi parte del mondo, da dove potranno poi essere spostate verso il luogo ove ne avverrà l’analisi, al monitoraggio in tempo reale dei contenuti della posta elettronica o dei dati di utilizzo del sistema per entrare nel ciclo decisionale dell'organizzazione presa di mira, alla raccolta di informazioni finalizzata a degradare o danneggiare il sistema attaccato. La quinta e ultima fase è quella dell’harm, il danneggiameno

25 La compromissione nel senso della riduzione della leadership tecnologica in un settore chiave per la difesa e la sicurezza (ad esempio quello degli armamenti) spiega perché si può parlare di danno anche con riferimento alle operazioni di spionaggio rivolte verso Paesi amici o alleati.

26 Olejnik L. – Rodenhäuser T., Malware: A selection of essential cyber notions and concepts, May 23, 2019, https://blogs.icrc.org/law-and-policy/2019/05/23/malware-essential-cyber-notions-concepts/

27 Tra i casi più celebri di ransomware rientrano “Wannacry” e “NotPetya”. WannaCry era un worm diffusosi nel 2017 che criptava i file presenti sui computer per la cui decrittazione era chiesto un riscatto di alcune centinaia di dollari. Il ransomware sfruttava un exploit che si ritiene fosse stato sviluppato dalla National Security Agency statunitense per attaccare sistemi informatici basati

19

Un secondo tipo di malware è “distruttivo” (wiper)28 ed è progettato per provocare

interruzioni rendendo inutilizzabili i sistemi informatici. Con i trojan si installa in un sistema

un programma che ne rende possibile il controllo remoto: il nome trojan allude alla

caratteristica del malware di essere un programma che entra in un sistema nascondendo il

suo vero intento. Infine esistono malware specificamente progettati per attaccare i sistemi

di controllo industriale (ICS – industrial control systems), causando malfunzionamenti nelle

apparecchiature controllate dai computer interessati. Quando l’interferenza dei malware ICS

con i sistemi di sicurezza riesce, la conseguenza è l'interruzione dei processi industriali

controllati dal sistema, con la distruzione fisica o la disabilitazione dei sistemi di sicurezza,

e ne deriva dunque un rischio reale di danno per gli esseri umani.

I malware possono infettare i sistemi di elaborazione senza l’intervento umano (auto-

propagandosi in forma di worm, molto velocemente) oppure con il concorso di un operatore,

spesso inconsapevole (tipicamente con il ricorso a e-mail di phishing).

L’offensività del malware, per lo meno in termini numerici, è influenzata dall’ampiezza

dell’utilizzo del software obiettivo dell’attacco. Il malware, infatti, sfrutta una vulnerabilità del

software e, pertanto, maggiore è la diffusione e l’utilizzo del software attaccato maggiore

sarà il numero delle vittime, soprattutto quando il veicolo è un worm, che non richiede

intervento umano per attivarsi.

Alla fine dell’aprile 2007, l’Estonia subì un “attacco cibernetico” durato per 22 giorni,

rivolto contro i siti della Presidenza della Repubblica, del Parlamento, di enti di governo

sul sistema operativo Microsoft Windows e che fu successivamente rubato da un gruppo di hacker (Wong J., Solon O., Massive ransomware cyber-attack hits nearly 100 countries around the world, in The Guardian, 12 maggio 2017, https://www.theguardian.com/technology/2017/may/12/global-cyber-attack-ransomware-nsa-uk-nhs ). NotPetya era un ransomware analogo a Wannacry, di cui costituiva un’evoluzione, che oltre a cifrare i dati e bloccare l’hard disk, scaricava le credenziali dalla memoria della macchina e si distingueva inoltre perché i suoi creatori, dopo aver ricevuto il pagamento del riscatto in bitcoin, comunicavano una chiave non corretta per decriptare i file, che restavano pertanto irrimediabilmente perduti. NotPetya fece vittime in molti Stati ma, in particolare, in Ucraina, colpendo compagnie elettriche, banche, aeroporti e il sistema di controllo delle radiazioni nella centrale nucleare di Chernobyl (https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/# ). Sebbene il ransomware sia un tipico e frequente caso di attacco contro i privati finalizzato ad ottenere piccole cifre da un ingente numero di persone, e abbia dunque natura intrinsecamente criminale, si verificano con crescente frequenza casi di attacchi a grandi aziende e istituzioni pubbliche presumibilmente orchestrati da agenzie governative di Paesi stranieri, ciò che induce molti commentatori a considerarli strumenti di cyber warfare.

28 https://www.kaspersky.it/blog/wiper-e-altri-tipi-di-malware/2518/

20

locali e dei partiti politici, di banche e di giornali, di fornitori di servizi internet e compagnie

di telecomunicazione. Le forme dell’attacco variarono da Denial of Service (DoS)29 e

Distributed Denial of Service (DDoS)30 - realizzati tramite ping flood31, udp flood32, e-mail

spam - a forme di “pirateria” (hacking) attraverso SQL injection33. La particolarità dell’attacco

risiedette non tanto negli strumenti utilizzati, ampiamente noti agli specialisti, ma nella

varietà e quantità delle aggressioni, di magnitudine sproporzionata in relazione alla

dimensione della nazione, e nelle sue conseguenze, estremamente significative atteso

l’elevato grado di interconnessione informatica del paese.

29 «Attacchi volti a rendere inaccessibili alcuni tipi di servizi. Possono essere divisi in due tipologie: • applicativi, tesi a generare un numero di richieste maggiore o uguale al numero di richieste massimo a cui un server può rispondere (ad esempio numero di richieste web HTTP/HTTPS concorrenti). • volumetrici, tesi a generare un volume di traffico maggiore o uguale alla banda disponibile in modo da saturarne le risorse». Cfr. CLUSIT, Rapporto 2019 sulla Sicurezza ICT in Italia, p.293.

30 Attacchi DOS distribuiti, cioè basati sull’uso di una rete di apparati, costituenti una botnet dai quali parte l’attacco verso l’obiettivo. Cfr. CLUSIT, loc. cit. La botnet è il frutto dell’applicazione illegale del concetto di distributed system nel quale molteplici dispositivi informatici cooperano per conseguire un risultato integrato. L’impiego tipico, e lecito, di queste strutture si rinviene in particolare nelle applicazioni scientifiche dedicate alla ricerca astrofisica, matematica e biologica, nelle quali la capacità computazionale delle macchine viene messa volontariamente a disposizione di un progetto da parte dei proprietari. Nel caso delle botnet, invece, la rete viene creata infettando con del malware i computer di soggetti inconsapevoli e assumendone in tal modo il controllo al fine di farli partecipare a un progetto illecito. La differenza tra un distributed system e una botnet risiede, pertanto, nell’elemento del consenso, presente nel primo e assente nella seconda. Cfr. International Telecommunication Union, ITU Botnet Mitigation Toolkit. Background Information, January 2018, https://www.itu.int/ITU-D/cyb/cybersecurity/docs/itu-botnet-mitigation-toolkit-background.pdf, p. 5.

31 «Attacco basato sul continuo ping dell’indirizzo della macchina vittima» (CLUSIT, op. cit., p. 301). Il ping è una utilità di sistema per le reti informatiche impiegata per misurare il tempo impiegato da un pacchetto ICMP (Internet Control Message Protocol) a raggiungere un dispositivo della rete e a ritornare indietro. Consta quindi dell’invio di un pacchetto di tipo echo request al quale il destinatario deve rispondere con un pacchetto di tipo echo reply. Nel pig flood l'utente malevolo sommerge di echo request il sistema oggetto dell'attacco, di solito approfittando del fatto di disporre di banda maggiore rispetto alla vittima: quest’ultima, dovendo rispondere con echo reply a ogni ping, si trova a consumare, oltre alla banda impegnata dai pacchetti in arrivo, anche la banda corrispondente ai pacchetti in uscita, con la conseguenza che il ping flood genera un denial of service rispetto ad altri pacchetti in arrivo.

32 «Il protocollo UDP non prevede l’instaurazione di una connessione vera e propria e possiede tempi di trasmissione/ risposta estremamente ridotti. Tali condizioni offrono maggiori probabilità di esaurire il buffer tramite il semplice invio massivo di pacchetti UDP verso l’host target dell’attacco» (CLUSIT, op. cit., p. 305).

33 Tecnica di attacco basata sull’uso di query indirizzate a database SQL che consentono di ricavare informazioni ed eseguire azioni anche con privilegi amministrativi» (CLUSIT, op. cit., p. 303).

21

Le indagini volte ad accertare l’origine dell’attacco non hanno consentito di giungere a

un risultato soddisfacente34, soprattutto a causa della mancanza di collaborazione ricevuta

dalle autorità estoni nell’indagare sulle attività compiute oltre i confini nazionali e, in

particolare, in Russia.

Si deve notare, peraltro, che questi attacchi in forma di “inondazioni” (di ping, di e-mail,

di query…) sono stati rivolti contro le interfacce pubbliche dei servizi, governativi e non,

forniti via Internet e non rappresentano che una parte degli attacchi cibernetici che è

tecnicamente possibile eseguire, benché siano certamente tra quelli più facili da congegnare

e più difficili da attribuire35.

34 L’unica persona arrestata è stato uno studente estone di vent’anni, le cui individuazione e incriminazione sono state rese possibili per la sola circostanza che aveva compiuto gli attacchi dall’Estonia. Cfr. Ottis R., Analysis of the 2007 Cyber Attacks Against Estonia from the Information Warfare Perspective, Cooperative Cyber Defence Centre of Excellence, Tallinn, Estonia, https://ccdcoe.org/uploads/2018/10/Ottis2008_AnalysisOf2007FromTheInformationWarfarePerspective.pdf

35 Tale caratteristica deriva dalla natura di Internet. Mutuando da Ruotolo, «Internet (contrazione di “interconnected networks”, ovvero “reti interconnesse”) […] utilizzando un insieme di protocolli di comunicazione complessivamente detto suite di protocolli TCP/IP (Transmission Control Protocol/Internet Protocol) collega tra loro innumerevoli sottoreti, come quelle presenti in un ufficio o in un’abitazione; essa, pertanto, è suddivisa in sezioni che comunicano attraverso apparecchiature dedicate all’indirizzamento dei dati […].Quanto ai protocolli, essi rappresentano il linguaggio comune che consente a macchine anche molto diverse di comunicare tra loro e costituiscono quindi il presupposto dell’architettura di rete “aperta”, grazie alla quale tutte le sottoreti connesse possono comunicare tra loro indipendentemente da hardware e software utilizzati. Tali protocolli, peraltro, in un sistema complesso e ramificato quale quello che si sta descrivendo, hanno anche la funzione di dettare le regole per il cosiddetto “instradamento” dei dati, le quali consentono che le informazioni giungano correttamente al destinatario desiderato senza disperdersi dopo aver viaggiato attraverso una molteplicità di macchine e aver percorso migliaia di chilometri. A tali fini i dati da trasmettere sono suddivisi dalla macchina mittente in gruppi elementari, detti pacchetti, che viaggiano autonomamente nella Rete, e che saranno ricomposti alla fine del loro viaggio dalla macchina di destinazione (tale tecnica è detta packet switching). La Rete, quindi, si limita a trasmettere i dati senza effettuare su di essi alcuna elaborazione, che viene effettuata dalle macchine di partenza e di arrivo […].Ogni singolo pacchetto di dati inviato via web, poi, reca con sé una sequenza di informazioni con la funzione di garantire la corretta ricostruzione dell’intero messaggio (la procedura di attribuzione di detta sequenza, che viene effettuata dalla macchina mittente, è detta incapsulamento) […].Ancora, il sistema del packet switching è concepito in maniera tale da consentire di individuare l’eventuale perdita di una parte dei dati che compongono il messaggio: ogni computer che invia un’informazione ottiene infatti, al momento della ricezione, una sorta di ricevuta di consegna (acknowledgement) che consente la ritrasmissione dei dati eventualmente persi, cioè di quei pacchetti in relazione ai quali il computer mittente non ha ottenuto la conferma di ricezione; ogni pacchetto di informazioni, infine, è corredato da un codice di controllo (detto checksum), calcolato dal computer sorgente e che viene verificato dalla macchina di destinazione per assicurare l’integrità del pacchetto stesso. Internet, quindi, […] è un’infrastruttura […] priva di organizzazione gerarchica: al suo interno, infatti, non esiste alcun punto, né “centrale” né di “vertice”, dal quale si diramano tutti i percorsi, né è possibile individuare una macchina alla quale tutte le altre devono essere collegate per comunicare tra loro; le singole sottoreti, invero, sono connesse tra loro in numerosi punti. È grazie a questa architettura che la Rete può sopravvivere al collasso di alcuni suoi rami, dal momento che a ogni pacchetto di informazioni viene offerta

22

Gli attacchi contro le infrastrutture per la produzione o la distribuzione di energia o

contro le reti militari di comando e controllo sono invece più complessi in quanto le funzioni

critiche di queste infrastrutture e reti non dipendono dal funzionamento di nodi pubblici come

i siti Internet e richiedono che l'aggressore riesca a penetrare il perimetro di sicurezza del

sistema e acquisisca l’accesso a risorse di rete interne per manipolare e distruggere dati e

funzionalità delle reti di controllo.

Un esempio di questo genere di operazioni è rappresentato dall’attacco contro la

centrale nucleare iraniana di Natanz.

Nei primi mesi del 2010 una richiesta di supporto tecnico formulata da un utente

iraniano a una società bielorussa di sicurezza informatica portò alla scoperta del virus

Stuxnet36, tutt’oggi considerato il primo esempio di “arma cibernetica” e di cyber warfare

della storia. Il virus, tecnicamente complesso ed estremamente sofisticato, sfruttava ben

quattro vulnerabilità “0-day” dei sistemi operativi Windows ed era stato congegnato per

propagarsi verso il software Step7 della Siemens (restando invece inerte nei computer

infettati nei quali il software non fosse installato) e conteneva misure di salvaguardia intese

a limitare la propagazione a non più di tre altri computer da parte di ogni macchina infettata.

Il virus era composto di tre moduli: un worm, che danneggiava i PLC - programmable logic

controller, componenti hardware programmabili che servono per la gestione, il controllo e

l’automazione dei processi industriali - e permetteva al software di autoreplicarsi su altre

macchine, un collegamento, che metteva in esecuzione le copie create dal worm, e un

rootkit, che nascondeva il virus impedendo la sua individuazione. Il virus faceva sì che i

sensori di controllo dei processi industriali emettessero falsi segnali in modo che fosse

impossibile rilevare il comportamento anomalo dei sistemi e non si provvedesse pertanto a

spegnerli prima che il danneggiamento divenisse irreversibile. Stuxnet era stato progettato

per compromettere in particolare il funzionamento dei PLC utilizzati nella centrale nucleare

iraniana di Natanz per il controllo delle centrifughe dedicate all’arricchimento dell’Uranio235,

provocando accelerazioni e rallentamenti della loro frequenza di rotazione e, come

conseguenza finale, la loro rottura a causa delle sollecitazioni incontrollate cui erano

sottoposte. Con ogni verosimiglianza, il virus fu introdotto nei sistemi di controllo della

una molteplicità di strade da seguire per raggiungere una determinata destinazione» (cfr. Ruotolo G.M., Internet (diritto internazionale), in Enciclopedia del Diritto. Annali, Vol. VII, 2014, p. 546-547).

36 Per un’analisi tecnica del virus, cfr. Falliere N., O Murchu L., Chien E., W32.Stuxnet Dossier. Version 1.4 (February 2011), https://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

23

centrale tramite una chiavetta USB infetta utilizzata da un inconsapevole addetto della

centrale e, forse a causa di un errore di programmazione, si diffuse poi fuori dallo

stabilimento e oltre i confini dell’Iran (che, data l’elevatissima concentrazione di infezioni, ne

era stato probabilmente il target principale) attaccando i sistemi dotati di SCADA e PLC di

altre industrie in diverse parti del mondo.

La progettazione del virus fu ricondotta agli Stati Uniti e ad Israele37, non solo per

ragioni geopolitiche, ma per la complessità ed onerosità della sua struttura: questa, infatti,

richiedeva sia una conoscenza dettagliata dell'ambiente informatico in uso nelle centrali, sia

ingenti risorse economiche, ove si consideri che non solo si era trattato di un’attività di

programmazione che aveva necessariamente impegnato molte persone per un lungo

intervallo di tempo ma anche che ciascuna delle vulnerabilità “0-day” valeva sul mercato

nero almeno un quarto di milione di dollari.

Le tecniche di risposta a un attacco cibernetico, qualora sia stato possibile identificare

l’aggressore o il suo intermediario, possono essere di diverso tipo e natura: è possibile

riconfigurare l’host o la rete - ad esempio riducendo la larghezza della banda lungo alcuni

percorsi, disconnettendo il percorso dell’attaccante, trasferendo la connessione verso un

falso bersaglio o re-installando i sistemi intermedi -, oppure intraprendere computer network

(counter) attack (CNA) e persino attacchi cinetici, ovvero compiere operazioni di intelligence

o avviare azioni legali. Il tipo di risposta è evidentemente influenzato dalla natura

dell’attacco, dal suo obiettivo e dal tipo di danno che ha provocato o tentato di provocare,

nonché dalla attendibilità dei risultati dell’indagine sull’attribuzione.

L'attribuzione, oltre che per la risposta, è fondamentale per la deterrenza38, poiché il

presupposto di una deterrenza efficace è che la ritorsione minacciata possa concretamente

realizzarsi in danno di un aggressore compiutamente e inequivocabilmente identificato.

La deterrenza, definita come «potere di distogliere da un’azione dannosa per timore di

una punizione o di una rappresaglia»39, richiede che la punizione o rappresaglia prospettati

37 Cfr. Halliday J., Stuxnet worm is the 'work of a national government agency, The Guardian (24 September 2010), https://www.theguardian.com/technology/2010/sep/24/stuxnet-worm-national-agency ; CBS, Iran blames U.S., Israel for Stuxnet malware, CBS News (16 April 2011), https://www.cbsnews.com/news/iran-blames-us-israel-for-stuxnet-malware/ ; Stark H., Mossad's Miracle Weapon: Stuxnet Virus Opens New Era of Cyber War, Der Spiegel (8 August 2011), https://www.spiegel.de/international/world/mossad-s-miracle-weapon-stuxnet-virus-opens-new-era-of-cyber-war-a-778912.html ; Kelley M.B.,Obama Administration Admits Cyberattacks Against Iran Are Part of Joint US-Israeli Offensive, Business Insider (1 June 2012), https://www.businessinsider.com/obama-cyberattacks-us-israeli-against-iran-2012-6?IR=T .

38 Cfr. Clark D.D., Landau S., Untangling Attribution, in National Research Council 2010, Proceedings of a Workshop on Deterring Cyberattacks: Informing Strategies and Developing Options for U.S. Policy, Washington, DC, 2010, p. 25.

39 Treccani, Vocabolario, ad vocem.

24

siano tali da generare nell’avversario la convinzione che il costo dell'azione da egli

pianificata sia superiore ai benefici percepiti40: essa deve quindi fondarsi sulla capacità,

intesa come disponibilità di mezzi idonei a dissuadere l’avversario, sulla credibilità, intesa

come verosimiglianza che le reazioni prospettate saranno effettivamente messe in opera,

e sulla comunicazione, cioè sull’efficacia del messaggio trasmesso all’interlocutore ostile41.

È evidente che l’efficacia della deterrenza è funzione dell’intensità del danno che il

soggetto minacciato è in grado di procurare, tramite un contrattacco, all’avversario che non

desista. Se nel caso degli armamenti convenzionali, e più ancora di quelli non convenzionali

(armi nucleari in particolare) nell’ambito dei quali la dottrina della deterrenza ha in effetti

conseguito i suoi principali risultati, tale intensità può raggiungere la soglia del catastrofico,

altrettanto è difficile a dirsi per quanto riguarda l’armamento cibernetico. Ciò spiega perché

a parere di alcuni42 la difesa sia, nello spazio cibernetico, l’unica possibile dimensione della

deterrenza43 e, prima ancora, porta a chiedersi se sia possibile parlare di “armi” o

“armamento” cibernetico.

40 US Joint Chiefs of Staff, Joint Publication 3-0. Joint Operations, 17 January 2017, par. VI, 1, f): «Deterrence prevents adversary action through the presentation of a credible threat of unacceptable counteraction and belief that the cost of the action outweighs the perceived benefits. The nature of deterrent options varies according to the nature of the adversary (e.g., traditional or irregular, state or non-state), the adversary’s actions, [the] national objectives, and other factors. Deterrence stems from an adversary’s belief that the opponent’s actions have created or can create an unacceptable risk to the adversary’s achievement of objectives (i.e., the contemplated action cannot succeed or the costs are too high). Thus, a potential aggressor chooses not to act for fear of failure, risk, or consequences. Ideally, deterrent forces should be able to conduct decisive operations immediately. However, if available forces lack the combat power to conduct decisive operations, they conduct defensive operations while additional forces deploy».

41 US Joint Chiefs of Staff, Joint Publication 3-0. Joint Operations, 17 January 2017, par. VIII, 4, a): « Deterrence should be based on capability (having the means to influence behavior), credibility (maintaining a level of believability that the proposed actions may actually be employed), and communication (transmitting the intended message to the desired audience) to ensure greater effectiveness (effectiveness of deterrence must be viewed from the perspective of the agent/actor that is to be deterred)».

42 CINI - Consorzio Interuniversitario Nazionale per l’Informatica, Il Futuro della Cybersecurity in Italia: Ambiti Progettuali Strategici, 2018, p. 23-24.

43 Rid e McBurney notano che « when it comes to cyber-weapons, the offence has higher costs, a shorter shelf-life than the defence, and a very limited target set. All this drastically reduces the coercive utility of cyber-attacks. Any threat relies on the offender's credibility to attack, or to repeat a successful attack. Even if a potent cyber-weapon could be launched successfully once, it would be highly questionable if an attack, or even a salvo, could be repeated in order to achieve a political goal. At closer inspection cyber-weapons do not seem to favour the offence» (Rid T., McBurney P., Cyber-Weapons, in The RUSI Journal, Vol. 157, 2012, p. 12). Taddeo osserva che proprio l’attribution è il maggiore ostacolo a una efficace deterrenza cibernetica, attese le difficoltà che si riscontrano in una compiuta e corretta identificazione dell’autore dell’attacco. L’A. osserva che nel contesto cibernetico occorre pensare a un nuovo modello di deterrenza, non più basato sui parametri di quella convenzionale (attribution, capability of the defender to signal credible threats, defence and retaliation as types of deterring strategies), ma costruito attorno ai tre elementi del target identification, retaliation, demonstration, dove il primo

25

Sebbene non esista nell’ordinamento internazionale una definizione di “arma”, si può

convenire sul fatto che tale sia qualunque strumento atto a offendere le persone e, più in

generale, a produrre conseguenze violente su persone e cose44. Si ammette che ciò non

debba necessariamente avvenire con un impatto fisico45, attraverso scoppio o penetrazione

o comunque rilascio di energia cinetica, né che lo strumento impiegato debba essere stato

appositamente ed esclusivamente creato per offendere, giacché, diversamente, non

potrebbero essere considerate armi strumenti non cinetici e dual-use quali le armi biologiche

e chimiche né sarebbero ritenuti mezzi di combattimento gli strumenti di guerra elettronica.

Prescindendo dunque dal modo in cui lo strumento offende, può ammettersi che codici,

«allows the defender to isolate (and counter-attack) enemy systems independently from the identification of the actors behind them, thereby side-stepping the attribution problem, while identifying a justifiable target for retaliation», mentre rappresaglia e dimostrazione si spiegano perché «deterrence in cyberspace works if it can demonstrate the defender’s capability to retaliate against a current attack by harming the source system. While not being able to deter an incoming cyber attack, retaliation will deter the next round of attacks coming from the same opponent. […] Thus, to be successful, cyber deterrence needs to shift from threatening to prevailing». Taddeo M., How to Deter in Cyberspace, Strategic Analysis June-July 2018, Hybrid CoE, https://www.hybridcoe.fi/wp-content/uploads/2018/06/Strategic-Analysis-2018-6and7-Taddeo.pdf)

44 La codificazione in materia di diritto internazionale umanitario, nella parte dedicata allo svolgimento delle ostilità, utilizza l’espressione “mezzi e metodi di combattimento” e non definisce il contenuto del termine “mezzi”. Il Manual on international law applicable to air and missile warfare pubblicato nel 2009 dal Program on Humanitarian Policy and Conflict Research at Harvard University (HPCR) definisce i mezzi di combattimento come armi, sistemi d’arma o piattaforme utilizzati ai fini di un attacco (rule 1.t), dove l’attacco è, ai sensi dell’art. 49, § 1, del I Protocollo Addizionale, un atto di violenza contro l’avversario, compiuto sia a scopo di offesa che di difesa. Arma (weapon) è, sempre nell’HPCR Manual, un mezzo di combattimento (warfare) che comprende armi da fuoco, missili, bombe o altre munizioni e che può causare i) lesioni o morte di esseri umani oppure ii) danni o distruzione di beni (rule 1.ff). Nell’ordinamento giuridico italiano, una definizione di arma si rinviene del Testo unico delle leggi di pubblica sicurezza – TULPS (Regio Decreto 18 giugno 1931, n. 773) che, nell’art. 31, si esprime in questi termini: « […] per armi si intendono : 1° le armi proprie, cioè quelle da sparo e tutte le altre la cui destinazione naturale è l’offesa alla persona; 2° le bombe, qualsiasi macchina o involucro contenente materie esplodenti, ovvero i gaz asfissianti o accecanti». L’art. 585, comma 2, del codice penale (con una formulazione in parte ripresa dal successivo art. 704) afferma che «per armi s’intendono: 1. quelle da sparo e tutte le altre la cui destinazione naturale è l’offesa alla persona; 2. tutti gli strumenti atti ad offendere, dei quali è dalla legge vietato il porto in modo assoluto, ovvero senza giustificato motivo». Il comma 3 chiarisce che «sono assimilate alle armi le materie esplodenti e i gas asfissianti o accecanti». Altre disposizioni, in particolare gli artt. 1, 2 e 4 della L. 18 aprile 1975, n. 110, consentono di tracciare una classificazione tra armi da guerra (caratterizzate da «spiccata potenzialità di offesa»), armi tipo guerra, armi comuni da sparo e armi comuni non da sparo.

45 Cfr. Program on Humanitarian Policy and Conflict Research at Harvard University, Commentary on the HPCR Manual on International Law Applicable to Air and Missile Warfare, Cambridge, 2010, p. 55 (da ora in avanti Commentary on HPCR Manual).

26

software e hardware utilizzati per l’esecuzione di CNA siano armi (mezzi di combattimento),

che dispiegano i propri effetti attraverso flussi di dati46.

Altri ancorano la qualificazione come arma degli strumenti informatici ad enunciati più

ampi che fanno riferimento al fine per il quale sono utilizzate le armi, vale a dire, in generale,

avere la meglio sull’avversario: le armi cibernetiche sarebbero dunque armi non letali47 che

consentono di sopraffare l’avversario attaccandone i sistemi collegati al cyber-spazio e

causando «tremendous destruction and serious damage» pur senza distruggere

infrastrutture fisiche o vite umane48. Altri ancora, attribuiscono agli strumenti informatici la

46 Ibidem: «As an example, a CNA […] on an air traffic control system can result in aircraft crashes so that the equipment and computer codes employed would qualify as weapons (or more precisely, a weapon system)».

47 Il tema delle armi non-letali è stato sviluppato in particolare con riferimento alle esigenze di ordine pubblico e controllo della folla (quest’ultimo anche nel contesto di operazioni militari di peace-keeping). Sebbene il riferimento alla letalità lasci intendere che la nozione sia circoscritta ai soli strumenti che possono essere usati nei confronti di persone, in ambito NATO la definizione è più ampia - «Non-Lethal Weapons are weapons which are explicitly designed and developed to incapacitate or repel personnel, with a low probability of fatality or permanent injury, or to disable equipment, with minimal undesired damage or impact on the environment» (NATO Press Statement, 13 October 1999, http://www.nato.int/docu/pr/1999/p991013e.htm) - e il Dipartimento della Difesa statunitense valorizza anche il fatto che tali armi «are intended to have reversible effects on personnel and materiel» (https://jnlwp.defense.gov/About/Planning-Guidance-Vision-Mission-Definition/). La definizione si fonda sulla circostanza che le cd. armi non-letali sono espressamente concepite (designed, intended) per non produrre effetti letali; tuttavia, poiché nella prassi è accaduto che esse abbiano provocato ferite molto serie e persino decessi, resta controversa la possibilità di designare come non letale una categoria di armi (cfr. Commentary on HPCR Manual, p. 79). Per alcuni cenni in generale sulle armi non letali, cfr. Massingham E., Conflict without casualties...a note of caution: non-lethal weapons and international humanitarian law, in International Review of the Red Cross, Vol. 94: 886, 2012, p. 673-685; Davison M., The Early History of “Non-Lethal” Weapons, Bradford Non-Lethal Weapons Research Project (BNLWRP), Occasional Paper no. 1, 2006; Fidler D.P., The meaning of Moscow: “Non-lethal” weapons and international law in the early 21st century, in International Review of the Red Cross, Vol. 87: 859, 2005, p. 525-552. Sulla possible analogia tra armi non-letali e capacità cyber, cfr. Schmidle R.E. Jr. - Sulmeyer M. - Buchanan B., nonlethal weapons and cyber capabilities, in Understanding cyber conflict: fourteen analogies, G. Perkovich and A.E. Levite eds., Georgetown University Press, 2017, p. 31-44. Di sicuro interesse il fatto che gli autori prediligano il termine “capacità” rispetto ad “arma”, per evidenziare che gli strumenti informatici non hanno per loro intrinseca natura una finalità offensiva. L’analisi ruota intorno alle quattro caratteristiche tipiche delle armi non-letali (capacità di neutralizzare/incapacitate l’obiettivo; limitatezza dei danni collaterali; reversibilità degli effetti; impiego tattico come deterrenti) e conclude che l’analogia tra armi non-letali e capacità cibernetiche non è poi così stretta.

48 Cfr. Cohen D. – Rotbart A., The proliferation of weapons in cyberspace, in Military and Strategic Affairs, Vol. 5, 2013, p. 59

27

natura di arma solo ove concorrano la capacità dello strumento di causare danni e l’intento

del soggetto che lo impiega di provocarli49,50.

Si è proposto51 di classificare le armi cibernetiche lungo uno spettro che va da un

estremo “a basso potenziale” dove si colloca il malware generico, capace di influenzare un

sistema dall’esterno ma non di penetrarvi e creare danni diretti, all’altro “ad alto potenziale”,

dove il malware si comporta come un agente intelligente e penetra anche sistemi protetti e

fisicamente isolati, influenzandone autonomamente i processi di output per infliggere danni

diretti; nel mezzo, una gamma che va dalla generica penetrazione dei sistemi senza che si

riesca ad influenzarne i processi a intrusioni mirate capaci di provocare danni al

funzionamento del sistema. Il sovraccarico di un server tramite un attacco DoS o DDos, il

defacement di un sito web e anche lo spionaggio industriale o la sottrazione di dati non

producono danni diretti e, di conseguenza, ben difficilmente possono essere qualificati come

armi. All’estremo opposto, sono certamente armi i missili a guida radar attiva, che

contengono la componentistica elettronica necessaria per individuare e inseguire il suo

bersaglio in autonomia (in particolare quando sono configurati in modalità target of

opportunity). Nel mezzo, un’ampia varietà di strumenti rispetto ai quali chiedersi se sono

capaci di introdursi in un sistema, se sono adatti ad essere usati contro obiettivi specifici di

particolare interesse, se sono in grado di superare le elevate protezioni tipiche dei processi

industriali, dei servizi pubblici e delle reti di telecomunicazione civili e militari, se l'obiettivo

ha un proprio potenziale intrinseco di produrre danni fisici come conseguenza della modifica

49 Cfr. Arimatsu L., A treaty for governing cyber weapons: potential benefits and practical limitations, in Czosseck C., Ottis R., Ziolkowski K. (Eds.), 2012 4th International Conference on Cyber Conflict, Tallin, 2012, p. 98: «a malicious code might be deemed a ‘weapon’ not solely by its intrinsic properties but also by the outcome it is designed to produce. In other words, only if it is established that a malicious code possesses an offensive capability and there is an intention to use it in a manner which comports with its offensive capability might the malware be deemed a ‘cyber-weapon’. Accordingly, it is both the offensive capability of the malicious code and the intended outcome or effect produced by that code that transforms it into a weapon». Più in generale, sulle difficoltà della dottrina nel costruire una teoria delle armi cibernetiche, inclusiva non solo di una definizione, ma anche di paradigmi per costruire, ad esempio, meccanismi di controllo per la produzione e il commercio di tali armi simili a quelli impiantati per le armi convenzionali e non convezionali, cfr. anche Robinson M., Jones K., Janicke H., Cyber Warfare: Issues and Challenges, in Computers & Security, Vol. 49, 2015, in particolare p. 40-46.

50 Insistono sull’elemento psicologico quale dato cruciale nell’impiego di armi cibernetiche Rid T., McBurney P., Cyber-Weapons, in The RUSI Journal, Vol. 157, 2012, p. 6-13, i quali evidenziano che uno strumento informatico può qualificarsi come arma non solo quando ricorre l’intenzione dell’aggressore di recare, tramite il suo utilizzo, pregiudizio all’obiettivo (ciò che consente anche di distinguere gli attacchi dagli incidenti), ma anche quando sia il bersaglio a ritenere che quello strumento abbia il potenziale di recargli un danno effettivo. Le esperienze finora raccolte in ambiente cibernetico hanno mostrato che la percezione dell’offensività dello strumento è stata nettamente superiore alle capacità offensive concrete del medesimo.

51 Rid - McBurney, op. cit.

28

o dell’arresto dei suoi processi, dato che un codice malevolo di per sé non ha effetti esplosivi,

incendiari, perforanti ecc.

La questione dell’esistenza di armi cibernetiche è di non poco momento non solo

perché essa concorre a parametrare le circostanze in cui si può ritenere raggiunta la soglia

dell’uso della forza o dell’attacco armato (su cui vedi infra, cap. 2) ma anche perché ne

discende la possibilità, come per le altre armi, di vietarne (e incriminarne) lo sviluppo, il

possesso e l’uso.

Vi è poi da considerare l’elemento del rapporto tra costi e benefici nello sviluppo di

armi cibernetiche, che si riverbera sulla possibilità di replicarne l’uso. Infatti, l’individuazione

del malware o del virus, e il fatto che essi siano contrassegnati (signed) da parte dei software

di protezione, consente di predisporre adeguate difese contro il loro futuro reimpiego, ciò

che porta a concludere che le armi informatiche possano essere impiegate utilmente una

sola unica volta, la prima, e che sia necessaria una costante, continua (e costosa) attività di

ricerca e sviluppo per produrre sempre nuovi strumenti di guerra informatica capaci di

superare i software di protezione52.

52 Questa prospettiva non è unanimemente accolta in dottrina. Il successo degli attacchi informatici dipende infatti dalla capacità di sfruttamento di una vulnerabilità del sistema attaccato; la vulnerabilità può risiedere in una componente software il cui codice è stato scritto senza sufficiente attenzione alla sicurezza, in una componente hardware che può essere penetrata e programmata per compiere azioni nocive, o nell’uso di un protocollo di comunicazione non sicuro. La sicurezza del sistema dipende quindi dalla sicurezza, concorrente, di tutti questi elementi ed è possibile reiterare l’attacco sfruttando, di volta in volta, una vulnerabilità diversa e scomponendo i diversi moduli che compongono le “armi informatiche” (responsabili delle diverse funzioni, quali nascondere il malware nel sistema attaccato, raccogliere le informazioni, immagazzinarle e trasmetterle al server che esercita il comando e controllo sul malware) per aggregarli nel codice di un diverso malware non ancora riconoscibile dai sistemi antivirus. Si osserva inoltre che, dopo la scoperta del malware, occorre risolvere la vulnerabilità così individuata, distribuire una patch di sicurezza a tutti gli utenti del software e attendere che essa sia installata su tutti i computer. Solo al termine di questo processo potrà affermarsi che i sistemi informatici sono divenuti immuni al codice maligno, ma si tratta di un processo che richiede tempo sia perché la patch deve essere elaborata e sperimentata sia perché occorre la collaborazione di tutti gli utenti affinché essa sia installata su tutte le macchine affette dalla vulnerabilità originaria. Durante questo intervallo, il malware può continuare ad attaccare altri obiettivi. Cfr. Cohen D. – Rotbart A., The proliferation of weapons in cyberspace, in Military and Strategic Affairs, Vol. 5, 2013, p. 59-80.

29

CAPITOLO 2

LE OPERAZIONI CIBERNETICHE NEL DIRITTO INTERNAZIONALE

1. L’uso della forza nell’ordinamento internazionale; 1.1. Le conseguenze della violazione del divieto ex art. 2, § 4, della Carta delle Nazioni Unite; 1.2. L’uso della forza e le operazioni cibernetiche; 2. La legittima difesa nell’ordinamento internazionale; 3. Il regime della responsabilità internazionale e le operazioni cibernetiche. Il problema dell’attribution.

Ai fini del corretto inquadramento della problematica dell’autodifesa nel dominio

cibernetico, è opportuno ricostruire l’istituto nei suoi termini generali e nella sua relazione

con il tema, più ampio, della guerra e della sua liceità nel diritto internazionale.

Osserva BOBBIO53 che i due termini pace e guerra costituiscono un tipico esempio di

antitesi nella quale i due vocaboli sono definiti “circolarmente”, l’uno per mezzo dell’altro, e

quindi acquistano la pienezza del loro significato dal solo fatto di presentarsi in coppia.

È questo il caso di quelle definizioni che intendono per pace l’assenza di guerra e per guerra

la mancanza di pace. Tuttavia, è possibile che, dei due termini, uno sia sempre definito per

mezzo dell’altro, cioè che uno sia il termine forte, indipendente, e l’altro, definito unicamente

come negazione del primo, sia il termine debole, dipendente. Nel caso della coppia guerra-

pace, si può senz’altro affermare che la guerra sia il termine forte, giacché di essa si

possono rinvenire in letteratura innumerevoli definizioni, mentre la pace è esclusivamente

definita come assenza o cessazione della guerra.

Ancora con le parole di BOBBIO, si instaura «uno stato di guerra quando due o più

gruppi politici si trovano tra loro in un rapporto di conflitto la cui soluzione viene affidata

all’uso della forza»54. La situazione di conflitto si dà «ogniqualvolta i bisogni o gli interessi

[…] di un gruppo sono incompatibili con quelli […] di un altro gruppo e quindi non possono

essere soddisfatti se non a danno o dell’uno o dell’altro»55.

L’uso della forza con riferimento alla guerra significa «uso di mezzi capaci di infliggere

sofferenza fisiche», giacché solo la violenza fisica distingue la guerra da altre forme di

esercizio del potere dell’uomo sull’uomo56.

53 Bobbio N., Pace, in Enciclopedia del Novecento, vol. VIII, p. 812. 54 Ibidem, p. 814. Con le parole di De Vergottini, la guerra «si produce in situazioni in cui gli stati

abbandonano relazioni di tipo collaborativo o di convivenza passando da rapporti di tipo diplomatico a rapporti regolati da atti di forza» (Guerra e Costituzione Nuovi conflitti e sfide alla democrazia, Bologna, 2004, p. 81).

55 Bobbio N., Pace, cit, p. 814. 56 Loc. cit. Bobbio sottolinea inoltre come l’impiego della parola ‘forza’ al posto di ‘violenza’ non

sia un semplice “artificio verbale” per evitare la “connotazione assiologicamente negativa” del termine ‘violenza’. L’impiego della parola ‘forza’ servirebbe invece ad indicare quel particolare tipo di violenza che viene impiegata «da chi è autorizzato ad usarla da un sistema normativo

30

Infine, la forza con cui si intende risolvere un conflitto tra due o più gruppi politici si

caratterizza, nella guerra, per il suo essere esercitata collettivamente, il suo essere “non

accidentale” (con ciò distinguendo la guerra da episodi di violenza sporadici, discontinui,

senza conseguenze sull’assetto territoriale dei belligeranti57), il suo presupporre un apparato

predisposto e addestrato allo scopo.

Posti questi primi elementi definitori, è possibile osservare il fenomeno guerra

attraverso una «tavola classificatoria, organizzata per genus e per species»58, fondata

sull’esame delle forme assunte storicamente dalla guerra, delle modalità con cui essa è

stata combattuta e degli obiettivi che di volta in volta ha perseguito.

Il tema della forma della guerra riguarda più propriamente la natura dei soggetti che la

combattono. Sotto questo profilo, si danno guerre combattute tra Stati e guerre in cui i

soggetti che si affrontano sono gruppi in conflitto tra loro o nei confronti di uno Stato.

La guerra tra Stati è guerra tra soggetti della comunità internazionale posti in posizione

di eguaglianza (giuridica, anche se spesso non sostanziale) e viene perciò detta

che distingue in base a regole efficaci uso lecito e uso illecito dei mezzi che infliggono sofferenze e anche in casi estremi la morte». La ‘forza’ è dunque una violenza “lecita perché autorizzata”.

57 Si veda, a questo proposito, quanto affermato dal II Protocollo aggiuntivo alle Convenzioni di Ginevra del 12 agosto 1949 relativo alla protezione delle vittime dei conflitti armati non internazionali, adottato a Ginevra l’8 giugno 1977, il quale nel suo art. 1, par. 1, chiarisce che «[le] situazioni di tensioni interne, di disordini interni, come le sommosse, gli atti isolati e sporadici di violenza ed altri atti analoghi, […] non sono considerati come conflitti armati».

58 Bonanate L., La guerra, Roma-Bari, 1998, p. 5.

31

internazionale59. Può essere60 “diadica”, cioè combattuta tra due Stati, o ‘coalizionale’, cioè

combattuta da due gruppi di Stati (la cui alleanza può precedere o seguire lo scoppio del

conflitto e non necessariamente perdura integra per la sua intera durata o sopravvive alla

sua fine).

Alla guerra internazionale è assimilata la guerra cui partecipi in qualità di soggetto una

organizzazione insurrezionale che abbia personalità internazionale e la guerra di liberazione

fondata sul principio di autodeterminazione: in questi casi, soggetto del conflitto è un popolo

che non è ancora costituito in Stato, cioè uno Stato in fieri61.

Contrapposta alla guerra internazionale è la guerra interna, a sua volta distinguibile –

almeno – in due ipotesi: una nella quale si affrontano fazioni in lotta reciproca nell’assenza

o dissoluzione di un’autorità centrale e una guerra civile, nella quale gruppi armati

organizzati si oppongono alle forze armate dello Stato con l’obiettivo di rovesciare il governo

al potere o di distaccare porzioni di territorio e creare nuove entità statali62.

Diversa e, a parere di chi scrive, non inquadrabile nelle due categorie del conflitto

internazionale o interno (né, a fortiori, in alcuna delle sottospecie considerate) è la

59 Una prima indicazione circa il contenuto della nozione di conflitto tra Stati o conflitto internazionale (e dunque un contributo per identificare la soglia oltre la quale le ostilità tra Stati assumono la veste di ‘guerra’) la fornisce l’art. 2 comune alle Convenzioni di Ginevra del 1949, che, nel disciplinare il campo di applicazione dei trattati medesimi, li dichiara applicabili alle ipotesi di «guerra dichiarata o di qualsiasi altro conflitto armato che scoppiasse tra due o più delle Alte Parti contraenti, anche se lo stato di guerra non fosse riconosciuto da una di esse» e di «occupazione totale o parziale del territorio di un’Alta Parte contraente, anche se questa occupazione non incontrasse resistenza militare alcuna». Conflitto armato (Cf. De Vergottini G., Guerra e costituzione, cit., p. 83-84, per una ricognizione delle ragioni che hanno indotto il legislatore internazionale (e anche quello nazionale) a sostituire il termine guerra con la locuzione conflitto armato, di fatto limitandosi ad eliminare semanticamente la prima, ma non a superarla) è ogni controversia che insorga tra due Stati e provochi l’intervento delle forze armate; la sua durata e il numero di vittime che esso provoca non hanno alcuna influenza ai fini della qualificazione (Cf. gli atti della conferenza diplomatica del 1949, conclusasi con l’adozione delle quattro Convenzioni di Ginevra del 12 agosto 1949: Actes X, CDDH/I/238/Rev.1, p. 95-96). Estensione di contenuto si è avuta con l’adozione, nel 1977, del I Protocollo addizionale alle Convenzioni di Ginevra, relativo alla protezione delle vittime dei conflitti armati internazionali, ai sensi del cui art. 1, par. 4, nella nozione di conflitto armato internazionale rientrano anche «i conflitti armati nei quali i popoli lottano contro la dominazione coloniale e l’occupazione straniera e contro i regimi razzisti, nell’esercizio del diritto dei popoli di disporre di sé stessi, consacrato nella Carta delle Nazioni Unite e nella Dichiarazione relativa ai principi di diritto internazionale concernenti le relazioni amichevoli e la cooperazione fra gli Stati in conformità della Carta delle Nazioni Unite».

60 Bonanate L., La guerra, cit., p. 5. 61 Per un approfondimento del tema, si vedano, tra gli altri, Sereni A.P., Il concetto di guerra nel

diritto internazionale contemporaneo, in Rivista di diritto internazionale, 1963, p. 571 ss.; Cassese A., Diritto internazionale II. Problemi della comunità internazionale, 2004, Bologna, p. 76 ss.

62 Le guerre ‘civili’ si potrebbero perciò classificare in guerre di secessione, con le quali comunità etniche, religiose o linguistiche ambiscono a costituirsi in Stati indipendenti, e guerre interne provocate da motivi ideologici, tese ad ottenere un mutamento di regime.

32

cosiddetta “guerra al terrorismo internazionale”. In quest’ultima, infatti, parti al conflitto

sarebbero da una parte lo Stato colpito dall’attività terroristica (e i suoi eventuali alleati),

dall’altra l’organizzazione criminale che compie atti di terrorismo e una delle cui peculiarità

è la delocalizzazione rispetto ad un territorio. Del resto, l’esperienza dell’attacco contro

l’Afghanistan in risposta agli attentati terroristici compiuti nel settembre 2001 sul territorio

degli Stati Uniti più che come guerra contro l’organizzazione responsabile è stata una guerra

contro lo Stato pro tempore ospitante l’organizzazione e perciò accusato di connivenza63.

Quanto alle modalità attraverso cui si svolge la guerra, il fenomeno implica

l’applicazione della forza armata per il tramite di un apparato militare.

Benché la guerra armata sia solo una delle modalità di svolgimento del conflitto tra

Stati – giacché si danno, ad esempio, altre tipologie quali la cd. guerra commerciale o la cd.

guerra economica – essa merita una particolare attenzione perché, nelle parole di DE

VERGOTTINI, è la «massima espressione dell’applicazione della violenza nei rapporti tra

Stati»64 e perché è alla guerra “armata” che si riferiscono le disposizioni che nella

Costituzione italiana ne disciplinano la dichiarazione, i poteri degli organi costituzionali, la

legislazione speciale.

Se la guerra è dunque un “conflitto combattuto”, possiamo ancora distinguere65, da un

punto di vista descrittivo, tra guerre cd. regolari, ovvero combattute secondo regole

condivise e da apparati militari professionali, e guerre irregolari, ovvero quelle che

prevedono il ricorso a tecniche e strumenti anomali; tra guerre convenzionali, combattute

con armamento classico, e guerre non convenzionali, che prevedono l’impiego di armamenti

bio-chimici o nucleari; tra guerre simmetriche, caratterizzate dalla omogeneità dei

belligeranti, e guerre asimmetriche, tali essendo quelle in cui almeno uno dei belligeranti

non è uno Stato, non possiede e non impiega tecnologia bellica progredita e

tendenzialmente non rispetta le regole della guerra.

Quanto agli obiettivi o, altrimenti detto, alle finalità perseguibili attraverso la guerra,

essi sembrano ricondursi essenzialmente a due modelli66: l’imposizione della volontà del

vincitore sul vinto67, cioè la «determinazione di una regolamentazione autoritativa dei

63 Risulta dunque impossibile dal punto di vista giuridico impiegare il termine guerra per indicare conflitti che investano organizzazioni terroristiche ed improprio ricorrere al concetto di legittima difesa qualora la reazione armata sia diretta contro un’entità non statuale.

64 De Vergottini G., Guerra e costituzione, cit., p. 80. 65 Bonanate L., La guerra, cit., p. 6. 66 De Vergottini G., Guerra e Costituzione, cit., p. 77. 67 Clausewitz K. von, Della guerra, trad. it, Milano, 1970, I,I,2, p. 19: «La guerra è dunque un atto

di forza che ha per iscopo di costringere l’avversario a sottomettersi alla nostra volontà».

33

rapporti tra stati»68 e la debellatio, cioè l’annientamento del nemico, che può assumere le

forme più varie, dalla distruzione della popolazione alla distruzione del potenziale bellico,

dall’annessione del territorio all’eliminazione di un regime politico.

Tornando al problema della definizione della guerra, si può dunque dire che la

sostanza del fenomeno risiede nella necessaria combinazione dell’uso della forza armata e

del proposito di imporre all’avversario la propria volontà (se non, in ipotesi estreme, di

annientarlo).

1. L’uso della forza nell’ordinamento internazionale

Tradizionalmente concepito come uno degli strumenti a disposizione degli Stati nella

loro vita di relazione internazionale, l’istituto della guerra si è visto progressivamente

restringere l’ambito di applicazione a partire dal primo conflitto mondiale69. Il potere di

guerra, pertanto, come potere giuridico, è stato «declassato nel suo titolo e circoscritto nel

suo contenuto», talché gli Stati hanno oggi non più uno ius ad bellum, ma una facultas

bellandi70. Di tale prospettiva è emblematico, anche perché inserito in un trattato che

disciplina in modo innovativo la sicurezza internazionale, l’art. 2, § 4 della Carta delle

Nazioni Unite.

Tale norma stabilisce che tra i principi in conformità dei quali devono agire l’organizzazione

e i suoi membri vi è quello secondo cui «i Membri devono astenersi nelle loro relazioni

internazionali dalla minaccia o dall’uso della forza, sia contro l’integrità territoriale o

l’indipendenza politica di qualsiasi Stato, sia in qualunque altra maniera incompatibile con i

fini delle Nazioni Unite».

Detto principio corrisponde ad una norma di diritto internazionale consuetudinario,

come esplicitato anche dalla Corte internazionale di giustizia nella sentenza Nicaragua c.

68 Bonanate L., La guerra, cit., p. 129. Lo stesso autore definisce altrimenti il fine della guerra come «il potere di determinare il contenuto della vita politica successiva alla conclusione del conflitto» (p. 7).

69 Non è questa la sede per approfondire gli aspetti storici della questione; basti semplicemente ricordare la prima Convenzione dell’Aja del 1899 per il regolamento pacifico delle controversie internazionali, che obbligava (art. 2) le Parti, in caso di serio disaccordo o conflitto e prima di far appello alle armi, a ricorrere ai buoni uffici o alla mediazione di altre Potenze (identica previsione fu reiterata dalla Convenzione dell’Aja del 1907 con pari oggetto); il Patto della Società delle Nazioni del 1919, che imponeva l’obbligo di sottoporre ad arbitrato, regolamento giudiziario o esame del Consiglio della Società le controversie suscettibili «di condurre ad una rottura» e l’obbligo di non ricorrere alla guerra prima che fossero trascorsi tre mesi dalla sentenza arbitrale o giudiziaria ovvero dal rapporto del Consiglio (art. 12, § 1); il Patto Briand-Kellogg del 1928, con il quale si condannava «il ricorso alla guerra per il regolamento delle controversie internazionali» e si imponeva agli Stati la rinuncia ad essa «quale strumento di politica nazionale nelle loro reciproche relazioni» (art. 1).

70 Panebianco M., Guerra. I) Diritto internazionale, in Enciclopedia Giuridica, vol. XV, ad vocem.

34

Stati Uniti d’America del 198671. Ne consegue che esso vincola non solo gli Stati membri

dell’organizzazione, ma tutti gli Stati72, mentre non vincola l’ONU stessa73.

Quanto al significato del termine “forza” impiegato dall’articolo in esame, parrebbe

potersi affermare che, in mancanza di aggettivi che lo qualifichino, esso si riferisca a tutte le

possibili tipologie di forza, incluse quindi, oltre a quella armata, la forza economica, politica,

ecc.

71 Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. United States of America), merits, Judgement, I.C.J. Reports, 1986. In dettaglio, la Corte deduce l’esistenza di una opinio juris relativa al valore obbligatorio del divieto (parr. 188 e 190) dall’atteggiamento degli Stati verso alcune risoluzioni dell’Assemblea Generale e in particolare verso la n. 2625 (XXV) del 24 ottobre 1970 intitolata “Dichiarazione sui principi di diritto internazionale concernenti le relazioni amichevoli e la cooperazione fra gli stati conformemente alla Carta delle Nazioni Unite”: «The effect of consent to the text of such resolutions cannot be understood as merely that of a “reiteration or elucidation” of the treaty commitment undertaken in the Charter. On the contrary, it may be understood as an acceptance of the validity of the rule or set of rules declared by the resolution by themselves. The principle of non-use of force, for example, may thus be regarded as a principle of customary international law, not as such conditioned by provisions relating to collective security, or to the facilities or armed contingents to be provided under Article 43 of the Charter. It would therefore seem apparent that the attitude referred to expresses an opinion juris respecting such rule (or set of rules), to be thenceforth treated separately from the provisions, especially those of an institutional kind, to which it is subject on the treaty-law plane of the Charter». E ancora «the validity as customary international law of the principle of the prohibition of the use of force expressed in Article 2, paragraph 4, of the Charter of the United Nations may be found in the fact that it is frequently referred to in statements by State representatives as being not only a principle of customary international law but also a fundamental or cardinal principle of such law. The International Law Commission, in the course of its work on the codification of the law of treaties, expressed the view that "the law of the Charter concerning the prohibition of the use of force in itself constitutes a conspicuous example of a rule in international law having the character of jus cogens" […]».

72 Cf. in proposito la “Dichiarazione sul rafforzamento dell’efficacia del principio dell’astensione dalla minaccia o dall’uso della forza nelle relazioni internazionali”, adottata dall’Assemblea Generale con la risoluzione n. 42/22 del 18 novembre 1987 a termini della quale il divieto ha carattere di norma “universale” e si impone “a tutti gli Stati” (n. 2).

73 Tale eccezione è coerente con l’impianto generale del sistema di sicurezza collettiva previsto dalla Carta, consistente nell’accentramento dell’uso della forza nelle mani di un’autorità internazionale responsabile del mantenimento o del ristabilimento della pace e nel correlativo divieto, per gli Stati, di ricorrere autonomamente all’uso della forza medesima (disegno di cui dà conto la lettura del punto 7° del Preambolo della Carta, dell’art. 2, § 4 e dell’intero Capitolo vii). La Carta attribuisce al Consiglio di Sicurezza il potere di intraprendere azioni implicanti l’uso della forza (art. 42) servendosi, all’occorrenza, anche di accordi od organizzazioni regionali (art. 53, par. 1). In particolare, l’art. 42 prevede che «Se il Consiglio di Sicurezza ritiene che le misure previste nell'articolo 41 [i.e. “misure non implicanti l’uso della forza”] siano inadeguate o si siano dimostrate inadeguate, esso può intraprendere, con forze aeree, navali o terrestri, ogni azione che sia necessaria per mantenere o ristabilire la pace e la sicurezza internazionale. Tale azione può comprendere dimostrazioni, blocchi ed altre operazioni mediante forze aeree, navali o terrestri di Membri delle Nazioni Unite». L’art. 53, par. 1, a sua volta, prevede che «il Consiglio di Sicurezza utilizza, se del caso, gli accordi o le organizzazioni regionali per azioni coercitive sotto la sua direzione […]» (corsivo di chi scrive).

35

Tuttavia, tale dilatazione della portata dell’art. 2, § 4 si esclude74 in base a valutazioni

di tipo sistematico: innanzitutto, il richiamo alle considerazioni contenute nel Preambolo, ove

si reputa strumentale al salvataggio «[del]le future generazioni dal flagello della guerra»

«l’accettazione di principi e l’istituzione di sistemi» che assicurino il non-uso della “forza

armata”; poi l’art. 44 che, nel disciplinare la decisione del Consiglio di Sicurezza di ricorrere

alla forza, fa riferimento alla fornitura da parte degli Stati membri, di “forze armate”; infine il

fatto che la Dichiarazione sulle relazioni amichevoli, che ha valore interpretativo dei principi

della Carta, non contempla altro che le ipotesi di minaccia o di uso della forza armata nella

sezione in cui specifica il contenuto dell’art. 2, § 475. Se la forza vietata è la forza armata, la

Corte internazionale di giustizia ha tuttavia precisato che non rileva l’arma utilizzata76.

L’uso della forza vietato dalla Carta è quello diretto «contro l’integrità territoriale e

l’indipendenza politica di ogni Stato» e quello che sia «in ogni altra maniera incompatibile

con i fini delle Nazioni Unite»77. Ciò significa che, «quale che sia la compatibilità di un

74 Sul punto e su come il sistema delle Nazioni Unite reprima, per altre vie, il ricorso ad altri tipi di “forza” si veda Starace V., Uso della forza nell’ordinamento internazionale, in Enciclopedia giuridica, Vol. XXXII, ad vocem, p. 3. Si deve notare che la Convenzione di Vienna sul diritto dei trattati del 1969 offre, negli articoli 31 e 32, canoni interpretativi. La prima disposizione, nel comma 1, prevede che il trattato sia «interpretato in buona fede in base al senso comune da attribuire ai termini del trattato nel loro contesto e alla luce dei suo oggetto e del suo scopo». Rileva, in particolare, la determinazione, enunciata nel Preambolo della Carta, a «salvare le future generazioni dal flagello della guerra» e ad «assicurare […] che la forza delle armi non sarà usata, salvo che nell’interesse comune». La seconda disposizione prevede che si possa «ricorrere a mezzi complementari d’interpretazione, e in particolare ai lavori preparatori ed alle circostanze nelle quali il trattato è stato concluso». Vengono qui in evidenza i lavori preparatori e, in particolare, la proposta brasiliana di includere nella formulazione del paragrafo 4 un riferimento alla forza economica («from the threat or use of force and from the threat or use of economic measures»), proposta poi rigettata dal sottocomitato incaricato della redazione dei principi (cfr. Documents of the United Nations Conference on International Organization, San Francisco, 1945, Volume VI, Commission I, General Provisions, Londra e New York, 1945, p. 559 per il testo della proposta e p. 720 per il rigetto; testo disponibile in https://digitallibrary.un.org/record/1300969/files/).

75 Soccorrono altresì la Dichiarazione sulla definizione di aggressione del 1974 (UN General Assembly, Definition of Aggression, 14 December 1974, A/RES/3314), ripresa anche dall’art. 8 bis dello Statuto della Corte penale internazionale introdotto dalla Conferenza di revisione tenutasi a Kampala nel 2010, e la Dichiarazione sul non uso della forza del 1987 (UN General Assembly, Declaration on the Enhancement of the Effectiveness of the Principle of Refraining from the Threat or Use of Force in International Relations, 18 November 1987, A/RES/42/22).

76 International Court of Justice, Legality of the Threat or Use of Nuclear Weapons, Advisory Opinion, in I. C.J. Reports 1996, para 39: «These provisions [artt. 2 e 51] do not refer to specific weapons. They apply to any use of force, regardless of the weapons employed. The Charter neither expressly prohibits, nor permits, the use of any specific weapon […]».

77 Art. 1: «I fini delle Nazioni Unite sono: 1. Mantenere la pace e la sicurezza internazionale, ed a questo scopo: prendere efficaci misure collettive per prevenire e rimuovere le minacce alla pace e per reprimere gli atti di aggressione o le altre violazioni della pace, e conseguire con mezzi pacifici, ed in conformità ai princìpi della giustizia e del diritto internazionale, la composizione o la soluzione delle controversie o delle situazioni internazionali che potrebbero portare ad una violazione della pace; 2. Sviluppare tra le nazioni relazioni amichevoli fondate sul rispetto del

36

determinato uso della forza con questo o quel fine dell’ONU, deve ritenersi che esso rientri

nel divieto se risulti incompatibile con un altro qualsiasi dei fini dell’ONU – tra i quali è

compreso quello, assai ampio, dello sviluppo delle relazioni amichevoli tra gli Stati,

enunciato dall’art. 1, § 2, della Carta – e che vi rientri a maggior ragione se esso lede uno

dei diritti direttamente tutelati dall’art. 2, § 4, quale il diritto dello Stato al rispetto della propria

sovranità»78.

L’art. 2, § 4, anche per la sua collocazione sistematica tra i “principi”, non autorizza, di

per sé, alcuna risposta ad un uso o a una minaccia d’uso della forza, la cui disciplina è

rinviata ai capitoli VI e VII della Carta.

L’art. 2, § 4 vieta non solo l’uso, ma anche la minaccia dell’uso della forza, sicché

dottrina e giurisprudenza si sono interrogate circa il contenuto di questo concetto79. La Corte

internazionale di giustizia, in particolare, ha ancorato il divieto della minaccia al divieto

dell’uso della forza, nel senso che se quest’ultimo è illecito in un determinato caso, per

qualsiasi ragione, anche la minaccia di usare quella forza sarà illecita80.

principio dell'eguaglianza dei diritti e dell'auto-determinazione dei popoli, e prendere altre misure atte a rafforzare la pace universale; 3. Conseguire la cooperazione internazionale nella soluzione dei problemi internazionali di carattere economico, sociale culturale od umanitario, e nel promuovere ed incoraggiare il rispetto dei diritti dell'uomo e delle libertà fondamentali per tutti senza distinzioni di razza, di sesso, di lingua o di religione; 4. Costituire un centro per il coordinamento dell'attività delle nazioni volta al conseguimento di questi fini comuni».

78 Starace V., Uso della forza nell’ordinamento internazionale, cit., p. 4. 79 Mentre è abbastanza pacifico (Ronzitti N., Introduzione al diritto internazionale, 2a ed., Torino,

2007, p. 399) che rientri nella nozione di minaccia l’ultimatum e che ne sia escluso l’esercizio di un diritto (come l’attraversamento con navi da guerra di uno stretto internazionale o lo svolgimento di manovre militari in alto mare) maggiori difficoltà pone la questione degli armamenti. Infatti, l’incremento, qualitativo o quantitativo, del proprio livello di armamenti da parte di uno Stato è stato talora percepito da altri membri della comunità internazionale come una forma di minaccia. A questo riguardo, la Corte internazionale di giustizia ha tuttavia escluso che esistano norme consuetudinarie che impongano vincoli al livello di armamento degli Stati, potendo detti limiti derivare unicamente dall’adesione a trattati di disarmo o arms control (Nicaragua c. United States of America, cit., par. 269).

80 Legality of the Threat or Use of Nuclear Weapons, cit., par. 47: «In order to lessen or eliminate the risk of unlawful attack, States sometimes signal that they possess certain weapons to use in self-defence against any State violating their territorial integrity or political independence. Whether a signalled intention to use force if certain events occur is or is not a "threat" within Article 2, paragraph 4, of the Charter depends upon various factors. If the envisaged use of force is itself unlawful, the stated readiness to use it would be a threat prohibited under Article 2, paragraph 4. Thus it would be illegal for a State to threaten force to secure territory from another State, or to cause it to follow or not follow certain political or economic paths. The notions of "threat" and "use" of force under Article 2, paragraph 4, of the Charter stand together in the sense that if the use of force itself in a given case is illegal - for whatever reason - the threat to use such force will likewise be illegal. In short, if it is to be lawful, the declared readiness of a State to use force must be a use of force that is in conformity with the Charter. For the rest, no State - whether or not it defended the policy of deterrence - suggested to the Court that it would be lawful to threaten to use force if the use of force contemplated would be illegal».

37

1.1. Le conseguenze della violazione del divieto ex art. 2, § 4, della Carta delle Nazioni Unite

La violazione dell’obbligo di astenersi dalla minaccia o dall’uso della forza nelle

relazioni internazionali costituisce una violazione del diritto internazionale (un illecito

internazionale) e dà luogo a responsabilità internazionale dello Stato autore della

violazione81.

La responsabilità internazionale «è la complessa situazione di un ente che, in virtù del

diritto internazionale, ha l’obbligo di fornire una prestazione di carattere riparatorio o

punitivo, e/o soggiace alla facoltà di un altro ente di infliggere ad esso una sanzione avente

come fine di indurre alla cessazione dell’illecito e all’eventuale riparazione o di comminare

la punizione (o entrambi i fini)»82.

Le conseguenze che l’ordinamento internazionale ricollega all’illecito dal lato

dell’autore consistono essenzialmente in obblighi di cessazione della violazione e di

riparazione del danno, nella forma della restitutio in integrum e/o del risarcimento del danno,

che vengono a gravare sullo Stato trasgressore nei confronti dello Stato leso dalla condotta

(o nei confronti dell’intera Comunità internazionale nel caso in cui la disposizione violata sia

una norma imperativa di diritto internazionale generale – jus cogens)83.

La cessazione del fatto illecito altro non è, sostanzialmente, che adempimento tardivo

dell’obbligo violato e dunque presuppone che la norma trasgredita sia ancora in vigore84 ed

81 Così l’art. I, § 1 della Dichiarazione sul rafforzamento dell’efficacia del principio di astensione dalla minaccia o dall’uso della forza nelle relazioni internazionali del 1987 («[…] a threat or use of force constitutes a violation of international law and of the Charter of the United Nations and entails international responsibility»). In precedenza, la Dichiarazione sulle relazioni amichevoli tra gli Stati del 1970, nella sezione di specificazione del divieto ex art. 2, § 4, della Carta, aveva enunciato il principio di responsabilità con riferimento alle guerre di aggressione («war of aggression constitutes a crime against the peace, for which there is responsibility under international law») e l’art. 5, § 2, della definizione di aggressione del 1974 aveva ribadito che ogni forma di aggressione dà luogo a responsabilità internazionale («Aggression gives rise to international responsibility»).

82 Forchielli P., Responsabilità internazionale, in Enciclopedia giuridica, vol. XXVII, ad vocem, p. 1.

83 Nel 2001 la Commissione di diritto internazionale delle Nazioni Unite ha adottato il Progetto di articoli sulla responsabilità degli Stati per fatti internazionalmente illeciti (Draft Articles on Responsibility of States for Internationally Wrongful Acts, donde l’acronimo ARSIWA che sarà utilizzato nel prosieguo del presente lavoro in alternativa al termine Progetto (testo degli articoli e commento a cura della Commissione sono disponibili sul sito http://legal.un.org/ilc/texts/instruments/english/commentaries/9_6_2001.pdf). Nel Progetto, l’art. 30 prevede l’obbligo di cessazione (« The State responsible for the internationally wrongful act is under an obligation: (a) to cease that act, if it is continuing; (b) to offer appropriate assurances and guarantees of non-repetition, if circumstances so require») e l’art. 31, § 1, quello di riparazione («[1.] The responsible State is under an obligation to make full reparation for the injury caused by the internationally wrongful act»), che può assumere le forme previste dall’art. 34: «Full reparation for the injury caused by the internationally wrongful act shall take the form of restitution, compensation and satisfaction, either singly or in combination […]».

84 Così il commento della Commissione di diritto internazionale ai Draft Articles on Responsibility

38

è dovuta a prescindere da qualsiasi richiesta in tal senso da parte dello Stato leso.

Analogamente, la riparazione integrale («full») del pregiudizio, morale e materiale, causato

con l’atto internazionalmente illecito, prima che essere un diritto dello Stato leso, è un

obbligo dello Stato responsabile. Essa deve, nella misura del possibile, cancellare tutte le

conseguenze dell’atto illecito e ristabilire la situazione che sarebbe verosimilmente esistita

se l’atto non fosse stato commesso85 e può consistere nella restituzione, nel risarcimento e

nella soddisfazione, separatamente o congiuntamente86.

Dal lato della vittima, invece, la commissione di un atto illecito attribuisce il diritto allo

Stato danneggiato di adottare contromisure nei confronti dello Stato responsabile, allo scopo

di ottenere la cessazione dell’illecito e la riparazione. Le contromisure, tradizionalmente note

anche come rappresaglia (termine oggi usato solo con riferimento alle rappresaglie

belliche), consistono nella commissione di un illecito internazionale che tuttavia è

giustificato87 come risposta necessaria e proporzionata all’atto illecito subito dallo Stato che

le adotta.

Il Progetto di articoli sulla responsabilità internazionale degli Stati disciplina

accuratamente i parametri di legittimità, l’oggetto e la durata delle contromisure, il

procedimento per la loro adozione. Innanzitutto, le contromisure sono legittime solo se

of States for Internationally Wrongful Acts – ARSIWA, in particolare all’art. 30 che grava lo Stato responsabile dell’obbligo di cessazione e del dovere di offrire assicurazioni e garanzie di non ripetizione.

85 Così il commento della Commissione di diritto internazionale all’art. 31 ARSIWA, richiamando un noto passaggio della sentenza resa dalla Corte Permanente di Giustizia Internazionale nel caso della Fabbrica di Chorzów (Germania c. Polonia, merito, 13 settembre 1928).

86 Ai sensi dell’art. 35 ARSIWA, la restituzione (che è una riparazione in forma specifica) consiste nel ripristino della situazione preesistente alla commissione dell’illecito (status quo ante), purché ciò non sia materialmente impossibile e purché non comporti in capo allo Stato responsabile un onere sproporzionato rispetto al beneficio che ne verrebbe allo Stato leso in confronto a un indennizzo. Il risarcimento (riparazione per equivalente), previsto dall’art. 36 ARSIWA, consiste nel pagamento allo Stato leso di una somma di denaro che corrisponde al valore stimato della restituzione in forma specifica e al danno diretto e immediato subito, nelle due componenti del danno emergente e del lucro cessante. La soddisfazione (art. 37 ARSIWA) è una forma di riparazione dovuta nelle ipotesi in cui la restituzione e il risarcimento non sono stati sufficienti a rimediare all’illecito; essa consiste nel riconoscimento della violazione, in espressioni di rincrescimento, in scuse formali o in altra modalità appropriata, ma non può mai assumere forme umilianti per lo Stato tenuto a darla («[2] Satisfaction may consist in an acknowledgement of the breach, an expression of regret, a formal apology or another appropriate modality. ]3] […] may not take a form humiliating to the responsible State»).

87 Art. 22 ARSIWA: «The wrongfulness of an act of a State not in conformity with an international obligation towards another State is precluded if and to the extent that the act constitutes a countermeasure taken against the latter State […]». Cfr. Air Service Agreement of 27 March 1946 between the United States of America and France, Arbitral award, 9 December 1978 (in United Nations Reports of International Arbitral Awards, vol. XVIII, 2006, § 81): «If a situation arises which, in one State's view, results in the violation of an international obligation by another State, the first State is entitled, within the limits set by the general rules of international law pertaining to the use of armed force, to affirm its rights through “counter-measures”».

39

adottate nei confronti dello Stato responsabile dell'illecito internazionale per indurlo ad

adempiere gli obblighi cui era tenuto e solo se si limitano alla violazione temporanea degli

obblighi internazionali dello Stato che le adotta, in modo da consentire, per quanto possibile,

la ripresa dell'esecuzione degli obblighi in questione (ARSIWA, art. 49). Ne deriva che le

contromisure non sono e non possono essere una forma di punizione o sanzione per l’illecito

subito né possono avere carattere preventivo; allo stesso tempo, esse danno luogo a

responsabilità internazionale dello Stato che le adotta se risultano fondate su un errato

apprezzamento dei fatti.

In secondo luogo, esistono alcuni obblighi la cui esecuzione non può essere

compromessa da contromisure (ARSIWA, art. 50): rilevano, in particolare88, l’obbligo,

dettato dalla Carta delle Nazioni Unite, di astenersi dalla minaccia o dall’uso della forza (§

1, let. a)89; gli obblighi relativi alla protezione dei diritti umani fondamentali (§ 1, let. b); gli

obblighi di carattere umanitario che vietano le rappresaglie (§ 1, let. c) e ogni obbligo

nascente da norme imperative di diritto internazionale generale (§ 1, let. d).

In terzo luogo, le contromisure devono rispettare il canone della proporzionalità

(ARSIWA, art. 50), vale a dire che devono essere commisurate quantitativamente al

pregiudizio subito, ma devono altresì tenere conto della gravità dell'illecito internazionale cui

rispondono e dei diritti in gioco, rilevando non solo i diritti dello Stato leso ma anche quelli

dello Stato responsabile. Il calcolo della proporzionalità è evidentemente complesso, ma si

ammette che esso prenda in considerazione non solo l’entità del danno concretamente

subito, ma anche la rilevanza della questione di principio sottostante90.

Quanto alla durata nel tempo delle contromisure, esse devono cessare (ARSIWA, art.

53) non appena lo Stato responsabile adempie all’obbligo di riparazione e devono essere

sospese (ARSIWA, art. 52, § 3) se l’illecito cessa e la controversia è sottoposta a una corte

o un tribunale competente a pronunciare decisioni vincolanti per le parti, disposizioni queste

88 Il § 2 dell’art. 50 prevede anche che non si possano adottare contromisure che incidono sulle procedure di risoluzione delle controversie applicabili tra lo Stato danneggiato e lo Stato responsabile e sugli obblighi in materia di inviolabilità diplomatica e consolare.

89 Il principio riecheggia quello già stabilito dalla Dichiarazione sulle relazioni amichevoli del 1970: «States have a duty to refrain from acts of reprisal involving the use of force» (UNGA Res. 2625 (XXV), 24 October 1970, principle 1).

90 Così la già citata sentenza arbitrale nel caso Air Service Agreement: «It is generally agreed that all counter-measures must, in the first instance, have some degree of equivalence with the alleged breach: this is a well-known rule … It has been observed, generally, that judging the “proportionality” of counter-measures is not an easy task and can at best be accomplished by approximation. In the Tribunal’s view, it is essential, in a dispute between States, to take into account not only the injuries suffered […] but also the importance of the questions of principle arising from the alleged breach» (§ 83).

40

che ulteriormente confermano che lo scopo delle contromisure è unicamente quello di

costringere alla cessazione dell’illecito o alla sua riparazione.

Infine, dal punto di vista procedurale, tranne nei casi di urgenza nei quali sia necessario

salvaguardare i diritti dello Stato danneggiato, l’adozione di contromisure è subordinata alla

previa richiesta allo Stato responsabile di fornire piena riparazione e alla notifica

dell’intenzione di adottare contromisure e di essere disponibili a un negoziato (ARSIWA, art.

52, § 1 e 2). Si osserva che l’obbligo di notifica appare particolarmente opportuno in

riferimento alle operazioni cibernetiche a causa del fatto che spesso esse sono eseguite

tramite una falsificazione di identità (spoofing) che porta ad attribuirle a un soggetto che non

ne è l’autore. Per converso, qualora la notifica dell’intenzione di far ricorso a contromisure

rischiasse di rendere inutili queste ultime, si ritiene che essa non dovrebbe aver luogo:

l’argomento è derivato dal canone dell’urgenza e fondato sulle peculiarità dell’ambiente

cibernetico, nel quale la rapidità dei processi è un fattore cruciale91.

Oltre alle conseguenze derivanti dagli appena descritti principi in materia di

responsabilità internazionale per atto illecito, la violazione del divieto ex art. 2, § 4 della

Carta delle Nazioni Unite, dà luogo all’assoggettamento dello Stato trasgressore alle misure,

implicanti o meno l’uso della forza, che il Consiglio di Sicurezza può disporre a norma degli

articoli da 39 a 42 della Carta e che, a differenza delle contromisure, hanno carattere

sanzionatorio92.

1.2. L’uso della forza e le operazioni cibernetiche

Il Manuale di Tallin 2.0 afferma (regola 68) l’illegittimità delle operazioni cibernetiche

che costituiscono una minaccia o un uso della forza contro l’integrità territoriale o

l’indipendenza politica di uno Stato o che sono in qualunque altro modo incompatibili con i

fini delle Nazioni Unite.

91 Cfr. Tallin Manual 2.0, commento alla regola 21 – Purpose of Countermeasures - parr. 11 e 12, p. 120).

92 Ciò vale, in particolare, per le misure ex art. 41 (interruzione totale o parziale delle relazioni economiche e delle comunicazioni ferroviarie, marittime, aeree, postali, telegrafiche, radio e altre e rottura delle relazioni diplomatiche) e 42 (azioni con forze aeree, navali o terrestri), mentre hanno natura essenzialmente preventiva e cautelare le misure “provvisorie” ex art. 40 (che, non elencate dalla Carta, possono consistere in richieste di cessazione delle ostilità e di cessate il fuoco, di ritiro delle truppe, di istituzione di zone smilitarizzate o corridoi umanitari, di conclusione di tregue o armistizi). La locuzione “altre” riferita alle comunicazioni che possono essere interrotte ai sensi dell’art. 41 fa sì che rientrino nel novero anche le interferenze da parte di uno Stato nelle capacità cyber di un altro che siano state autorizzate dal Consiglio di Sicurezza (cfr. Tallin Manual 2.0, commento alla regola 20 – Countermeasures - par. 11, p. 114).

41

Si osserva93 che, ai fini dell’applicabilità dell’art. 2, § 4, della Carta alle operazioni

cibernetiche occorre il verificarsi di tre condizioni. La prima è che l’operazione sia attribuibile

a uno Stato (e sul problema dell’attribuzione si tornerà più avanti); la seconda è che

l’operazione raggiunga la soglia della “minaccia” o dell’“uso della forza”; la terza è che tale

minaccia o uso siano esercitati nel contesto delle relazioni internazionali, il che vale a

escludere dall’ambito di applicazione del divieto le operazioni (in particolare quelle rivolte

contro individui o gruppi privati) inidonee a compromettere l’integrità territoriale o

l’indipendenza politica di uno Stato.

Ancora secondo il Manuale di Tallin 2.0 (regola 69), «un’operazione cibernetica

costituisce un uso della forza quando la sua scala e i suoi effetti sono comparabili a quelli di

operazioni non cibernetiche che raggiungono il livello di un uso della forza», riprendendo la

dottrina della cd. “equivalenza cinetica” o della scala e degli effetti94.

Quando può dirsi raggiunto da un’operazione cibernetica il livello dell’uso della forza?

Non è sufficiente l’intento coercitivo95 perché tale intento è tipico di qualunque forma di

intervento negli affari interni di uno Stato, di cui l’uso della forza armata non è che la

manifestazione più estrema96. Neppure è sufficiente il criterio dell’autore materiale, nel

senso che costituisca uso illegittimo della forza solo quello ad opera delle forze armate,

perché in tal caso sarebbe sufficiente, per sottrarsi alle conseguenze della violazione del

divieto, far svolgere l’operazione dalle agenzie di intelligence o da contractor privati

appositamente assoldati97.

93 Roscini M., Cyber operations and the use of force in international law, Oxford, 2014, p. 44-45. 94 Nicaragua v. United States of America, cit., para 195: con riferimento alla possibilità di

equiparare le azioni commesse da gruppi paramilitari a quelle compiute da forze armate regolari, la Corte ha affermato che «in customary law, the prohibition of armed attacks may apply to the sending by a State of armed bands to the territory of another State, if such an operation, because of its scale and effects, would have been classified as an armed attack rather than as a mere frontier incident had it been carried out by regular armed forces».

95 Roscini M., op. cit., p. 46. 96 Nicaragua v. United States of America, cit., par. 205: «As regards the […] problem [...] of the

content of the principle of non-intervention […] [a] prohibited intervention must […] be one bearing on matters in which each State is permitted, by the principle of State sovereignty, to decide freely. One of these is the choice of a political, economic, social and cultural system, and the formulation of foreign policy. Intervention is wrongful when it uses methods of coercion in regard to such choices, which must remain free ones. The element of coercion, which defines, and indeed forms the very essence of, prohibited intervention, is particularly obvious in the case of an intervention which uses force, either in the direct form of military action, or in the indirect form of support for subversive or terrorist armed activities within another State».

97 Cfr. Tallin Manual 2.0, commento alla regola 68 – Prohibition of threat or use of force - par. 4, p. 330.

42

Si osserva98 che esistono almeno tre approcci analitici per accertare se un atto possa

essere qualificato quale uso della forza ai sensi dell’art. 2, § 4, della Carta.

Il primo approccio è quello denominato consequence-based, noto anche come

“Schmitt criteria” dal nome del suo ideatore: esso misura il grado di prossimità delle

conseguenze di un’operazione cibernetica a quelle di un’operazione cinetica attraverso una

matrice composta dei criteri concorrenti riassumibili nella “severity”, “immediacy”,

“directness”, “invasiveness”, “measurability of effects”, “military character”, “presumptive

legitimacy” e “responsibility” dell’azione99. Si tratta dello schema di analisi più comunemente

accolto dalla dottrina100, ma non esente da critiche101.

98 Roscini M., op. cit., p. 46-48. 99 Si tratta di valutare l’entità, la portata e la durata delle conseguenze negative dell’operazione

su interessi nazionali critici (severity); la velocità con cui si manifestano tali conseguenze, che si riflette sulla possibilità o meno di cercare e trovare una soluzione pacifica alla crisi (immediacy); il nesso di causalità diretta tra l'operazione informatica e le sue conseguenze (directness); il grado di penetrazione dell'operazione nei sistemi presi di mira (invasiveness); il fatto che si tratti di atti non espressamente vietati dal diritto internazionale (presumptive legitimacy) e il grado di coinvolgimento dello Stato (responsibility). Attraverso tali parametri si paragona l’operazione cibernetica a un’operazione cinetica o non cinetica che la Comunità internazionale qualificherebbe come uso della forza. La matrice è stata elaborata da Schmitt M.N., Computer network attack and the use of force in international law: thoughts on a normative framework, in The Columbia Journal of Transnational Law, Volume 37, 1999, p. 914-916. I criteri sono poi ripresi, integrati e ulteriormente commentati in Schmitt M.N., Cyber Operations in International Law: The Use of Force, Collective Security, Self-Defense, and Armed Conflicts, in National Research Council 2010, Proceedings of a Workshop on Deterring Cyberattacks: Informing Strategies and Developing Options for U.S. Policy, Washington, DC, 2010, p. 154-156.

100 Esso è richiamato, in particolare, dal Tallin Manual 2.0 a commento della regola 69. 101 Cfr. Roscini M., op. cit., in particolare p. 48. L’A. evidenzia che il criterio della directness (oltre

a non ricorrere neppure nel caso di altre operazioni che sono senza incertezze considerate uso della forza, rectius aggressione ai sensi della Risoluzione 3314 (XXIX) del 1974 delle Nazioni Unite – quali ad es. un blocco navale, la violazione di un accordo di stazionamento delle truppe, la concessione del proprio territorio per l’esecuzione di un atto di aggressione da parte di uno Stato terzo) non è adatto a descrivere una delle principali caratteristiche degli attacchi cibernetici, vale a dire il fatto che essi producono effetti pregiudizievoli indiretti, derivanti dalla alterazione, dal danneggiamento o dalla cancellazione di dati o software o dalla perdita di funzionalità dell'infrastruttura. La invasiveness, a sua volta, è del tutto assente nel caso di attacchi realizzati sotto forma di denial of service, nei quali non sussiste alcun tentativo di accedere al sistema informatico colpito. La immediacy non ricorre mai nel caso di attacchi tramite “bombe logiche”, vale a dire porzioni di codice di programma che restano inerti fino al verificarsi dei presupposti progettati per il loro innesco (ad esempio, l’avverarsi di una data o di una condizione). Ziolkowsky critica, rispetto al criterio della severity il parametro degli “interessi nazionali critici” evidenziando che l’art. 2, § 4, della Carta ONU non protegge gli interessi nazionali di uno Stato, che sono estremamente variegati e includono gli interessi economici, ma solo la sicurezza (fisica) dello Stato medesimo e della sua popolazione; rispetto all’immediatezza, evidenzia che, data la complessità del ciberspazio e l'elevato numero di possibili cause di malfunzionamento dei sistemi informatici, non è sempre detto che si possa cogliere immediatamente la connessione tra attività cibernetiche dannose e i loro effetti fisici percepibili (cfr. Ziolkowsky K., Ius ad bellum in Cyberspace – Some Thoughts on the “Schmitt-Criteria” for Use of Force, in C. Czosseck, R. Ottis, K. Ziolkowski (Eds.), 2012 4th International Conference on Cyber Conflict, NATO CCD COE, 2012, in particolare p. 302 ss.).

43

Un secondo approccio è quello cd. target-based, il quale assume che un’operazione

cibernetica sia qualificabile come uso illecito della forza ai sensi della Carta ONU per il mero

fatto di essere rivolta contro un’infrastruttura critica nazionale, a prescindere dagli effetti

concreti sull’infrastruttura102, con la conseguenza di ricomprendere nel divieto ex art. 2, § 4,

tutte le operazioni cibernetiche, anche quando non si traducono in danni materiali e anche

quando hanno mero intento dimostrativo.

Il terzo approccio, instrument-based, si fonda sul mezzo utilizzato per compiere l’atto

e, in particolare, sul fatto che tale mezzo sia un’arma - poiché la forza vietata dall’art. 2, § 4

è la forza “armata” - usata con intento coercitivo. Tale approccio sconta tuttavia la difficoltà

di definire armi gli strumenti informatici (sulla quale cfr. supra, cap. 1, par. 2) e si risolve, ove

si condivida l’idea che un’arma è tale per i suoi effetti e non per il suo funzionamento, in un

sostanziale concorso dei due parametri del target e dell’instrument, laddove «it is the

instrument used that defines armed force but the instrument is identified by its (violent)

consequences»103.

Venendo dunque alla questione concreta dell’inquadramento come uso della forza o

meno delle operazioni cibernetiche, la prima doverosa notazione concerne l’impossibilità di

trattarle come un unicuum, atteso che vanno dalla cyber exploitation per lo svolgimento delle

funzioni ISR (intelligence, surveillance, reconnaissance) agli attacchi cibernetici e che, in

seno a questi ultimi, è ancora possibile distinguere tra operazioni che si limitano a

cancellare, corrompere o modificare i dati e altre che comportano (o che possono

comportare) danni fisici a persone o oggetti.

102 Cfr. De Luca C.D., The Need for International Laws of War to Include Cyber Attacks Involving State and Non-State Actors, in Pace International Law Review Online Companion, Vol. 3, 2013, http://digitalcommons.pace.edu/pilronline/34/, in particolare p. 298-299. Cfr. anche SHARP W.G., Sr., Cyberspace and the use of force, Falls Church, 1999, il quale afferma la legittimità dell’auto-difesa preventiva (anticipatory self-defense) rispetto alla mera penetrazione di un sistema informatico quando il sistema è «critical to [the State] vital national interests» dove gli interessi vitali non sono solo «sensitive computer systems such as early warning or command and control systems, missile defense computer systems, and other computers that maintain the safety and reliability of a nuclear stockpile», ma anche «nongovernment commercial and other economic interests of a state» (p. 130-131). Prescindono dal danno concreto a persone o cose anche Joyner C.C. - Lotrionte C., Information Warfare as International Coercion: Elements of a Legal Framework, in European Journal of International Law, Vol. 12, 2001, p. 855, per i quali «if a foreign government attacks the computer databases of another state’s department or ministry of defence, and steals classified information related to troop locations during a time of armed conflict, or the codes to nuclear weapons’ launch instruments, such actions could qualify as being tantamount to ‘armed attacks’, even though no immediate loss of life or destruction results».

103 Cfr. Roscini M., op. cit., p. 50.

44

Le operazioni cibernetiche possono, in effetti, produrre molteplici conseguenze104:

innanzitutto, e direttamente, quelle che si verificano sul computer, sul sistema informatico o

sulla rete attaccati e che consistono tipicamente nella cancellazione, corruzione o modifica

dei dati o del software oppure nella interruzione (disruption) del sistema attraverso attacchi

DDoS o di altro genere; altre conseguenze, secondarie, si verificano sulle infrastrutture

gestite dal sistema o dalla rete attaccati e possono consistere nel danneggiamento totale o

parziale o nella distruzione della infrastruttura; infine, ci sono gli effetti sulle persone colpite

dalla distruzione o dal malfunzionamento del sistema o dell’infrastruttura attaccati.

I danni materiali ai beni, la perdita di vite umane o il ferimento di persone non sono

perciò mai gli effetti primari di una operazione cibernetica e, se è vero che nell’ipotesi in cui

si verificassero nessuno dubiterebbe dell’applicabilità dell’art. 2, § 4 della Carta, è altresì

vero che la totalità delle operazioni cibernetiche accertate fino ad oggi non ha provocato tali

conseguenze.

In quali altre circostanze, dunque, può dirsi che un’operazione cibernetica infrange il

divieto ex art. 2, § 4?

Non nel caso di distruzione o danneggiamento di dati (per quanto classificati o di

notevole valore economico) né nel caso loro sottrazione (rectius, copiatura illegale)105 e

nemmeno nell’ipotesi di attività che, benché indirizzate alle infrastrutture critiche di uno

Stato, non riverberano alcuna conseguenza significativa sui servizi alla collettività106.

Si tratterebbe, in queste ipotesi, non certo di operazioni “neutre” per il diritto internazionale,

ma rilevanti sub specie di altri principi e disposizioni - quali, ad esempio, il divieto di

ingerenza negli affari interni di uno Stato - e pertanto fonte in ogni caso di responsabilità

internazionale per atto illecito.

Più controversa107 è invece la questione della qualificazione delle operazioni con

efficacia disruptive, vale a dire quelle che rendono inefficace o inutilizzabile un’infrastruttura

pur senza danneggiarla fisicamente. Il problema si pone in particolare per le infrastrutture

104 Cfr. Roscini M., op. cit., p. 52-53. 105 Cfr. Ziolkowsky, op. cit., p. 299; Schmitt M.N., Cyber Operations in International Law, cit., p.

164. 106 V’è da dire che tale conclusione non è condivisa da tutti. Melzer, ad es., argomentando intorno

al dato letterale e allo scopo dell’art. 2, § 4 e richiamando giurisprudenza della Corte internazionale di giustizia, in particolare il ben noto caso Nicaragua, evidenzia che la disposizione in commento proibisce il ricorso alla forza a prescindere dalla sua magnitudo o durata e a prescindere dal fatto che essa consista altresì in un atto di aggressione o in un attacco armato (Melzer N., Cyberwarfare and International Law, UNIDIR Resources, 2011, p. 8).

107 Della difficoltà di giungere a una prospettiva univoca dà conto anche il Tallin Manual 2.0, p. 342-343.

45

critiche, il cui funzionamento è normalmente affidato a sistemi SCADA108 che possono

essere vulnerabili ad operazioni cibernetiche. Pur nella mancanza di una definizione univoca

di cosa costituisca un’infrastruttura critica109, sussiste comunque un sostanziale consenso

108 I sistemi SCADA (acronimo di Supervisory Control And Data Acquisition) sono sistemi di supervisione, controllo e acquisizione dati utilizzati nell’ambito dei processi industriali e di funzioni quali il controllo del traffico aereo, ferroviario ed automobilistico, il telerilevamento ambientale, la gestione dei sistemi di condotte di fluidi, la distribuzione dell’energia elettrica. Nati come sistemi isolati, il loro successivo collegamento alla rete li ha esposti a una serie di minacce che possono arrivare sino al blocco totale del sistema (e quindi del processo industriale o della funzione da essi governata). Per una rapida panoramica del funzionamento degli, e delle minacce agli, SCADA, cfr. Pirozzi A., Visaggio C.A. e Giorgione F., SCADA (In)Security: un’analisi approfondita sulla superficie di attacco del noto sistema di controllo industriale https://www.ictsecuritymagazine.com/articoli/scada-insecurity-unanalisi-approfondita-sulla-superficie-di-attacco-del-noto-sistema-di-controllo-industriale/

109 La definizione di cosa costituisca una infrastruttura critica è un ulteriore elemento controverso della questione. Non è questa la sede per una ricognizione dettagliata dell’argomento, per cui se ne daranno solo i brevi cenni necessari per una comprensione del problema. In seno alle Nazioni Unite, la risoluzione dell’Assemblea Generale A/RES/58/199 del 30 gennaio 2004 (Creation of a global culture of cybersecurity and the protection of critical information infrastructures) ha fornito un primo elenco non esaustivo delle infrastrutture critiche nazionali, includendovi quelle usate per «the generation, transmission and distribution of energy, air and maritime transport, banking and financial services, e-commerce, water supply, food distribution and public health» (3° considerando), mentre la risoluzione del Consiglio di Sicurezza S/RES/2341 (2017) del 13 febbraio 2017 ha ribadito che «each State determines what constitutes its critical infrastructure» (9° considerando). L’Unione Europea ha adottato il 17 novembre 2005 il “Libro verde relativo a un programma europeo per la protezione delle infrastrutture critiche” (COM(2005) 576 definitivo) nel quale ha affermato che le infrastrutture critiche «include those physical resources, services, and information technology facilities, networks and infrastructure assets which, if disrupted or destroyed, would have a serious impact on the health, safety, security or economic well-being of Citizens or the effective functioning of governments» (Annex 1 - CIP terms and definitions) e ha fornito una elencazione indicativa (Annex 2) dei settori nei quali ricorrono infrastrutture critiche: energia, tecnologie ICT, acqua, cibo, salute, servizi finanziari, ordine pubblico e giustizia, amministrazione civile, trasporti, industria chimica e nucleare, spazio e ricerca. Pochi anni dopo, la Direttiva 2008/114/CE del Consiglio dell’8 dicembre 2008 relativa all’individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione ha definito le infrastrutture critiche «un elemento, un sistema o parte di questo […] che è essenziale per il mantenimento delle funzioni vitali della società, della salute, della sicurezza e del benessere economico e sociale dei cittadini ed il cui danneggiamento o la cui distruzione avrebbe un impatto significativo in uno Stato membro a causa dell’impossibilità di mantenere tali funzioni» (art. 2, let. a) L’Unione Africana, nella sua Convenzione sulla sicurezza cibernetica e la protezione dei dati personali, fatta a Malabo il 27 giugno 2014 e non ancora entrata in vigore, dedica alla protezione delle infrastrutture critiche l’art. 25, par. 4, raccomandando agli Stati di identificare «the sectors regarded as sensitive for their national security and well-being of the economy, as well as the information and communication technologies systems designed to function in these sectors as elements of critical information infrastructure».

Per un primo approccio al tema delle infrastrutture critiche e l’accesso a un database relativo alle iniziative normative a livello nazionale e sopranazionale, si veda il sito del Progetto, finanziato dalla UE, Critical Infrastructure Preparedness and Resilience Research Network (CIPRNet): https://ciprnet.eu/home/ e https://publicwiki-01.fraunhofer.de/CIPedia/index.php/Critical_Infrastructure_Protection. Più risalente nel tempo e dedicato alle infrastrutture critiche nel settore dell’informazione il volume di Brunner E.M., Suter M., International CIIP Handbook 2008 / 2009. An inventory of 25 national and 7

46

circa il fatto che essa debba essere vitale per il funzionamento della società e il

mantenimento della sicurezza110. Da ciò deriva che il carattere “critico” di un’infrastruttura

può rivelarsi utile soprattutto per capire quale operazione “non” è un uso della forza: infatti,

se l’infrastruttura che ne è oggetto non è critica, appare estremamente improbabile che la

sua disruption possa incidere sulle funzioni essenziali dello Stato e sul suo ordine pubblico

interno.

In dottrina si osserva111 che nel contesto cibernetico l’uso della forza deve essere

apprezzato secondo parametri diversi a causa del fatto che le società contemporanee sono

fortemente dipendenti dall'esistenza e dal buon funzionamento di estese infrastrutture, a

loro volta in misura crescente controllate attraverso le tecnologie dell'informazione: da ciò

deriverebbe la necessità di osservare gli attacchi a queste infrastrutture non solo e non

soltanto attraverso la lente dell’equivalenza cinetica, che esige il verificarsi di un danno di

tipo fisico, ma ammettendo la possibilità che costituisca un uso della forza anche la

compromissione (della qualità) del funzionamento degli apparati statali o l’incidenza sul

funzionamento dell’economia. A quest’ultimo riguardo, atteso che, come visto supra, nella

nozione di forza vietata dalla Carta non rientrano le forme di pressione di natura politica od

economica, si evidenzia che, da un lato, la coercizione economica non deve avere un

obiettivo specifico, mentre l’attacco cibernetico deve essere intrapreso contro una

infrastruttura identificabile (ad esempio, la borsa o il sistema bancario) e, dall’altro, essa

impiega l’economia come un mezzo per esercitare pressione, mentre in un attacco

cibernetico l’economia è invece l’obiettivo.

A parere di chi scrive, una dilatazione eccessiva delle condotte che possono essere

interpretate come lesive del divieto di uso della forza esporrebbe la comunità interazionale

al rischio di una crescente instabilità, atteso che già si conoscono casi di risposta cinetica

ad operazioni cibernetiche112. A queste perplessità si obietta113 valorizzando la circostanza

per cui la disruption deve essere significativa e l’infrastruttura colpita deve essere critica114

international critical information infrastructure protection policies, Center for Security Studies, ETH Zurich, s.d.

110 Ziolkowsky K., Computer network operations and the law of armed conflict, in The Military Law and the Law of War Review, Vol. 49, 2010, p. 73-74.

111 Per una ricognizione dei contributi sul punto, cfr. Roscini M., op. cit., p. 59-62. 112 Cfr. Attacco cyber da Gaza: Israele distrugge il quartier generale informatico di Hamas, 8

maggio 2019, in https://www.analisidifesa.it/2019/05/attacco-cyber-da-gaza-israele-abbatte-il-quartier-generale-informatico-di-hamas/

113 Ziolkowsky K., Computer network operations and the law of armed conflict, cit., p. 74-75. 114 Si evidenzia, ad esempio, che, benché gli attacchi DDoS del 2007 in Estonia abbiano preso di

mira infrastrutture ritenute critiche (in particolare, banche e comunicazioni), essi non hanno provocato né danni materiali né una seria disruption e non hanno costituito pertanto una violazione dell’art. 2, § 4. La circostanza è confermata dal fatto che l’Estonia ha reagito solo

47

nonché il fatto che la reazione in legittima difesa da parte di uno Stato vittima di un uso della

forza è lecita solo se tale forza raggiunge la soglia di un attacco armato.

La conseguenza più significativa della qualificazione come uso della forza delle

operazioni cibernetiche seriously disruptive è invece il fatto che esse non possono essere

intraprese come contromisure, atteso il divieto ex art. 50 ARSIWA visto supra.

2. La legittima difesa nell’ordinamento internazionale

Al divieto d’uso o della minaccia d’uso della forza, che è cardine del sistema di relazioni

internazionali disegnato dalla Carta delle Nazioni Unite, si pone come eccezione la legittima

difesa115.

Recita l’art. 51 della Carta delle Nazioni Unite che «nessuna disposizione della

presente Carta pregiudica il diritto naturale di autodifesa individuale o collettiva, nel caso

che abbia luogo un attacco armato [aggression armée, in francese; armed attack, in inglese]

contro un Membro delle Nazioni Unite, fintantoché il Consiglio di Sicurezza non abbia preso

le misure necessarie per mantenere la pace e la sicurezza internazionale. Le misure prese

da Membri nell’esercizio di questo diritto di autodifesa sono immediatamente portate a

conoscenza del Consiglio di Sicurezza e non pregiudicano in alcun modo il potere ed il

compito spettanti, secondo la presente Carta, al Consiglio di Sicurezza, di intraprendere in

qualsiasi momento quell’azione che esso ritenga necessaria per mantenere o ristabilire la

pace e la sicurezza internazionale».

Sulla nozione di legittima difesa116 accolta dalla Carta si danno alcune autorevoli

pronunce della Corte internazionale di giustizia, che hanno contribuito a definirne il

contenuto materiale, di reazione ad un attacco armato, ed i limiti procedurali connessi al

rispetto della primazia delle iniziative del Consiglio di Sicurezza in materia di pace e

sicurezza internazionali.

con difese cibernetiche passive, l’avvio di indagini penali e la richiesta di cooperazione giudiziaria (cfr. Roscini M., op. cit., p. 63).

115 Secondo Kelsen, «è un fondamentale principio di diritto internazionale generale che la guerra è permessa solo come reazione ad un torto sofferto – vale a dire, come una sanzione – e che ogni guerra che non ha questo carattere è un delitto, cioè una violazione del diritto internazionale» (Kelsen H., La pace attraverso il diritto, trad. it. a cura di L. Ciaurro, Torino, 1990, p. 103).

116 Per un commento all’art. 51 si vedano: Sciso E., L’uso della forza nella (mancata) riforma delle Nazioni Unite, in La Comunità internazionale, 1/2006, p. 20-22 (sulla legittima difesa); Cassese A., Article 51, in Cot, Pellet (a cura di), La Charte des Nations Unies. Commentaire article par article, 3a ed., Parigi, 2005, vol. I, p. 1329-1361; Randelzhofer A., Article 51, in B. Simma (a cura di), The Charter of the United Nations. A Commentary, (ed.), 2a ed., 2002, Vol. I, p. 788-806.

48

Nella già citata sentenza Nicaragua v. Stati Uniti d’America del 1986117, la Corte ha

ricordato come l’art. 51 della Carta delle Nazioni Unite attesti l’esistenza del diritto di

legittima difesa nel diritto consuetudinario, dando inoltre conto di alcune dichiarazioni

dell’Assemblea Generale che sanciscono sia il riconoscimento da parte degli Stati del

principio di proibizione dell’uso della forza sia quello del diritto di legittima difesa come

principi aventi entrambi natura propriamente consuetudinaria e dei quali il secondo

costituisce l’unica eccezione ammissibile al primo118. La Corte ha dato poi conto di un

accordo generale sugli atti che possono essere considerati ipotesi di attacco armato,

distinguendoli da altre azioni che, al contrario, costituiscono unicamente casi di uso della

forza o di intervento negli affari interni di uno Stato, e ha rimesso allo Stato vittima

117 Nicaragua v. United States of America, cit., par. 193. Sulla natura consuetudinaria del diritto di legittima difesa, si veda inoltre un altro passo della medesima sentenza (par. 176, traduzione di chi scrive): «la Carta delle Nazioni Unite […] lungi dal coprire la totalità dell’ambito della regolamentazione dell’uso della forza nelle relazioni internazionali […] rinvia essa stessa, su un punto essenziale, al diritto consuetudinario preesistente; questo richiamo del diritto internazionale consuetudinario è espresso dal testo stesso dell’art. 51 che menziona il “diritto naturale” (in inglese the inherent right) di legittima difesa, individuale o collettiva, al quale “nessuna disposizione della […] Carta reca pregiudizio” e che si applica in caso di aggressione armata. La Corte constata dunque che l’art. 51 ha senso soltanto se esiste un diritto di legittima difesa “naturale” o “inerente” di cui non si vede come potrebbe non essere di natura consuetudinaria, anche se il suo contenuto è ormai confermato dalla Carta e influenzato da essa. Inoltre, avendo riconosciuto essa stessa l’esistenza di questo diritto, la Carta non ne regolamenta direttamente la sostanza sotto ogni aspetto. Ad esempio, non implica la regola specifica – pure ben fissata nel diritto internazionale consuetudinario – secondo la quale la legittima difesa giustificherebbe solo misure proporzionate all’aggressione armata subita e necessarie per reagirvi. D’altra parte la definizione di “aggressione armata” la cui constatazione autorizza la messa in opera del “diritto naturale” di legittima difesa non è enunciata dalla Carta e non fa parte del diritto convenzionale. Non è dunque possibile sostenere che l’art. 51 sia una disposizione che “riassume e sostituisce” il diritto internazionale consuetudinario. Piuttosto, essa attesta che, nel settore considerato […] il diritto consuetudinario continua ad esistere a fianco del diritto convenzionale. Gli ambiti regolati dall’una e dall’altra fonte non si sovrappongono esattamente e le regole non hanno lo stesso contenuto».

118 Una seconda eccezione è rappresentata dall’impiego della forza ad opera dell’Organizzazione delle Nazioni Unite, garante della sicurezza internazionale, ed è disciplinata dal Capitolo vii della Carta che istituisce un sistema di sicurezza collettiva – cd. peace enforcement – che fa perno intorno all’azione del Consiglio di Sicurezza e alla responsabilità esclusiva ad esso attribuita per il mantenimento o ristabilimento della pace e della sicurezza internazionale. Sapore anacronistico hanno le altre due eccezioni previste dalla Carta, vale a dire le misure contro gli Stati nemici durante la seconda Guerra mondiale (ex art. 107 e art. 53, § 1, 2a frase della Carta delle Nazioni Unite) e l’uso della forza consentito alla Francia e agli Stati firmatari della Dichiarazione di Mosca del 1943 (art. 106 della Carta delle Nazioni Unite).

49

dell’aggressione la constatazione dell’attacco («must form and declare the view that it has

been so attacked »)119,120.

Neppure soccorre, per l’individuazione delle condotte rientranti nel concetto di attacco

armato, il Trattato dell’Atlantico del Nord, il cui art. 6 definisce l’attacco armato in relazione

all’obiettivo e non alla modalità di esecuzione121.

Si noti, peraltro, che non è possibile parlare di una perfetta coincidenza tra la nozione

di attacco armato e quella di aggressione122, trovandosi il primo in un rapporto di specie a

genere rispetto alla seconda.

119 La Corte ha enunciato in questo contesto la dottrina della scala e degli effetti su cui cfr. supra, nota 94. In successiva giurisprudenza, la Corte ha ribadito che la legittima difesa può essere invocata da uno Stato esclusivamente come risposta ad un attacco armato sferrato da un altro Stato o riconducibile comunque ad uno Stato (sul punto, si vedano i parr. da 141 a 147 della sentenza Armed Activities on the Territory of the Congo (Democratic Republic of the Congo v. Uganda), Judgment, 19 December 2005, I.C.J. Reports 2005). Nel parere consultivo relativo alla liceità della costruzione del muro da parte di Israele, la Corte riafferma che l’art. 51 riconosce l’esistenza di un diritto naturale di legittima difesa in caso di aggressione armata «by one State against another State» (par. 139, Legal Consequences of the Construction of a Wall in the Occupied Palestinian Territory, Advisory Opinion, 9 July 2004, I.C.J. Reports 2004).

120 Anche nell’ambito dell’Alleanza Atlantica assume un particolare rilievo l’opinione dello Stato “vittima” circa la sussistenza della minaccia alla propria integrità territoriale, indipendenza politica o sicurezza. Il meccanismo di difesa della NATO è dettato dagli articoli 4 e 5 del Trattato. L’art. 4 disciplina il meccanismo di consultazione, mentre l’art. 5 l’autodifesa collettiva. Dalla lettura del testo si evince che spetta agli Stati determinare se sono esposti a una minaccia o a un attacco armato e che comunque non esiste alcun tipo di automatismo quanto alla risposta da apprestare in queste ipotesi. La prassi non fornisce, al riguardo, molti esempi: l’articolo 4 è stato invocato dalla Turchia in due occasioni (nel 2003, in relazione alla ripresa delle ostilità contro l’Iraq, e nel 2012, dopo l’abbattimento di un suo aereo militare da parte delle forze armate siriane) e l’art. 5 solo dopo gli attacchi dell’11 settembre contro gli Stati Uniti. Ciò che è indubbio è invece il carattere eminentemente politico della valutazione della condotta e questo è tanto più vero nel caso di attività cibernetiche: «[m]uch will depend on political policy perceptions – are cyber threats and incidents predominantly perceived as human rights (i.e. data privacy) issues, matters of law enforcement and/or homeland security, or matter of national security and defence – and the different roles played by the government agencies involved on the examination and assessment of cyber threats and incidents, and competent to adopt or contribute to actual responses». Häußler U., Cyber Security and Defence from the Perspective of Articles 4 and 5 of the NATO Treaty, in Tikk E. – Talihärm A.M. (eds.), International Cyber Security Legal & Policy Proccedings, CCD CoE, 2010, p. 114.

121 «[…] per attacco armato contro una o più delle parti si intende un attacco armato: - contro il territorio di una di esse in Europa o nell'America settentrionale, contro i Dipartimenti

francesi d'Algeria -, contro il territorio della Turchia o contro le isole poste sotto la giurisdizione di una delle parti nella regione dell'Atlantico settentrionale a nord del Tropico del Cancro;

- contro le forze, le navi o gli aeromobili di una delle parti, che si trovino su questi territori o in qualsiasi altra regione d'Europa nella quale, alla data di entrata in vigore del presente Trattato, siano stazionate forze di occupazione di una delle parti, o che si trovino nel Mare Mediterraneo o nella regione dell'Atlantico settentrionale a nord del Tropico del Cancro, o al di sopra di essi» (corsivo di chi scrive e traduzione tratta dal sito ufficiale della NATO: https://www.nato.int/cps/en/natohq/official_texts_17120.htm?selectedLocale=it)

122 Randelzhofer A, Article 51, cit., p. 795. «[…] Article 51 […] has been open to abuse when interpreted without due regard to the primary position Article 2(4) plays in the Charter's policy regarding the use of force». Cfr. Gordon E., Article 2(4) in Historical Context, in Yale Journal

50

Ulteriori requisiti di legittimità dell’azione in legittima difesa sono la necessità, la

proporzionalità123 e l’immediatezza della reazione124, rispetto ai quali rileva altresì la natura

dell’obiettivo contro il quale si usa la forza a titolo di legittima difesa125.

In dottrina ci si è chiesti quale tipologia di operazione cibernetica costituisca un attacco

armato.

Posto che la disciplina dell’uso della forza e quella della legittima difesa sono ispirate

dall’esigenza di evitare una escalation incontrollata della violenza e che è in questa

prospettiva che deve essere letta anche la dottrina della “scala e degli effetti” elaborata dalla

Corte internazionale di giustizia, sono stati ipotizzati esempi di operazioni serie126

abbastanza da essere considerate un attacco armato: l’attacco ai sistemi informatici che in

un ospedale presidiano il supporto vitale dei degenti; una estesa interruzione

of International Law, Vol. 10, 1985, p. 278. 123 Così la Corte internazionale di giustizia (Legality of the Threat or Use of Nuclear Weapons,

cit., par. 41): «The submission of the exercise of the right of self-defence to the conditions of necessity and proportionality is a rule of customary international law. As the Court stated in the case concerning Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. United States of America): there is a "specific rule whereby self-defence would warrant only measures which are proportional to the armed attack and necessary to respond to it, a rule well established in customary international law" (I.C.J. Reports 1986, p. 94, para. 176). This dual condition applies equally to Article 51 of the Charter, whatever the means of force employed».

124 Nel caso “Caroline” il Segretario di Stato statunitense “tipizzò” nella sua nota del 24 aprile 1841 i requisiti dell’autodifesa nel senso che la sua necessità deve essere «instant, overwhelming, leaving no choice on means and no moment for deliberation» (per l’insieme dello scambio di note tra i Governi britannico e statunitense sul caso Caroline, cfr. http://avalon.law.yale.edu/19th_century/br-1842d.asp). Nota Ronzitti (Introduzione al diritto internazionale, cit., p. 411) che il criterio dell’immediatezza esige un’interpretazione elastica giacché, da una parte, una reazione successiva e tardiva darebbe luogo a rappresaglia invece che a difesa e, dall’altra, gli Stati hanno il dovere di risolvere pacificamente le controversie internazionali, ciò che può implicare il necessario decorrere di un intervallo di tempo prima di fare ricorso a mezzi violenti per la propria auto-tutela.

125 International Court of Justice, Oil platforms (Islamic Republic of Iran v. United States of America), Judgement, 6 November 2003, I.C.J. Reports 2003, par. 74. Nel caso di specie, gli USA sostennero che le piattaforme petrolifere raccoglievano e trasmettevano informazioni sui movimenti delle navi, servivano da rete di comunicazione militare per il coordinamento delle forze navali iraniane e fungevano da basi logistiche per l’esecuzione di attacchi contro naviglio commerciale neutrale ad opera di elicotteri e piccole imbarcazioni. La Corte evidenziò tuttavia che gli USA non avevano fornito alcuna prova di aver espresso rimostranze all’Iran per le attività militari delle piattaforme (a differenza di quanto fatto in passato per la posa di mine o altri attacchi contro il naviglio neutrale), dal che si doveva dedurre che l’attacco alle piattaforme non fosse in realtà ritenuto necessario.

126 L’attacco armato, come si è notato pocanzi, costituisce una fattispecie di aggressione. L’aggressione, a sua volta, è un uso della forza “di sufficiente gravità”: in questi termini si esprime, infatti, l’art. 2 della Definizione di aggressione con riferimento al «first use of armed force», che non costituisce di per sé aggressione, dovendosi tener conto di «other relevant circumstances, including the fact that the acts concerned or their consequences are not of sufficient gravity».

51

dell’erogazione di energia elettrica che abbia imponenti ripercussioni negative; la

disattivazione dei sistemi di controllo di bacini idrici e dighe che abbia come conseguenza

l’inondazione di vaste aree abitate; la compromissione dei sistemi di controllo del traffico

aereo e l’induzione della fusione del nocciolo di un reattore nucleare (cd. meltdown

nucleare) cui segua l’esplosione e il rilascio di materiale radioattivo in zone densamente

popolate127. Alcuni autori128 ritengono che costituiscano un attacco armato anche le

operazioni cibernetiche disruptive delle capacità industriali o dei mercati finanziari e

monetari, oltre quelle dirette, pur senza intento distruttivo, contro i sistemi militari di comando

e controllo129.

La questione è significativa perché l’invocazione della legittima difesa serve a

giustificare l’esecuzione di operazioni militari e dunque occorre interrogarsi con cautela sul

novero di situazioni che vi danno luogo. È vero, d’altro canto, che la legittima difesa, essendo

concepita come reazione ad un attacco armato, deve limitarsi a respingere tale attacco e

non permette un’azione militare che travalichi i limiti di ciò che è necessario per respingere

l’aggressione130 e per impedirne la prosecuzione con altri mezzi; ciò è confermato dal fatto

che l’art. 51 della Carta prevede che la legittima difesa termini con l’intervento del Consiglio

di Sicurezza, dunque, ove questo non possa intervenire, la legittima difesa deve comunque

terminare non appena abbia raggiunto il proprio scopo.

127 Cfr. Dinstein Y., Computer network attacks and self-defence, in Schmitt M.N., O’Donnel B.T. (eds.), Computer Network Attack and International Law, 2002, p. 105. Molto interessante, per le indicazioni che “non” ha fornito circa la configurabilità quale “attacco armato” di un’azione che ha provocato un numero elevato di vittime e che è stata compiuta attraverso strumenti che ben difficilmente potrebbero essere definiti armi, è la reazione del Consiglio di Sicurezza all’abbattimento delle Twin Towers a New York l’11 settembre 2001. La risoluzione del Consiglio di sicurezza n. 1373 del 28 settembre 2002, nel riaffermare la condanna degli attacchi terroristici dell’11 settembre, ha sì anche “riaffermato” il diritto naturale di legittima difesa individuale o collettiva, peraltro già evocato dalla risoluzione n. 1368 del 12 settembre 2001, ma, nella parte operativa della risoluzione, ha formulato unicamente prescrizioni di carattere economico finalizzate alla lotta contro il terrorismo senza esplicitamente autorizzare l’uso della forza armata in legittima difesa. Da notare altresì che, la precedente risoluzione 1368 aveva qualificato gli attacchi non come uso della forza né come attacco armato, ma come minaccia alla pace e alla sicurezza internazionali, «come ogni atto di terrorismo internazionale» (S/RES/1368 (2001), 12 September 2001, par. 1).

128 Cfr. supra, nota 102. 129 Conferma delle incertezze della dottrina nell’identificazione dei casi in cui un’operazione

cibernetica costituisce un attacco armato si ha anche nel commento del Tallin Manual 2.0 all’operazione Stuxnet: il danneggiamento delle centrifughe della centrale nucleare iraniana di Natanz è ritenuto da alcuni mero uso della forza e da altri attacco armato (commento alla regola 71 – Self-defence against armed attack, par. 10, p. 342).

130 Ad esempio, non consente un’occupazione militare prolungata, né l’annessione del territorio appartenente all’aggressore. Cfr. Cassese A., Article 51, cit., p. 1333.

52

Si osserva131, al riguardo, che l’affermazione per cui gli attacchi cibernetici seriamente

disruptive delle infrastrutture critiche costituiscono attacchi armati non autorizza

automaticamente la vittima all’uso della forza in legittima difesa, poiché tale uso deve essere

necessario e proporzionato e tale requisito non ricorre quando, ad esempio, sono disponibili

difese cibernetiche passive o misure cibernetiche sotto la soglia dell’uso della forza.

Il problema più rilevante in materia di legittima difesa è l’individuazione del momento a

partire dal quale tale diritto può essere esercitato. Ci si domanda, cioè, se si possa ricorrere

alla legittima difesa quando uno Stato viola il divieto ex art. 2, § 4 (cioè sia in caso di

aggressione sia in caso di minaccia di uso della forza) oppure solo se la violazione si

manifesta con l’impiego effettivo della forza armata. La questione della liceità della legittima

difesa preventiva è dunque legata all’esistenza o meno di un nesso di specularità132 tra l’art.

51 e l’art. 2, § 4.

Nel sostanziale silenzio della Corte internazionale di giustizia133, contributi al dibattito

sono venuti dalla dottrina134 e dalla prassi internazionale. Per quanto concerne quest’ultima,

a fronte del tentativo di alcuni Stati di invocare la legittima difesa preventiva come causa di

esclusione dell’illiceità di azioni armate (per lo più compiute al fine di prevenire attacchi

terroristici o lo sviluppo di capacità nucleare da parte dei propri nemici), va sottolineata la

reazione di condanna da parte della maggioranza degli altri Stati135, con argomentazioni

131 Cfr. Roscini M., op. cit., p. 75. 132 Nesso negato, tra gli altri, da De Guttry A. – Pagani F., Le Nazioni Unite, cit., p. 101;

Randelzhofer A, Article 51, cit., p. 790, il quale sottolinea che, benché a prima vista inaccettabile, la Carta ha “indubbiamente” creato un sistema (dato dal concorso dell’art. 51 e dell’art. 2, § 4) in base al quale «until an armed attack occurs, States are expected to renounce forcible self-defence».

133 Nel caso Nicaragua c. USA, fondamentale per il contributo interpretativo in materia di uso della forza, la Corte non ha potuto infatti pronunciarsi sul punto perché le parti non hanno sollevato la questione della liceità di una reazione ad una minaccia imminente (cf. par. 194 della sentenza). Si noti, peraltro, che nella successiva sentenza Uganda c. Congo, (par. 148) la Corte ha sottolineato che, per la difesa di ‘altri’ interessi relativi alla sicurezza gli Stati hanno a disposizione mezzi diversi dall’uso della forza tra cui, in primis, il ricorso al Consiglio di Sicurezza: «Article 51 of the Charter may justify a use of force in self-defence only within the strict confines there laid down. It does not allow the use of force by a State to protect perceived security interests beyond these parameters. Other means are available to a concerned State, including, in particular, recourse to the Security Council».

134 Sulle cui posizioni si veda Cassese A., Article 51, cit., p. 1336, e Randelzhofer A, Article 51, cit., p. 790-792. Entrambi gli autori danno conto delle argomentazioni favorevoli e di quelle contrarie ad una estensione della portata dell’art. 51. Essenzialmente, la questione verte sull’interpretazione di due dati letterali in seno all’art. 51: da una parte, l’esplicito riferimento ad un “attacco armato” come presupposto della difesa e dall’altra la qualificazione come “naturale” del diritto alla difesa medesima, con il che si farebbe rinvio ad una supposta (e da autorevoli voci contestata) esistenza di un diritto di legittima difesa preventiva nell’ordinamento internazionale precedente l’adozione della Carta e da questa richiamato.

135 Così, ad esempio, nel caso degli attacchi israeliani contro i campi palestinesi in Libano nel 1975 e contro il reattore nucleare nei pressi di Baghdad nel 1981 (sui quali cf. ancora Cassese

53

sinteticamente riducibili al rischio intrinseco per la sicurezza internazionale connesso alla

possibilità che gli Stati determinino da sé, a propria intera discrezione, ciò che costituisce

una minaccia tale da giustificare una reazione armata. Il dibattito non ha mai perso attualità

fino a riaccendersi nel 2003, in occasione dell’attacco degli Stati Uniti e della Gran Bretagna

contro l’Iraq: benché i due Stati non abbiano fatto esplicito riferimento all’art. 51 nelle loro

comunicazioni all’ONU, essi hanno nondimeno menzionato136 esigenze di difesa alla base

della loro iniziativa e tanto è stato sufficiente perché la maggioranza degli altri membri della

comunità internazionale e l’Organizzazione stessa reagissero con forza all’ipotesi di un

intervento motivato da esigenze di prevenzione137.

Nel dibattito sulla esatta determinazione del termine a quo per l’applicazione dell’art.

51 si sono poi inseriti due rapporti elaborati in seno alle Nazioni Unite tra il 2004 e il 2005138:

A., Article 51, cit., 1337-1339). Da notare, in particolare, la reazione italiana agli attacchi israeliani in Libano del 1975: «Such action which has been described as "preventive", meets with the same firm condemnation that the Italian Government has expressed in the past in similar deplorable cases» (S/VP.1859, 4 dicembre 1975, par. 19).

136 Si veda, ad esempio, la lettera indirizzata al Presidente del Consiglio di Sicurezza dagli USA (UN doc. S/2003/351): «The actions that coalition forces are undertaking are appropriate response. They are necessary steps to defend the United States and the international community from the threat posed by Iraq and to restore international peace and security in the area. Further delay would simply allow Iraq to continue its unlawful and threatening conduct».

137 Si dà qui conto, per la completezza dell’argomentazione, di quanto sostenuto dal Segretario Generale delle Nazioni Unite in un discorso all’Assemblea Generale tenuto il 23 settembre 2003 (A/58/PV.7, p. 3): «l’articolo 51 della Carta prescrive che tutti gli Stati, se attaccati, conservano il diritto naturale di legittima difesa. Ma fino ad oggi è stato inteso nel senso che, quando gli Stati vanno oltre ciò e decidono di usare la forza per affrontare più ampie minacce alla pace e alla sicurezza internazionali, essi hanno bisogno della legittimazione fornita dalle Nazioni Unite. Ora, alcuni sostengono che questa interpretazione non è più sostenibile, poiché un “attacco armato” con armi di distruzioni di massa potrebbe essere lanciato in qualsiasi momento, senza avvertimento, o da un gruppo clandestino. Piuttosto che aspettare che ciò accada, si afferma, gli Stati hanno il diritto e il dovere di usa la forza pre-emptively, anche sul territorio di altri Stati, e anche quando i sistemi d’arma che potrebbero essere usati per attaccarli devono ancora essere sviluppati. Secondo questa impostazione, gli Stati non sono tenuti ad aspettare che il Consiglio di Sicurezza raggiunga un accordo, ma conservano il diritto di agire unilateralmente o in coalizioni ad hoc. Questa logica rappresenta una sfida ai principi sui quali, quantunque imperfettamente, si sono fondate la pace e la stabilità mondiali negli ultimi 58 anni. Ciò che mi preoccupa è che, se fosse adottata, stabilirebbe precedenti che si tradurrebbero in una proliferazione dell’uso unilaterale e illegale della forza, con o senza giustificazione» (traduzione di chi scrive).

138 I rapporti hanno tratto giustificazione dall’esigenza, avvertita in seno alle NU, di riflettere sulla crisi di effettività che dilaniava da tempo l’Organizzazione e di cui erano stati segnali palesi dapprima l’intervento militare contro la Serbia-Montenegro del 1999 e successivamente l’intervento armato contro l’Iraq del 2003. Entrambe queste crisi avevano dimostrato l’affermarsi di un crescente unilateralismo nella gestione delle crisi internazionali a tutto scapito del Consiglio di Sicurezza e del meccanismo di sicurezza collettiva predisposto dalla Carta delle Nazioni Unite. Preso atto di questa situazione, il Segretario Generale dell’Organizzazione, in un discorso pronunciato in occasione della 58ma sessione dell’Assemblea Generale nel settembre 2003, invitò gli Stati membri a riflettere sulla necessità indifferibile di una riforma delle Nazioni Unite, da avviare in occasione del 60° anniversario

54

il primo, intitolato “A more secure world: our shared responsibility”139, è stato redatto dallo

High Level Panel on Threats, Challenges and Change, un comitato di saggi (eminent

persons) incaricato dal Segretario Generale delle Nazioni Unite di accertare le minacce alla

pace e alla sicurezza internazionali, di valutare l’efficienza delle politiche e delle istituzioni

dell’Organizzazione nell’affrontarle e di fare raccomandazioni per rafforzare le capacità di

sicurezza collettiva delle Nazioni Unite; il secondo, “In larger freedom: towards development,

security and human rights for all”140, è stato predisposto dallo stesso Segretario Generale

delle N.U.

Per quanto riguarda la portata dell’articolo 51, il rapporto del Panel ha evidenziato che

«uno Stato minacciato può, in conformità con il consolidato diritto internazionale,

intraprendere un’azione militare nella misura in cui l’attacco minacciato è imminente, non

esistono altri mezzi per affrontarlo e l’azione è proporzionata»141 e ha dato conto di alcune

difficoltà legate al concetto di “imminenza”, in particolare chiedendosi quale debba essere

la condotta di uno Stato nel caso in cui la minaccia «non è imminente, ma si asserisce

essere reale»142. In altri termini, «can a State, without going to the Security Council, claim

in these circumstances the right to act, in anticipatory self-defence, not just pre-emptively

(against an imminent or proximate threat) but preventively (against a non-imminent or non-

proximate one)?»143.

Esisterebbero dunque almeno due tipologie di legittima difesa anticipata: una, indicata

dalla dottrina di lingua anglosassone con il termine pre-emptive, sarebbe giustificata da una

minaccia imminente o prossima e sostanzialmente si tradurrebbe nella frustrazione

dell’attacco altrui tramite la pronta, ma comunque anticipata, risposta dello Stato minacciato;

l’altra, definita preventive, sarebbe legata a minacce latenti (cioè non imminenti e non

prossime) e avrebbe lo scopo non tanto di precedere cronologicamente un attacco che si

avverte come imminente quanto di impedire un attacco che presumibilmente potrebbe avere

luogo in un futuro vicino, ma non prossimo.

dell’Organizzazione, nel 2005. Scopo della riforma avrebbe dovuto essere da una parte una riorganizzazione dell’ente, riconsiderando in primis la composizione del Consiglio di Sicurezza, e dall’altra una riflessione sui principi e le regole di condotta degli Stati membri e dell’Organizzazione medesima, per rendere il sistema capace di reagire adeguatamente ed efficacemente alle nuove sfide alla sicurezza.

139 UN doc. A/59/565 del 2 dicembre 2004. 140 General Assembly, 59th sess., 21 marzo 2005, UN doc. A/59/2005. 141 UN doc. A/59/565, par. 188: «a threatened State, according to long established international

law, can take military action as long as the threatened attack is imminent, no other means would deflect it and the action is proportionate».

142 UN doc. A/59/565, par. 188: «the threat in question is not imminent, but still claimed to be real».

143 Ibidem.

55

Con riferimento a questa seconda ipotesi, il Panel osserva che «se ci sono buone

ragioni per l’azione militare preventiva (preventive), sostenute da buone prove, tali ragioni

devono essere portate al Consiglio di Sicurezza che può autorizzare tale azione se così

ritiene»144. Altrimenti, nel caso cioè che il Consiglio non ritenga di scegliere l’opzione

militare, restano, per definizione (trattandosi appunto di minaccia non imminente), possibili

altre strategie, tra cui persuasione, negoziazione, deterrenza145.

Il Rapporto del Segretario Generale, In larger freedom, sostanzialmente ha ripreso gli

argomenti del Panel e concluso che l’art. 51, inteso alla salvaguardia del diritto naturale di

legittima difesa, comprende anche la difesa da un attacco imminente, mentre, nel caso in

cui «la minaccia non sia imminente, ma latente, la Carta dà al Consiglio di Sicurezza la

piena autorità per l’impiego della forza militare, anche preventivamente»146.

144 UN doc. A/59/565, par. 190, p. 55: «if there are good arguments for preventive military action, with good evidence to support them, they should be put to the Security Council, which can authorize such action if it chooses to. If it does not so choose, there will be, by definition, time to pursue other strategies, including persuasion, negotiation, deterrence and containment - and to visit again the military option».

145 Si osserva che, in questa ricostruzione, due sono gli aspetti preoccupanti: innanzitutto, il mancato riferimento alla difesa anticipata pre-emptive, rispetto alla quale non si fa alcun cenno all’attività del Consiglio di Sicurezza e che sembrerebbe pertanto lasciare agli Stati una totale libertà di azione; il secondo punto problematico è il fatto che l’attività del Consiglio nel caso di difesa anticipata preventive (ossia impeditiva) sia concepita esclusivamente in termini di autorizzazione, così assegnando al Consiglio medesimo una semplice funzione notarile delle azioni militari intraprese dagli Stati e non invece il ruolo, che sarebbe suo proprio a norma della Carta, di decidere e gestire in via principale le operazioni sul terre (cfr. Papisca A., Riforma delle Nazioni Unite: l’articolo 51 della Carta, da “eccezione” a “norma generale”? L’incubo della guerra facile, in Volontari e Terzo Mondo, n. 1/2, gennaio-giugno 2005, p. 19). L’A. nota, altresì, che si è di fatto offerta agli Stati una più ampia tipologia di opportunità per l’uso della forza. In particolare: in caso di attacco armato in atto, autotutela individuale o collettiva ex art. 51 senza bisogno di preventiva autorizzazione del Consiglio di Sicurezza; in caso di minaccia imminente, uso pre-emptive della forza, ancora senza necessità di preventiva autorizzazione del Consiglio; in caso di minaccia non imminente o latente, uso preventive della forza e necessità di autorizzazione (authorisation) o approvazione (endorsement) da parte del Consiglio di Sicurezza; infine, uso della forza protettivo (cd. “responsabilità di proteggere”) anch’esso necessariamente autorizzato o approvato. Si noti, inoltre, che il Panel formula esplicitamente (Raccomandazione n. 53) l’invito a «non riscrivere e non re-interpretare» l’art. 51, «né per estenderne lo scopo stabilito ormai da tempo (in modo da permettere misure preventive per minacce non-imminenti) né per restringerlo (in modo da permettere la sua applicazione solo in caso di attacchi effettivi)» con ciò reiterando l’affermazione, errata per chi si attenga alla lettera della norma (la quale richiede che “abbia luogo” un attacco armato), secondo la quale un attacco attuale e una minaccia imminente pari sono.

146 UN doc. A/59/2005, par. 124: «Imminent threats are fully covered by Article 51, which safeguards the inherent right of sovereign States to defend themselves against armed attack. Lawyers have long recognized that this covers an imminent attack as well as one that has already happened». Par. 125: «Where threats are not imminent but latent, the Charter gives full authority to the Security Council to use military force, including preventively, to preserve international peace and security».

56

La nozione di autodifesa anticipata o preventiva permetterebbe dunque ad uno Stato

di difendersi in caso di pericolo imminente o di minaccia effettiva di attacco armato, con il

caveat per cui la minaccia deve essere reale e credibile e imporre la concreta necessità di

agire di fronte ad una autentica probabilità di attacco147.

La questione, già controversa, è tornata di attualità con l’evoluzione delle tecnologie

dell’informazione poiché la velocità di trasmissione dei dati nello spazio cibernetico

sembrerebbe proprio incoraggiare il ricorso all’argomento della istantaneità e mancanza di

tempo sufficiente per una deliberazione già proposti dalla cd. “dottrina Caroline”.

In realtà, la velocità dell’ambiente cibernetico non è sempre e comunque il presupposto

per una legittima difesa anticipata perché occorre chiedersi caso per caso se sia già

trascorsa l’ultima opportunità di prendere delle misure adeguate ad impedire un attacco.

Ad esempio, l’installazione di vulnerabilità nei sistemi informatici di un altro Stato al fine di

servirsene per successive operazioni cibernetiche non giustifica di per sé l’autodifesa

anticipata. Ciò che conta, infatti, non è che l’avversario acquisisca la capacità di condurre

un attacco, ma che abbia effettivamente deciso di sferrarlo e che lo Stato preso di mira non

abbia altra scelta che agire immediatamente per sventare l’attacco imminente148.

Di conseguenza, non sarebbe possibile invocare l’autodifesa quando la scoperta della

vulnerabilità consente di neutralizzarla attraverso l’uso di difese cibernetiche passive o di

difese attive (purché queste non raggiungano il livello dell’uso della forza). Al di fuori di

questa ipotesi, proprio la rapidità dei processi informatici sembra, a chi scrive, escludere

l’utilità di una riflessione sulla difesa anticipata (pre-emptive) quando l’unica veramente utile

sarebbe la difesa preventiva (preventive) che tuttavia è certamente vietata dall’ordinamento

internazionale. Con un certo pragmatismo, si osserva che comunque, in mancanza di un

attacco cinetico associato, sarebbe estremamente difficile invocare l’autodifesa anticipata

(con mezzi cibernetici o cinetici) contro un imminente unico attacco cibernetico, a causa

147 Il documento finale del vertice mondiale del 2005, il 2005 World Summit Outcome (A/Res/60/1 del 24 ottobre 2005), nella sezione dedicata all’uso della forza, ha “riaffermato” che «le pertinenti disposizioni della Carta sono sufficienti per affrontare l’intera gamma di minacce alla pace e alla sicurezza internazionali» (par. 79). Se ne è dedotto che «mancando di prendere posizione sulla interpretazione dell’articolo 51 come prospettata dai due precedenti documenti di lavoro, la risoluzione esprime l’assenza di quella generale opinio iuris sulla liceità della c.d. pre emptive self-defence (nel significato, utilizzato nei due documenti, di risposta ad un attacco armato imminente) che i due rapporti dei saggi e del Segretario Generale danno per acquisita». Così Sciso E., L’uso della forza nella (mancata) riforma delle Nazioni Unite, cit., p. 24-25.

148 Cfr. Tallin Manual 2.0, commento alla regola 73 – Imminence and immediacy, in particolare par. 7, p. 352; Ziolkowsky K., Ius ad bellum in Cyberspace, cit., p. 309.

57

della mancanza di indicatori convincenti circa l’origine, la natura e l’imminenza dell’attacco

cibernetico nonché la necessità e proporzionalità della reazione149.

3. Il regime della responsabilità internazionale e le operazioni cibernetiche. Il

problema dell’attribution.

Una delle caratteristiche più problematiche del cyber-spazio è che esso offre

l’opportunità di compiere attacchi anche a grande distanza, temporale e geografica,

dall’obiettivo e in un sostanziale anonimato, coinvolgendo una pletora di intermediari,

spesso inconsapevoli, soggetti a giurisdizioni diverse: la conseguenza è che i veri autori

degli attacchi restano sovente non identificati. La questione è rilevante non solo nella

prospettiva, qui adottata, della sicurezza nazionale ma anche in quella della sicurezza

individuale, rispetto alla commissione di reati che incidono sulla sfera personale o

patrimoniale degli individui150. Questa osservazione consente inoltre di evidenziare come di

fronte a un attacco cibernetico ci si debba chiedere non solo chi l’ha commesso, ma anche

di che tipo di attacco si tratta poiché ciò determina la titolarità della risposta all’attacco

stesso, particolarmente in quei contesti nei quali tale responsabilità è ripartita tra forze di

polizia, agenzie di intelligence e forze armate.

La determinazione dell’identità o della posizione dell’aggressore o dell'intermediario di

un aggressore151 consente non solo di attivare il regime di responsabilità a suo carico, ma

149 Cfr. Roscini, op. cit. p. 80. «In this situation, then, the choice is between keeping the imminence requirement in its literal temporal meaning so that the intervening state’s margin of appreciation is limited and abuses are exorcised but to the cost of restricting the defensive options of the victim state, or opt for more flexible reasonability standards that take into account the peculiar features of cyber operations and the nature and magnitude of the threat. As has been argued, ‘one orientation views imminence as a fixed point while the other views it elastically to account for context’» (note omesse).

150 Di queste preoccupazioni dà conto il progressivo adeguamento dell’ordinamento penale italiano alle emergenti capacità offensive offerte dalla tecnologia. Nel 1993 sono stati introdotti nel codice penale i reati di accesso abusivo a sistema informatico (art. 615-ter), danneggiamento informatico (art. 635-bis c.p.) e frode informatica (art. 640-ter). Nel 2019, con l’art. 612-ter c.p. si è incriminata la diffusione illecita di immagini o video sessualmente espliciti prevedendo una aggravante (comma 3) se i fatti sono commessi attraverso strumenti informatici o telematici. La legge 29 maggio 2017, n. 71 ha introdotto la fattispecie del “cyberbullismo” definito (art. 1) come «qualunque forma di pressione, aggressione, molestia, ricatto, ingiuria, denigrazione, diffamazione, furto d’identità, alterazione, acquisizione illecita, manipolazione, trattamento illecito di dati personali in danno di minorenni, realizzata per via telematica, nonché la diffusione di contenuti on line aventi ad oggetto anche uno o più componenti della famiglia del minore il cui scopo intenzionale e predominante sia quello di isolare un minore o un gruppo di minori ponendo in atto un serio abuso, un attacco dannoso, o la loro messa in ridicolo».

151 Questa è la definizione di “attribuzione” impiegata da Wheeler e Larsen nel paper predisposto ad uso del Dipartimento della Difesa statunitense nel quale sono identificate le principali tecniche disponibili per l’attribuzione degli attacchi informatici. Cfr. Wheeler D. A. - Larsen G.

58

anche di adottare più specifiche misure difensive. Con sineddoche fondata su uno dei

principali insiemi di tecniche utilizzate per l’attribuzione, il processo è detto anche

traceback152.

Ora, se l’identificazione è un processo di natura eminentemente tecnica153,

l’attribuzione in senso proprio è essenzialmente un esercizio giuridico154 e politico155.

Allo stesso tempo, le difficoltà tecniche nell’attribuzione forense hanno incoraggiato il ricorso

a tecniche diverse, in particolare a tecniche di contrattacco fondate sull’hacking back e a

operazioni coperte preemptive nei confronti di siti sospettati di pianificare o preparare

attacchi156.

Si deve sottolineare, peraltro, che il mero fatto di riuscire a identificare l’autore

dell’operazione potrebbe non essere sufficiente per far risalire la responsabilità verso lo

Stato che ne abbia agevolato, sponsorizzato o persino richiesto l’attività. La questione, già

posta dalle attività di terrorismo e rimasta sostanzialmente irrisolta, richiede una breve

ricognizione dei principi in materia di responsabilità internazionale degli Stati.

Nel già citato Progetto di articoli sulla responsabilità degli Stati per fatti

internazionalmente illeciti la Commissione di diritto internazionale ha enucleato i criteri per

l'attribuzione agli Stati di determinate condotte e, come si è visto supra, ha disciplinato le

N., Techniques for Cyber Attack Attribution, Institute for Defence Analysis. IDA Paper P-3792, 2003, p. 1 («determining the identity or location of an attacker or an attacker’s intermediary»). Da notare che l’identità accertata attraverso il processo di attribuzione può consistere in un nome, un account, un alias o in un’altra informazione simile associata a una persona e che la posizione può consistere in un luogo fisico (geografico) o virtuale (quale un indirizzo IP o un indirizzo Ethernet).

152 Tale è «any attribution technique that begins with the defending computer and recursively steps backwards in the attack path toward the attacker». Cfr. Wheeler D. A. - Larsen G. N., op. cit., p. 2.

153 Per una analisi delle diverse metodiche possibili per l’attribuzione (traceback, honeypots, digital forensics techniques, network forensic, malware analysis e intelligence-led attribution) nonché delle differenze tra i sistemi di controllo industriale (SCADA e DCS) e le architetture IT tradizionali (usate negli ambienti aziendali) e di come queste differenze riverberino sull’attribuzione, cfr. Cook A., Nicholson A., Janicke H., Maglaras L., Smith R., Attribution of cyber attacks on industrial control systems, in EAI Transactions on Industrial Networks and Intelligent System, 3, 2016, 1-15.

154 Cfr. Roscini M., op. cit., p. 34. 155 Mele evidenzia che l’attribuzione è non solo e non tanto una questione tecnologica e tecnica,

nel senso di dover ricostruire passo per passo tutti i punti che collegano colui che ha deciso l’attacco alla vittima dell’attacco, ma soprattutto una questione politica e si serve perciò di strumenti non necessariamente tecnici/tecnologici, ad esempio le agenzie di intelligence. Cfr. Audizione dell’Avv. Stefano Mele nel contesto delle audizioni di esperti nell’ambito dell’esame, in sede consultiva, del DL 105/2019 - Disposizioni urgenti in materia di perimetro di sicurezza nazionale cibernetica (C.2100), https://webtv.camera.it/evento/15163

156 Boebert W.E., A Survey of Challenges in Attribution, in National Research Council, Proceedings of a Workshop on Deterring Cyberattacks: Informing Strategies and Developing Options for U.S. Policy, Washington, DC, 2010, p. 48-49.

59

conseguenze giuridiche di tale attribuzione sia per lo Stato responsabile (in particolare, il

dovere di porre fine ai comportamenti illeciti e di riparare il danno che ne risulta) sia per lo

Stato leso (con il riconoscimento del diritto ad adottare contromisure)157.

L’ARSIWA esordisce stabilendo che ogni atto internazionalmente illecito di uno Stato

comporta la responsabilità internazionale di quello Stato (art. 1) e che sussiste un atto

internazionalmente illecito quando la condotta, consistente in una azione o in una

omissione, in violazione di un obbligo internazionale gravante sul suo autore, è attribuibile

allo Stato (art. 2). Il tema dell’attribuzione, rilevante in questa sede, muove dal presupposto,

non scontato in realtà, che l’unica condotta attribuibile a uno Stato sia quella posta in essere

da soggetti in grado di impegnare lo Stato-organizzazione, e non già quella posta in essere

da un qualunque essere umano cittadino o residente nello Stato158. Di particolare interesse

sono i casi di cui agli artt. 4, 5 e 8 del Progetto, che individuano le ipotesi in cui il soggetto

agente sia un organo dello Stato, oppure un soggetto che esercita quote di funzione

pubblica («exercising elements of governmental authority») oppure ancora un soggetto che

agisce in esecuzione di istruzioni o sotto la direzione o il controllo dello Stato. Nella

terminologia dell’ARSIWA il soggetto agente può essere “una persona o una entità”,

espressione che comprende sia le persone fisiche sia le persone giuridiche, individuali o

collettive159.

L’art. 4 individua quali organi dello Stato coloro che esercitano la funzione legislativa,

esecutiva, giudiziaria o qualunque altra funzione, a prescindere dalla posizione che

ricoprono nell’organizzazione dello Stato160 e dal fatto che siano organi del Governo centrale

157 È importante sottolineare che il Progetto non prevede una responsabilità penale dello Stato né interferisce con i meccanismi di legittima difesa previsti da altre norme dell’ordinamento internazionale (in particolare, dalla Carta delle Nazioni Unite e dagli accordi istitutivi di alleanze difensive).

158 Nel Commentario al Progetto, che è parte integrante del documento, si evidenzia (Cap. II, par. (2)) che «in theory, the conduct of all human beings, corporations or collectivities linked to the State by nationality, habitual residence or incorporation might be attributed to the State, whether or not they have any connection to the Government. In international law, such an approach is avoided, both with a view to limiting responsibility to conduct which engages the State as an organization, and also so as to recognize the autonomy of persons acting on their own account and not at the instigation of a public authority. Thus, the general rule is that the only conduct attributed to the State at the international level is that of its organs of government, or of others who have acted under the direction, instigation or control of those organs, i.e. as agents of the State».

159 « It is used in a broad sense to include any natural or legal person, including an individual office holder, a department, commission or other body exercising public authority, etc.» (Commentario, Cap. II, art. 4, par. (12))

160 Ciò che rende irrilevante, in particolare, l’eventuale sussistenza di un vincolo di subordinazione gerarchica a carico dell’autore materiale.

60

o di una unità territoriale dello Stato161. Vengono in evidenza, in relazione a questo articolo,

i cd. “hacker in uniforme”162, vale a dire le unità militari specificamente assegnate o deputate

allo svolgimento di operazioni cibernetiche, la cui natura di organi dello Stato non è in

discussione163. Più problematica, invece, la questione della responsabilità dello Stato per le

azioni commesse dai suoi organi de facto. Sul punto, la Corte internazionale di giustizia ha

qualificato come organi di fatto i soggetti per i quali è dato riscontrare una «complete

dependence» dallo Stato164 in quanto ciò che rileva è la “realtà” del rapporto intercorrente

tra la persona che agisce e lo Stato a cui è così strettamente legata da sembrare il suo

agente, a prescindere dalla sussistenza giuridica di tale status conformemente

all’ordinamento interno. A ragionare diversamente, argomenta la Corte, gli Stati potrebbero

sottrarsi alla propria responsabilità internazionale agendo tramite persone o entità la cui

presunta indipendenza sarebbe puramente fittizia165.

L’art. 5 attribuisce allo Stato anche la condotta di organismi che, benché non siano

organi dello Stato nell’accezione dell’art. 4, sono comunque abilitati dal diritto nazionale a

esercitare prerogative del potere pubblico, purché abbiano agito in tale qualità166.

Li si potrebbe definire, pertanto, organi “parastatali” e la loro capacità di impegnare la

responsabilità dello Stato si fonda sulla delega da questi ricevuta in base all’ordinamento

161 «[1] The conduct of any State organ shall be considered an act of that State under international law, whether the organ exercises legislative, executive, judicial or any other functions, whatever position it holds in the organization of the State, and whatever its character as an organ of the central Government or of a territorial unit of the State. [2] An organ includes any person or entity which has that status in accordance with the internal law of the State».

162 Cfr. Roscini, op. cit., p. 34. L’A. specifica che i membri delle unità non devono necessariamente essere militari, ben potendosi prevedere che di esse facciano parte anche dipendenti civili del Ministero della Difesa o civili a contratto provenienti dall’industria.

163 Cfr. Tallin Manual 2.0 (commento alla regola 15 – Attribution of cyber operations by State organs, par. 1, p. 87) dove si riporta l’esempio dello US Cyber Command, del Netherlands Defence Cyber Command, dell’Agence nationale de la sécurité des systèmes d’information francese, della Estonian Defence Leagues’s Cyber Unit, dell’unità cyber dell’Esercito Popolare di Liberazione cinese, e l’Unità 8200 israeliana. Danno luogo ad attribuzione alla Repubblica Italiana, ai sensi del principio in commento, anche le condotte del Comando Interforze per le Operazioni Cibernetiche (CIOC), sulle cui attribuzioni cfr. meglio infra, cap. 3.

164 Nicaragua v. United States of America, cit., par. 110. 165 Application of the Convention on the Prevention and Punishment of the Crime of Genocide

(Bosnia and Herzegovina v. Serbia and Montenegro), Judgment, 26 February 2007, I.C.J. Reports, 2007, par. 392.

166 «The conduct of a person or entity which is not an organ of the State under article 4 but which is empowered by the law of that State to exercise elements of the governmental authority shall be considered an act of the State under international law, provided the person or entity is acting in that capacity in the particular instance». Nel commento all’articolo, la Commissione di diritto internazionale chiarisce che la disposizione si riferisce ai casi di enti “parastatali” e può includere «public corporations, semipublic entities, public agencies of various kinds and even, in special cases, private companies, provided that in each case the entity is empowered by the law of the State to exercise functions of a public character normally exercised by State organs, and the conduct of the entity relates to the exercise of the governmental authority concerned».

61

interno. Rientrano sovente in questa categoria i CERT (Computer Emergency Response

Team)167 nazionali168, in quanto autorizzati a difendere reti e infrastrutture cibernetiche

governative169. Poiché la nozione di «governmental authority» non è definita dalla

Commissione, si ritiene170 che essa sia ampia a sufficienza da includere sia la difesa delle

porzioni nazionali dello spazio cibernetico sia l’esecuzione di operazioni di raccolta di

informazioni e di operazioni cibernetiche offensive.

L’art. 8 dell’ARSIWA qualifica infine come atto dello Stato anche la condotta di una

persona o di un gruppo di persone che abbiano agito sulla base di istruzioni o sotto la

direzione o il controllo dello Stato stesso171. Riguardo al contenuto della nozione di direzione

o controllo si sono avuti alcuni importanti contributi giurisprudenziali che hanno portato alla

formulazione delle due teorie concorrenti dell’effective control e dell’overall control. La

prima, che deriva da alcune pronunce della Corte internazionale di giustizia172 ed è nota

167 Secondo la definizione del Tallin Manual 2.0 (p. 563), i CERT sono team che forniscono servizi di pronto intervento in caso di emergenza e servizi di triage alle vittime o potenziali vittime di operazioni cibernetiche o reati informatici, di solito tramite il coordinamento tra il settore privato e gli enti governativi. I CERT mantengono inoltre la situational awareness riguardo alle attività informatiche dannose e ai nuovi sviluppi nella progettazione e nell'uso di malware, fornendo ai difensori delle reti informatiche consigli su come affrontare le minacce alla sicurezza e le vulnerabilità associate a tali attività e malware.

168 In Italia, il Codice delle comunicazioni elettroniche (d. lgs. 1° agosto 2003, n. 259, modificato dal d. lgs. 28 maggio 2012 n. 70 di attuazione della direttiva 2009/140/CE) ha individuato presso il Ministero dello Sviluppo Economico il CERT nazionale «con compiti di assistenza tecnica in caso di segnalazioni da parte di utenti e di diffusione di informazioni anche riguardanti le contromisure adeguate per i tipi più comuni di incidente» (art. 16-bis, comma 4). Il Regolamento di organizzazione del Ministero dello sviluppo economico (adottato con decreto del Presidente del Consiglio dei Ministri 5 dicembre 2013, n. 158) ha attribuito all’Istituto superiore delle comunicazioni e delle tecnologie dell'informazione le attività di pertinenza del CERT nazionale e le relative attività di raccordo con soggetti istituzionali competenti (art. 14, comma 1, let. p). L’art. 8 del d. lgs. 18 maggio 2018, n. 65 (attuazione della direttiva (UE) 2016/1148 del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione, cd. direttiva NIS) ha poi devoluto i compiti e le funzioni del CERT nazionale al gruppo di intervento per la sicurezza informatica in caso di incidente o CSIRT (Computer Security Incident Response Team) italiano, costituito presso la Presidenza del Consiglio dei ministri. Alla data di pubblicazione del presente lavoro, il dPCM che avrebbe dovuto disciplinare l’organizzazione e il funzionamento del CSIRT italiano non era ancora stato emanato.

169 Cfr. Schmitt M.N., International Law in Cyberspace: The Koh Speech and Tallinn Manual Juxtaposed, in Harvard International Law Journal Online, Vol. 54, 2012, p. 35.

170 Cfr. Roscini M., op. cit., p. 35. Così anche il Tallin Manual 2.0 (commento alla regola 15, p.89). 171 “The conduct of a person or group of persons shall be considered an act of a State under

international law if the person or group of persons is in fact acting on the instructions of, or under the direction or control of, that State in carrying out the conduct”. Nel commento all’articolo si propone l’esempio di «individuals or groups of private individuals who, though not specifically commissioned by the State and not forming part of its police or armed forces, are employed as auxiliaries or are sent as “volunteers” to neighbouring countries, or who are instructed to carry out particular missions abroad».

172 Nicaragua v. United States of America, cit., par. 115; Bosnia and Herzegovina v. Serbia and Montenegro, cit., par. 400.

62

come “Nicaragua standard”, esige la prova che lo Stato disponesse di un controllo effettivo

(effective control) delle operazioni militari o paramilitari nel corso delle quali sono state

commesse le presunte violazioni che originano la responsabilità e che tale controllo effettivo

sia stato esercitato, o che le istruzioni dello Stato siano state date, in relazione a ogni

operazione nel corso della quale si sono verificate le presunte violazioni e non in generale

rispetto all’insieme delle azioni intraprese dalle persone o dai gruppi di persone che hanno

commesso le violazioni. La seconda, conosciuta anche come “Tadić test”, è stata formulata

dalla Camera di appello presso Tribunale internazionale per la ex Jugoslavia173 negando la

compatibilità dell’effective control test con la logica del sistema di responsabilità

internazionale dello Stato. In particolare, l’ICTY ha affermato che i principi di diritto

internazionale relativi all'attribuzione agli Stati degli atti compiuti da privati non si basano su

criteri rigidi e uniformi e che, se è vero che il requisito per l'attribuzione agli Stati di tali atti è

che essi esercitino il controllo sugli individui, il grado di controllo può tuttavia variare a

seconda delle circostanze di fatto di ciascun caso. In particolare, con riferimento alle attività

dei gruppi armati militarmente organizzati (i quali di solito compiono più di una singola

operazione), la Camera ha evidenziato che se il gruppo si trova sotto il controllo generale

(overall control) di uno Stato, esso impegna per forza di cose la responsabilità di tale Stato

per le sue attività, indipendentemente dal fatto che ciascuna di esse sia stata imposta,

richiesta o diretta dallo Stato stesso.

Secondo alcuni174, la caratteristica di clandestinità delle operazioni cibernetiche e in

particolare degli attacchi cyber rende preferibile applicare il Tadić test (overall control),

piuttosto che lo standard Nicaragua (effective control) perché quest’ultimo esigerebbe il

controllo completo da parte del governo della singola operazione, mentre alla luce del primo

sarebbe sufficiente accertare la sussistenza di un più generale controllo operativo: con

riferimento a un caso concreto, la dottrina dell’overall control avrebbe consentito di attribuire

alla Russia la responsabilità degli attacchi contro l’Estonia nel 2007, cosa invece impossibile

alla luce della dottrina dell’effective control, che ritiene invece insufficiente, per l’attribuzione,

la partecipazione, preponderante o decisiva, al finanziamento, all’organizzazione,

all’addestramento, alla fornitura e all'equipaggiamento, alla selezione degli obiettivi e alla

pianificazione dell'intera operazione. Altri osservano invece, con prospettiva che qui si

173 ICTY, Prosecutor v. Tadić, case no. IT-94-1-A, Appeals Chamber Judgement, 15 July 1999, parr. 116-124.

174 Cfr. Shackelford S.J., From nuclear war to net war: analogizing cyber attacks in international law, in Berkeley Journal of International Law, Vol. 27, 2009, p. 235. Contra, cfr. Schmitt M.N – Vihul L., Proxy Wars in Cyberspace: The Evolving International Law of Attribution, in Fletcher Security Review, Vol. I (II), 2014, p. 64.

63

condivide, che proprio i problemi di identificazione dell’autore che caratterizzano le attività

cibernetiche rendono preferibile applicare il test del controllo effettivo, in quanto esso è più

idoneo ad impedire che gli Stati siano accusati in modo futile o doloso di operazioni

cibernetiche e che sia dia, dunque, luogo ad abuso del diritto di autodifesa175.

Clandestinità delle operazioni e possibilità di spoofing delle identità rilevano anche con

riferimento alla possibilità che uno Stato sia ritenuto responsabile di una aggressione

cibernetica in danno di un altro, della quale è invece responsabile un terzo Stato, con la

conseguenza che il primo attaccherebbe in legittima difesa, o prenderebbe contromisure

contro, il secondo, completamente innocente e persino inconsapevole176. L’ipotesi si

arricchisce di ulteriori sfumature problematiche, solo che si rifletta sulla possibilità che uno

Stato approfitti della tensione pre-esistente tra un suo avversario e un Paese terzo per fare

in modo che la sua condotta sia attribuita a quest’ultimo177.

175 Cfr. Roscini, op. cit., p. 38, il quale evidenzia, tra altre considerazioni critiche, in particolare il fatto che «it is exactly because of the identification problems characterizing cyber activities and the potential for abuse of the right of self-defence that the ‘effective control’ test is preferable, as it would prevent states from being frivolously or maliciously accused of cyber operations»

176 Sul punto, è interessante notare che la prima edizione del Manuale di Tallin (Tallin Manual on the International Law Applicable to Cyber Operations, Schmitt M.N. ed., Cambridge, 2013, p. 34-36) enunciava due regole relativamente a questo problema, non replicate nella versione 2.0, con riferimento al solo utilizzo di infrastrutture cibernetiche goernative. In particolare, la regola n. 7 – cyber operations launched from governmental cyber infrastructure stabiliva che «the mere fact that a cyber operation has been launched or otherwise originates from governmental cyber infrastructure is not sufficient evidence for attributing the operation to that State, but is an indication that the State in question is associated with the operation». La regola, sorprendente se applicata ad altri assetti governativi non cibernetici, era giustificata dal fatto che le infrastrutture cibernetiche possono finire sotto il controllo di soggetti estranei all’amministrazione, ipotesi difficile ma non impossibile anche per le reti chiuse. La regola n. 8 – cyber operations routed through a State stabiliva che «the fact that a cyber operation has been routed via the cyber infrastructure located in a State is not sufficient evidence for attributing the operation to that State».

177 Cfr. Carr J., Responsible attribution: a prerequisite for accountability, Tallinn Paper No. 6, 2014, p. 4.

64

CAPITOLO 3

LA DIFESA CIBERNETICA IN ITALIA

Sommario: 1. Le previsioni costituzionali e sub-costituzionali in materia di guerra e difesa; 1.1

L’articolo 11; 1.2 La difesa nazionale (profili ex art. 52 Cost.); 2. Evoluzione della normativa nazionale

in materia di sicurezza cibernetica. Dal DPCM del 24 gennaio del 2013 al D.L. 105 del 21 settembre

2019; 2.1. Il DPCM del 24 gennaio del 2013; 2.2. Il DPCM del 17 febbraio 2017; 2.3. Il D.L. 21

settembre 2019, n. 105 (perimetro di sicurezza cibernetica); 3. Il ruolo delle Forze armate nella difesa

cibernetica. Stato attuale e prospettive; 3.1 Le forze armate nell’architettura nazionale cyber; 3.2

Prospettive circa le attribuzioni delle forze armate in materia di difesa cibernetica.

1. Le previsioni costituzionali e sub-costituzionali in materia di guerra e difesa

1.1. L’articolo 11

A norma dell’art. 11 della Costituzione, «l’Italia ripudia la guerra come strumento di

offesa alla libertà degli altri popoli e come mezzo di risoluzione delle controversie

internazionali; consente, in condizioni di parità con gli altri Stati, alle limitazioni di sovranità

necessarie ad un ordinamento che assicuri la pace e la giustizia tra le Nazioni; promuove e

favorisce le organizzazioni internazionali rivolte a tale scopo».

La genesi dell’art. 11 fornisce alcuni elementi per la sua lettura ed interpretazione178.

Innanzitutto, occorre tenere presente che la Costituzione del 1948 ha inteso

ridisegnare l’atteggiamento dello Stato rispetto alla comunità internazionale e ripensare il

concetto di sovranità nazionale anche alla luce della catastrofica esperienza bellicista e

bellica del regime fascista. Di qui, l’aspirazione del Costituente a delineare un sistema di

relazioni internazionali non più caratterizzato dalla politica di potenza, da un atteggiamento

aggressivo nei confronti degli altri Stati o di comunità prive di un’autorità centrale

organizzata (in funzione dunque dell’ingrandimento territoriale o dell’ampliamento delle

sfere di influenza), dall’isolazionismo nazionalistico, bensì improntato a massima resistenza

alla guerra, rispetto degli altri Stati e delle regole di diritto internazionale, apertura alle

organizzazioni internazionali e all’universalizzazione dei valori di pace, democrazia e

libertà179.

178 Per una ricostruzione che dà conto anche di profili comparatistici, cf. Cialdea B., Limitazioni costituzionali alla guerra, in Studi per il XX Anniversario dell’Assemblea Costituente, Firenze, 1969, II, p. 79-104.

179 Sicardi S., I mille volti della guerra, la Costituzione e il diritto internazionale, in M. Dogliani e S. Sicardi (a cura di), Diritti umani e uso della forza. Profili di diritto costituzionale interno ed internazionale, Torino, 1999, p. 97.

65

Si trattava di adottare, dunque, una prospettiva pluralista, nella quale all’imperio delle

singole sovranità nazionali si sostituisse l’auto-limitazione degli Stati e divenisse in

conseguenza superfluo il ricorso alla guerra180. Da qui appunto la formulazione dell’art. 11,

che esordisce ripudiando la guerra e prosegue consentendo alle limitazioni di sovranità

necessarie ad un ordinamento che assicuri pace e giustizia tra le nazioni e promuovendo le

organizzazioni internazionali che perseguano tali scopi.

Tradizionalmente, l’art. 11 è stato oggetto di una interpretazione “esigente”181 che si è

articolata lungo alcune direttrici fondamentali.

Innanzitutto, il termine guerra impiegato dalla Costituzione non avrebbe solo il

significato tecnico, o classico, di esercizio dello jus ad bellum preceduto e accompagnato

da una serie di adempimenti formali disciplinati dal diritto182, ma indicherebbe in generale

l’uso della forza armata nei rapporti internazionali ed includerebbe dunque «ogni altra forma

di violenza armata di portata equiparabile a quella della guerra, ma non qualificata dalle parti

in conflitto come violenza bellica»183. Infatti, l’animus bellandi non si evince necessariamente

da una espressa dichiarazione, dovendosi ritenere coinvolto in una guerra qualunque Stato

che abbia ordinato l’inizio delle ostilità o si sia lasciato trascinare in azioni di guerra dalle

proprie forze armate184. Peraltro, vi può anche essere, e in effetti vi è stata, guerra senza

ostilità effettive185.

180 Cassese A., Lo Stato e la Comunità internazionale (gli ideali internazionalistici del costituente). Introduzione al Commento agli artt. 10-11 della Costituzione, in G. Branca (a cura di), Commentario alla Costituzione, Bologna-Roma, 1975, p. 468.

181 Sicardi S., I mille volti della guerra, la Costituzione e il diritto internazionale, cit., p. 99. Nota con formula felice Fiorillo M., Guerra e diritto, Roma-Bari, 2009, p. 105, che «a un articolo ambizioso si è affiancata […] una dottrina assai esigente».

182 In particolare, l’apertura delle ostilità è disciplinata dalla III Convenzione dell’Aja, adottata il 18 ottobre 1907 (peraltro mai ratificata dall’Italia). Si noti che la Convenzione non prevede alcun termine dilatorio minimo tra la dichiarazione di guerra e l’apertura delle ostilità, non richiede l’adozione di una forma determinata né riconnette alla violazione dell’obbligo di dichiarazione la mancata instaurazione dello stato di guerra. Sugli argomenti che escludono che l’obbligo di dichiarazione possa aver assunto nel tempo natura consuetudinaria cf. Mancini M., La dichiarazione di guerra nel diritto internazionale e la Costituzione italiana, in NATO, conflitto in Kosovo e Costituzione italiana, a cura di N. Ronzitti, Milano, 2000, p. 122-134.

183 Cassese A., Art. 11, in G. Branca (a cura di) Commentario della Costituzione, Principi fondamentali, 1975, p. 572.

184 Bon Valsassina M., Il ripudio della guerra nella Costituzione italiana, Padova, 1955, p. 39. Dello stesso avviso Curti Gialdino A., Guerra (diritto internazionale), in Enciclopedia del diritto, 1970, vol. XIX, p. 858: «non è richiesto, quale condizione per la trasformazione del diritto internazionale dall’assetto di pace all’assetto di guerra, che l’animus bellandi venga dichiarato al soggetto contro cui si rivolge; esso produce gli stessi effetti anche se è implicito in comportamenti che perseguono scopi diversi da quello di renderlo palese».

185 Bon Valsassina M., Il ripudio della guerra nella Costituzione italiana, cit., p. 38. Sulle incertezze della dottrina ad ammettere che la dichiarazione di guerra non seguita da alcun atto di ostilità sia sufficiente ad instaurare lo stato di guerra cf. Ronzitti N., Diritto internazionale dei conflitti armati, 2^ ed., Torino, 2001, p. 121-123.

66

Il Costituente ha dunque voluto bandire qualunque forma massiccia di violenza armata,

esclusa quella impiegata a fini difensivi. Del resto, un approccio improntato al

perseguimento della pace non poteva estrinsecarsi in un semplice divieto delle sole guerre

qualificabili formalmente come esercizio dello jus ad bellum ad esclusione di forme simili di

violenza armata che pure costituiscono forme di lotta contro altri Stati e pertanto «ripugnano

allo spirito pacifista e internazionalista della Costituzione»186.

Altra dottrina187 nota che il ripudio della guerra «è il ripudio, non già di una concezione,

di uno schema, di un istituto, di una definizione, ma di una realtà, di un “fatto”, in tutte le sue

manifestazioni, dirette ed indirette, formali ed informali, nominate ed innominate, scoperte e

coperte»; dunque, «il rifiuto della guerra […] copre tutta l’area delle possibili eventualità,

dalle spedizioni coloniali del passato e del presente a favore o contro gruppi di ribelli di un

qualsivoglia Stato, dalle azioni di violenza collettiva, ancorché non ufficiali, alle forniture di

armi, all’assistenza tecnologica, alla consulenza sulla condotta delle operazioni ecc.».

Ciò per «impedire che il principio pacifistico possa essere eluso mediante il ricorso ad un

concetto di guerra che, per essere troppo rigorosamente tecnico, lasci margine a pericolose

sottigliezze interpretative»; per cui «l’Italia – lo Stato non meno del popolo, gli organi non

costituzionali al pari degli organi costituzionali – è vincolata, non già solo ad astenersi da

ogni atto e forma di guerra, quale che ne sia il nomen, bensì anche ad impedire persino ad

ogni cittadino, come ad ogni gruppo di essi, qualsiasi specie di violenza nei confronti di un

altro popolo»188. «Pericoloso e paradossale»189 immaginare che il Costituente sia stato così

ingenuo da voler includere nel divieto ex art. 11 solo i conflitti che mantengono la qualifica

186 Loc. cit. 187 Ferrari G., Guerra (Stato di), in Enciclopedia del diritto, XIX, Milano, 1970, p. 816 188 Ibidem, p. 831. Contra, cf. Bon Valsassina M., Il ripudio della guerra nella Costituzione italiana,

cit., p. 52, secondo il quale «la parola “popoli” non è usata nel senso tecnico del linguaggio costituzionalistico ed equivale invece a “Stati”. Infatti, l’“Italia” cui vengono contrapposti […] gli “altri popoli”, è lo Stato italiano che autolimita la propria facoltà di muover guerra; non già il popolo italiano, cui tale facoltà non è riconosciuta né dall’ordinamento interno né da quello internazionale». Sempre sul punto, e in replica al Ferrari, cf. anche Mazziotti di Celso M., Lezioni di diritto costituzionale. Parte II. La Costituzione italiana. Precedenti storici, principi fondamentali e rapporti civili, Milano, 1985, p. 154, il quale osserva che «se il popolo deve esercitare il suo potere sovrano nelle forme e nei limiti stabiliti dalla costituzione, secondo queste forme e in questi limiti soltanto esso potrà manifestare la sua fedeltà al principio espresso dall’art. 11 […] Non esiste quindi un potere di opporsi alle direttive del governo nella condotta delle relazioni internazionali, e sia pure a fini pacifici, che possa prescindere dalle forme e dai limiti costituzionali delle libertà civili e politiche che, ex art. 78, possono anche essere ridotte in tempo di guerra». Fiorillo M., Guerra e diritto, Roma-Bari, 2009, p. 95, nota il non casuale impiego del termine “Italia” nella disposizione de qua, con evidente riferimento all’intera comunità politica, al popolo italiano in relazione agli “altri popoli” di cui nella prima parte dell’art. 11.

189 Fiorillo M., Guerra e diritto, Roma-Bari, 2009, p. 107.

67

formale di esercizio dello jus ad bellum e non invece tutte le forme di esercizio organizzato

della violenza bellica.

Quanto al rapporto tra la Repubblica e la guerra, il Costituente scelse di impiegare il

termine «ripudia», preferendolo da una parte a «condanna», che aveva valore etico più che

politico-giuridico, e dall’altra a «rinuncia», che presupponeva la rinuncia a un diritto, il diritto

di fare la guerra, che il Costituente voleva per l’appunto contestare190. Di più, nell’uso del

termine «ripudio» sarebbe contenuto anche, da una parte, l’invito al legislatore a reprimere

ed incriminare i movimenti bellicisti e la propaganda della guerra di aggressione e, dall’altra,

a rendere l’ordinamento delle Forze armate italiane conforme ai valori democratici iscritti

nella Costituzione191.

L’interpretazione dominante è dunque nel senso di conferire alla prima parte dell’art.

11 un significato immediatamente precettivo, al contrario di quanto sostenuto da coloro che

vi ravvisano invece solo l’enunciazione di un programma di politica estera, privo di significato

giuridico192.

La guerra ripudiata è quella usata come mezzo di risoluzione delle controversie

internazionali, tali essendo sia quelle politiche sia quelle giuridiche; per conseguenza, il

ricorso alla guerra è vietato sia quando per suo tramite si voglia far valere un interesse

internazionale della Repubblica, sia per l’ipotesi in cui serva a realizzare coercitivamente un

diritto soggettivo ad essa spettante nei confronti di un altro Stato193.

La guerra ‘come strumento di offesa alla libertà degli altri popoli’ è considerata come

una fattispecie della più generale tipologia delle guerre per la ‘risoluzione di controversie

internazionali’, giacché essa può essere condotta sia per realizzare un interesse sia per far

valere un diritto soggettivo dello Stato; ciò che la contraddistingue rispetto alle altre e che le

vale una menzione particolare è il suo effetto, consistente nel ledere l’indipendenza politica

di un altro Stato o la sua integrità territoriale, o comunque nell’imporre con la forza, ad un

190 Cassese A., Art. 11, cit., p. 568. Sull’incongruità dell’impiego del termine “rinuncia” pesarono, e non poco, anche altre considerazioni, legate alla particolare situazione di sovranità limitata in cui si trovava l’Italia: il Paese usciva sconfitto dalla guerra, alle elezioni per l’Assemblea costituente non poté partecipare quasi 1 milione di italiani appartenenti ai territori occupati della Venezia Giulia e dell’Alto Adige, la Commissione Alleata di Controllo “vigilava” a che la condotta del governo si conformasse a quanto richiesto dagli Alleati, il Trattato di Parigi imponeva cessioni di territorio, obblighi di smilitarizzazione e persino la tutela dei diritti dell’uomo (suggerendo implicitamente che senza quest’obbligo imposto dall’esterno essi non sarebbero stati sufficientemente garantiti): «esagerato e grottesco» in queste condizioni immaginare «il lusso di rinunciare a guerre e conquiste» (così Francesco Nitti nella seduta dell’Assemblea Costituente del 18 marzo 1947, in Atti Assemblea Costituente, I, p. 485).

191 Bon Valsassina M., Il ripudio della guerra nella Costituzione italiana, cit., p. 72 e 76. 192 Balladore Pallieri G., Diritto costituzionale, Milano, 1976, p. 493; Sico L., Considerazioni

sull’interpretazione dell’art. 11 della Costituzione, in Diritto internazionale, 1966, p. 323. 193 Bon Valsassina M., Il ripudio della guerra nella Costituzione italiana, cit., p. 76.

68

altro popolo, un regime o una struttura di governo che esso non desidera avere194.

Si tratta dunque, tipicamente, di una guerra di aggressione. Infatti, nonostante si sia rivelato

complesso pervenire a una definizione universalmente accettata dell’aggressione, non v’è

dubbio che il criterio fondamentale per riconoscerla consista proprio nell’offesa violenta che

uno Stato arreca alla libertà dell’altro e nell’ingiusta intrusione armata entro la sfera

territoriale e giuridica che l’ordinamento internazionale attribuisce al dominio riservato di un

altro Stato195. Da questo punto di vista, la formula scelta dal Costituente è particolarmente

felice, giacché contempla non solo le forme tradizionali di aggressione, ma anche altre di

particolare attualità, il cui oggetto non è tanto costituito dallo spazio geografico, cioè dal

territorio, bensì dall’ordinamento politico e dal regime sociale dello Stato aggredito.

Corollario196 dell’enunciato che include nel divieto ex art. 11 Cost. la guerra nel suo

significato estensivo è la legittimità dei soli comportamenti bellici strettamente difensivi.

La difesa come resistenza armata ad un’aggressione altrui è sicuramente lecita, tanto più

che si tratta, in questo caso, non di muovere guerra ma di operare nello stato di guerra

determinato da altri. Di più, si osserva correttamente che la ricusazione costituzionale della

guerra non potrebbe mai rappresentare un a priori proprio perché uno Stato sovrano non

può rinunciare all’eventualità di tutelare, attraverso un conflitto armato, la propria integrità e

indipendenza197.

Sempre in materia di legittima difesa, non manca in dottrina un indirizzo che propende

per la legittimità dell’azione di difesa preventiva, purché si sia in presenza di «un pericolo

grave ed imminente all’indipendenza politica e all’integrità territoriale dello Stato»198;

«eccezionalmente, quando uno Stato abbia prove certe e attendibili che un’aggressione

armata è imminente e appaia di proporzioni tali da mettere in pericolo la vita stessa del

paese»199; «nell’ipotesi di attacco che, benché non in atto, sia ragionevolmente temuto»200;

purché le attività di difesa preventiva siano «consentite dal diritto internazionale ed

194 Loc. cit. 195 Bon Valsassina M., Il ripudio della guerra nella Costituzione italiana, cit., p. 51. 196 O, meglio, esito di un percorso interpretativo, stante il silenzio della Costituzione sulla guerra

difensiva: «ovvia deduzione logica tratta dal limite inviolabile del principio pacifista contenuto nell’art. 11: se l’Italia ripudia la guerra come strumento di offesa della libertà degli altri popoli, allora è da dedurre che ammetta implicitamente la guerra come mezzo di difesa della libertà propria» (Fiorillo M., Guerra e diritto, cit., p. 101).

197 Fiorillo M., Guerra e diritto, cit., p. 91, il quale nota come la Costituzione «è pacifista, ma non stolidamente irenica».

198 Bon Valsassina M., Il ripudio della guerra nella Costituzione italiana, cit., p. 67. 199 Cassese A., Violenza e diritto nell’era nucleare, Roma-Bari, 1986, p. 50. 200 Arangio-Ruiz G., Difesa legittima (diritto internazionale), in Novissimo Digesto Italiano, V, p.

634.

69

effettivamente necessitate da pericoli reali»201.

Ancora sul punto, in dottrina si rileva come «sarebbe antistorico ed irreale escludere

senz’altro che la diplomazia della violenza non sia configurabile come uno dei possibili modi

in cui si può offendere la libertà di un popolo, o pensare che non si applichi proprio ai rapporti

tra Stati la vecchia massima valida per la legittima difesa privata, secondo cui “nemo

expectare tenetur donec percutiatur”. Ma ammettere la compatibilità del principio portato da

tale massima col principio dell’art. 11 Cost. equivale a riconoscere che la nostra Costituzione

prevede altri casus belli all’infuori di quello di una guerra materialmente iniziata da un altro

Stato; solo che non è compito del giurista teorizzarli, ma del potere politico individuarli di

volta in volta con una valutazione delle circostanze, che può appena, e talvolta malamente,

essere sindacata solo dal tribunale della storia»202. Non bastano, in ogni caso, per invocare

la legittima difesa preventiva, un pericolo o una minaccia generici, né minacce o attacchi

concernenti beni dello Stato diversi dalla sua esistenza o indipendenza203.

201 Luther J., Art. 52, in Commentario alla Costituzione, coordinato da R. Bifulco, A. Celotto e M. Olivetti, Torino, 2006, p. 1034, secondo il quale «la difesa può essere reattiva, ma anche preventiva e quindi scollegata da situazioni “di guerra” dichiarate nel rispetto degli art. 78 e 87 Cost.».

202 Ferrari G., Guerra (Stato di), cit., p. 832. 203 Cassese A., Art. 11, cit., p. 574.

70

L’affermazione dell’esistenza di un diritto costituzionale di legittima difesa porta con sé

il riconoscimento della legittimità dei trattati che prevedano obblighi di autodifesa

collettiva204. DE VERGOTTINI evidenzia205 che il Costituente ha in realtà assunto una «duplice

determinazione di indirizzo» per quanto concerne l’uso della forza nei rapporti internazionali:

una è il divieto della guerra, salvo quella di legittima difesa rispetto ad aggressioni esterne;

l’altra è l’inserimento dell’Italia nel quadro di organizzazioni internazionali rivolte ad

assicurare la pace e la giustizia internazionali e, di conseguenza, l’adeguamento a eventuali

decisioni degli organi delle Nazioni Unite implicanti il ricorso all’uso della forza o persino la

partecipazione a conflitti armati in osservanza dei principi della Carta ONU206.

Quanto ai rapporti tra disciplina costituzionale e internazionale della guerra, ci si è

chiesti se la legittima difesa ammessa dall’ordinamento italiano coincida con quella

tradizionalmente configurata dal diritto internazionale consuetudinario, che la ammetteva

per respingere un attacco armato in atto e altresì per prevenirlo, ovvero con la nuova più

204 Sulla compatibilità tra l’adesione alla NATO e la Costituzione italiana alla luce dell’art. 11 si è espressa la Corte di Cassazione con la sentenza n. 1920 del 22 marzo 1984, nella quale, oltre ad assumere che la NATO sia un’organizzazione internazionale che favorisce la pace e la giustizia tra le nazioni, si afferma che, essendo la NATO un’alleanza difensiva, non può trovarsi in contrasto con l’art. 11, che ammette l’uso della forza in legittima difesa. Cassese evidenzia che l’’autodifesa collettiva è conforme ad una consuetudine internazionale, ove si indirizzi contro un attacco ingiustificato alla libertà di uno Stato alleato e nel caso in cui l’intervento sia da quest’ultimo richiesto (Cassese A., Wars forbidden and wars allowed by the Italian Constitution, in Studi in onore di G. Balladore Pallieri, Milano, 1978, II, p. 136). Contra, Bernardini A., L’art. 11 della Costituzione rivisitato, in Rivista di diritto internazionale, 1997, p. 623. Jemolo evidenzia che l’art. 11 «non può abbracciare le alleanze militari, anche se dichiarino di avere scopi esclusivamente difensivi e di proporsi come fine di assicurare la pace nel mondo» in quanto la norma in esame «si riferisce a possibili forme federative» e ad «organizzazioni estranee […] alla difesa militare» (Jemolo A.C., Impegno di trattati e dichiarazione di guerra, in Studi per il XX Anniversario dell’Assemblea Costituente, Firenze, 1969, IV, p. 302). Altri, dopo aver ricordato come il Costituente non abbia inteso proibire il ricorso alla violenza bellica, se finalizzato al mantenimento della pace e che i patti di autodifesa collettiva costituiscono il solo rimedio all’anarchia dei rapporti internazionali, e quindi per assicurare la pace, va oltre il tema della difesa in senso proprio per rammentare che anche la partecipazione alle operazioni di peace-enforcement deliberate dalle Nazioni Unite ex art. 42 della Carta non sarebbe in contrasto con la Costituzione, in quanto non costituirebbe in alcun caso un ricorso alla guerra quale strumento di politica nazionale o mezzo per risolvere una controversia internazionale (Bon Valsassina, Il ripudio della guerra nella Costituzione italiana, cit., p. 68-70). Allo stesso modo, si sostiene che non è possibile accogliere nella categoria degli atti di aggressione contro la libertà di altri popoli o della soluzione delle controversie internazionali gli interventi delle Nazioni Unite aventi l’obiettivo di ripristinare la legalità internazionale (cf. Cabras D., Il controllo parlamentare nazionale nell’impiego delle truppe impegnate in missioni di pace, in N. Ronzitti (a cura di), Comando e controllo nelle forze di pace e nelle coalizioni militari. Contributo alla riforma della Carta delle Nazioni Unite, Milano, 1999, p. 77).

205 De Vergottini G., Guerra, difesa e sicurezza nella Costituzione e nella prassi, in Rivista AIC, 2/2017, p. 3.

71

ristretta nozione contenuta nell’art. 51 della Carta delle Nazioni Unite, che esclude la difesa

preventiva e la cd. aggressione indiretta.

Non appare dubitabile che il Costituente si sia riferito implicitamente al diritto

internazionale consuetudinario dell’epoca, per un duplice ordine di ragioni: da un lato, infatti,

la Carta dell’ONU non vincolava ancora l’Italia, dall’altro, tramite il richiamo – ex art. 10, 1

co., Cost. – alle «norme del diritto internazionale generalmente riconosciute», il Costituente

ha inteso riferirsi in generale al diritto internazionale consuetudinario, dunque anche alla

norma sulla legittima difesa.

Peraltro, la questione è oggi superata, quanto meno sul piano pratico, dall’adesione

dell’Italia alla Carta delle Nazioni Unite e in ogni caso dalla circostanza che, ove si accolga

la tesi dell’avvenuta trasformazione dell’art. 51 della Carta medesima in diritto

consuetudinario207, l’art. 10, 1 co., Cost. immetterebbe nell’ordinamento italiano una nozione

di legittima difesa limitata, dal diritto internazionale generale, al solo caso di risposta ad un

attacco armato.

Più in generale, per quanto riguarda il rapporto tra ordinamento italiano e diritto

internazionale, il divieto dell’uso della forza imposto dalla Carta delle Nazioni Unite è venuto

ad acquisire nel tempo natura consuetudinaria e si pone dunque come obbligo avente non

più e non solo natura pattizia, ma natura di diritto consuetudinario generale, con ciò

chiudendo il sistema delle relazioni internazionali attorno alla dicotomia illegittimità dell’uso

della forza – legittimità della sola guerra difensiva.

Ne deriva, nella prospettiva interna, che le norme di diritto internazionale «[i]n tutta

questa ampiezza venivano ad integrare la nostra Costituzione, cosicché, quanto alla

disciplina della guerra, il diritto costituzionale interno, il diritto ONU e il diritto consuetudinario

generale venivano a coincidere: il primo (attraverso i rimandi contenuti negli artt. 10 e 11) si

identificava con gli altri, ormai unificati, ed in essi si risolveva completamente, senza residui

e senza margini. Detto in altri termini: nell’interpretare gli artt. 11, 78 e 87 della Costituzione

ogni argomento doveva cedere a quello sistematico che sottoponeva gli articoli predetti al

divieto generale contenuto nell’art. 2, § 4 della Carta ONU: conseguentemente non si poteva

affiancare alla fattispecie vietata (amplissima e onnicomprensiva: uso o minaccia della

forza) un concetto “diverso” di guerra (desunto a contrario dal testo della Costituzione

italiana, assumendo una definizione restrittiva e formalistica del termine “guerra”), non

vietata»208.

207 Così Cassese A., Art. 11, cit., p. 569. 208 Dogliani M., Il valore costituzionale della pace e il divieto della guerra, in P. Carnevale (a cura

di), Guerra e Costituzione, 2003, p. 37.

72

1.2 La difesa nazionale (profili ex art. 52 Cost.)

Ai sensi dell’art. 52.1 Cost. «la difesa della Patria è sacro dovere del cittadino».

Si può osservare come, definendo “sacro dovere” la difesa della Patria, il Costituente

abbia fugato ogni possibile dubbio sulla legittimità dell’azione armata a fini di difesa e, per

conseguenza, sull’importanza di un’efficiente organizzazione militare209.

Un’ulteriore considerazione riguarda la differenza tra difesa dello Stato, che è compito

prioritario delle forze armate (così l’art. 89 del decreto legislativo 15 marzo 2010, n. 66) e

difesa della Patria, che non è invece esclusivamente militare210, ma che può trovare

espressione anche negli strumenti della cd. difesa civile, cioè in attività di salvaguardia delle

strutture socio-economiche della nazione che non siano di diretta competenza delle

FFAA211.

Per quanto riguarda in particolare la posizione e le attribuzioni delle forze armate, il co.

3 dell’art. 52 Cost. precisa che «l’ordinamento delle forze armate si informa allo spirito

democratico della Repubblica», affermazione da cui discendono due importanti

209 Cf. Carlassare L., Ordinamento democratico e impiego delle forze armate oltre i confini, in Diritto e forze armate. Nuovi impegni, a cura di S. Riondato, Padova, 2001, p. 38.

210 Sul punto si è espressa la Corte Costituzionale (con le sentenze n. 53 del 1967 e n. 164/1985) la quale, con riferimento al servizio di leva, ha precisato come, rispetto ad esso, il dovere ‘sacro’ della difesa della Patria mantenga una propria autonomia concettuale e istituzionale. Ne deriva che mentre il dovere di difesa è inderogabile, nel senso che nessuna legge potrebbe farlo venire meno, il servizio militare è obbligatorio nei modi e limiti stabiliti dalla legge, purché non siano violati altri precetti costituzionali. Il servizio di coscrizione obbligatoria è stato recentemente sospeso (art. 7 d.lg. 8 maggio 2001, n. 215): le FFAA hanno dunque attualmente carattere completamente volontario e il ripristino della leva obbligatoria è possibile solo nel caso di reputata insufficienza della consistenza numerica delle forze armate e di deliberazione dello stato di guerra ex art. 78 Cost. ovvero di coinvolgimento dell’Italia in una grave crisi internazionale. Ove ricorrano tali ipotesi, la coscrizione obbligatoria sarà ripristinata con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei Ministri, e comunque solo nel caso in cui non si riescano a coprire le vacanze mediante il preliminare ricorso al richiamo in servizio del personale militare cessato dal servizio da non più di cinque anni.

211 La difesa civile è svolta da un’amministrazione diversa da quella militare e tende a fornire alla collettività gli strumenti per sostenere gli effetti di attacchi armati contro beni civili, apprestare i rifornimenti necessari alla popolazione e sopportare lo sforzo produttivo necessario allo sforzo bellico. Sul punto, cf. Bassetta F. – Cantoni U., La difesa della Patria nei suoi profili amministrativi, in Elementi di diritto amministrativo militare, uaderni della Quaderni della Rassegna dell’Arma dei Carabinieri, 3/2001, p. 145 ss e p. 149 ss.; Jean C., L’ordinamento della difesa in Italia, Padova, 1989, p.8. Si noti anche la disposizione ex art. 1 della l. n. 64/2001, istitutiva del servizio civile nazionale, che ricorda come «la difesa della Patria con mezzi ed attività non militari» costituisca una attività «alternativa al servizio militare obbligatorio». Sul punto di vista affatto diverso per cui il sacro dovere di difesa della Patria può realizzarsi solo attraverso il servizio militare obbligatorio essendo concettualmente priva di fondamento e di giustificazione la previsione di un servizio civile che possa risultare, al pari di quello militare, finalizzato alla difesa della Patria, cf. Mazzarolli L., Dovere di difesa militare, obiezione di coscienza, servizio civile, in Diritto e forze armate. Nuovi impegni, a cura di S. Riondato, Padova, 2001, p. 95-100.

73

conseguenze: la prima è che l’ordinamento e l’organizzazione delle forze armate, seppure

improntati ai peculiari principi di disciplina e unità, non possono trovarsi in contraddizione

con i valori e principi che la Costituzione detta per l’insieme della collettività212; la seconda

è che le forze armate si pongono in posizione di neutralità rispetto al rapporto maggioranza-

opposizione in quanto dedite esclusivamente al servizio della Patria e perciò «soggette al

potere politico democraticamente espresso il cui libero determinarsi deve essere accettato

senza intromissioni o tentativi di condizionamento»213.

Riflesso della apoliticità e imparzialità degli apparati militari è l’attribuzione al Capo

dello Stato, ex art. 87, co. 9 Cost., del comando delle forze armate, da intendersi come

funzione di controllo e garanzia della loro democraticità, restando escluso che il Presidente

si intrometta nelle procedure militari in senso tecnico o che impartisca direttamente ordini ai

reparti militari.

Quanto alle attribuzioni delle FFAA, il legislatore ordinario ha per esse previsto non

solo la funzione di difesa dello Stato, ma anche lo svolgimento di missioni di sicurezza214.

Si può rinvenire in questo approccio un elemento di novità rispetto all’assetto tradizionale

dell’ordinamento delle FFAA: infatti, non solo si vincola l’ordinamento italiano ad una perfetta

concordanza con quello internazionale per quanto attiene alle azioni belliche e alle altre

forme di uso della forza tecnicamente non riconducibili a tale categoria, ma si impone anche

una definizione degli obiettivi di sicurezza compatibile con le finalità proprie dei sistemi

associativi ultrastatali cui partecipa l’Italia215.

Peraltro, è bene rilevare che la sicurezza militare costituisce nozione nettamente

distinta (non solo dalla difesa della Patria ma anche) dalla difesa militare, che chiama

l’amministrazione ad agire in risposta a minacce relative alla sopravvivenza dello Stato.

212 Si fa riferimento innanzitutto alla dignità della persona umana, a salvaguardia della quale e a temperamento del principio di gerarchia, il Costituente scelse appunto di utilizzare la locuzione “spirito democratico”. Sul dibattito in I Sottocommissione, cf. Bettinelli E., Art. 52, in Commentario della Costituzione a cura di G. Branca, Bologna, 1992, p. 81.

213 Carlassare L., Ordinamento democratico e impiego delle forze armate oltre i confini, cit. p. 40-41.

214 Chiti E., Difesa (ammninistrazione della), in Dizionario di diritto pubblico, vol. III, Milano, 2006, p. 1831. In particolare, il d.lg. 28 novembre 1997, n. 464, prevedeva, nel suo art. 1, co. 1, la partecipazione a missioni anche multinazionali per interventi a supporto della pace; la legge delega 14 novembre 2000, n. 331, recante norme per l’istituzione del servizio militare professionale, a sua volta, equiparava la guerra ad una «grave crisi internazionale nella quale l’Italia sia coinvolta direttamente o in ragione della sua appartenenza ad una organizzazione internazionale» (art. 2) e attribuiva alle forze armate «il compito di operare al fine della realizzazione della pace e della sicurezza, in conformità alle regole del diritto internazionale e alle determinazioni delle organizzazioni internazionali della quali l’Italia fa parte» (art. 1, co. 4). Queste disposizioni sono oggi contenute nel d. lgs. 66/2010, in particolare negli artt. 88 e 89.

215 Chiti E., L’amministrazione militare tra ordinamento nazionale ed ordinamento globale, Milano, 2006, p. 41.

74

Infatti, la sicurezza militare non è che uno specifico aspetto della sicurezza nazionale, la

quale a sua volta comprende non solo l’azione internazionale dello Stato di tipo militare, ma

anche quella di tipo politico, diplomatico, economico e finanziario, mirante a tutelare gli

interessi nazionali nell’ordinamento globale216.

Ancora, si può osservare che il fine della sicurezza internazionale è proprio non già

dell’ordinamento interno, ma di quello internazionale, rectius di quello rappresentato dal

sistema delle Nazioni Unite, che persegue finalità non difensive217, ma appunto di sola

sicurezza militare. Nel contesto delle Nazioni Unite, a sua volta, la sicurezza militare si

definisce come mantenimento dell’integrità e conservazione dell’ordinamento internazionale

attraverso un’attività militare: si tratta dunque di ristabilire la pace interrompendo un conflitto

in corso, di ripristinare il diritto violato da condotte illegittime in spregio alle norme di diritto

internazionale, di salvaguardare e proteggere i diritti fondamentali.

Ora, per quanto riguarda la compatibilità con la Costituzione dei principi in materia di

sicurezza internazionale, si osserva una sostanziale concordanza tra il divieto di

utilizzazione unilaterale della forza armata (e sue eccezioni) dettato dalla Carta delle Nazioni

Unite e la corrispondente limitazione enunciata dall’art. 11 Cost. Per quanto riguarda invece

il ricorso allo strumento militare in funzione della sicurezza internazionale come sopra

delineata, questa ipotesi non è immediatamente riconducibile al testo costituzionale e su di

essa la dottrina si è espressa con posizioni estremamente eterogenee. Il legislatore a sua

volta è intervenuto sul punto dapprima con la l. 331/2000 (art. 1) e poi con il Codice

dell’ordinamento militare (art. 87) stabilendo che «l’ordinamento e l’attività delle forze armate

sono conformi agli articoli 11 e 52 della Costituzione».

216 Peraltro, a partire dagli anni ‘70 del XX secolo, e nel silenzio della Costituzione, le finalità tradizionali dell’amministrazione militare sono state allargate ad includervi obiettivi tipicamente rientranti nell’ambito della funzione di ordine e sicurezza pubblica. Così l’art. 1 della l. 331/2000 (riprendendo una formula usata dall’art. 1 della l. n. 382/1978 recante norme di principio sulla disciplina militare) ha stabilito che le forze armate «concorrono alla salvaguardia delle libere istituzioni e svolgono compiti specifici in circostanze di pubblica calamità e in altri casi di straordinaria necessità ed urgenza». A sua volta, l’art. 18 della l. n. 128/2001 (cd. pacchetto sicurezza) ha consentito che, in relazione a specifiche ed eccezionali esigenze, il Consiglio dei ministri adotti uno o più specifici programmi di utilizzazione, da parte dei prefetti delle province interessate, di contingenti di personale militare delle forze armate, da impiegare per la sorveglianza e il controllo di obiettivi fissi, quali edifici istituzionali ed altri di interesse pubblico. Questa disposizione è stata ripresa dall’art. 7 bis del decreto-legge 23 maggio 2008, n. 92 come modificato dalla legge di conversione 24 luglio 2008, n.125, e ha dato il via all’operazione “strade sicure”, ininterrottamente in corso fino ad oggi.

217 L’azione di difesa collettiva, autorizzata dall’art. 51 della Carta dell’ONU, non deve essere confusa con le finalità dell’Organizzazione, che infatti la consente solo a determinate condizioni (un attacco armato) e nelle more dell’intervento degli organi deputati a gestire la sicurezza collettiva.

75

Il richiamo all’art. 11 Cost. risponde con tutta chiarezza all’esigenza di fornire copertura

costituzionale al coinvolgimento delle forze armate italiane in missioni all’estero218.

Nella stessa disposizione, infatti, il legislatore ha affidato alle forze armate, oltre ai compiti

prioritari di difesa dello Stato, altre tre funzioni: di queste, le prime due riguardano la

salvaguardia delle libere istituzioni e la tutela della collettività nazionale nei casi di pubbliche

calamità, mentre la terza riguarda la gestione delle crisi internazionali ed è con riferimento

ad essa che deve essere letto il richiamo all’art. 11 Cost.

Secondo parte della dottrina, la partecipazione a missioni militari all’estero è resa

compatibile e coerente con l’art. 52 Cost. dalla constatazione che la Patria può essere difesa

anche fuori del suo territorio, in particolare al fine della realizzazione della pace e della

sicurezza internazionali. Dunque, «la difesa della pace mondiale è diventata difesa

doverosa della Patria»219 giacché realizza gli obiettivi di pace e giustizia tra le nazioni previsti

dall’art. 11 Cost. Non sembrano invece giustificabili come “difesa della Patria” missioni su

invito per la difesa delle “libere istituzioni” di una Patria straniera220.

Ancora in materia di difesa, si osserva come le FFAA italiane siano chiamate a

perseguire anche l’obiettivo della difesa militare collettiva degli Stati appartenenti alla NATO,

obiettivo che, come già quello della sicurezza internazionale, non è proprio dell’ordinamento

nazionale, ma di un sistema organizzativo ultrastatale e che discende dall’art. 5 del Trattato

dell’Organizzazione dell’Atlantico del Nord in base al quale la difesa militare ha ad oggetto

(più che i singoli Stati membri) l’intera area dell’Atlantico settentrionale, in ragione del

carattere indivisibile della sua sicurezza. Questa prospettiva è stata ulteriormente rafforzata

dal vertice di Washington del 1999 che ha elaborato la cd. nuova dottrina strategica

dell’Alleanza, a termini della quale il nuovo obiettivo della NATO è il mantenimento della

sicurezza nell’area euro-atlantica: l’Alleanza, dunque, non è più solo strumento di difesa,

ma anche di sicurezza collettiva221. Quest’ultima è interpretata in un’accezione che, nei suoi

profili essenziali, riproduce quella propria delle Nazioni Unite: si tratta perciò di mantenere

l’integrità e conservare l’ordinamento regionale che fa capo all’Alleanza, attraverso

un’attività che va dall’imposizione della pace in caso di conflitto all’intervento in occasione

218 Dal Canto F., Difesa della Patria, in Dizionario di diritto pubblico, vol. III, Milano, 2006, p. 1851. 219 Luther J., Art. 52, cit., p. 1038. Dello stesso avviso Dal Canto F., Difesa della Patria, in

Dizionario di diritto pubblico, vol. III, Milano, 2006, p. 1851. 220 Luther J., Art. 52, cit., p. 1039. 221 Sulle ambiguità e incertezze derivanti dalla nuova dottrina strategica, cf. Cannizzaro E., La

nuova dottrina strategica della NATO e l’evoluzione della disciplina internazionale dell’uso della forza, in NATO, conflitto in Kosovo e Costituzione italiana, a cura di N. Ronzitti, Milano, 2000, p. 43 ss.; Barbera A., Le vicende del Trattato del Nord-Atlantico: revisione ‘de facto’ o interpretazione evolutiva?, in Rassegna parlamentare, 4, 1999, p. 814 ss.

76

di disastri civili o ambientali.

2. Evoluzione della normativa nazionale in materia di sicurezza cibernetica. Dal DPCM

del 24 gennaio del 2013 al D.L. 105 del 21 settembre 2019

2.1. Il DPCM del 24 gennaio del 2013

Le informazioni gestite dai sistemi informativi pubblici sono state qualificate «risorsa di

valore strategico» per il governo del Paese a partire dalla Direttiva del Presidente del

Consiglio dei ministri del 16 gennaio 2002222, intitolata “Sicurezza informatica e delle

telecomunicazioni nelle pubbliche amministrazioni statali”: la Direttiva ne ha dunque

richiesto l’efficace protezione e tutela al fine di «prevenire possibili alterazioni sul significato

intrinseco delle informazioni stesse» e ha imposto alle pubbliche amministrazioni di eseguire

una autodiagnosi del livello di adeguatezza della Sicurezza Informatica e delle

Telecomunicazioni (ICT), con particolare riferimento alla dimensione organizzativa

operativa e conoscitiva della sicurezza, e di attivare le iniziative necessarie per collocarsi su

una "base minima di sicurezza" che consentisse di porre le fondamenta della sicurezza della

pubblica amministrazione.

A partire dal 2010, nel contesto della Relazione annuale al Parlamento sulla politica

dell’informazione per la sicurezza, si è cominciato a sottolineare, con una “evidente

escalation” terminologica nel descrivere l’intensità della sfida223, la potenziale incidenza

della minaccia cibernetica sulla sicurezza nazionale.

L’elaborazione di un quadro normativo idoneo a fronteggiare la minaccia cibernetica si

è però data a partire dalle modifiche e integrazioni apportate, con la legge 7 agosto 2012,

n. 133, alla legge 3 agosto 2007, n. 124, recante disciplina del “sistema di informazione per

la sicurezza della Repubblica e nuova disciplina del segreto”.

L’articolo 1, comma 3-bis, della L. 124/2007 ha infatti disposto che il Presidente del

Consiglio dei ministri, sentito il Comitato interministeriale per la sicurezza della Repubblica

(CISR), adotti apposite direttive per rafforzare le attività di informazione per la protezione

delle infrastrutture critiche materiali e immateriali, con particolare riguardo alla protezione

cibernetica e alla sicurezza informatica nazionali.

222 Pubblicata sulla Gazzetta Ufficiale - Serie Generale n. 69 del 22.3.2002. 223 Cfr. Mele S., I principi strategici delle politiche di cybersecurity, 5 dicembre 2013,

https://www.sicurezzanazionale.gov.it/sisr.nsf/approfondimenti/principi-strategici-delle-politiche-di-cyber-security.html. Le relazioni annuali al Parlamento sono pubblicate sul sito http://www.sicurezzanazionale.gov.it/sisr.nsf/category/relazione-annuale.html

77

L'articolo 4, comma 3, lettera d-bis), della medesima legge ha poi affidato al

Dipartimento delle informazioni per la sicurezza il compito di coordinare le attività di ricerca

informativa finalizzate a rafforzare la protezione cibernetica e la sicurezza informatica

nazionali.

Nel 2013, con il decreto del Presidente del Consiglio dei ministri del 24 gennaio224, cd.

“decreto Monti”, è stata avviata la costruzione dei meccanismi istituzionali a protezione dello

spazio cibernetico, in particolare definendo e distribuendo funzioni e compiti tra i diversi

soggetti in relazione alle rispettive capacità di prevenzione, risposta e sanzione degli eventi

dannosi nello spazio cibernetico. Nello stesso anno, sono stati approvati, in applicazione

dell’art. 3, comma 1, del dPCM in commento il Quadro Strategico nazionale per la sicurezza

dello spazio cibernetico e il Piano Nazionale per la protezione cibernetica e la sicurezza

informatica.

Nel loro complesso, il dPCM e i documenti da esso discendenti delineavano in maniera

organica i compiti affidati alle diverse articolazioni dello Stato, disciplinando altresì i

meccanismi e le procedure da seguire ai fini della riduzione della vulnerabilità, della

prevenzione dei rischi, della risposta tempestiva alle aggressioni e del ripristino immediato

della funzionalità dei sistemi in caso di crisi (art. 1, comma 1).

Il sistema così delineato poneva al vertice del potere decisionale il Presidente del

Consiglio dei ministri e i Ministri facenti parte del Comitato interministeriale per la sicurezza

della Repubblica (CISR)225, a cui sono demandati il compito di elaborare la strategia

nazionale di cybersecurity, di definire gli indirizzi generali da perseguire nel quadro della

politica dell'informazione per la sicurezza e di individuare gli interventi normativi ritenuti

necessari. A supporto del Comitato il DPCM individuava (art. 5) un apposito organismo

collegiale di coordinamento (cd. “CISR tecnico”)226, presieduto dal Direttore generale del

Dipartimento delle informazioni per la sicurezza (DIS).

224 Pubblicato nella G.U. - Serie Generale n. 66 del 19 marzo 2013. 225 Il CISR è stato istituito dall’art. 5 della L. 124/2007 con funzioni di consulenza, proposta e

deliberazione sugli indirizzi e sulle finalità generali della politica dell'informazione per la sicurezza. Il Comitato è insediato presso la Presidenza del Consiglio dei ministri, è presieduto dal Presidente del Consiglio dei ministri ed è composto dal Ministro degli affari esteri, dal Ministro dell'interno, dal Ministro della difesa, dal Ministro della giustizia, dal Ministro dell'economia e delle finanze e dal Ministro dello sviluppo economico.

226 A tale organismo era attribuito lo svolgimento di attività preparatorie delle riunioni del CISR dedicate alla cyber sicurezza, istruttorie in vista dell’adozione di atti, di verifica dell'attuazione degli interventi previsti dal Piano nazionale per la sicurezza dello spazio cibernetico e di coordinamento per la formulazione delle indicazioni necessarie allo svolgimento delle attività di individuazione delle minacce alla sicurezza dello spazio cibernetico, al riconoscimento delle vulnerabilità, nonché per l'adozione di best practices e misure di sicurezza.

78

Il dPCM istituiva inoltre in via permanente (art. 8), presso l’Ufficio del Consigliere

militare del Presidente del Consiglio e da questi presieduto, il Nucleo per la sicurezza

cibernetica, composto da rappresentanti rispettivamente del DIS, dell'Agenzia informazioni

e sicurezza esterna (AISE), dell'Agenzia informazioni e sicurezza interna (AISI), del

Ministero degli affari esteri, del Ministero dell'interno, del Ministero della difesa, del Ministero

dello sviluppo economico, del Ministero dell'economia e delle finanze, del Dipartimento della

protezione civile e dell'Agenzia per l'Italia digitale227. Il Nucleo aveva finalità di supporto al

Presidente del Consiglio per gli aspetti relativi alla prevenzione e preparazione ad eventuali

situazioni di crisi e per l'attivazione delle procedure di allertamento. In particolare, ai fini

dell'attivazione delle azioni di risposta e ripristino rispetto a situazioni di crisi cibernetica,

spettava al Nucleo valutare se l'evento, per dimensioni, intensità o natura, potesse incidere

sulla sicurezza nazionale o comunque non potesse essere fronteggiato dalle singole

amministrazioni competenti in via ordinaria: in tali ipotesi, il Nucleo, ove necessario, avrebbe

provveduto a dichiarare la situazione di crisi cibernetica e ad attivare il Nucleo

interministeriale di situazione e pianificazione (NISP)228, quale Tavolo interministeriale di

crisi cibernetica. A sua volta, il Tavolo interministeriale di crisi cibernetica assicurava

l’espletamento in maniera coordinata delle attività di reazione e stabilizzazione di

competenza delle diverse Amministrazioni ed enti rispetto a situazioni di crisi di natura

cibernetica e si avvaleva, per gli aspetti tecnici di risposta sul piano informatico e telematico,

227 L’Agenzia è stata istituita dall’art. 14-bis del D.Lgs. 7 marzo 2005, n. 82, recante il “Codice dell'amministrazione digitale”. Ai fini del presente lavoro, rileva in particolare, tra le competenze dell’Agenzia, la «emanazione di Linee guida contenenti regole, standard e guide tecniche, nonché di indirizzo, vigilanza e controllo sull’attuazione e sul rispetto delle norme di cui al presente Codice, anche attraverso l’adozione di atti amministrativi generali, in materia di agenda digitale, digitalizzazione della pubblica amministrazione, sicurezza informatica, interoperabilità e cooperazione applicativa tra sistemi informatici pubblici e quelli dell’Unione europea» (comma 2, let. a). Tale disposizione rileva in particolare nella fase di coinvolgimento dell’Agenzia nelle procedure concernenti la risposta agli incidenti informatici ove la sua responsabilità di emendare e aggiornare le Linee guida per la sicurezza informatica fa tesoro delle lezioni apprese grazie agli incidenti stessi. Di significativo interesse sono le “Misure minime di sicurezza ICT per le pubbliche amministrazioni” del 26 aprile 2016 con le quali sono stati delineati tre livelli di attuazione dei controlli di natura tecnologica, organizzativa e procedurale per la sicurezza ICT: minimo, standard e alto, quest’ultimo imposto alle Amministrazioni ritenute più esposte a rischi.

228 Il NISP è stato istituito dall’articolo 5 del decreto del Presidente del Consiglio dei ministri 5 maggio 2010 recante “Organizzazione nazionale per la gestione di crisi” e pubblicato in Gazzetta Ufficiale n. 139 del 17 giugno 2010. Il NISP svolge funzioni di supporto al Comitato Politico Strategico – CoPS (istituito dall’art. 4 del medesimo dPCM) e al Presidente del Consiglio dei Ministri. Il NISP è costituito presso la Presidenza del Consiglio dei Ministri ed è presieduto dal Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri - Segretario del Consiglio dei Ministri, che con facoltà di delega delle funzioni al Consigliere militare del Presidente del Consiglio dei Ministri.

79

del Computer Emergency Response Team (CERT) nazionale, istituito presso il Ministero

dello sviluppo economico.

Con decreti del Presidente del Consiglio dei ministri in data 27 gennaio 2014 sono stati

adottati il “Quadro strategico nazionale per la sicurezza dello spazio cibernetico” e il “Piano

nazionale per la protezione cibernetica e la sicurezza informatica”, previsti dall'articolo 3,

comma 1, del dPCM 24 gennaio 2013.

Il Quadro strategico è stato elaborato dal Tavolo Tecnico Cyber - TTC, istituito il 3

aprile 2013 in seno al CISR tecnico e al quale partecipavano i rappresentanti cyber del CISR

(Affari esteri, Interno, Difesa, Giustizia, Economia e finanze, Sviluppo economico),

dell’Agenzia per l’Italia digitale e del Nucleo per la sicurezza cibernetica. Nel Quadro sono

delineate le linee strategiche nazionali nel medio-lungo periodo, partendo da una

ricognizione delle principali minacce – dalla criminalità informatica allo sfruttamento delle

tecnologie ICT per fini terroristici, dall’“hacktivismo” allo spionaggio cibernetico, dal

sabotaggio per via informatica ai conflitti nella quinta dimensione – e delle vulnerabilità

sfruttate per la conduzione di attacchi nello spazio cibernetico. Il documento definisce inoltre

i ruoli e i compiti dei soggetti pubblici e individua strumenti e procedure per potenziare le

capacità cibernetiche del Paese, attraverso la definizione di indirizzi strategici e

l’identificazione di indirizzi operativi229.

ll Piano Nazionale 2013 per la protezione cibernetica e la sicurezza informatica

nazionali ha sviluppato, per il biennio 2014-2015, undici indirizzi operativi predefiniti nel

Quadro strategico, prevedendo obiettivi specifici e conseguenti linee d’azione230.

229 In particolare, gli indirizzi strategici sono i seguenti sei: miglioramento, secondo un approccio integrato, delle capacità tecnologiche, operative e di analisi degli attori istituzionali; potenziamento delle capacità di difesa delle infrastrutture critiche nazionali e degli attori di rilevanza strategica per il sistema-Paese; incentivazione della cooperazione tra istituzioni e imprese nazionali; promozione e diffusione della cultura della sicurezza cibernetica; rafforzamento delle capacità di contrasto alla diffusione di attività e contenuti illegali on-line; rafforzamento della cooperazione nazionale in materia di sicurezza cibernetica. Quanto agli indirizzi operativi, nel numero di undici, essi spaziano dal potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare, all’identificazione di una Autorità nazionale NIS (Network and Information Security), dal potenziamento della partnership tra soggetti pubblici e privati, alla promozione e diffusione della cultura della sicurezza informatica, dalla cooperazione internazionale al miglioramento dell’operatività del CERT nazionale, del CERT-PA e dei CERT dicasteriali, fino all’implementazione di un sistema di Information Risk Management nazionale.

230 Gli undici indirizzi operativi sono: [1] potenziamento delle capacità di intelligence, di polizia e di difesa civile e militare; [2] potenziamento dell’organizzazione e delle modalità di coordinamento e di interazione a livello nazionale tra soggetti pubblici e privati; [3] promozione e diffusione della cultura della sicurezza informatica. Formazione e addestramento; [4] cooperazione internazionale ed esercitazioni; [5] operatività del CERT nazionale, del CERT-PA e dei CERT dicasteriali; [6] interventi legislativi e compliance con obblighi internazionali; [7] compliance a standard e protocolli di sicurezza; [8] supporto allo sviluppo industriale e

80

Sull’assetto così delineato dal DPCM 24 gennaio 2013 hanno poi inciso, imponendone

una revisione, alcuni provvedimenti successivi.

Innanzitutto, il decreto legge n. 30 ottobre 2015, n. 174, recante “Proroga delle missioni

internazionali delle Forze armate e di polizia, iniziative di cooperazione allo sviluppo e

sostegno ai processi di ricostruzione e partecipazione alle iniziative delle organizzazioni

internazionali per il consolidamento dei processi di pace e di stabilizzazione”, ha modificato

le competenze del CISR prevedendo (art. 7-bis, comma 5) che tale organismo possa essere

convocato dal Presidente del Consiglio dei ministri, «con funzioni di consulenza, proposta e

deliberazione, in caso di situazioni di crisi che coinvolgano aspetti di sicurezza nazionale».

In secondo luogo, il decreto legislativo 18 maggio 2018, n.65 ha dato attuazione,

recependola nell'ordinamento nazionale, alla Direttiva (UE) 2016/1148 del Parlamento

europeo e del Consiglio, del 6 luglio 2016, cd. Direttiva NIS, recante misure per un livello

comune elevato di sicurezza delle reti e dei sistemi informativi nell'Unione231. È stato,

pertanto, istituito (art. 8) presso la Presidenza del Consiglio dei ministri il Computer Security

Incident Response Team (CSIRT), mediante unificazione del Computer Emergency

Response Team (CERT) nazionale e del CERT-PA, assumendone i compiti232.

Infine, la pubblicazione nel luglio 2015 del Libro Bianco per la sicurezza internazionale

e la difesa, a cura del Ministero della Difesa, ha evidenziato la necessità di dedicare

tecnologico; [9] comunicazione strategica; [10] risorse; [11] implementazione di un sistema di Information Risk Management nazionale.

231 La direttiva NIS può essere considerata il primo passo della strategia europea per la cybersecurity in quanto ha l’obiettivo di rafforzare la sicurezza e la resilienza informatica all’interno del continente (rectius, dello spazio unionale) partendo dal presupposto che le reti, i sistemi e i servizi informativi devono essere e restare affidabili e sicuri per il corretto funzionamento del mercato interno. La direttiva si rivolge agli operatori di servizi essenziali, cioè quelli necessari al mantenimento di attività sociali e/o economiche fondamentali (come le imprese di trasporti ed energia, gli istituti sanitari, i fornitori e distributori di acqua, le banche e le Infrastrutture dei mercati finanziari) e agli operatori di servizi digitali, quali motori di ricerca, cloud computing e piattaforme per l’e-commerce. Ai predetti operatori è imposto di adottare misure tecniche e organizzative adeguate alla gestione dei rischi e alla prevenzione degli incidenti informatici. La direttiva impone inoltre, a livello nazionale, la designazione di un gruppo di intervento per la sicurezza informatica in caso di incidente (CSIRT) e di un’autorità nazionale competente in materia di sicurezza delle reti e dei sistemi informativi. Inoltre, istituisce un gruppo di cooperazione composto da rappresentanti degli Stati membri, dalla Commissione e dall’Agenzia dell’Unione Europea per la sicurezza delle reti e dell’informazione (ENISA) con l’obiettivo di promuovere la collaborazione tra i paesi dell’Unione in relazione alla sicurezza delle reti e dei sistemi informativi.

232 Delineati per il CERT-N dall'articolo 16-bis del decreto legislativo 1° agosto 2003, n. 259, e per il CERT-PA, già operante presso l'Agenzia per l'Italia digitale, dall'articolo 51 del decreto legislativo 7 marzo 2005, n. 82. Il dPCM di attuazione dell’art. 8 D. Lgs. 65/2018, che disciplina le modalità di costituzione, organizzazione e funzionamento del CSIRT, è stato emanato l’8 agosto 2019 (e pubblicato sulla Gazzetta Ufficiale n. 262 dell’8 novembre 2019) e ha costituito il CSIRT presso il DIS (art. 3).

81

specifiche capacità operative difensive al dominio d’azione cibernetico, al fine di preservare

la sicurezza del “Sistema Paese” e di rafforzare la tenuta delle strutture politiche,

economiche e sociali233.

2.2. Il DPCM del 17 febbraio 2017

Nel 2017, allo scopo di razionalizzare e semplificare l’architettura istituzionale

elaborata nel 2013 e di attestare le funzioni di coordinamento e raccordo delle attività di

prevenzione, preparazione e gestione delle crisi di natura cibernetica presso strutture che

assicurassero un più diretto ed efficace collegamento con il Comitato interministeriale per la

sicurezza della Repubblica (così il preambolo del decreto), il Governo ha pertanto adottato

un nuovo dPCM, cd. “decreto Gentiloni”.

In particolare, è rafforzato (art. 3, comma 1) il ruolo del Presidente del Consiglio dei

ministri quale responsabile della politica generale del Governo e vertice del Sistema di

informazione per la sicurezza della Repubblica, ai fini della tutela della sicurezza nazionale

anche nello spazio cibernetico.

In caso di crisi cibernetica, il Comitato Interministeriale per la Sicurezza della

Repubblica (CISR) partecipa alle determinazioni del Presidente del consiglio con funzioni di

consulenza e di proposta, nonché di deliberazione in caso di situazioni di crisi che

coinvolgano aspetti di sicurezza nazionale (art. 4, comma 1, let. a)234. Come già nel decreto

del 2013, il CISR esprime inoltre parere sulle direttive del Presidente, delibera il Piano

Nazionale e ne sorveglia l'attuazione, approva le linee di indirizzo per favorire la

collaborazione fra gli attori istituzionali e stabilisce gli obbiettivi in materia di protezione

cibernetica nazionale.

Modifiche significative all’architettura istituzionale concernono il ruolo del DIS.

Al suo Direttore generale è infatti attribuito (art. 6) il compito di «adottare le iniziative

idonee a definire le necessarie linee di azione» per innalzare e migliorare i livelli di sicurezza

dei sistemi e delle reti, perseguendo, in particolare, l’individuazione e la disponibilità dei «più

adeguati e avanzati supporti tecnologici in funzione della preparazione alle azioni di

prevenzione, contrasto e risposta in caso di crisi cibernetica». Inoltre, è presso il DIS, e non

233 Così in particolare il par. 103. Quanto alla affermazione del nuovo dominio operativo cibernetico, da presidiare e difendere, il par. 32 la riconduce alla «particolare dipendenza dell’Occidente da un sistema di reti informatiche che sia funzionante, sicuro e resiliente».

234 La partecipazione del CISR alle determinazioni del Presidente con funzioni di consulenza e proposta era già prevista dal dPCM del 2013 (art. 4, comma 1, let. l). Il nuovo decreto innova nella parte in cui, in ossequio alla rideterminazione dei compiti del CISR effettuata con il d.l. 174/2015, aggiunge funzioni di deliberazione nei casi in cui la crisi raggiunga una soglia di pericolo per la sicurezza nazionale.

82

più presso l’Ufficio del Consigliere militare, che è costituito il Nucleo per la sicurezza

cibernetica (art. 8) a supporto del Presidente del consiglio e ora anche del CISR235, con

una composizione in parte innovata (è presieduto da un vice direttore generale del DIS,

designato dal direttore generale, vi siede il Consigliere militare, che in precedenza lo

presiedeva, e vi partecipa anche un rappresentante del Ministero della giustizia).

Lo spostamento del Nucleo per la sicurezza cibernetica dall’ambito dell’Ufficio del

Consigliere militare del Presidente del Consiglio a quello del DIS sembra rispondere

all’esigenza di una maggiore agilità della catena di comando e di un maggiore

coordinamento con tutte le strutture istituzionali previste nel nuovo quadro strategico236.

Rispetto ai compiti del Nucleo come delineati nel 2013, sono mutati alcuni profili. In

particolare, per quanto riguarda la prevenzione e la preparazione rispetto ad eventuali

situazioni di crisi, il Nucleo acquisisce le comunicazioni circa i casi di violazione, o i tentativi

di violazione, della sicurezza e i casi di perdita dell’integrità significativi ai fini del corretto

funzionamento delle reti e dei servizi, dal Ministero dello sviluppo economico, dagli

organismi di informazione per la sicurezza, dalle forze di polizia e, in particolare, dal Centro

Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC),

nonché dalle strutture del Ministero della difesa e dai CERT.

Per quanto concerne l'attivazione delle azioni di risposta e ripristino rispetto a situazioni

di crisi cibernetica, il Nucleo non deve più attivare il NISP, ma provvede allo svolgimento di

attività di raccordo e coordinamento e informa tempestivamente il Presidente del consiglio

ai fini delle determinazioni previste dall’art. 7-bis, comma 5, del d.l. 174/2005. Il NISP cessa

dunque di costituire il Tavolo interministeriale di crisi cibernetica e la gestione delle crisi di

natura cibernetica resta affidata al Nucleo (art. 10), del quale muta la composizione, in

ragione delle necessità del momento, integrandolo con rappresentanti del Ministero della

salute, del Ministero delle infrastrutture e dei trasporti, del Dipartimento dei Vigili del fuoco,

del soccorso pubblico e della difesa civile, in rappresentanza anche della Commissione

interministeriale tecnica di difesa civile (CITDC), dell'ufficio del Consigliere militare

autorizzati ad assumere decisioni che impegnano la propria amministrazione, nonché di

rappresentanti di altre amministrazioni, anche locali, ed enti, anche essi autorizzati ad

235 Coerentemente con questo nuovo impianto, Alle riunioni del CISR e del CISR tecnico aventi ad oggetto la sicurezza cibernetica non partecipa più il Consigliere Militare (come era invece previsto dagli articoli 4, comma 2, e 5, comma 2, del decreto Monti).

236 Così il documento conclusivo dell’indagine conoscitiva sulla sicurezza e la difesa nello spazio cibernetico allegata al resoconto stenografico della seduta del 20 dicembre 2017 e approvata nella seduta del giorno successivo, p. 19, http://documenti.camera.it/leg17/resoconti/commissioni/stenografici/pdf/04/indag/c04_cibernetico/2017/12/20/leg.17.stencomm.data20171220.U1.com04.indag.c04_cibernetico.0010.pdf

83

assumere decisioni, degli operatori privati237 e di altri soggetti eventualmente interessati.

Il Nucleo per la sicurezza cibernetica, dunque, riceve, anche dall’estero, le

segnalazioni di eventi cibernetici e dirama gli allarmi alle amministrazioni e agli operatori

privati; valuta se l’evento assuma dimensioni, intensità o natura tali da non poter essere

fronteggiato dalle singole amministrazioni competenti in via ordinaria, ma richieda

l’assunzione di decisioni coordinate in sede interministeriale; informa tempestivamente il

Presidente del Consiglio dei ministri, per il tramite del Direttore generale del DIS, sulla

situazione in atto.

Dal quadro così delineato emerge come sia stato attribuito al Sistema delle

informazioni per la sicurezza un ruolo strategico nella gestione della minaccia cibernetica,

sia nella fase di indirizzo tecnico sia nella fase più prettamente operativa.

Con dPCM 31 marzo 2017 il Governo ha emanato il nuovo Piano nazionale per la

protezione cibernetica e la sicurezza informatica nel quale sono stati rivisitati gli indirizzi

operativi, in particolare il primo (potenziamento delle capacità di intelligence, di polizia e di

difesa civile e militare) e il quinto (operatività delle strutture nazionali di incident prevention,

response e remediation). Quanto al primo profilo, ha ricevuto evidenza nel Piano lo sviluppo

delle capacità operative fondamentali, idonee ad espletare i compiti della Difesa

nell’ambiente cibernetico, attraverso il potenziamento delle strutture preposte alla difesa

dello spazio cibernetico e l’assicurazione dei necessari livelli di efficacia ed efficienza degli

assetti che le compongono nonché attraverso lo sviluppo di strutture di comando e controllo

in grado di pianificare e condurre in maniera efficace operazioni militari nello spazio

cibernetico. Quanto al secondo, il Piano ha considerato in particolare la necessità di recepire

le novità introdotte dalla Direttiva NIS, tenendo dunque conto della costituzione dei

Computer Security Incident Response Team (CSIRT) e dell’Autorità nazionale e

dell’esigenza di coordinare il ruolo dei nuovi attori con quello degli altri protagonisti

dell’architettura cyber nazionale. Il Piano ha inoltre previsto il supporto alle iniziative del

Ministero della Difesa volte a istituire un Comando interforze per le operazioni cibernetiche

(CIOC), deputato a proteggere i sistemi e le reti del dicastero e ad effettuare operazioni in

campo cibernetico, e a realizzare un poligono virtuale nazionale (cyber range) presso la

Scuola Telecomunicazioni delle Forze armate.

237 La tipologia di operatori privati che possono essere ammessi alle riunioni del NISP è delineata dall’art. 11: “operatori privati che forniscono reti pubbliche di comunicazione o servizi di comunicazione elettronica accessibili al pubblico, gli operatori di servizi essenziali e i fornitori di servizi digitali (di cui alla direttiva NIS) quelli che gestiscono infrastrutture critiche di rilievo nazionale ed europeo, il cui funzionamento è condizionato dall'operatività di sistemi informatici e telematici”.

84

2.3. Il D.L. 21 settembre 2019, n. 105 (perimetro di sicurezza cibernetica)

L’assetto istituzionale della sicurezza cibernetica è stato ulteriormente rimodellato con

l’adozione del “perimetro di sicurezza cibernetica” che costituisce l’oggetto del decreto legge

21 settembre 2019, n. 105, convertito con modificazioni dalla L. 18 novembre 2019, n.

133238, tra i cui obiettivi vi è quello di conseguire la disponibilità di «idonei strumenti di

intervento immediato» con i quali affrontare «con la massima efficacia e tempestività»

eventuali situazioni di emergenza in ambito cibernetico.

Il perimetro consiste dell’insieme «delle reti, dei sistemi informativi e dei servizi

informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati

aventi una sede nel territorio nazionale, da cui dipende l'esercizio di una funzione essenziale

dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività

civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui

malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, [può] derivare un

pregiudizio per la sicurezza nazionale» (art. 1, comma 1).

Il decreto prevede che la sicurezza del perimetro sia affidata essenzialmente a una

adeguata prevenzione239 e a una ridefinizione delle procedure di notifica degli incidenti240.

Vi è poi, e la norma è di particolare interesse, la possibilità per il Presidente del Consiglio

dei ministri di disporre, su deliberazione del CISR, la disattivazione, totale o parziale, di uno

o più apparati o prodotti impiegati nelle reti, nei sistemi o per l'espletamento dei servizi (art.

5). I presupposti per l’adozione di un tale provvedimento sono che ci si trovi in presenza di

un «rischio grave e imminente per la sicurezza nazionale» connesso alla vulnerabilità delle

238 Il decreto disciplina molteplici aspetti della sicurezza cibernetica includendo il tema degli approvvigionamenti nonché quello dell’esercizio dei poteri speciali (cd. “golden power”, ex d.l. 15 marzo 2012, n. 21) con riferimento alle reti a banda larga con tecnologia 5G e alle infrastrutture e tecnologie critiche. Tali profili esulano dal tema della ricerca e non saranno ulteriormente approfonditi.

239 La prevenzione si articola essenzialmente lungo due direttrici. Innanzitutto, le reti, i sistemi informativi e i servizi informatici devono essere censiti annualmente sulla base di criteri definiti dal CISR tecnico (art. 1, comma 2, let. b). Poi occorre (art. 1, comma 3, let. b) stabilire misure idonee a garantire elevati livelli di sicurezza delle reti, dei sistemi informativi e dei servizi informatici intervenendo su: 1) politiche di sicurezza, struttura organizzativa e gestione del rischio; 2) mitigazione e gestione degli incidenti e loro prevenzione, anche attraverso la sostituzione di apparati o prodotti che risultino gravemente inadeguati sul piano della sicurezza; 3) protezione fisica e logica e dei dati; 4) integrità delle reti e dei sistemi informativi; 5) gestione operativa, ivi compresa la continuità del servizio; 6) monitoraggio, test e controllo; 7) formazione e consapevolezza; 8) affidamento di forniture di beni, sistemi e servizi di information and communication technology (ICT), anche mediante definizione di caratteristiche e requisiti di carattere generale.

240 Alla data di pubblicazione del presente lavoro, le procedure non erano ancora state definite, in quanto è stato fissato (art. 1, comma 3) un termine di dieci mesi dalla data di entrata in vigore della legge di conversione del d.l. 105 per l’emanazione del pertinente decreto del Presidente del Consiglio dei ministri.

85

reti, dei sistemi informativi e dei servizi informatici, che il provvedimento sia

«indispensabile», temporalmente limitato a quanto «strettamente necessario alla

eliminazione dello specifico fattore di rischio o alla sua mitigazione» e che obbedisca a un

criterio di proporzionalità.

La disposizione, che enuncia una misura di difesa propriamente “passiva” (lo

“spegnimento” della rete), fa riferimento a parametri che sono tipici invece della difesa

proattiva e che si riscontrano, ad esempio, nella disciplina del targeting dettata dal I

Protocollo addizionale alle Convenzioni di Ginevra. Alcuni commentatori ritengono che

questo potere riguardi anche, proprio per la sua formulazione e per il riferimento al principio

di proporzionalità, il potere di ordinare una risposta e un contrattacco ad un attacco

cibernetico subito241.

3. Il ruolo delle Forze Armate nella difesa cibernetica: stato attuale e prospettive.

3.1 Le forze armate nell’architettura nazionale cyber

Le Forze armate costituiscono una istituzione complessa, in quanto articolata in

componenti (le singole FF.AA. appunto) caratterizzate da unitarietà e permanenza delle

finalità, e a rilevanza costituzionale242.

Il Codice dell’ordinamento militare (d. lgs. 15 marzo 2010, n. 66), riprendendo la

formulazione già utilizzata dalla l. 331/2000 e dal d. lgs. 297/2000, delinea (art. 89) i compiti

delle Forze Armate articolandoli in un compito definito “prioritario” - la difesa dello Stato

(comma 1) – e in compiti che si possono per conseguenza definire complementari,

consistenti nella realizzazione della pace e della sicurezza internazionali (comma 2), nel

concorso alla salvaguardia delle libere istituzioni (comma 3) e nello svolgimento di “compiti

241 Cfr. Mele S., Sicurezza nazionale ICT, perché il decreto sul Perimetro farà la differenza, https://www.agendadigitale.eu/sicurezza/sicurezza-nazionale-ict-perche-il-decreto-sul-perimetro-fara-la-differenza/

242 Tale caratteristica deriva innanzitutto dalla finalità perseguita dall’istituzione, la difesa, che è evidentemente funzione cardine dello Stato-comunità e alla quale la Costituzione fa esplicito riferimento negli articoli 11, 35, 52, 78, 87 e 117. Ancora, un elemento formale che concorre alla qualificazione delle forze armate come istituzione di rilevanza costituzionale si trae dal citato art. 87 Cost. nella parte in cui attribuisce al Presidente della Repubblica, organo costituzionale, il comando delle FF.AA. e la presidenza del Consiglio Supremo di Difesa, nonché da considerazioni di ordine classificatorio che “fa[nno] leva sulle funzioni svolte in posizione di assoluta obiettività e neutralità […] – rispetto alle sfere di interessi in cui si aggregano le singole componenti della collettività – e, per ciò stesso, non in posizione di mera subordinazione agli organi costituzionali, bensì in una sorta di continuità od integrazione organica con questi (il Presidente della Repubblica «ha il comando delle forze armate»). Cfr. Grasso G., Forze armate. I) Diritto amministrativo, in Enciclopedia Giuridica, Vol. XIV, ad vocem, p. 1-2.

86

specifici” in circostanze di pubblica calamità e in altri casi di straordinaria necessità e

urgenza (comma 3), meglio dettagliati dal successivo art. 92 con riferimento al contributo

reso nei campi della pubblica utilità e della tutela ambientale.

Sulla base dei compiti così delineati, il Ministro della Difesa ha individuato quattro

precise e specifiche missioni per le forze armate243: la prima è la difesa dello Stato, intesa

come salvaguardia dell’integrità del territorio nazionale – nelle sue dimensioni di piattaforma

terrestre, spazio aereo ed acque territoriali; degli interessi vitali del Paese; della sicurezza

delle aree di sovranità nazionale e dei connazionali all’estero; della sicurezza e libertà delle

vie di comunicazione. La seconda missione è la difesa degli spazi euro-atlantici ed euro-

mediterranei nel quadro sia del doveroso contributo alla difesa collettiva determinato

dall’appartenenza all’Alleanza Atlantica sia della necessità di tutelare gli interessi vitali o

strategici nazionali nell’area del Mediterraneo. La terza missione è il contributo alla

realizzazione della pace e della sicurezza internazionali, attraverso la partecipazione,

nell’ambito della gestione delle crisi internazionali, a operazioni di prevenzione e gestione

delle crisi al di fuori delle aree di prioritario intervento, al fine di garantire la pace, la

sicurezza, la stabilità e la legalità internazionali, nonché l’affermazione dei diritti dell’uomo.

La quarta missione è quella dei “concorsi e compiti specifici”, inclusiva sia di tutte le attività

svolte dalle forze armate in concorso con altre istituzioni dello Stato sia delle funzioni

precipuamente svolte in circostanze particolari, quali le pubblica calamità e gli altri casi di

straordinaria necessità ed urgenza.

La norma non prevede esplicitamente compiti di protezione dello spazio cibernetico,

ciò che determina una sorta di “arretramento” della competenza rispetto a quanto previsto

dal Legislatore per il sistema di informazione per la sicurezza della Repubblica, laddove la

già citata modifica del 2012 alla legge 124/2007 ha attribuito in particolare al DIS le funzioni

di protezione cibernetica e sicurezza informatica nazionale.

Peraltro, il già citato Quadro Strategico nazionale cyber del 2013 ha attribuito al

Ministero della Difesa, tra gli altri, i compiti seguenti:

- definire e coordinare la politica militare, la governance e le capacità militari nell’ambiente

cibernetico;

- pianificare, condurre e sostenere operazioni (Computer Network Operations – CNO) nello

spazio cibernetico atte a prevenire, localizzare, difendere (attivamente e in profondità),

contrastare e neutralizzare ogni possibile minaccia e/o azione avversaria cibernetica,

portata alle reti, ai sistemi e ai servizi della Difesa sul territorio nazionale o nei teatri

243 Libro Bianco, ed. 2015, par. 81.

87

operativi fuori dai confini nazionali, nel quadro della propria missione istituzionale;

- contribuire al flusso informativo a supporto delle operazioni cibernetiche delle F.A. oltre i

confini nazionali ai sensi della L. 124/2007;

- concorrere alla prevenzione e al contrasto delle attività terroristiche e di agevolazione al

terrorismo condotte con mezzi informatici contro le F.A. in campo nazionale o in

operazioni fuori dai confini nazionali ai sensi della L. 124/2007.

Specularmente, il Libro Bianco del 2015 ha attribuito alla Difesa (par. 68) il compito di

«svilupp[are], in piena armonia con la strategia nazionale sulla protezione informatica, le

possibilità di difesa contro attacchi di natura cibernetica che dovessero eccedere le capacità

predisposte dalle agenzie civili».

L’architettura cyber della Difesa si articola in:

- un Comando C4 Difesa (C4D)244, preposto alle attività gestionali volte a garantire

l'efficienza delle funzioni di comando, controllo, telecomunicazioni ed informatica

nell'ambito dell'area tecnico operativa interforze, tecnico amministrativa centrale della

Difesa e della magistratura militare, posto alle dipendenze del VI Reparto “C4I e

Trasformazione” dello Stato Maggiore della Difesa e cui spetta altresì la direzione e il

coordinamento del Centro interforze di gestione e controllo (CIGC) del sistema satellitare

SICRAL;

- un Comando interforze per le operazioni cibernetiche (CIOC)245, costituito nel settembre

2017, presso cui è costituito il CERT della Difesa, incaricato della condotta di attività di

difesa dell’infrastruttura ICT del dicastero (sul territorio nazionale e nei teatri operativi)

nello spazio cyber e dello svolgimento dell’intera gamma di cyber operations. Nell’ambito

della più generale architettura cyber nazionale, il CIOC si relaziona con AISE e AISI, per

il tramite del II Reparto Informazioni e Sicurezza dello Stato Maggiore della Difesa (SMD

RIS)246. Al raggiungimento della FOC (full operational capability) la capacità del Comando

244 https://www.difesa.it/SMD_/Staff/Reparti/VI/C4D/Pagine/default.aspx 245 Il par. 173 del Libro Bianco, nell’assegnare al Vice Comandante per le Operazioni (VCOM-

OPS), per delega del Capo di Stato Maggiore della Difesa, “Comandante in Capo” dell’impiego delle forze armate, la responsabilità della pianificazione operativa e dell’impiego delle forze in operazioni, gli ha messo a disposizione il Comando Operativo di Vertice Interforze, il Comando Interforze per le Operazioni Speciali e, rilevante ai nostri fini, il Comando Interforze per le Operazioni Cibernetiche.

246 L’art. 8, comma 2, della L. 124/2007 attribuisce infatti al RIS lo svolgimento delle attività informative utili al fine della tutela dei presidi e delle attività delle forze armate all'estero, in stretto collegamento con l'AISE. Nel corso del 2019 ha trovato inoltre definizione un protocollo d’intesa tra comparto intelligence e SMD finalizzato a definire l’operatività del CIOC nel dominio digitale (cfr. Camera dei Deputati, Documentazione e ricerche n. 83, Dominio cibernetico, nuove tecnologie e politiche di sicurezza e difesa cyber, 24 settembre 2019, p. 68).

88

consisterà anche di cellule operative cibernetiche in grado di garantire la protezione degli

assetti militari e la condotta delle operazioni cibernetiche nell’area delle operazioni

militari.

A questi enti corrispondono analoghe strutture presso le singole forze armate,

ancorché senza un modello organizzativo uniforme, che dispongono di propri Security

Operation Center (SOC), le cui attività contribuiscono all’operato del CERT, e di propri

Computer Incident Response Team (CIRT), con funzioni analoghe e di supporto al CERT.

Il meccanismo di gestione degli incidenti cibernetici è improntato al criterio della unicità di

comando con una direzione centralizzata presso il CERT Difesa (CIOC) per la gestione delle

emergenze e l’esecuzione decentrata da parte dei SOC di forza armata quali responsabili

della gestione delle emergenze di natura cibernetica ricadenti nel proprio dominio.

Sulla base di questa architettura, in caso di incidente informatico che interessa le reti

militari la reazione compete alla forza armata la cui rete è stata attaccata, mentre nel caso

di incidenti cross-domain interviene il CIOC, che assume il controllo e coordina le operazioni.

L’incidente deve inoltre essere comunicato all’autorità giudiziaria, la quale può delegare le

indagini alla forza armata attaccata o al CNAIPIC. A sua volta, il CERT Difesa informa il

Nucleo di sicurezza cibernetica, il quale in caso di particolare gravità, attiva il CISR (e il

CISR tecnico).

Nell’architettura disegnata dal dPCM Gentiloni, dunque, il Comando interforze per le

operazioni cibernetiche (CIOC) assume il compito di proteggere le reti militari in Italia e

all’estero, dovunque queste siano estese. Restano escluse evidentemente, a meno che non

sia richiesto un intervento in adempimento della quarta missione, le reti private, le reti civili

delle altre amministrazioni pubbliche, i servizi essenziali ai sensi della direttiva europea NIS.

I compiti sono strettamente limitati alla difesa cibernetica nel senso della difesa degli

assetti ICT rispetto ad attacchi portati dall’esterno alle reti militari. Altri tipi di attività, infatti,

scontano i divieti ex art. 615-ter247 del codice penale che incrimina l’introduzione abusiva in

247 La norma, introdotta dalla L. 547/1993 per adeguare l’ordinamento italiano alle prescrizioni della Raccomandazione No. R. (89) del Consiglio di Europa del 1989 (adottata dal Comitato dei Ministri il 18/1/1989), è inserita nell’ambito del Titolo XII, “delitti contro la persona”, e, in particolare, del Capo III dedicato ai delitti “contro la libertà individuale” e della sua sezione IV incentrata sulla tutela della inviolabilità del domicilio. La collocazione sistematica della fattispecie è stata giustificata, nella relazione al disegno di legge, sul presupposto che i sistemi informatici e telematici rappresentano «un’espansione ideale dell’area di rispetto pertinente al soggetto interessata, garantita dall’art. 14 della Costituzione» che a sua volta proclama l’inviolabilità del domicilio. Il bene tutelato, nell’intento del legislatore, è dunque la «pace del cd. domicilio informatico, e cioè del domicilio elettronico quale estensione virtuale del soggetto titolare di un sistema informatico» (cfr. Fiandaca G. – Musco E., Diritto Penale. Parte speciale. Volume II, tomo primo, I delitti contro la persona, Bologna, 2006, p. 245). Peraltro, la stessa assimilazione del domicilio informatico al domicilio fisico non è del tutto corretta, solo che si

89

un sistema informatico o telematico248 protetto da misure di sicurezza e la permanenza in

tali sistemi contro la volontà, espressa o tacita, del titolare249; ex art. 615-quater c.p. che

incrimina la detenzione abusiva di codici di accesso a sistemi informatici o telematici250; ex

art. 615-quinquies c.p. che incrimina la diffusione di programmi informatici diretti a

danneggiare o interrompere un sistema informatico o telematico251; ex art. 635-bis e 635-

pensi alla impossibilità di qualificare come proiezione della sfera personale i dati contenuti nei sistemi di interesse militare o relativi ad ordine e sicurezza pubblici. Significativo, infine, che la Corte di cassazione, Sez. VI, nella sentenza 27 ottobre 2004, n. 46509 abbia chiarito come non sussiste il reato ex art. 615-ter qualora il sistema informatico nel quale ci si inserisce abusivamente non sia protetto da misure di sicurezza.

248 La Convenzione di Budapest sulla criminalità informatica, adottata dal Consiglio d’Europa il 23 novembre 2001, tratteggia in questi termini (art. 1) il sistema informatico: «qualsiasi apparecchiatura o gruppi di apparecchiature interconnesse o collegate, una o più delle quali, in base ad un programma, compiono l'elaborazione automatica dei dati». La sentenza 26 marzo 2015, n. 17325 delle Sezioni Unite della Corte di cassazione, precisa ulteriormente che il sistema informatico «deve intendersi come un complesso di apparecchiature destinate a compiere una qualsiasi funzione utile all’uomo attraverso l’utilizzazione (anche parziale) di tecnologie informatiche che sono caratterizzate, per mezzo di una attività di “codificazione” e “decodificazione”, dalla “registrazione” o “memorizzazione” tramite impulsi elettronici, su supporti adeguati, di “dati”, cioè, di rappresentazioni elementari di un fatto, effettuata attraversi simboli (bit) in combinazioni diverse, e dalla elaborazione automatica di tali dati, in modo da generare informazioni costituite da un insieme più o meno vasto di informazioni organizzate secondo una logica che consente loro di esprimere un particolare significato per l’utente» (riprendendo Cass., Sez. VI, sentenza n. 3067 del 4 ottobre 1999).

249 Il delitto prevede una serie di circostanze aggravanti ad effetto speciale tra cui rileva, ai fini del presente lavoro, il fatto che dalla condotta derivi «la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti» (comma 2, n. 3).

250 La disposizione è formulata in termini ampi, in quanto contempla le condotte consistenti nel procurarsi, riprodurre, diffondere, comunicare o consegnare codici, parole chiave o altri mezzi idonei all’accesso a un sistema informatico, e comprende sia l’appropriazione materiale del supporto recante il codice o la chiave sia l’individuazione del codice attraverso processi algoritmici. Si osserva che questa norma tutela il bene giuridico del domicilio informatico in una fase anticipata rispetto a quella dell’accesso abusivo, già punito dall’art. 615-ter (Cfr. cfr. Fiandaca G. – Musco E., op. cit., p. 248). Recentemente, la Corte di cassazione (Sez. II penale - sentenza 20 maggio 2019, n.21987), pronunciandosi in ordine ai rapporti tra i reati di accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.) e detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.), ha ritenuto che i due reati non possano concorrere: « il reato di cui all’art. 615 quater costituisce necessario antefatto del reato di cui all’art. 615 ter, poiché le due fattispecie criminose si pongono in stretta connessione, tutelando entrambe il medesimo bene giuridico, ovvero il domicilio informatico, passando da condotte meno invasive a condotte più invasive, poiché indiscriminate. […] il meno grave - quoad poenam - delitto di cui all’art. 615 quater, non [può] concorrere con quello, più grave, di cui all’art. 615 ter, del quale costituisce naturalisticamente un antecedente necessario, sempre che quest’ultimo […] sia contestato, procedibile […] ed integrato nel medesimo contesto spazio-temporale in cui fu perpetrato l’antefatto, ed in danno della medesima persona fisica (titolare del bene protetto)».

251 Questa disposizione, introdotta nel c.p. dalla L. 547/1993, è stata poi modificata dall’art. 4 della L. 18 marzo 2008, n.48, recante ratifica della Convenzione di Budapest sulla criminalità informatica. In origine, la norma incriminava unicamente le condotte di diffusione, comunicazione e consegna di malicious software, mentre dopo la modifica il novero delle

90

quater c.p. che incriminano il danneggiamento rispettivamente di informazioni, dati e

programmi informatici e di sistemi informatici o telematici252.

Ad esito dell’indagine conoscitiva sulla sicurezza e la difesa nello spazio cibernetico,

condotta tra il 2016 e il 2017, la IV Commissione Difesa della Camera dei Deputati ha

evidenziato come, a fronte della potenziale distruttività degli effetti di attacchi cibernetici

portati alle reti e ai servizi informatici del Paese, occorra garantire un adeguato sistema di

difesa cibernetica che preveda l’acquisizione di una specifica capacità di condurre computer

network operations (CNO) «nella triplice articolazione di operazioni di difesa attiva

(computer network defence), di raccolta informativa (computer network exploitation) e di

attacco (computer network attack)»253.

Questa capacità deve, tuttavia, essere inserita in una adeguata cornice normativa che

consenta alle forze armate, anche attraverso opportune garanzie funzionali, la condotta di

operazioni cibernetiche di natura più “attiva” 254.

3.2 Prospettive circa le attribuzioni delle forze armate in materia di difesa cibernetica

Il tema delle attribuzioni delle forze armate in materia di difesa cibernetica è stato

oggetto di diversi disegni di legge presentati alla Camera dei deputati nel corso della XVII

legislatura. Si trattava, in realtà, di disegni di portata più ampia e ambiziosa, riferiti alla

sicurezza cibernetica nazionale nel suo complesso e non solo nella dimensione militare,

tuttavia sono i soli documenti nei quali sia dato rinvenire un tentativo di sistematizzazione

delle competenze e, soprattutto, delle capacità delle forze armate in materia.

Il primo disegno di legge, A.C. 3544255, oltre a prevedere (art. 15, comma 2) la

costituzione di un Comando operativo cibernetico interforze (COCI), conteneva un capo

interamente dedicato alle disposizioni sulle contromisure cibernetiche, definite come (art. 2,

condotte punibili comprende anche il procurarsi, produrre, riprodurre, importare, mettere comunque a disposizione di altri non solo il malware, ma anche apparecchiature e dispositivi.

252 La previsione di due fattispecie diverse per il danneggiamento di dati e software e il danneggiamento di sistemi riproduce la struttura adottata dalla Convenzione di Budapest, che con due articoli diversi (4 e 5) impegna gli Stati a qualificare come reato l’attentato all’integrità dei dati e l’attentato all’integrità di un sistema.

253 Cfr. proposta di documento conclusivo dell’indagine conoscitiva sulla sicurezza e la difesa nello spazio cibernetico allegata al resoconto stenografico della seduta del 20 dicembre 2017 e approvata nella seduta del giorno successivo, p. 36

http://documenti.camera.it/leg17/resoconti/commissioni/stenografici/pdf/04/indag/c04_cibernetico/2017/12/20/leg.17.stencomm.data20171220.U1.com04.indag.c04_cibernetico.0010.pdf

254 La IV Commissione osserva, infatti, che occorre approfondire il tema della «copertura politico-legale delle Computer network operations, con particolare riferimento al Computer network attack e alla definizione delle relative regole d’ingaggio». Ibidem, p. 37

255 Il progetto (firmatari Artini e altri deputati del gruppo misto) fu presentato alla Camera il 19 gennaio 2016 e venne poi ritirato il 12 settembre 2017.

91

comma 1, let. i) «le azioni mirate alla risposta a una minaccia cibernetica, che possono

produrre effetti anche al di fuori del territorio nazionale, effettuate al fine di eliminare la

situazione di crisi». In particolare, il d.d.l. prevedeva (art. 21, commi 1 e 2) che le forze

armate fossero autorizzate «all’uso e alla gestione» delle contromisure cibernetiche e che

potessero sviluppare programmi di contromisure cibernetiche «finalizzati alla verifica della

funzionalità dei sistemi di difesa cibernetica». Data la natura delle contromisure, il d.d.l.

prevedeva (art. 22, commi 2 e 3) che il loro uso fosse deliberato «al massimo livello politico

dal Consiglio dei ministri» e formasse oggetto di comunicazione al Presidente della

Repubblica e al Comitato parlamentare per la sicurezza della Repubblica. La medesima

disposizione, inoltre, collocava (comma 1) l’uso delle contromisure al di fuori delle ipotesi

dello stato di guerra256 e ne vincolava l’ammissibilità al rispetto dei princìpi di cui all’articolo

11 della Costituzione, del diritto internazionale generale, del diritto internazionale dei diritti

umani, del diritto internazionale umanitario e del diritto internazionale penale. Si prevedeva

infine (comma 4) l’estensione delle garanzie funzionali previste dall’art. 17 della L. 124/2007

per il personale dei servizi di informazione per la sicurezza agli «operatori che attuano le

contromisure deliberate» il che implicava l’applicazione anche al personale militare della

speciale causa di giustificazione operante in relazione alle condotte previste dalla legge

come reato, ma «legittimamente autorizzate di volta in volta in quanto indispensabili alle

finalità istituzionali». Questa clausola era subordinata al fatto che le violazioni di legge

scriminate non integrassero le fattispecie previste dagli articoli 5 e seguenti del trattato

istitutivo della Corte penale internazionale (crimine di genocidio, crimini contro l’umanità,

crimini di guerra o crimine di aggressione)257.

Il successivo disegno di legge, A.C. 3677258, esordiva definendo (art. 1, comma 2)

«oggetto di interesse militare» ogni attacco «volto a minacciare il funzionamento e l'integrità

256 «Fuori dei casi previsti dagli articoli 78 e 87, nono comma, della Costituzione […]» 257 Tale limitazione era stata introdotta per la prima volta nell’ordinamento italiano in relazione alla

scriminante di cui all’art. 19, comma 3, L. 1° luglio 2016, n. 145 recante disposizioni concernenti la partecipazione dell'Italia alle missioni internazionali («Non è punibile il personale di cui al comma 1 che, nel corso delle missioni internazionali, in conformità alle direttive, alle regole di ingaggio ovvero agli ordini legittimamente impartiti, fa uso ovvero ordina di fare uso delle armi, della forza o di altro mezzo di coazione fisica, per le necessità delle operazioni militari»). La scriminante era stata a sua volta già prevista, ma senza questa limitazione, dall’art. 4, comma 1-sexies della legge 29 dicembre 2009, n. 197, recante proroga delle missioni internazionali delle forze armate. Sulla scriminante ex art. 19 L. 145/2016 cfr. Riondato S., Missioni militari internazionali italiane c.d. di pace all’estero. Novità giuspenalistiche nella legge diriforma21 luglio 2016, n. 145, in Diritto penale contemporaneo, vol. 5, 2017, p. 287-313, https://www.penalecontemporaneo.it/pdf-viewer/?file=%2Fpdf-fascicoli%2FDPC_5_2017.pdf#page=287

258 Presentato il 15 marzo 2016 dal solo deputato Artini e avviato all’esame della Commissione Difesa il 2 agosto 2017.

92

della rete informatica e delle infrastrutture informatizzate critiche di interesse nazionale».

Riprendeva poi la definizione di contromisure cibernetiche già proposta nel precedente d.d.l.

(art. 2, comma 1, let. g), attribuiva al Segretario Generale della Difesa il compito di

promuovere la ricerca tecnologica nel campo della sicurezza cibernetica «considerata di

interesse militare» (art. 4), impegnava il Governo a modificare il TUOM (testo unico delle

disposizioni regolamentari in materia di ordinamento militare) per assicurare l’adeguata

formazione del personale militare nel settore della sicurezza cibernetica (art. 5) e prevedeva

una serie di emendamenti al Codice dell’ordinamento militare tramite i quali erano ampliate

le competenze delle forze armate e si affidava loro l’attuazione, sul piano operativo, delle

contromisure cibernetiche. In particolare, si prevedeva (art. 6, comma 2) di intervenire sulle

attribuzioni del Ministro della difesa - inserendo nell’art. 10, comma 1, COM la competenza

ad «emana[re] le direttive in materia di sicurezza cibernetica» - e sui compiti delle forze

armate (art. 7) - inserendo nell’art. 89 COM, dopo il comma 1, che proclama la difesa dello

Stato quale compito prioritario delle forze armate, il comma 1-bis a termini del quale «le

forze armate concorrono alla protezione dello spazio cibernetico nazionale» - e infine

inserendo un nuovo articolo, l’89-bis, dedicato all’esecuzione di contromisure cibernetiche

e dalla formulazione identica259 alla disposizione che nella proposta A.C. 3544 aveva pure

riguardato le contromisure, in particolare per quanto riguardava le procedure e le garanzie

funzionali riconosciute agli operatori. Il più intenso ruolo dell’amministrazione della difesa

nella protezione del ciberspazio era rispecchiato altresì dalla previsione (art. 8) che nella

relazione annuale al Parlamento disciplinata dall’art. 12 COM il Ministro riferisse anche su

259 A.C. 3677, art. 7, comma 3: «Dopo l'articolo 89 del codice di cui al decreto legislativo 15 marzo 2010, n. 66, è inserito il seguente: “ART. 89-bis. – (Contromisure cibernetiche). – 1. Fuori dei casi previsti dagli articoli 78 e 87, nono comma, della Costituzione, l'uso delle

contromisure cibernetiche è consentito a condizione che avvenga nel rispetto dei princìpi di cui all'articolo 11 della Costituzione, del diritto internazionale generale, del diritto internazionale dei diritti umani, del diritto internazionale umanitario e del diritto internazionale penale.

2. L'uso delle contromisure cibernetiche è deliberato dal Consiglio dei ministri, previa comunicazione al Presidente della Repubblica. Ove il Presidente della Repubblica o il Governo ne ravvisi la necessità, può essere convocato il Consiglio supremo di difesa, ai sensi dell'articolo 8, comma 2.

3. Il Governo comunica al Comitato parlamentare per la sicurezza della Repubblica, di cui all'articolo 30 della legge 3 agosto 2007, n. 124, le misure deliberate ai sensi del comma 2 del presente articolo.

4. Agli operatori che attuano le deliberazioni di cui al comma 2 del presente articolo sono riconosciute le garanzie funzionali previste dall'articolo 17 della legge 3 agosto 2007, n. 124, alle condizioni ivi previste. La deliberazione di cui al comma 2 del presente articolo tiene luogo dell'autorizzazione di cui all'articolo 18 della citata legge n. 124 del 2007.

5. Le garanzie di cui al comma 4 del presente articolo non si applicano in nessun caso ai crimini previsti dagli articoli da 5 a 8 dello Statuto della Corte penale internazionale, adottato a Roma il 17 luglio 1998, ratificato ai sensi della legge 12 luglio 1999, n. 232»

93

«l’evoluzione e le prospettive della minaccia cibernetica alla sicurezza nazionale».

L’ultima proposta di legge, A.C. 4633260, non prevedeva emendamenti al COM ma

sanciva (art. 13) l’istituzione del Comando interforze operazioni cibernetiche (CIOC) al quale

spettava la direzione delle operazioni relative alle contromisure cibernetiche, autorizzava

(art. 19, commi 1 e 2) le forze armate «all’uso e alla gestione delle contromisure

cibernetiche» e a «sviluppare programmi di contromisure cibernetiche finalizzati alla verifica

della funzionalità dei sistemi di difesa cibernetica», e riproponeva (art. 20) infine,

immutato261, il testo delle precedenti proposte di legge quanto all’ambito di applicazione

delle contromisure cibernetiche, al loro procedimento di autorizzazione, alla scriminante

prevista per gli operatori.

Un dato costante delle tre proposte di legge è stato la disciplina delle contromisure

cibernetiche e delle garanzie funzionali da attribuire agli operatori militari incaricati di

eseguirle, con un rinvio in termini generali alla disciplina prevista per il personale dei Servizi.

Sul punto, è interessante una notazione comparatistica, avuto riguardo al recente

emendamento apportato dall’art. 35 della Loi de programmation militaire 2019-2025262

all’art. L4123-12 del Code de la défense francese, adottato nel dicembre 2005263. La norma

prevedeva una scriminante (excuse pénale)264 per il militare che avesse fatto uso ovvero

260 Presentata il 7 settembre 2017 da Artini ed altri e non assegnata per l’esame in Commissione. 261 Singolare particolarità della norma era costituita dal suo comma 6 ai sensi del quale «le

disposizioni dei commi 1 [autorizzazione dell’uso di contromisure cibernetiche] e 2 [procedura di autorizzazione] non si applicano per le contromisure cibernetiche impiegate nell’ambito della protezione delle forze impegnate nelle missioni internazionali autorizzate ai sensi del Trattato di estradizione tra il Governo della Repubblica italiana e il Governo della Repubblica del Kosovo, fatto a Pristina il 19 giugno 2013, e del Trattato di assistenza giudiziaria in materia penale tra il Governo della Repubblica italiana e il Governo della Repubblica del Kosovo, fatto a Pristina il 19 giugno 2013, resi esecutivi dalla legge 7 luglio 2016, n. 147». Incomprensibile è infatti l’affermazione per cui debba rinvenirsi nei due trattati l’autorizzazione alle missioni internazionali.

262 Loi no. 2018-607 del 13 luglio 2018 «relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense».

263 La disposizione è inserita nell’ambito della Parte 4 del Codice (dedicata al personale militare), Libro I (status generale dei militari), Titolo II (diritti e doveri), Capitolo III (remunerazione, garanzie e protezione) nel contesto del quale la Sezione 3 è dedicata alla «protection juridique et responsabilité pénale».

264 Fino al 2005 non esisteva altra scriminante che la legittima difesa per giustificare l’uso della forza al di fuori del territorio nazionale, altrimenti sempre vietata in mancanza di una dichiarazione di guerra deliberata dal Parlamento. Dopo l’esperienza delle operazioni in Bosnia Erzegovina, Costa d’Avorio e Kosovo, nelle quali tale limite era apparso troppo restrittivo, si procedette a una riforma della legge 270 del 24 marzo 2005 (che disciplinava lo status del personale militare) inserendo un paragrafo che, per la prima volta, introduceva nell’ordinamento una causa di giustificazione per i militari che facevano uso della forza nell’adempimento della loro missione e nel rispetto del diritto internazionale (art. 15, comma II: «N'est pas pénalement responsable le militaire qui, dans le respect des règles du droit international et dans le cadre d'une opération militaire se déroulant à l'extérieur du territoire français, exerce des mesures de coercition ou fait usage de la force armée, ou en donne

94

avesse ordinato di fare uso di misure coercitive o della forza armata, quando necessario per

l’esecuzione della missione, nel quadro di un’operazione che avesse impegnato capacità

militari e si fosse svolta al di fuori del territorio francese o delle acque territoriali francesi,

qualunque ne fossero obiettivo, durata o ampiezza, ivi comprese la liberazione di ostaggi,

l’evacuazione di cittadini o la polizia in alto mare. A seguito della novella, nell’elenco delle

operazioni che danno luogo alla excuse sono state inserite anche le operazioni

informatiche265.

La ratio dell’emendamento si rinviene nell’assetto complessivo che le autorità francesi

hanno inteso dare alla cyber-defense, rispetto alla quale rilevano, in particolare, alcuni

aspetti. Il primo dato è che il Code de la défense prevede, con una disposizione di rango

legislativo (art. L2321-2), la possibilità per i «services de l’Etat», nel rispetto delle condizioni

fissate dal Primo Ministro e nel caso che si debba rispondere a un attacco informatico rivolto

ai sistemi informatici che incidono sul potenziale bellico o economico, la sicurezza o la

capacità di sopravvivenza della Nazione, di procedere alle operazioni tecniche necessarie

alla tipizzazione dell’attacco e alla neutralizzazione dei suoi effetti tramite l’accesso ai

sistemi informatici che sono all’origine dell’attacco stesso. A questo fine, è consentito

detenere attrezzature, strumenti, programmi informatici e qualsiasi dato anche se ciò possa

dar luogo alla commissione di uno o più dei reati previsti dagli articoli da 323-1 a 323-3 del

l'ordre, lorsque cela est nécessaire à l'accomplissement de sa mission»). Nel tempo, altri interventi delle forze armate fuori del territorio nazionale e aventi ad oggetto la liberazione di ostaggi francesi o l’evacuazione di cittadini francesi da zone di conflitto mostrarono l’insufficienza della excuse nella sua formulazione originaria, che fu pertanto emendata nel 2013 per includere le operazioni citate e la polizia in alto mare. La citata novella del 2018 infine ha esteso l’excuse alle operazioni cibernetiche.

265 Il testo attuale del paragrafo II dell’art. L4123-12 del Code de la défense si legge dunque come segue: «II. - N'est pas pénalement responsable le militaire qui, dans le respect des règles du droit international et dans le cadre d'une opération mobilisant des capacités militaires, se déroulant à l'extérieur du territoire français ou des eaux territoriales françaises, quels que soient son objet, sa durée ou son ampleur, y compris les actions numériques, la libération d'otages, l'évacuation de ressortissants ou la police en haute mer, exerce des mesures de coercition ou fait usage de la force armée, ou en donne l'ordre, lorsque cela est nécessaire à l'exercice de sa mission».

95

codice penale266, al fine di analizzarne la progettazione e di osservarne il funzionamento267.

Il secondo dato è che, con disposizione di rango regolamentare (art. D3121-24-2), al

«commandant de la cyberdéfense» è conferito l’esercizio delle attribuzioni spettanti al Capo

di Stato Maggiore della Difesa in materia di difesa dei sistemi informatici e, in particolare, la

messa in atto delle operazioni tecniche previste dal primo comma del citato art. L2321-2

(vale a dire le operazioni dirette alla tipizzazione dell’attacco e alla neutralizzazione dei suoi

effetti tramite l’accesso ai sistemi informatici da cui origina l’attacco stesso).

Nell’analisi di impatto che ha accompagnato il progetto della legge di programmazione

finanziaria268 si sottolinea come il dominio cibernetico sia popolato da belligeranti (testuale:

belligérants) che si nascondono tra la popolazione della rete e agiscono in modo sempre

nuovo e imprevedibile, ciò che rende necessario compiere operazioni di infiltrazione, di

raccolta di informazioni e contropropaganda nonché atti coercitivi per costringere gli

avversari a interrompere le loro attività. Il personale del comando cyber deve dunque essere

considerato combattente in senso proprio, impegnato in missione, con mezzi specifici e

particolari, su un terreno operativo dematerializzato, globale e transfrontaliero e deve essere

sottratto a una eccessiva “giurisdizionalizzazione” delle sue attività, anche quando svolte a

partire dal territorio nazionale, esattamente come accade per il caso dei militari impegnati in

teatri operativi all’estero. L’analisi evidenzia inoltre che l’estensione dell’ambito di

266 Collocati nell’ambito del capitolo dedicato alle violazioni dei sistemi di trattamento automatizzato dei dati, gli articoli citati incriminano l’accesso abusivo ai (e la permanenza nei) sistemi informatici, la compromissione del funzionamento dei sistemi, l'introduzione fraudolenta, l'estrazione, la conservazione, la riproduzione, la trasmissione, la cancellazione o la modificazione fraudolenta di dati. Art. 323-1: «Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un

système de traitement automatisé de données est puni […]». Art. 323-2: «Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement

automatisé de données est puni […]». Art. 323-3: «Le fait d'introduire frauduleusement des données dans un système de traitement

automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient est puni […]».

267 Code de la défense, art. L2321-2 : «Pour répondre à une attaque informatique qui vise les systèmes d'information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, les services de l'Etat peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l'attaque et à la neutralisation de ses effets en accédant aux systèmes d'information qui sont à l'origine de l'attaque. Pour être en mesure de répondre aux attaques mentionnées au premier alinéa, les services de l'Etat déterminés par le Premier ministre peuvent détenir des équipements, des instruments, des programmes informatiques et toutes données susceptibles de permettre la réalisation d'une ou plusieurs des infractions prévues aux articles 323-1 à 323-3 du code pénal, en vue d'analyser leur conception et d'observer leur fonctionnement».

268 Etude d’impact. Projet de loi relatif à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense. 6 février 2018, http://www.assemblee-nationale.fr/15/projets/pl0659-ei.asp

96

applicazione della scriminante serve ad evitare la strumentalizzazione da parte del nemico

del ricorso alla giustizia per compromettere le operazioni militari, opzione che si può ritenere

perfettamente integrata nella dottrina dell’avversario. Questo rischio è stato preso in

considerazione anche dal Consiglio di Stato nel parere sul progetto di legge269 laddove, in

considerazione del rapido sviluppo e del carattere strategico dell'azione militare in campo

cibernetico, ha ritenuto non passibile di alcuna obiezione la protezione del personale militare

che partecipa a tale azione dal rischio di un'interpretazione restrittiva della nozione di

operazioni militari da parte dei tribunali penali.

La “scriminante cyber” inserita nell’ordinamento militare francese si caratterizza per

essere limitata ai soli reati connessi all’accesso ai sistemi informatici di terzi e, dunque, per

una definizione “in positivo” delle condotte scriminate. L’approccio differisce pertanto da

quello proposto finora in Italia, che prevede, con il rinvio all’art. 17 della L. 124/2007, una

formulazione “in negativo”, per la quale sono scriminate tutte le condotte tranne quelle

vietate dalla legge stessa270. Una simile struttura, che peraltro non ha mancato di sollevare

perplessità in dottrina già con riferimento all’attività dei Servizi di informazione per la

sicurezza271, appare per certi versi sproporzionata rispetto alle stesse esigenze della difesa

269 Conseil d’État. Assemblée générale, Séance du 1er février 2018, Section sociale, Section de l’administration, n. 394142, extrait du Registre des délibérations, Avis sur un projet de loi relatif à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense, https://www.legifrance.gouv.fr/Droit-francais/Les-avis-du-Conseil-d-Etat-rendus-sur-les-projets-de-loi/2018/Projet-de-loi-relatif-a-la-programmation-militaire-pour-les-annees-2019-a-2025-et-portant-diverses-dispositions-interessant-la-defense-ARMX1800503L-8-02-2018

270 In particolare, ai sensi dei commi 2, 3 e 4 dell’art. 17, la causa di giustificazione non si applica se la condotta configura delitti diretti a mettere in pericolo o a ledere la vita, l’integrità fisica, la personalità individuale, la libertà personale, la libertà morale, la salute o l’incolumità di una o più persone; reati di attentato contro gli organi costituzionali dello Stato e contro le assemblee regionali (art. 289 c.p.) e contro i diritti politici del cittadino (art. 294 c.p.) e delitti contro l'amministrazione della giustizia; le condotte di soppressione, sottrazione o falsificazione di documenti concernenti la sicurezza dello Stato (art. 255 c.p.), i reati connessi allo sfruttamento della prostituzione L. 75/1958), e tutte le condotte per le quali non è consentita l'opposizione del segreto di Stato (fatti di terrorismo o eversivi dell'ordine costituzionale, reati attinenti alla criminalità organizzata e delitti di strage).

271 In generale sulla scriminante ex art. 17 della L. 124/2007 cfr., tra gli altri: Amato G., Disciplina strutturale e funzionale dei Servizi di Informazione. Le garanzie funzionali per gli 'operatori' di Intelligence (1a parte), in Gnosis, Vol. 3, 2011, http://gnosis.aisi.gov.it/gnosis/Rivista28.nsf/ServNavig/11; Cisterna A., Agenti segreti. Le garanzie previste dalla legge, in Gnosis, Vol. 4, 2007, http://gnosis.aisi.gov.it/Gnosis/Rivista13.nsf/ServNavig/59; Giordana N., L’applicazione delle scriminanti e delle garanzie funzionali ai reati di terrorismo, in Diritto penale contemporaneo, Vol. 5, 2017, p. 147-162, https://www.penalecontemporaneo.it/upload/4223-giordana517.pdf; Giupponi T.F., Servizi di informazione e segreto di Stato nella legge n. 124/2007, http://www.forumcostituzionale.it/wordpress/images/stories/pdf/documenti_forum/paper/0161_giupponi.pdf ; Pisa P., Le garanzie funzionali per gli appartenenti ai servizi segreti, in Diritto penale e processo, Vol. 13, 2007, p. 1428-1436.

97

cibernetica in chiave militare e promette di dar luogo a dubbi anche maggiori di quelli già

manifestatisi in relazione all’introduzione nell’ordinamento italiano delle regole di ingaggio

come ipotesi di scriminante per il personale militare in missione272.

Sembra dunque preferibile, nonché maggiormente coerente con le esigenze di

tassatività e determinatezza dell’ordinamento penale, e ove seriamente si intenda abilitare

le forze armate italiane alla condotta di operazioni cibernetiche di natura più attiva, limitare

le garanzie funzionali loro concesse alle sole fattispecie di reato concretamente e

direttamente connesse con tali operazioni, individuando ed enunciando esplicitamente le

condotte astrattamente autorizzabili, e pertanto da scriminare.

Così perimetrate le garanzie funzionali, e avuto cura di mantenere fermi i parametri

della necessità e del rispetto dei principi di diritto costituzionale e internazionale rilevanti in

subiecta materia, l’introduzione nell’ordinamento militare di una ulteriore ipotesi di

“concorso” per le forze armate (la protezione dello spazio cibernetico nazionale), unitamente

alla possibilità di eseguire contromisure cibernetiche ed elaborare programmi e attività

finalizzati alla verifica della funzionalità dei sistemi di difesa cibernetica (cd. penetration test),

consentirebbe alle forze armate italiane di sviluppare ed esercitare capacità di risposta attiva

alle minacce cibernetiche e, più in generale, di predisporsi per tutta la gamma di computer

network operation.

272 Sull’attribuzione alle regole d’ingaggio della natura di scriminante (ad opera dapprima dell’art. 4, comma 1-sexies, L. 197/2009 e poi dell’art. 19 L. 145/2016), cfr., tra gli altri, D’Angelo L., Missioni militari all’estero: il legislatore amplia le possibilità di utilizzo delle armi per le forze armate (e senza punibilità), in Forum di Quaderni costituzionali, 2010, http://www.forumcostituzionale.it/wordpress/images/stories/pdf/documenti_forum/temi_attualita/guerra_terrorismo/0002_dangelo.pdf; il già citato Riondato S., Missioni militari internazionali italiane c.d. di pace all’estero. Novità giuspenalistiche nella legge diriforma21 luglio 2016, n. 145, in Diritto penale contemporaneo, vol. 5, 2017, p. 287-313; Tondini M., La nuova disciplina delle missioni militari italiane all’estero: una questione di coerenza, in Forum di Quaderni costituzionali, 2010 http://www.forumcostituzionale.it/wordpress/images/stories/pdf/documenti_forum/paper/0186_tondini.pdf

98

CONCLUSIONI

La questione centrale, riflettendo sull’autodifesa nel dominio cibernetico, è se il ricorso

alla “forza cibernetica”, pur non potendosi qualificare come “forza armata” in senso letterale,

costituisca comunque una forma di intervento idonea a produrre effetti dannosi o coercitivi

in altri Stati. E quindi, un attacco Dos/DDos contro un sito Internet straniero viola la

disposizione ex art. 2, § 4, della Carta delle Nazioni Unite, che vieta l'uso della forza nelle

relazioni internazionali? L'intrusione in un sistema informatico o l'interruzione di un servizio

Internet in un altro Stato violano le norme giuridiche internazionali a presidio della sovranità

nazionale e della pace internazionale? Quando tali ingerenze raggiungono una soglia tale

da poter essere qualificate come coercitive e giustificare, pertanto, una risposta da parte

dello Stato che ne è vittima? Quali gradi o tipi di cyber-defence sarebbero ammissibili in

questo caso?

Come si è visto, sussistono ancora incertezze a questo riguardo, essenzialmente

dovute alla inesistenza, per il momento, di una prassi degli Stati che consenta di

argomentare, per lo meno in una prospettiva de jure condendo, circa l’affermarsi di nuovi

regimi, o nuovi parametri, di responsabilità e di autodifesa. Se sembra sostanzialmente non

controversa la possibilità di qualificare come attacco armato (rectius, di assimilare a un

attacco armato) le operazioni cibernetiche il cui risultato ultimo è di provocare perdite di vite

umane e/o ingenti danni materiali, meno chiaro è il caso di altre attività svolte nel cyber-

spazio, che non producono danni a persone o cose ma purtuttavia interferiscono negli affari

interni di un altro Stato. Questa mancanza di chiarezza si riverbera sul novero delle opzioni

disponibili per lo Stato che ne è vittima.

Il tema si fa ulteriormente spinoso in un Paese come l’Italia, nel quale i confini della

legittima difesa sono di stretta derivazione costituzionale e sono indissolubilmente legati al

cardine rappresentato dal ripudio della guerra. Si è visto che nel novero delle computer

network operations rientra anche la cd. difesa attiva, intesa come azione aggressiva contro

la fonte di un attacco e consistente in forme più o meno accentuate di hacking back. Questo

tipo di attività è considerato con sospetto nell’ordinamento italiano poiché è ritenuto

pericoloso e potenzialmente dannoso273, anche a causa del fatto che può ritorcersi contro

un soggetto innocente il cui computer sia stato compromesso e sfruttato dall'aggressore, e

273 Sugli aspetti etico-giuridici della difesa attiva cibernetica e sull’assimilabilità di quest’ultima alla difesa aerea, sulla cui legittimità non sembrano esserci dubbi nell’ordinamento internazionale, cfr. le interessanti considerazioni formulate da Denning D.E. - Strawser B.J., Active cyber defense: applying air defense to the cyber domain, in G. Perkovich and A.E. Levite eds., Understanding cyber conflict: fourteen analogies, Georgetown University Press, 2017, p. 193-209.

99

può comunque porsi in violazione delle norme penali che presidiano l’integrità dei sistemi

informatici. Ciò è a tanta maggior ragione vero nelle ipotesi, la totalità di quelle fin qui

verificatesi, in cui la legittimità dell’attacco informatico (rectius, del contrattacco o della

contromisura) non può ritenersi fondata sulla sussistenza di uno stato di guerra274.

Quid juris, dunque, per le forze armate italiane e il loro impegno nella cyber defence in

tempo di pace?

Si propone qui, come appena visto nelle pagine che precedono, una modifica del

Codice dell’ordinamento militare che, attribuendo alle forze armate l’esecuzione di

contromisure informatiche e, in particolare, delle operazioni dirette alla tipizzazione

dell’attacco e alla neutralizzazione dei suoi effetti tramite l’accesso ai sistemi informatici da

cui origina l’attacco stesso, e scriminandone la condotta con riferimento ai reati connessi

all’accesso non autorizzato ai sistemi informatici di terzi, renda loro possibile operazioni di

difesa attiva del dominio cibernetico anche in tempo di pace.

274 Prescindendo dalla controversa questione della qualificabilità come strumenti di combattimento o mezzi bellici (means of warfare) di virus, malware, e tecniche varie di intasamento o defacciamento dei siti internet (o, meglio, dandola per positivamente risolta ai meri fini delle considerazioni che qui svolgono), si deve notare il combinato disposto degli articoli 34 («L'uso di mezzi bellici è lecito solo fra coloro che hanno la qualità di legittimi belligeranti») e 35 («L'uso della violenza in guerra è lecito sempre che sia contenuto nei limiti, in cui è giustificato dalle necessità militari e non contrario all'onore militare») della legge italiana di guerra (approvata con R.D. 8 luglio 1938, n.1415). In sostanza, l’uso della violenza bellica contro il nemico è sempre legittimo perché così preliminarmente qualificato solo che ricorrano i requisiti previsti dalla legge (che si abbia la qualità di legittimo combattente, che ci si trovi in una situazione di conflitto, che la violenza sia riferibile alle necessità militari e non sia contraria all’onore militare): il tempo di guerra, e il sistema penale ivi applicabile, presuppongono infatti che lo scontro armato (più in generale, l’uso della forza) sia la normalità e non l’eccezione e che la lesione dei beni giuridici del nemico sia funzionale al perseguimento degli interessi dello Stato.

100

BIGLIOGRAFIA

10th International Conference on Cyber Conflict. CyCon X: Maximising Effects, T. Minárik,

R. Jakschis, L. Lindström, (Eds.), Tallin, 2018

ACTON J.M., Cyber weapons and precision-guided munitions, in Understanding cyber

conflict: fourteen analogies, G. Perkovich and A.E. Levite eds., Georgetown University

Press, 2017, p. 45-60

AIV / CAVV, Cyber warfare, L’Aja, 2011

AKOTO E., Les cyberattaques étatiques constituent-elles des actes d’agression en vertu du

droit international public ? : Deuxième partie, in Revue de droit d’Ottawa - Ottawa Law

Review, 2015, vol. 46, p.199-230

ALLAIN J., The true challenge to the United Nations system of the use of force: the failures

of Kosovo and Iraq and the emergence of the African Union, in Max Planck Yearbook of

United Nations Law, 8, 2004, p. 237-289

ALFORD L.D., Cyber warfare: protecting military systems, in Acquisition Review Quarterly,

Spring 2000, p. 101-120

ANDERSON T., Fitting a virtual peg into a round hole: Why existing international law fails to

govern cyber reprisals, in Arizona Journal of International & Comparative Law, Vol. 34, 2016,

p. 135-157

ARANGIO RUIZ G., Difesa legittima (Diritto internazionale), in Novissimo digesto italiano, V,

Torino, 1975, ad vocem.

ARIMATSU L., A treaty for governing cyber weapons: potential benefits and practical

limitations, in CZOSSECK C., OTTIS R., ZIOLKOWSKI K. (Eds.), 2012 4th International

Conference on Cyber Conflict, Tallin, 2012, p. 91-109

101

ARQUILLA J., From Pearl Harbor to the “harbor lights”, in G. PERKOVICH and A.E. LEVITE eds.,

Understanding cyber conflict: fourteen analogies, Georgetown University Press, 2017, p.

181-192

ARTS S., Offense as the New Defense: New Life for NATO’s Cyber Policy, in The German

Marshall Fund of the United States, Policy Brief, 2018, n. 039

BALDI S., GELBSTEIN E., KURBALIJA J., Hacktivism, cyber-terrorism and cyberwar. The

activities of the uncivil society in cyberspace, 2003

https://baldi.diplomacy.edu/italy/isl/Hacktivism.pdf

BALLADORE PALLIERI G., Diritto costituzionale, 11a ed., Milano, 1976.

BANNELIER K., CHRISTAKIS T., Cyberattaques - Prévention-réactions : rôle des États et

des acteurs privés, Les Cahiers de la Revue Défense Nationale, Paris, 2017.

BARAT-GINIES O., Existe-t-il un droit international du cyberespace ? in Hérodote, vol. 1-2,

2014, p. 201-220, https://www.cairn.info/revue-herodote-2014-1-page-201.htm

BARBIERI C. – DARNIS J.-P. – POLITO C., Non-proliferation regime for cyber weapons. A

tentative study, Documenti IAI 18/03, March 2018.

BLANK S., Cyber war and information war à la Russe, in G. PERKOVICH and A.E. LEVITE eds.,

Understanding cyber conflict: fourteen analogies, Georgetown University Press, 2017, p.

81-98

BOBBIO N., Il problema della guerra e le vie della pace, Bologna, 1979

BOBBIO N., Pace, in Enciclopedia del Novecento, vol. VIII, ad vocem

BOEBERT W.E., A Survey of Challenges in Attribution, in NATIONAL RESEARCH COUNCIL,

Proceedings of a Workshop on Deterring Cyberattacks: Informing Strategies and

Developing Options for U.S. Policy, Washington, DC, 2010, p. 41-52

BOOTHBY W.H., Methods and Means of Cyber Warfare, in International Law Studies, Vol.

89, 2013, p. 387-405

102

BRENNER S.W., At Light Speed: Attribution and Response to Cybercrime/Terrorism/Warfare,

in Journal of Criminal Law & Criminology, Vol. 97, 2007, p. 379-475

BROWN G., POELLET K., The Customary International Law of Cyberspace, in Strategic

Studies Quarterly, vol. 6, no. 3, 2012, p. 126–145

BROWN G., Spying and Fighting in Cyberspace: What is Which?, in Journal of National

Security Law & Policy, Vol. 8, 2016, p. 621-635

BROWN G., International law applies to cyber warfare! Now what?, in Southwestern Law

Review, Vol. 46, 2017, p. 355-377

BUFALINI A., Uso della forza, legittima difesa e problemi di attribuzione in situazioni di attacco

informatico, in TANZI A., LANCIOTTI A. ed., Uso della forza e legittima difesa nel diritto

internazionale contemporaneo, Napoli, 2011, p. 405-436

BUTLER S.C., Refocusing Cyber Warfare Thought, in Air & Space Power Journal, Jan.-Feb.

2013, p. 44-57

CANNIZZARO E., La nuova dottrina strategica della NATO e l’evoluzione della disciplina

internazionale dell’uso della forza, in NATO, conflitto in Kosovo e Costituzione italiana, a

cura di N. RONZITTI, Milano, 2000, p. 43-66

CARR J., The misunderstood acronym: why cyber weapons aren’t WMD, in Bulletin of the

Atomic Scientists, 69(5), p. 32-37

https://journals.sagepub.com/doi/pdf/10.1177/0096340213501373,

CARR J., Responsible attribution: a prerequisite for accountability, Tallinn Paper No. 6, 2014,

https://ccdcoe.org/uploads/2018/10/Tallinn-Paper-No-6-Carr.pdf

CASSESE A., Article 51, in J.P. COT e A. PELLET, La Charte des Nations Unies, 2 ed., Paris,

1991, p. 1329-1362.

CENCETTI C., Cybersecurity: Unione europea e Italia Prospettive a confronto, Quaderni IAI,

Roma, 2014

103

CHIESA R., La minaccia cyber: il futuro del cyber (il “Cyberfuturo”?),

https://www.adnkronos.com/r/Pub/AdnKronos/Assets/PDF/_tn_1.0.71241194_CEh4Es5N

EeSTfly-kmlnaA_CapitoloRaoulChiesa_IlFuturoCyber_v2.pdf

CHOUKRI I., Remarques sur les Manuels de Tallinn (1.0 et 2.0) et le droit international

applicable aux cyber – opérations, in http://revel.unice.fr/psei/index.html?id=1852

CINI - CONSORZIO INTERUNIVERSITARIO NAZIONALE PER L’INFORMATICA, Il Futuro della

Cybersecurity in Italia: Ambiti Progettuali Strategici, a cura di BALDONI R., DE NICOLA R.,

PRINETTO P., 2018

CLARK D., Characterizing Cyberspace: Past, Present and Future, working paper, version

1.2, 12 March 2010,

https://projects.csail.mit.edu/ecir/wiki/images/7/77/Clark_Characterizing_cyberspace_1-

2r.pdf

CLARK D.D., LANDAU S., Untangling Attribution, in NATIONAL RESEARCH COUNCIL, Proceedings

of a Workshop on Deterring Cyberattacks: Informing Strategies and Developing Options for

U.S. Policy, Washington, DC, 2010, p. 25-40

CLUSIT, Rapporto 2018 sulla Sicurezza ICT in Italia - aggiornamento giugno 2018, Milano,

2018

COHEN D. – ROTBART A., The proliferation of weapons in cyberspace, in Military and Strategic

Affairs, Vol. 5, 2013, p. 59-80

CONNELL M., VOGLER S., Russia’s Approach to Cyber Warfare, 2017,

https://www.cna.org/cna_files/pdf/DOP-2016-U-014231-1Rev.pdf

CORNISH P., LIVINGSTONE D., CLEMENTE D., YORKE C., On Cyber Warfare, London, 2010

CORSI E., La Nato a difesa del cyber spazio? Il dilemma nel diritto internazionale,

https://www.agendadigitale.eu/sicurezza/la-nato-a-difesa-del-cyber-spazio-il-dilemma-nel-

diritto-internazionale/

104

CRAIG A. – VALERIANO B., Conceptualising Cyber Arms Race, in 2016 8th International

Conference on Cyber Conflict , Cyber Power, N. Pissanidis, H. Rõigas, M. Veenendaal

(Eds.), Tallinn, 2016, p. 141-158 http://ccdcoe.eu/uploads/2018/10/Art-10-Conceptualising-

Cyber-Arms-Races.pdf

CROWELL R.M., Some Principles of Cyber Warfare. Using Corbett to Understand War in the

Early Twenty–First Century, Corbett Paper no. 19, 2017,

https://www.kcl.ac.uk/sspp/departments/dsd/research/researchcentres/strategyandpolicy/c

orbett/publications/corbett-paper-no19.pdf

CURTI GIALDINO A, voce Guerra (dir. internaz.), in Enciclopedia del diritto, XIX, Milano, 1970,

ad vocem

DELERUE F., State responses to cyber operations, Istanbul, 2017

DELERUE F., The Codification of the International Law Applicable to Cyber Operations: A

Matter for the ILC?, in ESIL Reflections, Vol. 7, 2018, http://esil-sedi.eu/wp-

content/uploads/2018/06/ESIL-Reflection-Delerue.pdf

DENNING D.E. - STRAWSER B.J., Active cyber defense: applying air defense to the cyber

domain, in G. PERKOVICH and A.E. LEVITE eds., Understanding cyber conflict: fourteen

analogies, Georgetown University Press, 2017, p. 193-209

DE VERGOTTINI G., Guerra e costituzione. Nuovi conflitti e sfide alla democrazia, Bologna,

2004.

DE VERGOTTINI G., Guerra, difesa e sicurezza nella Costituzione e nella prassi, in Rivista

AIC, 2/2017, https://www.rivistaaic.it/images/rivista/pdf/2_2017_de%20Vergottini.pdf

DINSTEIN Y., Computer Network Attacks and Self-Defense, in International Law Studies, vol.

76, 2002, p. 99-121

DOMBROWSKI P., DEMCHAK C.C., Cyber War, Cybered Conflict, and the Maritime Domain, in

Naval War College Review, Vol. 67, 2014, p. 71-97

105

DROEGE C., Get off my cloud: cyber warfare, international humanitarian law, and the

protection of civilians, in International review of the Red Cross, 2012, Vol. 94 (886), p. 533-

578

DUCHEINE P., VOETELINK J., STINISSEN J., GILL T., Towards a Legal Framework for Military

Cyber Operations, in DUCHEINE P., OSINGA F., SOETERS J. (eds.), Cyber Warfare: Critical

Perspectives, The Hague, 2012, p. 101-128

DUNLAP C.J. Jr., Perspectives for Cyber Strategists on Law for Cyberwar, in Strategic

Studies Quarterly, Spring 2011, p. 81-99

FITZ C., All is fair in love and cyberwar: international law and cyber-attacks,

http://www.hjil.org/wp-content/uploads/Fitz-FINAL-1.pdf

FOLTZ A.C., Stuxnet, Schmitt Analysis, and the cyber “use-of-force” debate, in Joint Force

Quarterly, Vol. 67, 2012, p. 40-48

FORCHIELLI P., Responsabilità internazionale, in Enciclopedia giuridica, vol. XXVII, ad vocem

GATTINI A., La legittima difesa nel nuovo secolo: la sentenza della corte internazionale di

giustizia nell'affare delle piattaforme petrolifere, in Rivista di diritto internazionale, 2004/1, p.

147-170

GAVIN F.J., Crisis instability and preemption: the 1914 railroad analogy, in G. PERKOVICH and

A.E. LEVITE eds., Understanding cyber conflict: fourteen analogies, Georgetown University

Press, 2017, p. 111-122

GEORGIADES E., CAELLI W., CHRISTENSEN S., DUNCAN W.D., Crisis on Impact: Responding

to Cyber Attacks on Critical Information Infrastructures, in Marshall Journal of Information

Technology & Privacy Law, Vol. 30, 2013, p. 31-66

GOLDMAN E.O. - WARNER M., Why a digital Pearl Harbor makes sense… and is possible, in

Understanding cyber conflict: fourteen analogies, G. Perkovich and A.E. Levite eds.,

Georgetown University Press, 2017, p. 147-157

106

GOLDSMITH J., How Cyber Changes the Laws of War, in The European Journal of

International Law, Vol. 24 no. 1, 2013, p. 129-138

GORDON E., Article 2(4) in Historical Context, in Yale Journal of International Law, Vol. 10,

1985, p. 271-278

GRADY B.C., Article 5 of the North Atlantic Treaty: past, present, and uncertain future, in

Georgia Journal of International and Comparative Law, Vol. 31, 2002, p. 167-198

GRECO E., Cyber war e cyber security Diritto internazionale dei conflitti informatici, contesto

strategico, strumenti di prevenzione e contrasto, in Sistema Informativo a Schede (SIS),

11/2014, p. 3-88

Guerra e Costituzione: atti del Convegno dell'Università degli studi Roma Tre, Roma 12

aprile 2002, a cura di P. CARNEVALE, Torino, 2004

HATCH B.B., Defining a class of cyber weapons as WMD: an examination of the merits, in

Journal of Strategic Security, vol. 11, 2018, p. 43-61

HATHAWAY O.A., CROOTOF R., LEVITZ P., NIX H., NOWLAN A., PERDUE W., SPIEGEL J., The law

of cyber-attack, 2011,

https://law.yale.edu/system/files/documents/pdf/cglc/LawOfCyberAttack.pdf

HÄUßLER U., Cyber Security and Defence from the Perspective of Articles 4 and 5 of the

NATO Treaty,

https://ccdcoe.org/uploads/2010/01/6.Haussler_CDfromArticles4and5Perspective-1.pdf

HERR T. – ARMBRUST E., Milware:identification and implications of State authored malicious

software,

https://cspri.seas.gwu.edu/sites/g/files/zaxdzs1446/f/downloads/Herr%2Band%2BArmbrus

t%2B-%2BMilware-

Identification%2Band%2BImplications%2Bof%2BState%2BAuthored%2BMalicious%2BSo

ftware_1.pdf

107

HILFIKER J.L., Responding to Cyber Attacks and the Applicability of Existing International

Law, U.S. Army War College, 2013

HINKLE K.C., Countermeasures in the cyber context: one more thing to worry about, in The

Yale Journal of International Law Online, Vol. 37, 2011, p. 11-21

HOISINGTON M., Cyberwarfare and the use of force giving rise to the right of self-defense, in

Boston College International and Comparative Law Review, Vol. 32, 2009, p. 439-454

HUNTER R.E., NATO's Article 5: The Conditions for a Military and a Political Coalition, in

European Affairs, Vol.II:IV, 2001, https://www.europeaninstitute.org/index.php/20-

european-affairs/fall-2001/629-natos-article-5-the-conditions-for-a-military-and-a-political-

coalition

JOYNER C.C. - LOTRIONTE C., Information Warfare as International Coercion: Elements of a

Legal Framework, in European Journal of International Law, Vol. 12, 2001, p. 825–865

KILOVATY I., Cyber warfare and the jus ad bellum challenges: evaluation in the light of the

Tallinn manual on the international law applicable to cyber warfare, in National Security Law

Brief, Vol. 5, no. 1, 2014, p. 91-124

KILOVATY I., ICRC, NATO and the U.S. – direct participation in hacktivities – targeting private

contractors and civilians in cyberspace under international humanitarian law, in Duke Law

& Technology Review, Vol. 15, 2016, p. 1-38

KODAR E., Applying the law of armed conflict to cyber attacks: from the Martens clause to

Additional Protocol I, in ENDC Proceedings, Vol. 15, 2012, p. 107–132,

https://www.ksk.edu.ee/wp-content/uploads/2012/12/KVUOA_Toimetised_15_5_Kodar.pdf

KREPINEVICH A.F., Cyber warfare. A “nuclear option”?, s.l., 2012

LEWIS J.A., The role of offensive cyber operations in NATO’s collective defence, Tallin Paper

no. 7, 2015, https://ccdcoe.org/uploads/2018/10/TP_08_2015_0.pdf

LIBICKI M.C., Expectations of Cyber Deterrence, in Strategic Studies Quarterly, Winter 2018,

p. 44-57

108

LINNAN D.K., Self-defense, necessity and U.N. collective security: United States and other

views, in Duke Journal of Comparative and International Law, vol. 57, 1991, p. 57-123

LOÏC S., L’usage de la force dans le cyberespace et le droit international, in Annuaire français

de droit international, vol. 58, 2012, p. 117-143, https://www.persee.fr/docAsPDF/afdi_0066-

3085_2012_num_58_1_4673.pdf

LUPOVICI A., Cyber Warfare and Deterrence: Trends and Challenges in Research, in Military

and Strategic Affairs, Vol. 49, 2011, p. 49-62

MARGULIES P., Sovereignty and cyber attacks: technology’s challenge to the law of State

responsibility, in Melbourne Journal of International Law, Vol. 14, 2013, p. 1-24

MCKUNE S. – SHAZEDA A., The Contestation and Shaping of Cyber Norms Through China’s

Internet Sovereignty Agenda, in International Journal of Communication, 12, 2018, p. 3835–

3855

MELE S., Cyber-weapons: aspetti giuridici e strategici. Versione 2.0,

http://www.strategicstudies.it/wp-content/uploads/2013/06/Edizioni-Machiavelli-Cyber-

Weapons-Aspetti-Giuridici-e-Strategici-V2.0.pdf

MELZER N., Cyberwarfare and International Law, UNIDIR Resources, 2011

http://www.unidir.org/files/publications/pdfs/cyberwarfare-and-international-law-382.pdf

MENDOZA J.A., Cyber Attacks and the Legal Justification for an Armed Response, Fort

Leavenworth, 2017

MINNITI E., Cyber-spazio ed intelligence: le nuove frontiere della sovranità nazionale, in

Forum costituzionale. Rassegna, 6/2016, http://www.forumcostituzionale.it/wordpress/wp-

content/uploads/2016/07/minniti.pdf

MOORE S., Cyber Attacks and the Beginnings of an International Cyber Treaty, in North

Carolina Journal of International Law and Commercial Regulation, Vol. 39, 2013, p. 223-257

https://scholarship.law.unc.edu/ncilj/vol39/iss1/7/?utm_source=scholarship.law.unc.edu%2

Fncilj%2Fvol39%2Fiss1%2F7&utm_medium=PDF&utm_campaign=PDFCoverPages

109

JANSSON HOLMBERG E., Armed attacks in cyberspace. Do they exist and can they trigger the

right to self-defence?, Stoccolma, 2015

JOUBERT V., Five years after Estonia’s cyber attacks: lessons learned for NATO?, Research

paper, Research Division – NATO Defense College, no. 76, May 2012

NEWTON M.A., Reconsidering reprisals, in Duke Journal of Comparative & International Law,

Vol. 20, 2010, p. 361-388

NYMAN METCALF K., A legal view on outer space and cyberspace: similarities and

differences, Tallin Paper no. 10, 2018, https://ccdcoe.org/uploads/2018/10/Tallinn-

Paper_10_2018.pdf

OKEREKE-FISHER U., The regulation of Australia’s response to cyber attacks, 2018,

http://www.statechambers.net/files/The%20Regulation%20of%20Australia%2527s%20Res

ponse%20to%20Cyber%20Attacks%20210918A.pdf

OTTIS R., Analysis of the 2007 Cyber Attacks Against Estonia from the Information Warfare

Perspective, COOPERATIVE CYBER DEFENCE CENTRE OF EXCELLENCE, Tallinn, Estonia,

https://ccdcoe.org/uploads/2018/10/Ottis2008_AnalysisOf2007FromTheInformationWarfar

ePerspective.pdf

PANEBIANCO M., Legittima difesa. II) Diritto internazionale, in Enciclopedia giuridica, Vol.

XVIII, ad vocem

PANK S.C., What is the scope of legal self‐defense in International Law? Jus ad bellum with

a special view to new frontiers for self‐defense,

http://law.au.dk/fileadmin/Jura/dokumenter/forskning/rettid/Afh_2014/afh19-2014.pdf

PANT A., EMP weapons and the new equation of war, https://idsa.in/idsacomments/emp-

weapons-new-equation-of-war_apant_131017, October 13, 2017 (data di consultazione:

21.3.2019)

110

PAPISCA A., Riforma delle Nazioni Unite: l’articolo 51 della Carta, da “eccezione” a “norma

generale”? L’incubo della guerra facile, in Volontari e Terzo Mondo, n. 1/2, gennaio-giugno

2005, p. 13 ss.

PATTERSON R., Silencing the call to arms: a shift away from cyber attacks as warfare, in

Loyola Marymount University and Loyola Law School, Vol. 48, 2015, p. 969-1015

PETRAS C.M., The use of force in response to cyber-attack on commercial space systems -

reexamining self-defense in outer space in light of the convergence of U.S. military and

commercial space activities, in Journal of Air Law and Commerce, Vol. 67, 2002, p. 1213-

1268

PIPYROS K., MITROU L., GRITZALIS D., APOSTOLOPOULOS T., A cyber attack evaluation

methodology, https://www.infosec.aueb.gr/Publications/ECCWS-2014.pdf

POOL P., War of the Cyber World: The Law of Cyber Warfare, in The International Lawyer,

Vol. 47, 2013, p. 299-323

RABKIN J.A. - RABKIN A., To Confront Cyber Threats, We Must Rethink the Law of Armed

Conflict,

http://media.hoover.org/sites/default/files/documents/EmergingThreats_Rabkin.pdf

RID T., MCBURNEY P., Cyber-Weapons, in The RUSI Journal, Vol. 157, 2012, p. 6-13,

https://doi.org/10.1080/03071847.2012.664354

ROBINSON M., JONES K., JANICKE H., Cyber Warfare: Issues and Challenges, in Computers

& Security, Vol. 49, 2015, p. 70-94

ROSCINI M., World Wide Warfare – Jus ad bellum and the use of cyber force, in Max Planck

Yearbook of United Nations Law, Vol. 14, 2010, p. 85-130

ROSCINI M., Cyber operations and the use of force in international law, Oxford, 2014

RUOTOLO G.M., Internet (diritto internazionale), in Enciclopedia del Diritto. Annali, Vol. VII,

2014, p. 545-567

111

SALAMONE L.V.M., La disciplina del cyberspace alla luce della direttiva europea sulla

sicurezza delle reti e dell’informazione: contesto normativo nazionale di riferimento, ruolo

dell’intelligence e prospettive de iure condendo, in Federalismi.it, n. 23, 2017, p.1-69

SANDERS C.M., The battlefield of tomorrow, today: can a cyberattack ever rise to an “act of

war”?, in Utah Law Review, 2018, no. 2, p. 503-522

SANGER D., Cyber, drones, and secrecy, in G. PERKOVICH and A.E. LEVITE eds.,

Understanding cyber conflict: fourteen analogies, Georgetown University Press, 2017, p.

61-78

SHARP W.G., Sr., Cyberspace and the use of force, Falls Church, 1999

SCHMIDLE R.E. JR. - SULMEYER M. - BUCHANAN B., nonlethal weapons and cyber capabilities,

in Understanding cyber conflict: fourteen analogies, G. Perkovich and A.E. Levite eds.,

Georgetown University Press, 2017, p. 31-44.

SCHMITT M.N., Computer network attack and the use of force in international law: thoughts

on a normative framework, in The Columbia Journal of Transnational Law, Volume 37, 1999,

p. 885-937

SCHMITT M.N., Wired warfare: Computer network attack and jus in bello, in International

Review of the Red Cross, 2002, Vol. 84 (846), p. 365-399

SCHMITT M.N., The law of cyber warfare: Quo vadis?, in Stanford Law & Policy Review, Vol.

25, 2014, p. 269-299

SCHMITT M.N., The law of cyber targeting, Tallin Paper no. 5, 2015,

https://ccdcoe.org/uploads/2018/10/TP_07_2015.pdf

SCHMITT M.N., Peacetime Cyber Responses and Wartime Cyber Operations Under

International Law: An Analytical Vade Mecum, in Harvard National Security Journal, Vol. 8,

2017, p. 239-280

112

SCHMITT M.N – VIHUL L., Proxy Wars in Cyberspace: The Evolving International Law of

Attribution, in Fletcher Security Review, Vol. I (II), 2014, p. 55-73

SCHMITT M.N., Cyber Operations in International Law: The Use of Force, Collective Security,

Self-Defense, and Armed Conflicts, in NATIONAL RESEARCH COUNCIL, Proceedings of a

Workshop on Deterring Cyberattacks: Informing Strategies and Developing Options for U.S.

Policy, Washington, DC, 2010, p. 151-178

SCHNEIDER J., Cyber and crisis escalation: insights from wargaming, U.S. Naval War

College,

https://pacs.einaudi.cornell.edu/sites/pacs/files/Schneider.Cyber%20and%20Crisis%20Esc

alation%20Insights%20from%20Wargaming%20Schneider%20for%20Cornell.10-12-

17.pdf

SHACKELFORD S.J., From nuclear war to net war: analogizing cyber attacks in international

law, in Berkeley Journal of International Law, Vol. 27, 2009, p. 192-251

SHACKELFORD S.J. - RUSSELL S. - KUEHN A., Unpacking the international law on cybersecurity

due diligence: lessons from the public and private sectors, in Chicago Journal of

International Law, Vol. 17, 2016, p. 1-50

SILANOE G., The Old Binding the New: Can a cyber-attack be conducted in conformity with

the principle of distinction?, 2014 http://arno.uvt.nl/show.cgi?fid=134393

SOFAER A.D., CLARK D., DIFFIE W., Cyber Security and International Agreements, in National

Research Council 2010, Proceedings of a Workshop on Deterring Cyberattacks: Informing

Strategies and Developing Options for U.S. Policy, Washington, DC, 2010, p. 179-206

STARACE V., Uso della forza nell’ordinamento internazionale, in Enciclopedia Giuridica, Vol.

XXXII, ad vocem

STEVENS T.C., Cyberweapons: an emerging global governance architecture, 2017,

https://doi.org/10.1057/palcomms.2016.102

113

STOCKBURGER P.Z., Known Unknowns: State Cyber Operations, Cyber Warfare, and the Jus

Ad Bellum, in American University International Law Review, Vol. 31, 2016, p. 545-591

TALBOT JENSEN E., Computer attacks on critical national infrastructure: a use of force

invoking the right of self-defense, in Stanford Journal of International Law, Vol. 38, 2002, p.

207-240

TALBOT JENSEN E., The Tallin Manual 2.0: highlights and insights, in Georgetown Journal of

International Law, vol. 48, 2017, p. 735-778

Tallin Manual on the International Law Applicable to Cyber Operations, SCHMITT M.N. ed.,

Cambridge, 2013

Tallin Manual 2.0 on the International Law Applicable to Cyber Operations, SCHMITT M.N.

ed., 2d ed., 2017

TAŞDEMIR F. - ALBAYRAK G., The Law of Cyber Warfare In Terms of Jus Ad Bellum and Jus

In Bello: Application of International Law to the Unknown?, in E-Journal of Law, Vol. 3 (2)

2017, http://e-journaloflaw.org/?p=663

TITIRIGA R., Cyber Attacks and International Law of Armed Conflicts: A 'Jus Ad Bellum'

Perspective, in Journal of International Commercial Law and Technology, Vol. 8, No.3

(2013), p. 179-189

VÄLJATAGA A., Tracing opinio juris in National Cyber Security Strategy Documents, Tallin,

2018, https://ccdcoe.org/uploads/2019/01/Tracing-opinio-juris-in-NCSS-2.docx.pdf

VATIS M.A., The Council of Europe Convention on Cybercrime, in NATIONAL RESEARCH

COUNCIL, Proceedings of a Workshop on Deterring Cyberattacks: Informing Strategies and

Developing Options for U.S. Policy, Washington, DC, 2010, p. 207-224

WALLACE D., Cyber Weapon Reviews under International Humanitarian Law: A Critical

Analysis, Tallin Paper no. 11, Tallin, 2018, https://ccdcoe.org/uploads/2018/10/TP-

11_2018.pdf

114

WALLACE D., REEVES S., POWELL T., Revisiting belligerent reprisals in the age of cyber?, in

Marquette Law Review, vol. 102, 2018, p. 81-109

WATTS S., Low-Intensity Computer Network Attack and Self-Defense, in

WOLLSCHLAEGER D.P. - PEDROZO R.A. (eds), International Law and the Changing Character

of War, Vol. 87, 2011, p. 59-87

WAXMAN M.C., Cyber Attacks as "Force" under UN Charter Article 2(4), in

WOLLSCHLAEGER D.P. - PEDROZO R.A. (eds),International Law and the Changing Character

of War, Vol. 87, 2011, p. 43-57

WAXMAN M.C., Cyber-attacks and the use of force: back to the future of article 2(4), in Yale

Journal of International Law, Vol. 36, 2011, p. 421-459

WEISSBRODT D., Cyber-Conflict, Cyber-Crime, and Cyber-Espionage, in Minnesota Journal

of International Law, vol. 22, 2013, p. 347-387

WHEELER D. A. - LARSEN G. N., Techniques for Cyber Attack Attribution, Institute for Defence

Analysis. IDA Paper P-3792, 2003

YANNAKOGEORGOS P.A., Strategies for Resolving the Cyber Attribution Challenge, Air Force

Research Institute Papers, Cpp-1, Maxwell Air Force Base, 2013

ZAMPETTI R., Sicurezza nazionale e spazio cibernetico. Una minaccia “invisibile” nell’era

digitale, in Sistema informativo a schede, 1/2015, p. 3-130

ZIOLKOWSKY K., Computer network operations and the law of armed conflict, in The Military

Law and the Law of War Review, Vol. 49, 2010, p. 47-94

ZIOLKOWSKY K., Ius ad bellum in Cyberspace – Some Thoughts on the “Schmitt-Criteria” for

Use of Force, in C. CZOSSECK, R. OTTIS, K. ZIOLKOWSKI (Eds.), 2012 4th International

Conference on Cyber Conflict, NATO CCD COE, 2012, p. 295-309

115

NOTA SUL Ce.Mi.S.S. e NOTA SULL’AUTORE

Ce.Mi.S.S.275

Il Centro Militare di Studi Strategici (Ce.Mi.S.S.) è l'Organismo che gestisce, nell'ambito e

per conto del Ministero della Difesa, la ricerca su temi di carattere strategico.

Costituito nel 1987 con Decreto del Ministro della Difesa, il Ce.Mi.S.S. svolge la propria

opera valendosi si esperti civili e militari, italiani ed esteri, in piena libertà di espressione di

pensiero.

Quanto contenuto negli studi pubblicati riflette quindi esclusivamente l'opinione del

Ricercatore e non quella del Ministero della Difesa.

BARBARA SCOLART

Ufficiale dell’Esercito in Servizio Permanente Effettivo dal 2010,

proveniente dal bacino della Riserva Selezionata, laureatasi in

giurisprudenza presso l’Università degli Studi di Roma

“Tor Vergata” dopo il dottorato in diritto civile presso la Pontificia

Università Lateranense, ha conseguito un Dottorato di ricerca

presso l’Università degli Studi di Roma “Tor Vergata” in Sistema

giuridico romanistico e unificazione del diritto e un Master in

Diritto internazionale umanitario e dei conflitti armati presso l’Università degli Studi di Roma

“La Sapienza. È Consigliere qualificato in materia di applicazione del diritto internazionale

umanitario e Consigliere giuridico delle forze armate nonché Istruttore CRI di diritto

internazionale umanitario. Ha svolto missioni in Kosovo (op. Joint Guardian) e in

Afghanistan (op. ISAF X) in qualità di consulente legale.

275 http://www.difesa.it/SMD_/CASD/IM/CeMiSS/Pagine/default.aspx

AUTORE

Stampato dalla Tipografia delCentro Alti Studi per la Difesa