Un cyber attacco sventato in Polonia e un sospetto sabotaggio in Norvegia della scorsa settimana sono solo le ultime minacce cyber di una lunga serie che evidenziano il rischio incrementale per servizi e infrastrutture critiche. La dimensione informatica è ormai parte del modern warfare e la sua natura intangibile, ubiquitaria e transnazionale pone inediti interrogativi sul piano del diritto internazionale, soprattutto circa la protezione dei civili in situazioni di crisi.
Nel contesto bellico attuale il dominio cibernetico si è trasformato da strumento di supporto alle operazioni militari a vero e proprio campo di battaglia in cui malware e intrusioni informatiche possono produrre effetti tangibili sull’ambiente e sulle comunità trascendendo le logiche tradizionali di tempo e spazio. Casi passati che allarmano circa il coinvolgimento più o meno diretto della popolazione proliferano: nel 2016 attacchi mirati ai sistemi SCADA (acronimo di Supervisory Control and Data Acquisition, ovvero un sistema informatico usato per monitorare e controllare a distanza infrastrutture industriali) delle compagnie elettriche ucraine tramite malware come Industroyer e BlackEnergy hanno causato l’interruzione di energia elettrica per centinaia di migliaia di civili in pieno inverno, lasciando famiglie e servizi essenziali e di emergenza senza risorse. Più tardi, nel 2017 fu il Regno Unito ad essere colpito da un ransomware che compromise l’intera struttura del National Health Service con un impatto diretto su pazienti e malati e rischi per la salute pubblica. Il 14 agosto scorso le autorità polacche hanno sventato un attacco cyber alla rete SCADA del sistema idrico della città di Łódź, prevenendo un’intrusione volta a manipolare il dosaggio di sostanze chimiche nelle acque causando notevoli rischi per la sicurezza dei cittadini. Si ipotizza, in ragione del massiccio sostegno a Kiev da parte di Varsavia, che vi sia la campagna di cyber sabotaggio russa dietro l’operazione. Similmente, la Norvegia ha recentemente confermato che hacker finanziati da Mosca hanno violato i sistemi di controllo della diga di Bremanger, ad ovest del paese, lo scorso 7 aprile, causando il rilascio di circa 7 milioni di litri di acqua e aggiungendosi alle oltre 70 operazioni confermate legate alla Russia in tutta Europa.
Diritto umanitario e cyberspace: una tensione senza via d’uscita?
In uno scenario in cui gli strumenti informatici diventano mezzo di impiego della forza interstatale e non, il Diritto Umanitario dei conflitti armati (DIU) con i principi di distinzione, proporzionalità e precauzione rimane la bussola normativa. Emergono tuttavia criticità e riflessioni circa un adeguamento degli stessi alle repentine trasformazioni del warfare odierno, prima tra tutte l’utilizzo della forza armata attraverso una dimensione, quella informatica, immateriale, interconnessa, ubiquitaria e (apparentemente) imprevedibile. Sebbene le Convenzioni di Ginevra del 1949 siano state sviluppate per limitare le sofferenze in conflitti caratterizzati da armi convenzionali che funzionano secondo logiche spazio-tempo ben definite e strutturate, sin dalla Dichiarazione di San Pietroburgo del 1868 il diritto umanitario si è rivelato soprendentemente flessibile agli sviluppi tecnologici futuri. Essa sancisce la necessità per le Parti contraenti di “giungere a un’intesa(…) in vista dei futuri miglioramenti che la scienza potrà apportare all’armamento delle truppe, al fine di mantenere i principi da esse stabiliti e di conciliare le necessità della guerra con le leggi dell’umanità”. Nonostante diversi paesi come Cina, Russia e Cuba si oppongano all’estensione dei principi di DIU allo spazio cyber, animati dal timore ciò possa legittimare una sorta di militarizzazione dell’ambiente digitale, la maggioranza della comunità internazionale insieme al Comitato della Croce Rossa Italiana sostiene un approccio effects based e concreto ritenendo che se gli strumenti cibernetici vengono impiegati come mezzi di guerra, allora le stesse regole applicabili ad ambiti cinetici devono valere: protezione dei civili, divieto di attacchi indiscriminati, obbligo di proporzionalità.
Il dilemma dell’innesco: quando un attacco cyber può trasformarsi in conflitto armato?
Al fine di applicare queste norme, però, occorre stabilire quando un conflitto armato venga effettivamente innescato e se ciò possa avvenire a causa di un’operazione di natura unicamente cibernetica. Nel caso di conflitti a carattere internazionale (e dunque tra due Stati sovrani) vale la cosiddetta “fisrt-shot-rule”, fatta propria dall’ICRC e che sostiene il diritto umanitario si applichi sin dal primo scambio di forza armata, senza soglie minime di intensità. Traslando questo approccio al cyberspazio, finora nessun attacco cyber – nemmeno Stuxnet – è stato riconosciuto dalla comunità internazionale e dalla prassi interstatale come innesco formale di un attacco armato. Quanto alle casistiche di conflitti tra attori statali e non, la questione si complica ulteriormente, in quanto occorre una soglia di intensità di uso della forza più elevata, protratta e strutturata al fine di determinare l’esistenza di un conflitto e dunque l’applicabilità delle norme di DIU. Tuttavia, è bene notare che la crescente capacità distruttiva delle cyber weapons potrebbe modificare questa percezione e soprattutto che le norme umanitarie a protezione dei civili dalle ostilità si applicano comunque ad operazioni cyber in contesti bellici in cui esse fungono da supporto alle campagne cinetiche come accade tutt’ora in Ucraina.
Obiettivi dual-use tra ambiguità e rischio civile
Il principio di distinzione (art.48 del Protocollo Addizionale I alle Convenzioni di Ginevra del 1949) obbliga a discernere tra obiettivi civili e militari. Nel contesto cyber però questa necessità si complica: ne è un concreto esempio l’attacco alla rete satellitare KA-SAT nel 2022 da parte russa, che è stato colpito in ragione della fornitura di servizi anche a forze armate e di sicurezza ucraine ma che ha compromesso anche le ordinarie comunicazioni satellitari e servizi internet civili. Ciò è un chiaro esempio dell’ambiguità intrinseca dei dual-use objects, ovvero quelle infrastrutture che possono al contempo servire sia a scopi civili che militari, e che, prive di status giuridico, possono essere colpite in ragione del loro uso e scopo a sostegno delle operazioni militari nemiche, con notevoli conseguenze sulla loro componente civile. E’ qui allora che entra in gioco la questione della proporzionalità, che vieta attacchi indiscriminati e che possano causare danni e perdite sproporzionate rispetto al concreto vantaggio militare previsto. Il bilanciamento di questi due elementi va condotto attraverso una valutazione e stima dei collateral damages attesi da effettuarsi durante la fase di pianificazione dell’attacco secondo metodologie e procedure oggi standardizzate e condivise in ambito NATO. Se le procedure di Collateral Damage Estimation funzionano bene per armi convenzionali, basandosi su elementi come raggio e traiettorie, nel contesto cyber gli effetti possono propagarsi ben oltre il target e in maniera meno controllata, più subdola e ritardata, sfuggendo a strategie di valutazione pensate per veicoli di uso della forza che seguono logiche differenti.
Verso un modello di Collateral (Cyber) Damage Estimation
E’ dunque necessario un adeguamento delle procedure di CDE al dominio digitale. Gli esperti del CICR hanno suggerito l’integrazione, nelle metodologie consolidate, di fattori specifici quali una mappatura delle interdipendenze tra infrastrutture digitali e servizi essenziali, simulazioni di propagazione e durata degli effetti, una classificazione preventiva delle infrastrutture civili digitali per livello di rischio, da integrare in un approccio probabilistico che consentirebbe ai pianificatori di accedere a scenari secondari o terziari spesso trascurati.
Applicare il DIU al dominio digitale non significa soltanto trasporre regole esistenti ma ripensare strumenti e approcci: un auspicabile modello di CDE-cyber potrebbe allora articolarsi in 5 fasi, ricalcando la metodologia tradizionale americana ma adattata ai caratteri dello spazio informatico.
- identificazione del target su tre livelli e effetti correlati: livello fisico (server, router, SCADA, data center), logico (IP, protocolli, database), personale (account, identità digitali)
- analisi tecnica: architettura del sistema, software, connessioni e vulnerabilità; valutazione delle dipendenze da reti civili
- valutazione degli effetti: attraverso indicatori statistici di prevedibilità, vantaggio e performance, si valuta in modo sistematico l’impatto sul processo decisionale avversario (OODA loop e relativi cicli decisionali), la persistenza e durabilità dell’effetto prodotto, la criticità e strategicità del sistema target, nonché il grado di reversibilità dell’azione. A ciò si aggiungono considerazioni sul tempismo operativo e sulla possibilità di ridurre i rischi di propagazione non desiderata, contemplando l’impiego di strumenti alternativi o l’adattamento del tipo e della configurazione dell’arma.
- “refined analysis”: La fase di refined analysis consiste nella rivalutazione dei rischi emersi in precedenza secondo nuovi criteri. Attraverso un test di probabilità si verifica che gli effetti collaterali restino proporzionati al vantaggio militare e se il loro livello sia da considerarsi accettabile, tollerabile o non accettabile.
- mitigazione: verifica dell’adeguatezza dell’arma informatica come modificata nelle fasi precedenti e alle condizioni operative del momento ed eventuali misure di controllo e riduzione degli effetti indesiderati. Se i danni collaterali superano il vantaggio atteso, l’operazione deve essere rivalutata.
Governare l’imprevedibilità attraverso la tecnica: paradigmi di liceità degli strumenti cyber
Sebbene, inoltre, si pensi che i caratteri propri del cyberspazio rendano i suoi strumenti di azione intrinsecamente e per natura indiscriminati e non compatibili con certe norme, uno sguardo più accurato consente in realtà di comprendere esso presenti anche notevoli opportunità tecniche, come suffragato da casi studio come Stuxnet. Quest’ultimo ha infatti dimostrato che è possibile assicurare la precisione e discriminazione verso obiettivi specifici nella fase di targeting nonché di limitare gli effetti collaterali. Il malware in questione era stato infatti progettato secondo criteri di distinzione, proporzionalità e controllabilità: attraverso attività di intelligence, gli attaccanti conoscevano la tipologia di controllore logico programmabile (PLC) utilizzate dai sistemi che intendevano colpire e svilupparono un malware complesso con intrinseco meccanismo di discriminazione progettato per attivarsi solo sui sistemi specifici PLC Siemens, ovvero quelli implementati sulle centrifughe, senza danneggiare altri sistemi non rilevanti. Fu inoltre fissato un termine di scadenza al 24 giugno 2012 per renderlo inattivo, tecnica nota come Kill-switch/timeout. Tuttavia, benché senza l’attivazione della componente malevola, il virus si propagò decine di migliaia di computer coinvolgendo anche India, Indonesia, Cina, Azerbaigian, Corea del Sud, Malesia, Stati Uniti, Regno Unito, Australia, Finlandia e Germania. Se, dunque, potenzialmente alineato nel suo design e progettazione alle norme di contenimento degli effetti e distinzione di target, Stuxnet ha comunque sollevato preoccupazioni situandosi in una zona grigia, a metà tra violazione e conformità, in ragione della bassa controllabilità ex-post che ne aumenta i rischi di alterazione e replicazione attraverso tenciche di reverse engeneering. Al di là delle ambiguità, questo caso dimostra che controllare, contingentare e limitare gli effetti di uno strumento di uso della forza cyber è possibile e che governare i cambiamenti dirompenti del warfare necessita di riflessioni, adattamenti e nuovi approcci, che fondino su quelli già esistenti e consolidati ma che si affaccisno coraggiosamente oltre i confini dell’ordinario e delle logiche lineari.
I nuovi orizzonti del warfare hanno trasformato il conflitto in un dominio intangibile ma dagli effetti concreti, a cui i civili restano la categoria più esposta. Se i principi applicabili in contesti di confronto armato hanno preso forma dall’uso della forza convenzionale, la flessibilità del sistema legale umanitario ne consente l’adattamento a nuovi spazi e logiche, come quella cibernetica. I recenti sviluppi rendono le minacce asimmetriche e ibride una realtà e richiedono un aggiornamento nella comprensione del rischio e nelle strategie di azione che mettano al centro la popolazione civile. Un modello adattato di CDE nel contesto cyber rappresenta allora un esempio concreto dell’ambizioso ma urgente compito che la comunità internazionale è chiamata a svolgere nello sviluppare standard condivisi e linee guida che si ispirino al passato ma che guardino al presente e soprattutto al futuro della guerra.
