Dal 2019, le Nazioni Unite (Onu) sono impegnate in uno sforzo epocale per elaborare un Trattato globale sulla criminalità informatica. Il crimine digitale non ha confini e, come è accaduto, attacchi rivolti verso un obiettivo determinato possono rapidamente riverberarsi nell’ecosistema informatico, causando danni diffusi in più Paesi.
Il costo economico degli attacchi informatici è enorme ed ogni anno sembra aumentare. Tuttavia, com’è stato fatto notare da voci esperte, questa iniziativa globale, se non attentamente condotta, può divenire un pericoloso strumento per perseguire ricercatori in materia di sicurezza informatica, società tecnologiche e giornalisti investigativi.
Inoltre, potrebbe offrire una giustificazione legale per pratiche abusive e consentire ai governi di criminalizzare e perseguire l’espressione legittima e il dissenso. Infine, va detto che il controllo del cyberspazio è un dominio in cui le Nazioni autoritarie, guidate da Cina e Russia, vogliono mettere le mani, utilizzano l’Onu per una reformatio in peius delle attuali regole.
La Convenzione di Budapest
Al momento, il trattato internazionale più importante in materia è la Convenzione del Consiglio d’Europa sulla criminalità informatica, nota anche come Convenzione di Budapest. Quale primo trattato in materia, questa convenzione è stata ratificata da un numero significativo di Paesi, segnatamente 67 tra i quali, oltre all’Italia, figurano Australia, Canada, Consiglio d’Europa (che comprende l’Unione europea ed altri Paesi), Giappone, Regno Unito e Stati Uniti.
L’obiettivo del trattato è quello di stabilire un approccio globale alla criminalità informatica che possa generare un’armonizzazione del diritto interno degli Stati, il miglioramento delle capacità investigative e la cooperazione internazionale. Questa convenzione, inoltre, ha disciplinato le fattispecie dei reati informatici come l’accesso illegale ad un sistema informatico, la frode e la contraffazione, l’intercettazione illegale di dati.
Sebbene sia stata fonte di polemiche ed anche di preoccupazioni in materia di privacy, la Convenzione di Budapest oggi viene considerata uno strumento utile che stabilisce uno standard internazionale per affrontare il problema della criminalità informatica.
Verso un trattato globale
Nel 2019, l’Assemblea generale delle Nazioni Unite ha adottato una risoluzione con la quale si è avviato un processo di negoziazione per l’elaborazione di un trattato globale sulla criminalità informatica. I negoziati sono di ampia portata ed evidenziano la mancanza di unanimità su ciò che dovrebbe essere definito dagli Stati come crimine informatico. Come fa notare l’esperto Christian Ohanian (Senior Counsel for Privacy and Cybersecurity for Cyber & Intelligence Solutions presso Mastercard), laddove alcuni reati proposti rispecchiano il linguaggio e l’approccio della Convenzione di Budapest, come i divieti di accesso illegale ad un sistema informatico, altri includono nuove disposizioni, come quelle che criminalizzano la ricezione di “qualsiasi risorsa informatica rubata”.
Le proposte sul tavolo sollevano anche preoccupazioni in materia di diritti umani perché contengono definizioni radicali di condotte illecite. Al momento, dunque, continua ad esserci un significativo disaccordo sulla portata del futuro trattato, in particolare su quali condotte si dovrebbe intervenite.
Peraltro, la questione è ulteriormente complicata perché non esiste a livello internazionale una definizione comunemente accettata di crimine informatico. Gli Stati hanno espresso ampio sostegno all’inclusione nei crimini informatici fondamentali: l’accesso illegale, l’intercettazione o l’interferenza con dati e sistemi informatici.
Tuttavia, molte nazioni vogliono andare oltre e disciplinare anche i cosiddetti reati cyber-enabled, ovvero quando l’uso delle tecnologie dell’informazione e della comunicazione (ITC) svolge un ruolo significativo nell’illecito, facilitando o accelerando la portata della condotta criminosa. Tali reati includono la frode, la contraffazione e gli abusi sessuali su minori.
Come è stato evidenziato, ciò che più preoccupa è che alcuni Stati continuano a sostenere l’inclusione di comportamenti relativi ai contenuti, che possono portare alla violazione del diritto internazionale in materia di diritti umani, come la criminalizzazione dell’espressione protetta da tale ultimo ordinamento. Esempi preoccupanti includono le disposizioni sull’incitamento al terrorismo, sostenute tra l’altro da Cina, Russia, India, Turchia e Siria; la disinformazione, sorretta da Cina, Indonesia e India; i discorsi d’odio, avanzati da Pakistan, Kuwait e Cina e la violazione del copyright, supportata da Cina, Eritrea, Giamaica, Ghana, Indonesia, Liechtenstein, Messico, Norvegia, Russia e Stati Uniti.
Ma un tale approccio pone rischi reali per i diritti umani, come per la libertà di espressione, soprattutto quando le disposizioni che la definiscono sono vaghe o inquadrate in termini eccessivamente generici. In particolare, questi allarmi sono stati evidenziati a febbraio scorso in una lettera congiunta firmata da più di 130 organizzazioni ed esperti della società civile.
Nel 2021, anche Human Rights Watch ha denunciato i rischi derivanti dall’adozione di un trattato globale sul crimine informatico come l’essere utilizzato per mettere a tacere i critici e minare la privacy in molti Paesi. Dunque, qualsiasi futura convenzione sulla criminalità informatica dovrebbe garantire espressamente che le sue disposizioni non si applichino, né possano essere interpretate, in modo tale da limitare impropriamente la condotta tutelata dalle norme internazionali sui diritti umani.
La necessità di una tutela esplicita dei diritti umani
Le proposte degli Stati, discusse durante la seconda sessione estiva del Comitato ad hoc delle Nazioni Unite, sollevano forti preoccupazioni in materia di diritti umani.
Delegati dell’Africa, delle Americhe, dell’Asia e dell’Europa sostengono che il futuro trattato sui crimini informatici debba contenere una espressa protezione di tali diritti. Per esempio, l’Unione europea ha chiesto di includere nella futura disciplina le tutele dei diritti umani e delle libertà fondamentali già sancite nell’ordinamento internazionale.
L’Ue ha anche favorito il riconoscimento tra i singoli Stati dell’obbligo di proteggere la privacy e i dati personali, nonché i principi di legalità, necessità e proporzionalità. Anche il Ghana si è fatto sostenitore della esplicita salvaguardia dei diritti umani, compresa la protezione della privacy come parte degli obiettivi e del campo di applicazione della convenzione proposta.
Gli Stati Uniti hanno fatto eco a queste importanti dichiarazioni, affermando che la protezione dei diritti umani e le garanzie di salvaguardia dovrebbero essere al centro del trattato. Il Canada ha chiesto un approccio basato sui diritti umani, nel rispetto degli obblighi internazionali, prestando particolare attenzione all’impatto dei crimini informatici sulle donne.
Anche Australia, Cile, Costa Rica, Colombia, Ecuador, Germania, Honduras, Messico, Sudafrica e Regno Unito hanno sostenuto di prestare particolare attenzione alla natura di genere del crimine informatico. L’India, invece, sostiene che la convenzione dovrebbe facilitare la condivisione dei metadati con rapidità ed efficacia, aggirando i trattati di mutua assistenza legale (Mlat) esistenti e che l’accesso ad essi non pone problemi di privacy.
La natura del dibattito ha confermato che il trattato, se adottato, avrà un impatto rilevante sul modo in cui il crimine informatico sarà regolamentato globalmente. Permangono, però, le preoccupazioni che la disciplina in fieri possa offrire agli Stati autoritari il destro per l’esercizio di pratiche abusive e consentire loro di reprimere e sanzionare la libertà di espressione. È probabile anche che il trattato possa aumentare le capacità di sorveglianza della polizia transfrontaliera, l’accesso e la condivisione dei dati delle persone.
E c’è il rischio reale che la futura disciplina non includa tutele efficaci per proteggere il diritto alla privacy e altri diritti fondamentali.
Cyber attacchi come arma geopolitica: i rischi di un’escalation nello scontro Usa-Russia
Russia e Cina, la riscrittura delle regole dell’ordine mondiale cibernetico
Il controllo del cyberspazio è un dominio in cui le nazioni autoritarie, guidate da Cina e Russia, vogliono mettere le mani, usando le Nazioni Unite per creare nuove regole.
Molti vedono l’Onu come un’istituzione creata con le intenzioni più nobili, ma in realtà è diventata un pantano burocratico. E per Cina e Russia, che stanno plasmando il nuovo ordine mondiale, le Nazioni Unite sono sempre più un luogo di giochi di potere, spesso ignorati dagli Stati Uniti.
Nel dicembre 2019, per esempio, mentre il mondo era distratto da Donald Trump, la Russia è riuscita ad ottenere, dall’Assemblea generale delle Nazioni Unite, l’approvazione per iniziare la stesura proprio del trattato globale sulla criminalità informatica. Gli Stati Uniti hanno più volte ribadito di essere seriamente preoccupati di ciò e che un simile trattato “sarebbe stato contro le libertà fondamentali americane”.
Con il sostegno cinese, in seno all’Onu la Russia è riuscita anche a creare un organismo di discussione informatica chiamato Open-Ended Working Group (Oewg). Andrey Krutskikh, uno dei principali consiglieri informatici del Presidente russo Vladimir Putin, in una riunione dell’Oewg del 2021 ha esultato dicendo che il gruppo rappresentava “il trionfante successo della diplomazia russa“.
Nel gennaio 2021, inoltre, i russi, sempre con l’aiuto di Pechino, hanno cercato di assumere il controllo della governance di internet attraverso l’Unione internazionale delle telecomunicazioni (Itu). Questo tentativo di “colpo di Stato” non andato a buon fine, volto a deporre il consorzio privato di esperti noto come Internet Corporation for Assigned Names and Numbers (Icann), sarebbe stato sostenuto dall’ex presidente russo Dmitry Medvedev.
In una dichiarazione del 26 marzo 2021, Putin ha annunciato l’intenzione della Russia di dominare la supervisione del cyberspazio. “In gran parte grazie ai nostri sforzi, la sicurezza delle informazioni è diventata un punto all’ordine del giorno dell’Assemblea generale delle Nazioni Unite“, si è vantato Putin in una dichiarazione al Consiglio di sicurezza russo. “Crediamo che sia necessario concludere accordi legali internazionali universali progettati per prevenire i conflitti e costruire una partnership reciprocamente vantaggiosa nel cyberspazio globale“.
Dal canto suo, la Cina sta sempre più promuovendo una nuova sovranità informatica, che giustifica la censura, la localizzazione dei dati ed altre pratiche in contrasto con un Internet libero ed aperto. Con un numero crescente di Paesi interessati a questo approccio, Pechino vuole che le Nazioni Unite svolgano un ruolo sempre più importante nella governance di Internet. Se a livello nazionale il Partito Comunista Cinese (Pcc) controlla l’ambiente informativo, a livello globale i leader cinesi vogliono che il sistema di governance fornisca a Pechino il massimo spazio di manovra per mantenere e operare tali controlli.
Per la Cina, il cyberspazio è diventato un nuovo campo di competizione per la governance globale e spinge per creare un consenso internazionale attorno alla sua proposta di governance. E l’Onu è un punto focale di questo sforzo.
La Strategia internazionale di cooperazione nel cyberspazio di Pechino del 2017 sostiene che “le Nazioni Unite, in quanto canale importante, dovrebbero svolgere un ruolo di primo piano nel coordinamento delle posizioni delle varie parti e nella creazione del consenso internazionale” sulla governance di internet.
La Cina sta promuovendo norme di governance di internet sulla sovranità statale che consentono la censura e altre forme di controllo delle informazioni digitali e tutto ciò va, pericolosamente, in conflitto con i principi universalmente riconosciuti, tra cui la libertà di parola e la libertà di informazione.
