Le nuove realtà digitali, un equivoco insieme di dimensioni virtuali e reali interconnesse, stanno suscitando entusiasmi, ma anche incertezze.
Questo nuovo mondo fa sorgere molti interrogativi, soprattutto in merito alla possibilità di applicarvi le tradizionali categorie del diritto, ponendo l’interprete davanti a questioni quali la perseguibilità di azioni ivi poste in essere, la relativa qualificazione e la possibilità di effettiva comminazione della pena.
Il tema della responsabilità per i reati commessi sul web
La prima ambiguità che si pone è la plausibilità o meno del ritenere che il web possa rappresentare un vero e proprio locus commissi delicti, ed è ormai pacifico che una realtà diversa da quella fattuale sia idonea alla commissione di reati.
Inoltre, le condotte realizzate sul web si estrinsecano nell’emanazione o nella captazione di una serie di impulsi elettronici, interconnessi tra loro, indifferentemente dalla concreta ubicazione del soggetto agente. Per questa ragione il reato assume una connaturata ed inevitabile dimensione transnazionale.
Un ulteriore quesito interessa il rispetto del principio di materialità e, in merito, si è ipotizzato che, nello spazio virtuale, non potesse mai concretizzarsi un’azione in senso stretto e che, dunque, l’inquadramento del fatto dovesse sempre avvenire in termini di mera intenzionalità. Tuttavia, c’è una connessione tra la realtà reale e quella virtuale; difatti, per accedervi sono necessari appositi strumenti, valute non tradizionali e connessioni idonee a supportare l’esperienza immersiva.
Alla luce di queste considerazioni è opportuno interrogarsi, altresì, sulla possibilità concreta che un’azione estrinsecata nel web, laddove lesiva di un bene giuridicamente protetto attraverso norme penalistiche, possa dar vita a responsabilità.
Ad esempio, se si pensa alla possibilità di sovrapposizione della figura dell’avatar a quella del soggetto persona fisica, è da rilevare come, nel Metaverso, non operi concretamente e direttamente l’individuo, bensì una sua proiezione; la paternità delle azioni, dunque, dovrebbe essere ascrivibile al soggetto che, attraverso input informatici, determina l’avatar – rappresentazione di sé stesso – ad agire. La soluzione non pare essere così lineare, in ragione della evidente discrasia tra le due figure, dalla quale discende un verosimile contrasto con il principio di personalità della responsabilità penale.
Tuttavia, il Legislatore ha contezza dei rischi derivanti dal mancato riconoscimento di una responsabilità personale per le ipotesi in cui si dovrebbe accettare una fictio iuris, come avvenuto per le società e per l’adozione del D. Lgs. 8 giugno 2001, n. 231. In ragione della similarità delle due situazioni, ben potrebbero essere superati i timori in merito al rispetto del principio di personalità della pena rispetto al fatto di reato: sarebbe opportuno porsi a metà strada tra la rilevanza di condotte contra legem poste nel Metaverso (così come nel web) e, al contrario, una loro assoluta irrilevanza.
Attacco informatico, una definizione
Al fine di comprendere al meglio la questione, è necessario anzitutto guardare alla definizione di “attacco informatico”, ovvero «un’operazione informatica, di natura offensiva o difensiva, che sia ragionevolmente prevedibile e che cagioni lesioni o morte a persone o danni o distruzione a oggetti». Trattasi, dunque, di operazioni condotte attraverso l’impiego di strumenti informatici o telematici, che implicano atti di violenza.
Per valutare se un atto costituisca un attacco informatico, è necessario porre l’attenzione anche qui sul rapporto causale tra la condotta ed i danni cagionati, quindi sul piano delle conseguenze.
A venire in rilievo non sono esclusivamente le conseguenze dirette sul supporto informatico ma anche quelle indirette, consequenziali e ragionevolmente prevedibili, che insistano su persone o cose che, pertanto, costituiranno l’oggetto dell’attacco.
I cyberattacks, attualmente, rappresentano la modalità di attacco più funzionale nei confronti di uno Stato, grazie ad alcune peculiarità proprie degli strumenti informatici, tra cui l’anonimato, l’a-spazialità e l’a-temporalità.
Le fasi del processo di attribuzione dell’atto informatico ostile
Per questa ragione, è essenziale che gli Stati si dotino di sistemi di prevenzione e, in particolar modo, di rilevazione di tali minacce, con la finalità di individuare prontamente il soggetto a cui attribuire l’attacco.
In questo delicato stadio si inserisce il problema dell’attribuzione, intesa quale procedimento volto a risalire al soggetto mittente dell’operazione. A tal proposito, è fondamentale delineare le fasi del processo di attribuzione dell’atto informatico ostile.
Si può infatti tentare di declinare il processo dell’attribuzione in tre macro-fasi: tecnica, politica-pubblica e giuridica.
La fase tecnica
La prima fase ha come obiettivo l’individuazione della strumentazione utilizzata per condurre l’attacco, tramite elaboratori in grado di analizzare, quantificare e manipolare dati informatici. All’esito di questo procedimento, si giungerà a circoscrivere la fonte responsabile.
Ci si avvale normalmente dei cc.dd. indicatori di compromissione (indicators of compromise, IoC), quali malware, virus, signature, domain name ed indirizzi IP.
Nella maggior parte delle ipotesi, la ricostruzione sic et simpliciter delle modalità tecniche della violazione può non condurre a risultati esaustivi, dunque si ricorre ad un’analisi incrociata con le TTP (tattiche, tecniche e procedure) che più di frequente trovano impiego nel cyberspazio.
Di recente, si è assistito ad una maggior frequenza nell’impiego di tool standardizzati e non personalizzati, che aggravano ulteriormente la fase di individuazione del soggetto responsabile. Pertanto, entra in gioco un’analisi di natura empirica per il tramite di modelli comportamentali a supporto degli strumenti ordinari.
La fase tecnica, certamente la più delicata, dovrebbe poter contare su risorse che permettano, quanto più possibile, una riduzione dei tempi di rilevamento, per evitare una dispersione di elementi e di dati rilevanti.
La fase politica
La seconda fase, c.d. politica, consiste nella raccolta di informazioni attraverso canali interstatali – ufficiali e non – per giungere all’individuazione delle potenziali ragioni (spesso, geopolitiche) sottese all’attacco e al soggetto, ovvero all’organizzazione da cui esso proviene.
Questo secondo step ha una connotazione fortemente pubblica; spesso, difatti, si mira ad individuare il soggetto colpevole, diffondendo la notizia attraverso i mass media, per disincentivare l’eventuale reiterazione degli attacchi, con finalità, dunque, eminentemente deterrente.
Da ultimo, la diffusione della notizia, tramite canali di comunicazione ufficiale, costituisce una forte presa di posizione, nel panorama internazionale, nei casi in cui l’attribuzione di un attacco avvenga congiuntamente da parte di più Stati.
La fase giuridica
Per concludere, nell’ultima fase, prettamente giuridica, l’attacco è imputato ad un soggetto, ad un’organizzazione o ad uno Stato.
Le difficoltà nel riconoscere la responsabilità statale
Nei casi in cui viene individuata come responsabile una persona fisica o un’organizzazione, ne deriverà l’imputazione sulla base della fattispecie penale prevista all’interno del singolo Stato.
Nelle ipotesi in cui l’attacco sia riconducibile ad uno Stato, tuttavia, si rilevano difficoltà nell’attribuzione, derivanti dall’assenza di una normativa internazionale, dovendosi risolvere la questione in via interpretativa.
Da una minaccia informatica, in queste ipotesi, potrebbe derivare una responsabilità internazionale dello Stato a cui essa si attribuisce, come prevista dal Progetto di articoli sulla responsabilità degli Stati del 2001.
Affinché si possa ritenere sussistente un illecito internazionale, è necessaria l’integrazione del relativo elemento oggettivo, il cui fondamento risiede nella violazione di un obbligo parimenti internazionale facente capo allo Stato.
A tal fine, potrebbe addursi, secondo il pensiero ormai dominante, come referente giuridico l’art. 2, par 4, della Carta delle Nazioni Unite, che dispone: «I Membri devono astenersi, nelle loro relazioni internazionali, dalla minaccia o dall’uso della forza, sia contro l’integrità territoriale o l’indipendenza politica di qualsiasi Stato, sia in qualunque altra maniera incompatibile con i fini delle Nazioni Unite».
È possibile inquadrare i casi in esame, dunque, nel concetto di uso della forza, riconducendovi le ipotesi di attacchi cyber, con conseguente applicabilità della legittima difesa di cui all’art 51 della Carta. Ammettendo tale soluzione, si riterrebbe integrato l’elemento oggettivo di un illecito internazionale, consistente nella violazione dell’obbligo giuridico avente ad oggetto il generale dovere di astensione dall’uso della forza. Inoltre, la Rule 11 del Manuale di Tallinn delinea i requisiti affinché un attacco cyber possa essere ascrivibile all’ipotesi di uso della forza, stabilendo che: «A cyber operation consitutes a use of force when its scale and effects are comparable to non-cyber operations rising to the level of a use of force».
Si esige, quindi, che dall’attacco derivino conseguenze analoghe e qualitativamente equivalenti a quelle che si verificherebbero a seguito di un attacco tradizionalmente inteso, focalizzando l’attenzione dalla convenzionale fenomenologia dell’uso della forza al piano dei concreti effetti pregiudizievoli che ne possono derivare, pur a fronte di modalità di azione atipiche e nuove.
Dunque, se un attacco informatico costituisce uso della forza, si apre la possibilità di agire in legittima difesa, ai sensi dell’art. 51 della Carta delle Nazioni Unite, che dispone: «Nessuna disposizione del presente Statuto pregiudica il diritto naturale di autotutela individuale o collettiva, nel caso che abbia luogo un attacco armato contro un Membro delle Nazioni Unite, fintantoché il Consiglio di Sicurezza non abbia preso le misure necessarie per mantenere la pace e la sicurezza internazionale.
Le misure prese da Membri nell’esercizio di questo diritto di autotutela sono immediatamente portate a conoscenza del Consiglio di Sicurezza e non pregiudicano in alcun modo il potere e il compito spettanti, secondo il presente Statuto, al Consiglio di Sicurezza, di intraprendere in qualsiasi momento quell’azione che esso ritenga necessaria per mantenere o ristabilire la pace e la sicurezza internazionale».
L’importanza del coordinamento nell’attribuzione delle sanzioni
Allo stato dei fatti, quindi, l’attribuzione degli attacchi informatici risulta essere un atto sovrano degli Stati membri dell’UE. Tuttavia, questi hanno tutti capacità tecniche e di intelligence diverse. Ciò comporta una mancanza di coerenza nella diplomazia informatica europea, ad esempio nell’imposizione di sanzioni informatiche.
Ad esempio, l’analisi delle risposte politiche ai rilevanti casi WannaCry, NotPetya e Cloud Hopper, OPCW e all’hacking del Bundestag rivela diversi problemi. In primo luogo, l’attribuzione richiede molto tempo e si basa sull’intelligence dei partner della NATO. In secondo luogo, le realtà tecniche e i fatti legali per classificare e perseguire i cyberattacchi non sempre coincidono. Da ultimo, la ponderazione dei criteri per stabilire ciò che costituisce un crimine non è chiara.
Le sanzioni informatiche dovrebbero essere proporzionate e mirate e gli attacchi distruttivi, come i citati WannaCry o NotPetya, e dovrebbero comportare pene più severe rispetto ai casi quotidiani di cyberattacco; l’UE deve adattare i suoi strumenti di conseguenza, inasprire i criteri legali e armonizzare gli standard di prova per l’attribuzione.
Infine, gli Stati membri dell’UE e i loro partner alleati dovrebbero coordinare meglio il segnale politico di condanna dei cyberattacchi.
La risposta diplomatica, infatti, deve essere coerente dal punto di vista giuridico, tecnico e politico: ciononostante, se l’UE vuole imporre sanzioni informatiche legittime, deve prima determinare l’origine (attribuzione) degli attacchi informatici in modo attento e ragionevole.
Incoerenze e contraddizioni nell’assegnazione delle responsabilità
Di frequente, a livello comunitario, l’assegnazione tecnica, giuridica e politica della responsabilità individuale per gli attacchi informatici, è incoerente e in parte contraddittoria.
Le ragioni di ciò sono molteplici. In prima istanza, l’attribuzione è un atto sovrano degli Stati membri che dispongono di diverse capacità tecniche e di intelligence; il ruolo dell’UE è solo quello di coordinare, raccogliere prove forensi e condividere informazioni tra gli Stati membri e le istituzioni dell’Unione.
A seguire, dato il numero e l’intensità crescenti degli attacchi nel settore informatico e del dominio dell’informazione (CIR), l’attribuzione è fondamentale: è, inoltre, necessario essere in grado di sostenere il principio del comportamento responsabile dello Stato promosso dall’UE. Ciò anche ad integrazione dell’AI Act, senza remore alcune.
Si tenga presente, inoltre, che l’intento criminale e la motivazione strategica degli attacchi raramente possono essere dedotti solo da indicatori tecnici. Tuttavia, gli indicatori tecnici sono fondamentali per la valutazione giuridica di un attacco e la successiva giustificazione di una decisione sanzionatoria. Pertanto, il linguaggio tecnico e quello giuridico dovrebbero essere armonizzati.
Peraltro, gli incidenti informatici dovrebbero essere differenziati più chiaramente in base alla loro intensità e alle caratteristiche tecniche, al fine di adattare la risposta diplomatica dell’UE in modo da garantire che sia proporzionale.
Strategie e soluzioni per una migliore gestione dell’attribuzione
Gli Stati dovrebbero utilizzare un sistema standardizzato comparabile (metro della probabilità) per consentire una classificazione della responsabilità; inoltre, dovrebbero armonizzare i criteri richiesti per l’attribuzione: le prove di attribuzione dovrebbero essere più trasparenti, senza mettere a repentaglio l’accesso all’intelligence.
L’attribuzione è un problema centrale nella ricerca sui conflitti informatici e rappresenta una sfida particolare per la diplomazia informatica dell’UE e il suo regime di sanzioni informatiche: un processo di attribuzione frammentato indebolisce la credibilità, la legittimità e l’efficacia della diplomazia informatica dell’UE.
L’art. 38, cpv. 1c, dello Statuto della Corte internazionale di giustizia afferma che ogni Stato ha l’obbligo di non consentire consapevolmente che il suo territorio venga utilizzato per atti che violano i diritti di altri Stati.
In base a ciò, ciascuno Stato membro è libero di scegliere il proprio metodo e la propria procedura di attribuzione: se da un lato l’attribuzione politica resta un atto sovrano degli Stati membri, dall’altro l’UE ha un’essenziale funzione di coordinamento.
A livello istituzionale, l’attribuzione è un processo che si svolge tra la Commissione, il Consiglio e Europol, e in coordinamento con i 27 Stati membri. La Commissione stessa, inoltre, ha stabilito i principi dell’azione dell’UE che guidano anche le altre istituzioni dell’Unione e, nel settembre 2017, ha preparato un piano per una risposta coordinata agli incidenti transfrontalieri di cybersicurezza su vasta scala.
Nello specifico, i principi guida concernono il rispetto della proporzionalità, della sussidiarietà, della complementarità e della riservatezza delle informazioni nella risposta politica agli attacchi informatici. Si tratta di un progetto affiancato alla creazione dell’unità informatica congiunta, al fine di gestire parallelamente le crisi della politica estera e di sicurezza comune (PESC).
Conclusioni
In conclusione, dunque, a fronte della natura peculiare della problematica, un’intelligence completa, la cooperazione tra gli Stati e le Autorità competenti, una adeguata risposta legislativa, sostanziale e processuale, a livello nazionale e sovranazionale, sono elementi chiave per poter progredire nella gestione di una tematica tanto complessa.
