Nell’ultimo decennio, Stati autoritari come Cina e Russia si sono impegnati in un massiccio accumulo di capacità informatiche che, per Governi ed imprese di tutto il mondo, rappresentano oggi una impressionante minaccia.
Nel nuovo e competitivo dominio informatico, il problema delle operazioni ostili ha assunto natura endemica globale. La discussione su come il diritto internazionale debba governare lo “spazio virtuale” è progredita notevolmente. Tuttavia, tra gli Stati continuano a permanere importanti divergenze nell’interpretazione di alcune disposizioni universali. In particolare, Washington e Pechino hanno opinioni contrastanti sull’applicabilità del diritto internazionale al cyberspazio e sulla legittimità dello spionaggio industriale abilitato dal cyber.
Cyberspazio, Cina e Russia a favore di un trattato multilaterale vincolante
Sul piano delle fonti, Cina e Russia sostengono che l’attuale quadro di diritto internazionale non sia adatto a regolare l’unicità e la complessità del dominio cibernetico e chiedono alla comunità internazionale di negoziare un trattato multilaterale vincolante, invece di continuare a costruire un consenso attorno ad un trattato comune non coercitivo.
Diversi Paesi hanno pubblicato proprie posizioni su come il diritto internazionale debba applicarsi al cyberspazio, con la Polonia ultima in ordine di tempo. Ciononostante, dal 2018 è in corso un dibattito sull’esistenza – o meno – di una norma di diritto internazionale che, in tale ambito, imponga agli Stati di rispettare la sovranità di altri Paesi. In particolare, importanti attori informatici come l’Australia e gli Stati Uniti non hanno ancora pubblicamente preso una posizione ferma sulla questione. In tale contesto, l’incapacità per gli Stati di agire coerentemente con il diritto internazionale e, di conseguenza, giustificare e/o condannare operazioni informatiche malevoli, rappresenterebbe un significativo passo indietro nel promuovere la stabilità e la sicurezza nel cyberspazio.
Da parte degli Stati titubanti servirebbe, dunque, un’approvazione espressa di posizioni di politica legale che garantirebbe risposte informatiche efficaci all’interno di in più ampio quadro giuridico; ciò assicurerebbe, nel consesso internazionale, la conoscenza delle regole dello Stato adottante.
Come Cina e Russia usano le minacce nel cyberspazio come arma di politica estera
Negli ultimi dieci anni, Cina e Russia si sono impegnate in un massiccio accumulo di capacità informatiche ed oggi costituiscono una significativa minaccia per l’Occidente1. In particolare, in Cina – attore informatico maggiormente organizzato della Russia2 – sotto la spinta del Segretario generale del Partito comunista cinese (PCC) Xi Jinping, i leader politici nazionali hanno costantemente espresso la loro intenzione di far diventare il Paese una “superpotenza informatica”. Gli elementi centrali della visione ufficiale del Governo sul cyberspazio includono l’aspirazione di Pechino ad acquisire lo status di superpotenza della sicurezza nazionale, considerando l’area cibernetica come sede di una competizione strategica internazionale. I massimi leader cinesi, infatti, vedono lo “spazio virtuale” come un’arena di feroce competizione strategica tra Paesi che la Cina vuole modellare a suo favore3 . Pechino, pertanto, ha sviluppato formidabili capacità informatiche offensive ed ora è leader mondiale nello sfruttamento delle vulnerabilità.
Come la Cina, anche la Russia utilizza gli strumenti informatici come “arma” di politica estera particolarmente potente. In particolare, Mosca sfrutta il regno cibernetico per raggiungere un vantaggio geopolitico nelle sue controverse relazioni con l’Occidente. Ciò include notevoli capacità informatiche, l’utilizzo dello spionaggio digitale e l’uso di internet per la guerra dell’informazione4.
Paesi alla conquista del cyber spazio, ecco lo scacchiere geopolitico
La natura endemica globale delle operazioni offensive
All’inizio di marzo 2021, Microsoft ha rivelato che un attore di minacce sponsorizzato dallo Stato cinese chiamato HAFNIUM aveva sfruttato molteplici vulnerabilità (precedentemente sconosciute) presenti nel suo software del server di posta elettronica Exchange per attaccare le reti dei clienti5. Le intrusioni hanno reso vulnerabili migliaia di server che non avevano ancora implementato la patch di Microsoft, consentendo agli hacker non affiliati ad HAFNIUM di infiltrarsi nei server di posta elettronica di governi municipali, piccole imprese, operatori sanitari ed industrie6. Gli esperti di sicurezza informatica hanno stimato che i sistemi di almeno 30.000 vittime negli Stati Uniti e fino a 250.000 in tutto il mondo sarebbero stati compromessi nel giro di pochi giorni7. Sebbene di portata storica, l’hack di Microsoft Exchange, però, è solo uno dei tanti attacchi informatici cinesi di alto profilo degli ultimi anni. Nel suo Global Threat Report 2022, la società statunitense di sicurezza informatica CrowdStrike ha affermato che la Cina è ora un leader globale nello sfruttamento delle vulnerabilità8.
Per quanto concerne la Russia, nel 2016 attori informatici affiliati al Governo russo avrebbero condotto una campagna informatica senza precedenti contro l’infrastruttura elettorale statale USA9. Il 9 luglio 2021, il Presidente Biden ha rinnovato l’avvertimento al Presidente Putin, sottolineando “la necessità che la Russia agisca per interrompere i gruppi ransomware che operano sul territorio russo” e “che gli Stati Uniti intraprenderanno le azioni necessarie per difendere il proprio popolo e la propria infrastruttura critica di fronte a questa continua sfida”10. Non sorprende, dunque, che gli USA abbiano deciso sulla necessità di solide operazioni informatiche per scoraggiare quelle ostili. Una serie di cyber-azioni della Russia (o partite dal suo territorio) – tra cui quelle SolarWinds11, Colonial Pipeline12, REvil13 e Republican National Committee14 – hanno accentuato la necessità 15 di adottare un approccio più aggressivo rispetto a quello passato.
Cina e Russia, però, non sono gli unici attori di operazioni informatiche offensive. Si ritiene che dal 2005, ben trentaquattro Paesi hanno sponsorizzato azioni informatiche, con Cina, Russia, Iran e Corea del Nord che rappresentano il 77% del totale16. Nel 2022, sarebbero state realizzate complessivamente147 operazioni, in aumento rispetto agli anni passati17.
Il problema delle operazioni informatiche dannose, quindi, è endemico a livello globale.
La competizione normativa USA-Cina: una ferita aperta
Il noto esperto di questioni di sicurezza e politica estera cinese del Council on Foreign Relations (CFR), Adam Segal, sostiene che Stati Uniti e Cina divergono nettamente sulle norme che dovrebbero guidare il comportamento di uno Stato responsabile nel cyberspazio in tempo di pace. Washington e Pechino aggiunge, “concordano sull’applicazione di base del diritto internazionale e della carta delle Nazioni Unite al cyberspazio, ma differiscono sostanzialmente nelle rispettive interpretazioni di alcune disposizioni che sarebbero rilevanti per le operazioni informatiche in un contesto militare […] I principali punti controversi sono la perpetrazione dello spionaggio informatico da parte della Cina per conseguire un illegittimo vantaggio economico, la sua enfasi sul controllo statale di Internet e l’opposizione di Pechino all’applicazione di alcuni principi del diritto internazionale nel settore cibernetico18.
La posizione degli Stati Uniti è che il diritto internazionale e le disposizioni della Carta delle Nazioni Unite relative all’autodifesa, all’uso della forza e del conflitto armato si applicano al cyberspazio. Ritengono, inoltre, “che la sovranità sia un principio del diritto internazionale e non vi sarebbe alcun divieto assoluto di operazioni informatiche che possano toccare il territorio di altri19. Sebbene le violazioni dipendano dalle circostanze, secondo Segal gli USA “sembrano riferirsi a casi in cui le attività di defending forward nel territorio di un altro Stato non hanno effetti o riducono al minimo gli effetti”. In ogni caso, le attività informatiche dannose possono costituire un uso della forza o un “attacco armato” che fa scattare il diritto di uno Stato sovrano di difendersi attraverso operazioni offensive proporzionate, cyber o altro, a seconda dei casi20. Purtroppo, come si vedrà in seguito, gli Stati Uniti non hanno ancora preso pubblicamente una posizione ferma sulla questione relativa all’esistenza di una norma di diritto internazionale che imponga agli Stati di rispettare la sovranità di altri nel cyberspazio.
La Cina concorda sul fatto che il diritto internazionale sia applicabile nel cyberspazio ma ha resistito a descrizioni concrete dei diritti e delle responsabilità dello Stato. Per Segal, “Pechino, infatti, ha teso a caratterizzare l’appello a una maggiore esplicazione di diritti e doveri, soprattutto nello jus ad bellum (il corpus normativo che affronta gli usi della forza per autodifesa) e nello jus in bello (il corpus normativo che disciplina la condotta delle ostilità), in quanto porta alla ‘militarizzazione del cyberspazio'”21. In una dichiarazione preparata nell’ottobre 2021 sulla posizione della Cina, il Ministero degli Affari Esteri ha avvertito della necessità di “gestire l’applicabilità della legge sui conflitti armati e dello jus ad bellum con prudenza e prevenire l’escalation dei conflitti o la trasformazione del cyberspazio in un nuovo campo di battaglia”22. Concretamente, “Pechino tendeva anche a sottolineare che la sovranità è una regola e quindi affermava che le operazioni informatiche, anche se avessero effetti limitati, sarebbero violazioni della sovranità”23.
Al contrario degli USA, dunque, la Cina si oppone all’idea che il principio dell’autodifesa possa essere invocato per rispondere ad attività cibernetiche dannose sulla base del fatto che tale interpretazione “militarizza” il cyberspazio e dà carta bianca agli Stati potenti per condurre la guerra cibernetica24. Sostanzialmente, invita gli Stati ad osservare il principio di uguaglianza sovrana sancito dall’articolo 2 della Carta delle Nazioni Unite25 e di astenersi dall’effettuare operazioni cibernetiche militari contro altri Stati26.
Inoltre, insieme a Mosca, Pechino ha spesso suggerito che le caratteristiche uniche del cyberspazio richiedono un nuovo trattato internazionale. Nel settembre 2011, Cina e Russia, sostenute da Tagikistan e Uzbekistan, hanno presentato all’Assemblea generale delle Nazioni Unite una lettera in cui proponevano agli Stati un progetto di Codice internazionale di condotta per la sicurezza delle informazioni dove si concordava che non “utilizzeranno le tecnologie dell’informazione e della comunicazione, comprese le reti, per svolgere attività ostili o atti di aggressione, porre minacce alla pace e alla sicurezza internazionali o proliferare armi informatiche o tecnologie correlate”27. Il Codice è stato nuovamente sottoposto alle Nazioni Unite nel 2015 dalla Shanghai Cooperation Organization (SCO), l’Organizzazione regionale eurasiatica che comprende Cina, Russia, Kazakistan, Kirghizistan, Tagikistan e Uzbekistan28.
La Cina e la Russia, dunque, sostengono che l’attuale quadro di diritto internazionale non sia adatto a regolare l’unicità e la complessità del dominio cibernetico e chiedono alla comunità internazionale di negoziare un trattato multilaterale vincolante per il ciberspazio invece di continuare a costruire un consenso attorno ad un trattato comune non coercitivo29. Secondo Nikolay Bozhkov, analista di minacce informatiche presso la Sezione di difesa informatica della NATO, la riluttanza della Cina ad applicare il diritto internazionale al cyberspazio riflette le preoccupazioni sulla limitazione delle proprie capacità informatiche e sul fornire agli Stati Uniti un pretesto per condurre attacchi informatici dirompenti durante un conflitto armato30.
La competizione USA-Cina sulle norme che modellano il cyberspazio, inoltre, abbraccia una varietà di formati e di sedi. Secondo Segal, la Cina può ora affermare di avere anch’essa un modello di governance per dati e cyber-sicurezza, oltre a quello già offerto dagli Stati Uniti e dall’Europa31. “Questo modello offre un’alternativa all’equilibrio tra diritti individuali e autorità statale, privacy e sicurezza, regolamentazione e innovazione che le democrazie liberali enfatizzano. […] Respinge anche esplicitamente l’idea che l’equilibrio offerto negli altri modelli di governance sia universale”32. Con questa visione alternativa delle norme per il cyberspazio, i diplomatici cinesi sostengono le loro norme preferite nelle istituzioni internazionali e nei gruppi regionali dedicati alle questioni dello “spazio virtuale”. Allo stesso tempo, per favorire un’alternativa cinese, Pechino ha creato o proposto nuove organizzazioni e convenzioni per soppiantare i meccanismi di governo esistenti.
L’obiettivo principale, però, è quello di concorrere a fratturare la principale governance informatica delle Nazioni Unite. Dal 2004, la Cina ha partecipato al procedimento del Gruppo di esperti governativi (GGE) delle Nazioni Unite per lo sviluppo delle norme di comportamento statale responsabile nel cyberspazio, ma il suo recente coordinamento con la Russia ha di fatto diviso il processo di costruzione del consenso globale in due percorsi separati33. Nel primo decennio successivo all’istituzione del GGE, Pechino si è unita a Washington come firmataria di due importanti rapporti di consenso nel 2013 e nel 201534. Nel primo, i membri del gruppo – di cui facevano parte Cina, Russia, Stati Uniti e rappresentanti di altre dodici Nazioni – hanno convenuto che “il diritto internazionale, e in particolare la Carta delle Nazioni Unite, si applica al cyberspazio”. Nel secondo – il cui gruppo era incaricato di esaminare “norme, regole o principi per il [comportamento] responsabile degli Stati” nonché “come il diritto internazionale si applica all’uso delle tecnologie dell’informazione e della comunicazione da parte degli Stati” – Pechino e Mosca hanno firmato quattro norme promosse da Washington: la responsabilità dello Stato e il dovere di assistenza, il divieto per gli Stati di danneggiare o compromettere intenzionalmente le infrastrutture critiche altrui e non prendere di mira le squadre di risposta alle emergenze informatiche di un altro Stato in tempo di pace. Ma Cina e Russia, insieme a Pakistan, Malesia e Bielorussia, si sono opposte all’inclusione del riferimento all’articolo 51 della Carta delle Nazioni Unite che autorizza l’uso della forza per autodifesa contro un “attacco armato”.
Dopo che la riunione del GGE del 2017 non è riuscita a produrre un consenso, la Cina ha sostenuto una risoluzione russa per creare un nuovo gruppo di lavoro di Stati, noto come Open-Ended Working Group (OEWG), per sviluppare norme informatiche in parallelo con il GGE35. I due gruppi hanno prodotto rapporti in gran parte simili nel 2021, sebbene il rapporto dell’OEWG omettesse il termine “diritto internazionale umanitario”, il corpus normativo che protegge i civili durante i conflitti armati36. In risposta ai commenti presentati dal Comitato internazionale per la Croce Rossa, il presidente dell’OEWG ha riconosciuto che “alcune questioni su come il diritto internazionale si applica all’uso delle TIC [tecnologie dell’informazione e della comunicazione] devono ancora essere completamente chiarite”37. Secondo Segal, come per il rapporto GGE del 2017, l’opposizione all’incorporazione di aiuti umanitari internazionali deriva probabilmente dall’argomentazione secondo cui la sua inclusione normalizzerebbe la militarizzazione del cyberspazio e legittimerebbe gli attacchi informatici38.
In conclusione, Cina e Russia, rimarranno riluttanti a discutere ulteriormente su come il diritto internazionale si applichi nel cyberspazio e preferiranno, invece, spostare le conversazioni sulla necessità di un nuovo trattato che copra le norme informatiche. La dichiarazione congiunta rilasciata dai due Stati durante la visita di Putin nel febbraio 2022, ad esempio, ha sottolineato che i “principi del non uso della forza, del rispetto della sovranità nazionale e dei diritti umani e delle libertà fondamentali e della non ingerenza negli affari interni di altri Stati, come sancito dalla Carta delle Nazioni Unite, sono applicabili allo spazio dell’informazione della Carta ONU e alla sovranità statale sullo spazio dell’informazione”39. Pechino e Mosca hanno anche chiesto il consolidamento delle norme in un trattato vincolante: le due parti “ritengono necessario consolidare gli sforzi della comunità internazionale per sviluppare nuove norme di comportamento responsabile degli Stati, comprese quelle legali, nonché un diritto internazionale universale come strumento che regola le attività degli Stati nel campo delle TIC”40.
Al di fuori del processo delle Nazioni Unite, Washington ha cercato di coinvolgere Pechino in una discussione bilaterale sul conflitto informatico. I funzionari e gli analisti statunitensi temono da tempo che, senza una comprensione condivisa delle soglie, dei segnali e dell’escalation nel cyberspazio, un incidente informatico possa stimolare un conflitto cinetico. Le questioni informatiche sono state discusse durante il dialogo strategico ed economico, che si è riunito otto volte tra il 2009 e il 2016. Inoltre, le due parti hanno concordato un gruppo di lavoro di esperti informatici durante il vertice di settembre 2015 tra i presidenti Xi e Obama, ma quel gruppo si è incontrato solo una volta nel maggio 2016. Xi Jinping e Trump hanno concordato quattro dialoghi, tra cui quello sulle forze dell’ordine e sulla strategia informatica e il dialogo diplomatico e sulla sicurezza. Quest’ultimo si sarebbe riunito nel giugno 2017 e avrebbe discusso questioni di stabilità e standard internazionali; il primo, in particolare, si sarebbe concentrato sul furto della proprietà intellettuale e sulla criminalità.41
La posizione degli Stati sull’applicazione del diritto internazionale
La mancanza di norme pattizie che disciplinino espressamente le azioni degli Stati e di altri attori nel cyberspazio non significa che questa “arena” debba restare senza disciplina. In linea generale sono applicabili le norme di diritto internazionale derivate da trattati e da altre fonti del diritto, in particolare il diritto internazionale consuetudinario. Finora, la posizione secondo cui le norme esistenti del diritto internazionale si applicano al cyberspazio è stata assunta tra l’altro dall’Unione Europea42, dall’Organizzazione del Trattato del Nord Atlantico43, dal Gruppo di esperti governativi delle Nazioni Unite44, da un certo numero di Stati45 (tra cui l’Italia46 e da ultimo la Polonia47) e da gruppi di esperti indipendenti (per tutti vedasi Manuale di Tallin 2.048).
Tuttavia, sono soprattutto tre regole fondamentali che rimangono ancora oggetto di disaccordo a vari livelli tra Stati, professionisti e studiosi. Innanzitutto, il riconoscimento della norma di diritto internazionale della sovranità (che gode del sostegno più ampio), poi della due diligence (che sta raccogliendo un sostegno crescente) ed infine delle contromisure collettive (che continuano ad essere oggetto di incertezza normativa). Come è stato fatto notare da Michael Schmitt, Professore di diritto internazionale presso l’Università di Reading nel Regno Unito, “l’adozione di queste tre regole opererebbe in sinergia per fornire il quadro giuridico ottimale per rispondere – e non solo per scoraggiare – ad operazioni informatiche ostili”49. Dunque, gli Stati ancora riluttanti come gli USA dovrebbero riconoscere pubblicamente:
- che la sovranità è una norma di diritto internazionale applicabile al cyberspazio;
- che gli Stati devono esercitare la Due diligence per porre fine alle operazioni informatiche ostili dal loro territorio;
- che gli Stati possono adottare contromisure collettive.
La sovranità
Dal 2018 è in corso un intenso dibattito sull’esistenza – o meno – di una norma di diritto internazionale che imponga agli Stati di rispettare la sovranità degli altri. Anche se l’UK Foreign, Commonwealth and Development Office e il National Cyber Security Center hanno criticato le operazioni informatiche della Russia del febbraio 2022 per non aver rispettato la sovranità dell’Ucraina50, il Regno Unito nel 2018 ha affermato che nel contesto informatico non esiste la regola della sovranità51, posizione ribadita anche nel 202152.
Tutti gli altri Paesi che da allora si sono occupati direttamente della questione hanno assunto il punto di vista opposto, come Francia53, Germania54, Paesi Bassi55, Italia56, Giappone57, Nuova Zelanda58, Austria59, Repubblica Ceca60, Polonia61, ecc.. Anche la più recente dottrina della NATO caratterizza la sovranità come una norma di diritto internazionale (con la riserva del Regno Unito)62.
Gli stessi USA (probabilmente) ritengono che la sovranità sia un mero principio di diritto internazionale e non crei obblighi giuridici autonomi e separati, ma sia tutelata da altre norme come il divieto dell’uso della forza o il principio di non intervento63. E proprio questa posizione ondivaga degli Stati Uniti (ma anche dell’Australia) “ha minato l’indispensabile scambio che gli Stati dovrebbero avere sui criteri in base ai quali le operazioni informatiche condotte a distanza devono essere giudicate quando si valuta se violano la sovranità dello Stato bersaglio”64.
Volendo mutuare la recente interpretazione polacca, la sovranità può essere definita un principio fondamentale del diritto internazionale, da cui derivano altri diritti e doveri come il principio di non intervento, nonché norme sulla giurisdizione e sulle immunità65. Facendo riferimento al caso Island of Palmas66, la Polonia vede, dunque, il nucleo della sovranità nell’indipendenza, nell’uguaglianza e nell’inviolabilità dell’integrità territoriale e dell’indipendenza politica di uno Stato. Di conseguenza, gli Stati esercitano un’autorità suprema sul proprio territorio, che comprende persone e oggetti, come le infrastrutture della tecnologia dell’informazione e della comunicazione (TIC). Da questa suprema autorità deriva anche il diritto di proteggere le persone e le cose all’interno del territorio di uno Stato.
Nel contesto non informatico, i casi della Corte internazionale di giustizia come Corfu Channel67, Certain Activities Carried Out by Nicaragua in the Border Area (Costa Rica v. Nicaragua),68 e Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. United States of America)69 nonché altre fonti di diritto internazionale70 forniscono esempi di violazione della sovranità di uno Stato senza riferimento ad altre specifiche norme di diritto internazionale. Mostrano, in sostanza, che la violazione della sovranità equivale alla commissione di un atto internazionalmente illecito con conseguenze legali. Per l’esperta Harriet Moynihan, membro associato del programma di diritto internazionale presso Chatham House “non c’è motivo per cui il principio di sovranità non debba applicarsi nel contesto informatico come si applica in ogni altro dominio dell’attività dello Stato, come riconosciuto dal gruppo di esperti governativi delle Nazioni Unite nei rapporti di consenso del 201371 e nel 201572”73.
In termini generali, la sovranità può essere violata in due modi. Entrambi richiedono che l’operazione informatica condotta a distanza sia imputabile ad un altro Stato, ad esempio perché l’hanno condotta suoi organi, oppure perché è stata realizzata da soggetti non statali operanti su istruzione o controllo effettivo di un altro Stato (Artt.. 4 e 8 Articles on State Responsibility74).
“In primo luogo, l’attività informatica che provoca effetti sul territorio di un altro Stato può violare la sovranità ( Manuela di Tallinn 2.0, Regola 475). Questo indipendentemente dal fatto che il danno riguardi un’infrastruttura informatica privata o governativa. La questione irrisolta è quali operazioni informatiche lo fanno, al di là di casi ovvi come quelli che danneggiano fisicamente l’infrastruttura informatica mirata o i sistemi che si basano su di essa […] In secondo luogo, la sovranità può essere violata quando un’operazione informatica attribuibile a uno Stato interferisce – o usurpa – con le funzioni intrinsecamente governative di un altro Stato (Manuale di Tallinn 2.0, Regola 476)77.
Riconoscere la regola internazionale della sovranità è essenziale per scoraggiare e rispondere alle operazioni informatiche ostili. Nonostante la sua vaghezza, è la norma che ha più probabilità di essere violata da operazioni informatiche condotte a distanza78.
Due diligence
Applicata nel contesto informatico, questa norma richiede che uno Stato adotti misure concrete per porre fine alle operazioni informatiche ostili in corso ed organizzate dal suo territorio (o in remoto attraverso un’infrastruttura informatica presente su di esso) che stanno causando gravi conseguenze negative per il diritto di un altro Stato. Il gruppo di esperti internazionale del Manuale di Tallinn 2.0 ha concluso che questa regola esiste nel cyberspazio e la maggior parte degli Stati che si sono espressi direttamente sulla questione concordano sulla sua applicabilità. Tuttavia, i rapporti del Gruppo di esperti governativi (GGE) delle Nazioni Unite del 2013, 2015 e 202179 hanno definito la Due diligence una cosiddetta “norma volontaria e non vincolante di comportamento statale responsabile” piuttosto che una norma vincolante di diritto internazionale.
Come osservavano alcuni studiosi, però, la tesi preferibile è che si tratti di una norma di diritto internazionale la cui portata non impone agli Stati di intraprendere azioni preventive, come il monitoraggio del proprio cyberspazio e si applica solo quando l’operazione informatica ostile implica un interesse legale internazionale dello Stato bersaglio, come il rispetto della sua sovranità e, anche in tal caso, solo quando le conseguenze sono sostanziali80.
Questa regola ha anche vantaggi: “obbliga gli Stati ad adottare misure fattibili per garantire che non stiano consapevolmente consentendo al proprio territorio di fungere da base per operazioni informatiche ostili ed apre la porta a contromisure contro coloro che non lo fanno”81.
Contromisure collettive
Oltre alla sovranità e alla due diligence, una terza norma di diritto internazionale potrebbe fornire la base giuridica per un’efficace deterrenza e, in caso di fallimento, per rispondere alle operazioni informatiche ostili82. Anche se entrambe le regole fossero accettate, molti Stati presi di mira non avrebbero i mezzi pratici per rispondere in modo efficace.
Ad esempio, potrebbero non avere i mezzi per condurre solide operazioni informatiche oltre i loro confini o non avere la capacità di esercitare pressioni su uno Stato responsabile affinché desista dalle sue operazioni o interrompa quelle dal suo territorio con altre contromisure legali al di fuori del dominio informatico. Ciò pone la questione se altri Stati possano venire in loro aiuto nel porre in essere contromisure, ma questo problema resta ancora irrisolto a livello internazionale. Pochi Paesi, infatti, hanno affrontato l’argomento apertamente, ma se ne sta discutendo in contesti regionali come la NATO83. Per taluni, però, le contromisure informatiche collettive per conto degli Stati lesi e, per estensione, il sostegno alle contromisure dello Stato leso, sarebbero lecite84. Il cyberspazio, si afferma infatti, è un dominio interdipendente, in cui le operazioni informatiche in un singolo Paese possono avere implicazioni globali. “Un’interpretazione della legge che precluda l’azione collettiva di fronte a operazioni informatiche illecite lascerebbe di fatto molti Stati indifesi di fronte a operazioni informatiche ostili85.
Definizione di guerra informatica e spionaggio informatico
Accademici, giornalisti e membri del pubblico usano spesso il termine “guerra informatica” per descrivere come Stati come la Cina e la Russia utilizzano i computer e le reti di computer per causare danni, lanciare attacchi informatici o integrare forme convenzionali di guerra intrapresa contro un avversario.86
Un “attacco informatico” può essere definito “un attacco, effettuato tramite il cyberspazio, che prende di mira l’utilizzo del cyberspazio da parte di un’organizzazione allo scopo di interrompere, disabilitare, distruggere o controllare maliziosamente un ambiente informatico o un’infrastruttura”87. Non esiste inoltre una definizione ampiamente accettata di “guerra informatica”, ma molte definizioni enfatizzano l’interruzione o la distruzione delle risorse militari, delle infrastrutture governative o civili di un avversario per raggiungere scopi strategici88.
Alcuni analisti distinguono ulteriormente tra “guerra informatica operativa, “che si riferisce agli attacchi informatici in tempo di guerra contro obiettivi militari per degradare i mezzi di combattimento di un avversario” e “guerra informatica strategica” o attacchi informatici lanciati contro un avversario e la sua società per influenzarne la volontà, il comportamento e le scelte politiche in tempo di pace o in tempo di guerra89.
I militari tendono a usare il termine “guerra dell’informazione”, piuttosto che guerra cibernetica, per descrivere come reali capacità del cyberspazio vengono utilizzate in concerto con altre “capacità relative alle informazioni” per raggiungere obiettivi militari.90
Lo spionaggio informatico
Al contrario, lo spionaggio informatico è l’atto di ottenere l’accesso a dati da un sistema informatico a fini di raccolta di intelligence senza l’autorizzazione del proprietario di quel sistema91. Esso può sorvegliare clandestinamente le reti di un’organizzazione ed esfiltrare i dati per guadagno economico, vantaggio competitivo, ragioni politiche o militari, obiettivi accademici, ma anche appaltatori indipendenti (o “hacker a pagamento”) possono partecipare allo spionaggio informatico sponsorizzato dallo Stato92. Il cyberespionaggio elimina alcuni dei rischi associati alle tecniche di spionaggio tradizionali e consente di acquisire una maggiore quantità di informazioni che possono essere raccolte in un dato momento93.
Sul piano del diritto internazionale, la norma contro lo spionaggio informatico economico non è universalmente accettata. Si ritiene che lo spionaggio, in quanto tale, non viola la sovranità dello stato bersaglio (vedi Manuale di Tallinn, Regola 3294).
Su tale aspetto, nel 2018 gli USA, tramite il Pentagono, hanno adottato una strategia informatica più orientata all’offesa. Descrivendo un ambiente competitivo in cui il Cyber Command si impegnerebbe costantemente con gli avversari, la strategia afferma che gli operatori statunitensi “interromperanno o fermeranno l’attività informatica dannosa alla fonte, comprese le attività che scendono al di sotto del livello di un conflitto armato”.95 La maggior parte delle informazioni pubbliche su come è stato implementato il coinvolgimento persistente riguardava l’interruzione delle operazioni di influenza russa, ma l’ex consigliere per la sicurezza nazionale John Bolton ha suggerito che anche il Cyber Command stava avviando operazioni contro gli hacker cinesi.96
Carattere giuridico delle operazioni informatiche
Nell’attuale quadro giuridico, talune operazioni informatiche sono qualificate dal diritto internazionale che ne delinea anche le opzioni di risposta da parte degli Stati presi di mira.
Violazioni di sovranità
La maggior parte degli Stati sostiene che le operazioni informatiche potrebbero violare la sovranità; l’interferenza con le funzioni intrinsecamente governative (inclusa la difesa nazionale) verrebbe probabilmente considerata una tale violazione. Il Regno Unito non riconosce una regola di sovranità nel contesto informatico e gli Stati Uniti non hanno preso una posizione definitiva sulla questione. Tuttavia, entrambi potrebbero muoversi verso la visione prevalente nelle recenti dichiarazioni.
Non intervento
Le operazioni informatiche potrebbero violare il divieto di intervento negli affari interni o esterni dello Stato preso di mira se l’operazione informatica comporta (a) coercizione (b) nel domaine réservé dello Stato preso di mira. Le operazioni che si limitano a influenzare il processo decisionale non sono sufficienti.
Uso della forza
Le operazioni informatiche che causano danni fisici significativi o la morte costituiscono usi illegali della forza ai sensi dell’articolo 2 comma 4 della Carta delle Nazioni Unite e del diritto internazionale consuetudinario.
Ruolo degli attori non statali
Secondo la legge sulla responsabilità statale, le operazioni condotte da gruppi non statali sono completamente attribuibili allo Stato agente se poste in essere secondo le istruzioni, la direzione o il controllo di quest’ultimo.
Applicazione del diritto internazionale umanitario
La forza cinetica o cibernetica che causa danni fisici significativi o la morte nello Stato bersaglio si qualifica come conflitto armato internazionale. Il diritto umanitario internazionale (ad esempio, le Convenzioni di Ginevra) regolerebbe le operazioni informatiche e cinetiche in un tale conflitto.
Opzioni di risposta
Legge di autodifesa
La NATO ha ripetutamente confermato che il diritto all’autodifesa in caso di attacco armato si applica nel cyberspazio. Uno Stato vittima può rispondere per legittima difesa se un attore non statale conduce un attacco informatico armato per conto o con il coinvolgimento sostanziale di uno Stato.
Stati Uniti, Regno Unito e Germania ritengono che uno Stato vittima possa rispondere per autodifesa a operazioni informatiche di attori non statali che raggiungono il livello di gravità di un attacco armato.
Gli USA adottano una posizione anomala secondo cui qualsiasi uso della forza fa scattare il diritto all’autodifesa e non deve raggiungere una scala o un effetto superiore per costituire un attacco armato. Ciò detto, le azioni intraprese per autodifesa dovrebbero comunque essere necessarie e proporzionate, secondo il punto di vista di tutti gli Stati (compresi gli Stati Uniti) sulla legge.
Giustificazione della necessità
Uno Stato vittima può intraprendere un’azione altrimenti illegale in risposta a operazioni informatiche sulla base della giustificazione della necessità se quest’ultimo non è in grado di stabilire una connessione tra un attore non statale incriminato e lo Stato agente o non può sostenere che l’azione di questi viola il diritto internazionale.
Contromisure
Uno Stato vittima può rispondere con contromisure, atti o omissioni progettati per indurre lo Stato agente a desistere da una condotta illegale ai sensi del diritto internazionale.
È in corso un dibattito sulla possibilità che uno Stato assista un altro nell’effettuare contromisure informatiche o addirittura conduca le contromisure per conto dello Stato vittima (contromisure collettive).
Ritorsione
In risposta alle operazioni informatiche, lo Stato può impegnarsi unilateralmente o collettivamente in atti ostili contro lo Stato agente che non violano una norma di diritto internazionale come l’imposizione di sanzioni.
Note e bibliografia
1U.S. Office of the Director of National Intelligence, “Cyber Operations Enabling Exspansive Digital Authoritarianism”, National Intelligence Council, 7.4.2020, declassificato il 5.10.2022, https://www.odni.gov/files/ODNI/documents/assessments/NICM-Declassified-Cyber-Operations-Enabling-Expansive-Digital-Authoritarianism-20200407–2022.pdf
2Ibidem.
3Xi Jinping, “Speech at the National Cybersecurity and Informationization Work Conference” del 20.4.2018, Excerpts from Xi Jinping’s Discussions on Strengthening the Country through the Internet, Central Literature Publishing House, 2021, pp. 41–42; Rogier Creemers e AAVV, “Translation: Xi Jinping’s April 20 Speech at the National Cybersecurity and Informatization Work Conference”, DigiChina, Stanford University, 30.4.2018, https://digichina.stanford.edu/work/translation-xi-jinpings-april-20-speech-at-the-national-cybersecurity-and-informatization-work-conference/; Rogier Creemers, “Xi Jinping’s Speech at the National Cybersecurity and Informatization Work Conference”, DigiChina, Stanford University, 22.4.2018, https://digichina.stanford.edu/work/xi-jinpings-speech-at-the-national-cybersecurity-and-informatization-work-conference/.
4Julien Nocetti, “Cyber Power”, Routledge Handbook of Russian Foreign Policy edited by Andrei Tsygankov, 6.4.2018, https://www.taylorfrancis.com/chapters/edit/10.4324/9781315536934-13/cyber-power-julien-nocetti; U.S. Office of the Director of National Intelligence, “Cyber Operations Enabling Exspansive Digital Authoritarianism”, cit.
5Microsoft, “HAFNIUM Targeting Exchange Servers with 0-Day Exploits”, 2.3.2021, https://www.microsoft.com/en-us/security/blog/2021/03/02/hafnium-targeting-exchange-servers/.
6Matthieu Faou, Mathieu Tartare e Thomas Dupuy, “Exchange Servers under Siege from at Least 10 APT Groups” We Live Security by ESET, 10.3.2021, https://www.eset.com/fileadmin/ESET/CZ/Threat-report/eset_threat_report_t12021.pdf.
7Brian Krebs, “At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software” Krebs on Security, 5.3.2021, https://krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software/.
8CrowdStrike, “2022 Global Threat Report”, 2022, pp 16–17, https://go.crowdstrike.com/global-threat-report-2022.html?utm_campaign=brand&utm_content=crwd-treq-en-x-tct-it-psp-x-x-brnd-x_x_x_x-high&utm_medium=sem&utm_source=bing&utm_term=crowdstrike%20global%20threat%20report&msclkid=74bb376368a91dcdd7b454b13d342b1e.
9U.S. Senate Select Committee on Intelligence, “Russian Targeting of Election Infrastructure During the 2016 Election: Summary of Initial Findings and Recommendations”, 8.5.2018 https://www.intelligence.senate.gov/publications/russia-inquiry; U.S. Senate Select Committee on Intelligence, report “RUSSIAN ACTIVE MEASURES CAMPAIGNS AND INTERFERENCE IN THE 2016 U.S. ELECTION”, 2020, https://www.intelligence.senate.gov/publications/report-select-committee-intelligence-united-states-senate-russian-active-measures.
10The White House, Background Press Call By Senior Administration Officials On President Biden’s Call With President Putin of Russia, 9.7.2021, https://www.whitehouse.gov/briefing-room/speeches-remarks/2021/07/09/background-press-call-by-senior-administration-officials-on-president-bidens-call-with-president-putin-of-russia/
11Michael Schmitt, “Top Expert Backgrounder: Russia’s SolarWinds Operation and International Law”, Just Security, 21.12.2021, https://www.justsecurity.org/73946/russias-solarwinds-operation-and-international-law/.
12Charlie Osborne, “Colonial Pipeline ransomware attack: Everything you need to know”, ZDNET, https://www.zdnet.com/article/fewer-ransomware-victims-are-paying-up-but-theres-a-catch/.
13Kellen Browning, “Hundreds of companies, from Sweden to the United States, affected by cyber attacks”, The New York Times, 2.7.2021, https://www.nytimes.com/2021/07/02/technology/cyberattack-businesses-ransom.html.
14Alana Wise, The Republican National Committee Was Targeted By Hackers, NPR, 7.7.2021, https://www.npr.org/2021/07/06/1013545363/russians-tried-to-hack-republican-national-committee.
15David Sanger, Nicole Perloth e Julian Barnes, “As Understanding of Russian Hacking Grows, So Does Alarm”, The New York Times, 18.1.2021, https://www.nytimes.com/2021/01/02/us/politics/russian-hacking-government.html.
16Digital and Cyberspace Policy staff, Cyber Operations Tracker, Council on Foreign Relations, 2023 https://www.cfr.org/cyber-operations/.
17Ibidem; vedi anche Strategic Technologies Program del CSIS staff, “Timeline records significant cyber incidents since 2006”, CSIS, 2023, https://www.csis.org/programs/strategic-technologies-program/significant-cyber-incidents.
18Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, U.S. China Economic Security Review Commission, 17.2.2022, Adam Segal Testimony (uscc.gov).
19Ibidem.
20Harold Hongju Koh, “International Law in Cyberspace”, U.S. Department of State, 18.9.2012, https://2009-2017.state.gov/s/l/releases/remarks/197924.htlm.
21Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit.
22Cyber Law Toolkit , “Posizione nazionale della Repubblica popolare cinese (2021)”, https://cyberlaw.ccdcoe.org/wiki/National_position_of_the_People%27s_Republic_of_China_(2021).
23Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit.
24Nikolay Bozhkov, “China’s Cyber Diplomacy: A Primer”, EU Cyber Direct, 9.3.2020, pp. 36–37, https://eucyberdirect.eu/research/chinas-cyber-diplomacy-a-primer.
25United Nations site, “United Nations Charter, Chapter I: Purposes and Principles”, https://www.un.org/en/about-us/un-charter/chapter-1.
26Ibidem. Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit.
27Ministero degli Esteri della Repubblica Popolare di Cina, “International Code of Conduct for Information Security”, 12.9.2011, https://www.fmprc.gov.cn/mfa_eng/wjdt_665385/2649_665393/201109/t20110913_679318.html.
28U.N. General Assembly, “Letter dated 9 January 2015 from the Permanent Representatives of China, Kazakhstan, Kyrgyzstan, the Russian Federation, Tajikistan and Uzbekistan to the United Nations addressed to the Secretary-General”, U.N. Doc. A/69/273 (2015), https://digitallibrary.un.org/record/786846.
29Nikolay Bozhkov, “China’s Cyber Diplomacy: A Primer”, cit.
30Ibidem.
31Adam Segal, “China’s Vision for Cyber Sovereignty and the Global Governance of Cyberspace” in Nadège Rolland, ed., “An Emerging China-Centric Order: China’s Vision for a New World Order in Practice”, National Bureau of Asian Research, Rapporto speciale n. 87, 25.8.2020, https://www.nbr.org/publication/chinas-vision-for-cyber-sovereignty-and-the-global-governance-of-cyberspace/.
32Ibidem.
33Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit.
34Ibidem; UN Group of Governmental Experts, “Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security,” A/70/174, 22.7.2015, https://digitallibrary.un.org/record/799853.
35Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit; Nikolay Bozhkov, “China’s Cyber Diplomacy: A Primer”, cit.
36Adina Ponta, “Responsible State Behavior in Cyberspace: Two New Reports from Parallel UN Processes”, American Society of International Law, Volume 25, Issue 14, 30.7.2021, https://www.asil.org/insights/volume/25/issue/14; Dan Efrony, “The UN Cyber Groups, GGE and OEWG—A Consensus Is Optimal, but Time Is of the Essence”, Just Security, 16.7.2021, https://www.justsecurity.org/77480/the-un-cyber-groups-gge-and-oewg-a-consensus-is-optimal-but-time-is-of-the-essence/.
37United Nations Open-Ended Working Group, “Chair’s Summary, 10.3.2021, https://www.un.org/disarmament/open-ended-working-group/; International Committee of the Red Cross, Comments on the “Substantive Report [First Draft] of the ‘Open-Ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security”, 3.3.2021, https://www.un.org/disarmament/open-ended-working-group/.
38Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit.
39Ibidem.
40Joint Statement of the Russian Federation and the People’s Republic of China on the International Relations Entering a New Era and the Global Sustainable Development, 4.2.2022, http://en.kremlin.ru/supplement/5770?s=08.
41Secretary of State Rex Tillerson and Secretary of Defense Jim Mattis at a Joint Press Availability, U.S. State Department, 21.6.2017, https://2017-2021.state.gov/secretary-of-state-rex-tillerson-and-secretary-of-defense-jim-mattis-at-a-joint-press-availability/index.html; Department of Giustice, “First U.S.-China Law Enforcement and Cybersecurity Dialogue: Summary of Outcomes, Department of Justice”, 6.10.2017, Primo dialogo USA-Cina sull’applicazione della legge e sulla sicurezza informatica | OPA | Dipartimento di Giustizia (justice.gov).
42Council of the European Union, “Council conclusions on the development of the European Union’s cyber
posture”, 23.5.2022, https://www.consilium.europa.eu/media/56358/st09364-en22.pdf.
43NATO STANDARDIZATION OFFICE, “Allied Joint Doctrine forCyberspace Operations”, Allied Joint Publication -3.20, NATO, gennaio 2020, https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/899678/doctrine_nato_cyberspace_operations_ajp_3_20_1_.pdf.
44Open-Ended Working Group (OEWG), https://www.un.org/disarmament/open-ended-working-group/
45Cyber Law Toolkit, Posizioni nazionali, https://cyberlaw.ccdcoe.org/wiki/Applicability_of_international_law#Australia_(2020)
46Ministero degli Affari Esteri, Presidenza del Consiglio dei Ministri e Ministero della Difesa, “ITALIAN POSITION PAPER ON ‘INTERNATIONAL LAW AND CYBERSPACE’”, novembre 2021, https://www.esteri.it/MAE/resource/doc/2021/11/italian_position_paper_on_international_law_and_cyberspace.pdf.
47Republic of Poland, “The Republic of Poland’s position on the application of international law in cyberspace”, 29.12.2022, https://www.justsecurity.org/84799/polands-position-on-international-law-and-cyber-operations-sovereignty-and-third-party-countermeasures/.
48Michael N. Schmitt, “Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations”, Cambridge University Press, febbraio 2017, https://www.cambridge.org/core/books/tallinn-manual-20-on-the-international-law-applicable-to-cyber-operations/E4FFD83EA790D7C4C3C28FC9CA2FB6C9.
49Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, Just Security, 13.7.2021, https://www.justsecurity.org/77402/three-international-law-rules-for-responding-effectively-to-hostile-cyber-operations/.
50UK Foreign, Commonwealth and Development Office e National Cyber Security Center, UK assesses Russian involvement in cyber attacks on Ukraine, GOV.UK, 18.2.2022, https://www.gov.uk/government/news/uk-assess-russian-involvement-in-cyber-attacks-on-ukraine.
51Attorney General Jeremy Wright QC MP, “Cyber and International Law in the 21st Century”, UK, 23.5.2018, https://www.gov.uk/government/speeches/cyber-and-international-law-in-the-21st-century.
52General Assembly of the United Nations A /76/136, “Official compendium of voluntary national contributions on
the subject of how international law applies to the use of information and communications technologies by States submitted by participating governmental experts in the Group of Governmental Experts on Advancing Responsible State Behaviour in Cyberspace in the Context of International Security established pursuant to General Assembly
resolution 73/266”, pp. 106, 13.7.2021, https://ccdcoe.org/uploads/2018/10/UN_-Official-compendium-of-national-contributions-on-how-international-law-applies-to-use-of-ICT-by-States_A-76-136-EN.pdf.
53Ministero degli eserciti francese, “DROIT INTERNATIONAL APPLIQUÉ AUX OPÉRATIONS
DANS LE CYBERESPACE”, settembre 2019, https://www.justsecurity.org/wp-content/uploads/2019/09/droit-internat-appliqu%C3%A9-aux-op%C3%A9rations-cyberespace-france.pdf.
54Speech by Ambassador Norbert Riedel, Commissioner for International Cyber Policy, “Cyber Security as a Dimension of Security Policy” Speech by Ambassador Norbert Riedel, Commissioner for International Cyber Policy, Federal Foreign Office, Berlin, at Chatham House, London, 18.5.2015, https://www.auswaertiges-amt.de/en/newsroom/news/150518-ca-b-chatham-house/271832.
55Ministro degli Affari esteri, “Lettera al parlamento sull’ordinamento giuridico internazionale nel cyberspazio”, Governo dei Paesi Bassi, 5.7.2019, https://www.government.nl/ministries/ministry-of-foreign-affairs/documents/parliamentary-documents/2019/09/26/letter-to-the-parliament-on-the-international-legal-order-in-cyberspace.
56Ministero degli Affari Esteri, Presidenza del Consiglio dei Ministri e Ministero della Difesa, “ITALIAN POSITION PAPER ON ‘INTERNATIONAL LAW AND CYBERSPACE’”, cit.
57Ministry of Foreign Affairs of Japan, “Basic Position of the Government of Japan on International Law Applicable to Cyber Operations”, Government of Japan, 28.5.2021, https://www.mofa.go.jp/files/100200935.pdf.
58Ministero degli affari esteri e del commercio (MFAT), “The Application of International Law to
State Activity in Cyberspace”, 1.12.2020, https://dpmc.govt.nz/sites/default/files/2020-12/The%20Application%20of%20International%20Law%20to%20State%20Activity%20in%20Cyberspace.pdf.
59Przemyslaw Roguski, “The Importance of New Statements on Sovereignty in Cyberspace by Austria, the Czech Republic and United States”, Just Security, 11.5.2020, https://www.justsecurity.org/70108/the-importance-of-new-statements-on-sovereignty-in-cyberspace-by-austria-the-czech-republic-and-united-states/.
60Ibidem.
61Republic of Poland, “The Republic of Poland’s position on the application of international law in cyberspace”, 29.12.2022, file:///C:/Users/studi/Downloads/The_Republic_of_Poland%E2%80%99s_position-1.pdf.
62NATO, “Allied Joint Doctrine forCyberspace Operations”, cit.
63Remarks By Hon. Paul C. Ney, Jr, DOD General Counsel Remarks at U.S. Cyber Command Legal Conference, Dipartimento della Difesa degli Stati Uniti, 2.3.2020, https://www.defense.gov/News/Speeches/Speech/Article/2099378/dod-general-counsel-remarks-at-us-cyber-command-legal-conference/.
64Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, cit.
65Republic of Poland, “The Republic of Poland’s position on the application of international law in cyberspace”, cit.
66REPORTS OF INTERNATIONAL ARBITRAL AWARDS, “Island of Palmas case (Netherlands, USA)”, United Nations, 4.4.1928, https://legal.un.org/riaa/cases/vol_II/829-871.pdf.
67 https://www.icj-cij.org/en/case/1.
68https://www.icj-cij.org/en/case/150.
69https://www.icj-cij.org/en/case/70/judgments.
70Michael N. Schmitt e Liis Vihul, “Respect for Sovereignty in Cyberspace”, Texas Law Review, Vol. 95:1639, pp. 1639, 31.5.2018, https://texaslawreview.org/wp-content/uploads/2017/11/Schmitt.Vihul_.pdf.
71Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the
Context of International Security, “Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security”, General Assembly of the United Nations, 24.6.2013, https://documents-dds-ny.un.org/doc/UNDOC/GEN/N13/371/66/PDF/N1337166.pdf?OpenElement.
72Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, “Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security A/70/174”, 25.7.2015, https://documents-dds-ny.un.org/doc/UNDOC/GEN/N15/228/35/PDF/N1522835.pdf?OpenElement.
73Harriet Moynihan, “The Application of International Law to Cyberspace: Sovereignty and Non-intervention”, Just Security, 13.12.2019, https://www.justsecurity.org/67723/the-application-of-international-law-to-cyberspace-sovereignty-and-non-intervention/.
74International Law Commission, “Draw articles on Responsibility of States for Internationally Wrongful Acts, with commentaries 2001”, Yearbook of the International Law Commission, 2001, vol. II, Part Two, 2001, https://legal.un.org/ilc/texts/instruments/english/commentaries/9_6_2001.pdf.
75Michael N. Schmitt, “Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations”, Cambridge University Press, febbraio 2017, cit.
76Michael N. Schmitt, “Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations”, Cambridge University Press, febbraio 2017, cit.
77Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, cit.
78Ibidem.
79Group of Governmental Experts on Advancing Responsible State Behaviour in Cyberspace in the Context of International Security” (GGE), “Report of the Group of Governmental Experts on Advancing responsible State
behaviour in cyberspace in the context of international security”, General Assembly of the United Nations, 28.5.2021, https://front.un-arm.org/wp-content/uploads/2021/06/final-report-2019-2021-gge-1-advance-copy.pdf.
80Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, cit., Michael N. Schmitt, “In Defense of Due Diligence in Cyberspace”, The Yale Law Journal Forum, 22.6.2015, https://www.yalelawjournal.org/pdf/Schmitt_PDF_g9pv96jc.pdf; Eric Talbot Jensen e Sean Watts, “Cyber Due Diligence”, Oklahoma Law Review, Volume 73, Numero 4, 2021, https://digitalcommons.law.ou.edu/cgi/viewcontent.cgi?article=2215&context=olr.
81Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, cit.,
82Ibidem.
83Michael Schmitt, “International Law at NATO’s Brussels Summit”, EJIL:Talk! Blog of the European Journal of International Law, 30.6.2021, https://www.ejiltalk.org/international-law-at-natos-brussels-summit/.
84Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, cit.,
85Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, cit.,
86Jordan Robertson e Laurence, “Cyberwar: How Nations Attack without Bullets or Bombs”, Bloomberg, 12.5.2018, https://www.bloomberg.com/news/articles/2018-05-11/cyberwar-how-nations-attack-without-bullets-or-bombs-quicktake.
87U.S. National Institute of Standards and Technology, Computer Security Resource Center, Cyberattack. https://www.nist.gov/.
88Andy Greenberg, “The WIRED Guide to Cyberwar”, WIRED, 23.8.2019, https://www.wired.com/story/cyberwar-guide/.
89U.S. Department of the Army, “The Conduct of Information Operations (ATP 3-13.1)”, 4.10.2018, 1–1, https://irp.fas.org/doddir/army/atp3-13-1.pdf.
90Kurt Baker, “What Is Cyber Espionage?” CrowdStrike, 1.6.2022, https://www.crowdstrike.com/cybersecurity-101/cyberattacks/cyber-espionage/
91Eric Heginbotham e AAVV, “The U.S.-China Military Scorecard: Forces, Geography, and the Evolving Balance of Power, 1996–2017”, RAND Corporation, 2015, https://www.rand.org/pubs/research_reports/RR392.html.
92U.S. National Counterintelligence and Security Center, “Foreign Economic Espionage in Cyberspace”, 2018, https://www.dni.gov/files/NCSC/documents/news/20180724-economic-espionage-pub.pdf.
93Lindsay, Jon R., Tai Ming Cheung e Derek S. Reveron (eds), “China and Cybersecurity: Espionage, Strategy, and Politics in the Digital Domain” New York, 2015; online edn, Oxford Academic, 23 Apr. 2015 https://doi.org/10.1093/acprof:oso/9780190201265.001.0001, https://academic.oup.com/book/25744.
94Michael N. Schmitt, “Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations”, Cambridge University Press, febbraio 2017, cit.
95Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit.
96Ibidem.