Quando un cyberattacco è un crimine di guerra?

Il 24 febbraio, il giorno in cui la Russia ha iniziato l’invasione dell’Ucraina, un cyberattacco contro il servizio internet satellitare KA-SAT ha messo fuori uso le comunicazioni dell’esercito ucraino. L’attacco, che le autorità statunitensi hanno attribuitoCollegamento esterno all’agenzia di spionaggio militare russa, ha interessato anche altri Paesi europei, lasciando migliaia di persone senza accesso a internet. Inoltre, in Germania circa 2’000 turbine eoliche sono finite nel mirino degli hacker russi.

Un giorno dopo, una dogana sulla frontiera tra l’Ucraina e la Romania è stata colpita da un malware, un cosiddetto software maligno, che ha rallentato il processo di registrazione delle persone in fuga. Finora non è stato possibile identificare l’autore dell’attacco.

Sono due esempi dei 35 attacchi informatici contro infrastrutture vitali e civili in Ucraina registrate dal CyberPeace InstituteCollegamento esterno, una ONG con sede a Ginevra. Bruno Halopeau, direttore tecnologico e capo dell’analisi informatica dell’organizzazione, spiega che la maggior parte degli attacchi ha interessato obiettivi militari, istituzioni pubbliche, mezzi di comunicazione, ricordando che anche i civili, intenzionalmente o meno, sono stati colpiti.

Secondo il diritto internazionale umanitario (DIU), anche i cyberattacchi possono essere considerati dei crimini di guerra. “Monitoriamo la situazione e raccogliamo prove per riuscire a chiarire ciò che è successo se viene aperta un’indagine”, dice Halopeau. Sulla sua pagina web, l’ONG tiene un elenco e descrive i cyberattacchi. Inoltre illustra le conseguenze per la società e indica chi potrebbe essere l’autore.

“Pubblichiamo online solo una minima parte delle informazioni che abbiamo raccolto in vista di un procedimento legale”, ricorda Halopeau. Uno degli obiettivi dell’istituto è controllare se i Paesi rispettano i trattati internazionali che hanno firmato e individuare le lacune legislative.

Il diritto di guerra nell’era digitale

Il diritto internazionale umanitario, meglio conosciuto come diritto di guerra, definisce i limiti sulla conduzione della guerra e cerca di proteggere i civili, il personale medico, i soldati feriti e i prigionieri di guerra.

È vietato prendere di mira, in maniera deliberata, i civili, così com’è proibito fare uso di armi che oltre ad obiettivi militari possano colpire anche strutture civili, quali gli ospedali. Inoltre è vietato bombardare aree densamente popolate. Nel cyberspazio, i confini sono più fragili e poco definiti.

Halopeau dice che è molto difficile progettare un malware che colpisce in maniera precisa e puntuale un sistema specifico. L’attacco al servizio internet KA-SAT lo dimostra, visto che ha colpito una pletora di sistemi.

La guerra tra la Russa e l’Ucraina, che si combatte anche nel cyberspazio, sta sfumando le differenze tra civili e soldati. Il 26 febbraio, il governo ucraino ha invitatoCollegamento esterno gli hacker del mondo a unirsi all’esercito informatico e a lanciare degli attacchi contro obiettivi russi. Nei primi giorni del conflitto, il collettivo globale di hacker Anonymous ha dichiaratoCollegamento esterno che stava conducendo una cyberguerra contro Mosca.

Halopeau sostiene che molte e molti combattenti informatici non sanno probabilmente quali implicazioni ha da un punto di vista del diritto internazionale umanitario la loro partecipazione al conflitto.

“Prendendo parte attivamente al conflitto, queste persone possono inconsapevolmente perdere il loro statuto di civili ed essere considerati dei combattenti. Potrebbero subire delle ritorsioni da parte dello Stato che attaccano ed essere chiamati a rispondere delle loro azioni dopo la guerra”, dice Halopeau.

Guardiano del diritto internazionale umanitario

Il Comitato internazionale della Croce Rossa (CICR), in qualità di guardiano del DIU, segue con molta attenzione gli ultimi sviluppi della guerra, ricordando ai Paesi quali sono le regole. Oltre a ciò valuta se serve un adeguamento delle leggi vigenti.

“Notiamo un aumento delle operazioni cibernetiche nei conflitti armati”, dice Tilman Rodenhäuser, consulente legale del CICR. “Uno dei ruoli chiave del CICR è sensibilizzare sulle conseguenze di simili azioni per le persone civili”.

Il diritto internazionale umanitario risale a un’epoca in cui i cyberattacchi non esistevano ancora. Ma queste regole sono ancora al passo con i tempi? “Non possiamo creare ogni volta regole nuove per i conflitti armati, adeguandole allo sviluppo tecnologico”, risponde Rodenhäuser.

Ma ci sono alcuni elementi del DIU che lasciano spazio alle interpretazioni. Uno degli obiettivi principali, che è rimasto invariato negli anni, è la protezione della popolazione civile. Inoltre, le informazioni sui civili – intese come documenti confidenziali conservati in archivi fisici – non possono essere distrutti o danneggiati. Ma che cosa dice la legge per quei dati memorizzati online?

“Il diritto internazionale umanitario non menziona esplicitamente la protezione dei dati”, spiega Rodenhäuser, aggiungendo che gli esperti, le esperte e gli Stati hanno opinioni diverse su come il DIU debba essere applicato in questi casi. Per il CICR è importante che i Paesi interpretino le leggi vigenti in modo tale che la popolazione e le infrastrutture civili godano dello stesso grado di protezione che avevano in passato. E che le armi cibernetiche siano soggette agli stessi limiti di quelle tradizionali usate sul campo.

“Se gli Stati decidessero che è possibile danneggiare e distruggere i dati durante un conflitto senza rischiare alcuna conseguenza legale, beh, allora dovremo valutare se non definire nuove regole poiché si tratta davvero di una questione umanitaria”, dice Rodenhäuser.

Le regole del diritto internazionale sono negoziate dagli Stati. Una volta che si trova un accordo su un trattato, questo deve essere firmato e ratificato. Si tratta di un processo lungo e complicato, soprattutto se si considera che le attuali regole del diritto internazionale sono vincolanti praticamente per tutti gli Stati.

“È fondamentale che queste regole concordate siano rispettate anche per quanto riguarda le operazioni cibernetiche poiché la maggior parte di ciò che consideriamo una minaccia per i civili viene in realtà già contemplata dalle norme attuali”, spiega Rodenhäuser.

La posizione della comunità internazionale

Negli ultimi due decenni, molte discussioni multilaterali presso le Nazioni Unite si sono concentrate sull’applicazione al cyberspazio del diritto internazionale, anche di quello umanitario.

Si è giunti a una svolta nel 2013, quando un gruppo di esperti governativi (Group of Governmental Experts, GEG) ha definito un quadro normativo che si fonda su quattro pilastri, tra cui anche il diritto internazionale. La questione della sua applicazione rimane però ancora aperta.

Nel 2019 è stato istituito dall’ONU un nuovo gruppo di lavoro aperto, presieduto inizialmente dall’ambasciatore svizzero Jürg Lauber, con l’obiettivo principale di trasporre ed attuare le misure proposte dal GGE, tra le quali l’applicazione e il rispetto del diritto internazionale nel cyberspazio.

“La sfida era di riportare tutti al tavolo delle trattative e cercare un consenso”, dice l’ex presidente Lauber che ricorda come le “crescenti tensioni politiche tra le grandi potenze” e i tentativi di riscrivere le regole da parte di alcuni Paesi” hanno complicato notevolmente il suo compito.

Alla fine, anche il gruppo di lavoro è giunto alla conclusione che il diritto internazionale umanitario andava applicato al cyberspazio. Tuttavia non è stato possibile trovare un accordo sull’attuazione. “Si sono fatti dei passi avanti, ma non sostanziali. Ora il sostegno è però maggiore visto che tutti hanno avuto la possibilità di partecipare alle discussioni”, dice Lauber.

Intanto è stato creato un nuovo gruppo di lavoro presso l’ONU che avrà il compito di occuparsi della questione negli anni 2021-2025. “Mi auguro che si facciano dei progressi”, conclude Lauber. “Si vede un divario tra ciò che gli Stati hanno definito sulla carta e ciò che avviene nel cyberspazio, dove la tecnologia viene impiegata in maniera illegale”.

Crimini di guerra?

Il percorso per mettere alla sbarra i criminali di guerra è lungo e irto di ostacoli. Il cyberspazio aggiunge ulteriori difficoltà. Non è infatti semplice trovare gli autori di un attacco informatico, visto che può essere lanciato da un server proxy che impedisce la tracciabilità. “A volte sono necessari anni di indagini per capire davvero come è stato pianificato un attacco, com’è stato eseguito, chi ha dato l’ordine e chi sono gli autori”, dice Halopeau. Di solito, le prove acquisite nel cyberspazio vanno avvalorate con altri indizi raccolti nel mondo reale, per esempio se un governo era coinvolto, i nomi delle persone che hanno lavorato in un certo periodo in un certo luogo, le immagini ecc.

“È necessario combinare molte informazioni, difficili da trovare. Nel migliore dei casi, le ricerche si concentrano su un unico autore”, dice Halopeau. Nella guerra in Ucraina, Stati nazionali, ma anche gruppi criminali e individui hanno condotto attacchi cibernetici. “Determinare la responsabilità di tutte queste persone sarà davvero molto complicato”, sostiene Halopeau.

Halopeau ritiene che alcuni attacchi informatici, che hanno interessato i civili, come quelli che hanno preso di mira il sistema KA-SAT o la dogana sul confine tra l’Ucraina e la Romania, potrebbero interessare la Corte penale internazionale (CPI), tribunale che ha già avviato indagini sui presunti crimini di guerra commessi sul campo in Ucraina. Al momento, la CPI non sta ancora indagando sulla guerra cibernetica.

Nonostante gli orrori, la guerra in Ucraina potrebbe rafforzare i processi di responsabilità nel cyberspazio, sostiene il direttore del CyberPeace InstituteCollegamento esterno. “È uno dei primi conflitti in cui gli attacchi informatici vengono usati in maniera così massiccia. […] Penso che serva una discussione di fondo intorno al diritto internazionale umanitario per capire com’è possibile usare il cyberspazio per danneggiare i civili e come prevenire questo fenomeno”.