L'APPROFONDIMENTO

Attacchi informatici e diritto penale internazionale: il crimine di aggressione nel cyberspazio

Il dibattito sulla qualificazione degli attacchi informatici come reati fondamentali è ancora in corso e non ha prodotto risposte definitive. Particolarmente critica appare la qualificazione come reati di aggressione. Gli esperti giuridici, a seconda dell’approccio che seguono, hanno ancora opinioni divergenti al riguardo. Facciamo il punto

04 Set 2020
D
Valentina Serena de Vito

MA candidate in International Security Studies


La recente situazione nel mondo mostra che gli attacchi informatici potrebbero essere una delle minacce più pericolose per la pace e la sicurezza internazionale (Shackelford 2009). In effetti, la natura stessa delle operazioni offensive nel cyberspazio presenta sfide uniche per l’ordinamento giuridico internazionale.

Attualmente il dibattito sugli attacchi informatici si svolge perlopiù nei contesti dello jus ad bellum e dello jus in bello. Mentre è consensuale che il diritto internazionale si applichi al cyberspazio, il dibattito in relazione alla qualificazione degli attacchi informatici come reati fondamentali nell’ambito dell’ICL (International Criminal Law, Diritto Penale Internazionale) è stato meno intenso e fruttuoso.

Dopo aver illustrato brevemente come gli attacchi informatici siano comunemente legati nel dibattito ai crimini di guerra, al genocidio e ai crimini contro l’umanità, un’analisi più dettagliata sarà dedicata all’ammissibilità degli attacchi informatici come crimini di aggressione, essendo questo il crimine definito più recentemente e, forse, il più controverso.

Le caratteristiche di un cyber attacco

La nuova regolamentazione è spesso sviluppata grazie all’applicazione del ragionamento per analogia dagli organi legislativi esistenti. Tuttavia, la natura degli attacchi cibernetici presenta sfide uniche. Per questo motivo, procedere per analogia può risultare eccezionalmente complicato soprattutto a causa di due caratteristiche manifeste del cyberspazio: l’anonimato e la deterritorializzazione (Chaumette 2018).

Roscini sostiene che sono tre i livelli di prova necessari per attribuire un attacco informatico a uno Stato specifico, affinché il diritto internazionale sia applicabile:

In primo luogo, il computer o i computer, o il server o i server da cui hanno origine le operazioni devono essere localizzati; in secondo luogo, è l’individuo che è dietro l’operazione che deve essere identificato; e in terzo luogo, ciò che deve essere provato è che l’individuo ha agito per conto di uno Stato in modo che la sua condotta sia attribuibile ad esso” (Ohlin et al. 2015, p. 220).

I cyber attacchi mettono in discussione il tradizionale principio di territorialità del diritto internazionale. La geo-localizzazione dell’attacco è tuttavia un passo fondamentale nella definizione del contesto delle condotte criminali internazionali, ad esempio nella valutazione dell’esistenza di un’aggressione, nella definizione di un conflitto come IAC (International Armed Conflict) o NIAC (Non-International Armed Conflict) o nella valutazione della giurisdizione territoriale della Corte Penale Internazionale (ICC, International Criminal Court) (Chaumette 2018).

L’attribuzione è la capacità di identificare chi ha attaccato una rete di computer e da quale luogo. Il processo di attribuzione di un attacco informatico rappresenta senza dubbio la sfida più difficile. In primo luogo, non è sempre facile risalire da un indirizzo IP a un utente finale, poiché gli indirizzi IP sono spesso associati a centinaia di utenti finali. In secondo luogo, gli hacker sono generalmente in grado di mascherare la loro identità.

Inoltre, come osserva Ophardt, possono verificarsi attacchi informatici in diversi Stati, come nel caso delle botnet[1]:

Le reti bot non sono limitate geograficamente; il malware che le crea si muove liberamente oltre i confini nazionali […]. Il traffico Internet è stato concepito in modo specifico per viaggiare sul percorso più veloce possibile. Questo percorso non è necessariamente lo stesso del percorso geograficamente più diretto” (Ophardt 2010).

Questo porta alla questione ancora più problematica del collegamento tra l’hacker e lo Stato o l’organizzazione che assume l’hacker. Un’altra sfida deriva dal fatto che la maggior parte degli attacchi informatici non sono State-sponsored, bensì condotti da gruppi NSA (Non-State Actors), da gruppi di individui o singoli individui che agiscono da soli.

Nella realtà, poi, le armi informatiche, pur avendo un potenziale altamente distruttivo, sono un’arma a buon mercato nell’arsenale degli NSA e possono essere facilmente create da hacker altamente qualificati. Tuttavia, il diritto internazionale è difficilmente applicabile a queste categorie di attori (cfr. capitolo 4) (Faga 2017).

Attacchi informatici e dibattito sul diritto internazionale

L’assenza di una definizione di “minaccia di uso della forza” o “uso della forza” nella Carta delle Nazioni Unite ha portato a un problema di interpretazione. Questa lacuna è stata colmata con l’adozione della risoluzione 3314 dell’Assemblea generale delle Nazioni Unite sulla definizione di aggressione (1974), con la quale gli Stati hanno stabilito per consenso che per forza, ai sensi dell’articolo 2, paragrafo 4, della Carta delle Nazioni Unite, si intende la forza armata.

La risposta alla questione se un’operazione informatica rientri nell’ambito di applicazione dell’articolo 2, paragrafo 4, dipende da quale dei tre principali approcci analitici per comprendere la natura dell’uso della forza armata sia accettato. L’approccio basato sugli strumenti e quello basato sull’obiettivo sono stati criticati per essere rispettivamente troppo restrittivo l’uno e troppo ampio l’altro, mentre l’approccio che ha ricevuto il maggior sostegno è stato quello basato sugli effetti (Roscini 2014).

Tale prospettiva si riflette anche nella definizione di attacco informatico fornita dal Manuale di Tallinn 2.0 – il più autorevole studio non vincolante sull’applicabilità del diritto internazionale alla guerra informatica – secondo il quale un attacco informatico è “un’operazione informatica, sia offensiva che difensiva, che ci si può ragionevolmente aspettare causi lesioni o morte a persone o danni o distruzione a oggetti” (Regola 92, Manuale di Tallinn 2.0) (Schmitt 2017).

Tale definizione implica che, per potersi qualificare come uso della forza, una cyber-operazione deve essere paragonabile in scala ed effetti a quelli di un attacco cinetico (Regola 69, Manuale di Tallinn 2.0). Pertanto, nel valutare se un’operazione informatica equivale a un uso della forza, il fatto che la forza sia stata agita con mezzi informatici è irrilevante.

A questo proposito, nel suo parere consultivo, la Corte Internazionale di Giustizia (ICJ, International Court of Justice) ha stabilito che l’articolo 2, paragrafo 4, della Carta delle Nazioni Unite[2] si applica a “qualsiasi uso della forza, indipendentemente dalle armi impiegate” (parere consultivo della ICJ sulla legalità della minaccia o dell’uso delle armi nucleari del 1996, pag. 22).

Pertanto, l’assimilazione di alcuni attacchi informatici con la forza armata consente al Consiglio di sicurezza delle Nazioni Unite di agire ai sensi del capitolo VII e agli Stati di reagire per autodifesa (articolo 51 della Carta delle Nazioni Unite) (Schmitt 2017).

Il dibattito nell’ambito dell’applicabilità del diritto internazionale umanitario ha portato alla conclusione fondamentale che, nonostante l’assenza di disposizioni specifiche in materia di diritto internazionale umanitario, questo corpus di leggi è sufficientemente flessibile da essere rilevante per le operazioni informatiche che si verificano sia durante la IAC sia durante la NIAC. In particolare, sono applicabili i principi cardinali dello jus in bello (ossia i principi di distinzione, precauzione e proporzionalità) (Chaumette 2018).

Gli attacchi informatici dal punto di vista del diritto penale internazionale

Le operazioni offensive nel cyberspazio sono solitamente trascurate dal punto di vista dell’ICL; pertanto, il dibattito in relazione alla qualificazione degli attacchi informatici come reati fondamentali è stato meno intenso.

Tuttavia, se da un lato è meno controverso considerare gli attacchi informatici crimini di guerra o crimini contro l’umanità, dall’altro la qualificazione di un attacco informatico come genocidio o crimine di aggressione è ancora fonte di discussioni (Chaumette 2018).

Il GGE (United Nations Group of Governmental Experts) dell’ONU ha concluso che gli atti commessi con mezzi informatici possono essere qualificati come crimini di guerra (come nell’articolo 8 dello Statuto di Roma) se soddisfano i requisiti oggettivi (actus reus) e soggettivi (mens rea) (Regola 84, Manuale di Tallinn 2.0) e a condizione che vi sia un nesso di belligeranza, ossia che tali attacchi siano parte di un conflitto in corso (Schmitt 2017; Ambos 2015).

Per i crimini contro l’umanità, l’elemento contestuale è che la condotta sottostante – in questo caso, un attacco informatico – è commessa “nell’ambito di un attacco diffuso o sistematico diretto contro qualsiasi popolazione civile” e “in conformità o a seguito di una politica statale o organizzativa volta a commettere tale attacco” (articolo 7, Statuto di Roma). Per quanto remota sia la possibilità, un attacco informatico potrebbe costituire un nuovo mezzo per perpetrare crimini contro l’umanità, ad esempio l’omicidio o lo sterminio.

Per quanto riguarda il collegamento tra gli attacchi informatici e il crimine di genocidio, gli esperti del Manuale di Tallinn 2.0 hanno concluso che “un attacco informatico si verificherebbe prima del lancio di un genocidio, in quanto verrebbe utilizzato per identificare individui appartenenti al gruppo bersaglio. Interverrebbe nella fase preparatoria del genocidio ma non potrebbe qualificarsi come genocidio” (Chaumette 2018).

Inoltre, come osserva Vagias, un attacco informatico potrebbe essere una forma di incitamento pubblico e diretto a commettere un genocidio, come proibito dalla Convenzione per la prevenzione e la repressione del crimine di genocidio.

Mentre l’incitamento è stato qualificato come atto di genocidio sia nello Statuto dell’ICTY (International Criminal Tribunal for the former Yugoslavia) che in quello dell’ICTR (International Criminal Tribunal for Rwanda), questo non è più il caso dello Statuto di Roma, dove l’incitamento a commettere un genocidio è invece una modalità di responsabilità (Vagias 2016). Infatti, ai sensi dell’articolo 25 dello Statuto di Roma, può essere ritenuto responsabile anche chi contribuisce alla commissione di un reato – sia con l’istigazione, sia con la complicità, sia con l’istigazione.

Attacchi informatici come reati di aggressione

Nel 2002, la ICC (International Criminal Court) è stata istituita dal trattato internazionale – lo Statuto di Roma – come unico tribunale permanente responsabile del perseguimento della responsabilità individuale per i crimini fondamentali nell’ambito dell’ICL[3][4].

WHITEPAPER
Che differenza c’è tra VPN software e VPN hardware?
Networking
Network Security

Quando è stato redatto lo Statuto di Roma, il reato di aggressione è stato elencato all’articolo 5, paragrafo 1, lettera d), tra i crimini efferati che rientrano nella giurisdizione della ICC.

Tuttavia, non è stato raggiunto alcun consenso tra i delegati sulla sua definizione, né sul meccanismo di attivazione e sulle modalità di esercizio della giurisdizione della Corte sul reato e tali questioni sono state lasciate alla prossima Conferenza di revisione che è stata convocata a Kampala, Uganda, nel 2010.

La Conferenza ha portato all’approvazione da parte dell’Assemblea degli Stati Parte del cosiddetto “Compromesso di Kampala”, una serie di emendamenti che hanno finalmente fornito una definizione del reato di aggressione (ora sancito dall’articolo 8 bis, Statuto di Roma) e le condizioni per l’esercizio della giurisdizione su tale reato (negli articoli 15 bis e ter, Statuto di Roma)[5].

Se questo sviluppo può apparire come un allargamento della capacità giudiziaria della ICC di perseguire gli individui per un ulteriore crimine di base, molti studiosi hanno espresso la preoccupazione che il crimine di aggressione avrà una stretta applicabilità alle moderne concezioni di guerra (Miller 2014). In particolare, sembra emergere una serie di questioni relative agli attacchi informatici.

L’articolo 8 bis, paragrafo 1, dello Statuto di Roma prevede una definizione del crimine di aggressione come “la pianificazione, la preparazione, l’iniziazione o l’esecuzione, da parte di una persona in grado di esercitare effettivamente il controllo o di dirigere l’azione politica o militare di uno Stato, di un atto di aggressione che, per il suo carattere, gravità e portata, costituisce una violazione manifesta della Carta delle Nazioni Unite“.

Tale formulazione rende esplicitamente impossibile per la ICC perseguire gli individui che agiscono da soli o che hanno la capacità di dirigere un gruppo di Non-State Actors.

Oltre a ciò, è probabile che gli Stati stessi assumano hacker privati per condurre operazioni informatiche, poiché per portare avanti gli attacchi sono necessarie competenze altamente tecniche. Tuttavia, come anticipato, la questione dell’attribuzione rende difficile dimostrare il legame tra lo Stato che ha reclutato l’hacker e quest’ultimo. Anche se ciò fosse possibile, l’hacker non sarebbe comunque responsabile. Infatti, se, nel caso degli altri tre reati fondamentali, l’agevolazione dell’hacker fa scattare la responsabilità penale individuale ai sensi dell’articolo 25 dello Statuto di Roma, non è il caso dei reati di aggressione. Infatti, l’articolo 25, paragrafo 3 bis, prescrive che la disposizione si applica solo alle persone in qualità di leader.

In secondo luogo, l’articolo stabilisce già uno standard elevato per quali attacchi saranno sufficienti per l’azione penale, in quanto devono costituire una violazione “manifesta”[6] della Carta delle Nazioni Unite. Il campo d’applicazione di questa formulazione è volutamente restrittivo, al fine di evitare attacchi di entità minore da perseguire.

L’articolo 8 bis, paragrafo 2, dello Statuto di Roma è una replica testuale degli articoli 1 e 3 della risoluzione 3314 sulla definizione di aggressione. Ciò potrebbe rappresentare un ostacolo, dato che la definizione di aggressione riguarda solo l’uso tradizionale della forza, che si applica solo agli Stati e che si basa su concetti tradizionali come l’integrità territoriale.

In particolare, secondo Kocibelli, la formulazione dell’articolo presenta due importanti limiti. In primo luogo, il rinvio della qualificazione del crimine internazionale alla risoluzione dell’Assemblea Generale delle Nazioni Unite del 1974 – quando non erano contemplate forme di guerra contemporanee e ibride – significa che una definizione obsoleta si è cristallizzata nel diritto dei trattati, impedendo così ulteriori sviluppi consuetudinari.

Inoltre, gli atti di aggressione sono definiti in base alla modalità con cui vengono compiuti (approccio strumentale), piuttosto che in base alle loro conseguenze (approccio agli effetti), rendendo difficile che gli attacchi informatici rientrino nell’ambito di applicazione dell’articolo (Kocibelli 2017).

Miller sostiene invece che le definizioni di Kampala possono essere interpretate in modo flessibile dai giudici della ICC per includere l’aggressione informatica. Inoltre, secondo l’articolo 4 della risoluzione 3314 dell’Assemblea generale delle Nazioni Unite sulla definizione di aggressione, il Consiglio di sicurezza delle Nazioni Unite può determinare quali altri atti costituiscono un’aggressione, permettendo così eventualmente che gli attacchi informatici rientrino in questa categoria (Miller 2014).

Con riferimento all’articolo 3 della risoluzione dell’Assemblea generale delle Nazioni Unite, anche Papanastasiou sostiene la stessa ampia visione e sostiene che, supponendo che “una forza cibernetica possa costituire parte delle forze armate di uno Stato, è molto facile che gli attacchi cibernetici rientrino nell’ambito legale degli atti (a), (b), (c); (d) ed (e) di aggressione […]. Per quanto riguarda la lettera g), gli attacchi informatici sono perpetrati da hacker, che possono essere considerati mercenari” (Papanastasiou 2010).

Un’ulteriore restrizione alla qualificazione degli attacchi informatici come reati di aggressione deriva dagli articoli 15 bis e ter[7] che stabiliscono che la ICC ha giurisdizione solo se uno Stato commette un’aggressione contro un altro Stato e che la legge è applicabile solo agli Stati che hanno effettivamente ratificato gli emendamenti di Kampala, ossia 38 degli attuali 123 Stati Parte.

La possibilità di presentare una clausola di opt-out è stata prevista per ogni Stato ratificatore, ostacolandone così ulteriormente l’applicabilità.

Conclusioni

Le operazioni offensive nel cyberspazio presentano sfide uniche per l’ordinamento giuridico internazionale, che vengono affrontate dalla comunità internazionale. La maggior parte di questi sforzi sono stati raccolti nel Manuale di Tallinn e nel Manuale di Tallinn 2.0 che, per quanto autorevoli, sono studi accademici non vincolanti. Tuttavia, essi rappresentano un segno della buona volontà degli Stati di regolamentare il cyberspazio.

Come spiegato brevemente nel paragrafo Attacchi informatici come reati di aggressione, il dibattito in seno all’ICL in relazione alla qualificazione degli attacchi informatici come reati fondamentali è ancora in corso e non ha prodotto risposte definitive. Particolarmente critica appare la qualificazione degli attacchi informatici come reati di aggressione. Gli esperti giuridici, a seconda dell’approccio che seguono, hanno ancora opinioni divergenti al riguardo.

“Almeno per il momento, è probabile che le barriere pratiche e giurisdizionali impediscano l’applicazione del reato di aggressione nel contesto dell’aggressione informatica. Di conseguenza, diversi altri metodi dovrebbero essere perseguiti contemporaneamente da gruppi internazionali per promuovere un cyberspazio pacifico” (Miller 2014).

Affrontare le implicazioni delle minacce informatiche transnazionali (così come di altre forme ibride di guerra) dal punto di vista della ICL richiederà forse un’ulteriore modifica dello Statuto di Roma. Tuttavia, come dimostra il processo che ha portato all’approvazione del Compromesso di Kampala, questa sembra per il momento una possibilità remota.

ABBREVIAZIONI

IAC: International Armed Conflict

ICC International Criminal Court, Corte Penale Internazionale

ICJ International Court of Justice, Corte Internazionale di Giustizia

ICL International Criminal Law, Diritto Penale Internazionale

ICTR International Criminal Tribunal for Rwanda

ICTY International Criminal Tribunal for the former Yugoslavia

IHL International Humanitarian Law

ISP Internet Service Provider

NIAC Non-International Armed Conflict

NSA Non-State Actors

UN United Nations

UNGA United Nations General Assembly

UN GGE United Nations Group of Governmental Experts

UNSC United Nations Security Council

BIBLIOGRAFIA

Ambos, K., (2015) International criminal responsibility in cyberspace, in Research Handbook on International Law and Cyberspace (Tsagourias N., Buchan, R. ed.), Edward Elgar Publishing.

Chaumette, A. L., (2018) International Criminal Responsibility of Individuals in Case of Cyberattacks, in International Criminal Law Review, Vol. 18, pp. 1-35.

Faga, H. P., (2017) The Implications of Transnational Cyber Threats in International Humanitarian Law: Analysing the Distinction between Cybercrime, Cyber Attack and Cyber Warfare in the 21st Century, in Baltic Journal of Law and Politics, Vol. 10.

Kocibelli, A., (2017) Aggression, From Cyber-Attacks to ISIS: Why International Law Struggles to Adapt, in Michigan Journal of International Law, Vol. 39.

Miller, K. L., (2014) The Kampala Compromise and Cyberattacks: Can There Be an International Crime of Cyber-Aggression? in Southern California Interdisciplinary Law Journal, Vol. 23.

Ohlin, J., Govern, K. and Finkelstein, C., (2015) Cyber War: Law and Ethics for Virtual Conflicts.

Ophardt, J. (2010) Cyber Warfare and the Crime of Aggression: The Need for Individual Accountability on Tomorrow’s Battlefield, in Duke Law & Technology Review, n º3, §30.

Papanastasiou, A., (2010) Application of International Law in Cyber Warfare Operation.

Roscini, M., (2014) Cyber Operations and the Use of Force in International Law, Oxford University Press.

Schmitt, Michael N., (2017) Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations, Cambridge University Press, 2nd ed..

Shackelford, S. J., (2009) From Nuclear War to Net War: Analogizing Cyber Attacks in International Law, in Berkeley Journal of International Law, Vol. 27, pp. 192-198.

Vagias, M., (2016) ‘The Territorial Jurisdiction of the ICC for Core Crimes Committed Through the Internet’, in Journal of Conflict & Security Law, Oxford University Press.

RIFERIMENTI LEGALI

Charter of the United Nations, 1945.

Legality of the Threat or Use of Nuclear Weapons, Advisory Opinion, 1. C.J. Reports 1996.

Rome Statute of the International Criminal Court, 2002.

United Nations General Assembly Resolution 3314 on the Definition of Aggression, 1974.

NOTE

  1. Le botnet sono insiemi di dispositivi collegati a Internet che, infettati da un malware, sono controllati dal botmaster per effettuare attacchi di tipo DDoS (Distributed Denial of Service).
  2. Per quanto riguarda, rispettivamente, il divieto dell’uso della forza nelle relazioni internazionali e il diritto di autodifesa.
  3. I crimini fondamentali elencati nell’articolo 5 dello Statuto di Roma sono il crimine di genocidio, i crimini contro l’umanità, i crimini di guerra e il crimine di aggressione.
  4. Secondo il principio di complementarietà, la ICC può intervenire solo quando le giurisdizioni penali nazionali non sono in grado o non vogliono indagare e perseguire i presunti colpevoli (articolo 1, Statuto di Roma) – indipendentemente dall’immunità derivante dalla loro veste ufficiale (articolo 27, Statuto di Roma). La giurisdizione della Corte non è retroattiva (articolo 11 dello Statuto di Roma), il che significa che essa può perseguire i reati che si sono verificati a partire dall’entrata in vigore del suo Statuto.
  5. Per l’entrata in vigore delle modifiche, dovevano essere soddisfatte altre due condizioni: la loro ratifica da parte di almeno trenta Stati parte dello Statuto di Roma # e la decisione di almeno due terzi della maggioranza dei due terzi dell’ASP che consentisse alla Corte di iniziare effettivamente l’esercizio della sua giurisdizione. A partire dal maggio 2019, 37 Stati parte hanno ratificato l’emendamento e solo nel luglio 2018 l’Assemblea ha deciso di attivare la giurisdizione della ICC sul reato di aggressione per tutti gli Stati.
  6. Secondo l’Allegato III dello Statuto, per “manifesto” si intende qualsiasi atto di aggressione che soddisfi i tre requisiti di perseguibilità di carattere, gravità e portata allo stesso tempo.
  7. Gli articoli 15 bis e ter definiscono il processo e le modalità di esercizio della giurisdizione sul reato di aggressione che può essere commesso da parte di uno Stato parte, da parte dell’autorità del procuratore o da parte del Consiglio di sicurezza delle Nazioni Unite.
WHITEPAPER
Quali sono i mobile malware più diffusi?
Mobility
Cybersecurity

@RIPRODUZIONE RISERVATA

Articolo 1 di 5