Le sanzioni informatiche sono una questione relativamente poco discussa nell’ambito dell’equilibrio generale tra guerra cyber e attacchi informatici, che è riemersa in quanto molti Stati ancora lottano per rispondere alle minacce che causano danni reali ed estesi.

Trovare il modo di attribuire il crimine a un gruppo o a un’entità, o anche a singoli individui, per sanzionarli con l’applicazione della legge, può essere una misura potente.

Scoraggiare le azioni dei cyber criminali

Partiamo con una definizione. L’EUISS (European Union Insitute for Security Studies) ha definito le sanzioni cyber come le misure economiche e finanziarie volte a modificare il comportamento degli obiettivi che utilizzano attività e/o intrusioni informatiche dannose.

Nell’attuale situazione geopolitica, tutti sono in prima linea, ogni azienda, ogni persona. Gli attacchi sono convenienti e i criminali informatici possono attaccare dall’altra parte del mondo senza alcun rischio fisico per le proprie persone e con pochissimi requisiti logistici.

Questo può causare disagi nella vita quotidiana delle persone, sia che si tratti di interruzione del servizio telefonico, di blocco dell’accesso ai servizi di streaming o di azioni più impattanti come la destabilizzazione di un Paese e della fiducia nelle sue autorità.

Mentre le organizzazioni di tutto il mondo si adoperano per proteggere la loro superficie di attacco da questi criminali, è urgente che i governi e le organizzazioni internazionali trovino il modo di scoraggiare le loro azioni.

Per scoraggiare futuri attacchi informatici, l’attenzione dovrebbe essere rivolta a tutto ciò che inverte lo squilibrio di potere sulla guerra asimmetrica.

Ulteriori azioni dovrebbero essere intraprese per rendere l’esecuzione di attacchi informatici non fattibile e non redditizia.

Vietare il pagamento del ransomware, colpire il finanziamento delle operazioni criminali e rendere in generale non fattibile l’attacco. Le sanzioni informatiche, una volta padroneggiate, potrebbero diventare uno dei deterrenti più importanti.

Attuare le sanzioni informatiche è un’impresa complessa

Purtroppo, ogni volta che il cyber incontra il mondo reale, la situazione si complica, a causa della natura stessa del settore cyber.

La complessità risiede nella proprietà dell’esecuzione. La realtà per le forze dell’ordine di tutto il mondo è che – sia che si tratti di un hacktivist sostenuto da una nazione, di un criminale informatico o anche di un servizio di intelligence – si nascondono dietro a vittime non consapevoli e ai dispositivi che hanno compromesso per agire, rendendo l’attuazione delle sanzioni informatiche un’impresa complessa.

Le (poche) sanzioni informatiche note in Europa

Finora non sono molti i casi di sanzioni informatiche note nell’Unione Europea. Il 30 luglio 2020 l’UE ha imposto la prima sanzione informatica in assoluto contro sei individui e tre entità provenienti da Russia, Cina e Corea del Nord.

Le tre entità, denominate WannaCry, NotPetya e Operation Cloud Hopper, sono state accusate di essere almeno coinvolte in un attacco informatico contro l’OPCW (Organizzazione per la proibizione delle armi chimiche).

La comunicazione recita: “Le sanzioni sono una delle opzioni disponibili nella dotazione degli strumenti della diplomazia informatica dell’UE per prevenire, scoraggiare e rispondere alle attività informatiche dannose dirette contro l’UE o i suoi Stati membri”.

Il quadro giuridico è in vigore dal maggio 2019. Le sanzioni includono il divieto di viaggiare e il congelamento dei beni all’interno dell’UE.

L’ultimo caso riguarda la società informatica russa NTC Vulkan, al centro dei cosiddetti Vulkan Files, che è stata aggiunta alla lista delle sanzioni venerdì 23 giugno per aver sviluppato programmi per attacchi cyber e campagne di disinformazione su larga scala.

Le sanzioni informatiche nel resto del Mondo

Le sanzioni informatiche potrebbero essere relativamente nuove per l’UE, ma sono comuni in altre nazioni. Gli Stati Uniti hanno sanzionato regolarmente i criminali informatici dal 2012, l’ultima volta nel maggio 2023 un hacker russo accusato di molteplici attacchi ransomware alle infrastrutture critiche statunitensi.

Nel febbraio 2023, gli Stati Uniti e il Regno Unito hanno creato la prima sanzione congiunta per crimini informatici contro un gruppo russo associati a dei ransomware.

L’azione è stata intrapresa contro sette individui che hanno utilizzato i ransomware Conti e Ryuk e il trojan bancario Trickbot per colpire diversi individui e aziende. Nell’ottobre 2020 il Dipartimento del Tesoro degli Stati Uniti ha annunciato sanzioni contro un istituto di ricerca governativo russo collegato a un sistema di malware.

Le sanzioni informatiche sono state imposte contro il TsNIIKhM (l’Istituto centrale di ricerca scientifica di chimica e meccanica) perché accusato di essere dietro l’arresto di una raffineria di petrolio dell’Arabia Saudita da parte degli hacker nell’agosto del 2017 con il malware Triton, utilizzato per controllare i sistemi di sicurezza industriale.

Nel 2019 lo stesso dipartimento ha imposto sanzioni simili contro gruppi di criminali informatici nordcoreani accusati di essere sponsorizzati dallo Stato: il “Gruppo Lazarus”, “Bluenoroff” e “Andariel”.

Il programma di sanzioni relative al cyber è la base per l’imposizione delle sanzioni che sono state messe in atto nel 2017.

Come funziona negli Stati Uniti?

L’Ordine Esecutivo (E.O.) 13694 degli Stati Uniti si concentra su danni specifici causati da attività dolose significative di tipo informatico, e ordina al Segretario del Tesoro, in accordo con il Procuratore Generale e il Segretario di Stato, di imporre sanzioni alle persone che ritiene responsabili o complici di attività che portano a tali danni.

Agendo in base all’autorità delegata, l’OFAC, (Office of Foreign Assets Control) del Tesoro lavora in coordinamento con altre agenzie governative statunitensi per identificare individui ed entità la cui condotta soddisfi i criteri.

Per “cyber-abilitazione” si intende che i computer o altri dispositivi elettronici devono essere coinvolti nell’arrecare un danno.

Conclusioni

Man mano che i governi, i servizi di sicurezza e le relative autorità competenti di tutto il mondo continueranno a porre maggiore enfasi sulla sicurezza informatica nazionale, vedremo apparire diversi strumenti per fermare coloro che attuano pratiche criminali.

La responsabilità può contribuire a migliorare la situazione a livello generale.

Detto questo, le organizzazioni hanno ancora un ruolo da svolgere nel proteggere i propri dati e le proprie infrastrutture da potenziali attacchi informatici.

Avere una postura di sicurezza proattiva ed essere consapevoli dei rischi potenziali sarà ancora fondamentale per proteggere la crescente superficie di attacco.

