Il cyber spazio vive una crescente militarizzazione, che spinge gli Stati a cercare nuove strade per proteggere i propri servizi essenziali e le infrastrutture critiche. Lo dimostra il fatto che solo pochi giorni fa la Nato ha annunciato che nel prossimo summit in programma a Varsavia l’Alleanza riconoscerà lo spazio cibernetico come dominio operativo, aprendo la strada a una difesa comune anche su questo terreno. Gli esperti di sicurezza hanno però opinioni divergenti circa il modo in cui i Paesi dovrebbero affrontare questo tipo di minacce. Coloro che appoggiano la teoria realista delle relazioni internazionali – scrive Annegret Bendiek in un contributo per Council on Foreign Relations – sostengono che i governi dovrebbero accettare questa accresciuta militarizzazione del cyber spazio e adoperarsi per costruire ed irrobustire le loro capacità informatiche difensive e offensive. Questa visione ha preso piede in numerosi Stati, specialmente quelli facenti parte dell’Ue e della Nato, i quali da tempo stanno sviluppando strumenti difensivi. Dall’altro lato invece, quelli che aderiscono a posizioni più “liberal” suggeriscono ai governi di mantenere un atteggiamento più cauto, poiché una sregolata corsa alle armi cibernetiche potrebbe alimentare la sfiducia fra gli attori coinvolti e portare ad eventuali escalation in situazioni di crisi. Questi ultimi considerano internet alla stregua di un bene pubblico globale che, come tale, deve poter essere tutelato e fruibile da tutti, e accolgono positivamente le iniziative promosse in seno alle Nazioni Unite volte a trovare un accordo su delle regole comuni di comportamento nel cyber spazio.
Il modello legale a cui recentemente la comunità internazionale ha mostrato di prestare maggiore attenzione è quello della responsabilità statale, le cui principali norme sono contenute nel Draft articles on Responsibility of States for Internationally Wrongful Acts, prodotto nel 2001 dalla Commissione del diritto internazionale (Cdi). Il nucleo di questo framework normativo è che lo Stato è responsabile per le tutte le attività ad esso imputabili che abbiano origine sul proprio territorio. L’Ue si troverà a breve ad aggiornare la sua cyber security strategy del 2013 e, raccomandano alcuni esperti, dovrebbe fare del concetto di responsabilità statale il fulcro dell’intera strategia, affinché lo sviluppo delle capacità cibernetiche difensive e offensive degli Stati sia compatibile con la finalità di garantire un internet libero, aperto e affidabile. L’Ue – sottolinea la Bendiek nella sua analisi – potrebbe promuovere il framework sulla responsabilità statale in tre modi: 1) Maggior coordinamento all’interno dell’Ue. Sin dal 2003 i funzionari dell’Ue hanno coordinato le attività in ambito informatico servendosi del Friends of the Presidency Group on Cyber Issues. Quest’organismo dovrebbe a sua volta cooperare con altri due enti, il Servizio europeo per l`azione esterna (Eeas) e l`Agenzia europea per la sicurezza delle reti e dell`informazione (Enisa), al fine di trovare una posizione comune ed implementare delle misure precise in tema di responsabilità statale nel cyber spazio.
2) Cooperazione transatlantica. Affinché uno Stato possa essere ritenuto responsabile per un atto offensivo nel cyber spazio è indispensabile individuare dei meccanismi in grado di rendere possibile l’attribuzione stessa. Poiché il problema dell’attribuzione è una delle sfide più grandi per gli Stati, l’Ue e gli Usa dovrebbero cooperare in tale ambito mettendo da parte le loro divergenze sui temi della privacy, dello spionaggio e della sorveglianza. Una soluzione potrebbe essere quella di creare una corte indipendente di arbitrato ad hoc dotata delle capacità forensi necessarie per effettuare l’attribuzione, cosa che darebbe maggiore credibilità al processo di responsabilizzazione. 3) Mitigazione del rischio di escalation militare. In base al diritto internazionale vigente, se uno Stato viola la sovranità territoriale o l’integrità politica di un altro Paese, quest`ultimo può ricorrere a tutti i mezzi necessari e proporzionali atti a porre fine all’offesa. Tale principio cardine del diritto internazionale, esplicitato negli articoli 2(4) e 51 della Carta delle Nazioni Unite, può essere esteso anche ad operazioni offensive che avvengano nel cyber spazio (come ha riconosciuto anche il Group of Experts che ha redatto il Manuale di Tallinn sul diritto internazionale applicabile alla guerra cibernetica). Sebbene sia legittimo in principio reagire a una violazione grave adottando dei meccanismi di “difesa attiva”, il ricorso a questo tipo di contromisure potrebbe creare tensioni e possibili escalation di violenza. Pertanto gli Stati membri dell’Unione europea dovrebbe limitarsi ad mantenere un atteggiamento puramente difensivo e promuovere queste posizioni in altri fori come la Nato, l’Osce e altre istituzioni multilaterali. (fonte: Cyber Affairs)
