L’INTERNET GOVERNANCE E LE DIFFICOLTA’ DI UNA REGOLAZIONE INTERNAZIONALE

LA CYBERSECURITY NEL CONTESTO INTERNAZIONALE E DELL’UNIONE EUROPEA

1. L’INTERNET GOVERNANCE E LE DIFFICOLTA’ DI UNA REGOLAZIONE INTERNAZIONALE

1.1. Il concetto di Internet Governance

Per comprendere e valutare il sistema italiano di governance della cybersecurity, è necessario tenere conto del contesto internazionale ed europeo in cui esso si inscrive. Prima però di analizzare le varie iniziative adottate dalle diverse organizzazioni internazionali e continentali cui l’Italia partecipa, pare opportuno fare una premessa sul concetto di governance del cyberspace, e quindi, di riflesso, anche della cybersecurity.

Le cyber threats costituiscono nuove tipologie di minacce per tutti gli Stati e per i loro cittadini. A livello globale, gli organismi internazionali si sono fatti cogliere impreparati dalla rapida ascesa dell’importanza della tematica della sicurezza del cyberspace, a causa dell’incapacità di trovare una soluzione uniforme e globalmente condivisa ai problemi da essa portati. L’origine di tale difficoltà è data dal fatto che ad oggi non esiste una definizione globalmente condivisa di cyber governance.1

Da un punto di vista generale governance è un termine che si riferisce all’organizzazione ed alla regolamentazione coordinata di una particolare questione da parte di numerose, ma separate, entità pubbliche o private, al fine di indirizzare norme e discorsi verso un obiettivo politico. Nel caso specifico del cyberspace è difficile

1_{(Marchetti & Mulas, 2017), p. 115 ss.}

definire quali siano precisamente le entità preposte al raggiungimento di tale finalità, poiché risulta quasi impossibile stabilire l’organizzazione e la regolamentazione di un ambiente virtuale, dall’estensione e dalle potenzialità illimitate. Inoltre, se da una parte le traduzioni in italiano di Internet Governance come “gestione di Internet” o “governo della Rete” sono formalmente corrette, dall’altra risultano sostanzialmente fuorvianti e limitative, in quanto “richiamano alla mente un modello di amministrazione e di definizione delle regole dall’alto, da parte di un potere e di un’amministrazione centrali”.2_{Il contrario quindi, rispetto a quanto avvenuto con lo sviluppo del}

cyberspace, le cui regole si sono determinate sulla base del motto “rough consensus and running code”3, ed il cui controllo centrale è sempre stato minimo a causa proprio dell’apertura, della connettività globale, e della natura decentralizzata di Internet. Internet è una rete di reti, a loro volta possedute e gestite da entità private, come ad esempio gli ISP (Internet Service Providers). La natura distribuita di Internet dunque, potrebbe generare l’impressione che nessuno ne sia proprietario e che nessuno la controlli.4 Di recente tuttavia, anche il settore privato si è schierato a favore della necessità di regolamentare lo spazio cibernetico: ad esempio, Microsoft ha proposto di negoziare una Convenzione di Ginevra digitale che protegga diritti civili ed infrastrutture private da attacchi cibernetici di matrice statale.5

Nel rapporto del Working Group on Internet Governance (WGIG) del 20056, l’Internet

governance è stata definita come “lo sviluppo e l’applicazione da parte di governi,

settore privato e società civile, nei loro rispettivi ruoli, di principi comuni, norme, regole, procedure decisionali e programmi in grado di plasmare l’evoluzione e l’utilizzo di Internet”.7_{Il Rapporto del WGIG affronta il tema della governance in}

senso ampio, identificando non solo le varie problematiche di politica pubblica collegate ad Internet, ma prendendo in considerazione anche alcune fondamentali

2_{Nicotra A., L’Internet Governance in Italia, Informatica e diritto, Vol. XVIII, 2009, n. 1, pp. 63-72} 3_{La parola d’ordine del IETF (Internet Engineering Task-Force) è la collaborazione, il motto è Rough} consensus and running code, cioè Consenso diffuso e codice funzionante: le proposte non vengono

adottate con votazioni formali, ma viene richiesto che ricevano un consenso generalizzato all’interno del gruppo di lavoro e che vi siano delle implementazioni funzionanti e diffuse.

4_{Pupillo L. M., Verso una nuova governance globale di Internet, Notiziario Tecnico Telecom Italia, n.}

1/2013, pp. 80-93

5_Link: _{https://www.microsoft.com/en-us/cybersecurity/content-hub/a-digital-geneva-convention-to-} protect-cyberspace

6_{Disponibile al link:}_{https://www.itu.int/net/wsis/wgig/docs/wgig-background-report.pdf} 7_{WGIG, Background Report, The Working Group on Internet Governance, giugno 2005, p. 9}

questioni come la sicurezza informatica, la tutela del copyright ed il digital divide. In particolare, vengono qui individuate quattro aree di rilevanza dell’Internet governance per la politica pubblica:8 in primis, troviamo tutte quelle questioni legate all’infrastruttura ed alla gestione delle risorse critiche di Internet, come ad esempio l’amministrazione del sistema dei DNS, degli indirizzi IP, dei root server, la definizione degli standard tecnici, ed il peering (cioè lo scambio di traffico alla pari), di cui sono responsabili organizzazioni ad hoc. In secundis, troviamo alcune specifiche tematiche intimamente collegate all’utilizzo di Internet ed alla sua gestione, come ad esempio la cybersecurity. In tertiis, troviamo questioni che pur essendo legate ad Internet, hanno un impatto molto più ampio, come ad esempio la tutela del copyright, o l’e-commerce. Infine, troviamo il problema dello sviluppo della rete in tutto il mondo, anche questo legato strettamente alla modalità di gestione di Internet.

Tuttavia, secondo alcuni studiosi9, sarebbe stato meglio definire la governance di Internet come “un processo decisionale collettivo condotto da proprietari, sviluppatori ed utenti delle reti connesse tramite protocolli Internet, al fine di stabilire politiche, regole e procedure di risoluzione delle controversie relative a standard tecnici, all’allocazione di risorse ed infine alle condotte delle persone impegnate nelle attività di internetworking globali”. Quest’ultima definizione può aiutare a ridurre la confusione presente a livello internazionale, tracciando un confine ben percepibile intorno alle questioni strettamente connesse alla Internet governance, in particolar modo eliminando il problema affrontato nelle fasi iniziali del WGIG, quando ad una concezione troppo ristretta della governance (che includeva solo l’ICANN10 e le sue funzioni di allocazione delle risorse), se ne opponeva una troppo ampia (che viceversa sembrava includere tutto il mondo delle tecnologie ICT). Nel tempo infatti, entrambe queste concezioni si sono rivelate infondate.11 Da una parte, limitare il concetto di

Internet Governance solamente ad ICANN è risultato riduttivo, in quanto esistono

molteplici altre forme di indirizzamento dei comportamenti degli utenti, come ad

8_{Abba L., Trumpy S., La enhanced cooperation per le politiche pubbliche di gestione delle risorse} critiche di Internet, Informatica e diritto, Vol. XVIII, 2009, n. 1, pp. 15-27

9_{Milton M., Mathiason J. e Klein H., The Internet and Global Governance: Principles and Norms for} a New Regime, Global Governance, vol. 13 (aprile - giugno 2007), pp. 237-254

10_{Internet Corporation for Assigned Names and Numbers (ICANN), sarà trattato nel prossimo}

paragrafo.

esempio le convenzioni internazionali sul cybercrime. Dall’altra, sembra opportuno distinguere la governance di Internet da quella delle altre tecnologie ICT, delle quali la prima costituisce solo una parte. Infatti molte importanti questioni generali legate alla governance delle tecnologie ICT (come ad esempio il finanziamento e lo sviluppo dell’infrastruttura di telecomunicazione), risultano essere affrontate molto più efficientemente a livello nazionale, piuttosto che su un piano generale in afferenza alla

Internet governance.

1.2. L’approccio multi-stakeholder ed il ruolo di ICANN

La gestione di Internet, fin dalla sua nascita, è avvenuta seguendo un processo dal basso verso l’alto (bottom-up) chiamato multi-stakeholder, e caratterizzato da un coinvolgimento paritario di governi, settore privato e società civile.12 Tuttavia, nella prassi i governi hanno senza dubbio assunto un ruolo minore. Infatti, da una parte il settore privato ha permesso lo sviluppo dei protocolli che consentono la navigazione su Internet, dall’altra la società civile ha realizzato i backbones (dorsali di rete, cioè collegamenti ad alta velocità di trasmissione appartenenti normalmente alla rete di trasporto di una rete di telecomunicazione). Settore privato e società civile hanno dunque svolto un ruolo centrale nella gestione e nello sviluppo di Internet. Volendo procedere ad una rapida panoramica dei molteplici soggetti privati e della società civile che a vario titolo si occupano della governance della rete, possiamo constatare come in realtà quelle che oggi sono diventate grandi entità private indipendenti, all’origine costituivano solamente dei piccoli gruppi di tecnici e ricercatori che coadiuvavano i vari governi (in particolare quello statunitense), a risolvere le principali problematiche connesse all’avvento della rete.

In particolare, nel 1986 fu creata la Internet Engineering Task Force (IETF), un organismo internazionale composto da specialisti del settore informatico, che vi partecipano a titolo personale e non come rappresentanti di qualche altra istituzione pubblica o privata. La IETF si occupa di sviluppare e definire gli standard tecnici di Internet.

Nel 1992 fu poi fondata la ISOC (Internet Society), un’organizzazione no-profit che risponde alla finalità di promuovere lo sviluppo di una gestione aperta di Internet, e che costituisce un vero e proprio forum di discussione intorno alle principali implicazioni giuridiche, politiche, economiche e sociali portate dalla rete. Inoltre, all’interno di ISOC opera un comitato, l’IAB (Internet Architecture Board), il quale si occupa dello sviluppo tecnico ed ingegneristico di Internet, dirigendo vari gruppi di lavoro.

In seguito, nel 1994 Tim Berners-Lee dette vita al World Wide Web Consortium (W3C), un’organizzazione non governativa internazionale che si prefigge il fine di “guidare il web fino al massimo del suo potenziale”.13

L’assegnazione degli indirizzi IP (c.d. IANA - Internet Assigned Numbers Authority) fu curata fino al 1998 (anno della sua morte), dal pioniere della rete Jon Postel (direttore dell’Information Sciences Institute della University of Southern California), sotto contratto con il Dipartimento della Difesa statunitense. Nel 1998, di fronte al pericolo di vedere affermarsi uno stretto controllo statale su IANA che potesse frenare il nascente mercato di Internet, si preferì creare un ente non statale ad hoc.14 Dunque, sulla base di un Memorandum of Understanding15 (stipulato fra la stessa ICANN e la NTIA - National Telecomunications and Information Administration, un’agenzia del Dipartimento del Commercio statunitense), nacque l’ICANN (Internet Corporation

for Assigned Names and Numbers), l’ente no-profit statunitense che amministra i

registri degli identificatori Internet, assegnando gli indirizzi IP e gestendo i DNS di primo livello.

Le decisioni di ICANN sono prese all’esito di riunioni alle quali partecipano rappresentanti di tutte le categorie portatrici di valori e di interessi connessi al mondo di Internet, con parità di diritti e seguendo il modello multi-stakeholder. Tale impostazione tuttavia, è stata fin dal 1998 oggetto di critiche a livello internazionale, a causa del ruolo che il governo statunitense si è unilateralmente riservato nei confronti

13_{Il motto del W3C è: “Leading the Web to Its Full Potential”.}

14_{Mindus P., Libertà politica e nuove tecnologie, Ragion pratica 44/giugno 2015, pp. 9-36}

15_{Disponibile al link:}_{https://www.ntia.doc.gov/page/1998/memorandum-understanding-between-us-} department-commerce-and-internet-corporation-assigned-

di ICANN.16 Infatti, se la funzione originariamente svolta da ICANN era puramente tecnica (consistendo esclusivamente nella gestione dei DNS), nella prassi iniziò molto presto anche ad esercitare funzioni più politiche, come ad esempio la risoluzione delle controversie legate ai nomi dei domini, permettendo in questo modo al governo statunitense di esternalizzare la funzione di policy making verso un industry self-

regulatory body17, e diventando nei fatti un global policy maker. L’assunzione di tali poteri da parte di ICANN ha sostanzialmente portato a due conseguenze. In primis, per ICANN è stato necessario dotarsi di una struttura rappresentativa dei vari interessi, coinvolgendo all’interno del proprio GAC (Governmental Advisory Committee): l’ITU (International Telecommunication Union), la WIPO (World Intellectual Property

Organization), La Commissione Europea, l’OECD (Organization for Economic Cooperation and Development) e vari governi nazionali di singoli Stati, pur senza

diritto di voto. Si consentì inoltre la partecipazione di rappresentanti della società civile e della comunità tecnica, come l’IETF ed il W3C, ad altri comitati. In secondo luogo, il fatto che gli Stati Uniti avessero affidato alcune delle fondamentali funzioni della

Internet governance ad un organismo non frutto dell’espressione diretta dei vari Stati

(piuttosto che lavorare per la stipulazione di trattati internazionali o per la creazione di un organismo intergovernativo ad hoc), fu da molti interpretato come un atto unilaterale.18 Dunque, anche da tutto ciò derivano le suddette preoccupazioni espresse da molti Paesi per un’Internet governance troppo US centric, che nel tempo si sono concretizzate in richieste di un peso maggiore all’interno dell’ICANN.

16_{Moretti C., Il confronto in atto sul controllo e sulle regole di gestione di internet, in Lo spazio} cibernetico tra esigenze di sicurezza nazionale e tutela delle libertà individuali, Supplemento al n.

6/2014 di Informazioni della Difesa, pp. 47-55

17_{Mueller M., Names, Number and Global Governance, in: Cyber Policy and Economics in an Internet} Age, a cura di William Lehr and Lorenzo Maria Pupillo, Kluwer Academic Publisher, Norwell, MA,

novembre 2002. Citato da (Pupillo, 2013), p. 88

1.3. Dai summit di Ginevra (2003) e di Tunisi (2005), fino all’Internet Governance

Forum (2006)

Al fine di tratteggiare linee di sviluppo condivise riguardo alla nascente società dell’informazione, e di agevolare l’arrivo ad un punto d’incontro fra le diverse posizioni degli Stati riguardo alla Internet governance, l’ITU19, durante la Conferenza Plenipotenziaria di Minneapolis del 1998, avanzò l’idea di un WSIS (World Summit

on the Information Society), da condurre sotto l’egida dell’ONU. Nel 2003 e nel 2005

si svolsero dunque due WSIS, il primo a Ginevra, il secondo a Tunisi20_{, durante i quali}

si affrontò il problema di come elaborare delle public policies condivise a livello globale riguardo alla governance dello spazio cibernetico.21 In generale, il processo WSIS costituì una reazione da parte della comunità internazionale alla US Centric

Internet governance, in quanto “l’internazionalizzazione veniva vista da molti Paesi

come la via naturale per garantire una governance più inclusiva”.22

Con il WSIS del 2003, i governi degli Stati partecipanti si impegnarono a costruire una società dell’informazione incentrata sulla persona, sulla condivisione di informazioni, e sulla conoscenza, per migliorare la qualità della vita, ed a tal fine fu redatto un apposito Piano d’azione. Inoltre, si prese atto del fatto che l’Internet Governance e le sue problematiche necessitassero di un trattamento coordinato a livello internazionale, e per realizzare tale obiettivo fu creato il già citato WGIG, il quale consentì il coinvolgimento di varie organizzazioni intergovernative, internazionali, e di altri interessati, nella preparazione delle negoziazioni per il WSIS di Tunisi del 2005. Il WSIS di Ginevra del 2003, contribuì in modo essenziale alla definizione della società dell’informazione e delle sue problematiche, ma lasciò del tutto aperta ed irrisolta la partita relativa alla governance di Internet. Al riguardo, il successivo WSIS di Tunisi del 2005 riuscì a pervenire a diversi risultati concreti rafforzando la cooperazione fra Stati (enhanced cooperation). Quest’ultima si fonda sulla garanzia che i governi possano, su base paritetica, espletare il loro ruolo nell’ambito della

19_{Unione Internazionale delle Telecomunicazioni, un’agenzia specializzata delle Nazioni Unite di cui}

si dirà più avanti (all’interno del presente Capitolo, si veda il paragrafo 2.2.).

20_{Link per il WSIS di Ginevra (2003) ed il WSIS di Tunisi (2005):} http://www.itu.int/net/wsis/basic/index.html

21_{(Nicotra, 2009), pp. 65 ss.} 22_{(Pupillo, 2013), p. 89}

regolazione della governance di Internet. Più specificamente, l’art. 29 della relativa Agenda di Tunisi sancì i principi generali dello stesso processo di gestione, il quale (pur rimanendo all’interno del modello multi-stakeholder), sarebbe dovuto divenire maggiormente inclusivo, multilaterale, trasparente e democratico.Inoltre, fu istituito l’Internet Governance Forum (IGF), al fine di realizzare una partecipazione concretamente aperta, libera e trasparente tra tutti i soggetti che formano la comunità di Internet. A tal proposito l’IGF include rappresentanti del settore privato, della società civile, degli Stati, delle organizzazioni internazionali, e soprattutto delle agenzie ONU, come ad esempio l’ITU, la UNCTAD (United Nation Conference on

Trade and Development, agenzia dedita al commercio) e la WIPO. Lo scopo principale

dell’IGF dunque, non è quello di svolgere una funzione di controllo o di sostituirsi alle organizzazioni esistenti; infatti, di per sé, non dispone di veri e propri poteri decisionali. Al contrario, l’IGF agevola l’interconnessione fra gli attori del cyberspazio attraverso la creazione di c.d. coalizioni dinamiche, ossia di gruppi di lavoro aperti ed informali che formulano proposte riguardo a specifiche problematiche nelle sedi decisionali più opportune, la cui eventuale adozione comunque, non può che avvenire su base volontaria. Tramite l’IGF vengono dunque elaborate ed emanate Raccomandazioni da parte dei vari utenti della rete.

Per quanto concerne il profilo della cybersecurity, i dibattiti relativi alla governance della sicurezza sono pervasivi nel contesto dell’IGF, dove di particolare interesse risulta essere l’indagine sulla relazione e sul bilanciamento tra sicurezza, privacy e apertura.23 Inoltre, fin dal primo IGF internazionale di Atene del 2006, ci si accorse della necessità di replicare questo processo anche a livello nazionale. Al riguardo, il primo IGF Italia24 fu organizzato nel 2008 a Cagliari, e consentì di condividere varie esperienze di governo locale della rete, di analizzare il rapporto tra politica ed Internet, e di formulare una proposta per l’adozione di una Carta dei diritti di Internet. Dal secondo appuntamento in poi, tenutosi a Pisa nel 2009, l’IGF Italia è divenuto una delle più importanti occasioni d’incontro dell’intera comunità italiana di Internet, rispondendo di fatto all’invito da parte del Parlamento Europeo a promuovere iniziative nazionali analoghe a quelle globali.

23_{Per maggiori approfondimenti: Christou G., Cybersecurity in the European Union. Resilience and} Adaptability in Governance Policy, Palgrave, London, 2015, pp. 28 ss.

Infine, nel dicembre 2011 all’Aia viene formata la Freedom Online Coalition, un gruppo di 30 governi che collaborano per promuovere la libertà di Internet, principalmente attraverso il coordinamento di iniziative diplomatiche ed interventi nelle sedi internazionali pertinenti. Sia quest’ultima iniziativa, sia quella successiva dell’UNESCO (che nel 2013 ha organizzato un proprio WSIS a Parigi), sia il timore da parte di molti Stati per il verificarsi di un lock-in istituzionale (dovuto al fatto che un luogo consultivo come l’IGF rivendichi un rilevante ruolo nella definizione della fondamentale questione dell’Internet Governance, potendo in concreto sminuire il potere di altri organi decisionali, come ad esempio l’ITU), hanno contribuito alla frammentazione della scena istituzionale, portando ad una proliferazione di luoghi differenti che lentamente sta indebolendo il ruolo dell’IGF, spinto sempre più ai margini dei dibattiti più accesi sulla gestione della rete.25

1.4. Dal modello multi-stakeholder al sistema multi-institutional. La necessaria

riforma di ICANN

A livello teorico, sono tre le linee interpretative maggiormente diffuse a livello internazionale riguardo la gestione di Internet:26

- La prima propone di gestire la rete seguendo il modello multi-stakeholder. - La seconda propone una gestione intergovernativa, tramite la creazione di un’agenzia internazionale ad hoc appartenente alla galassia dell’ONU.

- la terza propone una multi-institutional governance a geometria variabile, disegnando livelli di partecipazione differenti per i vari stakeholders a seconda delle tematiche che di volta in volta vengono trattate.27

Una revisione della governance di Internet in senso più inclusivo è sempre più necessaria. L’ICANN dovrebbe essere riformato nel segno di una maggiore

accountability e trasparenza: solo così potrà diventare una vera e propria agenzia

globale. In particolare, dovrebbero essere rivisitati i meccanismi di partecipazione, in quanto ad oggi il modello multi-stakeholder non garantisce l’effettivo ed eguale

25_{(Mindus, 2015), p. 25}

26_{(Moretti, 2014), p. 48}

contributo da parte di tutti gli attori rilevanti per il processo. Le diverse forme di condivisione previste sembrano fini a loro stesse, dato che manca una concreta possibilità di influenzare le varie decisioni, ed al riguardo, bisogna sottolineare che esiste una significativa differenza tra making your views known and making your views

count.28_{Per quanto poi concerne la trasparenza, è da scongiurare il rischio}

dell’information overload: al momento infatti, sui siti di ICANN ed IGF sono dispersi online migliaia di documenti, studi, relazioni dei vari meeting. Si dovrebbe quindi trovare il modo di semplificare l’accesso a questo materiale.

Al riguardo, già nel 2009, con la firma della Affirmation of Commitments da parte del Dipartimento del commercio statunitense ed ICANN stessa, si fecero passi avanti per l’indipendenza e l’internazionalizzazione di tale organizzazione, prevedendo in particolare che ICANN non dovesse più riferire al governo americano sulle proprie attività. Si istituirono dunque dei Comitati di valutazione globali per lo svolgimento di un regolare controllo sul funzionamento dell’organizzazione, al termine del quale, a questi ultimi fu affidato il potere di emanare raccomandazioni al Board dei direttori di ICANN, che a sua volta si impegnava a tenerne conto. Ciononostante, il contratto con il Dipartimento del Commercio statunitense del 1998, che affidava ad ICANN le

Nel documento Assetto normativo e governance della Cybersecurity per la Pubblica Amministrazione (pagine 82-101)