L’elemento soggettivo dell’illecito: l’imputazione della condotta di cy-

ber espionage

L’imputazione soggettiva del comportamento illecito ad uno Stato è ele- mento costitutivo della responsabilità internazionale e, come noto, risulta in- tegrato non soltanto quando la condotta sia tenuta da un organo formalmente riconosciuto32 _{o abilitato ad esercitare prerogative dell’attività di governo}33_,

31 k. ziolkowSki, Peacetime Cyber Espionage cit., 458 ricorda che già nel 1999, il US

Department of Defence Office of General Counsel osservava che «an unauthorized electro- nic intrusion into another nation’s computer systems may very well end up being regarded as a violation of the victim’s sovereignty. It may even be regarded as equivalent to a physical trespass into a nation’s territory but such issues have yet to be addressed in the internatio- nal community». Per un’ampia disamina di tale profilo, con specifico riferimento ai limiti in cui incorre l’acquisizione transfrontaliera di dati da parte dell’autorità giudiziaria, si veda G.P. ruotolo, Il ruolo del consenso del sovrano territoriale nel transborder data access tra

obblighi internazionali e norme interne di adattamento, in CI, 2016, 183 e ss.

32 Si fa riferimento, a tale riguardo, all’art. 4 del Progetto di articoli sulla responsabilità degli Stati: Draft Articles on Responsibility of States for Internationally Wrongful Acts, with Commentaries (DARSIWA), in YILC, 2001, vol. II, Part Two, p. 31 ss.

ma anche nei casi in cui l’attività contestata sia riconducibile a persone o gruppi di persone agenti su istruzione ovvero sotto la direzione o controllo di un determinato Stato34_.

Nel caso del cyber espionage l’accertamento di tale profilo risulta estrema- mente problematico per un molteplice ordine di ragioni connesse, da un lato, con le specificità del fenomeno in esame e, dall’altro lato, con l’elevato nume- ro di soggetti attualmente impegnati in attività di spionaggio nel cyber space. Nel contesto cibernetico risulta, infatti, particolarmente complesso, anzitutto, individuare ed identificare gli autori della condotta contestata (technical o fo-

rensic attribution)35_{. Una volta individuati i soggetti responsabili della con-} dotta di cyber espionage, poi, anche la loro riconducibilità ad un determinato Stato (legal attribution) risulta tutt’altro che agevole. Tralasciando le ipotesi (di più facile soluzione) in cui la spia sia espressamente riconosciuta come organo di un determinato Stato, questa operazione – già estremamente difficile nel caso dello spionaggio tradizionale – risulta, infatti, ulteriormente compli- cata dal significativo numero di attori (non necessariamente state-sponsored) impegnati in attività di raccolta clandestina di informazioni.

La relativa economicità e accessibilità della tecnologia necessaria per con- durre attività di cyber espionage ha, infatti, contributo alla diffusione di gruppi di soggetti impegnati in attività cibernetiche di varia natura (tra cui non soltan- to la raccolta di informazioni ma anche veri e propri attacchi informatici) non riconducibili ad alcuno Stato. Si pensi, a titolo esemplificativo, a organizzazio- ni quali Anonymous o Wikileaks, che perseguono obiettivi e programmi propri, in assenza di qualsivoglia documentata connessione ai governi nazionali.

Rispetto alle problematiche dinanzi sintetizzate, l’attuale regime del- la responsabilità internazionale degli Stati appare largamente inadeguato, in quanto il test applicato dalla giurisprudenza internazionale (e codificato nel Progetto di articoli sulla responsabilità internazionale degli Stati) ai fini dell’imputazione agli Stati di comportamenti illeciti tenuti da privati, fonda- to, come noto, sul criterio del controllo, rende estremamente impervia l’at- tribuzione di condotte illecite realizzate in ambito informatico36_.

Il Manuale di Tallinn si pone in una linea di sostanziale continuità ri- spetto a tali precedenti, riproducendone – e declinandone, per così dire – i principi con specifico riferimento all’ambito cibernetico. La Rule 6 ribadi-

34 Id., art. 8.

35 In argomento, si veda, tra gli altri, p. mArgulieS, Sovereignty and Cyber Attacks:

Technology’s Challenge to the law of State responsibility, in MJIL, 2013, 502 e ss.

36 A tale riguardo, si veda ancora p. mArgulieS, Sovereignty and Cyber Attacks cit., 504

e ss. per un’ampia disamina dei profili di inadeguatezza – rispetto al contesto cibernetico – delle regole previste, a livello di diritto internazionale generale, per l’attribuzione agli Stati di comportamenti illeciti tenuti da privati.

sce, in particolare, la regola secondo cui «a State bears international legal

responsibility for a cyber operation attributable to it and which constitutes a breach of an international obligation» e il commentario di tale previsione

fa espresso riferimento all’art. 8 del Progetto di articoli sulla responsabilità internazionale degli Stati, al caso delle Attività militari e paramilitari in e

contro il Nicaragua37 _{nonché al caso Tadic}38_.

A ben vedere, tuttavia, il Manuale di Tallinn adotta un approccio ancora più prudente – quanto ai criteri di imputazione soggettiva del comportamen- to illecito – rispetto ai precedenti dinanzi richiamati, con l’evidente finalità di prevenire affrettate attribuzioni di responsabilità fondate sulla (apparente) provenienza dell’attività informatica illecita, sull’assunto che, in ambito in- formatico, il rischio che siffatta provenienza sia ingannevole risulti superiore all’ambito fisico e materiale39_{. In questa prospettiva, per un verso, la Rule 7,} rubricata Cyber operations launched from governmental cyber infrastructu-

re, prevede che «the mere fact that a cyber operation has been launched or otherwise originates from governmental cyber infrastructure is not sufficient evidence for attributing the operation to that State, but is an indication that the State in question is associated with the operation». Per altro verso, la Rule 8 – rubricata Cyber operations routed through a State – prevede che «the fact that a cyber operation has been routed via the cyber infrastructure located in a State is not sufficient evidence for attributing the operation to that State».

In altri termini, mentre, a norma della Rule 7, la provenienza dell’attività dalla cyber infrastructure appartenente al governo di un determinato Stato non è elemento sufficiente per fondarne la responsabilità (bensì soltanto per supporne il coinvolgimento), il semplice transito dell’attività attraverso una

cyber infrastructure situata in un determinato Stato non può fondare alcun

addebito nei confronti di quest’ultimo.

Attraverso le regole appena citate, il gruppo di esperti che ha elaborato il Manuale di Tallinn ha, dunque, preso atto della maggiore difficoltà di con- trollare l’attività informatica e della conseguente necessità di bilanciare, da una parte, l’interesse dello Stato di ‘provenienza’ dell’attività informatica illecita a non vedersi attribuire condotte nelle quali non risulti, in realtà, coinvolto e, dall’altra parte, l’interesse dello Stato che subisce l’attività ille- cita ad identificarne senza insuperabili difficoltà il responsabile.

Tra le due posizioni, il Manuale di Tallinn ha offerto una ricostruzione del- le vigenti regole di diritto internazionale nettamente favorevole alla prima,

37 Cfr. supra nota 22.

38 TPI per l’ex-Iugoslavia, Appeals Chamber, The Prosecutor v. Dusko Tadic, IT-94-1-A, sentenza del 15 luglio 1999, par. 131-145.

39 In questo senso il commentario alla Rule 7 del Manuale di Tallinn, (Tallinn Manual cit., 35).

attenuando enormemente la rilevanza – ai fini dell’imputazione dell’attività illecita – della cyber infrastructure di provenienza e gravando lo Stato-vittima dell’onere di provare comunque gli elementi della direzione e del controllo.

Questo approccio è stato oggetto di critiche da parte della dottrina che – a fronte degli accennati problemi di attribuzione delle attività informatiche – ha rilevato come esso finisca per incentivare gli Stati a fornire un safe haven

and sanctuary a gruppi di privati impegnati in attività informatiche illecite

e ha posto, quindi, in evidenza (in netta contrapposizione alla prospettiva adottata dal Manuale di Tallinn) la necessità di ‘responsabilizzare’ lo Stato nella cui giurisdizione ricade la cyber infrastructure di provenienza dell’at- tività illecita, facendo gravare sullo stesso (a) sotto il profilo sostanziale, un obbligo di intraprendere con diligenza ogni attività e controllo necessario affinché le cyber infrastructure soggette alla sua giurisdizione non vengano impiegate per condurre attività illecite ai danni di altri Stati e (b) sotto il profilo procedurale, l’onere di provare – in caso di contestazione – la propria estraneità rispetto all’attività in questione40_.

Si tratta, con ogni evidenza, di un assetto lontano dallo stato attuale del diritto internazionale, quanto meno nella misura in cui si propone di im- putare presuntivamente (e sulla base di una sorta di culpa in vigilando) le condotte illecite realizzate in ambito cibernetico allo Stato nella cui giurisdi- zione si trova la cyber infrastructure di provenienza dell’attività contestata. Merita, nondimeno, di essere sottolineato come una maggiore respon- sabilizzazione dello Stato sotto la cui giurisdizione ricade la cyber infra-

structure di provenienza dell’attività non sia da escludere de iure condito,

a fronte della previsione contenuta nella Rule 5, rubricata Control of cyber

infrastructure, secondo cui «a State shall not knowingly allow the cyber infrastructure located in its territory or under its exclusive governmental control to be used for acts that adversely and unlawfully affect other States».

Tale principio – corollario del più ampio obbligo di rispettare la sovranità degli altri Stati – è pacificamente riconosciuto nel diritto internazionale già a partire dal caso del Canale di Corfù del 1949, in cui la CIG ha ritenuto che uno Stato non può «allow knowingly its territory to be used for acts contrary

to the rights of other States»41_{. Nel medesimo senso, il Tribunale arbitrale} istituito per dirimere la controversia insorta tra USA e Canada nel caso Trail

Smelter ha affermato che «under the principles of international law […] no

40 In argomento, p. mArgulieS, Sovereignty and Cyber Attacks cit., 514, propone un ap-

proccio fondato sul c.d. virtual control, il quale «recognises that the difficulty of detection, the diminished need for personnel and the case of monitoring by a diligent state require burden shifting when a state funds and equips or knowingly provides sanctuary to a private entity that subsequently engages in cyber attack against another state».

State has the right to use or permit the use of its territory in such a manner as to cause injury […] in or to the territory of another or the properties or persons therein, when the case is of serious consequence»42_.

Il principio in esame – è opportuno sottolinearlo – non risolve (né sem- plifica) le accennate problematiche di imputazione soggettiva delle attività di cyber espionage, dal momento che non consente affatto di attribuire tali attività allo Stato nella cui giurisdizione esse vengono realizzate, quanto piuttosto di radicare in capo a tale Stato un (autonomo) obbligo di vigilare sull’utilizzo delle cyber infrastructure soggette alla sua giurisdizione43_.

È, tuttavia, evidente la rilevanza di questa previsione nell’accennata pro- spettiva di responsabilizzazione dello Stato nella cui giurisdizione si trovano le cyber infrastructure utilizzate per le attività di spionaggio, il quale – ove effettivamente ad esse estraneo – si trova, del resto, nella migliore posizione per adottare le opportune iniziative di repressione. Tanto più che, sul punto, una parte del gruppo internazionale di esperti ha proposto che la ‘conoscen- za’ da cui scaturisce l’obbligo in esame («shall not knowingly allow») debba essere interpretata non già in termini di conoscenza effettiva, bensì di con-

structive knowledge, impegnando, in tal modo, la responsabilità degli Stati

che, attraverso una diligente opera di controllo, avrebbero potuto prevenire o tempestivamente reprimere l’attività illecita contestata44_.

6. Conclusioni

A conclusione delle riflessioni che precedono, sembra significativo os- servare come, nella specifica prospettiva della disciplina della responsabi- lità internazionale degli Stati, la sfida più notevole posta dalle attuali e più moderne forme di spionaggio sia rappresentata non soltanto – come è im-

42 Trail Smelter Case (United States v. Canada), 16 aprile 1938 e 11 marzo 1941 in Recueil des Sentences Arbitrales, v. III, 1905 e ss.

43 In termini più generali, tale conclusione appare coerente con l’opinione di quegli autori che svalutano la rilevanza dell’elemento soggettivo ritenendo che l’attribuzione non rappre- senti un passaggio strettamente necessario. Si veda, in argomento, I. brownlie, System of

the Law of Nations. State Responsibility. Part I, Oxford 1983, 36, secondo cui «imputability would seem to be a superfluous notion, since the major issue in a given situation is whether there has been a breach of duty: the content of ‘imputability’ will vary according to the par- ticular duty, the nature of the breach, and so on. Imputability implies a fiction where there is none, and conjures up the idea of vicarious liability where it cannot apply».

44 Cfr. commentario alla Rule 5 del Manuale di Tallinn (Tallinn Manual cit., 28), ove il gruppo di esperti dà atto del dibattito «as to whether this Rule also applies if the respective State has only constructive (‘should have known’) knowledge».

mediatamente intuitivo ritenere – dal grado di evoluzione tecnologica degli strumenti impiegati, ma anche dal ruolo spiegato (sia sotto il profilo attivo che passivo) dagli individui.

Tale fenomeno emerge chiaramente dalla ricostruzione proposta in que- sto scritto, in cui si è osservato come (a) l’attività di spionaggio sia oggi praticata anche da soggetti (organizzati o singoli) che si propongono di ac- quisire clandestinamente informazioni appartenenti non soltanto ad altri pri- vati ma anche a Stati; (b) le stesse attività di spionaggio condotte dagli Stati abbiano, in ampia misura, per oggetto individui e imprese, tanto che i più preoccupanti fenomeni di spionaggio della storia recente riguardano proprio i programmi di sorveglianza massiva diretti dalle agenzie di sicurezza USA e lo spionaggio economico condotto ai danni delle imprese dei paesi indu- strialmente più evoluti; (c) nel contesto dello spionaggio, gli Stati non siano più in grado di proteggere i propri cittadini, i quali sono direttamente esposti alle intrusioni cibernetiche provenienti da Stati terzi e debbono, pertanto, autonomamente provvedere alla propria difesa45_.

Se, ad un livello più generale, ciò può considerarsi come una manifesta- zione della sempre maggiore rilevanza che gli individui stanno acquisendo sul piano internazionale nell’attuale contesto storico46_{, la tendenza in esame} presenta, in particolare, due principali implicazioni nella specifica prospetti- va della disciplina della responsabilità internazionale degli Stati.

In primo luogo, l’accresciuta rilevanza degli individui nel contesto dello spionaggio si riflette nella necessità di valutare la responsabilità degli Stati per condotte di spionaggio non più soltanto in base al diritto internazionale generale, ma anche sulla scorta di regimi e strumenti speciali, tra cui spicca- no, in particolare, quelli in materia di tutela dei diritti fondamentali.

In secondo luogo, anche sul piano del diritto internazionale generale, cambia sensibilmente il ruolo giocato dagli Stati, i quali – a fronte dell’ac- cresciuta rilevanza dei privati e delle potenzialità lesive delle attività da que- sti condotte – assumono sempre più la posizione di ‘regolatori’ (oltre e piut- tosto che di ‘attori’), chiamati a rispondere non più (soltanto) per le attività direttamente realizzate, quanto (in misura crescente) per l’omesso controllo e vigilanza sugli individui soggetti alla propria giurisdizione, secondo una prospettiva di ‘responsabilizzazione’ dello Stato di provenienza dell’attività illecita, che si è visto ispirare, ad esempio, anche la Rule 5 del Manuale di Tallinn.

45 Si veda in dottrina J. meSSerSchmidt, Hackback: Permitting Retaliatory Hacking by

Non-State Actors as Proportionate Countermeasures to Transboundary Cyberharm, in CJTL, 2013, 276 e ss.

46 Cfr. S.m. cArbone, I soggetti e gli attori nella comunità internazionale, in Istituzioni di di-

L’obbligo di verificare l’obiettivo e le conseguenze di un