Obbligo di verifica e cyber warfare

Come si è visto, mezzi tecnologici sofisticati devono essere impiegati per verificare obiettivi di attacchi cinetici su terra, aria, mare, spazio, gli ambiti spaziali in cui tradizionalmente si combattono i conflitti armati. Di recente, però, si è affiancato un nuovo campo di battaglia in gran parte intangibile e non geografico, il cyberspace85_{, nel quale gli Stati conducono diversi tipi di} operazioni militari, alcune delle quali assimilabili agli attacchi di cui all’art. 49 AP I86_{. Nell’assenza di una disciplina specifica, appare opportuno interrogarsi} brevemente circa l’applicabilità dell’obbligo di verifica ai cyber attacks.

In generale si può osservare che l’obbligo di prendere precauzioni duran- te cyber attacks è riconosciuto dai più recenti manuali militari87_{. In maniera} specifica, il Manuale di Tallinn – autorevole codificazione privata sprovvista di valore vincolante – ritiene che l’obbligo di verificare l’obiettivo di un attacco sussista anche in caso di cyber attacks, e che pertanto i responsabili di attacchi informatici devono fare tutto ciò che è praticamente possibile

83 V. G. blum, On a Differential Law of War, in HILJ, 2011, 192; Y. ShAny, A Rebuttal to

Marco Sassòli, in IRRC, 2011, 434-435; K. trApp, Great Resources cit., 156.

84 Per la prassi relativa ai conflitti contro Vietnam e Serbia, v. T. krupiy, A Case Against

cit., 420 e 449.

85 V. US depArtmentof defenSe, The Manual cit., par. 16.1.1.

86 In argomento v. H. hArriSon dinniSS, Cyber Warfare and the Laws of War, Cambridge

2012; M. roScini, Cyber Operations and the Use of Force in International Law, Oxford

2014; Cyberwar: Law and Ethics for Virtual Conflicts (a cura di J.D. Ohlin, K. Govern, C. Finkelstein), Oxford 2015.

per verificare che il sistema informatico attaccato sia di carattere militare88_. Nella prassi, infatti, sembra che gli Stati cerchino di rispettare il principio di distinzione anche nel corso di attacchi informatici89 _{– come parrebbe con-} fermato dal celebre caso Stuxnet90 _{– nonostante la struttura stessa del cyber-}

space, basata su interconnessioni automatiche fra sistemi di diversa natura,

e i tentativi di mascherare obiettivi informatici, che rendono particolarmente difficile la distinzione fra sistemi civili e militari91_{. Al contrario, il Manuale} di Tallinn, pur considerando il principio di proporzionalità applicabile in caso di cyber attacks, non ritiene che l’obbligo di verifica sia funzionale an- che al rispetto di detto principio, diversamente da quanto da noi sostenuto.92 Spesso, nel campo di cyber operations, la verifica dell’obiettivo è deman- data a strumenti tecnologicamente avanzati, in grado di tracciare in anticipo il sistema che si intende attaccare al fine di verificarne la natura. A tal fine, accanto ai tradizionali strumenti di verifica, vengono in rilievo operazioni di cyber exploitation e altri metodi di intelligence volti a realizzare il cyber

mapping del sistema avversario da attaccare93_{. Tale operazione deve ritenersi}

88 V. Tallinn Manual on the International Law Applicable to Cyber Warfare (a cura di M.N. Schmitt), Cambridge 2013, 167-168; Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations (a cura di M.N. Schmitt), 2a ed., Cambridge 2017, 478-479. 89 Allo scopo di rispettare il principio di distinzione, durante gli attacchi del 1999 contro la Jugoslavia e del 2011 contro la Libia, in via precauzionale alcuni Stati hanno rinunciato a sferrare cyber attacks contro i sistemi informatici dell’aviazione militare avversaria al fine di non causare danni all’aviazione civile. Cfr. M. roScini, Cyber Operations cit., 233-234.

90 Il programma Stuxnet fu infiltrato – parrebbe da agenti statunitensi e israeliani – nei sistemi informatici di una centrale iraniana per l’arricchimento dell’uranio, allo scopo di causare dei danni tali da portare alla sospensione del funzionamento della stessa. Pare che il malware fosse programmato per colpire solo quella centrale, al fine di evitare il contagio di sistemi civili. In generale, v. J.P fArwell, r. rohozinSki, Stuxnet and the Future of Cyber

War, in Survival, 2011, 23.

91 In argomento, v. M. roScini, Cyber Operations cit., 219-229; K. bAnnelier-chriStAkiS,

Is the Principle of Distinction Still Relevant in Cyberwarfare?, in International Law and Cyberspace cit., 343.

92 Almeno così sembrerebbe dal fatto che non vi è menzione del principio di proporziona- lità nella parte dedicata al principio di precauzione (v. Tallinn Manual cit., 167-168 ; Tallinn Manual 2.0 cit., 479-479).

93 V. L. doSwAld-beck, Computer Network Attack and the International Law of Armed

Conflict, in Computer Network Attack and International Law (a cura di M.N.Schmitt, B.T. O’Donnell), Newport 1999, 170. Sulle operazioni di cyber exploitation in tempo di guerra, sia consentito rinviare a M. longobArdo, L’applicabilità delle norme sullo spionaggio e

sulla diretta partecipazione dei civili alle ostilità al fenomeno del cyber exploitation, in La protezione dei dati personali e informatici nell’era della sorveglianza globale: temi scelti (a cura di M. Distefano), Napoli 2017, 37.

doverosa se, alla luce delle circostanze specifiche della singola operazione, essa non solo è feasible sulla base di considerazioni di umanità e militari, ma anche sulla base dei mezzi tecnologici a disposizione, che potrebbero non essere in grado di mappare il sistema avversario94_{. A tal proposito, è stato} notato che, poiché la procedura stessa che porta a un cyber attack richiede a livello tecnico una simile mappatura dell’obiettivo e giacché, di norma,

cyber attacks vengono lanciati da postazioni situate lontano dal teatro delle

operazioni, il comandante ha la possibilità di rivolgersi a tecnici esperti in grado di assistere l’attaccante nella verifica della natura dell’obiettivo e delle conseguenze dell’attacco95_{. Anche nell’ambito del cyber warfare, ai fini del-} la configurabilità della responsabilità internazionale dell’attaccante occorre verificare se l’obbligo di verifica è stato rispettato in maniera diligente. 8. Conclusioni

Oggi gli Stati hanno interesse a ricercare informazioni riguardanti gli obiettivi e gli effetti di un attacco sia al fine di guadagnare un vantaggio militare, sia per rispettare gli obblighi in materia di protezione dei civili. Lo sviluppo di forme di intelligence tecnologiche sempre più sofisticate fa sì che uno Stato incorra in responsabilità internazionale qualora non assuma informazioni circa l’obiettivo e l’effetto di un attacco – anche cibernetico – utilizzando tutti i mezzi concretamente a sua disposizione, prescindendo dal fatto che il suo avversario non possa attenersi a standard simili per l’impos- sibilità di accedere agli ultimi ritrovati tecnologici.

Si spera col presente saggio di avere fatto un po’ di chiarezza sull’obbli- go di verifica, la sua natura e le sue conseguenze. In ambienti militari tale norma è spesso considerata un semplice corollario dei principi di distinzione e proporzionalità, cui è naturalmente connessa. Considerarla attentamente quale obbligo giuridico fonte di responsabilità internazionale potrebbe aiu- tare a ridurre il numero di vittime civili nei conflitti armati, nel tentativo di introdurre un ulteriore quid di legalità nella condotta delle ostilità. Perché l’umanizzazione della guerra, l’obiettivo del diritto internazionale umani- tario almeno dal secondo conflitto mondiale in poi, passa necessariamente dall’accertamento di responsabilità – anche statali, oltre che individuali – in caso di “errori” che comportano vittime civili.

94 V. W.H. boothby, Where Do Cyber Hostilities Fit in the International Law Maze?, in

Technologies and Law cit., 65.

Le regole della responsabilità internazionale degli Stati