Dalla Legge dell’Ucraina sull’informazione (1992) alla Strategia di Sicurezza Cibernetica dell’Ucraina (2016), l’approccio ucraino alla sicurezza cibernetica si distingue rispetto ad altre politiche occidentali in materia di cybersicurezza. In particolare, la nozione di “sovranità informazionale” rappresenta, non senza criticità, un aspetto rilevante per la sicurezza delle informazioni, che sarà sempre più al centro del dibattito e della letteratura sulla cybersicurezza e le sue politiche.


La “Strategia di Sicurezza Cibernetica dell’Ucraina” (d’ora in avanti: la Strategia), approvata con decreto del presidente dell’Ucraina il 15 marzo 2016, definisce le minacce alla sicurezza informatica e le rispettive priorità per garantire la sicurezza informatica dello Stato ucraino. Il documento si basa sulle disposizioni previste dalla Convenzione sulla criminalità informatica del Consiglio d’Europa – ratificata domesticamente tramite l’atto N. 2824-IV del 7 settembre 2005 – e, in generale, sulla “legislazione dell’Ucraina” con riferimento ai fondamenti normativi della propria sicurezza nazionale, secondo le linee guida stabilite con Decreto presidenziale dell’Ucraina n. 287 del 26 maggio 2015 (“Sulla decisione del Consiglio di sicurezza e difesa nazionale del Ucraina il 6 maggio 2015”).
La Strategia rappresenta la prima pietra militare nell’ambito della sicurezza informatica ucraina, riconoscendo de facto il “Cyberspazio” come un dominio distinto e separato (accanto ai tradizionali teatri operazionali di “Terra”, “Aria”, “Mare” e “Spazio”) per il confronto strategico-militare, con particolare riguardo alle attività “sovversive di intelligence da parte di agenzie intelligence straniere nello spazio cibernetico” (Cap. 2). Il documento strategico non si limita a descrivere il Sistema nazionale di cibersicurezza e le responsabilità dei principali soggetti della sicurezza informatica (Cap. 3), ma anche le priorità strategiche ucraine in questo specifico ambito operazionale (Cap. 4).
La Strategia è articolata in cinque macro-obbiettivi relativi all’acquisizione e mantenimento di diversi livelli di reattività e proattività in ambito cibernetico, dalle misure minime di crescita dell’ecosistema digitale nazionale ai requisiti della capacity building cibernetica per la competizione internazionale.
In primo luogo, il documento pone enfasi sullo “sviluppo di un cyberspazio sicuro, stabile e affidabile” (Cap. 4.1), da realizzare “acquisendo la compatibilità con gli standard rilevanti UE e NATO” relativamente alle politiche di sicurezza cibernetica. Questo punto merita particolare attenzione, perché prospetta la costruzione di un cyberspazio integrato con il teatro operativo del “quinto dominio” della NATO, indipendentemente dall’adesione formale all’Organizzazione Atlantica. Certamente la possibilità di stabilire accordi bilaterali di cooperazione nel cyberspazio tra Paesi like-minded è riconosciuta dalla politica di diversi Stati (si pensi, inter alia, alla National Cybersecurity Strategy statunitense o all’Italian Position Paper). Sulla base della lex lata, però, il diritto di autodifesa collettiva – come insegna il Tallinn Manual 2.0 – può essere legittimamente esercitato o sulla base dell’art. 51 della Carta delle Nazioni Unite (XIV, Rule 74, 1), o attraverso l’estensione di accordi preesistenti di autodifesa collettiva dall’ambito cinetico a quello cibernetico, o ancora attraverso accordi ad hoc in materia cyber (Rule 74, 4), e non sulla base di generiche adesioni a standard condivisi. Inoltre, le contromisure devono avere una natura reattiva e non proattiva (IV, Rule 21, 5), benché nel cyberspazio i test giuridici per stabilire il carattere reattivo o proattivo di un’operazione cibernetica che varchi la soglia dell’uso della forza siano piuttosto complessi. Tale aspetto contribuisce a rendere incerto l’ingaggio collettivo in operazioni cibernetiche.
Il secondo macro-obbiettivo della Strategia mira a realizzare una “protezione informatica dell’infrastruttura informatica destinata al trattamento dell’informazione”, da realizzare attraverso un una riforma dell’architettura cibernetica ucraina a più livelli (dalle infrastrutture alle politiche di cyber awareness per il personale) attraverso “agenzie statali” (Cap. 4.2.). Questo punto è però bilanciato, per così dire, da un presupposto comune agli approcci multistakeholderisti delle politiche occidentali in materia di cybersicurezza, ovvero lo sviluppo di una “partnership pubblica-privata sulla prevenzione delle minacce cibernetiche” (Cap. 4.3.).
Proprio dall’integrazione di regia statale e modelli di collaborazione B2G viene perseguito l’obbiettivo della “protezione cibernetica dell’infrastruttura critica” ucraina (Cap. 4.3.), che rappresenta il terzo macro-obbiettivo della Strategia.
In modo complementare alla difesa delle infrastrutture critiche è posto il quarto macro-obbiettivo di sviluppo di una “capacity building” cibernetica interna e trasversale all’esercito ucraino, attraverso la formazione e il dispiegamento di “divisioni di sicurezza informatica e difesa informatica nell’ambito di Forze armate [dell’Ucraina], del Servizio statale per le Comunicazioni Speciali e Protezione dell’Informazione, del Servizio di Sicurezza, della Polizia nazionale dell’Ucraina, e delle agenzie di intelligence” (4.4.). Di nuovo, è prospettato l’allineamento di tali centri operativi cibernetici nazionali con “sottodivisioni di cyber-sicurezza e difesa dei Paesi NATO”.
Infine, il contrasto al crimine cibernetico è perseguito non soltanto attraverso adeguati “centri di contatto per la reportistica di crimini cibernetici”, ma anche attraverso “l’introduzione di procedure speciali per l’intercettazione di informazioni nei casi di investigazione di crimini cibernetici” (4.5.).
Il mancato ricorso ad una definizione specifica di crimini cibernetici, forse, risponde alla esigenza di adottare una politica di “sovranità informazionale”, in continuità con la nozione già introdotta dall’art. 53 della Legge dell’Ucraina sull’informazione (2 ottobre 1992), con lo scopo di promuovere e securitizzare – art. 54 – “la creazione di sistemi di informazione nazionali”.[1] Per “sovranità informazionale” si intende quell’ambito “di particolare rilevanza per l’amministrazione e tutela giuridica nel contesto dello sviluppo della società dell’informazione” che si trova “condizionatamente sotto la piena protezione delle sicurezza informazionale dello Stato”.[2]  

Leggi anche:

Il bilanciamento degli interessi informativi individuali con le esigenze dettate dalla politica di sicurezza dell’informazione connotano nettamente l’approccio politico ucraino alla sicurezza ICT, integrando il paradigma della Information Security a quello più convenzionale della Cyber Security, ovvero la sicurezza dei contenuti informativi con quella dei mezzi informativi.
È difficile prevedere una delimitazione del perimetro di applicazione specifico della “sovranità informazionale”, soprattutto in tempo di guerra. Secondo la dottrina giuridica del Tallinn Manual, la propaganda di uno Stato trasmessa in un altro Stato può in alcuni casi essere considerata una violazione della proibizione di intervento (I, Rule 4, 29), come ad es. nei casi di incitazione alla rivolta civile in un altro Stato.
Sotto questo punto di vista, la dottrina della “sovranità informazionale” costituisce, da un lato, un argomento di pendenza scivolosa (slippery-slope) per la discrezionalità della sua applicazione ed esercizio nella governance del cyberspazio; dall’altro, rappresenta un elemento sempre più indistricabile dagli approcci di securitizzazione dello spazio digitale, riconoscendo nella stessa informazione un bene da porre sotto la tutela di politiche ben definite.


Note

[1] The Law of Ukraine On Information (President of Ukraine L. Kravchuk – Kyiv, October 2, 1992 N 2657-XII); reperibile al seguente indirizzo: https://wipolex-res.wipo.int/edocs/lexdocs/laws/en/ua/ua032en.html
[2] Zubko, Oksana (2022), The essence of information sovereignty from an administrative law perspective. Entrepreneurship, Economy and Law, 4, 35–39, doi: https://doi.org/10.32849/2663-5313/2022.4.05.


Foto copertina: