(Ab)usi delle ICT come minaccia alla pace e alla sicurezza internazionale.

In ragione delle sue peculiarità il cyberspace si presenta come un dominio molto instabile ed insicuro, tuttavia ciò non impedisce agli Stati di utilizzarlo alla stregua di un campo di “battaglia alternativo” in cui agire, in maniera mirata e silenziosa, per conseguire importanti risultati strategici riducendo al minimo gli effetti collaterali, soprattutto in termini di esposizione internazionale.
Ciò nonostante, le attività cyber non hanno ancora costituito l’oggetto di alcuna disciplina internazionale: l’unico strumento multilaterale e giuridicamente vincolante attualmente in vigore è la Convenzione di Budapest del 2001 sulla criminalità informatica che si occupa di cooperazione giudiziaria tra le Parti contraenti nel caso di reati informatici perpetrati contro i soli individui.
Di conseguenza, espressioni come cyber-attack o cyber-war restano, almeno per il momento, espressioni giuridicamente neutre in quanto non qualificate dal diritto internazionale; diviene pertanto centrale chiedersi se tali espressioni indichino sempre e comunque attività pienamente lecite ancorché politicamente discutibili, ovvero se possono riferirsi anche a comportamenti antigiuridici.
La questione è stata affrontata da alcuni studiosi nell’ottica dell’illecito internazionale da altri, invece, attraverso il ricorso alla più specifica categoria dell’aggressione . Tuttavia, questi tentativi non sembrano adatti a qualificare attività anonime o comunque difficilmente attribuibili agli Stati in quanto non sembrano poter offrire soluzioni concrete dal punto di vista delle eventuali reazioni da parte dello Stato colpito poiché, ai sensi del diritto internazionale, qualsiasi risposta presuppone l’attribuzione del comportamento illecito ad un altro Stato.
Altra parte della dottrina ha invece ritenuto di poter ascrivere determinati usi delle ICT alla categoria della minaccia alla pace ai sensi dell’articolo 39 dello Statuto delle Nazioni Unite.
Questa tesi, almeno in abstracto, sembra convincente soprattutto ove si consideri che la constatazione di una minaccia alla pace ha natura prevalentemente politica. Ai sensi dell’art. 39 la dichiarazione di una minaccia alla pace può essere effettuata unicamente dal Consiglio di Sicurezza delle Nazioni Unite, responsabile del mantenimento della pace e della sicurezza internazionale nel contesto del sistema di sicurezza collettiva.
Nell’accertare l’esistenza di una minaccia alla pace, il Consiglio di Sicurezza gode di una notevole discrezionalità potendo includere in tale categoria anche situazioni non necessariamente caratterizzate dall’uso della forza militare in quanto “(t)he absence of war and military conflicts among States does not in itself ensure International peace and security. (So) the non-military sources of instability in the economic, social, humanitarian and ecological fields have become threats to peace and security”. Difatti, nel corso degli anni, la prassi ha confermato che il concetto di minaccia alla pace può essere esteso a qualsiasi violazione di un obbligo essenziale per la salvaguardia degli interessi fondamentali della comunità internazionale, come nel caso della proliferazione nucleare o della violazione dei principi democratici, anche quando tali violazioni non assumono portata transnazionale consumandosi all’interno del territorio di un singolo Stato.
Mentre è indubbio che una minaccia alla pace si verifichi in caso di imminenza di attacchi che preludono ad un conflitto armato ovvero nel caso di situazioni di post-conflitto quando ci sono reali rischi di una rinnovata eruzione di violenza, guardando alla prassi del Consiglio di Sicurezza, anche la proliferazione delle armi , il terrorismo  e lo sfruttamento illecito delle risorse naturali  possono essere considerati una minaccia per la pace.
Ciò consentirebbe di ritenere che anche determinati usi (impropri) delle ICT possano costituire una minaccia per la pace ex art. 39 senza dover necessariamente raggiungere la soglia dell’ illecito internazionale.
La dichiarazione di una minaccia alla pace, infatti, non è collegata al verificarsi di una violazione del diritto internazionale poiché la logica del sistema di sicurezza collettiva delle Nazioni Unite è di fornire strumenti preventivi per il mantenimento della pace e non di reagire alle violazioni del diritto internazionale.
Con particolare riferimento alle armi il Consiglio di Sicurezza nel 1992 ha affermato che “la proliferazione delle armi di distruzioni di massa costituisce (di per sé) una minaccia per la pace internazionale e la sicurezza” anche al di fuori di una situazione di crisi  e nel 2003 che il traffico di armi di piccolo calibro da parte di attori non Statali costituiva una minaccia alla pace in Africa (Risoluzione n. 1467). Ciò potrebbe portare a ritenere che l’uso delle c.dd. “cyber weapons” possa includersi nell’alveo delle minacce ex art. 39, soprattutto quando esse siano in grado di determinare danni materiali indiscriminati su larga scala (come Stuxnet) .

Inoltre con riferimento al terrorismo nel 2001 il Consiglio di Sicurezza nella risoluzione n. 1373 ha affermato che esso “in tutte le sue forme e manifestazioni” costituisce una minaccia alla pace ai sensi dell’art.39; c’è quindi da chiedersi se anche il cyber-terrorism possa essere incluso nel campo di applicazione della detta risoluzione. Sul punto la posizione delle Nazioni Unite sembra favorevole; difatti, nel 2015, il Group of Governamental Experts, istituito dall’Assemblea Generale dell’ONU per valutare l’applicazione del diritto internazionale alle attività informatiche, ha affermato che “(t)he use of ICTs for terrorist purposes beyond recruitment, financing, training and incitement, including for terrorist attacks against ICTs or ITC- dependent infrastructure is an increasing possbility that if let unaddressed, may threaten international peace and security”. D’altra parte già nel 2007 il Consiglio di Sicurezza sottolineava l’urgenza di proteggere le infrastrutture critiche attraverso strategie di cyber security al fine di prevenire e contrastare gli attacchi terroristici (S/Res/2341, 2017).
Da quanto fin qui illustrato appare incontrovertibile che il Consiglio di Sicurezza delle Nazioni Unite abbia l’autorità di ascrivere un determinato uso delle ICT alla categoria della minaccia alla pace, tuttavia non è così chiaro quali siano gli usi delle ICT che raggiungano tale soglia. Ulteriori dubbi sorgono poi in riferimento alla possibilità di ascrivere all’interno della categoria della minaccia alla pace quelle attività cyber che colpiscono solo gli individui (e non la sicurezza degli Stati) in quanto la prassi mostra che i soli casi in cui il Consiglio ha agito per proteggere la popolazione sono riconducibili a gravi violazioni dei diritti umani, a violenza organizzata su larga scala e ai crimini di guerra. Nonostante le criticità e i dubbi suesposti la teoria che ritiene alcuni usi delle ICT come “treaths to international peace and security” appare comunque in astratto convincente con la conseguenza che diverse sarebbero le opzioni di reazione ai sensi degli articoli 40 – 42 dello Statuto con l’ulteriore precisazione che nel contesto cibernetico le misure previste dall’art. 41 sembrano particolarmente adatte sia perché non prevedono l’impiego della forza militare sia perché possono essere rivolte nei confronti di Stati e di attori non statali. Tra esse “(t)he…complete or partial interruption of…postal, telegraphic, radio and other means of communication…(that) is especially important in the cyber context”  (anche se storicamente il Consiglio di Sicurezza ha sempre evitato di intervenire nel campo delle comunicazioni stante il correlato coinvolgimento di alcuni diritti umani, come ad esempio la libertà di espressione).
Tuttavia la presenza di ostacoli procedurali al buon funzionamento del sistema di sicurezza collettiva, tra cui il potere di veto dei membri permanenti, porta a concludere che nel caso di una minaccia alla pace internazionale determinata da attività cyber difficilmente potranno trovare applicazione le dette norme in quanto è ragionevole ritenere che proprio Stati Uniti, Cina e Russia, quali principali attori internazionali nel contesto delle cyber operations, potrebbero bloccare l’adozione di qualsiasi misura di carattere sanzionatorio.

Foto copertina: Immagine web

[trx_button type=”square” style=”default” size=”large” icon=”icon-file-pdf” align=”center” link=”https://www.opiniojuris.it/wp-content/uploads/2020/07/Le-cyber-operations-nel-diritto-internazionale-Annachiara-Rotondo.pdf” popup=”no” top=”inherit” bottom=”inherit” left=”inherit” right=”inherit” animation=”bounceIn”]Scarica Pdf[/trx_button]