Chi controlla il cyberspazio? La zona grigia della responsabilità

Approcci normativi al cyberspazio: paesi in ordine sparso

Ad esempio, la Cina considera il cyberspazio come un’estensione della sovranità nazionale, seguendo i principi espressi nella sua Cybersecurity Law (2017) e nel Data Security Law (2021). Queste normative enfatizzano il controllo statale sulle infrastrutture digitali e sui dati come risorse strategiche. D’altra parte, la Russia ha adottato il concetto di “sovereign internet” sancito nella legge federale del 2019, che mira a garantire l’indipendenza del segmento russo del cyberspazio in caso di attacchi esterni o disconnessioni globali.

Paesi come l’Australia e il Canada offrono ulteriori prospettive. L’Australia, attraverso il suo Cyber Security Strategy 2020, sottolinea l’importanza di una partnership pubblico-privata per proteggere infrastrutture critiche e migliorare la resilienza del cyberspazio nazionale. Il Canada, invece, nel suo National Cyber Security Strategy (2018-2024), pone l’accento sulla protezione delle infrastrutture essenziali e sulla necessità di collaborare con partner internazionali per affrontare le minacce globali.

Questi esempi riflettono una varietà di approcci normativi che evidenziano la complessità e la diversità delle visioni sul cyberspazio a livello globale.

Cyberspazio, un dominio digitale cruciale: le linee guida del Tallin Manual 3.0

Il cyberspazio, come definito dal Tallinn Manual 3.0 e dal NATO CCDCOE (NATO Cooperative Cyber Defence Centre of Excellence), rappresenta un dominio digitale cruciale. Il Tallinn Manual 3.0, rappresenta un aggiornamento significativo rispetto alle versioni precedenti.

Pubblicato per rispondere alla crescente complessità delle operazioni cibernetiche e all’evoluzione delle minacce nel cyberspazio, il manuale integra nuove linee guida che riflettono gli sviluppi tecnologici e normativi più recenti.

È un riferimento fondamentale per il diritto internazionale applicato alle operazioni cibernetiche, affrontando temi come la sovranità digitale, la responsabilità degli stati e le implicazioni legali degli attacchi sotto la soglia del conflitto armato.

La definzione del cyberspazio nel Tallin Manual 3.0 e nel Nato Code

Descrive il cyberspazio come “l‘ambiente risultante dall’interazione tra persone, software e servizi su Internet mediante dispositivi e reti tecnologiche connesse a esso (“Cyberspace is the environment resulting from the interaction of people, software and services on the Internet by means of technology devices and networks connected to it”), evidenziandone la complessità e l’interconnessione globale. Questa definizione sottolinea il ruolo del cyberspazio come infrastruttura critica per lo scambio di informazioni e l’erogazione di servizi essenziali.

Allo stesso modo, il Nato Code identifica il cyberspazio come “un dominio creato dall’uomo che consente la rapida condivisione di informazioni attraverso reti interconnesse, influenzando ogni aspetto della società moderna e della difesa (“Cyberspace is a man-made domain that enables the rapid sharing of information through interconnected networks, impacting every aspect of modern society and defense”). Questa definizione pone l’accento sull’importanza strategica del cyberspazio nel contesto della sicurezza e della difesa collettiva, riconoscendo al contempo la sua vulnerabilità come sistema globale. Entrambe le fonti, quindi, convergono sulla necessità di proteggere il cyberspazio come risorsa essenziale per la stabilità e la resilienza degli stati moderni.

Sicurezza del cyberspazio e sicurezza nazionale

Questo spazio, costituito da reti interconnesse, è al tempo stesso un luogo virtuale di opportunità e un terreno vulnerabile. Alterazioni digitali in questo contesto, soprattutto tramite Internet of Things (IoT) e Cyber-Physical Systems (CPS), possono avere ripercussioni tangibili e dirette sul mondo fisico. L’implicazione è chiara: la sicurezza del cyberspazio è strettamente collegata alla sicurezza nazionale, al benessere economico e alla protezione dei diritti fondamentali.

Queste definizioni riflettono la natura frammentata e complessa del cyberspazio, che, pur essendo virtuale, è caratterizzato da confini politici, legali e tecnologici. Non è un unico luogo omogeneo, ma un insieme di domini interconnessi, ciascuno con regole e vulnerabilità proprie. Questo rende essenziale una cooperazione multilaterale per affrontare le sfide emergenti.

Il cyberspazio: un paragone con le acque internazionali e lo spazio aereo

Cyberwarfare e cyberwar: una distinzione necessaria

La definizione di cyberwarfare varia a seconda del contesto normativo. Oltre al Tallinn Manual 3.0 e al Nato Code, anche le Nazioni Unite hanno contribuito al dibattito attraverso i report del Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security (UN GGE). Questi documenti promuovono l’applicazione delle leggi internazionali esistenti, incluso il diritto umanitario, alle operazioni cibernetiche. Allo stesso modo, l’Organizzazione per la Cooperazione di Shanghai (SCO), di cui fanno parte Cina, Russia e altre nazioni asiatiche, ha sviluppato un quadro normativo che sottolinea l’importanza della sovranità digitale e del controllo statale sul cyberspazio.

Queste prospettive ampliano il concetto di cyberwarfare, considerando anche operazioni che potrebbero non essere riconosciute come tali in ambito occidentale ma che riflettono visioni culturali e strategiche diverse del cyberspazio. Questo evidenzia la necessità di un dialogo multilaterale per sviluppare norme universali che possano affrontare le minacce emergenti nel dominio digitale.

Il cyberspazio è un dominio cruciale in cui avvengono una moltitudine di azioni, dalla gestione di transazioni bancarie alla custodia di dati sensibili, passando per la protezione di brevetti, informazioni strategiche e codici sorgente di software. Questi sistemi spesso si interfacciano con il mondo fisico tramite tecnologie come l’Internet of Things (IoT) e i Cyber-Physical Systems (CPS).

Cyberspazio e sicurezza industriale

Inoltre, il cyberspazio è il luogo in cui operano le industrie moderne, che dipendono sempre più da infrastrutture digitali per la produzione, la logistica e la gestione delle catene di approvvigionamento. La sicurezza industriale, quindi, rappresenta un pilastro fondamentale per evitare sabotaggi, interruzioni operative e furti di proprietà intellettuale. Pur essendo virtuale, il cyberspazio ha un impatto diretto e tangibile sul mondo reale, influenzando settori critici come l’energia, i trasporti, la comunicazione e l’industria.

Il ruolo della cyberwarfare nel cyberspazio

Tra le molteplici azioni che si svolgono nel cyberspazio, la cyberwarfare occupa un ruolo centrale. Secondo il Tallinn Manual 3.0, sviluppato per rispondere all’evoluzione delle operazioni cibernetiche nel diritto internazionale, la cyberwarfare è definita come “cyber operations that rise to the level of a use of force or an armed attack” (“operazioni cibernetiche che raggiungono il livello di uso della forza o di un attacco armato”). Questa definizione riflette la necessità di distinguere chiaramente tra atti di guerra convenzionale e azioni nel cyberspazio che, pur non raggiungendo la soglia del conflitto armato, possono avere conseguenze devastanti. Secondo il Nato Code, la cyberwarfare include “the employment of cyber capabilities with the primary purpose of achieving objectives in or through cyberspace that meet the criteria of a military operation” (“l’impiego di capacità cibernetiche con lo scopo primario di raggiungere obiettivi nel o attraverso il cyberspazio che soddisfano i criteri di un’operazione militare”). Questo approccio sottolinea come tali operazioni possano essere considerate parte integrante delle strategie di difesa moderna, evidenziando la crescente rilevanza del cyberspazio come dominio operativo.

L’aggiornamento del Tallinn Manual si è reso necessario per affrontare le complessità emergenti, come l’interazione tra attacchi digitali e infrastrutture critiche, evidenziando la responsabilità degli stati nel prevenire l’uso del cyberspazio come strumento per compromettere la sicurezza globale. Questa definizione si distingue nettamente dalla cyberwar, che il Tallinn Manual identifica come “a conflict recognized under international law where cyber means are used as weapons” (“un conflitto riconosciuto dal diritto internazionale in cui i mezzi cibernetici vengono utilizzati come armi”). Un esempio pratico che aiuta a comprendere questa distinzione è rappresentato dagli attacchi Stuxnet, considerati uno dei primi casi di utilizzo di un’operazione cibernetica per danneggiare infrastrutture fisiche senza ricorrere a mezzi tradizionali di guerra. In questo contesto, Stuxnet si colloca nella zona grigia della cyberwarfare, mentre un vero e proprio conflitto armato in cui i mezzi cibernetici sono usati come armi sarebbe regolato dalle norme del diritto internazionale sui conflitti armati. Questa differenziazione è cruciale per definire le responsabilità legali e le risposte appropriate degli stati.

La principale differenza tra i due concetti risiede nella soglia: la cyberwarfare si colloca in una zona grigia sotto il livello del conflitto armato tradizionale, ma può generare effetti devastanti e destabilizzanti per le infrastrutture critiche e le funzionalità essenziali di uno stato.

La vulnerabilità della catena di forniture

Un esempio significativo è sicuramente l’emblematico Stuxnet o il più recente Industroyer (e la sua evoluzione, Industroyer 2), un malware utilizzato per compromettere infrastrutture energetiche.

Questi attacchi dimostrano come la cyberwarfare possa sfruttare attori minori all’interno della cyber supply chain per colpire indirettamente bersagli strategici, aumentando l’interconnessione tra attori vulnerabili e la resilienza nazionale complessiva. Un altro esempio significativo riguarda l’attacco all’azienda taiwanese TSMC (Taiwan Semiconductor Manufacturing Company), leader nella produzione di componenti elettronici avanzati. Studi accademici evidenziano come campagne mirate siano state pianificate per introdurre backdoor nei software utilizzati per la progettazione di semiconduttori destinati a dispositivi IoT e stampanti 3D. Questi attacchi, sviluppati con largo anticipo, mirano a sfruttare i momenti critici della supply chain globale per danneggiare industrie strategiche e attivare effetti a catena in un secondo momento. Tali operazioni confermano come la cyberwarfare sia un’arma a lungo termine, con impatti devastanti su economie e sicurezza globale.

Attori, responsabilità e sfide nella cyber supply chain

La cyber supply chain è composta da una rete complessa di fornitori di hardware, software e servizi, ognuno dei quali rappresenta un potenziale anello debole. Le normative europee recenti, come la Direttiva NIS 2, il Regolamento Generale sulla Protezione dei Dati (GDPR) e l’AI Act, sottolineano l’importanza dell’accountability, ossia la responsabilità diretta di ogni attore nel garantire la sicurezza del cyberspazio.

Queste normative mirano a:

• Sensibilizzare gli attori pubblici e privati sull’esposizione ai rischi cibernetici attraverso strategie concrete, come programmi di formazione continua, simulazioni di attacchi cyber per valutare la resilienza delle infrastrutture, e l’adozione delle linee guida pratiche fornite da enti come l’ENISA (Agenzia Europea per la Cybersecurity). Tali strumenti sono fondamentali per creare una consapevolezza diffusa e promuovere una cultura della prevenzione in ambito cibernetico.
• Responsabilizzare i livelli dirigenziali attraverso strategie concrete, in particolare come indicato dalla Direttiva NIS 2, che pone l’accento sul concetto di accountability. Questa normativa attribuisce ai dirigenti di aziende ed enti la responsabilità diretta di valutare la posizione della propria organizzazione nella catena di fornitura (supply chain) e di assicurare che siano preparati e resilienti di fronte alle minacce cibernetiche. L’accountability richiede che la dirigenza adotti un approccio consapevole e proattivo, integrando framework di sicurezza aziendale, effettuando audit periodici per verificare la conformità alle normative come il GDPR, e promuovendo piani di formazione specifici per i leader aziendali. Inoltre, la Direttiva sottolinea l’importanza di simulazioni di attacchi informatici e della creazione di policy aziendali basate su best practice per garantire un approccio proattivo alla gestione dei rischi e una cultura di responsabilità condivisa.
• Prevenire azioni dolose o accidentali che potrebbero compromettere l’integrità delle infrastrutture critiche, puntando sull’accountability di tutti gli attori coinvolti, in particolare la dirigenza aziendale e istituzionale. Attraverso valutazioni di rischio periodiche, audit approfonditi e simulazioni di scenari di attacco, come suggerito dalle linee guida ENISA, è possibile sviluppare una cultura proattiva di sicurezza e resilienza all’interno delle organizzazioni.

La prevenzione come arma di difesa contro gli attacchi

La sfida è duplice: proteggere gli asset digitali e prepararsi a rispondere agli attacchi, mitigando gli effetti su cittadini e istituzioni. La prevenzione si conferma la migliore arma in questo dominio, richiedendo un approccio proattivo e sistematico. Questo approccio, in linea con la Direttiva NIS 2, pone l’accento sull’importanza dell’accountability della dirigenza nel valutare i rischi e implementare misure di sicurezza adeguate. Ad esempio, normative come il GDPR e l’AI Act promuovono il principio della “security by design”, integrando la prevenzione sin dalle fasi iniziali dello sviluppo di sistemi digitali. Inoltre, penetration testing, audit regolari e l’adozione di framework riconosciuti a livello internazionale, come ISO/IEC 27001, rafforzano la resilienza delle infrastrutture critiche. L’obiettivo è garantire che un tessuto statale resiliente permetta ai cittadini di godere dei propri diritti e di esplicare i propri doveri in un ambiente sicuro.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) e l’AI Act offrono ulteriori spunti, sottolineando l’importanza di integrare la sicurezza fin dalle fasi iniziali dello sviluppo di sistemi digitali e algoritmici, un principio noto come “privacy by design” e “security by design”. Questi strumenti normativi convergono su un punto chiave: la formazione continua del personale e la collaborazione tra pubblico e privato sono imprescindibili.

Inoltre, la creazione di strategie di incident response ben definite e il coordinamento con le autorità competenti, come previsto dalle linee guida della ENISA (Agenzia Europea per la Cybersecurity), risultano cruciali per ridurre al minimo i danni in caso di attacco, garantendo una rapida e sicura ripresa delle operazioni critiche. Iniziative come il progetto EU Cyclone, che mira a migliorare la cooperazione tra i vari CSIRT (Computer Security Incident Response Teams) a livello europeo, rappresentano strumenti chiave per costruire una rete preventiva di difesa cibernetica. Questi meccanismi, se adeguatamente sfruttati e coordinati, possono creare un sistema resiliente e proattivo in grado di anticipare le minacce. In questo quadro, il rispetto delle normative, come la Direttiva NIS 2, non è solo un obbligo, ma una leva strategica per migliorare la resilienza complessiva del sistema digitale.

L’attribuzione degli attacchi: una zona grigia

Normative e buon senso: a ciascuno il suo

Gli stati, dal canto loro, hanno il compito di fornire linee guida chiare, promuovere la cooperazione internazionale e investire nella formazione delle competenze digitali. Organizzazioni sovranazionali, come l’ENISA, continuano a svolgere un ruolo cruciale nell’uniformare le pratiche di sicurezza e nel rafforzare la resilienza collettiva.

Infine, ogni individuo è chiamato a contribuire con una maggiore consapevolezza dei rischi cibernetici e delle buone pratiche di sicurezza digitale. Solo attraverso una responsabilità condivisa, che riconosca il ruolo di ciascun attore, è possibile garantire un cyberspazio sicuro e resiliente.

Le normative esistenti, benché spesso criticate per complessità e costi di implementazione, sono strumenti fondamentali per costruire una cultura della cybersecurity. Tuttavia, l’allarmismo attorno alla compliance a regolamenti come la Direttiva NIS 2, l’AI Act, il GDPR, il DORA e altri strumenti interconnessi spesso si concentra esclusivamente sul rischio di sanzioni, perdendo di vista il loro scopo primario. Questi regolamenti mirano non solo a garantire l’adeguamento normativo, ma soprattutto a promuovere l’accountability e principi come “security by design”.

L’adeguamento deve essere visto come un’opportunità per rafforzare la resilienza, prevenire incidenti e migliorare la sicurezza delle infrastrutture critiche. Ad esempio, la Direttiva NIS 2 enfatizza il ruolo della dirigenza nell’identificare i rischi e implementare strategie preventive, mentre il GDPR e l’AI Act promuovono l’integrazione della sicurezza e della privacy nelle prime fasi di sviluppo di sistemi digitali.

Esempi pratici includono l’adozione di framework come ISO/IEC 27001, la realizzazione di penetration testing regolari e la collaborazione con i Computer Security Incident Response Teams (CSIRT) a livello europeo attraverso iniziative come EU Cyclone. In questo contesto, il rispetto delle normative non deve essere visto come un mero obbligo, ma come un supporto fondamentale per valutare e rafforzare la propria cyber posture. Normative come la Direttiva NIS 2, il GDPR, l’AI Act e il DORA aiutano le organizzazioni a individuare le loro vulnerabilità e a integrare misure preventive basate sull’accountability e sul concetto di “security by design”. L’adeguamento a queste norme fornisce gli strumenti necessari per affrontare le minacce cibernetiche in modo strategico e per garantire una resilienza sostenibile nel tempo.

Fonti

APT (Advanced Persistent Threats)
Campagne di attacco cibernetico sofisticate, spesso sostenute da stati nazionali, progettate per infiltrarsi e persistere nei sistemi target per lungo tempo.

NATO CCDCOE (NATO Cooperative Cyber Defence Centre of Excellence)
Centro di eccellenza della NATO per la difesa cibernetica, che promuove ricerca, formazione e cooperazione nel campo della cybersecurity.

UN GGE (United Nations Group of Governmental Experts)
Gruppo di esperti governativi delle Nazioni Unite che analizza sviluppi tecnologici e cibernetici nel contesto della sicurezza internazionale.

SCO (Shanghai Cooperation Organization)
Organizzazione internazionale guidata da Cina e Russia, che promuove la cooperazione politica, economica e di sicurezza, inclusa la sicurezza cibernetica.

CSIRT (Computer Security Incident Response Team)
Team responsabile della gestione degli incidenti di sicurezza informatica, che fornisce supporto tecnico e coordina le risposte agli attacchi.

ENISA (European Union Agency for Cybersecurity)
Agenzia dell’Unione Europea per la cybersecurity, che promuove la resilienza e l’implementazione di strategie di sicurezza digitale.

EU Cyclone
Progetto europeo mirato a migliorare la cooperazione tra CSIRT a livello regionale, rafforzando le capacità di risposta agli incidenti.

GDPR (General Data Protection Regulation)
Regolamento Generale sulla Protezione dei Dati, normativa dell’UE per la protezione dei dati personali e della privacy.

AI Act (Artificial Intelligence Act)
Proposta normativa dell’UE per regolamentare l’intelligenza artificiale, con attenzione particolare alla sicurezza e alla responsabilità degli sviluppatori.

DORA (Digital Operational Resilience Act)
Regolamento dell’UE volto a garantire la resilienza operativa digitale delle istituzioni finanziarie.

ISO/IEC 27001
Standard internazionale per la gestione della sicurezza delle informazioni, che specifica i requisiti per un sistema di gestione della sicurezza delle informazioni (ISMS).