Questo articolo è stato pubblicato da questo sito
La direttrice per tecnologia, diritto e policy del Human Rights Center, Lindsay Freeman scrive in un articolo di luglio per il Center for European Policy Analysis (Cepa) che l’Ucraina ha già subito attacchi informatici contro organizzazioni umanitarie e ospedali che potrebbero essere classificati come crimini di guerra. Esorta quindi la Cpi a restare al passo con questa nuova dimensione digitale delle guerre e creare un sistema di responsabilità che possa salvaguardare i civili e servire da deterrente per possibili conflitti futuri, come quello tra Cina e Taiwan.
Le operazioni cibernetiche potrebbero essere considerate crimini di guerra secondo lo Statuto di Roma, il trattato istitutivo della Corte penale internazionale. Lo scrive Marco Roscini, professore alla facoltà di giurisprudenza dell’università di Westminster, nel relativo forum aperto dalla Cpi. Alcuni cavilli però rimangono: gli attacchi devono avvenire nel contesto di un conflitto armato, devono essere di gravità sufficiente e devono coinvolgere uno stato membro o cittadini di uno stato membro della corte. L’ultimo punto rimane problematico, attribuire i crimini cibernetici non è così semplice.
Eppure è un passaggio fondamentale. Un consigliere di relazioni internazionali all’equivalente olandese dell’Agenzia per la Cybersicurezza Nazionale (Ncsc -Nl) spiega che la persecuzione dei cybercriminali secondo lui passa prima di tutto dall’attribuzione delle colpe. Dopodiché bisognerebbe avere leggi che consentano l’estradizione dei criminali verso stati che hanno le leggi per perseguire i crimini informatici.
Sembra mancare la volontà politica, afferma però il consigliere del Ncsc – Nl. Soprattutto i paesi che ospitano il maggior numero di hacker, come Cuba, Nigeria e Turchia, non sembrano disposti a creare un ipotetico tribunale internazionale per questi crimini né a cambiare le leggi sull’estradizione.
Un lato positivo però c’è. La guerra in Ucraina è stata una “wake up call” per L’Ue, che ha accelerato le regolamentazioni a tema cyber già in programma, dice il consigliere del Ncsc – Nl.
Alcuni esempi sono le nuove regole europee sulla cybersecurity, Nis2 e Cyber Resilience Act, fatte “a velocità record” secondo quanto il capo per l’unità di sicurezza informatica e privacy digitale del dipartimento digitale della Commissione europea Christiane Kirketerp de Viron afferma alla conferenza del 18 ottobre. Un altro esempio è l’italiana Agenzia per la cybersicurezza nazionale che il 25 maggio ha presentato la nuova strategia italiana per la cybersicurezza, crescendo molto in termini di personale e responsabilità. Ma l’Ue sembra aprirsi anche alla cooperazione internazionale, partecipando a una seconda serie di colloqui con l’Ucraina.
L’obiettivo dichiarato è la resilienza cibernetica. “Se creiamo maggiori difese alle nostre infrastrutture critiche, diventa meno vantaggioso colpirle”, spiega Lobozzo di Industrial Defender. “Se riusciamo a rimettere gli impianti in funzione il giorno dopo un attacco e gestiamo le minacce su più livelli, che poi significa cyber resilienza, togliamo l’incentivo economico agli hacker – spiega ancora Lobozzo -. Se smettiamo di pagare i riscatti, gli attacchi ransomware non sono più vantaggiosi”.
