Introduzione Il 27 aprile 2007 l’Estonia subì un attacco cibernetico senza precedenti. Non fu una ordinaria azione di “illegal computer trespassing” ma una vera...
Introduzione

Il 27 aprile 2007 l’Estonia subì un attacco cibernetico senza precedenti. Non fu una ordinaria azione di “illegal computer trespassing” ma una vera e propria “full-scale operation designed to wreak phisical destruction”1. Ene Ergma, membro del Parlamento estone, descrisse l’attacco nel modo seguente:

“Quando guardo una esplosione nucleare e quello che è successo nel mio Paese durante il mese di maggio, vedo la stessa cosa”.

Le sue parole sono toccanti per due motivi. Il primo perché Ene Ergma ha conseguito un dottorato di ricerca in fisica nucleare e, dunque, conosce perfettamente il potenziale distruttivo dell’atomo. Il secondo, perché l’attacco cibernetico in Estonia ha causato gli stessi effetti della radiazione nucleare ma senza alcun spargimento di sangue2.

Nel 2009, la NATO, invitò a Tallinn, in Estonia, un gruppo di esperti internazionali al fine di realizzare un manuale sulle norme da applicare in caso di Cyber War. Non dimentichiamo che anche il Comitato Internazionale della Croce Rossa (CICR), impegnato da sempre in favore delle vittime dei conflitti armati, segue con attenzione la dimensione “telematica” dei conflitti armati odierni. Il fenomeno in esame, resta, allo stato attuale, una eventualità difficile da regolare ma soprattutto da gestire.

Il presente lavoro si propone di stimolare il dibattito sulla Cyber War, non solo fra gli addetti ai lavori ma anche coinvolgendo l’opinione pubblica italiana. Cercheremo altresì di mettere in rilievo quanto sia difficoltosa l’applicazione della normativa internazionale in vigore dovuta, principalmente, alla riluttanza degli Stati ma anche dalla particolarità del teatro delle operazioni militari: il “non luogo”.

Infine, si mette a disposizione dell’utenza, un riassunto, in italiano, contenente le novantacinque regole del Manuale Tallinn. Per la consultazione integrale del Manuale in lingua originale, gli autori rinviano al seguente indirizzo: http://www.ccdcoe.org/249.html.

Alcuni problemi riguardanti la regolamentazione della Cyber War

Richard A. Clarke, ex coordinatore nazionale per la sicurezza, protezione d’infrastrutture e contro-terrorismo del Governo degli Stati Uniti d’America, ha definito la Cyber War in termini di azioni compiute da:

“(…) a nation-state to penetrate another nation’s computer or network for the purpose of causing damage or destruction”3.

In realtà la Cyber War o guerra cibernetica, tanto per utilizzare la dicitura italiana, è molto di più. Come giustamente sottolineato da Cordula Droege, consulente legale del CICR, la guerra cibernetica:

“si riferisce ai mezzi e metodi di guerra basati sulle tecnologie dell’informazione e che si utilizzano nel contesto di un conflitto armato nel senso del diritto internazionale umanitario”4.

Proprio su questo punto, il Manuale Tallinn, più che una definizione di guerra cibernetica (Cyber War), fornisce una definizione di operazioni cibernetiche (Cyber Operations). Il Manuale cerca di porre l’accento sul fatto che esistono talune azioni cibernetiche, tanto per parafrasare Clarke, indirizzate contro i sistemi informatici, che provocano danni materiali per qualche migliaio di euro, vale a dire, il costo del server o dell’attrezzatura. Ma esistono altrettante operazioni cibernetiche, ben più articolate e penetranti, le cui ricadute sul mondo reale potrebbero provocare conseguenze ben più gravi. La gravità è data, principalmente, da quanto sia devastante ed indiscriminato l’evento non solo in relazione all’indebolimento delle forze armate nemiche ma soprattutto nei confronti delle persone che non prendono parte o non prendono più parte alle ostilità.

Questo argomento fu discusso durante la XXXIV Tavola Rotonda sui problemi attuali del diritto internazionale umanitario, tenutasi nel mese di settembre 2011 presso l’Istituto Internazionale di Diritto Internazionale di San Remo. In quell’occasione, il Dr. Philip Spoerri del CICR, concluse i lavori della conferenza illustrando quattro punti salienti sui quali provare a riflettere5:

  • Il primo, riguardava l’incertezza circa i fatti. In effetti non si conoscono le modalità d’impiego della guerra cibernetica nei teatri delle operazioni militari. L’anonimato e l’interconnessione delle reti informatiche rendono questa incertezza ancor più fitta, soprattutto alla luce del fatto che è molto difficile riuscire a fare una mappatura di tali operazioni.
  • Il secondo, rifletteva circa l’allontanamento fisico dei combattenti rispetto ai nemici. Rientrano in questo ambito i droni di guerra ma anche i robot. L’allontanamento dei combattenti dai campi di battaglia tuttavia non si traduce in una reale garanzia o fonte di ulteriori tutele per la popolazione civile dato che, questi ultimi, possono essere colpiti soprattutto alla distanza.
  • Il terzo aspetto riguardava la mancanza di trasparenza circa gli effetti provocati dalle nuove armi cibernetiche.
  • Infine, il quarto punto, sollevava un problema molto delicato e sentito all’interno del diritto internazionale: l’imputazione della responsabilità. L’anonimato della rete sembra essere la regola e non l’eccezione.

 
Un anno dopo, il 16 ottobre 2012, durante il periodo di sessioni relative al disarmo e sicurezza internazionale dell’Assemblea Generale delle Nazioni Unite, il CICR, invitava gli Stati membri a prendere coscienza dei problemi umanitari e dei rischi connessi all’utilizzo di mezzi e metodi di guerra basati sulle tecnologie dell’informazione. Attacchi cibernetici contro il sistema dei trasporti pubblici, le reti elettriche, le industrie chimiche o gli impianti nucleari potrebbero compromettere seriamente la sopravvivenza della popolazione civile, oltre al fatto che il problema più emblematico della guerra cibernetica risiede nella sua intrinseca incapacità di distinguere fra sistemi informatici civili e militari.

Nonostante possa sembrare che il tema della Cyber War sia pervaso dall’ambiguità normativa, il CICR, sostiene con determinazione, anzi, intende avvertire gli Stati che non esiste alcun vuoto normativo in relazione al ciberspazio. Pertanto, le operazioni cibernetiche, dovranno tener conto, sempre e comunque, delle esigenze del diritto internazionale umanitario rispettando, in ogni luogo e circostanza, la proporzionalità fra il vantaggio militare (che ricordiamo, deve essere concreto e diretto) da un lato, e le perdite umane ed i danni alla popolazione civile incidentalmente causati dall’altro. A tal proposito, il CICR sottolinea come i problemi legati alle nuove tecnologie siano facilmente risolvibili dando piena attuazione all’art. 36 del primo Protocollo Aggiuntivo del 1977 alle quattro Convenzioni di Ginevra del 19496, quello relativo, appunto, alle nuove armi che recita:

“Nello studio, messa a punto, acquisizione o adozione di una nuova arma, di nuovi mezzi o metodi di guerra, un’Alta Parte contraente ha l’obbligo di stabilire se il suo impiego non sia vietato, in talune circostanze o in qualunque circostanza, dalle disposizioni del presente Protocollo o da qualsiasi altra regola del diritto internazionale applicabile a detta Alta Parte contraente”.

Siamo giunti così al lato più problematico che presenta l’attuale sistema di protezione così delineato dal CICR. Il punto è questo: il primo Protocollo Aggiuntivo del 1977 non è stato ancora ratificato da paesi come Stati Uniti, Israele, India, Pakistan, Iran, Turchia, Singapore, Indonesia e Malesia. Questi paesi, come noto, sono particolarmente all’avanguarda in questo ambito. Infatti alcune norme del Manuale Tallinn prevedono obblighi soltanto per gli Stati che si l’hanno ratificato. Si pensi, ad esempio, agli obblighi derivanti dall’art. 47 sulle rappresaglie, all’art. 48 sulla rassegna delle armi oppure all’art. 56 sulla scelta del bersaglio o dell’art. 83 sulla protezione dell’ambiente. In questo modo il risultato sarà ineguale: si avranno norme più stringenti per alcuni Stati e norme più elastiche per altri. Si tratta di un problema di difficile soluzione, dato che l’immissione di nuove norme internazionali resterà, negli anni a venire, subordinata alla volontà politica degli Stati e non all’imperio del diritto delle genti.

Introduzione al Manuale Tallinn

Il tema della guerra cibernetica cominciò ad acquisire importanza all’indomani degli attacchi terroristici dell’11 settembre 2001. Progressivamente molti stati, tra cui Regno Unito, Stati Uniti, Canada e Russia, riconobbero i “cyber attacks” come una delle principali minacce alla sicurezza nazionale, una vera e propria sfida da vincere per preservare la sicurezza pubblica ed economica del paese. Data la preminenza che veniva riconosciuta alla guerra cibernetica come minaccia alla sicurezza statale divenne fondamentale per gli Stati dotarsi di un sistema di norme che potessero estendersi anche al caso di Cyber Warfare.
Per chiarire la complessa ambiguità normativa a riguardo, nel 2011, gli Stati Uniti presero posizione in merito alla questione affermando che le norme consuetudinarie di diritto internazionale applicabili ai conflitti armati avrebbero potuto essere estese anche ai conflitti del cyberspazio. Restava solamente da chiarire come queste norme avrebbero dovuto essere applicate alla fattispecie e quali elementi avrebbero dovuto essere aggiunti per integrare le norme esistenti.
Il risultato di questo progetto d’integrazione è il Manuale Tallinn. Anche se le sue regole sono riconducibili alla sfera della “soft law”, si è deciso, comunque, di dettagliare il loro contenuto a continuazione.

PARTE I: IL DIRITTO INTERNAZIONALE DELLA SICUREZZA CIBERNETICA
1.- Stato e cyberspazio

Sezione I: sovranità, giurisdizione e controllo

Regola n° 1.- La sovranità:
Uno Stato può esercitare il controllo sull’infrastruttura cibernetica e le attività ad esse connesse all’interno del suo territorio sovrano.
La sovranità statale sull’infrastruttura cibernetica e le attività ad essa connesse nel suo territorio comportano due conseguenze: la prima è che l’infrastruttura cibernetica è soggetta al controllo legittimo da parte dello Stato; la seconda è che lo Stato deve proteggere tale infrastruttura cibernetica indipendentemente dal fatto che essa appartenga a enti governativi o privati.

Regola n° 2.- La giurisdizione:
Fatti salvi gli obblighi internazionali applicabili, uno Stato può esercitare la sua giurisdizione:
a) su persone coinvolte in azioni cibernetiche sul suo territorio;
b) su infrastrutture cibernetiche situate sul suo territorio; e
c) al di fuori del suo territorio, conformemente al diritto internazionale.
Può rivelarsi difficile individuare la giurisdizione di uno Stato all’interno del cyberspazio dato che i sistemi distributivi dell’informazione possono estendersi al di là dei confini nazionali. Ciò rende particolarmente complicato determinare in qualsiasi momento dove risiedono i dati degli utenti, considerato che tali dati possono essere localizzati in posti diversi e, quindi, sotto giurisdizioni nazionali diverse. Tali sfide tecniche non devono però privare uno Stato del suo diritto di esercitare la sua giurisdizione su persone e infrastrutture cibernetiche presenti o operanti nel suo territorio.

Regola n° 3. – La giurisdizione degli Stati di bandiera e degli Stati di registrazione:
Le infrastrutture cibernetiche situate su navi, aerei o altre piattaforme presenti nello spazio aereo internazionale o in alto mare sono soggette alla giurisdizione dello Stato di bandiera o dello Stato di registrazione. In particolare, la giurisdizione sulle piattaforme ove sono collocate le infrastrutture cibernetiche è dello Stato di bandiera se tali piattaforme sono situate sulle navi mentre la giurisdizione è dello Stato di registrazione se le infrastrutture cibernetiche sono situate su aerei o navicelle spaziali.

Regola n° 4.- Immunità, sovranità ed inviolabilità:
Qualsiasi interferenza da parte di uno Stato su una infrastruttura cibernetica che gode di un’immunità sovrana costituisce una violazione alla sovranità. Per immunità sovrana s’intende che tale piattaforma è immune dall’esercizio della giurisdizione di un altro Stato. Al fine di godere di tale immunità e inviolabilità, l’infrastruttura cibernetica a bordo della piattaforma in questione deve essere sfruttata solo per scopi governativi, quindi un satellite utilizzato per scopi commerciali non sarà coperto da tale immunità.

Regola n° 5.- Controllo delle infrastrutture cibernetiche:
Uno Stato non deve permettere alle sue infrastrutture cibernetiche di compiere atti fuori legge nei confronti di altri Stati. Questa regola stabilisce uno standard di comportamento rispetto a quelle infrastrutture cibernetiche presenti nel suo territorio o all’estero ma comunque sotto la sua giurisdizione. Il principio dell’uguaglianza sovrana comporta l’obbligo per tutti gli Stati di rispettare la sovranità territoriale degli altri Stati. Tale obbligo internazionale non si applica soltanto alle attività criminali ma anche a quegli atti che rappresentano una potenziale minaccia.

Sezione II: responsabilità dello Stato

Regola n° 6.- Responsabilità degli Stati:
Uno Stato ha la responsabilità giuridica internazionale rispetto ad una cyber operation imputabile ad esso e che costituisca una violazione di un obbligo internazionale.
Si tratta di un principio basilare del diritto internazionale. Uno Stato ha responsabilità giuridica quando:
a) l’atto illegittimo è attribuibile ad esso;
b) tale atto costituisce una violazione di un obbligo internazionale.
Nel contesto del cyberspazio, qualsiasi operazione illegittima posta in essere dall’intelligence o dall’apparato militare rimanda alla responsabilità giuridica dello Stato.

Regola n° 7.- Cyber operations lanciate da infrastrutture cibernetiche governative:
Il solo fatto che una cyber operation sia stata lanciata o sia originata da un’infrastruttura cibernetica governativa non costituisce prova sufficiente in grado da imputare tale operazione allo Stato, ma ciò può comportare che lo Stato in questione venga associato a questa operazione. Nel contesto cibernetico potrebbe accadere che una infrastruttura cibernetica governativa venga controllata da un attore non statuale che la utilizzi per condurre una cyber operation, senza che lo Stato ne sia al corrente. Per questo motivo bisogna escludere che il solo fatto che la cyber operation venga posta in essere da una infrastruttura cibernetica governativa rappresenti un coinvolgimento concreto dello Stato.

Regola n° 8.- Stati percorsi da cyber operations:
Il fatto che una cyber operation compiuta da uno Stato abbia raggiunto una infrastruttura cibernetica collocata in un altro Stato, non è una prova sufficiente da attribuire la cyber operation in questione a quello Stato ove è collocata l’infrastruttura cibernetica. In questa circostanza lo Stato non può essere associato alla cyber operation perché le caratteristiche del cyber spazio sono tali che il mero passaggio di dati attraverso le infrastrutture cibernetiche non presuppongono alcn tipo di coinvolgimento del predetto Stato nella cyber operation. Lo Stato ove transitano i dati della cyber operation avrà la sola responsabilità di prendere misure idonee a prevenire tale transito.

Regola n° 9.- Contromisure:
Uno Stato colpito da un atto illegittimo può ricorrere a contromisure proporzionate, incluso contromisure cibernetiche, contro lo Stato responsabile dell’aggressione. Le contromisure sono azioni necessarie e proporzionate che uno “Stato vittima” può prendere in risposta ad una violazione del diritto internazionale provocata da un’altro Stato. Lo scopo delle contromisure è quello d’indurre lo Stato responsabile a conformarsi agli obblighi internazionali. Gli esperti sono d’accordo nel sostenere che le contromisure devono essere proporzionate alla violazione iniziale al fine di evitare l’escalation di violenza.

2.- L’Utilizzo della forza

Sezione I: divieto dell’uso della forza

Regola n° 10.- Proibizione della minaccia e dell’uso della forza:
Una cyber operation che costituisce una minaccia o comporta l’uso della forza contro l’integrità territoriale di uno Stato o la sua indipendenza politica è illegittima. Un’azione che viene ricondotta all’uso della forza non deve necessariamente provenire dalle forze armate di uno Stato ma possono rientrare in tale categoria anche le cyber operations, i cui contorni sono più difficili da definire. Casi di manipolazione informatica di risultati elettorali in favore di un dato partito o diffusione di notizie non vere che possono provocare la caduta di un governo o di un regime possono essere ricondotte a quelle azioni illegittime che violano il principio di non ingerenza. Come è ovvio, non tutte le forme d’interferenza politica e economica violano tale principio.

Regola n° 11.- Definizione di utilizzo della forza:
Una cyber operation comporta l’uso della forza quando i suoi effetti sono comparabili a quelli di una non cyber operation che prevede l’uso della forza. Non esiste una definizione autorevole di minaccia o uso della forza. In mancanza di una definizione precisa di ciò che costituisce un “uso della forza”, l’approccio seguito dagli Stati è quello di porre l’enfasi su alcuni fattori che caratterizzano tutte le operazioni che ricorrono all’uso della forza, incluso le cyber operations. Questi fattori riguardano la gravità, l’immediatezza, l’invasività, la misurabilità degli effetti, il coinvolgimento statale e la presunzione di legittimità dell’azione illecita.

Regola n° 12.- Definizione di minaccia dell’utilizzo della forza:
Una cyber operation costituisce un illecito quando minaccia di compiere un azione che, se realmente portata a termine, costituirebbe un illegittimo uso della forza. Il termine di minaccia dell’uso della forza va circostanziato. Si consideri il caso in cui tra lo Stato A e lo Stato B ci siano pesanti tensioni. Lo Stato A comincia a sviluppare dei piani di attacco mediante malware nei confronti dello Stato B. La mera acquisizione di tali capacità informatiche che possono essere usate per condurre azioni implicanti l’uso della forza non costituiscono una reale minaccia. Al contrario, se il leader dello Stato A annuncia che tali capacità informatiche saranno usate per colpire lo Stato B, allora lo Stato A violerà questa regola e le sue cyber operation rappresenteranno una reale minaccia all’uso della forza.

Sezione II: legittima difesa

Regola n° 13.- Legittima difesa contro gli attacchi armati:
Uno Stato che è bersaglio di una cyber operation che raggiunge il livello di un attacco armato può esercitare il suo diritto all’autodifesa. Una cyber operation costituisce un attacco armato in relazione alla sua portata e ai suoi effetti. Uno Stato può esercitare il diritto alla legittima difesa in risposta ad una serie di incidenti cibernetici che possono essere definiti come attacchi armati. Data l’entità che alcune cyber operations possono raggiungere e i danni che possono provocare, il gruppo di esperti concorda nel ritenere che è necessario qualificare le cyber operations più gravi come veri e propri attacchi armati.

Regola n° 14.- Necessità e proporzionalità:
La cyber operation implicante l’uso della forza intrapresa da uno stato nell’esercizio del suo diritto all’autodifesa deve essere necessario e proporzionato. La necessità dell’autodifesa risiede nel fatto che essa deve respingere l’attacco armato ricevuto ed è la sola possibilità che ha lo Stato vittima di difendersi; la proporzionalità, invece, riguarda il quantitativo di forza, incluso la forza degli attacchi cyber, che uno Stato ritiene proporzionale da usare rispetto all’attacco subito.

Regola n° 15.- Imminenza ed immediatezza:
Il diritto all’uso della forza per legittima difesa è possibile qualora l’attacco armato stia avvenendo o sia imminente. L’immediatezza è un requisito necessario dell’autodifesa. Si riconosce allo Stato vittima la possibilità di difendersi anche nel caso l’attacco armato o la cyber operation sia imminente e non ancora avvenuta. Tale azione è chiamata “legittima difesa preventiva”. Generalmente, la velocità degli attacchi cyber non consente agli Stati lesi di poter ricorrere a tale strumento di prevenzione.

Regola n° 16.- Legittima difesa collettiva:
Il diritto all’autodifesa può essere esercitato collettivamente. L’autodifesa collettiva nei confronti di un attacco armato o di una cyber operation può essere esercitata solo su richiesta dello Stato vittima.
Tale diritto autorizza uno Stato o più Stati ad intervenire in aiuto di uno Stato vittima solo dopo che abbiano ricevuto una richiesta di assistenza da parte dello Stato che ha subito l’attacco. Il diritto di impegnarsi nell’autodifesa collettiva è soggetto alle condizioni e alle limitazioni imposte dallo stato vittima.

Regola n° 17.- Segnalazione delle misure di autodifesa:
Le misure implicanti cyber operation prese da uno Stato nell’esercizio del suo diritto di autodifesa ai sensi dell’art. 51 della Carta delle Nazioni Unite devono essere immediatamente comunicate al Consiglio di Sicurezza dell’ONU. Lo Stato che non comunichi al Consiglio di Sicurezza le azioni e le cyber operation intraprese nel suo diritto di autodifesa commette una violazione dei suoi obblighi previsti dall’art. 51 della Carta.

Sezione III: azioni delle organizzazioni internazionali

Regola n° 18.- Il Consiglio di Sicurezza delle Nazioni Unite:
Una volta che il Consiglio di Sicurezza delle Nazioni Unite abbia determinato che un atto costituisca una minaccia alla pace, una violazione della pace o un atto di aggressione, potrà autorizzare misure non implicanti l’uso della forza, incluso le cyber operation. Se il Consiglio di Sicurezza considera che tali misure siano inadeguate potrà predisporre misure implicanti l’uso della forza, incluso misure cibernetiche.
Le azioni che minacciano la pace sono state estese dal Consiglio di Sicurezza anche alle cyber operation dirette contro i sistemi bancari nazionali o contro le infrastrutture nazionali critiche. Tra le misure non implicanti l’uso della forza previste dall’art. 41 della Carta, il Consiglio di Sicurezza potrà predisporre anche la parziale o totale interruzione delle comunicazioni cibernetiche tra gli Stati in disputa.

Regola n° 19.- Organizzazioni di carattere regionale:
Le organizzazioni internazionali, gli accordi o le organizzazioni di carattere regionale possono condurre misure di contrasto nei confronti di cyber operation in virtù di un mandato o di una autorizzazione del Consiglio di Sicurezza. Il Consiglio di Sicurezza può autorizzare le organizzazioni internazionali e quelle di carattere regionale ad adottare misure implicanti o meno l’uso della forza in modo da ristabilire la pace e la sicurezza internazionale. Tra queste misure ci sono anche le cyber operation.

PARTE II: IL DIRITTO DEI CONFLITTI ARMATI CIBERNETICI
3.- Il diritto dei conflitti armati in generale

Regola n° 20.- Applicabilità del diritto dei conflitti armati:
Le cyber operation intraprese nel contesto di un conflitto armato sono soggette al diritto dei conflitti armati. Sebbene non esistano norme specifiche di diritto internazionale riguardo le cyber operation, il gruppo di esperti ha deciso di estendere anche a queste ultime le norme che regolano i conflitti armati. L’accezione di conflitto armato si riferisce a situazioni che provocano ostilità, incluse quelle condotto con mezzi cibernetici.

Regola n° 21.- Limiti geografici:
Le operazioni cibernetiche sono soggette a limiti geografici imposte dalle disposizioni del diritto internazionale applicabile ai conflitti armati. Il diritto dei conflitti armati stabilisce lo spazio geografico entro cui le operazioni cibernetiche possono essere condotte. Tali operazioni possono essere eseguite all’interno del territorio ove le parti sono in conflitto tra loro. Queste restrizioni geografiche sono spesso difficili da individuare nel contesto del cyberspazio, infatti alcune operazioni cibernetiche possono passare per i server di altri paesi prima di colpire quello del paese desiderato. Tuttavia, non esistono divieti generali circa il mero transito di dati nei server di altri paesi.

Regola n° 22.- Definizione di conflitti armato internazionale:
Un conflitto armato internazionale esiste ogni volta che ci sono ostilità, che possono includere anche operazioni cibernetiche, tra due o più Stati. Il gruppo di esperti ritiene che un conflitto è internazionale quando due o più Stati sono schierati gli uni contro gli altri in una disputa. Le componenti del conflitto devono essere armate. Anche le operazioni cibernetiche possono essere parte di un conflitto armato internazionale, si pensi a quegli attacchi cibernetici volti a mettere fuori uso le infrastrutture militari del paese nemico.

Regola n° 23.- Definizione di un conflitto armato non internazionale:
Un conflitto armato interno sussiste ogni volta che si verificano attacchi armati, che possono includere anche operazioni cibernetiche, posti in essere tra le forze armate regolari di uno Stato e gruppi armati all’interno dei confini statali. Il confronto per essere definito tale deve raggiungere un livello minimo di intensità e le parti coinvolte devono mostrare un minimo grado di organizzazione. In altri termini, i conflitti armati non internazionali si verificano tra due o più belligeranti e restano circoscritti all’interno del territorio del proprio Stato. Se durante il conflitto, si verificano attacchi cibernetici provenienti oltre confine, tale conflitto non potrà essere considerato di carattere internazionale.

Regola n° 24.- Responsabilità penale di comandanti e superiori:
a) Comandanti e superiori sono penalmente responsabili qualora ordinino operazioni cibernetiche che costituiscono crimini di guerra;
b) I Comandanti sono responsabili penalmente se erano a conoscenza, o avrebbero dovuto essere a conoscenza, del fatto che loro subordinati stavano compiendo, o avevano compiuto, crimini di guerra e non hanno preso tutte le misure ragionevoli per prevenire il loro coinvolgimento o per punire i responsabili.
I Comandanti sono comunque soggetti alla responsabilità personale anche se non hanno commesso personalmente l’atto che costituisce un crimine di guerra. Non esiste alcuna base per escludere che tale regola venga applicata anche alle operazioni cibernetiche che costituiscono crimini di guerra.

4.- Condotta delle ostilità

Sezione I: partecipazione ai conflitti armati

Regola n° 25.- Partecipazione generale:
Il diritto applicabile ai conflitti armati non impedisce a nessuna categoria di persone di prendere parte ad un conflitto armato o alle operazioni cibernetiche. Tuttavia, le conseguenze legali di questa partecipazione possono essere diverse a seconda della natura dei conflitti armati e della categoria di appartenenza.
Le conseguenze della partecipazione ai conflitti armati o alle operazioni cibernetiche sono tre: privilegi per i combattenti, riconoscimento dello status di prigioniero di guerra per alcune categorie e divenire bersaglio potenziale del nemico.

Regola n° 26.- Membri delle forze armate:
In un conflitto armato internazionale, i membri delle Forze Armate in conflitto che non osservino i requisiti dello status di combattente, perderanno il loro diritto ad essere riconosciuti come prigionieri di guerra.
I combattenti hanno diritto al trattamento di prigionieri di guerra secondo quanto disposto dalla III Convenzione di Ginevra del 1949. Tuttavia, i combattenti che conducono operazioni cibernetiche contro le infrastrutture civili di uno stato nemico perderanno immediatamente lo status di combattente e i benefici che esso comporta.

Regola n° 27.- Leva di massa:
In un conflitto armato internazionale, gli abitanti di un territorio non occupato che compiono operazioni cibernetiche come parte di una leva di massa, godono dello status di combattenti e, pertanto, dello status di prigioniero di guerra.
Una leva di massa si ha quando gli abitanti di un territorio non occupato prendono spontaneamente le armi per resistere alle forze d’invasione senza aver avuto il tempo di organizzarsi in una forza armata regolare. Anche nel caso in cui un gruppo di persone organizzi la resistenza del proprio paese mediante attacchi cibernetici, questi potranno dirsi parte di una leva di massa.

Regola n° 28.- Mercenari:
I mercenari coinvolti nelle operazioni cibernetiche non godono dello status di prigionieri di guerra.
I mercenari, inclusi quelli del cyber spazio, sono considerati belligeranti senza privilegi. Questa regola è particolarmente importante alla luce del tentativo di condanna e criminalizzazione del fenomeno dei mercenari da parte degli Stati della comunità internazionale.

Regola n° 29.- Civili:
Ai civili non viene vietato di partecipare direttamente alle operazioni cibernetiche ma, coloro che intendono farlo, perderanno il loro status e la loro protezione.
Per civili s’intendono quelle persone che non sono membri di gruppi armati o forze regolari e che non hanno partecipato a rivolte di massa. I civili perdono il loro status nel momento stesso in cui partecipano direttamente al conflitto armato o alle operazioni cibernetiche.

Sezione II: attacchi generalizzati

Regola n° 30.- Definizione di attacco cibernetico:
Un attacco cibernetico è frutto di un’operazione cibernetica, sia offensiva che difensiva, che può presumibilmente causare morti e feriti tra le persone e danni materiale tra le cose. Tale regola non va circostanziata solo alle cose e alle persone ma va estesa anche a quelle operazioni cibernetiche che colpiscono i dati e i server di altri paesi. Pertanto, anche le operazioni cibernetiche ricadono nella categoria di attacchi cibernetici. L’operazione cibernetica può anche essere parte di una operazione più ampia che costituisce un attacco.

Regola n° 31.- Distinzione:
Il principio di distinzione va applicato ai partecipanti degli attacchi armati. Il principio della distinzione è uno dei principi cardine del diritto dei conflitti armati. I combattenti in un conflitto armato o in una guerra cibernetica devono distinguere tra popolazione civile e combattenti oltre che tra beni civili ed obiettivi militari, cercando di dirigere le loro operazioni solo contro gli obiettivi militari.

Sezione III: attacchi contro le persone

Regola n° 32.- Divieto di attacchi sui civili:
La popolazione civile, così come gli individui civili, non devono essere oggetto di attacchi cibernetici.
La popolazione civile comprende tutte le persone che sono civili. La presenza all’interno della popolazione di individui che non appartengono alla definizione di civili, non priva la popolazione del suo carattere di civile. La stessa protezione si estende ai civili anche in un contesto di operazioni cibernetiche.

Regola n° 33.- Dubbio sullo status di persona:
In caso di dubbio se una persona sia o meno un civile, quella persona deve essere considerata un civile.
Tale regola si applica nel caso in cui il dubbio persista anche dopo la valutazione delle informazioni fornite dal civile sospetto. Nel contesto del cyberspazio, il dubbio è un elemento ancora più importante considerato che gli individui dietro la conduzione di una operazione cibernetica non sono fisicamente visibili e quindi difficilmente identificabili.

Regola n° 34.- Persone oggetto lecito di attacchi:
Le seguenti categorie di persone possono essere oggetto di attacchi cibernetici:
a) membri delle forze armate;
b) membri di gruppi armati organizzati;
c) civili che prendono parte alle ostilità;
d) civili che partecipano a conflitti armati internazionali o a rivolte di masse.
In questo elenco possono essere inclusi anche civili impiegati governativi che possono compiere operazioni cibernetiche durante un conflitto. Qualsiasi partecipazione di un civile nelle ostilità si rende potenzialmente bersagliabile con conseguente perdita dello status di civile.

Regola n° 35.- Civili partecipanti alle ostilità:
I civili godono di protezione contro gli attacchi armati o cibernetici a meno che essi non partecipino direttamente alle ostilità. La regola si riferisce agli individui che partecipano alle ostilità senza affiliarsi a nessun gruppo armato. Esistono tre criteri affinché un atto sia riconosciuto come partecipazione diretta di un civile nelle ostilità: l’intervento deve essere inteso come un’azione che punta a danneggiare la controparte provocando morte e distruzione; deve esistere un nesso tra l’atto in questione e il danno provocato; l’atto deve essere legato alle ostilità.

Regola n° 36.- Attacchi terroristici:
Gli attacchi cibernetici, o la loro eventuale minaccia, che intendono diffondere il terrore tra la popolazione civile, sono proibiti. Per violare questa regola, un’operazione cibernetica deve potersi considerare un attacco cibernetico. Un esempio di attacco cibernetico può essere un attacco contro un sistema di trasporto di massa – che può causare morti e feriti – e che sia finalizzato a terrorizzare la popolazione civile.

Sezione IV: attacchi contro oggetti

Regola n° 37.- Divieto di attacchi su infrastrutture civili:
Le infrastrutture civili non devono essere oggetto di attacchi cibernetici. Solo i computer, le reti informatiche e le infrastrutture cibernetiche possono essere oggetto di attacco se sono infrastrutture militari. Il solo fatto che un attacco cibernetico è diretto contro un infrastruttura civile è sufficiente a violare tale norma, non importa che l’attacco abbia avuto successo o meno. Gli attacchi indiscriminati che non sono diretti su infrastrutture particolari sono da considerarsi fuori legge.

Regola n° 38.- Beni civili ed obiettivi militari:
I beni civili sono tutte quelle infrastrutture che non sono obiettivi militari. Obiettivi militari sono tutti quegli obiettivi che per loro natura, posizione, scopo o utilizzo danno un effettivo contributo all’azione militare e la cui distruzione, totale o parziale, offre un notevole vantaggio militare. Gli obiettivi militari possono includere computer, reti informatiche e infrastrutture cibernetiche. Tra gli esperti c’è che ritiene che anche l’attacco cibernetico ai dati di un sistema informatico sia da ritenersi un vero e proprio attacco ad obiettivi militari.

Regola n° 39.- Infrastrutture usate per scopi civili e militari:
Un\’infrastruttura usata sia per scopi civili che militari, inclusi i computer, le reti informatiche e le infrastrutture cibernetiche, è considerata un obiettivo militare. Lo status di infrastruttura civile e militare non può coesistere; un’infrastruttura è l’una o l’altra. Tale principio conferma che il doppio uso di una infrastruttura lo rende un’infrastruttura militare.

Regola n° 40.- Dubbi sullo status di obiettivo:
In caso di dubbio se un’infrastruttura normalmente dedita a scopi civili venga utilizzata per dare un effettivo contributo all’azione militare, è necessario effettuare un’attenta valutazione sulla reale natura dell’infrastruttura. La valutazione circa la natura dell’infrastruttura deve essere sufficiente a stabilire che ci siano basi concrete affinché essa possa essere attaccata. Deve essere accertata la fonte e la credibilità della fonte prima di procedere all’attacco dell’infrastruttura convertita.

Sezione V: mezzi e metodi di combattimento

Regola n° 41.- Definizione dei mezzi e metodi di guerra:
Per gli scopi di questo manuale:
a) “mezzi di guerra cibernetica” sono le armi cibernetiche e i sistemi cibernetici ad essi associati.
b) “metodi di guerra cibernetica” sono le tattiche cibernetiche, le tecniche e le procedure attraverso le quali vengono condotte le ostilità.
I termini di mezzi e metodi di guerra cibernetica non vanno confusi con i termini di operazione cibernetica. L’operazione cibernetica denota un particolare attacco cibernetico. Il termine “metodi di guerra” si riferisce a come le operazione cibernetiche vengono materialmente condotte e verso quali infrastrutture e obiettivi vengono rivolte.

Regola n° 42.- Sofferenze inutili:
E’ proibito impiegare mezzi e metodi di guerra cibernetica che siano causa di sofferenze inutili.
Con sofferenze inutili, la regola si riferisce a una situazione in cui un’arma, o un suo particolare uso, aggrava le sofferenze inflitte senza fornire nessun reale avanzamento nelle operazioni militari. Anche un’operazione cibernetica viola tale regola se causa sofferenze inutili.

Regola n° 43.- Metodi e mezzi indiscriminati:
È proibito impiegare mezzi o metodi di guerra cibernetica che siano indiscriminati. I mezzi e metodi di guerra cibernetica sono indiscriminati quando non possono essere:
a) diretti verso un obiettivo militare specifico,
b) limitati nei loro effetti come richiesto dal diritto dei conflitti armati, e conseguentemente sono per natura destinati a colpire obiettivi militari e civili senza distinzione.
Dalla regola sono dunque proibiti tutti i metodi e i mezzi di guerra militare e cibernetica diretti contro obiettivi non specificati. Sono, pertanto, fuorilegge tutti quei mezzi o metodi cibernetici che rendono impossibile determinare quale obiettivo verrà colpito.

Regola n° 44.- Trappole cibernetiche:
È proibito impiegare trappole cibernetiche associate a certi obiettivi specificati nel diritto dei conflitti armati. Una trappola cibernetica è qualsiasi dispositivo o materiale progettato e adattato per uccidere o ferire e che funziona inaspettatamente quando una persona si avvicina o usa un oggetto apparentemente innocuo e sicuro.

Regola n° 45.- Fame:
È proibito come metodo di guerra cibernetica far soffrire la fame ai civili. Per “fame” s’intende privare deliberatamente una popolazione civile di nutrimenti (incluso l’acqua) allo scopo di indebolirla o ucciderla. Affinché la regola si supponga violata, la fame deve essere una tattica deliberatamente impiegata da una delle parti in conflitto contro la popolazione. Al contrario negare cibo ai membri delle forze armate nemiche non viola questa regola.

Regola n° 46.- Rappresaglie:
Sono proibite le rappresaglie condotte tramite operazioni cibernetiche contro:
a) prigionieri di guerra,
b) civili internati, civili presenti in territori occupati o nelle mani della parte avversa e le loro proprietà,
c) coloro che sono “fuori combattimento”,
d) personale medico, strutture, veicoli ed equipaggiamento sanitario.
Laddove non siano proibite dal diritto internazionale, le rappresaglie sono soggette a stringenti condizioni.
Le rappresaglie sono diverse dalle contromisure. A differenza di quest’ultime, le rappresaglie avvengono solo durante un conflitto armato, sono intraprese solo in risposta alla violazione del diritto dei conflitti armati e permettono l’uso della forza armata. Anche le operazioni cibernetiche possono essere usate per condurre rappresaglie.

Regola n° 47.- Le rappresaglie secondo il primo Protocollo Aggiuntivo del 1977 alle quattro Convenzioni di Ginevra del 1949:
Il primo Protocollo Aaggiuntivo del 1977 proibisce agli Stati parti di rendere la popolazione civile, gli individui, le infrastrutture civili, i luoghi culturali e di culto, i luoghi indispensabili alla sopravvivenza della popolazione civile, l’ambiente naturale, le dighe, i generatori di elettricità obiettivo di un attacco cibernetico al fine di condurre un’azione di rappresaglia. L’applicazione di questa regola è limitata a quegli Stati che sono parti del primo Protocollo Aggiuntivo del 1977 e che non hanno espresso riserve sulla questione.

Regola n° 48.- Rassegna delle armi:
a) Tutti gli Stati devono assicurare che i mezzi di guerra cibernetica che hanno acquisito o che hanno usato rispettino le leggi del diritto dei conflitti armati che vincolano lo Stato.
b) Gli Stati che sono parti del primo Protocollo Aggiuntivo del 1977 sono obbligati a studiare, sviluppare, acquisire o adottare i nuovi mezzi e metodi della guerra cibernetica al fine di determinare se il loro impiego sia proibito dal Protocollo o da qualsiasi altra regola di diritto internazionale applicabile agli Stati.
Il gruppo di esperti si divide in merito al dovere o meno da parte degli Stati di condurre una rassegna legale dei mezzi di guerra prima del loro uso.

Sezione VI: condotta delle ostilità

Regola n° 49.- Attacchi indiscriminati:
Gli attacchi cibernetici che non sono diretti verso un obiettivo lecito, e conseguentemente puntano a colpire obiettivi illeciti o obiettivi civili senza distinzione, sono proibiti. La regola proibisce gli attacchi cibernetici che non sono diretti verso membri delle forze armate o a qualsivoglia bersaglio lecito. Un esempio può essere la disseminazione di malware destinati a danneggiare i sistemi informativi che possono colpire sia i computer di civili che quelli militari.

Regola n° 50.- Obiettivi militari separati e distinti:
Un attacco cibernetico che minaccia obiettivi militari primariamente usati per scopi civili è proibito se nel fare ciò può danneggiare persone o oggetti. Un attacco cibernetico potrebbe minacciare i computer militari come obiettivo primario dell’attacco ma nel fare ciò potrebbe anche causare danni al computer di civili.

Regola n° 51.- Proporzionalità:
Un attacco cibernetico che potrebbe causare perdite di vite umane, ferite ai civili o danni alle infrastrutture civili e che risulti eccessivo in relazione al concreto e diretto vantaggio militare, è proibito. La morte accidentale di civili o i danni provocati alle loro infrastrutture sono spesso definiti “danni collaterali”. Un attacco è illecito quando i danni collaterali provocati dipendono dalla relazione tra il danno che un aggressore può aspettarsi e il vantaggio militare che tale aggressore ottiene come risultato dell’attacco.

Sezione VII: precauzioni

Regola n° 52.- Costante attenzione:
Durante le ostilità implicanti operazioni cibernetiche, costante attenzione deve essere rivolta a risparmiare la popolazione civile, gli individui e le infrastrutture civili. Il termine “costante” si riferisce al dovere di proteggere i civili durante tutte le operazioni cibernetiche. La legge non ammette nessuna situazione in cui gli individui implicati nella condotta delle operazioni militari ignorino gli effetti delle loro azioni sulla popolazione civile.

Regola n° 53.- Verifica dei bersagli:
Coloro che pianifichino un attacco cibernetico dovranno fare il possibile per verificare che i bersagli che verranno attaccati non siano civili, infrastrutture civili o soggetti a protezione speciale. Nel contesto degli attacchi cibernetici, le precauzioni necessarie possono includere la raccolta di dati tramite l’intelligence che permetta ai responsabili di determinare se un attacco possa essere pericoloso per i civili.

Regola n° 54.- Scelta di mezzi e metodi:
Coloro che pianificano o decidono un attacco devono prendere tutte le precauzioni possibili nella scelta dei mezzi e dei metodi di combattimento da impiegare nell’attacco, puntando ad evitare o a minimizzare ferite accidentali ai civili, perdite di vite umane e danni alle infrastrutture civili. Anche nel caso in cui venga pianificato un attacco che non comporta danni collaterali, i responsabili dell’attacco devono comunque prendere tutte le possibili precauzioni per minimizzare eventuali danni collaterali.

Regola n° 55.- Precauzioni relative alla proporzionalità:
Coloro che pianificano o decidono eventuali attacchi devono astenersi dal decidere di lanciare qualsiasi attacco cibernetico che potrebbe causare perdite accidentali di vite tra i civili, ferite e danni alle infrastrutture civili e che potrebbe risultare eccessivo in relazione ad un concreto e diretto vantaggio militare. La regola afferma che i responsabili dell’attacco sono obbligati a stimare la proporzionalità dell’attacco rispetto al vantaggio militare che otterranno da quel dato attacco.

Regola n° 56.- Scelta dei bersagli:
Gli Stati parti del primo Protocollo Aggiuntivo del 1977 alle quattro Convenzioni di Ginevra del 1949, quando possono scegliere tra diversi bersagli militari al fine di ottenere un vantaggio militare, devono puntare l’obiettivo scelto, e non altri, al fine di causare la minor perdita possibile di vite umane tra i civili.

Regola n° 57.- Cancellazione e sospensione di un attacco:
Coloro che pianificano, approvano o eseguono un attacco, dovranno cancellare o sospendere l’attacco in questione se:
a) l’obiettivo non è militare o è soggetto a protezione speciale;
b) l’attacco potrebbe causare la perdita accidentale di vite umane tra i civili o danni alle infrastrutture, dimostrando di essere un attacco eccessivo in relazione al vantaggio militare ottenuto.
Alcuni attacchi cibernetici non possono essere monitorati continuamente, rendendo difficile sapere se sia necessario o meno cancellare o sospendere l’attacco in questione.

Regola n° 58.- Avvertimenti:
Un previo avvertimento deve essere dato in caso di attacco cibernetico che possa colpire la popolazione civile a meno che le circostanze non lo permettano. Gli esperti ritengono che la regola si applichi solo nei casi in cui i civili siano concretamente a rischio di morte. Non sono forniti elenchi di mezzi richiesti per dare gli avvertimenti, è solamente necessario che siano avvertimenti effettivi.

Regola n° 59.- Precauzioni contro gli effetti degli attacchi cibernetici:
Le parti in conflitto devono, nella misura in cui ciò è possibile, prendere le precauzioni necessarie per proteggere la popolazione civile e le infrastrutture civili contro i pericoli risultanti dagli attacchi cibernetici e militari. Esempi di precauzioni che possono essere prese sono: la separazione delle infrastrutture militari da quelle civili; la separazione dei computer civili dalle infrastrutture cibernetiche militari; proteggere i dati appartenenti a civili; registrare elementi relativi alla cultura o alla religione in modo da facilitarne la ricostruzione in caso di distruzione.

Sezione VIII: perfidia, uso improprio e spionaggio

Regola n° 60.- Perfidia:
Durante la condotta delle ostilità implicanti operazioni cibernetiche è proibito uccidere o ferire l’avversario ricorrendo alla perfidia. Gli atti che mirano ad ottenere la fiducia dell’avversario facendogli credere che abbia diritto alla protezione secondo il diritto dei conflitti armati con l’intento di tradire la loro fiducia, costituiscono atti di perfidia. Il gruppo di esperti afferma che sono proibiti solo quegli atti di perfidia che mirano all’uccisione o al ferimento dell’avversario. Un esempio di operazione cibernetica implicante la perfidia potrebbe essere l’invio di una mail in cui si invita l’avversario a partecipare ad un incontro del Comitato Internazionale della Croce Rossa con l’intento di sorprenderlo in un imboscata, abusando della sua fiducia.

Regola n° 61.- Stratagemmi:
Le operazioni cibernetiche che si qualificano come stratagemmi di guerra sono permessi. Gli stratagemmi di guerra intendono trarre in inganno il nemico o indurre le forze nemiche ad agire inprudentemente ma ciò non costituisce violazione alcuna del diritto dei conflitti armati.

Regola n° 62.- Uso improprio degli emblemi di protezione:
È proibito fare uso improprio degli emblemi di protezione o dei simboli stabiliti dal diritto dei conflitti armati. Un uso improprio di questi segnali di protezione confondono l’identificazione delle persone realmente soggette a protezione e minaccia la credibilità di tali indicatori in un contesto di operazioni militari e cibernetiche.

Regola n° 63.- Utilizzo improprio dello stemma delle Nazioni Unite:
È proibito fare un uso improprio del simbolo distintivo delle Nazioni Unite nelle operazioni cibernetiche, eccetto in quelle autorizzate dall’organizzazione. Qualsiasi uso di questo simbolo non autorizzato dall’ONU è fuorilegge. Ad esempio inviare una mail utilizzando il logo delle Nazioni Unite per introdurre virus nel sistema operativo di un’infrastruttura militare è fuorilegge.

Regola n° 64.- Uso improprio dei segni distintivi dei nemici:
È proibito fare uso di bandiere, emblemi militari o segnali usati dal nemico e che siano visibili al nemico durante un attacco, incluso l’attacco cibernetico. Il gruppo di esperti concorda nel ritenere che per quanto riguarda le operazioni cibernetiche il divieto di tale regola si deve applicare solo quando l’operazione cibernetica viene condotta da un aggressore che è fisicamente visibile al suo avversario e che indossi o abbai con se dei segnali appartenenti al nemico.

Regola n° 65.- Utilizzo improprio dei segni distintivi di neutralità:
Nelle operazioni cibernetiche è proibito fare uso di bandiere, emblemi militari o segnali di neutralità o appartenenti ad altri Stati che non partecipano al conflitto. Il gruppo di esperti ritiene che indossare l’uniforme delle forze armate di uno Stato neutrale per condurre un attacco cibernetico più da vicino è un’azione fuorilegge.

Regola n° 66.- Spionaggio cibernetico:
a) lo spionaggio cibernetico e altre forme di informazioni raccolte da un avversario durante un conflitto armato non viola il diritto dei conflitti armati;
b) un membro delle forze armate che è implicato in azioni di spionaggio cibernetico e in operazioni di controllo del territorio nemico, perde il diritto allo status di prigioniero di guerra e può essere trattato come una spia, se catturato prima di essere tornato nelle fila delle forze armate di appartenenza.
Per spionaggio cibernetico s’intendono tutti quegli atti intrapresi clandestinamente o sotto mentite spoglie per raccogliere informazioni con l’intenzione di comunicarle alla parte avversario. L’atto deve avvenire nel territorio controllato da una delle parti in conflitto.

Sezione XI: blocchi e zone

Regola n° 67.- Mantenimento ed esecuzione di blocchi:
Metodi e mezzi cibernetici possono essere usati per mantenere ed eseguire blocchi aerei o navali dimostrando di non intraprendere azioni incompatibili con il diritto dei conflitti armati. Condotte in maniera lecita, le operazioni cibernetiche possono rivelarsi utili per mantenere o eseguire blocchi aerei o navali. Le operazioni di accesso remoto contro i sistemi di navigazione sono esempi di operazioni cibernetiche che possono sostenere dei blocchi.

Regola n° 68.- Effetti di blocchi su territori neutrali:
L’uso di operazioni cibernetiche per eseguire un blocco aereo o navale non deve avere l’effetto di impedire o limitare l’accesso a territori neutrali. Con il termine “accesso”, intendiamo l’accesso fisico di navi ed aerei in una data zona. Le operazioni cibernetiche possono impedire tale accesso in molti modi. Una operazione cibernetica può danneggiare i sistemi di navigazione impedendogli di raggiungere zone neutrali.

Regola n° 69.- Zone:
Nella misura in cui gli stati stabiliscono delle zone, sia in periodi di pace che in periodi di guerra, operazioni cibernetiche lecite possono essere condotte in queste zone per esercitare i loro diritti.
Le operazioni cibernetiche possono essere usate per dichiarare e notificare la creazione di una zona. Ad esempio, i mezzi cibernetici possono servire per comunicare eventuali restrizioni riguardo il passaggio attraverso la zona creata o per mettere in guardia navi e aerei dall’avvicinarsi ad essa.

5.- Determinate persone, oggetti ed attività

Sezione I:personale sanitario e religioso, unità mediche e trasporti

Regola n° 70.- Personale sanitario e religioso, unità mediche e trasporti:
Il personale medico e religioso, le unità e i trasporti medici devono essere rispettati e protetti e, in particolare, non devono essere oggetto di attacchi cibernetici. Devono evitarsi operazioni cibernetiche che alterino i GPS degli elicotteri utilizzati a scopo medico o che impediscano la trasmissione di servizi religiosi. Il dovere di proteggere tali unità implica la necessità di prendere misure positive al fine di assicurare il rispetto degli altri.

Regola n° 71.- Computer, reti informatiche e banca dati mediche:
I computer, le reti informatiche e i dati medici che formano parte integrante delle operazioni o dell’amministrazione di unità mediche devono essere rispettati e protetti e, in particolare, non devono essere oggetto di attacchi. Tra i dati medici che devono essere preservati dagli attacchi cibernetici, vi sono quelli necessari ad un uso corretto dell’equipaggiamento medico o che facilitino l’inventario di forniture mediche.

Regola n° 72.- Identificazione:
Tutte le misure possibili devono essere prese al fine di assicurare che i computer, le reti informatiche e i dati che formino parte integrale delle operazioni e dell’amministrazione di unità mediche vengano identificate attraverso mezzi appropriati. Non identificarli non li priva del loro status di protezione. I computer, le reti informatiche e i dati del personale medico godono del diritto di protezione a prescindere dalla presenza o meno di segnali di riconoscimento.

Regola n° 73.- Perdita di protezione e avvertimenti:
La protezione che è riservata alle unità mediche e ai trasporti, inclusi i computer, le reti informatiche e i dati che sono parti di operazioni o dell’amministrazione delle unità mediche, persiste a meno che essi siano usati per commettere, al di fuori delle loro operazioni umanitarie, atti dannosi per il nemico. In tale situazione, la protezione che gli spetta può cessare solo dopo che sia stato rilasciato un avvertimento che è rimasto inascoltato. Tra gli atti considerati dannosi per il nemico vi sono: il trasporto di armi da parte di unità mediche o la presenza, all’interno di tali unità, di individui che sotto false spoglie rappresentino una minaccia per il nemico.

Sezione II: personale delle Nazioni Unite, installazioni, materiali, unità e veicoli

74.- Personale, materiale, unità e veicoli delle Nazioni Unite:
a) Durante le operazioni di tutela nei confronti di civili o delle infrastrutture di civili, il personale, le infrastrutture, i materiali e i veicoli delle Nazioni Unite, inclusi computer e reti informatiche che supportano le operazioni delle Nazioni Unite, devono essere rispettati e protetti e non devono essere oggetto di attacchi.
b) Personale, veicoli, materiali, computer e reti informatiche coinvolti in azioni di assistenza umanitaria e missioni di peacekeeping in accordo con la Carta dell’ONU, sono a loro volta protetti da attacchi cibernetici e militari.
L’obbligo di rispettare e proteggere il personale delle Nazioni Unite significa che è proibito attaccarli, minacciarli o danneggiarli in qualsiasi modo. Al personale delle Nazioni Unite viene riconosciuta la possibilità di difendersi e, quando autorizzati dal Consiglio di Sicurezza, di ricorrere all’uso della forza per legittima difesa.

Sezione II: detenuti

Regola n° 75.- Protezione dei detenuti:
Prigionieri di guerra, internati e altri detenuti devono essere protetti dagli effetti dannosi delle operazioni cibernetiche. Le parti in conflitto sono responsabili della sicurezza e del benessere dei prigionieri, i quali devono anche essere protetti dalle attività cibernetiche che potrebbero oltraggiare la loro dignità personale o umiliarli.

Regola n° 76.- Corrispondenza dei detenuti:
Il diritto dei prigionieri di guerra e dei detenuti a mantenere la corrispondenza non deve essere intralciato dalle operazioni cibernetiche. La corrispondenza dei detenuti può avvenire con i familiari su tematiche strettamente personali e non di natura militare. Non è chiaro se la regola si possa estendere anche alle comunicazioni elettroniche come le e-mail.

Regola n° 77.- Partecipazione costretta nelle attività militari:
I prigionieri di guerra e gli internati non devono essere costretti a partecipare o a sostenere operazioni cibernetiche dirette contro il loro paese. I prigionieri di guerra, in virtù delle loro precedenti funzioni, possono essere a conoscenza di sistemi di accesso alle reti informatiche del loro paese o delle loro forze armate. Tuttavia, non devono essere costretti a rivelare tali conoscenze al nemico.

Sezione IV: bambini

Regola n° 78.- Protezione dei bambini:
È proibito arruolare bambini nelle forze armate o permettergli di prendere parte a ostilità cibernetiche. Ci si riferisce alle persone al di sotto dei quindici anni. Gli Stati devono fare il possibile per evitare che i bambini partecipino alle ostilità.

Sezione V: giornalisti

Regola n° 79.- Protezione dei giornalisti:
I giornalisti impegnati in missioni professionali pericolose in aree di conflitto sono considerati civili e devono essere rispettati come tali, in particolare con riferimento alle operazioni cibernetiche, dato che non sono parte diretta nelle ostilità. Bisogna distinguere tra i “corrispondenti di guerra” e i “giornalisti impegnati in missioni pericolose”. I primi, infatti, sono accreditati formalmente dalle forze armate. Essi sono civili, sebbene, a differenza dei giornalisti, possono godere dello status di prigioniero di guerra.

Sezione VI: installazioni che racchiudono sostanze pericolose

Regola n° 80.- Dovere di attenzione, durante gli attacchi, alle dighe, argini e stazioni elettriche e nucleari:
Con lo scopo di evitare lo sprigionarsi di forze pericolose e la conseguente perdita di vite umane tra i civili, deve essere posta un’attenzione particolare durante gli attacchi armati o cibernetici sulle dighe, gli argini e generatori di elettricità, così come sulle installazioni nelle vicinanze. Il requisito di porre attenzione quando si attaccano dighe, argini e centrali nucleari non viene applicato quando essi sono usati regolarmente nel sostegno alle operazioni militari e il loro attacco è l’unico modo per interrompere tale sostegno.

Sezione VII: beni indispensabili per la sopravvivenza della popolazione civile

Regola n° 81.- Protezione di elementi indispensabili alla sopravvivenza:
Attaccare, distruggere, rimuovere o disabilitare infrastrutture indispensabili per la sopravvivenza della popolazione civile per mezzo di operazioni cibernetiche è vietato. Internet non si qualifica come elemento indispensabile per la sopravvivenza della popolazione civile. Nel contesto del cyberspazio, le infrastrutture cibernetiche qualificate come indispensabili sono quelle che regolano il funzionamento dei generatori elettrici o quelli per l’acqua potabile.

Sezione VIII: beni culturali

Regola n° 82.- Rispetto e protezione dei beni culturali:
Le parti di un conflitto armato devono rispettare e proteggere i beni culturali che possono essere colpiti dalle operazioni cibernetiche o che siano presenti nel cyberspazio. In particolare, è vietato usare la “proprietà culturale” digitale per scopi militari. Al termine di “proprietà culturale” si riferiscono anche quei documenti o dati la cui natura è intangibile ma che rappresentano comunque un espressione della proprietà intellettuale, pertanto ad essi spetta eguale protezione.

Sezione XI: l’ambiente naturale

Regola n° 83.- Protezione dell’ambiente naturale:
a) l’ambiente naturale è un elemento civile e come tale gode della protezione generale dagli attacchi cibernetici e dai loro effetti;
b) gli Stati parti del primo Protocollo Aggiuntivo alla quattro Convenzioni di Ginevra del 1949 devono astenersi dall’impiegare metodi o mezzi cibernetici di guerra che siano destinati a creare danni diffusi, gravi e a lungo termine all’ambiente naturale.
La protezione dagli attacchi si estende all’ambiente naturale almeno fino a quando esso non diventi un obiettivo di natura militare. Ad esempio, quando si pianifica un attacco cibernetico ad un impianto petrolifero si deve anche considerare il presumibile danno ambientale che potrebbe derivare dalla fuoriuscita di petrolio.

Sezione X: archivi diplomatici e comunicazioni

Regola n° 84.- Protezione della comunicazione e degli archivi diplomatici:
La comunicazione e gli archivi diplomatici devono essere protetti sempre dalle operazioni cibernetiche.
La protezione a tali elementi include il rispetto per la loro confidenzialità, integrità e disponibilità. Ciò impedisce alle parti di un conflitto di interferire nella loro trasmissione o nella loro preservazione.

Sezione XI: punizioni collettive

Regola n° 85.- Punizione collettive:
La punizione collettiva per mezzo di operazioni cibernetiche è proibita. La regola proibisce l’uso di mezzi cibernetici per imporre sanzioni su persone o gruppi di persone per azioni in cui essi non erano coinvolti.

Sezione XII: assistenza umanitaria

Regola n° 86.- Assistenza umanitaria:
Le operazioni cibernetiche non devono essere designate o condotte con lo scopo d’interferire negli sforzi imparziali destinati a fornire assistenza umanitaria. Il termine “assistenza umanitaria” va inteso come “azione di soccorso” destinata a consegnare forniture essenziali e sostentamento in situazioni di grave necessità e non deve essere minimamente impedita o limitata da azioni cibernetiche durante un conflitto militare.

6.- Occupazione

Regola n° 87.- Rispetto per le persone protette nei territori occupati:
Le persone protette nei territori occupati devono essere protetti dagli effetti dannosi delle operazioni cibernetiche. Alle persone presenti nei territori occupati deve essere consentito di trasmettere notizie di natura personale ai membri delle loro famiglie e di ricevere notizie dai loro famigliari. Tuttavia, la potenza occupante può imporre delle restrizioni sulle comunicazioni elettroniche.

Regola n° 88.- Ordine pubblico e sicurezza nei territori occupati:
La potenza occupante deve prendere tutte le misure in suo potere per ripristinare e assicurare l’ordine pubblico e la sicurezza della popolazione occupata, mentre garantisce il rispetto delle leggi in vigore nel paese occupato, incluse quelle applicabili alle attività cibernetiche. Il dovere della potenza occupante di garantire l’ordine pubblico è necessaria per il benessere della popolazione civile occupata. Ciò comporta l’obbligo di ripristinare quelle infrastrutture cibernetiche essenziali per il territorio occupato, come i generatori di elettricità e quelli per l’acqua potabile.

Regola n° 89.- Sicurezza della potenza occupante:
La potenza occupante può prendere misure necessarie per assicurare la sua sicurezza generale, incluso l’integrità e il mantenimento dei suoi sistemi cibernetici. Esempi di misure che possono essere prese dalla potenza occupante sono: la chiusura dei sistemi di comunicazione usati per trasmettere informazioni sulla potenza occupante alle forze di insurrezione; proibire lo scambio di email relative a movimenti militari; imporre restrizioni circa l’accesso ad internet quando le autorità militari hanno bisogno della larghezza di banda.

Regola n° 90.- Confisca e requisizione di proprietà:
Nella misura in cui la legge di occupazione permette la confisca o la requisizione della proprietà, è permesso anche assumere il controllo delle infrastrutture e dei sistemi cibernetici. La potenza occupante può confiscare i beni mobili, incluso i computer e altri dispositivi di memoria per usarli in operazioni militari. La proprietà privata non può essere confiscata. La requisizione da parte della potenza occupante riguarda il prendere dei beni o dei servizi per i bisogni delle forze di occupazione, avendo comunque tenuto in considerazione le necessità della popolazione civile occupata.

7. Neutralità

Regola n° 91.- Protezione delle infrastrutture cibernetiche neutrali:
L’esercizio di diritti dei belligeranti attraverso i mezzi cibernetici diretti contro le infrastrutture cibernetiche neutrali è proibito. Sono proibite tutte quelle azioni militari o cibernetiche destinate a distruggere le infrastrutture cibernetiche neutrali.

Regola n° 92.- Operazioni cibernetiche in territori neutrali:
L’esercizio dei diritti dei belligeranti attraverso mezzi cibernetici in territori neutrali è proibito. Sono proibite tutte le azioni cibernetiche all’interno di un territorio neutrale; al contrario l’utilizzo di una rete aperta al pubblico come Internet per scopi militari non è proibita.

Regola n° 93.- Obblighi neutrali:
Uno Stato neutrale potrebbe non consentire consapevolmente l’esercizio dei diritti dei belligeranti dalle infrastrutture cibernetiche collocate nel suo territorio o sotto il suo esclusivo controllo. Lo Stato neutrale potrà prendere tutte le misure possibili per far in modo che termini l’utilizzo delle sue infrastrutture cibernetiche da parte di stati coinvolti nel conflitto armato.

Regola n° 94.- Reazioni delle parti in conflitto alle violazioni:
Se uno Stato neutrale fallisce nel sospendere l’esercizio dei diritti dei belligeranti nel suo territorio, la parte lesa potrà rispondere, anche attraverso operazioni cibernetiche, per contrastare quella condotta. Tale regola consente alla parte lesa di rifarsi rispetto alla condotta illecita di un altro stato sul proprio territorio neutrale.

Regola n° 95.- Neutralità e azioni del Consiglio di Sicurezza:
Uno Stato non può invocare il diritto di neutralità per giustificare una condotta che risulterebbe incompatibile con le misure di prevenzione o di esecuzione decise dal Consiglio di Sicurezza in base al Capitolo VII della Carta delle Nazioni Unite. Gli Stati membri delle Nazioni Unite devono rispettare e ottemperare le risoluzioni del Consiglio di Sicurezza e non potranno ricorrere al diritto di neutralità per sfuggire all’incompatibilità con una sua risoluzione.

Francesco G. Leone è Direttore del Programma di Ricerca “America Latina” dell’IsAG
Martina Zannotti è ricercatrice associata del Programma di Ricerca “America Latina” dell’IsAG.

NOTE:

Francesco G. Leone è Direttore del Programma "America Latina" dell’IsAG, Martina Zannotti ricercatrice associata dell’IsAG.

1.- Nye Joseph S. Jr., The future of power, New York, 2011, p. 135.
2.- Shackelford Scott J., From Nuclear War to Net War: Analogizing Cyber Attacks in International Law, in Berkeley Law Review, Vol. 27, I, 2008, p. 194.
3.- Clarke Richard A. e Knake Robert K, Cyber War: The Next Threat to National Secutiry and What to Do About It, New York, 2010, p. 290.
4.- CICR. Intervista a Cordula Droege del 16.08.2011. [On line] http://www.icrc.org. Consultato il 17.04.2013.
5.- Fonte: CICR Url: http://www.icrc.org/eng/resources/documents/statement/new-weapon-technologies-statement-2011-09-13.htm. Consultato il 19.04.2013.
6.- Adottato a Ginevra l’8 giugno 1977, Ratificato dall'Italia con Legge 11 dicembre 1985, n. 762 (in Supplemento ordinario alla Gazzetta Ufficiale n. 303, del 27 dicembre 1985).


No comments so far.

Be first to leave comment below.

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Solve : *
28 + 11 =