Le Convenzioni di Ginevra e dell'Aja ai tempi della Cyber Warfare: dalla protezione
degli individui alla protezione delle infrastrutture vitali"
Dr.ssa Serena Lisi, Docente a contratto, Analisi e Pianificazione delle Operazioni di
Pace, Staff, CSSII (centro interdipartimentale di Studi Strategici, Internazionali e
Imprenditoriali), Università di Firenze.
Col. t. ISSMI Antonio Sferruzzi, Direttore, Poliambulatorio CME Toscana, Docente
Master NBC Università di Firenze.
Nel 2014 ricorre il centenario dell'inizio della Prima Guerra Mondiale, la Grande
Guerra: una guerra di trincea, posizione e logoramento, ove, da una parte, alla tipologia
di combattimento ancora tradizionale cominciavano ad affiancarsi nuove armi, con un
potenziale di distruzione a crescita esponenziale, e, dall'altra, le condizioni di vita di
combattenti, popolazione civile e prigionieri erano spesso critiche. Tale esperienza
determinò una revisione di convenzioni quali quella di Ginevra e dell'Aja. Da allora, una
serie di revisioni, in particolare della Convenzione di Ginevra, ha contribuito ad
aggiornare il cosiddetto jus in bello, ossia la regolamentazione internazionale dei conflitti
armati, con un influsso su strategie e dottrine adottate in tali contesti: dopo la Seconda
Guerra Mondiale, ad esempio, si è assistito ad una riclassificazione dei combattenti
legittimi, mentre nel 1977 i protocolli aggiuntivi alla Convenzione di Ginevra hanno
introdotto la macro-distinzione tra conflitti armati internazionali e non internazionali e nel
1998 è stato introdotto lo statuto della Corte Penale dell'Aja. Ferma restando la difficoltà
di definire concetti come guerra, pace e conflitto, in tale contesto sono stati posti alcuni
principi-base o, meglio, alcuni limiti:
- limitazione dei c.d. “mezzi nocivi”;
- protezione della popolazione civile;
- divieto di compiere rappresaglie sui civili ed i beni ad essi riconducibili;
- limitazione delle perdite inutili ed eccessive.
In breve, i limiti imposti dalle Convenzioni citate e, più in generale, dal corpus normativo
che costituisce lo jus in bello riconducono in tutti i casi al cosiddetto principio di
(MINIMA) PROPORZIONALITA'. Ossia, ad ogni azione non dovrà più corrispondere una
reazione uguale e contraria, bensì una risposta soppesata.
L'avvento dell'era post-moderna e della quinta dimensione della conflittualità
hanno parzialmente stravolto questi concetti e, in particolare, reso difficile l'applicazione
del principio di (minima) proporzionalità, in un contesto dove i limiti che circoscrivono
l'area della conflittualità sono sempre più incerti e sfumati (fuzzy), ed il conflitto tende a
diventare sempre più asimmetrico e "senza fine", globalizzante. La teoria clausewitziana
della guerra “trinitaria” (popolazione, esercito, governo) diventa, così, difficilmente
applicabile, come afferma Martin Levi van Creveld, dato che:
- come già affermato in precedenza, l'area della conflittualità non può essere circoscritta
facilmente. O meglio, è possibile definire chiaramente un atto di cyber war sulla carta,
ma non sempre è altrettanto semplice applicare tale definizione alla realtà: infatti, per
capire se un attacco cibernetico può essere considerato un atto di cyber war, è
necessario domandarsi se il “mandante” sia uno Stato, quali siano le conseguenze e di
quale entità, se vi sia una motivazione politica (Realpolitik) e quanto complessa sia la
pianificazione; ma non sempre è facile risalire a tali elementi, soprattutto per ciò che
attiene al “mandante” dell'azione; si veda l'esempio di quello che è considerato il primo
atto di Information Warfare, ossia l'attacco all'Estonia del 2007, per il quale fu invocato –
ma non applicato – l'art.5 NATO;
- il concetto di guerra non implica più una presenza fisica, né l'uso della violenza
“convenzionale”, cosicché le dinamiche difesa-offesa cambiano radicalmente. Come si
vedrà anche in seguito, non è possibile applicare la logica classica della deterrenza, né
quella della “prevenzione” o della “risposta rapida”: in molti Paesi, infatti, esistono o sono
in fase di elaborazione CERT (Computer Emergency Rensponse Team) che certamente
possono risultare utili in caso di attacco, ma che non sono di per sé sufficienti ad
assicurare una risposta adeguata alle minacce citate sopra (si vedano il già citato caso
dell'Estonia che, pur dotata di un CERT, ha subito l'attacco del 2007, e quelli di USA e
Israele, che non hanno un CERT, ma programmano ingenti spese per la protezione
dalla minaccia cyber, progettando sistemi resilienti) (Gori et al. 2014) ;
- le “nuove guerre post-moderne”, così come definite da Mary Kaldor, sono
asimmetriche, a bassa intensità e, soprattutto, denotate da una non più chiara
distinzione tra “interno ed “internazionale”; concetto, quest'ultimo, che va a stravolgere,
tra l'altro, quanto sancito dai già citati protocolli aggiuntivi alla Convenzione di Ginevra
del 1977.
Alla luce di tutti questi fatti, a partire dal 2008, nascono una serie di iniziative,
come ad esempio la creazione del Cyber Defence Centre of Excellence di Tallinn, e la
discussione alla Conferenza di Monaco del 2011 circa la possibilità di rivedere le
Convenzioni di Ginevra e dell'Aja alla luce della nuova minaccia cibernetica.
Il Centro di eccellenza di Tallinn, fondato in Estonia proprio come risposta al
cyber-attacco del 2007, nasce con lo scopo di formare competenze nell'ambito della
cyber defence e, tra le sue pubblicazioni, annovera il “Tallinn Manual on International
Law applicable to cyber warfare”, documento non ufficiale ma fondamentale al fine di
tracciare nuove linee-guida atte ad aggiornare lo jus in bello e a garantire, in primis, la
protezione della popolazione civile nel nuovo contesto globalizzato. Alcune delle “rules”
del manuale, infatti, si concentrano su concetti quali: la protezione dei civili e la
protezione delle infrastrutture vitali, con particolare riferimento a quelle energetiche e
sanitarie. Si vedano ad esempio:
- la “rule 32”, “Prohibition on attacking civilians”;
- la “rule 33”, “Doubt as the status of persons” (“In case of doubt as to weather a person
is civilian, that person shall be considered civilian”);
- la “rule 70” “Medical and Religious personnel, Medical Units and Tansports” apre lo
scenario delle infrastrutture critiche con un rimando al concetto di “moral hazard”,
richiamo doveroso quando si opera nella Quinta Dimensione, dove immaterialità ed
aspazialità favoriscono la c.d. “spersonalizzazione del conflitto”, ossia l'uso di mezzi
nocivi perpetrato con scarsa considerazione delle conseguenze sulla popolazione, in
particolare quella civile;
- la “rule 71”, nella quale si prescrive che “Computers, computer networks, and data that
form an integral part of the operations and administration of medical units and transports
must be respected and protected, and in particular may not be made the object of
attack”;”
- la “rule 80”, “Duty of care during attacks on dams, dykes, nuclear electrical generating
stations”;
- la “rule 81”, “Protection of objects indispensible to survival”.
Il manuale inoltre, ridefinisce concetti basilari quali: sovranità (rules 1 e 4), uso
della forza (rules 10-12), necessità e proporzionalità (rule 14), imminenza ed
immediatezza (rule 15), atto di perfidia, self-defense (lasciamo volutamente questo
termine in lingua originale poiché, come è noto, è stato oggetto di varie interpretazioni,
così come accaduto nel contesto della traduzione dell'articolo 51 della Carta delle
Nazioni Unite). Quanto citato sopra fa parte di una sorta di corpus di “95 black letter
rules” ispirate alla Dichiarazione di S. Pietroburgo del 1868 ed alle Convenzioni di
Ginevra del 1949.
Contestualmente, nel 2011, alla Conferenza di Monaco, principalmente
incentrata sugli effetti dell'accordo Start 2 (ove il contesto non è casuale), è stato
presentato un documento di produzione russo-americana intitolato "Working Towards
Rules for Governing Cyber Conflict", dal quale emergono alcuni concetti relativi a
scenari e strategie applicabili al contesto cyber:
- necessità di individuare entità oggetto di protezione nel ciberspazio;
- applicazione dell'Emblema protettivo regolamentato dalla Convenzione di Ginevra
anche al ciberspazio: tale tematica è trattata anche nel Tallinn Manual, ma con un
approccio più strategico e meno strettamente correlato alle Convenzioni di Ginevra in
quanto tali;
- riconoscimento di attori non statuali e riconoscimento di modalità conflittuali c.d. “other
than war”.
Il problema legato ai due documenti citati riguarda il fatto che, in entrambi i casi,
nonostante il carattere sistematico e la larga diffusione di entrambi, essi rappresentano
soltanto una mera situazione de jure condendo, ove non esiste ancora una norma
codificata a livello internazionale, né riconosciuta sul piano globale, ma soltanto una
dichiarazione di intenti condivisa da una serie di attori, taluni dei quali anche rilevanti
nello scenario internazionale, ma comunque non sufficienti a rappresentare la realtà
globale.
Alla luce di quanto affermato sopra, la necessità della revisione delle
Convenzioni di Ginevra e dell'Aja si inseriscono in un più complesso quadro strategico e,
a tal fine, sarà necessario tener conto che:
- si può affermare che la teoria dei cinque anelli di Boyd e Warden è ancora valida, ma
vede una ancor più forte correlazione tra protezione delle infrastrutture e protezione
della popolazione e quindi il secondo, terzo e quarto anello risultano uniti, nonché più
strettamente correlati al secondo:
Teoria dei cinque anelli originale
Leadership (bull's eye)
System essentials
(impianti produttivi)
Infrastrutture
Popolazione (morale popolazione)
Fielded Military (forze militari
“boots on the grass”)
Revisione dei cinque anelli in chiave cyber
Leadership (bull's eye)
System essentials
(impianti produttivi)
Infrastrutture
Popolazione (morale popolazione)
Fielded Military (forze militari
“boots on the grass”)
- Data tale correlazione, è necessario tenere in considerazione quali sono le
infrastrutture vitali più frequentemente colpite, ossia quelle energetiche, produttive e
sanitarie. A questo scopo, basterà vedere che la Conferenza di Monaco mette in
evidenza come il primo target sia proprio quello sanitario:
Fonte: https://dl.dropboxusercontent.com/u/869038/US-Russia.pdf
- Le modalità conflittuali “other-than-war” saranno quelle più frequenti, dato che, ad oggi,
non esiste una c.d. Cyber hot war, ma, al più, possiamo parlare di un'era della Cyber
guerra fredda (Gori et al. 2011).
Si rende, dunque, necessario comprendere più a fondo i rapporti tra strategie
applicabili alla quinta dimensione, a-spaziale, e processo normativo atto a difendere il
rappresentante primo della dimensione fisica, ossia la popolazione dislocata su un
determinato territorio. A tal fine, i due elementi dovranno essere armonizzati alla luce di
quanto segue:
- lo spostamento verso la dimensione intangibile della conflittualità comporta un effetto
di efemeralizzazione, ove azioni sempre più semplici, come il click di un pulsante,
producono effetti esponenziali (ricollegandosi, in questo caso, anche alla teoria del
cosiddetto “effetto farfalla”, secondo la quale il battito d'ali di una farfalla, ossia un'azione
pari ad un soffio, può generare un uragano all'altro capo del mondo). Anche in questo
caso, le considerazioni da fare sono sia di carattere strategico che etico: da una parte,
infatti, l'asimmetria della minaccia determinerà un cambiamento delle modalità di
risposta e di regolamentazione della medesima; dall'altra, come già accennato in
precedenza, il rischio che si compia un cosiddetto moral hazard può essere alto;
- la necessità di comprendere che il web fa parte dei c.d. Global Commons e che quindi
la sua regolamentazione sarà peculiare ed dovrà conservare una certa flessibilità;
- la necessità di comprendere l'importanza un approccio olistico e non limitato al settore
delle applicazioni militari o dell'industria e commercio; il caso del Wassenaar
Arrangement on Export Controls for Conventional Arms and Dual-Use Goods and
Technologies è esemplare in questo senso. Si veda la check-list delle categorie tenute
sotto osservazione:
List of Dual-Use Goods and Technologies
General Technology and General Software Notes
Category 1 – Special Materials and Related Equipment
Category 2 – Material Processing
Category 3 – Electronics
Category 4 – Computers
Category 5 – Part 1 – Telecommunications
Category 5 – Part 2 – Information Security
Category 6 – Sensors and Lasers
Category 7 – Navigation and Avionics
Category 8 – Marine
Category 9 – Propulsion
(Fonte: http://www.wassenaar.org/introduction/howitworks.html)
- La necessità di comprendere che l'aggiornamento di convenzioni deve essere il frutto
di uno studio trasversale che coinvolga tutti i settori della società: dal pubblico al privato
(personalità civili, militari ed accademiche);
- La necessità di riclassificare le strutture a rischio e di fare studi previsionali in merito,
atti ad individuare sia i possibili target che le fattispecie da normare: l'uso di tecniche
gerarchiche e neurali (multi-criteria decision making, prevedendo eventualmente anche
sistemi ibridi), messe a confronto alle equazioni logistiche di Volterra-Lotka può
costituire un vantaggio strategico fondamentale, soprattutto per ciò che riguarda la
tempistica di analisi e la velocizzazione del sistema decisionale, vista la molteplicità di
criteri ed alternative da tenere in considerazione;
- Per ciò che riguarda strettamente l'aggiornamento della Convenzione di Ginevra,
integrare la Strategia 2020 a protezione e salvaguardia delle vite umane con una
capillare sensibilizzazione a proposito dei temi cyber, rivolta sia ai decisori che a tutte le
fasce della società civile.
Fonti:
- Umberto Gori, Luigi Sergio Germani (a cura di): “Information Warfare – Le nuove
minacce provenienti da cyberspazio alla sicurezza nazionale italiana”, Franco Angeli,
Milano 2011;
- Umberto Gori, Luigi Sergio Germani (a cura di): “Information Warfare 2011 – La sfida
della cyberintelligence al sistema Italia: dalla sicurezza delle imprese alla sicurezza
nazionale”, Franco Angeli, Milano 2011;
- Umberto Gori, Serena Lisi (a cura di): “Information Warfare 2012 – Armi cibernetiche e
processo decisionale”, Franco Angeli, Milano 2012;
- Umberto Gori, Serena Lisi (a cura di): “Information Warfare 2013 – La protezione
cibernetica delle infrastrutture critiche”, Franco Angeli, Milano 2014;
- Tallinn manual on
(http://www.ccdcoe.org);
International
Law
applicable
to
cyber
warfare
- "Working towards rules for governing cyber conflict"
http://silendo.org/2011/02/04/il-cyber-spazio-e-le-convenzione-di-ginevra/
http://vialardi.org/nastrazzuro/pdf/US-Russia.pdf
http://italian.ruvr.ru/2011/02/06/43096774/
- http://www.icrc.org/eng/resources/documents/interview/2013/06-27-cyber-warfareihl.htm;
- http://www.cybersquared.com/wp-content/uploads/downloads/2013/03/MedicalIndustry-A-Cyber-Victim-Billions-Stolen-and-Lives-At-Risk.pdf;
- http://www.haaretz.com/news/diplomacy-defense/hackers-paralyze-israeli-hospitalwebsites-as-cyber-war-heats-up-1.409190;
- http://www.ehealthstrategies.com/files/cybersecurity.pdf;
-http://www.ehealthstrategies.com/files/cybersecurity.pdf;
- http://www.internationalpolicydigest.org/2014/02/26/the-wild-west-of-cyberwarfare/;
- http://www.wassenaar.org/introduction/howitworks.html