L’applicazione del regime internazionale sui diritti umani ai conflitti armati cibernetici

Articolo a cura dell’Avv. Colonnelli Camilla

Conflitto

1. Inquadramento applicativo della fattispecie.

L’applicazione del regime internazionale sui diritti umani in caso di conflitti armati costituisce un tema di lungo dibattito dottrinale e giurisprudenziale, il quale assume ancora più rilevanza in epoca attuale. Difatti, è fondamentale che i Trattati e le Convenzioni, nonché i Patti ed i documenti a tutela della persona umana non rimangano lettera morta all’insorgere di una guerra.
La normativa di tutela, nel caso di conflitto armato, deve altresì combaciare, rectius bilanciarsi, con il diritto umanitario, quale normativa di dettaglio costituita dalle Convenzioni di Ginevra e dai Protocolli addizionali, applicabile esclusivamente in caso di conflitto armato.
Nell’epoca attuale si deve considerare che una delle nuove fonti di potere sia proprio la conoscenza, la quale sembra essere equiparata al territorio, quale risorsa da conquistare e bene da acquisire scaturente possibili avversioni politiche ed economiche. Difatti, ad oggi la fattispecie degli attacchi cibernetici assume sempre più rilevanza, se non frequenza, tanto che vengono equiparati ai conflitti armati propri del diritto internazionale. Il fenomeno degli attacchi cibernetici trova fondamento in tempi non remoti, ed in particolare con l’avvento del XXI secolo e lo sviluppo delle nuove tecnologie. Ai fini della qualificazione della fattispecie di attacco cibernetico si riporta la definizione del DOD Dictionary of Military and Associated Terms, il quale lo definisce come l’insieme di “actions taken in cyberspace that create noticeable denial effects (i.e., degradation, disruption, or destruction) in cyberspace or manipulation that leads to denial that appears in a physical domain and is considered a form of fires”. [1] A titolo esemplificativo, e per meglio comprendere il perché dell’equiparazione dei conflitti armati cibernetici ai conflitti armati di diritto internazionale, si riporta l’operazione effettuata dagli Stati Uniti nel 2012, definita ‘Olympic Games’, tramite la quale lo Stato aveva disposto un virus nei confronti dei sistemi informatici iraniani adibiti alla ricerca dell’uranio da utilizzare per le armi nucleari, tanto che Hayden, l’ex capo della CIA, aveva registrato che fosse avvenuta una distruzione fisica vera e propria.[2] Quanto detto, è servente per comprendere non solo come sia possibile paragonare un conflitto cyberspaziale, fatto per il tramite delle armi informatiche, ad una guerra tradizionale, ma come sia necessaria una tutela rafforzata anche nel contesto cibernetico, data dall’applicazione della normativa di dettaglio attuabile nel “campo di battaglia” di specie.

2. L’applicazione dello jus in bello alle cyber operations e l’intersezione normativa con il regime sui diritti umani.

Ai fini di una tutela reale ed effettiva delle “vittime” dei conflitti armati cibernetici, è necessario e non solo sufficiente, procedere alla attuazione concreta delle norme del diritto umanitario, alla fattispecie dei cyber conflicts. Inoltre, e ciò costituisce il nucleo duro del tema, è necessario comprendere come sia possibile l’applicazione sine condicio non solo del diritto umanitario, ma anche del regime internazionale sui diritti umani, alle cyber operations. Partendo dall’assunto che le cyber operations si configurano come operazioni cibernetiche volte alla raccolta di dati, alla captazione degli stessi al fine di analisi e/o alla disgregazione dei sistemi operativi, è necessario analizzare nel dettaglio come le normative si intreccino ai fini di una tutela reale ed effettiva dei diritti delle persone coinvolte. Ad ausilio dell’analisi, il Manuale di Tallinn 2.0, [3] prodotto nel 2013 e modificato nel 2017, conferisce una regolamentazione, non vincolante, alle cyber operations di epoca moderna. La ratio intrinseca del Manuale rinviene nell’ultima parte del documento, quale “the law of cyber armed conflict”, in quanto viene affiancato il binomio di cyber war con quello di armed conflict, al fine di avere una fusione del concetto di conflitti armati cibernetici. In particolare, il documento si focalizza sulla consistenza contenutistica delle linee guida per l’attuazione analogica della normativa umanitaria ai conflitti cibernetici, nonché le modalità con cui è possibile l’applicazione della normativa di DIU [4] e di seguito del regime internazionale sui diritti umani alla realtà specifica conflittuale.
Appare opportuno ai fini dell’analisi, soffermarsi sulla applicazione congiunta della normativa umanitaria e del regime internazionale sui diritti umani alle cyber operations, in modo tale da risaltare come l’apporto di tutela del regime ultimo menzionato, sia fondamentale e come sia necessario che, anche nelle realtà conflittuali così peculiari, non venga elusa la protezione dei diritti della persona umana. Indipendentemente dalle modalità di attuazione delle menzionate discipline, il nocciolo duro risiede nel comprendere come le stesse si attuino, tra loro e all’interno della fattispecie bellicosa cibernetica. Sul punto, assume rilievo il rapporto tra i regimi menzionati, in quanto, la clausola di deroga nei trattati sui diritti umani sancita dall’articolo 15 della CEDU [5] stabilisce espressamente una limitazione nella portata della protezione dei diritti umani in caso di situazioni di avversione. Suddetta limitazione, la quale conferisce la possibilità di deroga del regime sui diritti umani in caso di conflitto armato, costituisce il ponte tramite il quale, se non applicato il regime umanitario in modo efficiente, si verificano violazioni dei diritti umani, motivo de qua la necessaria intersezione tra le due discipline. Per meglio comprendere l’importanza di tale clausola, si riporta che la medesima rinviene anche all’interno del Patto ONU sui diritti civili e politici del 1966 e della Convenzione americana[6]. Ai fini esplicativi si riporta che la portata dei commi 1, 2 e 3 dell’articolo 4 del suddetto Patto è speculare in termini contenutistici ma non lessicali a quelli che sono gli stessi commi dell’articolo 27 della Convenzione americana e dell’articolo 15 della CEDU. Infatti, al comma 1 di tutte e tre le prescrizioni viene descritto il campo di applicazione formale, al comma 2 i diritti inderogabili secondo il rispettivo documento ed infine al comma 3 le prescrizioni procedurali. Quanto detto dimostra come, in termini astratti ma riconducibili a situazioni concrete, le discipline sono tra loro interconnesse. Volendo assumere un taglio pratico ed attuale suddetto elaborato, essendo molto dibattuto in dottrina il tema, si riportano le posizioni recentissime di Stati, i quali si sono espressi circa la necessaria intersezione di disciplina. In particolare, la Francia ha pubblicato una dichiarazione nel 2019 intitolata “droit international appliqué aux opérations dans le cyberespace” nella quale riporta in modo accurato la propria visione sul tema.[7] Prima facie statuisce che la così chiamata ‘quinta dimensione del campo di battaglia’ debba essere regolata dal diritto internazionale ed in particolare regolata dai principi di suddetto regime, tra cui il fondamentale divieto dell’uso della forza. In subordine sancisce l’applicazione altresì del diritto umanitario alle operazioni cibernetiche, non adoperando neanche i criteri di soglia della gravità dell’offesa, ma stabilendo direttamente l’attuazione ove si configuri un attacco informatico. Quanto detto rappresenta l’applicazione più concreta della normativa umanitaria in quanto nel momento in cui una violazione del diritto umanitario viene integrata all’interno di una guerra cibernetica, vi sarà l’imputazione di “un crime de guerre au sens du Statut de Rome”.[8]
Ad analoghe considerazioni giuridiche è giunta la Finlandia, la quale nel 2020 ha dichiarato l’affermatività di attuazione dapprima del diritto internazionale pubblico ed in seguito nello specifico del diritto umanitario e del regime sui diritti umani al contesto cyberspaziale. Senza soffermarsi troppo sul ragionamento logico giuridico, è fondamentale evidenziare come lo Stato sottolinei che è di fondamentale importanza che tutte le persone umane godano degli stessi diritti, motivo per i quale essi devono essere salvaguardati “seka verkossa etta sen ulkopuolella”[9], dunque sia online che offline.
Sotto concorrente profilo, si riporta l’analisi della recentissima posizione dell’Unione Europea, dell’UE e della NATO, quali organizzazioni convergenti verso una cooperazione globale circa l’attuazione della protezione umanitaria e dei diritti della persona umana ai conflitti armati cibernetici. In particolare, l’Unione Europea ha promosso la formazione di un centro apposito, denominato ‘European Cybersecurity Competence Centre’ con il duplice compito di controllo sugli attacchi cyber e la cooperazione tra gli Stati dell’Unione essendo già dotato di più di 600 centri di competenza. Inoltre, il Consiglio dell’UE ha deciso di promuovere una serie di iniziative proprio per far fronte alla problematica delle operazioni cyberspaziali che stanno diventando sempre più una questione da risolvere tra cui l’instaurazione di una crittografia di tipo avanzato tale da creare una sovrastruttura difficile da abbattere per gli hacker attaccanti. L’Unione Europea ha lanciato la suddetta nuova strategia nel dicembre 2020, la quale si basa sul trinomio tripartito in resilienza, sovranità tecnologica e leadership, sviluppo della capacità operativa di prevenzione, deterrenza e risposta e la promozione di un cyberspazio globale. Si rimarca il rilievo del concetto della cyber resilienza quale aspetto fondamentale per l’innalzamento di protezione di istituzioni, società ed assetti pubblici e privati che devono essere coperte dai rischi di attacchi, concetto che assume attualmente ancora più rilevanza data l’influenza bellicosa che la Russia sta trasmettendo in questo periodo. Inoltre, è da rilevare che la strategia dell’Unione si basa anche su un aspetto nettamente pratico, in quanto è stato promosso un programma di finanziamenti avente l’obiettivo ultimo fissato a 4,5 milioni, il quale nel periodo 2021-2027 opererà nella transizione digitale dell’UE. Contestualmente l’OEWG, ovvero l’Open-Ended Working Group delle Nazioni Unite, nel mese di marzo 2021 si è riunito con la finalità, raggiunta inaspettatamente, di approvare un report dedito alla sicurezza informatica cyberspaziale.[10] A simili conclusioni è arrivata la NATO, la quale, ha deciso di rafforzare il proprio programma di azione nel marzo 2021 sulla base dell’assunto che le violazioni arrecabili dalle cyber operations sono equiparabili se non addirittura superabili dai danni da conflitto armato tradizionale. Ciò che l’Organizzazione del Trattato Atlantico del Nord ha voluto sottolineare è che possono derivare molti più danni da un mouse che da una bomba lanciata.[11]

3. L’interconnessione disciplinare di tutela sui diritti umani ai conflitti armati cibernetici.

All’esito di quanto sin ora esposto, il focus dell’elaborato è comprendere come non solo il diritto umanitario sia interconnesso al regime internazionale sui diritti umani, ma anche che tale interconnessione si interseca con la nuova fattispecie dei cyber attacks.
Una prima considerazione cui porre luce risiede nel fatto che il regime sui diritti umani ontologicamente considerato come disciplina possiede caratteristiche proprie e dunque regole soggettive, oggettive, spaziali e temporali che non trovano corrispondenza con la realtà cyberspaziale connaturata da assenza di limiti. Dunque, l’esame si sofferma, riconoscendo in via preliminare una differenziazione strutturale, sulla possibile applicazione dei postulati cardini della materia, quali il principio di uguaglianza e di libertà. In particolare, tutti i soggetti devono avere prima facie riconosciuto il diritto di accesso ad Internet e dunque il diritto all’informazione ed all’espressione delle proprie idee da cui ne discende una cooperazione governativa ed istituzionale volta alla non occultazione di determinate informazioni guidata da criteri discriminatori. Difatti, ne deriva che deve essere garantito un principio di uguaglianza all’intera comunità internazionale circa l’accesso alla suddetta realtà, in quanto l’accessibilità a tale conoscenza costituisce un patrimonio di dati non poco rilevante. Tra i vari postulati chiave del regime sui diritti umani si eleva il principio di libertà per cui ogni individuo è libero nelle proprie scelte e nella determinazione di esse, motivo per il quale non viene esclusa tale libertà anche all’interno della realtà cyberspaziale, caratterizzandosi ciò come interesse all’informazione e all’uso di reti digitali. Di seguito è necessaria la salvaguardia di altri postulati cardine quali la sicurezza, proprio perché nel suddetto contesto, tramite le veloci modalità di conclusione di accordi, è fioriera la spedizione e la compravendita di determinate armi nucleari. Se difatti la proliferazione di armi è considerata uno degli esempi lampanti di come non solo la realtà conflittuale si lega con la realtà cyberspaziale, ciò che si vuole risaltare maggiormente è la necessità di norme a tutela degli individui. Seppur non visibili, vi sono innumerevoli danni che la guerra tecnologica possa arrecare alla persona umana tra cui la guerra nucleare derivante da un malfunzionamento del computer e tutti quei danni intenzionali, tra cui per esempio un dirottamento aereo, causabili unicamente con armi di tipo informatico. Inoltre, un aspetto cruciale risiede nel fatto che il carnefice, se così si possa chiamare dei suddetti danni, tramite la realtà cibernetica agisca in anonimato, conferendo sempre più distanza morale tra l’imputazione di responsabilità, l’azione oggettiva ed il dannoso risultato operato.[12]
A conferma di quanto sin ora astrattamente riportato, si riporta in concreto come l’applicazione del regime sui diritti umani debba essere attuato alle operazioni cibernetiche ai fini di una tutela effettiva dell’individuo. Nel dettaglio dal 2009 si è registrata la volontà da parte del IGT ovvero il Forum delle Nazioni Unite sulla governance di Internet di attuare il regime sui diritti umani alla realtà cyberspaziale in quanto essendo i diritti umani garantiti alle persone in qualsiasi locus non vi dovrebbero essere esclusioni neanche nella suddetta realtà astratta. Proprio per queste ragioni si è stilata una serie di principi propri del regime sui diritti umani che devono, o comunque dovrebbero, essere rispettati nella realtà di specie. In particolare, si fa riferimento a principi quali l’uguaglianza, la protezione e la sicurezza, la disponibilità e la libertà di accesso come già accennato, ma anche la possibilità di esprimere le proprie idee in modo arbitrario, il diritto alla privacy ed alla protezione dei dati, il rispetto della diversità, il diritto alla vita, ed una equale e corretta distribuzione delle risorse di rete.[13] In aggiunta a quanto analizzato si riportano le considerazioni del Gruppo di esperti addetti alla creazione del Manuale di Tallinn 2.0, i quali hanno ritenuto meritevole di interesse suddetta tematica nell’ambito dell’interconnessione con il cyberspazio. Difatti, viene statuito che “it is widely accepted that many of the international human rights that individuals enjoy ‘offline’ are also protected ‘online’”.[14] Dunque ciò che emerge leggendo le norme dedite alla questione è un’equipollenza delle realtà conflittuali, come se gli scriventi considerassero paragonabili le realtà bellicose astratte online alle suddette offline concrete e tradizionali.[15] Quando detto si concilia e viene rappresentato dalla regola 35 del Manuale, la quale statuisce che “individuals enjoy the same international human rights with respect to cyber-related activities that they otherwise enjoy”.[16] Nel dettaglio nella menzionata prescrizione vengono indicati quali sarebbero i diritti umani tutelabili all’interno della realtà cyberspaziale, di cui si riportano più o meno gli stessi diritti indicati dall’IGT dell’ONU, dunque la libertà di espressione, la privacy, l’accesso e la sicurezza, il diritto alla vita e alla salute ed in aggiunta il diritto all’equo processo.
Per meglio comprendere come l’applicazione del regime internazionale sui diritti umani sia necessario in attuazione in combinato disposto con la normativa umanitaria, nel caso in cui vi sia un attacco informatico, si riporta un caso di un attacco cibernetico registrato il 10 settembre 2020 avverso il sistema operativo dell’ospedale di Düsseldorf, in Germania. Nel suddetto caso, l’attacco informatico effettuato da parte del ransomware alle strutture operative dell’istituzione sanitaria, ha mandato in blocco il sistema ospedaliero, costringendo le autombulanze a trasportare i pazienti nella cittadina prossima, la quale però, distando circa 35 km, ha fatto in modo di lasciare uno spazio di tempo troppo prolungato tale da provocare la morte di una paziente. Nel caso di specie, gli esami circa l’accaduto hanno rilevato che l’attacco fosse diretto all’Università di Düsseldorf e non propriamente all’ospedale, il quale veniva coinvolto per il nome similare. Inoltre, sembrerebbe come si voglia imputare nei confronti dell’hacker attaccante la condotta di omicidio, seppur colposo e non intenzionale, date le circostanze sopra spiegate. [17]
L’interconnessione normativa dello jus in bello all’interno delle realtà bellicose, pur cibernetiche, appare dunque presupposto ai fini della miglior tutela anche del regime sui diritti umani.
Tale ultimo aspetto rispecchia il pensiero della più recente giurisprudenza, la quale, si afferma nel senso che l’intersezione normativa costituisca un pacchetto di norme fondamentali ai fini della tutela dell’individuo. Sul punto, la Corte europea dei diritti dell’uomo ha evidenziato tale assetto in una recentissima sentenza del 2021 nel caso ‘Georgia c. Russia (II)’[18]. È interessante rilevare che la Corte tiene particolarmente a chiarire come le materie si relazionino ed infatti statuisce che “the Court will thus examine the interrelation between the two legal regimes with regard to each aspect of the case”.[19]
L’organo giudicante spiega parte del cuore della questione affermando che il diritto umanitario si applica in caso di conflitto armato e che vi sia un rapporto di complementare integrazione tra le norme dello jus in bello e il regime internazionale sui diritti umani. Nella sentenza viene fatta una rassegna dettagliata, per punti a seconda dei presunti diritti offesi, delle violazioni sia della Convenzione sia del diritto umanitario. Analoghe considerazioni richiama il report del 2020[20] del Segretario Generale delle Nazioni Unite, nel quale viene espressamente dichiarato come in caso di conflitti armati, che siano anche di natura cibernetica, il diritto umanitario “operates as a gateway, in specific contexts, to the meaningful protectionof certain human rights”.[21] Quindi è evidente come il diritto umanitario funzioni da ponte per l’attuazione dei possibili diritti umani, i quali devono essere salvaguardati, in caso di conflitto armato cibernetico.

conflitto

1. Inquadramento applicativo della fattispecie.

L’applicazione del regime internazionale sui diritti umani in caso di conflitti armati costituisce un tema di lungo dibattito dottrinale e giurisprudenziale, il quale assume ancora più rilevanza in epoca attuale. Difatti, è fondamentale che i Trattati e le Convenzioni, nonché i Patti ed i documenti a tutela della persona umana non rimangano lettera morta all’insorgere di una guerra.
La normativa di tutela, nel caso di conflitto armato, deve altresì combaciare, rectius bilanciarsi, con il diritto umanitario, quale normativa di dettaglio costituita dalle Convenzioni di Ginevra e dai Protocolli addizionali, applicabile esclusivamente in caso di conflitto armato.
Nell’epoca attuale si deve considerare che una delle nuove fonti di potere sia proprio la conoscenza, la quale sembra essere equiparata al territorio, quale risorsa da conquistare e bene da acquisire scaturente possibili avversioni politiche ed economiche. Difatti, ad oggi la fattispecie degli attacchi cibernetici assume sempre più rilevanza, se non frequenza, tanto che vengono equiparati ai conflitti armati propri del diritto internazionale. Il fenomeno degli attacchi cibernetici trova fondamento in tempi non remoti, ed in particolare con l’avvento del XXI secolo e lo sviluppo delle nuove tecnologie. Ai fini della qualificazione della fattispecie di attacco cibernetico si riporta la definizione del DOD Dictionary of Military and Associated Terms, il quale lo definisce come l’insieme di “actions taken in cyberspace that create noticeable denial effects (i.e., degradation, disruption, or destruction) in cyberspace or manipulation that leads to denial that appears in a physical domain and is considered a form of fires”. [1] A titolo esemplificativo, e per meglio comprendere il perché dell’equiparazione dei conflitti armati cibernetici ai conflitti armati di diritto internazionale, si riporta l’operazione effettuata dagli Stati Uniti nel 2012, definita ‘Olympic Games’, tramite la quale lo Stato aveva disposto un virus nei confronti dei sistemi informatici iraniani adibiti alla ricerca dell’uranio da utilizzare per le armi nucleari, tanto che Hayden, l’ex capo della CIA, aveva registrato che fosse avvenuta una distruzione fisica vera e propria.[2] Quanto detto, è servente per comprendere non solo come sia possibile paragonare un conflitto cyberspaziale, fatto per il tramite delle armi informatiche, ad una guerra tradizionale, ma come sia necessaria una tutela rafforzata anche nel contesto cibernetico, data dall’applicazione della normativa di dettaglio attuabile nel “campo di battaglia” di specie.

2. L’applicazione dello jus in bello alle cyber operations e l’intersezione normativa con il regime sui diritti umani.

Ai fini di una tutela reale ed effettiva delle “vittime” dei conflitti armati cibernetici, è necessario e non solo sufficiente, procedere alla attuazione concreta delle norme del diritto umanitario, alla fattispecie dei cyber conflicts. Inoltre, e ciò costituisce il nucleo duro del tema, è necessario comprendere come sia possibile l’applicazione sine condicio non solo del diritto umanitario, ma anche del regime internazionale sui diritti umani, alle cyber operations. Partendo dall’assunto che le cyber operations si configurano come operazioni cibernetiche volte alla raccolta di dati, alla captazione degli stessi al fine di analisi e/o alla disgregazione dei sistemi operativi, è necessario analizzare nel dettaglio come le normative si intreccino ai fini di una tutela reale ed effettiva dei diritti delle persone coinvolte. Ad ausilio dell’analisi, il Manuale di Tallinn 2.0, [3] prodotto nel 2013 e modificato nel 2017, conferisce una regolamentazione, non vincolante, alle cyber operations di epoca moderna. La ratio intrinseca del Manuale rinviene nell’ultima parte del documento, quale “the law of cyber armed conflict”, in quanto viene affiancato il binomio di cyber war con quello di armed conflict, al fine di avere una fusione del concetto di conflitti armati cibernetici. In particolare, il documento si focalizza sulla consistenza contenutistica delle linee guida per l’attuazione analogica della normativa umanitaria ai conflitti cibernetici, nonché le modalità con cui è possibile l’applicazione della normativa di DIU [4] e di seguito del regime internazionale sui diritti umani alla realtà specifica conflittuale.
Appare opportuno ai fini dell’analisi, soffermarsi sulla applicazione congiunta della normativa umanitaria e del regime internazionale sui diritti umani alle cyber operations, in modo tale da risaltare come l’apporto di tutela del regime ultimo menzionato, sia fondamentale e come sia necessario che, anche nelle realtà conflittuali così peculiari, non venga elusa la protezione dei diritti della persona umana. Indipendentemente dalle modalità di attuazione delle menzionate discipline, il nocciolo duro risiede nel comprendere come le stesse si attuino, tra loro e all’interno della fattispecie bellicosa cibernetica. Sul punto, assume rilievo il rapporto tra i regimi menzionati, in quanto, la clausola di deroga nei trattati sui diritti umani sancita dall’articolo 15 della CEDU [5] stabilisce espressamente una limitazione nella portata della protezione dei diritti umani in caso di situazioni di avversione. Suddetta limitazione, la quale conferisce la possibilità di deroga del regime sui diritti umani in caso di conflitto armato, costituisce il ponte tramite il quale, se non applicato il regime umanitario in modo efficiente, si verificano violazioni dei diritti umani, motivo de qua la necessaria intersezione tra le due discipline. Per meglio comprendere l’importanza di tale clausola, si riporta che la medesima rinviene anche all’interno del Patto ONU sui diritti civili e politici del 1966 e della Convenzione americana[6]. Ai fini esplicativi si riporta che la portata dei commi 1, 2 e 3 dell’articolo 4 del suddetto Patto è speculare in termini contenutistici ma non lessicali a quelli che sono gli stessi commi dell’articolo 27 della Convenzione americana e dell’articolo 15 della CEDU. Infatti, al comma 1 di tutte e tre le prescrizioni viene descritto il campo di applicazione formale, al comma 2 i diritti inderogabili secondo il rispettivo documento ed infine al comma 3 le prescrizioni procedurali. Quanto detto dimostra come, in termini astratti ma riconducibili a situazioni concrete, le discipline sono tra loro interconnesse. Volendo assumere un taglio pratico ed attuale suddetto elaborato, essendo molto dibattuto in dottrina il tema, si riportano le posizioni recentissime di Stati, i quali si sono espressi circa la necessaria intersezione di disciplina. In particolare, la Francia ha pubblicato una dichiarazione nel 2019 intitolata “droit international appliqué aux opérations dans le cyberespace” nella quale riporta in modo accurato la propria visione sul tema.[7] Prima facie statuisce che la così chiamata ‘quinta dimensione del campo di battaglia’ debba essere regolata dal diritto internazionale ed in particolare regolata dai principi di suddetto regime, tra cui il fondamentale divieto dell’uso della forza. In subordine sancisce l’applicazione altresì del diritto umanitario alle operazioni cibernetiche, non adoperando neanche i criteri di soglia della gravità dell’offesa, ma stabilendo direttamente l’attuazione ove si configuri un attacco informatico. Quanto detto rappresenta l’applicazione più concreta della normativa umanitaria in quanto nel momento in cui una violazione del diritto umanitario viene integrata all’interno di una guerra cibernetica, vi sarà l’imputazione di “un crime de guerre au sens du Statut de Rome”.[8]
Ad analoghe considerazioni giuridiche è giunta la Finlandia, la quale nel 2020 ha dichiarato l’affermatività di attuazione dapprima del diritto internazionale pubblico ed in seguito nello specifico del diritto umanitario e del regime sui diritti umani al contesto cyberspaziale. Senza soffermarsi troppo sul ragionamento logico giuridico, è fondamentale evidenziare come lo Stato sottolinei che è di fondamentale importanza che tutte le persone umane godano degli stessi diritti, motivo per i quale essi devono essere salvaguardati “seka verkossa etta sen ulkopuolella”[9], dunque sia online che offline.
Sotto concorrente profilo, si riporta l’analisi della recentissima posizione dell’Unione Europea, dell’UE e della NATO, quali organizzazioni convergenti verso una cooperazione globale circa l’attuazione della protezione umanitaria e dei diritti della persona umana ai conflitti armati cibernetici. In particolare, l’Unione Europea ha promosso la formazione di un centro apposito, denominato ‘European Cybersecurity Competence Centre’ con il duplice compito di controllo sugli attacchi cyber e la cooperazione tra gli Stati dell’Unione essendo già dotato di più di 600 centri di competenza. Inoltre, il Consiglio dell’UE ha deciso di promuovere una serie di iniziative proprio per far fronte alla problematica delle operazioni cyberspaziali che stanno diventando sempre più una questione da risolvere tra cui l’instaurazione di una crittografia di tipo avanzato tale da creare una sovrastruttura difficile da abbattere per gli hacker attaccanti. L’Unione Europea ha lanciato la suddetta nuova strategia nel dicembre 2020, la quale si basa sul trinomio tripartito in resilienza, sovranità tecnologica e leadership, sviluppo della capacità operativa di prevenzione, deterrenza e risposta e la promozione di un cyberspazio globale. Si rimarca il rilievo del concetto della cyber resilienza quale aspetto fondamentale per l’innalzamento di protezione di istituzioni, società ed assetti pubblici e privati che devono essere coperte dai rischi di attacchi, concetto che assume attualmente ancora più rilevanza data l’influenza bellicosa che la Russia sta trasmettendo in questo periodo. Inoltre, è da rilevare che la strategia dell’Unione si basa anche su un aspetto nettamente pratico, in quanto è stato promosso un programma di finanziamenti avente l’obiettivo ultimo fissato a 4,5 milioni, il quale nel periodo 2021-2027 opererà nella transizione digitale dell’UE. Contestualmente l’OEWG, ovvero l’Open-Ended Working Group delle Nazioni Unite, nel mese di marzo 2021 si è riunito con la finalità, raggiunta inaspettatamente, di approvare un report dedito alla sicurezza informatica cyberspaziale.[10] A simili conclusioni è arrivata la NATO, la quale, ha deciso di rafforzare il proprio programma di azione nel marzo 2021 sulla base dell’assunto che le violazioni arrecabili dalle cyber operations sono equiparabili se non addirittura superabili dai danni da conflitto armato tradizionale. Ciò che l’Organizzazione del Trattato Atlantico del Nord ha voluto sottolineare è che possono derivare molti più danni da un mouse che da una bomba lanciata.[11]

3. L’interconnessione disciplinare di tutela sui diritti umani ai conflitti armati cibernetici.

All’esito di quanto sin ora esposto, il focus dell’elaborato è comprendere come non solo il diritto umanitario sia interconnesso al regime internazionale sui diritti umani, ma anche che tale interconnessione si interseca con la nuova fattispecie dei cyber attacks.
Una prima considerazione cui porre luce risiede nel fatto che il regime sui diritti umani ontologicamente considerato come disciplina possiede caratteristiche proprie e dunque regole soggettive, oggettive, spaziali e temporali che non trovano corrispondenza con la realtà cyberspaziale connaturata da assenza di limiti. Dunque, l’esame si sofferma, riconoscendo in via preliminare una differenziazione strutturale, sulla possibile applicazione dei postulati cardini della materia, quali il principio di uguaglianza e di libertà. In particolare, tutti i soggetti devono avere prima facie riconosciuto il diritto di accesso ad Internet e dunque il diritto all’informazione ed all’espressione delle proprie idee da cui ne discende una cooperazione governativa ed istituzionale volta alla non occultazione di determinate informazioni guidata da criteri discriminatori. Difatti, ne deriva che deve essere garantito un principio di uguaglianza all’intera comunità internazionale circa l’accesso alla suddetta realtà, in quanto l’accessibilità a tale conoscenza costituisce un patrimonio di dati non poco rilevante. Tra i vari postulati chiave del regime sui diritti umani si eleva il principio di libertà per cui ogni individuo è libero nelle proprie scelte e nella determinazione di esse, motivo per il quale non viene esclusa tale libertà anche all’interno della realtà cyberspaziale, caratterizzandosi ciò come interesse all’informazione e all’uso di reti digitali. Di seguito è necessaria la salvaguardia di altri postulati cardine quali la sicurezza, proprio perché nel suddetto contesto, tramite le veloci modalità di conclusione di accordi, è fioriera la spedizione e la compravendita di determinate armi nucleari. Se difatti la proliferazione di armi è considerata uno degli esempi lampanti di come non solo la realtà conflittuale si lega con la realtà cyberspaziale, ciò che si vuole risaltare maggiormente è la necessità di norme a tutela degli individui. Seppur non visibili, vi sono innumerevoli danni che la guerra tecnologica possa arrecare alla persona umana tra cui la guerra nucleare derivante da un malfunzionamento del computer e tutti quei danni intenzionali, tra cui per esempio un dirottamento aereo, causabili unicamente con armi di tipo informatico. Inoltre, un aspetto cruciale risiede nel fatto che il carnefice, se così si possa chiamare dei suddetti danni, tramite la realtà cibernetica agisca in anonimato, conferendo sempre più distanza morale tra l’imputazione di responsabilità, l’azione oggettiva ed il dannoso risultato operato.[12]
A conferma di quanto sin ora astrattamente riportato, si riporta in concreto come l’applicazione del regime sui diritti umani debba essere attuato alle operazioni cibernetiche ai fini di una tutela effettiva dell’individuo. Nel dettaglio dal 2009 si è registrata la volontà da parte del IGT ovvero il Forum delle Nazioni Unite sulla governance di Internet di attuare il regime sui diritti umani alla realtà cyberspaziale in quanto essendo i diritti umani garantiti alle persone in qualsiasi locus non vi dovrebbero essere esclusioni neanche nella suddetta realtà astratta. Proprio per queste ragioni si è stilata una serie di principi propri del regime sui diritti umani che devono, o comunque dovrebbero, essere rispettati nella realtà di specie. In particolare, si fa riferimento a principi quali l’uguaglianza, la protezione e la sicurezza, la disponibilità e la libertà di accesso come già accennato, ma anche la possibilità di esprimere le proprie idee in modo arbitrario, il diritto alla privacy ed alla protezione dei dati, il rispetto della diversità, il diritto alla vita, ed una equale e corretta distribuzione delle risorse di rete.[13] In aggiunta a quanto analizzato si riportano le considerazioni del Gruppo di esperti addetti alla creazione del Manuale di Tallinn 2.0, i quali hanno ritenuto meritevole di interesse suddetta tematica nell’ambito dell’interconnessione con il cyberspazio. Difatti, viene statuito che “it is widely accepted that many of the international human rights that individuals enjoy ‘offline’ are also protected ‘online’”.[14] Dunque ciò che emerge leggendo le norme dedite alla questione è un’equipollenza delle realtà conflittuali, come se gli scriventi considerassero paragonabili le realtà bellicose astratte online alle suddette offline concrete e tradizionali.[15] Quando detto si concilia e viene rappresentato dalla regola 35 del Manuale, la quale statuisce che “individuals enjoy the same international human rights with respect to cyber-related activities that they otherwise enjoy”.[16] Nel dettaglio nella menzionata prescrizione vengono indicati quali sarebbero i diritti umani tutelabili all’interno della realtà cyberspaziale, di cui si riportano più o meno gli stessi diritti indicati dall’IGT dell’ONU, dunque la libertà di espressione, la privacy, l’accesso e la sicurezza, il diritto alla vita e alla salute ed in aggiunta il diritto all’equo processo.
Per meglio comprendere come l’applicazione del regime internazionale sui diritti umani sia necessario in attuazione in combinato disposto con la normativa umanitaria, nel caso in cui vi sia un attacco informatico, si riporta un caso di un attacco cibernetico registrato il 10 settembre 2020 avverso il sistema operativo dell’ospedale di Düsseldorf, in Germania. Nel suddetto caso, l’attacco informatico effettuato da parte del ransomware alle strutture operative dell’istituzione sanitaria, ha mandato in blocco il sistema ospedaliero, costringendo le autombulanze a trasportare i pazienti nella cittadina prossima, la quale però, distando circa 35 km, ha fatto in modo di lasciare uno spazio di tempo troppo prolungato tale da provocare la morte di una paziente. Nel caso di specie, gli esami circa l’accaduto hanno rilevato che l’attacco fosse diretto all’Università di Düsseldorf e non propriamente all’ospedale, il quale veniva coinvolto per il nome similare. Inoltre, sembrerebbe come si voglia imputare nei confronti dell’hacker attaccante la condotta di omicidio, seppur colposo e non intenzionale, date le circostanze sopra spiegate. [17]
L’interconnessione normativa dello jus in bello all’interno delle realtà bellicose, pur cibernetiche, appare dunque presupposto ai fini della miglior tutela anche del regime sui diritti umani.
Tale ultimo aspetto rispecchia il pensiero della più recente giurisprudenza, la quale, si afferma nel senso che l’intersezione normativa costituisca un pacchetto di norme fondamentali ai fini della tutela dell’individuo. Sul punto, la Corte europea dei diritti dell’uomo ha evidenziato tale assetto in una recentissima sentenza del 2021 nel caso ‘Georgia c. Russia (II)’[18]. È interessante rilevare che la Corte tiene particolarmente a chiarire come le materie si relazionino ed infatti statuisce che “the Court will thus examine the interrelation between the two legal regimes with regard to each aspect of the case”.[19]
L’organo giudicante spiega parte del cuore della questione affermando che il diritto umanitario si applica in caso di conflitto armato e che vi sia un rapporto di complementare integrazione tra le norme dello jus in bello e il regime internazionale sui diritti umani. Nella sentenza viene fatta una rassegna dettagliata, per punti a seconda dei presunti diritti offesi, delle violazioni sia della Convenzione sia del diritto umanitario. Analoghe considerazioni richiama il report del 2020[20] del Segretario Generale delle Nazioni Unite, nel quale viene espressamente dichiarato come in caso di conflitti armati, che siano anche di natura cibernetica, il diritto umanitario “operates as a gateway, in specific contexts, to the meaningful protectionof certain human rights”.[21] Quindi è evidente come il diritto umanitario funzioni da ponte per l’attuazione dei possibili diritti umani, i quali devono essere salvaguardati, in caso di conflitto armato cibernetico.

Note

[1] Cfr., DOD Dictionary of Military and Associated Terms, aggiornato a Gennaio 2021, p. 55.
[2] Cfr., Ohlin, Govern and Finkelstein, Cyberwar Law and ethics for virtual conflicts, pp. ix-xiv e pp.3-6.
[3] Cfr., Sironi De Gregorio F., Il Manuale di Tallinn 2.0, 11.03.2019.
[4] Si intenda per DIU, il diritto internazionale umanitario.
[5] Si veda, art. 15 CEDU, di cui dicitura come di seguito.
“1. In caso di guerra o in caso di altro pericolo pubblico che minacci la vita della nazione, ogni Alta Parte contraente può adottare delle misure in deroga agli obblighi previsti dalla presente Convenzione, nella stretta misura in cui la situazione lo richieda e a condizione che tali misure non siano in conflitto con gli altri obblighi derivanti dal diritto internazionale.
2. La disposizione precedente non autorizza alcuna deroga all’articolo 2, salvo il caso di decesso causato da legittimi atti di guerra, e agli articoli 3, 4 § 1 e 7.
3. Ogni Alta Parte contraente che eserciti tale diritto di deroga tiene informato nel modo più completo il Segretario generale del Consiglio d’Europa sulle misure prese e sui motivi che le hanno determinate. Deve ugualmente informare il Segretario generale del Consiglio d’Europa della data in cui queste misure cessano d’essere in vigore e in cui le disposizioni della Convenzione riacquistano piena applicazione”.
[6] Si veda, art. 4 del Patto sui diritti civili e politici ed art. 27 della Convenzione americana.
[7] Cfr., Sarti E., La visione francese sul diritto internazionale nel cyberspace, in Center for Cyber Security and international relation studies, 1.10.2019.
[8] Cfr., Ministère des Armés, Droit International appliqué aux opérations dans le cyberspace, 9.09.2019, p. 14.
[9] Cfr., Finnish government, international law and cyberspace Finland’s national positions, p. 8. Si intenda “sia online che offline”.
[10] Cfr., i seguenti documenti:
-Santarelli M., Cybersecurity, Ue e Onu spingono per una prima collaborazione globale, in Agenda digitale, 29.03.2021.
-European Commission, the cybersecurity strategy, shaping Europe’s digital future, 8.04.2021.
-FASI redazione, Cybersicurezza: le proposte del Consiglio per la strategia UE, in Funding Aid Strategy Investments, 23.03.2021.
[11] Cfr., Marrone A., Nato e difesa cibernetica: una risposta militare ad attacchi cyber?, in affari internazionali, 22.03.2021.
[12] Cfr., Leen d’Haenens and eds., Cyberidentities, Canadian and European presence in cyberspace, pp. 31-45.
[13] Cfr., Florek I, Erkan Erogl S., The need for protection of human rights in cyberspace, 2019, pp. 27-32.
[14]Cfr., Manuale di Tallinn, p.179.
[15] Ivi, p. 84.
[16] Ivi, regola n. 35, art. 35, p.187.
[17] Cfr., Schiaffino M., Germania la prima morte provocata da un attacco informatico?, in Security info il punto di riferimento per la sicurezza IT in Italia 18.09.2020.
[18] Cfr., Corte europea dei diritti dell’uomo, Georgia c. Russia (II), 2021.
[19] Ivi, p.35 della sentenza.
[20] Cfr., General Assembly, Promotion and protection of human rights and fundamental freedoms while countering terrorism,2020.
[21] Ivi, p.7 del report.

Bibliografia

Monografie ed opere collettanee:
Leen d’Haenens and eds., Cyberidentities, Canadian and European presence in cyberspace, Canada: Ottawa Press, 2000.
Ohlin, Govern and Finkelstein, Cyberwar Law and ethics for virtual conflicts, United Kingdom: Oxford University Press, 2015.

Articoli in rivista e capitoli di libri:
DOD Dictionary of Military and Associated Terms, Gennaio 2021,
FASI redazione, Cybersicurezza: le proposte del Consiglio per la strategia UE, in Funding Aid Strategy Investments, 23.03.2021.
Florek I, Erkan Erogl S., The need for protection of human rights in cyberspace, in Journal of Modern Science tom 3/42/2019, 2019.
Marrone A., Nato e difesa cibernetica: una risposta militare ad attacchi cyber?, in affari internazionali, 22.03.2021.
Santarelli M., Cybersecurity, Ue e Onu spingono per una prima collaborazione globale, in Agenda digitale, 29.03.2021.
Sarti E., La visione francese sul diritto internazionale nel cyberspace, in Center for Cyber Security and international relations studies, 1.10.2019.
Schiaffino M., Germania la prima morte provocata da un attacco informatico?, in Security info il punto di riferimento per la sicurezza IT in Italia, 18.09.2020.
Sironi De Gregorio F., Il Manuale di Tallinn 2.0, in CyberLaws, 11.03.2019.

Documenti internazionali:
1) Documenti di Organizzazioni internazionali:
a) Atti dell’Assemblea Generale delle Nazioni Unite:
3.09.2020, Promotion and protection of human rights and fundamental freedoms while countering terrorism.
2) Istituzioni e atti normativi:
a) Francia: Ministère des Armés, Droit International applique aux opérations dans le cyberspace, 9.09.2019.
b) Finlandia: Ministry of Foreign Affairs, Finland published its positions on public international law of cyberspace, in Finnish government, 15 Ottobre 2020.
b) Unione Europea: European Commission, the cybersecurity strategy, shaping Europe’s digital future, 8.04.2021.
3) Trattati internazionali:
Convenzione americana sui diritti umani, 1978.
Patto internazionale sui diritti civili e politici, 1966.

Giurisprudenza internazionale:
Corte europea dei diritti dell’uomo: 21.01.2021, Georgia v. Russia (II), Application no. 38263/08.