Ancora una volta la Nato ha ribadito che “un attacco cyber rivolto ad una nazione è un’aggressione a tutti i paesi membri”. E’ stato il Segretario generale, Jens Stoltenberg, a metterlo nero su bianco in un commento ripreso dalla Bbc. L’articolo 5 dell’Alleanza atlantica, che sancisce il diritto alla difesa collettiva, scatterebbe immediatamente, poiché la Nato considera lo spazio cibernetico una nuova dimensione degli scontri armati al pari di terra, cielo, aria e spazio.
Idealmente nulla da eccepire, ma nella pratica la situazione è decisamente più complessa. Basterebbe considerare che la storia degli attacchi cyber dimostra come le responsabilità non sono mai certe e i tempi per stabilirle possono essere molto lunghi.
I malware come WannaCry e NotPetya, che due anni orsono fecero disastri in decine di paesi, sono ancora oggi oggetto di dibattito. Alcuni puntano l’indice contro la Russia, altri verso la Corea del Nord, secondo alcuni invece i colpevoli sono semplici criminali informatici.
Se andiamo indietro nel tempo anche gli attacchi DdoS, che nel 2007 misero in ginocchio l’Estonia, sono oggetto di discussione. Sono partiti dalla Russia, ma non sussistono prove certe che sia stato il governo di Mosca a orchestrarli.
Proprio da quel caso la Nato ebbe l’idea di affidare a un gruppo di esperti di diritto internazionale la definizione di un quadro giuridico per una guerra cibernetica. Così vide la luce il “Manuale di Tallin”, che dimostrò quanto il tema fosse complesso. Gli esperti si divisero su una quantità enorme di argomenti, a partire da quale sia il livello di danno prodotto che possa configurare un atto di guerra.
Eppure i fatti dimostrano che le armi cibernetiche hanno una capacità distruttiva impressionante, che secondo Jeremy Straub della North Dakota State University non è tanto diversa da quella degli armamenti nucleari.
Su questo argomento abbiamo più volte scritto di quanto la diffusione dell’Internet delle Cose stia incrementando il rischio di attacchi catastrofici a infrastrutture vitali come i sistemi di distribuzione idrico o elettrico. Tra l’altro, se i componenti di un ordigno atomico non sono esattamente facili da reperire, quelli per realizzare un malware devastante sono disponibili nel negozio di informatica sotto casa. Per questa ragione poche persone competenti e determinate potrebbero colpire una nazione e causare danni paragonabili a quelli di una guerra.
Se spostiamo il ragionamento a livello geopolitico, lo sviluppo di un arsenale cibernetico potrebbe essere una tentazione irresistibile per tutte quelle organizzazioni statali e non economicamente impossibilitate a investire in un esercito convenzionale.
Per dare un’idea della situazione, nell’aprile del 2018 è venuto alla luce il caso Exodus, un malware realizzato per il corpo di Polizia italiana destinato a infiltrarsi negli smartphone e prenderne il controllo. Secondo i documenti ufficiali, le forze dell’ordine avrebbero pagato alle società che lo avevano creato e gestito 307.439,90 euro, una somma che fa riflettere su quanto determinate armi siano decisamente a “buon mercato”. Basta tenere presente che un singolo missile Cruise ha un costo stimato tra i 700mila e un milione di dollari. Aggiungiamo che nel caso di un malware ogni sua copia costa esattamente zero dollari.
Se questa è la situazione, forse varrebbe la pena di riflettere sull’opportunità di regolamentare la proliferazione delle armi cyber. L’impresa sarà ardua o forse impossibile: per il momento su nessun tavolo politico italiano o estero si è mai iniziato a parlare della questione. Il fatto è grave, perché significa che il pericolo non è stato ancora compreso.
Sul tema della cyber war l’autore di questo articolo, insieme ad Aldo Giannuli, ha da poco pubblicato il libro “Cyber War – Le guerra prossima ventura” (Mimesis Edizioni / Eterotopie)
