La dichiarazione Europea sul diritto internazionale nel Cyberspazio

Il 18 novembre scorso, il Consiglio dell’Unione Europea e gli Stati membri hanno sottoscritto una dichiarazione comune sull’applicazione del diritto internazionale al cyberspazio, sulla base della presa d’atto del significativo aumento dei “comportamenti malevoli nel cyberspazio”, compreso il ransomware, da parte di una variegata platea di attori, non esclusi quelli statali, e del fatto che tali condotte vanno incrementandosi costantemente, sotto il profilo della gravità e sofisticatezza.

Pur nella consapevolezza, o forse proprio in considerazione del fatto che un numero crescente di Stati ha già sviluppato e presentato le proprie posizioni nazionali sull’applicazione del diritto internazionale al cyberspazio, l’UE e i suoi Stati membri hanno dunque voluto presentare una dichiarazione di intesa comune, ritenendo opportuno sottolineare l’importanza della piena attuazione del quadro delle Nazioni Unite sul comportamento responsabile degli Stati nel cyberspazio, adottato dall’Assemblea generale delle Nazioni Unite e ciò sulla base della premessa secondo la quale oggi le tecnologie dell’informazione e della comunicazione (ICTs) e le attività informatiche malevole svolgono un ruolo sempre più centrale in vari conflitti e rappresentano quindi una sfida e una minaccia di rilievo “per il funzionamento delle nostre società, economie e il nostro stile di vita” e finanche per la pace e per la sicurezza internazionali.

Il rischio, in sintesi, è che tali attacchi rallentino o addirittura riescano a vanificare i benefici economici e sociali della digitalizzazione, mettendo a repentaglio anche le c.d. “infrastrutture critiche”, impianti o servizi, pubblici o privati, di erogazione dei servizi essenziali (es. energia, trasformazione e distribuzione di alimenti, ecc.) per i quali, tra l’altro, proprio nel settembre scorso il Governo ha emanato il decreto legislativo n. 134/2024 di recepimento della direttiva europea 2022/557, al fine di sostenerne la resilienza.

La Dichiarazione comune vuole ribadire il fatto che il diritto internazionale, incluse le norme internazionali in materia di diritti umani e, in particolare, la Carta delle Nazioni Unite, si applicano pienamente anche al cyberspazio, sottolineando che questo quadro normativo dovrebbe rimanere al centro degli sforzi della comunità internazionale. Per delineare meglio la cornice, alla Dichiarazione è stata acclusa una serie di enunciazioni che vanno a meglio precisare i diritti e i doveri degli Stati e i relativi profili di responsabilità.

Così, in apertura, si afferma che la sovranità statale è un principio fondamentale del diritto internazionale, che comporta anche la giurisdizione territoriale sulle infrastrutture tecnologiche e della comunicazione (ICTs) ubicate nel proprio territorio nazionale e sulle persone impegnate in attività informatiche all’interno del proprio territorio, con la conseguenza che l’eventuale violazione dell’obbligo di rispettare la sovranità statale (per esempio con un’operazione informatica che interferisca sulle funzioni intrinsecamente governative di un altro Stato) equivale a un atto illecito a livello internazionale. Di conseguenza l’interferenza nei sistemi ICT, nei servizi cloud, in domini riservati ad un altro Stato e, in generale, nelle reti informatiche ubicate sul territorio di un altro Stato costituisce un’attività illecita vietata dal diritto internazionale; oltre ad astenersi dal compimento di tali illeciti, ogni Stato è perciò tenuto anche a fare tutti gli sforzi possibili affinché le proprie infrastrutture ICT non vengano utilizzate da terzi per atti malevoli contro altri Stati (principio della due diligence come posto nell’ambito del diritto internazionale).

Inoltre, in considerazione del fatto che le attuali società sono fortemente impostate sull’utilizzo delle infrastrutture di telecomunicazioni per moltissime delle proprie attività quotidiane, viene precisato espressamente che, laddove un attacco possa comportare l’interruzione del servizio, allora esso può essere paragonato all’uso cinetico della forza, ai sensi delle Carta delle Nazioni Unite e ciò vale anche nel contesto di un conflitto armato; le attività informatiche malevole possono dunque equivalere ad atti fisici violenti contro l’avversario ed anche questi devono allora essere valutati – e qui sta una delle affermazioni più significative della Dichiarazione - alla luce della normativa internazionale sui diritti umani, secondo i principi di umanità, necessità militare, proporzionalità e distinzione.
Quest’ultimo, in particolare, impone alle parti di un conflitto di dirigere i propri attacchi militari esclusivamente contro personale e obiettivi militari, vale a dire contro strutture e beni che, per loro natura, ubicazione, scopo o uso forniscono un contributo efficace all’azione militare e la cui distruzione offre un netto vantaggio militare.

Nel contesto informatico la questione si fa particolarmente delicata, poiché una stessa infrastruttura ICT è spesso utilizzata per scopi sia civili che militari; ove non considerata obiettivo militare, l’infrastruttura ICT deve tuttavia godere della protezione in quanto oggetto civile, con conseguente divieto di attacchi indiscriminati ai sensi dell’articolo 51 del primo protocollo aggiuntivo alle Convenzioni di Ginevra.

In sintesi, se un attacco informatico può oggi assumere la qualifica di vero e proprio attacco armato e se rispetto ad un attacco armato può essere invocato il diritto all’autodifesa, allora il medesimo diritto potrà essere invocato in caso di danno o distruzione delle infrastrutture di telecomunicazione nazionale, pur sempre nel rispetto dei requisiti di necessità e proporzionalità. Gli Stati devono perciò rispettare i propri obblighi internazionali, compresi, si ribadisce, quelli in materia di diritti umani, nelle proprie attività sia offline, che online, con i medesimi obblighi a carattere negativo, di astensione, in particolare dalla violazione dei diritti umani e a carattere positivo, di protezione attiva dei diritti delle persone sotto la propria giurisdizione; nel contesto informatico, tali diritti comprendono, per esempio, la libertà di espressione, di cercare, ricevere e diffondere informazioni, la libertà di riunione e associazione pacifica, il diritto alla privacy, tutto anche con riferimento ai diritti dei minori d’età.

Con la Dichiarazione della settimana scorsa, l’UE e gli Stati membri, di comune intesa, hanno voluto ribadire che il diritto internazionale e la normativa internazionale in materia di diritti umani non possono essere estranei al mondo digitale. Con essa, l’UE e gli Stati membri sono andati anzi a dimostrare che è possibile raggiungere un’intesa su di una serie di principi e di regole fondamentali sul diritto internazionale applicabili al cyberspazio, precisando che ciò non comporta, né incoraggia in alcun modo la militarizzazione del cyberspazio, né legittima la guerra informatica; al contrario, proprio la precisazione circa la piena applicabilità della normativa in materia di diritti umani vuole andare nella direzione opposta, tesa dunque alla tutela della pace e degli equilibri internazionali. 

Si tratta certamente di un traguardo non di poco momento, anche alla luce del fatto che, in passato, nell’elaborazione del quadro delle Nazioni unite per il comportamento responsabile degli Stati membri nel cyberspazio - accordo che tra i primi si è prefisso il fine di individuare le norme di diritto internazionale applicabili appunto al cyberspazio - non erano mancate difficoltà e iniziali spaccature tra gli Stati partecipi e, in particolare, tra i grandi blocchi internazionali, proprio sull’applicabilità a tale contesto delle norme sui diritti umani, evidente frutto di un differente approccio, invero non limitato al solo cyberspazio.

La Dichiarazione costituisce, ad ogni, solo il primo approdo comune; i principi in essa contenuti vengono infatti esplicitamente qualificati come “non esaustivi”, così permettendo una visione aperta al futuro, nell’ottica di una sempre maggiore collaborazione tra Stati Membri, UE e Nazioni Unite, per “sviluppare, estendere, aggiornare e condividere ulteriormente la nostra comprensione dell’applicazione del diritto internazionale al cyberspazio”.

_______

*A cura di Alessandra Spangaro - DigitalMediaLaws

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più