top of page
Immagine del redattoreGabriele Iuvinale

Offensive e spionaggio nel cyberspazio: quali norme applicare

La mancanza di norme pattizie che disciplinano espressamente le azioni degli Stati e di altri attori nel cyberspazio non significa che questa “arena” debba restare senza disciplina. In linea generale sono applicabili le norme di diritto internazionale derivate da trattati e da altre fonti del diritto. Facciamo il punto


Intarnational Law (long read)


G e N Iuvinale

Nell’ultimo decennio, Stati autoritari come Cina e Russia si sono impegnati in un massiccio accumulo di capacità informatiche che, per Governi ed imprese di tutto il mondo, rappresentano oggi una impressionante minaccia.


Nel nuovo e competitivo dominio informatico, il problema delle operazioni ostili ha assunto natura endemica globale. La discussione su come il diritto internazionale debba governare lo “spazio virtuale” è progredita notevolmente. Tuttavia, tra gli Stati continuano a permanere importanti divergenze nell’interpretazione di alcune disposizioni universali. In particolare, Washington e Pechino hanno opinioni contrastanti sull’applicabilità del diritto internazionale al cyberspazio e sulla legittimità dello spionaggio industriale abilitato dal cyber.


Cyberspazio, Cina e Russia a favore di un trattato multilaterale vincolante

Sul piano delle fonti, Cina e Russia sostengono che l’attuale quadro di diritto internazionale non sia adatto a regolare l’unicità e la complessità del dominio cibernetico e chiedono alla comunità internazionale di negoziare un trattato multilaterale vincolante, invece di continuare a costruire un consenso attorno ad un trattato comune non coercitivo.

Diversi Paesi hanno pubblicato proprie posizioni su come il diritto internazionale debba applicarsi al cyberspazio, con la Polonia ultima in ordine di tempo. Ciononostante, dal 2018 è in corso un dibattito sull’esistenza – o meno – di una norma di diritto internazionale che, in tale ambito, imponga agli Stati di rispettare la sovranità di altri Paesi. In particolare, importanti attori informatici come l’Australia e gli Stati Uniti non hanno ancora pubblicamente preso una posizione ferma sulla questione. In tale contesto, l’incapacità per gli Stati di agire coerentemente con il diritto internazionale e, di conseguenza, giustificare e/o condannare operazioni informatiche malevoli, rappresenterebbe un significativo passo indietro nel promuovere la stabilità e la sicurezza nel cyberspazio.

Da parte degli Stati titubanti servirebbe, dunque, un’approvazione espressa di posizioni di politica legale che garantirebbe risposte informatiche efficaci all’interno di in più ampio quadro giuridico; ciò assicurerebbe, nel consesso internazionale, la conoscenza delle regole dello Stato adottante.


Come Cina e Russia usano le minacce nel cyberspazio come arma di politica estera

Negli ultimi dieci anni, Cina e Russia si sono impegnate in un massiccio accumulo di capacità informatiche ed oggi costituiscono una significativa minaccia per l’Occidente (1). In particolare, in Cina – attore informatico maggiormente organizzato della Russia (2) – sotto la spinta del Segretario generale del Partito comunista cinese (PCC) Xi Jinping, i leader politici nazionali hanno costantemente espresso la loro intenzione di far diventare il Paese una “superpotenza informatica”. Gli elementi centrali della visione ufficiale del Governo sul cyberspazio includono l’aspirazione di Pechino ad acquisire lo status di superpotenza della sicurezza nazionale, considerando l’area cibernetica come sede di una competizione strategica internazionale. I massimi leader cinesi, infatti, vedono lo “spazio virtuale” come un’arena di feroce competizione strategica tra Paesi che la Cina vuole modellare a suo favore (3). Pechino, pertanto, ha sviluppato formidabili capacità informatiche offensive ed ora è leader mondiale nello sfruttamento delle vulnerabilità.


Come la Cina, anche la Russia utilizza gli strumenti informatici come “arma” di politica estera particolarmente potente. In particolare, Mosca sfrutta il regno cibernetico per raggiungere un vantaggio geopolitico nelle sue controverse relazioni con l’Occidente. Ciò include notevoli capacità informatiche, l’utilizzo dello spionaggio digitale e l’uso di internet per la guerra dell’informazione (4).


La natura endemica globale delle operazioni offensive

All’inizio di marzo 2021, Microsoft ha rivelato che un attore di minacce sponsorizzato dallo Stato cinese chiamato HAFNIUM aveva sfruttato molteplici vulnerabilità (precedentemente sconosciute) presenti nel suo software del server di posta elettronica Exchange per attaccare le reti dei clienti (5). Le intrusioni hanno reso vulnerabili migliaia di server che non avevano ancora implementato la patch di Microsoft, consentendo agli hacker non affiliati ad HAFNIUM di infiltrarsi nei server di posta elettronica di governi municipali, piccole imprese, operatori sanitari ed industrie (6). Gli esperti di sicurezza informatica hanno stimato che i sistemi di almeno 30.000 vittime negli Stati Uniti e fino a 250.000 in tutto il mondo sarebbero stati compromessi nel giro di pochi giorni (7). Sebbene di portata storica, l’hack di Microsoft Exchange, però, è solo uno dei tanti attacchi informatici cinesi di alto profilo degli ultimi anni. Nel suo Global Threat Report 2022, la società statunitense di sicurezza informatica CrowdStrike ha affermato che la Cina è ora un leader globale nello sfruttamento delle vulnerabilità (8).


Per quanto concerne la Russia, nel 2016 attori informatici affiliati al Governo russo avrebbero condotto una campagna informatica senza precedenti contro l’infrastruttura elettorale statale USA9. Il 9 luglio 2021, il Presidente Biden ha rinnovato l’avvertimento al Presidente Putin, sottolineando “la necessità che la Russia agisca per interrompere i gruppi ransomware che operano sul territorio russo” e “che gli Stati Uniti intraprenderanno le azioni necessarie per difendere il proprio popolo e la propria infrastruttura critica di fronte a questa continua sfida” (10). Non sorprende, dunque, che gli USA abbiano deciso sulla necessità di solide operazioni informatiche per scoraggiare quelle ostili. Una serie di cyber-azioni della Russia (o partite dal suo territorio) – tra cui quelle SolarWinds (11), Colonial Pipeline (12), REvil (13) e Republican National Committee (14) – hanno accentuato la necessità (15) di adottare un approccio più aggressivo rispetto a quello passato.


Cina e Russia, però, non sono gli unici attori di operazioni informatiche offensive. Si ritiene che dal 2005, ben trentaquattro Paesi hanno sponsorizzato azioni informatiche, con Cina, Russia, Iran e Corea del Nord che rappresentano il 77% del totale (16). Nel 2022, sarebbero state realizzate complessivamente147 operazioni, in aumento rispetto agli anni passati (17).

Il problema delle operazioni informatiche dannose, quindi, è endemico a livello globale.

La competizione normativa USA-Cina: una ferita aperta

Il noto esperto di questioni di sicurezza e politica estera cinese del Council on Foreign Relations (CFR), Adam Segal, sostiene che Stati Uniti e Cina divergono nettamente sulle norme che dovrebbero guidare il comportamento di uno Stato responsabile nel cyberspazio in tempo di pace. Washington e Pechino aggiunge, “concordano sull’applicazione di base del diritto internazionale e della carta delle Nazioni Unite al cyberspazio, ma differiscono sostanzialmente nelle rispettive interpretazioni di alcune disposizioni che sarebbero rilevanti per le operazioni informatiche in un contesto militare […] I principali punti controversi sono la perpetrazione dello spionaggio informatico da parte della Cina per conseguire un illegittimo vantaggio economico, la sua enfasi sul controllo statale di Internet e l’opposizione di Pechino all’applicazione di alcuni principi del diritto internazionale nel settore cibernetico (18).


La posizione degli Stati Uniti è che il diritto internazionale e le disposizioni della Carta delle Nazioni Unite relative all’autodifesa, all’uso della forza e del conflitto armato si applicano al cyberspazio. Ritengono, inoltre, “che la sovranità sia un principio del diritto internazionale e non vi sarebbe alcun divieto assoluto di operazioni informatiche che possano toccare il territorio di altri (19). Sebbene le violazioni dipendano dalle circostanze, secondo Segal gli USA “sembrano riferirsi a casi in cui le attività di defending forward nel territorio di un altro Stato non hanno effetti o riducono al minimo gli effetti”. In ogni caso, le attività informatiche dannose possono costituire un uso della forza o un “attacco armato” che fa scattare il diritto di uno Stato sovrano di difendersi attraverso operazioni offensive proporzionate, cyber o altro, a seconda dei casi (20). Purtroppo, come si vedrà in seguito, gli Stati Uniti non hanno ancora preso pubblicamente una posizione ferma sulla questione relativa all’esistenza di una norma di diritto internazionale che imponga agli Stati di rispettare la sovranità di altri nel cyberspazio.


La Cina concorda sul fatto che il diritto internazionale sia applicabile nel cyberspazio ma ha resistito a descrizioni concrete dei diritti e delle responsabilità dello Stato. Per Segal, “Pechino, infatti, ha teso a caratterizzare l’appello a una maggiore esplicazione di diritti e doveri, soprattutto nello jus ad bellum (il corpus normativo che affronta gli usi della forza per autodifesa) e nello jus in bello (il corpus normativo che disciplina la condotta delle ostilità), in quanto porta alla ‘militarizzazione del cyberspazio'” (21). In una dichiarazione preparata nell’ottobre 2021 sulla posizione della Cina, il Ministero degli Affari Esteri ha avvertito della necessità di “gestire l’applicabilità della legge sui conflitti armati e dello jus ad bellum con prudenza e prevenire l’escalation dei conflitti o la trasformazione del cyberspazio in un nuovo campo di battaglia” (22). Concretamente, “Pechino tendeva anche a sottolineare che la sovranità è una regola e quindi affermava che le operazioni informatiche, anche se avessero effetti limitati, sarebbero violazioni della sovranità” (23).


Al contrario degli USA, dunque, la Cina si oppone all’idea che il principio dell’autodifesa possa essere invocato per rispondere ad attività cibernetiche dannose sulla base del fatto che tale interpretazione “militarizza” il cyberspazio e dà carta bianca agli Stati potenti per condurre la guerra cibernetica (24). Sostanzialmente, invita gli Stati ad osservare il principio di uguaglianza sovrana sancito dall’articolo 2 della Carta delle Nazioni Unite (25) e di astenersi dall’effettuare operazioni cibernetiche militari contro altri Stati (26).


Inoltre, insieme a Mosca, Pechino ha spesso suggerito che le caratteristiche uniche del cyberspazio richiedono un nuovo trattato internazionale. Nel settembre 2011, Cina e Russia, sostenute da Tagikistan e Uzbekistan, hanno presentato all’Assemblea generale delle Nazioni Unite una lettera in cui proponevano agli Stati un progetto di Codice internazionale di condotta per la sicurezza delle informazioni dove si concordava che non “utilizzeranno le tecnologie dell’informazione e della comunicazione, comprese le reti, per svolgere attività ostili o atti di aggressione, porre minacce alla pace e alla sicurezza internazionali o proliferare armi informatiche o tecnologie correlate” (27). Il Codice è stato nuovamente sottoposto alle Nazioni Unite nel 2015 dalla Shanghai Cooperation Organization (SCO), l’Organizzazione regionale eurasiatica che comprende Cina, Russia, Kazakistan, Kirghizistan, Tagikistan e Uzbekistan (28).


La Cina e la Russia, dunque, sostengono che l’attuale quadro di diritto internazionale non sia adatto a regolare l’unicità e la complessità del dominio cibernetico e chiedono alla comunità internazionale di negoziare un trattato multilaterale vincolante per il ciberspazio invece di continuare a costruire un consenso attorno ad un trattato comune non coercitivo (29). Secondo Nikolay Bozhkov, analista di minacce informatiche presso la Sezione di difesa informatica della NATO, la riluttanza della Cina ad applicare il diritto internazionale al cyberspazio riflette le preoccupazioni sulla limitazione delle proprie capacità informatiche e sul fornire agli Stati Uniti un pretesto per condurre attacchi informatici dirompenti durante un conflitto armato (30).


La competizione USA-Cina sulle norme che modellano il cyberspazio, inoltre, abbraccia una varietà di formati e di sedi. Secondo Segal, la Cina può ora affermare di avere anch’essa un modello di governance per dati e cyber-sicurezza, oltre a quello già offerto dagli Stati Uniti e dall’Europa (31). “Questo modello offre un’alternativa all’equilibrio tra diritti individuali e autorità statale, privacy e sicurezza, regolamentazione e innovazione che le democrazie liberali enfatizzano. […] Respinge anche esplicitamente l’idea che l’equilibrio offerto negli altri modelli di governance sia universale” (32). Con questa visione alternativa delle norme per il cyberspazio, i diplomatici cinesi sostengono le loro norme preferite nelle istituzioni internazionali e nei gruppi regionali dedicati alle questioni dello “spazio virtuale”. Allo stesso tempo, per favorire un’alternativa cinese, Pechino ha creato o proposto nuove organizzazioni e convenzioni per soppiantare i meccanismi di governo esistenti.


L’obiettivo principale, però, è quello di concorrere a fratturare la principale governance informatica delle Nazioni Unite. Dal 2004, la Cina ha partecipato al procedimento del Gruppo di esperti governativi (GGE) delle Nazioni Unite per lo sviluppo delle norme di comportamento statale responsabile nel cyberspazio, ma il suo recente coordinamento con la Russia ha di fatto diviso il processo di costruzione del consenso globale in due percorsi separati (33). Nel primo decennio successivo all’istituzione del GGE, Pechino si è unita a Washington come firmataria di due importanti rapporti di consenso nel 2013 e nel 2015 (34). Nel primo, i membri del gruppo – di cui facevano parte Cina, Russia, Stati Uniti e rappresentanti di altre dodici Nazioni – hanno convenuto che “il diritto internazionale, e in particolare la Carta delle Nazioni Unite, si applica al cyberspazio”. Nel secondo – il cui gruppo era incaricato di esaminare “norme, regole o principi per il [comportamento] responsabile degli Stati” nonché “come il diritto internazionale si applica all’uso delle tecnologie dell’informazione e della comunicazione da parte degli Stati” – Pechino e Mosca hanno firmato quattro norme promosse da Washington: la responsabilità dello Stato e il dovere di assistenza, il divieto per gli Stati di danneggiare o compromettere intenzionalmente le infrastrutture critiche altrui e non prendere di mira le squadre di risposta alle emergenze informatiche di un altro Stato in tempo di pace. Ma Cina e Russia, insieme a Pakistan, Malesia e Bielorussia, si sono opposte all’inclusione del riferimento all’articolo 51 della Carta delle Nazioni Unite che autorizza l’uso della forza per autodifesa contro un “attacco armato”.


Dopo che la riunione del GGE del 2017 non è riuscita a produrre un consenso, la Cina ha sostenuto una risoluzione russa per creare un nuovo gruppo di lavoro di Stati, noto come Open-Ended Working Group (OEWG), per sviluppare norme informatiche in parallelo con il GGE35. I due gruppi hanno prodotto rapporti in gran parte simili nel 2021, sebbene il rapporto dell’OEWG omettesse il termine “diritto internazionale umanitario”, il corpus normativo che protegge i civili durante i conflitti armati (36). In risposta ai commenti presentati dal Comitato internazionale per la Croce Rossa, il presidente dell’OEWG ha riconosciuto che “alcune questioni su come il diritto internazionale si applica all’uso delle TIC [tecnologie dell’informazione e della comunicazione] devono ancora essere completamente chiarite” (37). Secondo Segal, come per il rapporto GGE del 2017, l’opposizione all’incorporazione di aiuti umanitari internazionali deriva probabilmente dall’argomentazione secondo cui la sua inclusione normalizzerebbe la militarizzazione del cyberspazio e legittimerebbe gli attacchi informatici (38).


In conclusione, Cina e Russia, rimarranno riluttanti a discutere ulteriormente su come il diritto internazionale si applichi nel cyberspazio e preferiranno, invece, spostare le conversazioni sulla necessità di un nuovo trattato che copra le norme informatiche. La dichiarazione congiunta rilasciata dai due Stati durante la visita di Putin nel febbraio 2022, ad esempio, ha sottolineato che i “principi del non uso della forza, del rispetto della sovranità nazionale e dei diritti umani e delle libertà fondamentali e della non ingerenza negli affari interni di altri Stati, come sancito dalla Carta delle Nazioni Unite, sono applicabili allo spazio dell’informazione della Carta ONU e alla sovranità statale sullo spazio dell’informazione” (39.) Pechino e Mosca hanno anche chiesto il consolidamento delle norme in un trattato vincolante: le due parti “ritengono necessario consolidare gli sforzi della comunità internazionale per sviluppare nuove norme di comportamento responsabile degli Stati, comprese quelle legali, nonché un diritto internazionale universale come strumento che regola le attività degli Stati nel campo delle TIC” (40).


Al di fuori del processo delle Nazioni Unite, Washington ha cercato di coinvolgere Pechino in una discussione bilaterale sul conflitto informatico. I funzionari e gli analisti statunitensi temono da tempo che, senza una comprensione condivisa delle soglie, dei segnali e dell’escalation nel cyberspazio, un incidente informatico possa stimolare un conflitto cinetico. Le questioni informatiche sono state discusse durante il dialogo strategico ed economico, che si è riunito otto volte tra il 2009 e il 2016. Inoltre, le due parti hanno concordato un gruppo di lavoro di esperti informatici durante il vertice di settembre 2015 tra i presidenti Xi e Obama, ma quel gruppo si è incontrato solo una volta nel maggio 2016. Xi Jinping e Trump hanno concordato quattro dialoghi, tra cui quello sulle forze dell’ordine e sulla strategia informatica e il dialogo diplomatico e sulla sicurezza. Quest’ultimo si sarebbe riunito nel giugno 2017 e avrebbe discusso questioni di stabilità e standard internazionali; il primo, in particolare, si sarebbe concentrato sul furto della proprietà intellettuale e sulla criminalità (41).


La posizione degli Stati sull’applicazione del diritto internazionale

La mancanza di norme pattizie che disciplinino espressamente le azioni degli Stati e di altri attori nel cyberspazio non significa che questa “arena” debba restare senza disciplina. In linea generale sono applicabili le norme di diritto internazionale derivate da trattati e da altre fonti del diritto, in particolare il diritto internazionale consuetudinario. Finora, la posizione secondo cui le norme esistenti del diritto internazionale si applicano al cyberspazio è stata assunta tra l’altro dall’Unione Europea (42), dall’Organizzazione del Trattato del Nord Atlantico (43), dal Gruppo di esperti governativi delle Nazioni Unite (44), da un certo numero di Stati (45) [tra cui l’Italia (46) e da ultimo la Polonia (47)] e da gruppi di esperti indipendenti [per tutti vedasi Manuale di Tallin 2.0 (48)].


Tuttavia, sono soprattutto tre regole fondamentali che rimangono ancora oggetto di disaccordo a vari livelli tra Stati, professionisti e studiosi. Innanzitutto, il riconoscimento della norma di diritto internazionale della sovranità (che gode del sostegno più ampio), poi della due diligence (che sta raccogliendo un sostegno crescente) ed infine delle contromisure collettive (che continuano ad essere oggetto di incertezza normativa). Come è stato fatto notare da Michael Schmitt, Professore di diritto internazionale presso l’Università di Reading nel Regno Unito, “l’adozione di queste tre regole opererebbe in sinergia per fornire il quadro giuridico ottimale per rispondere – e non solo per scoraggiare – ad operazioni informatiche ostili” (49). Dunque, gli Stati ancora riluttanti come gli USA dovrebbero riconoscere pubblicamente:

  • che la sovranità è una norma di diritto internazionale applicabile al cyberspazio;

  • che gli Stati devono esercitare la Due diligence per porre fine alle operazioni informatiche ostili dal loro territorio;

  • che gli Stati possono adottare contromisure collettive.

La sovranità

Dal 2018 è in corso un intenso dibattito sull’esistenza – o meno – di una norma di diritto internazionale che imponga agli Stati di rispettare la sovranità degli altri. Anche se l’UK Foreign, Commonwealth and Development Office e il National Cyber Security Center hanno criticato le operazioni informatiche della Russia del febbraio 2022 per non aver rispettato la sovranità dell’Ucraina (50), il Regno Unito nel 2018 ha affermato che nel contesto informatico non esiste la regola della sovranità (51), posizione ribadita anche nel 2021 (52).


Tutti gli altri Paesi che da allora si sono occupati direttamente della questione hanno assunto il punto di vista opposto, come Francia53, Germania54, Paesi Bassi55, Italia56, Giappone (57), Nuova Zelanda (58), Austria (59), Repubblica Ceca (60), Polonia (61), ecc.. Anche la più recente dottrina della NATO caratterizza la sovranità come una norma di diritto internazionale (con la riserva del Regno Unito) (62).


Gli stessi USA (probabilmente) ritengono che la sovranità sia un mero principio di diritto internazionale e non crei obblighi giuridici autonomi e separati, ma sia tutelata da altre norme come il divieto dell’uso della forza o il principio di non intervento (63). E proprio questa posizione ondivaga degli Stati Uniti (ma anche dell’Australia) “ha minato l’indispensabile scambio che gli Stati dovrebbero avere sui criteri in base ai quali le operazioni informatiche condotte a distanza devono essere giudicate quando si valuta se violano la sovranità dello Stato bersaglio” (64).


Volendo mutuare la recente interpretazione polacca, la sovranità può essere definita un principio fondamentale del diritto internazionale, da cui derivano altri diritti e doveri come il principio di non intervento, nonché norme sulla giurisdizione e sulle immunità (65). Facendo riferimento al caso Island of Palmas (66), la Polonia vede, dunque, il nucleo della sovranità nell’indipendenza, nell’uguaglianza e nell’inviolabilità dell’integrità territoriale e dell’indipendenza politica di uno Stato. Di conseguenza, gli Stati esercitano un’autorità suprema sul proprio territorio, che comprende persone e oggetti, come le infrastrutture della tecnologia dell’informazione e della comunicazione (TIC). Da questa suprema autorità deriva anche il diritto di proteggere le persone e le cose all’interno del territorio di uno Stato.


Nel contesto non informatico, i casi della Corte internazionale di giustizia come Corfu Channel67, Certain Activities Carried Out by Nicaragua in the Border Area (Costa Rica v. Nicaragua),68 e Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. United States of America) (69) nonché altre fonti di diritto internazionale (70) forniscono esempi di violazione della sovranità di uno Stato senza riferimento ad altre specifiche norme di diritto internazionale. Mostrano, in sostanza, che la violazione della sovranità equivale alla commissione di un atto internazionalmente illecito con conseguenze legali. Per l’esperta Harriet Moynihan, membro associato del programma di diritto internazionale presso Chatham House “non c’è motivo per cui il principio di sovranità non debba applicarsi nel contesto informatico come si applica in ogni altro dominio dell’attività dello Stato, come riconosciuto dal gruppo di esperti governativi delle Nazioni Unite nei rapporti di consenso del 2013 (71) e nel 2015 (72)” (73).


In termini generali, la sovranità può essere violata in due modi. Entrambi richiedono che l’operazione informatica condotta a distanza sia imputabile ad un altro Stato, ad esempio perché l’hanno condotta suoi organi, oppure perché è stata realizzata da soggetti non statali operanti su istruzione o controllo effettivo di un altro Stato [Artt.. 4 e 8 Articles on State Responsibility (74)].


“In primo luogo, l’attività informatica che provoca effetti sul territorio di un altro Stato può violare la sovranità ( Manuela di Tallinn 2.0, Regola 475). Questo indipendentemente dal fatto che il danno riguardi un’infrastruttura informatica privata o governativa. La questione irrisolta è quali operazioni informatiche lo fanno, al di là di casi ovvi come quelli che danneggiano fisicamente l’infrastruttura informatica mirata o i sistemi che si basano su di essa […] In secondo luogo, la sovranità può essere violata quando un’operazione informatica attribuibile a uno Stato interferisce – o usurpa – con le funzioni intrinsecamente governative di un altro Stato (Manuale di Tallinn 2.0, Regola 476) (77).


Riconoscere la regola internazionale della sovranità è essenziale per scoraggiare e rispondere alle operazioni informatiche ostili. Nonostante la sua vaghezza, è la norma che ha più probabilità di essere violata da operazioni informatiche condotte a distanza (78).


Due diligence

Applicata nel contesto informatico, questa norma richiede che uno Stato adotti misure concrete per porre fine alle operazioni informatiche ostili in corso ed organizzate dal suo territorio (o in remoto attraverso un’infrastruttura informatica presente su di esso) che stanno causando gravi conseguenze negative per il diritto di un altro Stato. Il gruppo di esperti internazionale del Manuale di Tallinn 2.0 ha concluso che questa regola esiste nel cyberspazio e la maggior parte degli Stati che si sono espressi direttamente sulla questione concordano sulla sua applicabilità. Tuttavia, i rapporti del Gruppo di esperti governativi (GGE) delle Nazioni Unite del 2013, 2015 e 2021 (79) hanno definito la Due diligence una cosiddetta “norma volontaria e non vincolante di comportamento statale responsabile” piuttosto che una norma vincolante di diritto internazionale.


Come osservavano alcuni studiosi, però, la tesi preferibile è che si tratti di una norma di diritto internazionale la cui portata non impone agli Stati di intraprendere azioni preventive, come il monitoraggio del proprio cyberspazio e si applica solo quando l’operazione informatica ostile implica un interesse legale internazionale dello Stato bersaglio, come il rispetto della sua sovranità e, anche in tal caso, solo quando le conseguenze sono sostanziali (80).


Questa regola ha anche vantaggi: “obbliga gli Stati ad adottare misure fattibili per garantire che non stiano consapevolmente consentendo al proprio territorio di fungere da base per operazioni informatiche ostili ed apre la porta a contromisure contro coloro che non lo fanno” (81).


Contromisure collettive

Oltre alla sovranità e alla due diligence, una terza norma di diritto internazionale potrebbe fornire la base giuridica per un’efficace deterrenza e, in caso di fallimento, per rispondere alle operazioni informatiche ostili (82). Anche se entrambe le regole fossero accettate, molti Stati presi di mira non avrebbero i mezzi pratici per rispondere in modo efficace.


Ad esempio, potrebbero non avere i mezzi per condurre solide operazioni informatiche oltre i loro confini o non avere la capacità di esercitare pressioni su uno Stato responsabile affinché desista dalle sue operazioni o interrompa quelle dal suo territorio con altre contromisure legali al di fuori del dominio informatico. Ciò pone la questione se altri Stati possano venire in loro aiuto nel porre in essere contromisure, ma questo problema resta ancora irrisolto a livello internazionale. Pochi Paesi, infatti, hanno affrontato l’argomento apertamente, ma se ne sta discutendo in contesti regionali come la NATO (83). Per taluni, però, le contromisure informatiche collettive per conto degli Stati lesi e, per estensione, il sostegno alle contromisure dello Stato leso, sarebbero lecite (84). Il cyberspazio, si afferma infatti, è un dominio interdipendente, in cui le operazioni informatiche in un singolo Paese possono avere implicazioni globali. “Un’interpretazione della legge che precluda l’azione collettiva di fronte a operazioni informatiche illecite lascerebbe di fatto molti Stati indifesi di fronte a operazioni informatiche ostili (85).


Definizione di guerra informatica e spionaggio informatico

Accademici, giornalisti e membri del pubblico usano spesso il termine “guerra informatica” per descrivere come Stati come la Cina e la Russia utilizzano i computer e le reti di computer per causare danni, lanciare attacchi informatici o integrare forme convenzionali di guerra intrapresa contro un avversario (86).


Un “attacco informatico” può essere definito “un attacco, effettuato tramite il cyberspazio, che prende di mira l’utilizzo del cyberspazio da parte di un’organizzazione allo scopo di interrompere, disabilitare, distruggere o controllare maliziosamente un ambiente informatico o un’infrastruttura” (87). Non esiste inoltre una definizione ampiamente accettata di “guerra informatica”, ma molte definizioni enfatizzano l’interruzione o la distruzione delle risorse militari, delle infrastrutture governative o civili di un avversario per raggiungere scopi strategici (88).


Alcuni analisti distinguono ulteriormente tra “guerra informatica operativa, “che si riferisce agli attacchi informatici in tempo di guerra contro obiettivi militari per degradare i mezzi di combattimento di un avversario” e “guerra informatica strategica” o attacchi informatici lanciati contro un avversario e la sua società per influenzarne la volontà, il comportamento e le scelte politiche in tempo di pace o in tempo di guerra (89).


I militari tendono a usare il termine “guerra dell’informazione”, piuttosto che guerra cibernetica, per descrivere come reali capacità del cyberspazio vengono utilizzate in concerto con altre “capacità relative alle informazioni” per raggiungere obiettivi militari (90).


Lo spionaggio informatico

Al contrario, lo spionaggio informatico è l’atto di ottenere l’accesso a dati da un sistema informatico a fini di raccolta di intelligence senza l’autorizzazione del proprietario di quel sistema (91). Esso può sorvegliare clandestinamente le reti di un’organizzazione ed esfiltrare i dati per guadagno economico, vantaggio competitivo, ragioni politiche o militari, obiettivi accademici, ma anche appaltatori indipendenti (o “hacker a pagamento”) possono partecipare allo spionaggio informatico sponsorizzato dallo Stato (92). Il cyberespionaggio elimina alcuni dei rischi associati alle tecniche di spionaggio tradizionali e consente di acquisire una maggiore quantità di informazioni che possono essere raccolte in un dato momento (93).


Sul piano del diritto internazionale, la norma contro lo spionaggio informatico economico non è universalmente accettata. Si ritiene che lo spionaggio, in quanto tale, non viola la sovranità dello stato bersaglio [vedi Manuale di Tallinn, Regola 32 (94)].


Su tale aspetto, nel 2018 gli USA, tramite il Pentagono, hanno adottato una strategia informatica più orientata all’offesa. Descrivendo un ambiente competitivo in cui il Cyber Command si impegnerebbe costantemente con gli avversari, la strategia afferma che gli operatori statunitensi “interromperanno o fermeranno l’attività informatica dannosa alla fonte, comprese le attività che scendono al di sotto del livello di un conflitto armato” (95). La maggior parte delle informazioni pubbliche su come è stato implementato il coinvolgimento persistente riguardava l’interruzione delle operazioni di influenza russa, ma l’ex consigliere per la sicurezza nazionale John Bolton ha suggerito che anche il Cyber Command stava avviando operazioni contro gli hacker cinesi (96).


Carattere giuridico delle operazioni informatiche

Nell’attuale quadro giuridico, talune operazioni informatiche sono qualificate dal diritto internazionale che ne delinea anche le opzioni di risposta da parte degli Stati presi di mira.


Violazioni di sovranità

La maggior parte degli Stati sostiene che le operazioni informatiche potrebbero violare la sovranità; l’interferenza con le funzioni intrinsecamente governative (inclusa la difesa nazionale) verrebbe probabilmente considerata una tale violazione. Il Regno Unito non riconosce una regola di sovranità nel contesto informatico e gli Stati Uniti non hanno preso una posizione definitiva sulla questione. Tuttavia, entrambi potrebbero muoversi verso la visione prevalente nelle recenti dichiarazioni.


Non intervento

Le operazioni informatiche potrebbero violare il divieto di intervento negli affari interni o esterni dello Stato preso di mira se l’operazione informatica comporta (a) coercizione (b) nel domaine réservé dello Stato preso di mira. Le operazioni che si limitano a influenzare il processo decisionale non sono sufficienti.


Uso della forza

Le operazioni informatiche che causano danni fisici significativi o la morte costituiscono usi illegali della forza ai sensi dell’articolo 2 comma 4 della Carta delle Nazioni Unite e del diritto internazionale consuetudinario.


Ruolo degli attori non statali

Secondo la legge sulla responsabilità statale, le operazioni condotte da gruppi non statali sono completamente attribuibili allo Stato agente se poste in essere secondo le istruzioni, la direzione o il controllo di quest’ultimo.


Applicazione del diritto internazionale umanitario

La forza cinetica o cibernetica che causa danni fisici significativi o la morte nello Stato bersaglio si qualifica come conflitto armato internazionale. Il diritto umanitario internazionale (ad esempio, le Convenzioni di Ginevra) regolerebbe le operazioni informatiche e cinetiche in un tale conflitto.


Opzioni di risposta


Autodifesa

La NATO ha ripetutamente confermato che il diritto all’autodifesa in caso di attacco armato si applica nel cyberspazio. Uno Stato vittima può rispondere per legittima difesa se un attore non statale conduce un attacco informatico armato per conto o con il coinvolgimento sostanziale di uno Stato.

Stati Uniti, Regno Unito e Germania ritengono che uno Stato vittima possa rispondere per autodifesa a operazioni informatiche di attori non statali che raggiungono il livello di gravità di un attacco armato.

Gli USA adottano una posizione anomala secondo cui qualsiasi uso della forza fa scattare il diritto all’autodifesa e non deve raggiungere una scala o un effetto superiore per costituire un attacco armato. Ciò detto, le azioni intraprese per autodifesa dovrebbero comunque essere necessarie e proporzionate, secondo il punto di vista di tutti gli Stati (compresi gli Stati Uniti) sulla legge.


Giustificazione della necessità

Uno Stato vittima può intraprendere un’azione altrimenti illegale in risposta a operazioni informatiche sulla base della giustificazione della necessità se quest’ultimo non è in grado di stabilire una connessione tra un attore non statale incriminato e lo Stato agente o non può sostenere che l’azione di questi viola il diritto internazionale.


Contromisure

Uno Stato vittima può rispondere con contromisure, atti o omissioni progettati per indurre lo Stato agente a desistere da una condotta illegale ai sensi del diritto internazionale.

È in corso un dibattito sulla possibilità che uno Stato assista un altro nell’effettuare contromisure informatiche o addirittura conduca le contromisure per conto dello Stato vittima (contromisure collettive).


Ritorsione

In risposta alle operazioni informatiche, lo Stato può impegnarsi unilateralmente o collettivamente in atti ostili contro lo Stato agente che non violano una norma di diritto internazionale come l’imposizione di sanzioni.



 

Note e bibliografia


  1. U.S. Office of the Director of National Intelligence, “Cyber Operations Enabling Exspansive Digital Authoritarianism”, National Intelligence Council, 7.4.2020, declassificato il 5.10.2022, https://www.odni.gov/files/ODNI/documents/assessments/NICM-Declassified-Cyber-Operations-Enabling-Expansive-Digital-Authoritarianism-20200407–2022.pdf

  2. Ibidem.

  3. Xi Jinping, “Speech at the National Cybersecurity and Informationization Work Conference” del 20.4.2018, Excerpts from Xi Jinping’s Discussions on Strengthening the Country through the Internet, Central Literature Publishing House, 2021, pp. 41–42; Rogier Creemers e AAVV, “Translation: Xi Jinping’s April 20 Speech at the National Cybersecurity and Informatization Work Conference”, DigiChina, Stanford University, 30.4.2018, https://digichina.stanford.edu/work/translation-xi-jinpings-april-20-speech-at-the-national-cybersecurity-and-informatization-work-conference/; Rogier Creemers, “Xi Jinping’s Speech at the National Cybersecurity and Informatization Work Conference”, DigiChina, Stanford University, 22.4.2018, https://digichina.stanford.edu/work/xi-jinpings-speech-at-the-national-cybersecurity-and-informatization-work-conference/.

  4. Julien Nocetti, “Cyber Power”, Routledge Handbook of Russian Foreign Policy edited by Andrei Tsygankov, 6.4.2018, https://www.taylorfrancis.com/chapters/edit/10.4324/9781315536934-13/cyber-power-julien-nocetti; U.S. Office of the Director of National Intelligence, “Cyber Operations Enabling Exspansive Digital Authoritarianism”, cit.

  5. Microsoft, “HAFNIUM Targeting Exchange Servers with 0-Day Exploits”, 2.3.2021, https://www.microsoft.com/en-us/security/blog/2021/03/02/hafnium-targeting-exchange-servers/.

  6. Matthieu Faou, Mathieu Tartare e Thomas Dupuy, “Exchange Servers under Siege from at Least 10 APT Groups” We Live Security by ESET, 10.3.2021, https://www.eset.com/fileadmin/ESET/CZ/Threat-report/eset_threat_report_t12021.pdf.

  7. Brian Krebs, “At Least 30,000 U.S. Organizations Newly Hacked Via Holes in Microsoft’s Email Software” Krebs on Security, 5.3.2021, https://krebsonsecurity.com/2021/03/at-least-30000-u-s-organizations-newly-hacked-via-holes-in-microsofts-email-software/.

  8. CrowdStrike, “2022 Global Threat Report”, 2022, pp 16–17, https://go.crowdstrike.com/global-threat-report-2022.html?utm_campaign=brand&utm_content=crwd-treq-en-x-tct-it-psp-x-x-brnd-x_x_x_x-high&utm_medium=sem&utm_source=bing&utm_term=crowdstrike%20global%20threat%20report&msclkid=74bb376368a91dcdd7b454b13d342b1e.

  9. U.S. Senate Select Committee on Intelligence, “Russian Targeting of Election Infrastructure During the 2016 Election: Summary of Initial Findings and Recommendations”, 8.5.2018 https://www.intelligence.senate.gov/publications/russia-inquiry; U.S. Senate Select Committee on Intelligence, report “RUSSIAN ACTIVE MEASURES CAMPAIGNS AND INTERFERENCE IN THE 2016 U.S. ELECTION”, 2020, https://www.intelligence.senate.gov/publications/report-select-committee-intelligence-united-states-senate-russian-active-measures.

  10. The White House, Background Press Call By Senior Administration Officials On President Biden’s Call With President Putin of Russia, 9.7.2021, https://www.whitehouse.gov/briefing-room/speeches-remarks/2021/07/09/background-press-call-by-senior-administration-officials-on-president-bidens-call-with-president-putin-of-russia/

  11. Michael Schmitt, “Top Expert Backgrounder: Russia’s SolarWinds Operation and International Law”, Just Security, 21.12.2021, https://www.justsecurity.org/73946/russias-solarwinds-operation-and-international-law/.

  12. Charlie Osborne, “Colonial Pipeline ransomware attack: Everything you need to know”, ZDNET, https://www.zdnet.com/article/fewer-ransomware-victims-are-paying-up-but-theres-a-catch/.

  13. Kellen Browning, “Hundreds of companies, from Sweden to the United States, affected by cyber attacks”, The New York Times, 2.7.2021, https://www.nytimes.com/2021/07/02/technology/cyberattack-businesses-ransom.html.

  14. Alana Wise, The Republican National Committee Was Targeted By Hackers, NPR, 7.7.2021, https://www.npr.org/2021/07/06/1013545363/russians-tried-to-hack-republican-national-committee.

  15. David Sanger, Nicole Perloth e Julian Barnes, “As Understanding of Russian Hacking Grows, So Does Alarm”, The New York Times, 18.1.2021, https://www.nytimes.com/2021/01/02/us/politics/russian-hacking-government.html.

  16. Digital and Cyberspace Policy staff, Cyber Operations Tracker, Council on Foreign Relations, 2023 https://www.cfr.org/cyber-operations/.

  17. Ibidem; vedi anche Strategic Technologies Program del CSIS staff, “Timeline records significant cyber incidents since 2006”, CSIS, 2023, https://www.csis.org/programs/strategic-technologies-program/significant-cyber-incidents.

  18. Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, U.S. China Economic Security Review Commission, 17.2.2022, Adam Segal Testimony (uscc.gov).

  19. Ibidem.

  20. Harold Hongju Koh, “International Law in Cyberspace”, U.S. Department of State, 18.9.2012, https://2009-2017.state.gov/s/l/releases/remarks/197924.htlm.

  21. Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit.

  22. Cyber Law Toolkit , “Posizione nazionale della Repubblica popolare cinese (2021)”, https://cyberlaw.ccdcoe.org/wiki/National_position_of_the_People%27s_Republic_of_China_(2021).

  23. Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit.

  24. Nikolay Bozhkov, “China’s Cyber Diplomacy: A Primer”, EU Cyber Direct, 9.3.2020, pp. 36–37, https://eucyberdirect.eu/research/chinas-cyber-diplomacy-a-primer.

  25. United Nations site, “United Nations Charter, Chapter I: Purposes and Principles”, https://www.un.org/en/about-us/un-charter/chapter-1.

  26. Ibidem. Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit.

  27. Ministero degli Esteri della Repubblica Popolare di Cina, “International Code of Conduct for Information Security”, 12.9.2011, https://www.fmprc.gov.cn/mfa_eng/wjdt_665385/2649_665393/201109/t20110913_679318.html.

  28. U.N. General Assembly, “Letter dated 9 January 2015 from the Permanent Representatives of China, Kazakhstan, Kyrgyzstan, the Russian Federation, Tajikistan and Uzbekistan to the United Nations addressed to the Secretary-General”, U.N. Doc. A/69/273 (2015), https://digitallibrary.un.org/record/786846.

  29. Nikolay Bozhkov, “China’s Cyber Diplomacy: A Primer”, cit.

  30. Ibidem.

  31. Adam Segal, “China’s Vision for Cyber Sovereignty and the Global Governance of Cyberspace” in Nadège Rolland, ed., “An Emerging China-Centric Order: China’s Vision for a New World Order in Practice”, National Bureau of Asian Research, Rapporto speciale n. 87, 25.8.2020, https://www.nbr.org/publication/chinas-vision-for-cyber-sovereignty-and-the-global-governance-of-cyberspace/.

  32. Ibidem.

  33. Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit.

  34. Ibidem; UN Group of Governmental Experts, “Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security,” A/70/174, 22.7.2015, https://digitallibrary.un.org/record/799853.

  35. Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit; Nikolay Bozhkov, “China’s Cyber Diplomacy: A Primer”, cit.

  36. Adina Ponta, “Responsible State Behavior in Cyberspace: Two New Reports from Parallel UN Processes”, American Society of International Law, Volume 25, Issue 14, 30.7.2021, https://www.asil.org/insights/volume/25/issue/14; Dan Efrony, “The UN Cyber Groups, GGE and OEWG—A Consensus Is Optimal, but Time Is of the Essence”, Just Security, 16.7.2021, https://www.justsecurity.org/77480/the-un-cyber-groups-gge-and-oewg-a-consensus-is-optimal-but-time-is-of-the-essence/.

  37. United Nations Open-Ended Working Group, “Chair’s Summary, 10.3.2021, https://www.un.org/disarmament/open-ended-working-group/; International Committee of the Red Cross, Comments on the “Substantive Report [First Draft] of the ‘Open-Ended Working Group on Developments in the Field of Information and Telecommunications in the Context of International Security”, 3.3.2021, https://www.un.org/disarmament/open-ended-working-group/.

  38. Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit.

  39. Ibidem.

  40. Joint Statement of the Russian Federation and the People’s Republic of China on the International Relations Entering a New Era and the Global Sustainable Development, 4.2.2022, http://en.kremlin.ru/supplement/5770?s=08.

  41. Secretary of State Rex Tillerson and Secretary of Defense Jim Mattis at a Joint Press Availability, U.S. State Department, 21.6.2017, https://2017-2021.state.gov/secretary-of-state-rex-tillerson-and-secretary-of-defense-jim-mattis-at-a-joint-press-availability/index.html; Department of Giustice, “First U.S.-China Law Enforcement and Cybersecurity Dialogue: Summary of Outcomes, Department of Justice”, 6.10.2017, Primo dialogo USA-Cina sull’applicazione della legge e sulla sicurezza informatica | OPA | Dipartimento di Giustizia (justice.gov).

  42. Council of the European Union, “Council conclusions on the development of the European Union’s cyber posture”, 23.5.2022, https://www.consilium.europa.eu/media/56358/st09364-en22.pdf.

  43. NATO STANDARDIZATION OFFICE, “Allied Joint Doctrine forCyberspace Operations”, Allied Joint Publication -3.20, NATO, gennaio 2020, https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/899678/doctrine_nato_cyberspace_operations_ajp_3_20_1_.pdf.

  44. Open-Ended Working Group (OEWG), https://www.un.org/disarmament/open-ended-working-group/

  45. Cyber Law Toolkit, Posizioni nazionali, https://cyberlaw.ccdcoe.org/wiki/Applicability_of_international_law#Australia_(2020)

  46. Ministero degli Affari Esteri, Presidenza del Consiglio dei Ministri e Ministero della Difesa, “ITALIAN POSITION PAPER ON ‘INTERNATIONAL LAW AND CYBERSPACE’”, novembre 2021, https://www.esteri.it/MAE/resource/doc/2021/11/italian_position_paper_on_international_law_and_cyberspace.pdf.

  47. Republic of Poland, “The Republic of Poland’s position on the application of international law in cyberspace”, 29.12.2022, https://www.justsecurity.org/84799/polands-position-on-international-law-and-cyber-operations-sovereignty-and-third-party-countermeasures/.

  48. Michael N. Schmitt, “Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations”, Cambridge University Press, febbraio 2017, https://www.cambridge.org/core/books/tallinn-manual-20-on-the-international-law-applicable-to-cyber-operations/E4FFD83EA790D7C4C3C28FC9CA2FB6C9.

  49. Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, Just Security, 13.7.2021, https://www.justsecurity.org/77402/three-international-law-rules-for-responding-effectively-to-hostile-cyber-operations/.

  50. UK Foreign, Commonwealth and Development Office e National Cyber Security Center, UK assesses Russian involvement in cyber attacks on Ukraine, GOV.UK, 18.2.2022, https://www.gov.uk/government/news/uk-assess-russian-involvement-in-cyber-attacks-on-ukraine.

  51. Attorney General Jeremy Wright QC MP, “Cyber and International Law in the 21st Century”, UK, 23.5.2018, https://www.gov.uk/government/speeches/cyber-and-international-law-in-the-21st-century.

  52. General Assembly of the United Nations A /76/136, “Official compendium of voluntary national contributions on the subject of how international law applies to the use of information and communications technologies by States submitted by participating governmental experts in the Group of Governmental Experts on Advancing Responsible State Behaviour in Cyberspace in the Context of International Security established pursuant to General Assembly resolution 73/266”, pp. 106, 13.7.2021, https://ccdcoe.org/uploads/2018/10/UN_-Official-compendium-of-national-contributions-on-how-international-law-applies-to-use-of-ICT-by-States_A-76-136-EN.pdf.

  53. Ministero degli eserciti francese, “DROIT INTERNATIONAL APPLIQUÉ AUX OPÉRATIONS DANS LE CYBERESPACE”, settembre 2019, https://www.justsecurity.org/wp-content/uploads/2019/09/droit-internat-appliqu%C3%A9-aux-op%C3%A9rations-cyberespace-france.pdf.

  54. Speech by Ambassador Norbert Riedel, Commissioner for International Cyber Policy, “Cyber Security as a Dimension of Security Policy” Speech by Ambassador Norbert Riedel, Commissioner for International Cyber Policy, Federal Foreign Office, Berlin, at Chatham House, London, 18.5.2015, https://www.auswaertiges-amt.de/en/newsroom/news/150518-ca-b-chatham-house/271832.

  55. Ministro degli Affari esteri, “Lettera al parlamento sull’ordinamento giuridico internazionale nel cyberspazio”, Governo dei Paesi Bassi, 5.7.2019, https://www.government.nl/ministries/ministry-of-foreign-affairs/documents/parliamentary-documents/2019/09/26/letter-to-the-parliament-on-the-international-legal-order-in-cyberspace.

  56. Ministero degli Affari Esteri, Presidenza del Consiglio dei Ministri e Ministero della Difesa, “ITALIAN POSITION PAPER ON ‘INTERNATIONAL LAW AND CYBERSPACE’”, cit.

  57. Ministry of Foreign Affairs of Japan, “Basic Position of the Government of Japan on International Law Applicable to Cyber Operations”, Government of Japan, 28.5.2021, https://www.mofa.go.jp/files/100200935.pdf.

  58. Ministero degli affari esteri e del commercio (MFAT), “The Application of International Law to State Activity in Cyberspace”, 1.12.2020, https://dpmc.govt.nz/sites/default/files/2020-12/The%20Application%20of%20International%20Law%20to%20State%20Activity%20in%20Cyberspace.pdf.

  59. Przemyslaw Roguski, “The Importance of New Statements on Sovereignty in Cyberspace by Austria, the Czech Republic and United States”, Just Security, 11.5.2020, https://www.justsecurity.org/70108/the-importance-of-new-statements-on-sovereignty-in-cyberspace-by-austria-the-czech-republic-and-united-states/.

  60. Ibidem.

  61. Republic of Poland, “The Republic of Poland’s position on the application of international law in cyberspace”, 29.12.2022, file:///C:/Users/studi/Downloads/The_Republic_of_Poland%E2%80%99s_position-1.pdf.

  62. NATO, “Allied Joint Doctrine forCyberspace Operations”, cit.

  63. Remarks By Hon. Paul C. Ney, Jr, DOD General Counsel Remarks at U.S. Cyber Command Legal Conference, Dipartimento della Difesa degli Stati Uniti, 2.3.2020, https://www.defense.gov/News/Speeches/Speech/Article/2099378/dod-general-counsel-remarks-at-us-cyber-command-legal-conference/.

  64. Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, cit.

  65. Republic of Poland, “The Republic of Poland’s position on the application of international law in cyberspace”, cit.

  66. REPORTS OF INTERNATIONAL ARBITRAL AWARDS, “Island of Palmas case (Netherlands, USA)”, United Nations, 4.4.1928, https://legal.un.org/riaa/cases/vol_II/829-871.pdf.

  67. https://www.icj-cij.org/en/case/1.

  68. https://www.icj-cij.org/en/case/150.

  69. https://www.icj-cij.org/en/case/70/judgments.

  70. Michael N. Schmitt e Liis Vihul, “Respect for Sovereignty in Cyberspace”, Texas Law Review, Vol. 95:1639, pp. 1639, 31.5.2018, https://texaslawreview.org/wp-content/uploads/2017/11/Schmitt.Vihul_.pdf.

  71. Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, “Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security”, General Assembly of the United Nations, 24.6.2013, https://documents-dds-ny.un.org/doc/UNDOC/GEN/N13/371/66/PDF/N1337166.pdf?OpenElement.

  72. Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security, “Report of the Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security A/70/174”, 25.7.2015, https://documents-dds-ny.un.org/doc/UNDOC/GEN/N15/228/35/PDF/N1522835.pdf?OpenElement.

  73. Harriet Moynihan, “The Application of International Law to Cyberspace: Sovereignty and Non-intervention”, Just Security, 13.12.2019, https://www.justsecurity.org/67723/the-application-of-international-law-to-cyberspace-sovereignty-and-non-intervention/.

  74. International Law Commission, “Draw articles on Responsibility of States for Internationally Wrongful Acts, with commentaries 2001”, Yearbook of the International Law Commission, 2001, vol. II, Part Two, 2001, https://legal.un.org/ilc/texts/instruments/english/commentaries/9_6_2001.pdf.

  75. Michael N. Schmitt, “Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations”, Cambridge University Press, febbraio 2017, cit.

  76. Michael N. Schmitt, “Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations”, Cambridge University Press, febbraio 2017, cit.

  77. Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, cit.

  78. Ibidem.

  79. Group of Governmental Experts on Advancing Responsible State Behaviour in Cyberspace in the Context of International Security” (GGE), “Report of the Group of Governmental Experts on Advancing responsible State behaviour in cyberspace in the context of international security”, General Assembly of the United Nations, 28.5.2021, https://front.un-arm.org/wp-content/uploads/2021/06/final-report-2019-2021-gge-1-advance-copy.pdf.

  80. Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, cit., Michael N. Schmitt, “In Defense of Due Diligence in Cyberspace”, The Yale Law Journal Forum, 22.6.2015, https://www.yalelawjournal.org/pdf/Schmitt_PDF_g9pv96jc.pdf; Eric Talbot Jensen e Sean Watts, “Cyber Due Diligence”, Oklahoma Law Review, Volume 73, Numero 4, 2021, https://digitalcommons.law.ou.edu/cgi/viewcontent.cgi?article=2215&context=olr.

  81. Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, cit.,

  82. Ibidem.

  83. Michael Schmitt, “International Law at NATO’s Brussels Summit”, EJIL:Talk! Blog of the European Journal of International Law, 30.6.2021, https://www.ejiltalk.org/international-law-at-natos-brussels-summit/.

  84. Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, cit.,

  85. Michael Schmitt, “Three International Law Rules for Responding Effectively to Hostile Cyber Operations”, cit.,

  86. Jordan Robertson e Laurence, “Cyberwar: How Nations Attack without Bullets or Bombs”, Bloomberg, 12.5.2018, https://www.bloomberg.com/news/articles/2018-05-11/cyberwar-how-nations-attack-without-bullets-or-bombs-quicktake.

  87. U.S. National Institute of Standards and Technology, Computer Security Resource Center, Cyberattack. https://www.nist.gov/.

  88. Andy Greenberg, “The WIRED Guide to Cyberwar”, WIRED, 23.8.2019, https://www.wired.com/story/cyberwar-guide/.

  89. U.S. Department of the Army, “The Conduct of Information Operations (ATP 3-13.1)”, 4.10.2018, 1–1, https://irp.fas.org/doddir/army/atp3-13-1.pdf.

  90. Kurt Baker, “What Is Cyber Espionage?” CrowdStrike, 1.6.2022, https://www.crowdstrike.com/cybersecurity-101/cyberattacks/cyber-espionage/

  91. Eric Heginbotham e AAVV, “The U.S.-China Military Scorecard: Forces, Geography, and the Evolving Balance of Power, 1996–2017”, RAND Corporation, 2015, https://www.rand.org/pubs/research_reports/RR392.html.

  92. U.S. National Counterintelligence and Security Center, “Foreign Economic Espionage in Cyberspace”, 2018, https://www.dni.gov/files/NCSC/documents/news/20180724-economic-espionage-pub.pdf.

  93. Lindsay, Jon R., Tai Ming Cheung e Derek S. Reveron (eds), “China and Cybersecurity: Espionage, Strategy, and Politics in the Digital Domain” New York, 2015; online edn, Oxford Academic, 23 Apr. 2015 https://doi.org/10.1093/acprof:oso/9780190201265.001.0001, https://academic.oup.com/book/25744.

  94. Michael N. Schmitt, “Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations”, Cambridge University Press, febbraio 2017, cit.

  95. Adam Segal, “Hearing on China’s Cyber Capabilities: Warfare, Espionage, and Implications for the United States”, cit.

  96. Ibidem.


Photo: La Cina di Xi Jinping - Verso un nuovo ordine mondiale sinocentrico? (Italian)

Gabriele and Nicola Iuvinale

ASE 2023

To download the book index, preface and introduction: https://www.extremarationews.com/reuters-news






17 visualizzazioni0 commenti

תגובות


bottom of page