Lezione11

CYBER SPACE
Esaminare ed analizzare questo nuovo ambito di attività per stati ed individui declinandolo ai principi di
diritto internazionale: sovranità territoriale ecc… richiamando categorie ed istituti conosciuti.
Inquadrare il cyber space ed esaminare i principali nodi problematici posti: il primo riguarda i problemi
posti con i principi di sovranità statali, il secondo è la responsabilità. (sia con riferimento della norma violata
e l’attribuzione della condotta illecita)

Ad ogni rivoluzione tecnologica corrisponde una rivoluzione del diritto internazionale. Pone per gli stati
nuove esigenze, si assiste a nuove organizzazioni internazionali e anche allo sviluppo di nuove norme. Come
il diritto internazionale del mare, o come lo spazio aereo, o spazio cosmico. Nuove tecnologie permettono
agli stati di esplorare ambiti naturali inesplorati e sfruttare nuove risorse e aprono nuovi scenari, vettori di
nuovi teatri operativi che, in quanto tali, privi di un rilievo giuridico a livello internazionale. talvolta il diritto
internazionale ha dovuto giudicare le attività in alcuni ambiti specifici, come la definizione di aereo mobile o
oggetto spaziale. Anche perché più ci si allontana dalla terraferma più diventa complicato accedere a questi
spazi.
Anche l’avvento del cyber space pone dei problemi: l’applicazione delle norme del diritto internazionale
esistenti alle attività che gli stati svolgono all’interno del cyber space, anche gli individui. Se per i primi anni
2000, la dottrina internazionale si è focalizzata sulla definizione del cyber space, adottando una visione
territorialista del mondo anglo sassone. Problemi giuridici relativi alle pretese sovrane, rivendicazione
sovrane sul cyber space e che tutt’oggi non hanno trovato una soluzione giuridica nel diritto internazionale.
Siamo in una fase in cui la comunità internazionale si interroga e prova a dare risposte. C’è qualche dato
che rende questa rivoluzione tecnologica diversa, perché riguarda una tecnologia che ha avuto sin da subito
una diffusione capillare e a basso costo di produzione nel pieno della globalizzazione, quindi in realtà
mentre le altre rivoluzioni sono arrivate progressivamente e gli stati erano pronte ad accogliere questi
nuovi scenari, perché la tecnologia ferroviaria ed aerea era ed è a pannaggio degli stati prima delle persone
fisiche. Quindi gli stati cominciavano a porsi dei problemi.
Con il cyber space non è successo lo stesso, si è affermata e diffusa in un arco temporale molto piccolo
lasciando l’ambito militare. Soprattutto è una tecnologia prodotta e finanziata da privati e non pubblici, i cui
prodotti hanno scala mondiale. Questi elementi chiaramente sono elementi problematici se li poniamo in
rapporto al DI, perché il prodotto è lo stato che è un elemento finito nello spazio e nel suo ordinamento che
sfrutta risorse finite. Mentre il cyber space si è posto come un ambito infinito fin dall’inizio, delocalizzato
(ubiquità) uno spazio che si trova dappertutto, ovunque ci siano infrastrutture informatiche che
permettono a questo spazio di esistere. In realtà, proprio la nascita delle reti avviene in circostanze
complicate, è un concetto letterario e non giuridico e non spaziale. Quello di cyber space è un concetto
creato da uno scrittore recepito dal mondo dell’informatica e che viene comunemente utilizzato da tutte le
reti e infrastrutture che permettono la trasmissione di dati. (internet, dark web, bitcoin) milioni di relazione
che gli utenti hanno al suo interno, oltre tutte le tecnologie che permettono la loro esistenza.
Tutto questo insieme sembra sfuggire al nostro approccio, questi elementi hanno reso questo nuovo
ambito di attività molto problematico, talmente problematico che ancora oggi gli stati non sono riusciti a
capire se approntare regole giuridiche internazionali per disciplinare le attività all’interno del cyber space o
non è il caso; se considerarlo o meno come nuovi ambiti di attività. C’è un’ incertezza dovuta anche dal
fatto che da quando è stato inventato è sempre stato utilizzato per una serie di attività di importanza
economica, militare e gli stati tendono a non limitare la sfera d’azione all’interno del cyber space. Poi c’è
anche un grande tema che ha impedito un consensus da parte degli stati l’adozione di un strumento per
regolare l’attività: la sovranità. Essendo uno spazio di informazione, e quest’ultima uno spazio che molti
stati controllano, ci sono alcune grandi potenze che hanno rivendicato pretese sovrane nel cyber space
(Cina). Nella letteratura giuridica russa, si parla di sovranità statale nel cyber space, d’altra parte sono due
stati che hanno un forte controllo nella rete. (social internazionali che non possono stare nel cyber space
russo)

Non soffermiamoci sui profili di diritto internazionale dei diritti umani.

Gli stati occidentali professano da sempre la libertà del cyber space, mettendosi in linea con chi ha coniato
questo termine. Hanno recepito una parte di questo orientamento, gli stati, soprattutto quelli che
garantiscono alla libertà di informazione ed espressione, non rivendicano pretese sovrane. Tutti questi
motivi non hanno permesso fino ad oggi agli stati di accordarsi sull’adozione di una Convenzione o di un
Accordo quadro. Quindi ci troviamo nella situazione nella quale il diritto internazionale non ha adottato
nessuna posizione. L’utilizzo del cyber space, soprattutto senza filtro e controllo, ha trasformato questo
spazio in uno spazio di violazioni ed illeciti. Quindi in questo scenario, ci troviamo anche nella situazione in
cui gli stati quotidianamente subiscono infiniti danni e non possono reagire secondo gli schemi tradizionali
del diritto internazionale. Perché? Come si applica? (Visto che le caratteristiche di questa tecnologia
pongono dei limiti, come l’applicazione della responsabilità. Si applica la carta delle nazioni unite.) quali
sono le norme che trovano evidenti difficoltà di applicazione?

 Divieto di minaccia e uso della forza armata . Può usarla all’interno del cyber space? No. Ma può
usarla ai fini di un’aggressione armata. Ma gran parte delle attività si realizzano e finiscono
all’interno del cyber space ed è quindi difficile comprendere fino a che punto si può applicare
questa norma. Ci sono attività che hanno delle influenze nel mondo fisico e quindi la dottrina si è
interrogata su queste ipotesi.

Posto che è vietata la forza armata, si va a ricercare la definizione di forza armata. Perché tanti oggetti
possono essere letali, soprattutto se usati impropriamente. (11 settembre x esempio, no armi). È difficile
teoricamente sostenere questo tipo di ipotesi, sostenere che un attacco cyber può raggiungere la soglia di
un attacco armato. L’attacco cyber noto, non c’è mai stato nessuno che abbia provocato vittime tra gli
individui, qualcuno ha prodotto danni materiali, molti altri hanno avuto conseguenze che hanno portato ad
un blocco delle istituzioni nazionali, ma nessun attacco cyber ha mai prodotto gli stessi effetti di un attacco
armato. L’unico che è passato alla storia è Stucknet, virus informatico progettato e finanziato dagli Stati
Uniti sotto amministrazione Bush, per bloccare il programma di arricchimento dell’uranio che l’Iran stava
svolgendo in violazione degli obblighi assunti in materia di disarmi nucleari. Questa cosa l’ha fatta senza
perdite di vite umane che ha colpito chirurgicamente il suo obiettivo, ha agito all’interno di una rete chiusa
che ha mostrato i vantaggi di questa tecnologia. Nella risoluzione 33 14 che definisce l’aggressione, non
troviamo niente di assimilabile ad un attacco cyber. Tutti gli stati infatti si applica la forza armata cyber che
producono effetti paragonabili all’utilizzo di armi cinetiche.

Il DI quando ci spiega i parametri, non ci parla di principio di uguaglianza ma di proporzionalità. Qui ad un

attacco cyber si può rispondere con un attacco di tipo bellico. Come si prova un attacco cyber? Gli stati lo
provano dichiarando che la loro intelligence applicano quell’attacco a uno stato. Questo approccio laddove
si trova un riscontro più sostanziale della prassi, diventerebbe un espendiente per giustificare elementi
illegittimi.

Il cyber space non è naturale, ma virtuale. Non è sottratto alla sovranità statale e non vi sono norme
giuridiche che sanciscono libertà, l’unica libertà o è quella di informazione ed espressione o libertà di
mancanza di regole. Quindi potrebbe essere un global commons come pensano gli americani, ma non lo è.

Il secondo problema è inquadrare la cornice giuridica  siamo in uno stadio nel quale non si sa quali
saranno le future prospettive perché gli stati non convergono ad una direzione. Prima di esaminare gli altri
problemi, in questo momento insieme alle nazioni unite si sono creati due gruppi di studio: UNGGE, il più
antico, che come dice la denominazione è un gruppo di esperti governativi, rappresentati degli stati
ristretto. E poi è stato costituito un altro gruppo, UNOEWG, creato sulla scorta del fallimento del primo,
allargando i partecipanti; partecipazione di tutti gli stati dell’ONU ma, è un gruppo che è stato aperto
stakeholders. Entrambi i gruppi di studio hanno come missione lo studio dell’applicazione del DI nell’attività
cyber, lo stesso compito. E per la prima volta nel 2021, a rapporto finale che questi gruppi adottano
periodicamente, è stato affiancato un compendio che raccoglie gli statements ufficiali di tutti gli
interlocutori coinvolti, gli stati del mondo. Tutti gli stati hanno presentato le loro osservazioni sul DI nelle
attività cyber. È stato un grande traguardo per individuare punti fermi, tra tutti quello di applicare il DI nel
cyber space, non vogliono nuove norme. In entrambi i rapporti si evince che, oltre alle norme esistenti, gli
stati sono concordi nel produrre e orientare i propri comportamenti in futuri strumenti non vincolanti. Nei
rapporti nel 2021, è stato anche dichiarato che agli stati è richiesto di contribuire a questo processo di
interlocuzione spiegando come trovano applicazione. (principio sovranità e non ingerenza, responsabilità)

 Applicazione della disciplina della responsabilità. Sorgono poiché la responsabilità internazionale è

ancora incentrato sulla condotta illecita dello stato. Abbiamo un problema, perché nel cyber space
la condizione tipica degli utenti è dell’anonimato; a meno che non si tratti di imputare una condotta
a uno stato quando questa è posta in essere dal suo organo, è tecnologicamente difficile imputare
un attacco ad un altro stato e questo limite pone un problema giuridico: allora è complicato dare
avvio a quelle conseguenze giuridiche dell’illecito, per cui si crea una situazione di inerzia per lo
stato che subisce un attacco, perché se non riesce ad imputare l’attacco ad un altro stato, deve
applicare reazione sotto soglia e non quelle di DI, ricorrere alle ritorsioni che sono inamichevoli ma
che sono lecite nel DI. Di fatto, la ritorsione può essere utile a supporto dello stato leso ma non è
quello che prevede il DI per cessare la condotta, limita lo stato colpito all’autotutela, diritto di
indurre lo stato autore dell’illecito a porre fine all’attacco. Lo stato cyber non può ricorrere
all’automisura se individua l’autore dell’attacco. Il locus della condotta illecita non è sufficiente per
imputare l’illecito in uno stato, è informazione utile solo per riconoscere l’illecito. L’elemento è il
collegamento tra individuo e stato, ma non certo il locus. Per cui, risalire all’IP di un attacco cyber
non è elemento sufficiente ai fini dell’attribuzione. Nei casi gravi, quando gli stati sono interessati a
comprendere chi sia l’autore di un attacco, partono le attività di polizia. L’unico accordo
internazionale in materia di cooperazione di polizia e giudiziaria è la Convenzione di Budapest del
2001, che non si opera di cyber crimes contro lo stato ma contro gli individui.
Secondo ostacolo: qualificazione dell’illecito. Quali sono le norme violate da un attacco cyber? Non
abbiamo giurisprudenza che ci possa aiutare né tantomeno norme, soprattutto gli attacchi
difficilmente si configurano come attacchi di scuola che studiamo, sono attacchi a danno di
infrastrutture critiche (infrastrutture nodali da cui dipende l’esistenza stessa dello stato come
elettricità, trasporti…) anche gli attacchi cyber contro queste, sono perpetrati da privati e che
norme violano? La gran parte degli hacker agisce per dimostrare che i grandi sistemi possono
essere violati, o agiscono per profitto che sono di genere minore. La gran parte degli attacchi sfrutta
la distrazione e mancanza di coloro che dovrebbero custodire le infrastrutture.

In mancanza di un quadro chiaro, da una decida d’anni in dottrina l’attenzione si è spostata da questa
difficoltà di applicare il principio di due diligence responsabilità internazionale che scaturisce per
mancato controllo applicato. Principio che ha trovato applicazione del DI dell’ambiente, questo principio
trova una corrispondenza nelle norme nel DI dell’ambiente. La violazione di questo principio viene
dimostrata quando lo stato omette di dimostrare gli obblighi di dirigenza. Quando si parla dell’applicazione
del principio in mancanza di norme, è difficile calare nel concreto. Qual è la norma primaria in riferimento al
cyber space? Non c’è.

 Qualificazione delle attività cyber che violano il principio di non ingerenza negli affari interni di uno
stato. Principio secondo il quale nessuno stato può porre in essere attività coercitive volte a
condizionare lo svolgimento delle attività all’interno di un altro stato. Identifica nella coercizione,
 l’ingerenza. L’interferenza è coercitiva, la modalità può dirsi coercitiva? Certo. L’elemento
costitutivo della coercizione non è la modalità ma lo scopo dell’attività. Tuttavia, resta complicato
qualificare le attività cyber come ingerenze degli affari interni dello stato.

CCDCOE, centro di eccellenza, nessun alleato è intervenuto al fianco dell’Estonia, quasi dopo 20 anni
che è cambiata la direzione della percezione internazionale.

C’è un’altra faccia della medaglia oltre ai rapporti stato-stato, che è quello dei rapporti stato-
cittadinanza perché il cyber space è un nuovo ambito di attività anche per gli individui. Sotto questo
profilo il diritto internazionale ha creato delle norme, la convenzione di Budapest sul cyber crime e
nell’ambito delle nazioni unite in seno alla commissione contro il traffico di droga e dei crimini. In
questo settore ci sono meno problemi perché in questo settore i diritti umani sono riconosciuti come
applicabili nel cyber space. Una tale prospettiva può portare a pensare che lo stato è obbligato a
garantire i diritti fondamentali nella rete allora lo stato deve controllare e quindi è sovrano.