La Cyber counter-capacity enhancement law (Ccel) potenzia la cybersecurity giapponese. Ma il confine fra sicurezza e guerra si fa sempre più sottile, e la democrazia fatica a proteggerlo di Andrea Monti – Inizialmente pubblicato su Wired.it
Tutto è iniziato nel 2021, con il caso ReVIL quando, nell’azione condotta nel 2021 dal FBI, dalla difesa e dai servizi USA insieme a Russia e ad altri Paesi contro una micidiale ransomware gang vennero usate delle tecniche di hacking back per mettere fuori uso i server usati dai criminali e scovarli tramite software spia.
Tuttavia, anticipare la neutralizzazione della piattaforma che gestiva il ransomware mentre proseguiva l’indagine giudiziaria ha posto una serie di problemi giuridici sulla reale natura di azioni del genere potenzialmente somiglianti più ad atti ostili contro Paesi sovrani che a indagini di polizia.
È vero, infatti, che esse sono dirette verso singoli individui, ma è anche vero che se le infrastrutture usate da questi individui sono basate in un altro Paese che non è coinvolto nell’azione criminale, per colpirle bisogna avere una qualche forma di legittimazione perché altrimenti saremmo di fronte a un atto di guerra. Non c’è alcuna differenza fra lanciare un missile o un drone per colpire un’installazione fisica, e inviare un virus o usare tecniche di hacking per prendere il controllo di un server localizzato all’estero. In altri termini: la necessità di bloccare un attacco informatico proveniente da un altro Stato, non giustifica la violazione della sovranità nazionale dello Stato in questione.
Operazione militare o misure di sicurezza pubblica?
Nonostante queste complessità non facilmente gestibili, dopo USA e Italia, anche il Giappone ha deciso di percorrere questa strada con la CCEL, che vale la pena di analizzare perché, a differenza delle nazioni occidentali, Tokyo può utilizzare la forza, almeno formalmente, soltanto per difendersi all’interno dei propri confini. Questo limite, previsto dall’articolo 9 della Costituzione nipponica, sembrerebbe dunque scongiurare l’uso offensivo e strategico —cioè militare—dei poteri governativi legati alla cybersecurity, ma non è esattamente così.
Tutte le attività previste dalla CCEL, incluse quelle di raccolta e analisi del traffico dati e l’impiego di “misure attive”, devono essere compiute nel rispetto dei diritti dei cittadini, limitando al minimo la sorveglianza tecnologica e sotto il controllo di una commissione indipendente. Dunque, un’impostazione del genere esclude(rebbe) che il governo possa utilizzare questi poteri per violare la sovranità di altri Paesi.
Questa legge, spiega il professor Masahiro Matsumura, della St. Andrew’s University di Osaka, è destinata ad essere applicata in situazioni che non raggiungono la soglia dell’attacco armato. Inoltre autorizza l’adozione delle misure necessarie per accedere ai sistemi informatici utilizzati per le azioni dannose e neutralizzare i malintenzionati. Dunque non è possibile invocare l’applicazione delle norme di diritto bellico e delle disposizioni del diritto internazionale relative all’uso della forza armata.
Il ricorso a misure preventive
Tuttavia, un aspetto potenzialmente problematico è rappresentato da un inciso dell’articolo 2 della legge, secondo il quale le active cybersecurity measures possono essere usate anche la prevenzione del verificarsi di intrusioni che possono danneggiare la cybersecurity pubblica e quella dello Stato. Dunque, la norma potrebbe essere interpretata, da una prospettiva occidentale, come legittimazione di attacchi anticipati analoghi a quelli ritenuti ammissibili, in ambito militare, dalla dottrina USA basata sul concetto di preemptive strike.
Dal mio punto di vista, ritiene il professor Matsumura, intervistato da Wired.it, non è corretto dire che questa legge autorizza l’attacco preventivo nell’ambito delle misure di cybersecurity. Questo concetto è del tutto assente dal nostro dibattito politico e la nuova normativa è coerente con questo approccio. I termini ‘active cybersecurity measure’, nel nostro sistema giuridico, hanno un significato del tutto diverso da ‘cyber operation’. Nel primo caso parliamo di misure che servono a proteggere le infrastrutture dello Stato e quelle critiche, mentre nel secondo parliamo di vere e proprie operazioni militari che non fanno proprio parte del lessico istituzionale giapponese.
L’importanza della cooperazione internazionale
Fino a quando l’approccio attivo viene praticato all’interno dei confini nazionali non ci sono particolari problemi perché, al netto delle differenze fra i vari Paesi, l’attività di prevenzione criminale e quella diretta a impedire la prosecuzione dei reati appartengono strutturalmente a forze di polizia e magistratura. Come si è detto, le cose non sono così semplici quando le azioni di contrasto devono essere eseguite in un altro Paese. Dall’altro lato, il bisogno è estremamente concreto se è vero che, come si legge in un documento ufficiale che illustra i contenuti della legge, oltre il 99% degli attacchi informatici registrati nel 2024 dalle autorità giapponesi arriva dall’estero.
La risposta normativa è contenuta nell’articolo 3 della legge che fa espresso riferimento all’importanza di promuovere la cooperazione internazionale nell’utilizzo delle capacità tecnologiche del Giappone nell’ambito di indagini che interessano anche altri Paesi.
La CCEL non lo dice espressamente, ma è ragionevole dedurre che questa norma riconduca l’uso “fuori confine” delle misure di active cybersecurity nell’ambito degli accordi internazionali e di cooperazione anche giudiziaria.
Il problema dell’attribuzione
A questo proposito, un aspetto che la CCEL non copre (analogamente a quanto accade altrove, Italia compresa) è quello di prevedere l’obbligo di identificare la natura politica o meno ad un evento (anche) informatico che colpisce le infrastrutture critiche.
Formalmente, non sarebbe necessario perché le norme non si occupano di attacchi in senso militare, ma questa giustificazione formale regge molto poco. È chiaro infatti che, pragmaticamente, è preferibile considerare azioni a danno delle infrastrutture critiche come atti di “normale” criminalità o addirittura non avventurarsi per questo sentieri. Diversamente, se ci fossero o si cercassero conferme ufficiali della matrice statale di un’operazione contro le infrastrutture nazionali, si innescherebbe automaticamente una escalation diplomatica difficile da gestire, e dunque a rischio di arrivare fino al punto di non ritorno.
In teoria la distinzione giuridica funziona; in pratica, tuttavia e almeno dalla prospettiva di un’analisi basata sul realismo politico, sembra piuttosto uno strumento per mascherare la possibilità di compiere un atto ostile nella forma apparentemente innocua di una misura di sicurezza. Perché citando Shakespeare, una rosa chiamata con un altro nome non è meno profumata.
Rule of law o Macthpolitik?
Come detto, il Giappone non è l’unico ad avere compiuto una scelta normativa del genere che si inquadra in una tendenza più ampia, a livello internazionale, che privilegia l’uso diretto della forza basandosi sulla sovrapposizione (o sulla confusione) dei ruoli di pubblica sicurezza, polizia giudiziaria, difesa e attività privata.
In termini generali, infatti, annullare questa distinzione, anche solo quando ci sono di mezzo reti e computer, significa far venir meno la separazione dei poteri e in particolare la perdita del ruolo della magistratura come garante autonomo del rispetto delle leggi anche, e soprattutto, da parte dello Stato.
Dunque la partita si giocherà, non solo in Giappone ma anche in Italia, dove norme del genere sono già attive e altre sono in corso di emanazione, sull’effettiva possibilità di verificare, caso per caso, il modo in cui sono stati esercitati questi poteri e in particolare quelli relativi alla sorveglianza preventiva.
La tecnologia come anestetizzante del dibattito pubblico
Su questi temi —forse in Giappone, ma certamente in Italia— non c’è stato un dibattito significativo nella società civile.
Probabilmente l’opinione pubblica si sarebbe accorta della portata di queste scelta legislative se, invece di autorizzare “incursioni digitali” e “contromisure cibernetiche”, un governo avesse previsto l’impiego di forze armate in operazioni tradizionali, con uomini in uniforme e fucili spianati. Ma la tecnologia, con la sua apparenza asettica e la distanza fra schermo e realtà, ha anestetizzato la percezione collettiva.
Usare un virus per mettere fuori uso un server o usare tecniche di hacking per prenderne il controllo non rischia di far tornare in patria bare avvolte nella bandiera, non richiede di celebrare funerali di Stato, e nemmeno di trasmettere strazianti dirette televisive.
Così, nascosto dietro stringhe di codice, un potere al riparo dal controllo può continuare a espandersi senza troppe domande, protetto dal fatto che un computer non ha voce per reclamare giustizia.
Non è, tuttavia, solo il silenzio della società civile a preoccupare.
Dovremmo anche domandarci, infatti, se i Parlamenti siano in grado di chiedere conto (ma a chi?) di scelte che, sempre più spesso, non sono in grado di comprendere, e che ancora più spesso vengono delegate alla Big Tech di turno.
Possibly Related Posts:
- Caso kisscam Coldplay: perché non c’è privacy negli spazi aperti
- Così gli USA controllano la sovranità digitale delle istituzioni internazionali e della UE
- Digital Omnibus: la Commissione UE pronta a riscrivere le regole su AI, dati e cybersecurity
- Cosa dice davvero il giudice americano sul diritto d’autore e l’addestramento delle AI
- Controllare le email aziendali: dalla Cassazione alcune conferme e qualche dubbio per la cybersecurity