
Dovrebbe essere ormai chiaro a tutti. Oggi, in tutte le guerre, i campi di battaglia sono due: quello materiale e quello digitale. Il primo è caratterizzato da ferramenta varia, lampi, esplosioni, sangue. L’altro campo di battaglia è furtivo, nascosto, dominato dal ronzio delle sale macchine, dalle connessioni della rete. Nel primo volano i proiettili. Nel secondo i pacchetti-dati. Entrambi altamente letali.
Quanto tempo ci vuole, dati il crescente isolamento e la reazione disperata degli ucraìni, perché Putin attivi, in modo esplicito, il fronte digitale? Il morso delle sanzioni di Europa e Stati Uniti, le azioni e decisioni della NATO, sono altrettante espressioni, facili da leggere e interpretare, delle politiche militari, di difesa e sicurezza fisica dei Paesi e organizzazioni coinvolti, ma quali sono le loro politiche informatiche? Come prevede di rispondere la NATO a possibili scontri digitali della guerra informatica?
Nell’ultimo decennio, la NATO, come la maggior parte delle organizzazioni nazionali e internazionali, ha modernizzato la propria posizione e pratiche di difesa cibernetica. Nel 2021 ha dichiarato di essere pronta a “valutare ‘caso per caso’ se un attacco informatico potesse innescare l’articolo 5 “Principio di difesa collettiva”, che stabilisce che “un attacco contro un alleato è un attacco contro tutti gli alleati”.
Lunedì 28 febbraio 2022, un alto funzionario della NATO, nel corso di un’intervista ripresa dalla Reuters, ha affermato: “Non speculeremo su quanto grave debba essere un attacco informatico per innescare una risposta collettiva; la risposta potrebbe includere sanzioni diplomatiche ed economiche, misure informatiche o persino forze convenzionali, a seconda della natura dell’attacco”.
Dall’attacco informatico russo all’Estonia nell’aprile-giugno 2007, – combinazione di attacchi cyber, information warfare e fake news – si è molto lavorato per definire quando e come invocare l’articolo 5 del Trattato del Nord-Atlantico, organizzazione cui oggi partecipano 28 Paesi europei e 2 nord-americani. NATO in inglese, OTAN in francese.
La parola chiave dell’articolo 5, prima citato, è “attacco”. Quando venne redatto, nel 1949, la preoccupazione era quella di proteggere i democraticamente neo-eletti governi dei Paesi di un’Europa devastata dalla guerra, dal pericolo presentato dai movimenti comunisti foraggiati e sostenuti dall’Unione Sovietica. Pericolo reale. Nel 1948 il partito comunista cecoslovacco aveva rimosso il governo regolarmente eletto, mentre i sovietici avevano bloccato la sezione di Berlino controllata dagli alleati.
Nell’aprile del 1949, i rappresentanti di 12 nazioni – USA, Canada, Belgio, Danimarca, Francia, Islanda, Lussemburgo, Norvegia, Paesi Bassi, Portogallo, Regno Unito e Italia – si incontrarono a Washington D.C. per firmare il Trattato del Nord Atlantico. Inciso: la NATO non è statunitense, né lo è mai stata.
Allo stato attuale, l’articolo 5 rimane deliberatamente ambiguo nel definire cosa sia un “attacco”. Nel 1949 si parlava solo del mondo materiale. Il digitale non era nemmeno un’ipotesi.
Ai sensi dell’articolo 5, oggi, quando si può parlare di “attacco digitale”?
Le attività di revisione e adeguamento delle politiche informatiche della NATO non hanno dato definizioni chiare, anche perché non si vuole creare una soglia netta al di sotto della quale un avversario possa operare liberamente. Al contempo però, la voluta ambiguità, genera preoccupazione perché non consente di sancire sotto quali condizioni sia possibile attivare la risposta a un attacco informatico.
Ovvio che se si subisce un attacco informatico catastrofico tale da interrompere le infrastrutture strategiche, sistema bancario o informativo, servizi sociali, catena di approvvigionamento alimentare o simili, non ci sono dubbi, perché le conseguenze sono equivalenti a un attacco fisico.
Tuttavia, reparti informatici bravi, molto bravi, sono in grado di operare in modo discreto ed elegante, così che le conseguenze nefaste delle loro attività siano percepite quando è troppo tardi per una qualunque reazione. Ogni qualvolta le reti sono coinvolte, si ha a che fare con dinamiche esponenziali. Nulla accade per un anno e tutto accade in un minuto.
Se poi, per ipotesi, si dovesse avere la certezza di un attacco informatico, la NATO, per invocare la clausola di difesa collettiva dell’articolo 5, prerequisito per qualsivoglia risposta, deve ottenere il consenso politico di tutti i membri. Il che significa tempi lunghi. Spostare e ammassare truppe sul terreno, preparare un’invasione, Ucraìna 2022 docet, richiede settimane. Farlo in digitale è questione di ore, forse minuti se ben pianificato.
Da tenere presente poi che almeno un membro della NATO ha già adottato un’interpretazione ampia, suggerendo che un’operazione cibernetica equivale a un attacco armato ‘”se causa una sostanziale perdita di vite umane o considerevoli danni fisici o economici”. Mettere tutti d’accordo non sarà per nulla semplice.
L’opinione prevalente è che l’attacco armato sia la “forma più grave” di uso della forza. Nel recente passato era affermazione condivisibile, sicuri che lo sia ancora oggi?
Sicuri che la portata e gli effetti di qualsiasi operazione cibernetica debbano essere “particolarmente gravi” prima di attivare il diritto all’autodifesa individuale o collettiva, ricordando che non è dato di sapere cosa voglia dire “particolarmente gravi”?
C’è da essere preoccupati.
La NATO, i suoi membri, il sistema nel suo insieme, non ha ancora definito né quando un attacco informatico innesca l’articolo 5, né la strategia per affrontarlo. Non ha adottato misure per acquisire capacità informatiche offensive, anche perché tradizionalmente, è un’alleanza difensiva. Non è pronta.
Occorre migliorare, sempre che si sia ancora in tempo.
Decisamente c’è da essere preoccupati.