Tutto è iniziato nel 2021, con il caso ReVil quando, nell’azione condotta nel 2021 dal Fbi, dalla difesa e dai servizi statunitensi insieme a Russia e ad altri paesi contro una micidiale ransomware gang vennero usate delle tecniche di hacking back per mettere fuori uso i server usati dai criminali e scovarli tramite software spia.
Tuttavia, anticipare la neutralizzazione della piattaforma che gestiva il ransomware mentre proseguiva l’indagine giudiziaria ha posto una serie di problemi giuridici sulla reale natura di azioni del genere potenzialmente somiglianti più ad atti ostili contro paesi sovrani che a indagini di polizia. È vero, infatti, che esse sono dirette verso singoli individui, ma è anche vero che se le infrastrutture usate da questi individui sono basate in un altro paese che non è coinvolto nell’azione criminale, per colpirle bisogna avere una qualche forma di legittimazione perché altrimenti saremmo di fronte a un atto di guerra.
Non c’è alcuna differenza fra lanciare un missile o un drone per colpire un’installazione fisica, e inviare un virus o usare tecniche di hacking per prendere il controllo di un server localizzato all’estero. In altri termini: la necessità di bloccare un attacco informatico proveniente da un altro Stato, non giustifica la violazione della sovranità nazionale dello Stato in questione.
Operazione militare o misure di sicurezza pubblica?
Nonostante queste complessità non facilmente gestibili, dopo Stati Uniti e Italia, anche il Giappone ha deciso di percorrere questa strada con la Ccel – Cyber counter-capacity enhancement law –, che vale la pena di analizzare perché, a differenza delle nazioni occidentali, Tokyo può utilizzare la forza, almeno formalmente, soltanto per difendersi all’interno dei propri confini. Questo limite, previsto dall’articolo 9 della Costituzione nipponica, sembrerebbe dunque scongiurare l’uso offensivo e strategico — cioè militare — dei poteri governativi legati alla cybersecurity, ma non è esattamente così. Tutte le attività previste dalla Ccel, incluse quelle di raccolta e analisi del traffico dati e l’impiego di ‘misure attive’, devono essere compiute nel rispetto dei diritti dei cittadini, limitando al minimo la sorveglianza tecnologica e sotto il controllo di una commissione indipendente.
Dunque, un’impostazione del genere esclude(rebbe) che il governo possa utilizzare questi poteri per violare la sovranità di altri paesi. Questa legge, spiega il professor Masahiro Matsumura, della St. Andrew’s University di Osaka, è destinata ad essere applicata in situazioni che non raggiungono la soglia dell’attacco armato. Inoltre autorizza l’adozione delle misure necessarie per accedere ai sistemi informatici utilizzati per le azioni dannose e neutralizzare i malintenzionati. Dunque non è possibile invocare l’applicazione delle norme di diritto bellico e delle disposizioni del diritto internazionale relative all’uso della forza armata.
Il ricorso a misure preventive
Tuttavia, un aspetto potenzialmente problematico è rappresentato da un inciso dell’articolo 2 della legge, secondo il quale le active cybersecurity measures possono essere usate anche la prevenzione del verificarsi di intrusioni che possono danneggiare la cybersecurity pubblica e quella dello Stato. Dunque, la norma potrebbe essere interpretata, da una prospettiva occidentale, come legittimazione di attacchi anticipati analoghi a quelli ritenuti ammissibili, in ambito militare, dalla dottrina statunitense basata sul concetto di preemptive strike.
