Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
CasaLa prospettiva di una vittima sul diritto internazionale nel cyberspazio
Pubblicato da The Lawfare Institute in collaborazione con
Nella primavera del 2022, due importanti operazioni di ransomware hanno preso di mira 27 enti governativi costaricani, oltre al sistema sanitario del paese. Il governo della Costa Rica si è rifiutato di pagare il riscatto richiesto. Alla luce delle minacce degli hacker di far trapelare informazioni sensibili dai dati crittografati, molti sistemi gestiti dal governo hanno dovuto essere messi offline (compresi quelli relativi alla riscossione delle tasse, alla medicina e alla previdenza sociale). Il presidente della Costa Rica, Rodrigo Chaves, ha dichiarato che la Costa Rica è “in guerra” con gli aggressori (che erano affiliati a due gruppi di lingua russa, conosciuti come Conti e Hive). Il governo costaricano ha trascorso l’ultimo anno lavorando sul recupero e sulla bonifica, con l’assistenza tecnica dei governi statali (vale a dire, Stati Uniti e Spagna) e dell’industria.
Alla luce di questi eventi, non sorprende che la Costa Rica abbia appena pubblicato uno dei documenti più solidi sull’applicabilità del diritto internazionale nel cyberspazio. In tal modo, diventa (secondo i nostri calcoli) il 36esimo Stato a offrire una posizione nazionale ufficiale sull’argomento. Pertanto, la Costa Rica si unisce a una tendenza – sebbene non ancora un campione ampio – in cui gli stati sembrano sempre più interessati a migliorare la trasparenza delle rispettive opinioni legali e a fornire un quadro per il dialogo futuro (e, forse, per l’accordo).
La dichiarazione del Costa Rica segue la stragrande maggioranza dei suoi predecessori nel riconoscere l'applicabilità del diritto internazionale “nella sua interezza” alle tecnologie dell'informazione e della comunicazione (TIC), compreso il divieto dell'uso della forza e del diritto internazionale umanitario (DIU). Affronta molti degli argomenti trattati nelle dichiarazioni nazionali di altri stati – come il non intervento, la sovranità, le contromisure e la dovuta diligenza – sollevandone altri che non hanno ricevuto tanta attenzione – inclusi i diritti umani, la risoluzione pacifica delle controversie e la neutralità. La Costa Rica ha chiaramente dedicato del tempo ad esaminare le dichiarazioni di altri Stati e, in particolare, “progetti accademici sull’applicazione del diritto internazionale alle operazioni informatiche” tra cui il Processo di Oxford (di cui uno di noi è co-conduttore), i Manuali di Tallinn, e il toolkit di cyberlegge.
L'Istituto per diritto, innovazione e tecnologia della Temple University Law School, noto come iLIT, ha lavorato in collaborazione con il programma Tech, Law e Security dell'American University per catalogare e analizzare le tre dozzine di dichiarazioni nazionali esistenti sull'applicazione del diritto internazionale. Siamo quindi lieti di vedere l'elaborata dichiarazione del Costa Rica. Fornisce l'opportunità non solo di impegnarsi con i nuovi contributi del Costa Rica, ma anche di valutare lo stato generale del funzionamento del diritto internazionale nel cyberspazio.
Sovranità
La Costa Rica si unisce alla maggior parte degli stati che hanno affrontato il tema della sovranità (tra cui Brasile, Canada, Giappone e, più recentemente, Irlanda) classificandola come una regola che può essere violata dalle operazioni informatiche di altri stati. In tal modo, la dichiarazione del Costa Rica isola ulteriormente il Regno Unito, che ha ribadito l’idea che la sovranità è meglio concepita come un principio di fondo che informa altre regole, sottolineando che “non considera che il concetto generale di sovranità di per sé fornisce una base sufficiente o chiara per estrapolare una regola specifica o un divieto aggiuntivo per la condotta informatica”.
Quali operazioni informatiche violeranno la sovranità? Anche in questo caso la dichiarazione del Costa Rica ha una portata molto ampia, includendo non solo gli attacchi fisici ma anche le operazioni informatiche che provocano una “perdita di funzionalità dell’infrastruttura informatica situata nello Stato vittima”. Questa posizione ha senso considerando il danno economico non fisico (ma esteso) subito dal Costa Rica a causa degli attacchi ransomware del 2022. Allo stesso modo, la Costa Rica include una “usurpazione di funzioni intrinsecamente governative” come una violazione della sovranità, seguendo il Manuale di Tallinn 2.0, e includendo operazioni “che interferiscono con i processi democratici di uno Stato, come elezioni, risposte a una sicurezza nazionale o un’emergenza sanitaria, come come la pandemia di COVID-19 e la sua scelta di politica estera”. La posizione del Costa Rica differisce dalla dichiarazione immediatamente precedente alla sua (dell'Irlanda) che non riconosceva l'usurpazione delle funzioni governative come una condizione di violazione della sovranità.