Gli attacchi informatici sono raramente fuori dai titoli dei giornali. Sappiamo che attori statali, terroristi e criminali possono sfruttare i mezzi informatici per prendere di mira le infrastrutture digitali delle nostre società. Abbiamo anche appreso che, nella misura in cui le nostre società diventano dipendenti dalle tecnologie digitali, diventano più vulnerabili agli attacchi informatici.

Gli esempi non mancano, dagli attacchi del 2007 ai servizi digitali dell'Estonia e al cyber-attacco del 2008 contro una centrale nucleare in Georgia a WannaCry e NotPetya, due attacchi ransomware che crittografavano i dati e richiedevano il pagamento di un riscatto, e il cyber-attacco ransomware sulla US Colonial Pipeline, un sistema di oleodotti degli Stati Uniti che fornisce carburante agli Stati del sud-est.

Quando si analizzano le implicazioni etiche e legali degli attacchi informatici, è fondamentale distinguere gli attori coinvolti, poiché l'ammissibilità di determinate azioni dipende anche dagli attori coinvolti.

Il mio lavoro si concentra principalmente sugli attacchi informatici di stato contro stato. Uno degli esempi più recenti di questo tipo di attacco sono stati quelli lanciati contro le forze militari ucraine e attribuiti all'UNC1151, un'unità militare bielorussa, prima dell'invasione russa dell'Ucraina.

Gli osservatori hanno esaminato l'invasione russa e si aspettavano che il cyber fosse un elemento chiave. Molti temevano un "cyber-Pearl Harbor", ovvero un massiccio attacco informatico che avrebbe avuto un risultato distruttivo sproporzionato e avrebbe portato a un'escalation del conflitto.

Finora, l'invasione dell'Ucraina si è rivelata altamente distruttiva e sproporzionata, ma il cyber ha svolto un ruolo scarso, se non nullo, nella realizzazione di questi risultati. Questo significa che un cyber-Pearl Harbor non accadrà mai? Ancora più importante, questo significa che gli attacchi informatici sono una capacità secondaria in guerra e possiamo continuare a lasciare il loro uso sotto regolamentato?

La risposta breve a entrambe le domande è no, ma ci sono delle sfumature. Finora, gli attacchi informatici non sono stati utilizzati per causare distruzioni di massa; un cyber-Pearl Harbor, come hanno sostenuto alcuni commentatori all'inizio del 2000. La mancanza dell'elemento cyber in Ucraina non è una sorpresa, dato quanto sia stata violenta e distruttiva l'invasione russa. Gli attacchi informatici sono più dirompenti che distruttivi. Non vale la pena lanciarli quando gli attori mirano a ingenti danni cinetici. Tale distruzione si ottiene in modo più efficace con i mezzi convenzionali.

Tuttavia, gli attacchi informatici non sono né senza vittime né innocui e possono causare danni indesiderati e sproporzionati che possono avere gravi conseguenze negative per gli individui e per le nostre società in generale. Per questo motivo, abbiamo bisogno di normative adeguate per informare l'uso statale di questi attacchi.

Per molti anni, il dibattito internazionale su questo argomento è stato guidato da un approccio miope. La logica era di regolamentare gli attacchi informatici interstatali nella misura in cui hanno esiti simili a un attacco armato (convenzionale). Di conseguenza, la maggior parte degli attacchi informatici interstatali non è stata regolamentata.

Questo è il fallimento di quello che ho soprannominato "approccio-analogico" alla regolamentazione della guerra informatica, che mira a regolamentare tale guerra solo nella misura in cui assomiglia alla guerra cinetica, cioè se porta a distruzione, spargimento di sangue e vittime. In effetti, non riesce a cogliere la novità degli attacchi informatici, che sono dirompenti più che distruttivi, e la gravità delle minacce che rappresentano per una società digitale. Alla base di questo approccio c'è il mancato riconoscimento del valore etico, culturale, economico e infrastrutturale che le risorse digitali hanno per le nostre società digitali.

È rassicurante che, dopo il fallimento del 2017, nel 2021 il gruppo delle Nazioni Unite di esperti governativi sull'avanzamento del comportamento responsabile dello Stato nel cyberspazio nel contesto della sicurezza internazionale possa concordare che gli attacchi informatici interstatali dovrebbero essere regolati in accordo con i principi dell'Internazionale Diritto Umanitario (DIU).

Anche se questo è nella giusta direzione, è solo un primo, e in ritardo, passo. In effetti, i principi del DIU, ei principi etici della teoria della guerra giusta, sono ancora validi quando si considera la guerra informatica. Abbiamo bisogno che gli attacchi informatici interstatali siano proporzionati, necessari e che distinguano i combattenti dai non combattenti. Tuttavia, l'attuazione di tali principi è problematica nel contesto del cyber:ad esempio, non abbiamo una soglia chiara per attacchi proporzionati e sproporzionati e criteri per valutare i danni ai beni immateriali. Ci mancano anche le regole per considerare le questioni relative alla sovranità e alla due diligence.

Sono necessarie analisi filosofiche ed etiche per superare questo divario e comprendere la natura di una guerra che dissocia l'aggressività dalla violenza, che prende di mira oggetti non fisici e tuttavia può paralizzare le nostre società. Allo stesso tempo, dobbiamo assicurarci che, poiché sempre più istituzioni di difesa vedono le tecnologie digitali come una risorsa decisiva per mantenere la superiorità contro gli oppositori, investano, sviluppino e utilizzino queste capacità in linea con i valori alla base delle società democratiche e per mantenere stabilità internazionale.

Poiché la tecnologia digitale continua a essere integrata nelle capacità di difesa, vedi ad esempio l'intelligenza artificiale (AI), emergono questioni più concettuali ed etiche riguardo alla loro governance. A tal fine, è importante che le istituzioni della difesa identifichino e affrontino i rischi etici e le opportunità che queste tecnologie comportano e operino per mitigare i primi e sfruttare i secondi.

Ieri, il Ministero della Difesa del Regno Unito ha pubblicato un documento programmatico:Ambizioso, sicuro, responsabile:la nostra risposta alla fornitura di capacità abilitate all'IA in difesa, contenente un'appendice che fornisce i principi etici per l'uso dell'IA nella difesa. È un passo nella giusta direzione. I principi sono ampi e occorre fare più lavoro per implementarli in contesti di difesa specifici. Tuttavia, hanno fissato una pietra miliare importante, poiché mostrano l'impegno del Ministero della Difesa a concentrarsi sulle implicazioni etiche dell'utilizzo dell'IA e ad affrontarle in modo coerente con i valori delle società democratiche.

Questi principi arrivano due anni dopo quelli pubblicati dal Defense Innovation Board degli Stati Uniti. Tra i due insiemi di principi, vi sono alcune convergenze che potrebbero suggerire l'emergere di una visione condivisa tra gli alleati su come utilizzare l'IA e, più in generale, le capacità digitali per la difesa. La mia speranza è che questi principi possano essere i semi per sviluppare un quadro condiviso per la governance etica dell'uso delle tecnologie digitali a fini di difesa.