Cyber, droni e garanzie funzionali: come potrebbe cambiare il quadro giuridico delle operazioni militari nel dominio cibernetico

La trasformazione dello scenario strategico internazionale sta imponendo agli Stati una profonda revisione degli strumenti tradizionalmente impiegati per garantire la sicurezza nazionale.

L’invasione dell’Ucraina, la crescente competizione tra grandi potenze, la proliferazione delle minacce ibride e la centralità assunta dalle infrastrutture digitali hanno infatti modificato il concetto stesso di difesa, rendendo sempre più sfumati i confini tra sicurezza interna, politica estera, intelligence e strumento militare.

Le anticipazioni giornalistiche emerse negli ultimi mesi, unitamente agli indirizzi contenuti nel Documento Programmatico Pluriennale della Difesa, nella Strategia Digitale della Difesa e nelle più recenti riflessioni strategiche sul contrasto alla guerra ibrida, sembrano delineare una direttrice di sviluppo orientata al rafforzamento delle capacità nazionali nel dominio cibernetico e alla crescente integrazione tra strumenti militari, tecnologici e informativi.

In tale contesto assumono particolare rilievo il potenziamento del Comando per le Operazioni in Rete (COR), la crescente attenzione alle operazioni multidominio e il dibattito relativo all’evoluzione delle capacità cyber delle Forze Armate verso strutture permanenti altamente specializzate, talvolta indicate nel dibattito pubblico come una possibile “Arma Cyber Nazionale”.

La questione, tuttavia, non riguarda soltanto profili tecnologici o organizzativi. Essa investe direttamente il piano giuridico, poiché il cyberspazio costituisce un ambiente operativo nel quale categorie tradizionali del diritto interno e internazionale sono chiamate a confrontarsi con fenomeni in larga parte nuovi.

Il possibile riassetto della governance nazionale della cybersicurezza

Le più recenti indiscrezioni suggeriscono che la riforma della Difesa potrebbe inserirsi in un più ampio processo di revisione dell’architettura nazionale della cybersicurezza.

Secondo le ricostruzioni giornalistiche attualmente disponibili, una delle ipotesi allo studio prevederebbe il mantenimento in capo all’Agenzia per la Cybersicurezza Nazionale (ACN) delle principali funzioni regolatorie, di vigilanza, certificazione e attuazione della normativa europea di settore, mentre alcune competenze maggiormente orientate alla prevenzione operativa, alla gestione delle crisi e alla risposta alle minacce potrebbero essere oggetto di una più stretta integrazione con il comparto intelligence e con il ministero della Difesa.

Qualora tale impostazione trovasse conferma, si tratterebbe di una trasformazione significativa.

L’evoluzione delle minacce cyber ha infatti progressivamente ridotto la distinzione tradizionale tra sicurezza nazionale e difesa militare. Attacchi informatici contro reti energetiche, sistemi di trasporto, infrastrutture finanziarie o piattaforme digitali strategiche possono oggi produrre effetti geopolitici rilevanti senza il ricorso diretto alla forza armata.

In questo scenario, la definizione di un equilibrio tra efficacia operativa, coordinamento inter-istituzionale e controllo democratico dell’esercizio del potere pubblico rappresenta una delle principali sfide del legislatore.

La specificità giuridica del dominio cibernetico

Le operazioni cibernetiche presentano caratteristiche che rendono complessa l’applicazione delle categorie giuridiche elaborate per i domini operativi tradizionali.

La natura immateriale delle reti, la dimensione transnazionale delle infrastrutture digitali, le difficoltà di attribuzione tecnica e giuridica degli attacchi e la possibilità che un’azione produca effetti indiretti su soggetti e sistemi collocati in diversi ordinamenti rendono particolarmente delicata la definizione delle responsabilità.

Sotto il profilo del diritto interno, determinate attività operative potrebbero astrattamente presentare elementi riconducibili a fattispecie penalmente rilevanti, quali l’accesso abusivo a sistemi informatici, l’intercettazione di comunicazioni telematiche o il danneggiamento di dati e infrastrutture digitali.

Tuttavia, la valutazione giuridica di tali condotte non può prescindere dal contesto istituzionale nel quale esse vengono svolte, dalla presenza di autorizzazioni legittime e dall’inserimento dell’azione in una catena di comando formalmente definita.

Il problema centrale consiste dunque nel distinguere l’attività illecita del privato dall’operazione autorizzata svolta nell’esercizio di funzioni pubbliche di sicurezza o difesa.

Guerra ibrida e attività sotto la soglia del conflitto armato

Uno degli aspetti più rilevanti del dibattito strategico contemporaneo riguarda il fenomeno della cosiddetta guerra ibrida.

Le attività ostili condotte attraverso strumenti informatici, campagne di disinformazione, pressioni economiche, sabotaggi digitali o interferenze nei processi decisionali degli Stati raramente raggiungono la soglia del conflitto armato tradizionale.

La maggior parte delle operazioni cyber si colloca infatti in una zona grigia nella quale non trovano normalmente applicazione le norme del diritto internazionale umanitario, ma continuano a operare i principi generali del diritto internazionale relativi alla sovranità, alla non ingerenza e alla responsabilità internazionale degli Stati.

Questa dimensione “sotto soglia” costituisce oggi uno dei principali terreni di confronto strategico tra gli Stati e rappresenta il contesto nel quale si sviluppa gran parte delle attività di cyber defence e cyber security.

Responsabilità dello Stato e responsabilità individuale

In tale quadro risulta fondamentale distinguere tra responsabilità internazionale dello Stato e responsabilità individuale degli operatori.

Le eventuali violazioni della sovranità di un altro Stato o di altri obblighi internazionali costituiscono, in linea generale, questioni imputabili allo Stato cui l’operazione è attribuibile secondo le regole del diritto internazionale.

Diversa è la posizione del singolo operatore. La responsabilità penale individuale assume rilievo principalmente quando la condotta integri specifiche fattispecie previste dal diritto interno oppure, nei contesti di conflitto armato, gravi violazioni del diritto internazionale umanitario o del diritto penale internazionale.

Confondere questi due livelli significherebbe attribuire impropriamente all’operatore conseguenze che appartengono alla sfera della responsabilità internazionale dello Stato oppure, all’opposto, trasformare l’appartenenza all’apparato pubblico in una forma di irresponsabilità incompatibile con i principi dello Stato di diritto.

Operazioni cyber in tempo di pace e operazioni in conflitto armato

Una corretta analisi giuridica impone inoltre di distinguere tra operazioni svolte in tempo di pace e attività inserite nel contesto di un conflitto armato.

Nel primo caso trovano applicazione principalmente il diritto interno e le norme generali del diritto internazionale.

Nel secondo caso assumono rilievo le regole del diritto internazionale umanitario, comprese quelle relative alla distinzione tra obiettivi militari e beni civili, alla proporzionalità dell’azione, alla necessità militare e all’adozione delle precauzioni operative necessarie.

La crescente convergenza tra operazioni cinetiche e operazioni cyber rende tale distinzione sempre più importante, poiché attività apparentemente immateriali possono produrre effetti concreti su infrastrutture fisiche e servizi essenziali.

Garanzie funzionali e certezza operativa

Alla luce di tali complessità, uno degli obiettivi che sembrano emergere dalle anticipazioni disponibili consiste nel rafforzamento delle tutele riconosciute al personale impiegato nelle operazioni cyber autorizzate.

In termini tecnico-giuridici appare più corretto parlare di garanzie funzionali piuttosto che di immunità.

L’immunità implica infatti una limitazione o esclusione della giurisdizione, mentre le garanzie funzionali operano all’interno dell’ordinamento come strumenti destinati a tutelare l’esercizio legittimo di funzioni pubbliche attribuite dalla legge.

Il quadro normativo di riferimento si fonda principalmente sui principi generali dell’ordinamento e, in particolare, sull’adempimento di un dovere previsto dall’articolo 51 del Codice Penale, nonché sulla disciplina concernente l’esecuzione degli ordini legittimamente impartiti nell’ambito della gerarchia militare.

Più che creare zone franche sottratte all’applicazione del diritto, l’obiettivo sembra essere quello di fornire maggiore certezza operativa agli operatori chiamati a svolgere attività caratterizzate da elevata complessità tecnica e strategica.

I limiti dell’obbedienza agli ordini superiori

La tutela degli operatori non può tuttavia tradursi in una forma di irresponsabilità automatica.

Nel diritto contemporaneo non esiste un principio secondo cui l’esecuzione di un ordine superiore escluda sempre la responsabilità del subordinato.

La rilevanza scriminante dell’ordine dipende dalla sua legittimità, dalla competenza dell’autorità che lo impartisce e dall’assenza di manifesta illegalità.

Anche nel dominio cibernetico, pertanto, la protezione dell’operatore risulta strettamente collegata alla legalità della procedura, alla tracciabilità della catena di comando e alla conformità dell’azione alle regole di ingaggio e agli obiettivi autorizzati.

Protezione patrimoniale, assistenza legale e rischio di lawfare

Le anticipazioni disponibili sembrano inoltre orientate verso il rafforzamento degli strumenti di assistenza legale e protezione patrimoniale del personale impiegato nelle attività operative maggiormente esposte a contestazioni giudiziarie.

L’obiettivo appare quello di evitare che il timore di conseguenze personali possa incidere negativamente sulla capacità decisionale degli operatori chiamati a gestire situazioni caratterizzate da elevata complessità tecnica e da inevitabili margini di incertezza.

Ciò non significa introdurre forme di impunità, ma predisporre strumenti di tutela compatibili con il principio di responsabilità personale e con le esigenze di efficienza dello strumento militare.

Reclutamento, formazione e professionalizzazione degli operatori cyber

La costruzione di una capacità cyber nazionale richiede personale altamente qualificato.

Le più recenti strategie della Difesa evidenziano la necessità di sviluppare percorsi dedicati di reclutamento, formazione e valorizzazione delle professionalità digitali, anche attraverso forme di collaborazione con università, centri di ricerca e industria tecnologica.

La professionalizzazione cyber non può tuttavia limitarsi agli aspetti tecnici.

La conoscenza del diritto internazionale, delle regole di ingaggio, della disciplina militare e delle implicazioni giuridiche delle operazioni costituisce oggi una componente essenziale della preparazione degli operatori.

Il ruolo del diritto internazionale e il Tallinn Manual

L’azione militare nel dominio cibernetico non può essere valutata esclusivamente alla luce del diritto interno.

Particolare rilievo assume il dibattito sviluppatosi attorno al *Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations*, elaborato da un gruppo internazionale di esperti sotto l’egida del NATO Cooperative Cyber Defence Centre of Excellence.

Pur non costituendo una fonte di diritto internazionale vincolante, il Manuale rappresenta oggi uno dei principali riferimenti interpretativi per l’applicazione delle norme esistenti alle operazioni cyber.

Per tale ragione, la dottrina, gli operatori del settore e, verosimilmente, anche la giurisprudenza saranno sempre più chiamati a confrontarsi con i criteri interpretativi elaborati nel Manuale, soprattutto con riferimento all’attribuzione delle operazioni, alla qualificazione dell’uso della forza nel cyberspazio e all’applicazione del diritto internazionale umanitario.

Droni, sistemi autonomi e convergenza tecnologica

La crescente diffusione di droni, sistemi autonomi, piattaforme a pilotaggio remoto e tecnologie basate sull’intelligenza artificiale rende sempre più evidente l’integrazione tra dimensione fisica e dimensione digitale.

I moderni sistemi unmanned dipendono da reti di comunicazione, software, sensori e infrastrutture informatiche che costituiscono parte integrante della capacità operativa.

La sicurezza cyber non rappresenta più un elemento accessorio, ma una componente essenziale della capacità militare contemporanea.

Conclusioni: verso una governance della sicurezza nazionale nel dominio digitale

La trasformazione del cyberspazio in un dominio strategico impone allo Stato di adeguare i propri strumenti normativi, organizzativi e operativi.

Le riforme annunciate sembrano muoversi nella direzione di un rafforzamento delle capacità nazionali e, al tempo stesso, di una maggiore definizione delle garanzie riconosciute al personale chiamato a operare in contesti caratterizzati da elevata complessità tecnica, strategica e giuridica.

Più che introdurre forme di immunità, l’obiettivo che sembra emergere dalle informazioni oggi disponibili appare quello di costruire un sistema di garanzie funzionali capace di assicurare certezza operativa, responsabilità istituzionale e rispetto dei principi dello Stato di diritto.

La possibile ridefinizione dei rapporti tra ACN, DIS e Difesa conferma inoltre che il tema delle operazioni cibernetiche non può essere affrontato esclusivamente come una questione tecnologica o militare. Esso riguarda l’assetto complessivo della sicurezza nazionale e la capacità delle istituzioni di operare in modo coordinato in un ambiente caratterizzato da minacce ibride, competizione strategica permanente e crescente integrazione tra dimensione civile e militare.

Per questa ragione, il successo della riforma non dipenderà soltanto dall’acquisizione di nuove capacità operative, ma anche dalla capacità di costruire una governance chiara, trasparente e giuridicamente sostenibile del potere cibernetico dello Stato.

La vera sfida del prossimo decennio sarà dunque conciliare efficacia operativa, controllo democratico, tutela degli operatori e rispetto delle regole che governano la sicurezza nazionale e l’impiego della forza nell’era digitale.

_Disclaimer

_{Le valutazioni qui formulate riflettono il quadro informativo disponibile al momento della redazione e dovranno necessariamente essere riconsiderate alla luce dell’eventuale testo normativo che sarà adottato dal Governo e successivamente sottoposto all’esame parlamentare.}

_{Fonti e riferimenti}

_{Il presente contributo è stato elaborato sulla base dei principali documenti programmatici della Difesa, della Strategia Digitale della Difesa, delle informazioni istituzionali pubblicamente disponibili, delle riflessioni sviluppate nel dibattito strategico nazionale sulla guerra ibrida e delle anticipazioni giornalistiche relative alle ipotesi di riforma in corso di elaborazione, integrate con l’analisi della normativa nazionale, del diritto internazionale applicabile alle operazioni cibernetiche e della principale dottrina di riferimento in materia.}

L’articolo Cyber, droni e garanzie funzionali: come potrebbe cambiare il quadro giuridico delle operazioni militari nel dominio cibernetico proviene da Difesa Online.

La trasformazione dello scenario strategico internazionale sta imponendo agli Stati una profonda revisione degli strumenti tradizionalmente impiegati per garantire la…

L’articolo Cyber, droni e garanzie funzionali: come potrebbe cambiare il quadro giuridico delle operazioni militari nel dominio cibernetico proviene da Difesa Online.