Attacchi hacker e problemi di attribuzione

A cura di Ranieri Razzante

L’evoluzione tecnologica e le nuove frontiere della comunicazione hanno portato alla proliferazione di nuove condotte penalmente rilevanti, nonché ad una significativa espansione delle attività illecite - anche nel Metaverso, difficilmente controllabili1.

Tra esse rientrano non solo gli, ormai comuni, attacchi informatici2, bensì anche le operazioni svolte contro uno Stato3.

Un esempio emblematico si rivede in quanto accaduto ad inizio 2023, a seguito della visita della Premier Meloni a Kiev.

Un importante attacco informatico, rivolto ad istituzioni ed imprese italiane, è stato messo in atto da un gruppo di hacker russi noto come NoName. Tra i siti attaccati ci sono stati quello dell’Arma dei Carabinieri, del Ministero degli Esteri e della Difesa, come anche quelli di società quali Tim, Banca Bper e Utility A2a.

I responsabili appartengono ad un collettivo di hacker vicino ai servizi segreti esteri russi – il Servizio di intelligence internazionale – i cui crimini, sofisticati e difficili da prevedere, vedono un nuovo allarmante livello di pericolosità4.

Risulta evidente che, in tale contesto, la sfida cyber più ardua e delicata riguarda l’attribuzione, ovvero l’identificazione dei cyber criminali, autori di tali reati (cracker). L’espressione, che deriva dal termine hacker, è usata in accezione negativa per indicare coloro che possiedono avanzate capacità informatiche utilizzate al fine di commettere cyber attacchi.

Invero, in base agli obiettivi nonché alle motivazioni che spingono tali attori ad agire, si riconoscono diverse tipologie di soggetti: quelli sponsorizzati dallo Stato, i criminali informatici, i cyberterroristi e, da ultimo, gli hacktivisti.

Nello specifico, quando si parla di cyberterroristi si intendono gruppi politici estremisti che utilizzano tecniche informatiche per realizzare attacchi tecnologici con lo scopo di intimidire, costringere o influenzare il pubblico, di provocare paura o causare danni fisici. Ciò anche grazie al darkweb, luogo di condivisione di informazioni, raccolta fondi, incontri e propaganda5.

Dunque, la profilazione di questi ultimi risulta essere un’attività centrale se si vuole prevenire le mosse, comprendere le ragioni e l’origine degli attacchi e costruire strategie di difesa efficaci. Ciò avviene attraverso la raccolta di prove digitali e dati, spesso volontariamente offuscati dai responsabili. Questa operazione, per avere valore, deve necessariamente essere pubblica - e quindi credibile - al fine di legittimare giuridicamente una effettiva tutela6.

Il processo di attribuzione, però, non è privo di insidie. Oltre alle difficoltà legate al panorama informatico e tecnico, vi sono due importanti problemi. In primo luogo, la scoperta degli avvenuti attacchi: a tale scopo, infatti, esistono indicatori di compromissione che rinvengono comportamenti anomali nei sistemi informatici ed effettuano controlli periodici.

In secondo luogo, quando si tratta di attacchi contro uno Stato, possono sorgere complicazioni di tipo politico. Nel diritto internazionale, l’art. 51 dello Statuto delle Nazioni Unite riconosce: «nel caso che abbia luogo un attacco armato contro un Membro delle Nazioni Unite (...) il diritto naturale di autotutela individuale o collettiva»7. Tuttavia, in merito alle contromisure, non vi è uno specifico consenso a livello di Nazioni Unite, per questo, vengono spesso applicate sanzioni quali blocchi dei conti, divieti di spostamento o denunce pubbliche dei comportamenti illeciti.

Invero, affinché si possa ritenere sussistente un illecito internazionale, è necessaria l’integrazione del relativo elemento oggettivo, il cui fondamento risiede nella violazione di un obbligo internazionale facente capo allo Stato.

A tal fine, potrebbe addursi come referente giuridico l’art. 2, par 4, della Carta delle Nazioni Unite, che dispone: «I Membri devono astenersi, nelle loro relazioni internazionali, dalla minaccia o dall’uso della forza, sia contro l’integrità territoriale o l’indipendenza politica di qualsiasi Stato, sia in qualunque altra maniera incompatibile con i fini delle Nazioni Unite».

Dunque, è possibile inquadrare tali cyber attacchi nel concetto di uso della forza, con conseguente applicabilità della legittima difesa di cui all’art 51 della Carta. Ammettendo tale soluzione, si riterrebbe integrato l’elemento oggettivo di un illecito internazionale, consistente nella violazione dell’obbligo giuridico avente ad oggetto il generale dovere di astensione dall’uso della forza8.

Allo stato dei fatti, si comprende l’importanza del luogo di realizzazione di suddetti reati; soprattutto se si pensa al Metaverso. Difatti, essendo questo una realtà digitale, risultante dall’insieme di dimensioni virtuali e reali interconnesse, in cui gli utenti vengono rappresentati da propri alter ego - definiti avatar - questo nuovo mondo fa sorgere molti interrogativi in merito alla possibilità di applicarvi le tradizionali categorie del diritto9, ponendo l’interprete davanti a questioni quali la perseguibilità di azioni ivi poste in essere, la relativa qualificazione e la possibilità di effettiva comminazione della pena.

Dal momento che le condotte realizzate sul web si estrinsecano nell’emanazione o nella captazione di una serie di impulsi elettronici, interconnessi tra loro, indifferentemente dalla concreta ubicazione del soggetto agente, il reato assume una connaturata ed inevitabile dimensione transnazionale, per cui l’attività di individuazione dei responsabili risulterà complessa. A tal proposito, ci si chiede se sia possibile ritenere che il Metaverso possa rappresentare un vero e proprio locus commissi delicti. Ciononostante, è ormai chiaro che una realtà diversa da quella fattuale è, oggi, idonea alla commissione di reati10.

NOTE:
1. Clusit, 2023.
2. R. Razzante, 2023.
3. R. Razzante, 2023.
4. A. Rociola, 2023.
5. E. Filadelfio, 2021.
6. M. Iaselli, G. B. Caria, 2023.
7. N. Caranti, 2020.
8. J. K. Davis, 2022.
9. D. Dell’aria, Direttive NIS 2 e CER, 2023.
10. F. Sarzana Di Sant’ippolito, I.O. Epicocco, M. Pierro, 2022.