La diplomazia informatica arriva ad un altro bivio

---

Il ransomware è stato finora senza dubbio la “minaccia informatica che definisce” il 2021, dato l’assalto dei principali attacchi di ransomware che abbiamo visto quest’anno. Ma è anche importante notare che ci sono stati progressi significativi nei negoziati delle Nazioni Unite sul cyberspazio, con grande sorpresa di molti osservatori, me compresa.

---

   A marzo, il gruppo di lavoro aperto (OEWG) sostenuto dalla Russia ha raggiunto un accordo sulla sicurezza informatica che riafferma 11 norme non vincolanti per l’attività informatica sponsorizzata dallo stato. E poi, due mesi dopo, il Gruppo di esperti governativi (GGE), sostenuto dagli Stati Uniti, ha seguito l’esempio. La semplice riaffermazione di quelle norme, che sono state stabilite per la prima volta nel 2015, può sembrare solo un modesto progresso. Gli accordi, tuttavia, non arrivano solo dopo che il GGE non è riuscito a raggiungere un accordo simile nel 2017, ma sulla scia di numerosi attacchi informatici di alto profilo, tra cui gli hack di SolarWinds, Microsoft Exchange e Colonial Pipeline.

   Detto questo, permangono differenze fondamentali nelle opinioni e nelle priorità tra i paesi su quale tipo di attività informatiche dovrebbero essere regolamentate e come. Anche il percorso diplomatico per i futuri cicli di negoziati internazionali non è chiaro, con gli Stati Uniti che vogliono far rispettare gli attuali accordi delle Nazioni Unite mentre la Russia propone di più. Pertanto, nonostante i progressi visti finora quest’anno, le possibilità che il mondo non solo accetti, ma aderisca, a un’unica serie di regole di base sono nella migliore delle ipotesi scarse, con un futuro di politiche Internet frammentate.

Il nucleo del Cyber ​​Divide: sovranità contro privacy

   Russia, Cina e Stati Uniti hanno da tempo opinioni opposte sul cyberspazio. Dal punto di vista della Russia, la maggior parte delle tecnologie dell’informazione (inclusi software e hardware) sono state sviluppate dagli Stati Uniti e dai loro alleati, dando a Washington e agli altri rivali occidentali di Mosca un chiaro vantaggio nelle capacità informatiche. Per questo motivo, la Russia, insieme ad altri avversari statunitensi come la Cina, Cuba, vuole usare il controllo degli armamenti informatici e i negoziati come un modo per limitare ciò che gli Stati Uniti e i loro alleati possono fare. E queste preoccupazioni si sono inasprite solo negli ultimi anni in seguito alle rivelazioni di Edward Snowden sulla portata dell’Agenzia per la sicurezza nazionale degli Stati Uniti, così come sul successo dello spiegamento da parte degli Stati Uniti e d’Israele del worm Stuxnet contro il programma nucleare iraniano.

   La Russia ha voluto dare la priorità ai negoziati su quella che di recente è arrivata a definire come la “sicurezza nazionale” della sua “sfera dell’informazione”, come delineato nella sua Dottrina sulla sicurezza delle informazioni del 2016. Rispetto all’Occidente, la Russia, insieme alla Cina e ad altri paesi che la pensano allo stesso modo, ha una visione più ampia sulle minacce informatiche che include anche l’arresto della diffusione di informazioni pericolose, oltre a prevenire il malware tradizionale o altri attacchi a reti e infrastrutture. Attraverso questo punto di vista, questi paesi vogliono rafforzare il controllo statale e la supervisione sulle informazioni nel cyberspazio, in particolare per quanto riguarda questioni come gruppi di opposizione, organizzazioni non governative e altre minacce che potrebbero utilizzare il mondo digitale interconnesso come strumento contro lo stato. Oggi, quella posizione è incarnata dal Great Firewall cinese, dalla Rete di informazione nazionale iraniana e dalla Runet russa.

   D’altra parte, gli Stati Uniti e altre democrazie liberali credono che i diritti individuali e la libertà di espressione dovrebbero essere protetti nel mondo cibernetico, rifiutando la visione più ampia di Russia, Iran e Cina. Inoltre, gli Stati Uniti hanno sostenuto che qualsiasi negoziato nel cyberspazio incentrato sulla limitazione del comportamento online o sul controllo degli armamenti fosse ridondante, data la legislazione internazionale esistente sulla guerra informatica e l’applicazione della Carta delle Nazioni Unite. Washington ha sottolineato che il focus di tali colloqui internazionali dovrebbe invece essere focalizzato sui paesi che lavorano insieme per sradicare le minacce delineate nella Convenzione di Budapest del 2004 sulla criminalità informatica, un trattato che è stato in gran parte ratificato solo dai paesi occidentali.

   Negli ultimi 15 anni, gli Stati Uniti sono diventati sempre più preoccupati che il regno digitale diventi un selvaggio West per attività criminali. La crescente attenzione della NATO sull’attività cibernetica e la creazione nel 2009 del Cyber ​​Command degli Stati Uniti riflettono anche i timori di Washington sul fatto che il dominio cibernetico si integri maggiormente nelle strategie militari dei suoi avversari, che attaccano Russia, Cina e Iran alle infrastrutture critiche degli Stati Uniti, insieme all’industria cibernetica della Cina e di spionaggio. Per affrontare queste preoccupazioni, gli Stati Uniti hanno cercato di concentrare i colloqui internazionali sulla definizione di “norme” per l’attività cibernetica sponsorizzata dallo stato che, anche se non vincolanti, aiuterebbero a fornire un modello per giudicare le trasgressioni percepite da Russia e Cina.

Negoziati informatici delle Nazioni Unite: una breve storia

   La Russia ha costantemente cercato di guidare i negoziati internazionali sulla sicurezza informatica. Dal 1998, Mosca ha presentato ogni anno una risoluzione alle Nazioni Unite sugli “sviluppi nel campo dell’informazione e delle telecomunicazioni nel contesto della sicurezza internazionale”. Nel 2001, la Russia ha proposto la creazione di un gruppo di esperti governativi (GGE) per valutare e discutere le minacce alla sicurezza delle informazioni. E nel 2004 è stato creato il primo GGE, che comprende esperti di 15 paesi, con la Russia a presiedere il gruppo. Il primo panel GGE non è riuscito a raggiungere il consenso necessario per un accordo sulle regole informatiche globali. Ma le tre riunioni successive tenutesi tra il 2009 e il 2015 hanno adottato ciascuna una relazione per consenso, con il gruppo GGE 2015 che ha stabilito in particolare le prime norme cyber non vincolanti.

   Il GGE 2016-17, tuttavia, non è riuscito a sfruttare il successo dell’ultima riunione e, per la prima volta in quasi un decennio, si è concluso senza una dichiarazione di consenso. Gli Stati Uniti e l’Occidente volevano affermare esplicitamente che il diritto umanitario internazionale (che copre il diritto internazionale durante i conflitti armati) si applica al cyberspazio. Ma Cuba, Iran, Cina e Russia hanno respinto questa posizione, con l’Avana che ha specificamente sostenuto che una tale applicazione normalizzerebbe la guerra informatica. Le domande incombenti sulla presunta interferenza della Russia nelle elezioni statunitensi del 2016, insieme alla posizione abrasiva dell’allora presidente degli Stati Uniti Donald Trump nei confronti della Cina, hanno anche reso il processo GGE più difficile dal punto di vista politico.

I colloqui paralleli producono progressi inaspettati

   Nonostante il fallimento del GGE 2016-17, tuttavia, gli Stati Uniti e la Russia avevano ancora interessi strategici nel cyberspazio che rendevano attraenti i colloqui diplomatici. Nel 2018, la Russia ha sponsorizzato una risoluzione delle Nazioni Unite per sostituire il GGE con un nuovo gruppo di lavoro aperto (OEWG). L’OEWG continuerebbe ad operare sul consenso, ma a differenza del GGE, sarebbe aperto a tutti i membri delle Nazioni Unite.

   Anche gli Stati Uniti e i loro alleati hanno partecipato all’OEWG, ma erano scettici sull’intento della Russia, vale a dire se Mosca stesse usando il nuovo lavoro come veicolo per ottenere supporto per la propria alternativa alle linee guida sulla criminalità informatica appoggiate dall’Occidente nella Convenzione di Budapest. Questi timori sembravano poi essere confermati dopo che la Russia, in rapida successione, ha proposto un nuovo successore quinquennale OEWG (che ha iniziato a lavorare nel maggio 2021), ha aggiornato la sua strategia di sicurezza nazionale (nomina la sicurezza delle informazioni una priorità per la prima volta) e ha svelato un progetto di trattato sulla criminalità informatica internazionale a luglio.

   Gli Stati Uniti e altri paesi occidentali hanno anche espresso preoccupazione per il fatto che la Russia avrebbe utilizzato l’accesso aperto offerto dall’OEWG per attirare più paesi interessati alla sua versione della sicurezza delle informazioni al fine di adottare un insieme di norme diverso o un insieme di norme più ampio rispetto a quelli stabiliti dal 2015 GGE. Ma questi timori non si sono concretizzati nel rapporto di consenso del marzo 2021 dell’OEWG. La Cina, infatti, ha sostenuto la riaffermazione delle norme GGE 2015, sradicando di fatto ogni possibilità che la Russia potesse aver avuto nel cambiarle. Questo, insieme a un linguaggio che allude alle preoccupazioni della Cina sulle revisioni della catena di approvvigionamento, è stato sufficiente per raggiungere un consenso che ha sancito molte delle scoperte del GGE. Sebbene l’accordo OEWG non abbia prodotto progressi significativi in ​​termini di portata, ha segnato per la prima volta un gruppo di lavoro aperto a tutte le Nazioni Unite.

   Tra le preoccupazioni sulla direzione dell’OEWG sostenuto dalla Russia, gli Stati Uniti hanno sponsorizzato una risoluzione per creare un nuovo GGE di 25 membri al fine di mantenere intatto il gruppo di lavoro più piccolo. Il gruppo si è riunito all’inizio di quest’anno e ha prodotto un rapporto di consenso che dettaglia esattamente ciò che ci si aspetta dai paesi per soddisfare ciascuna delle norme stabilite nel rapporto GGE 2015. I negoziatori statunitensi hanno descritto il rapporto GGE 2021, che include anche esempi di ciò che si qualifica come infrastruttura critica, come una guida efficace su come applicare e interpretare le norme informatiche, con la consapevolezza che non è necessario creare nuove regole.

   Il rapporto afferma inoltre esplicitamente che il diritto umanitario internazionale applica il cyberspazio (Cuba, il membro del GGE del 2017 che ha posto il veto all’inclusione, non era membro del GGE del 2021). L’inclusione di ciò potrebbe limitare parte dello sviluppo di potenziali armi informatiche a causa dell’impatto sui civili, sebbene non sia chiaro fino a che punto verrà rispettata l’applicazione del diritto internazionale umanitario. Cina e Russia sono preoccupate per il fatto che la maggior parte delle loro infrastrutture critiche sia gestita da imprese statali e quella occidentale sia gestita da società private, aprendo interrogativi su cosa sia “civile” nel contesto di una guerra con un enorme cyber componente.

   Il rapporto GGE, tuttavia, non entra nei dettagli su come valutare gli attacchi informatici di attribuzione, una delle principali richieste di Russia e Cina. Sia Mosca che Pechino hanno criticato i governi occidentali per averli accusati di essere responsabili di attacchi informatici senza fornire sempre prove sostanziali (le agenzie di intelligence occidentali hanno spesso prove dettagliate sull’attribuzione, ma evitano di condividerle pubblicamente per non esporre le loro fonti e tecniche). Gli Stati Uniti e i suoi alleati, nel frattempo, sostengono che Russia e Cina sfruttano l’area grigia attorno all’attribuzione per ottenere una negabilità plausibile intorno agli attacchi.

Applicazione vs. Espansione delle regole informatiche

   Anche le differenze nelle priorità tra l’Occidente, guidato dagli Stati Uniti, e la Cina e la Russia su cosa fare nei negoziati internazionali sul cyberspazio, sembrano ampliarsi.

La posizione dell’Occidente

   Sembra che il processo GGE abbia fatto il suo corso, con l’Occidente che ora segnala di voler spostare la conversazione su come applicare le norme e non su come dovrebbero essere. Gli Stati Uniti, in particolare, vogliono utilizzare le 11 norme stabilite nel 2015 per fare pressione su Cina e Russia. Durante il suo incontro con il presidente russo Vladimir Putin a giugno, il presidente degli Stati Uniti Joe Biden si è concentrato in gran parte dell’attività informatica russa, incluso l’hacking della catena di approvvigionamento di SolarWinds, nonché il presunto nascondiglio da parte della Russia di bande di ransomware dietro gli hack Colonial Pipeline e JBS del 2021. A luglio, gli Stati Uniti e i suoi alleati hanno anche pubblicamente nominato e svergognato la Cina per la sua attività informatica, con le campagne di spionaggio industriale informatico sponsorizzate dalla Cina come uno dei punti chiave.

   Nell’ottobre 2020, Francia, Egitto e oltre 40 altri paesi principalmente occidentali hanno proposto di lanciare un Programma d’azione (PoA) per istituire “un forum permanente delle Nazioni Unite per considerare l’uso delle TIC [tecnologie dell’informazione e della comunicazione] da parte degli Stati nel contesto della sicurezza internazionale”. Sebbene gli Stati Uniti non fossero uno sponsor, presumibilmente, il focus del nuovo organismo e del dialogo delle Nazioni Unite si concentrerebbe maggiormente sull’applicazione, piuttosto che sull’avanzamento di regole e standard.

   È improbabile che la Russia o la Cina riducano completamente tali attività. Ma poiché entrambi sono inclusi nelle norme cyber stabilite, gli Stati Uniti sperano di utilizzare almeno le regole come punto di riferimento per giudicare il comportamento di funzionari/entità informatici russi e cinesi, oltre a giustificare potenziali sanzioni di ritorsione e/o azioni legali. Washington spera anche che offrire maggiore chiarezza su come risponderà agli attacchi aiuterà almeno a tenere sotto controllo l’attività informatica russa e cinese, anche se non può prevenire del tutto gli attacchi.

 Posizione della Russia e della Cina

   Nel frattempo, Cina, Russia e altri governi più autoritari sono molto più preoccupati per come viene utilizzato il cyberspazio nei loro paesi e per promuovere i loro concetti di sovranità digitale. La Russia sembra interessata a utilizzare il nuovo OEWG quinquennale come veicolo per farlo, facendo affidamento sui dati nazionalisti e sulle tendenze della sovranità di Internet in paesi come Brasile, India, Arabia Saudita, Turchia ed Emirati Arabi Uniti. In tal modo, Mosca sta cercando di avvicinare questi paesi tipicamente più allineati all’Occidente alla sua visione delle preoccupazioni sulla sicurezza delle informazioni. La Russia spera inoltre che un’ulteriore diffusione dell’infrastruttura fisica alla base del cyberspazio globale (ovvero server, reti, cavi) possa eventualmente contribuire a ridurre l’egemonia occidentale compartimentando anche Internet.

   Il suddetto trattato sulla criminalità informatica proposto dalla Russia a luglio potrebbe anche trovare sostegno tra altri governi con approcci simili incentrati sulla sovranità alla politica di Internet. Il trattato proposto amplierebbe la Convenzione di Budapest sostenuta dall’UE aumentando il numero di crimini informatici da 9 a 23. Funzionari occidentali hanno espresso preoccupazione per il fatto che l’elenco più ampio di offensive, che include l’accesso non autorizzato ai dati personali e l’estremismo, potrebbe garantire ai regimi repressivi più potere e più modi per gestire il dissenso, l’opinione pubblica e controllare i flussi di informazioni nei loro paesi.

   I nuovi crimini legati al terrorismo aggiunti al trattato, in particolare, potrebbero consentire immediatamente ai governi autoritari di designare i dissidenti che condividono contenuti critici come terroristi – un’etichetta che il governo etiope, ad esempio, ha usato per giustificare la sua offensiva contro il Fronte di liberazione del popolo del Tigray.

   La bozza di trattato della Russia criminalizza anche la creazione e l’uso di dati digitali destinati a “ingannare” l’utente, che i governi potrebbero utilizzare per reprimere la copertura mediatica critica etichettando tali contenuti “come notizie o disinformazione.

   Inoltre, la sezione del trattato sull’estradizione afferma esplicitamente che nessuno dei 23 crimini informatici sarebbe un crimine politico, il che significa che non sarebbero soggetti alle deroghe per crimini politici negli attuali trattati di estradizione.

   Gli Stati Uniti e l’Occidente temono che l’intento ultimo della Russia sia sostituire quella Convenzione di Budapest. Ma ciò che è più realistico è che il trattato di Mosca ottiene il sostegno di una manciata selezionata di stati che la pensano allo stesso modo, con i membri dell’Organizzazione per la cooperazione di Shanghai (Cina, Kazakistan, Kirghizistan, Tagikistan e Uzbekistan) tra i più propensi a farlo. Ma anche se solo un piccolo numero di paesi finisse per adottarlo, il nuovo trattato sul crimine informatico aggiunge comunque la “litania” di alternative ai quadri occidentali che Russia e Cina hanno sostenuto e metterebbe anche in atto normative più chiare frammentando Internet.

Disaccordi sui dati

   Il trasferimento dei dati e la privacy sono un settore in cui c’è poco spazio per accordi sostanziali tra Europa, Stati Uniti e Cina. Gli Stati Uniti e l’Unione europea potrebbero eventualmente riaprire i negoziati bilaterali su un nuovo quadro per il trasferimento dei dati tra di loro dopo che la Corte di giustizia europea ha annullato lo Scudo per la privacy UE-USA nel 2020 a causa delle preoccupazioni per le norme lassiste degli Stati Uniti sulla privacy e l’accesso delle agenzie di intelligence del governo alle informazioni personali e aziendali. Ma mentre gli Stati Uniti potrebbero fare alcune riforme, è improbabile che riducano completamente parte dell’accesso del governo alle informazioni, facendo sì che qualsiasi ipotetico nuovo accordo possa essere nuovamente annullato.

   La crescente supervisione statale dei dati da parte della Cina, nel frattempo, rende ancora più difficile la collaborazione sulla privacy e su altre questioni relative ai dati. Una serie di nuove leggi e regolamenti introdotti in Cina nell’ultimo anno, tra cui la legge sulla protezione delle informazioni personali e la legge sulla sicurezza dei dati, si concentrano sulla limitazione della capacità delle aziende di inviare dati cinesi all’estero. Pechino deve ancora introdurre misure che riducano significativamente il proprio accesso ai dati.

Un futuro frammentato

   Il divario tra le quattro potenze informatiche dominanti del mondo – Stati Uniti, Europa, Russia e Cina – su come il cyberspazio dovrebbe essere gestito a livello internazionale e su quali tipi di comportamento i paesi dovrebbero adottare (ed evitare) rischia solo di ampliarsi, accelerando la frammentazione delle Internet, servizi online, regole di trasferimento dei dati e politiche informatiche. Ciò fa presagire rischi maggiori per le aziende occidentali che cercano di operare in paesi che sono sempre più in grado, sia dal punto di vista tecnico che diplomatico, di espandere il controllo su Internet.

   Tale frammentazione renderebbe anche più difficile per i giganti tecnologici occidentali come Google, Twitter, Facebook e Amazon essere veramente globali costringendoli a concentrare le loro attività in Europa e Nord America, dove le normative sono più coerenti. Ciò, a sua volta, darebbe un vantaggio alle aziende tecnologiche alternative di Russia, Cina e altrove che sono più disposte a lavorare in ambienti con normative più severe. L’assenza di regole rigide sull’accesso del governo alle informazioni in Cina può anche dare ad alcune delle sue aziende statali più libertà di raccogliere i benefici delle tecnologie emergenti di elaborazione dei dati, come l’intelligenza artificiale, rispetto alle loro controparti occidentali che dovranno prestare molta più attenzione rigorosi requisiti in materia di privacy, uguaglianza e non distorsioni sugli algoritmi.

Bianca Laura Stan