Sicurezza informatica, a una svolta i negoziati internazionali: come cambia la governance

15 Maggio 2021 Mario Ferraioli Sicurezza sul lavoro 0

Raggiunto in seno all’Open Ended Working Group (OEWG) Onu sulla sicurezza informatica un compromesso su un documento finale. Certo, molte questioni rimangono ancora drammaticamente irrisolte, tra cui il modo in cui il diritto internazionale si applica allo spazio cibernetico, ma è un momento solenne, quasi rivoluzionario. Vediamo perché

Dopo anni di stallo, questo marzo è avvenuto un importante sviluppo nel dibattito internazionale sulla governance di Internet. A circa due anni dall’inizio dei lavori, la terza riunione dell’Open Ended Working Group (OEWG)[1] on Developments in the Field of ICTs in the Context of International Security delle Nazioni Unite si è chiuso con un consenso di tutti gli Stati sul contenuto documento finale. Sebbene a livello più formale che sostanziale, questo sviluppo marca certamente una delle pietre miliari delle negoziazioni internazionali sulla sicurezza informatica.

La discussione internazionale per stabilire delle norme per la sicurezza informatica è progredita lentamente, guidata dalla progressiva richiesta da parte degli Stati di maggiore sicurezza nel mondo digitale. Stabilire delle norme condivise circa il comportamento degli Stati nello spazio cibernetico può ridurre l’instabilità di questa arena e gli incentivi degli stessi a sostenere l’attuale corsa alle armi informatiche. A oggi, tuttavia, e nonostante i successi ottenuti dall’OEWG, gli Stati faticano ancora a raggiungere un’intesa circa le modalità di applicazione del diritto internazionale allo spazio cibernetico, la possibilità di applicare il diritto umanitario internazionale, e la necessità di formulare nuove norme specifiche per regolare questa arena.

Il documento firmato in seno alle Nazioni Unite non sarà giudicamene vincolante, né il suo contenuto particolarmente rivoluzionario, tuttavia è la prima volta che un processo aperto a tutti i paesi dell’ONU ha portato a un accordo sulla sicurezza informatica internazionale, e merita per questo un’attenta analisi.

La storia dell’OEWG

La storia dell’OEWG ha origini lontane nel tempo. Già nel 1998, le crescenti preoccupazioni sui rischi derivanti dagli attacchi informatici aveva dato vita alla prima iniziativa internazionale nel campo della sicurezza informatica: la bozza di proposta della Russia all’ONU sugli “Sviluppi nel campo dell’informazione e delle telecomunicazioni nel contesto della sicurezza” (“Developments in the field of information and telecommunications in the context of security”). L’iniziativa, figlia del boom di Internet verificatosi pochi anni prima, nel 1995, ha segnatamente marcato l’inizio della promozione di accordi internazionali in campo digitale.[2] La Russia aveva dapprima cercato di negoziare un accordo bilaterale con gli Stati Uniti; quando questi fallì, Mosca scelse l’ONU come forum internazionale in cui promuovere la sua visione della sicurezza informatica.[3] Così, il 23 settembre 1998, Igor Ivanov, all’epoca Ministro degli Esteri russo, presentò una lettera al Segretario General dell’ ONU chiedendo la diffusione della bozza di risoluzione per trattare la sicurezza informatica internazionale.

Successivi sviluppi portarono alla formazione del Gruppo di Esperti Governativi (GGE), un gruppo di esperti provenienti da 15 nazioni[4] incaricato di esplorare le minacce che l’uso della tecnologia informatica poneva alla sicurezza internazionale. Il primo meeting del GGE, tenutosi nel 2004, risultò in un nulla di fatto. Come ha osservato Krutskikh, i paesi differivano in modo fondamentalmente nelle loro interpretazioni di come il diritto internazionale ed il diritto umanitario si potessero applicare alla sfera informatica e se questi codici fossero sufficienti a regolare lo spazio digitale, o non fosse necessario varare nuove norme specifiche per regolare questa arena.[5] Successivi incontri dello UN GGE ebbero maggior successo. Nel 2010, 2013 e 2015, il gruppo di esperti riuscì ad articolare una serie di norme volontarie che promuovevano il comportamento responsabile degli stati nello spazio cibernetico, ed ad accertare che il diritto internazionale era applicabile al digitale, sebbene non si accordò sul come.

Software per la sicurezza sul lavoro

www.progettoalbatros.net – Software per la sicurezza sul lavoro e nei cantieri edili

Con il passare degli anni, il GGE finì tuttavia anche al centro di numerose critiche. Data la situazione di stallo in cui si venne a ritrovare il GGE nel 2017, incapace di progredire nei negoziati, la stessa Russia iniziò a chiedere una revisione delle procedure attraverso cui condurre la discussione. Mosca sosteneva che il formato del GGE, a causa della sua adesione esclusiva, stava ostacolando il processo democratico e non tenendo conto delle posizioni dell’intera comunità internazionale, marginalizzando in particolar modo la visione dei paesi in via di sviluppo. Pertanto, venne sponsorizzata la risoluzione per la creazione dell’OEWG, un gruppo di lavoro la cui composizione venne aperta a qualsiasi dei 193 membri delle Nazione Unite disposto a partecipare. In prima istanza il blocco occidentale si mostrò fortemente contrario alla proposta, sostenendo che la Russia aveva scelto di discostarti dall’approccio concordato fino a quel punto e di sostenere un progetto che conteneva “difetti inaccettabili, e un linguaggio intollerabile.”[6] In particolar modo, veniva contestato come il progetto contenesse “un’indebito riferimento alla sovranità degli Stati negli spazio cibernetico, che avrebbe causato l’inevitabile rischio di indebolire la protezione delle libertà individuali a causa di una maggiore capacità degli Stati di controllare l’accesso ai contenuti informatici sui rispettivi territori nazionali.”[7] Ponendosi in alternativa alla proposta russa, il blocco dei paesi like-minded propose una bozza di risoluzione speculare a quella per la creazione dell’OEWG, che chiedeva la formazione di un nuovo GGE, da istituirsi nel 2019.

L’8 Novembre 2018, durante la trentunesima riunione dell’Assemblea generale delle Nazioni Unite, entrambe le proposte vennero approvate. La maggior parte dei paesi votarono a favore di entrambe le proposte benché vennero sollevate preoccupazioni per la duplicazione degli sforzi in seno Nazioni Unite nel portare avanti due processi paralleli e tuttavia con mandati pressoché identici.

Il Report Finale dell’ONU Cyber OEWG

Il contenuto effettivo della relazione finale dell’OEWG non sorprende per coloro che hanno seguito questo processo. Riconosce e sostiene i precedenti punti di consenso raggiunti nell’ ambito del GGE, questa volta avallati però dalla comunità internazionale tutta. La reiterazione delle precedenti raccomandazioni del GGE sulle norme volontarie e diritto internazionale funge da rinforzo indiretto ma significativo agli sforzi per promuovere la responsabilità collettiva nello spazio cibernetico.

Tra ripetizioni e banalità, il rapporto OEWG introduce comunque nell’agenda internazionale anche questioni nuove. Tra queste, si sottolineano in particolar modo gli espliciti riferimenti alla protezione delle infrastrutture mediche e di altre specifiche infrastrutture critiche. Il rapporto riconosce inoltre i danni causati dalle interferenze elettorali, e, sotto insistenza della Cina, sottolinea l’importanza della Coordinated Vulnerability Disclosure – un meccanismo di cooperazione per la divulgazione “coordinata” e “responsabile” delle vulnerabilità tecnologiche – e della protezione della catena del valore per i prodotti ICT.

Nel documento finale viene menzionata inoltre, sotto proposta coordinata di Francia e Egitto, la possibilità di istituire un Programma di Azione. In particolare, si legge come l’ONU potrebbe “esplorare l’istituzione di un programma d’azione per far avanzare il comportamento responsabile degli Stati, ponendo fine alle discussioni a doppio binario (GGE/OEWG) e instituendo un forum ONU permanente.”[9] Un Programma di Azione può essere definito come uno schema, o un insieme d’ azioni pratiche, che le parti concordano di attuare per raggiungere obiettivi condivisi e dichiarati. I Programmi di Azione si concentrano sui comportamenti e sulle attività. Un Programma d’Azione costituisce uno strumento autonomo che, sebbene non legalmente vincolante quanto un Trattato, segnala l’impegno ad attuare le azioni pratiche in esso contenute. I Programmi di Azione, quindi, vanno oltre le dichiarazioni politiche nel loro livello di dettaglio e specificità e spesso includono disposizioni per il monitoraggio e il follow-up rispetto alle dichiarazioni fatte.

Il futuro dell’Internet governance

Vista la storia che ha caratterizzato il dibattitto intorno alla governance di Internet, raggiungere un compromesso su un documento finale era tutt’altro che scontato. In generale, molte questioni rimangono ancora drammaticamente irrisolte, non ultima il modo in cui il diritto internazionale si applica allo spazio cibernetico, tema per il quale non si vede alcun segno di consenso tra gli Stati all’orizzonte. Se un Piano di Azione sostituirà il doppio binario OEWG/GGE sarà ancora tutto da chiarire, così come sarà da chiarire come effettivamente si possa riuscire ad avanzare nelle negoziazioni internazionali.

Nonostante tali incertezze, l’adozione del rapporto da parte della totalità di Stati membri dell’ONU che hanno partecipato alle negoziazioni (68) è un’momento solenne, quasi rivoluzionario, che è sopra ogni modo giusto celebrare. Il successo dello OEWG ci sottolinea come un modello di governance più rappresentativo è davvero possibile, e che questo non deve e non può rimanere appannaggio di una sola élite di Stati più tecnologicamente avanzati. Ci affacciamo ad un futuro in cui la digitalizzazione del next billion[10] porterà sconvolgimenti impensabili al modo in cui la gestione dello spazio digitale è stata affrontata finora, ed è fondamentale che la comunità internazionale accomodi questi cambiamenti. Come afferma Joyce Hakmeh del Journal of Cyber Policy: “questa non è la fine della conversazione, è solo l’inizio”.[11]

Note

  1. I gruppi di lavoro aperti (OEWG) sono un tipo di formato presente nelle Nazioni Unite, generalmente considerati i più aperti, come suggerisce il nome. Significa che tutti gli Stati membri e osservatori delle Nazioni Unite, le organizzazioni intergovernative e le organizzazioni non governative con status consultivo del Consiglio economico e sociale delle Nazioni Unite (ECOSOC) possono partecipare alle riunioni pubbliche del gruppo di lavoro, tuttavia, le decisioni vengono prese dagli Stati membri delle Nazioni Unite. Ci sono vari OEWG all’ONU, tra cui quello sulla sicurezza informatica, di cui tratta questo articolo. 
  2. Tim Maurer, “Cyber Norms Emergence at the United Nations”, Belfer Center for Science and International Affairs, 2011, p.16 
  3. Eneken Tikk-Ringas, “Developments in the Field of Information Telecommunication in the Context of International Security: Work of the First UN Committee 1998-2012”, ICT4Peace Publishing, 2012, p. 3 
  4. Bielorussia, Brasile, Cina, Francia, Germania, India, Giordania, Malesia, Mali, Messico, Corea del Sud, Russia, Sud Africa, Regno Unito e Irlanda del Nord e Stati Uniti d’America 
  5. Eneken Tikk-Ringas, op. cit., 2012, p. 7 
  6. Retrieved from United States’ intervention on the behalf of the European Union during the UN General Assembly 31st meeting – General Assembly, 73rd session, UN Web TV, November 8 2018, [Video File] 55:50 
  7. Ibid. 
  8. Per approfondimenti sul contenuto del Report Finale dell’ OEWG consultare: Pavlina Ittelson, Vladimir Radunovic, “What’s new with cybersecurity negotiations? UN Cyber OEWG Final Report analysis”, Diplo, 19 Marzo 2021. Disponibile: https://www.diplomacy.edu/blog/whats-new-cybersecurity-negotiations-un-cyber-oewg-final-report-analysis#discussion 
  9. “”The future of discussions on ICTs and cyberspace at the UN,” 30 Ottobre 2020. Disponibile: https://front.un-arm.org/wp-content/ uploads/2020/10/joint-contribution-poa-the-future-of-cyber- discussions-at-the-un-10302020.pdf. 
  10. Espressione con cui viene comunemente descritta la progressiva penetrazione digitale dell’ Africa 
  11. Emily Taylor, “A Breakthrough for U.N. Governance of Cyberspace”, World Politics Review, March 16, 2021. Disponibile: https://www.worldpoliticsreview.com/articles/29496/a-breakthrough-for-global-cyber-governance 

Fonte

About Mario Ferraioli 4029 Articles
MARIO FERRAIOLI - Nel '94 fondo lo STUDIO ALBATROS, informatico e consulente aziendale sono autore di un software gestionale per la sicurezza sul lavoro e nei cantieri sviluppato in Intelligenza Artificiale.