Un cyber attacco è una dichiarazione di guerra: lo ha deciso il Pentagono
"Se spegnete le nostre centrali elettriche, noi potremmo decidere di abbattere con un missile una delle vostre ciminiere".
Questo il commento di un ufficiale dell'esercito statunitense alla risoluzione che definisce ufficialmente la cyber strategia che gli USA hanno intenzione di seguire da adesso in poi; una risoluzione che, da qui un mese, verrà resa pubblica.
Il documento -costituito da 30 pagine di cui solo 12 non classificate- si concentra essenzialmente sul pericolo che un attacco informatico possa arrivare, prima o poi, a minacciare la sicurezza dei cittadini statunitensi agendo sui comandi delle centrali elettriche, dei reattori nucleari, delle metropolitane, dei gasdotti… In tal caso, secondo il Pentagono, gli USA non potranno far altro che accogliere il cyber attacco come un vero e proprio atto di guerra, e rispondere di conseguenza utilizzando la forza militare "tradizionale".
Lo rivela un articolo del Wall Street Journal, nel quale però si suggerisce che la risoluzione potrebbe rappresentare un mero "avvertimento" all'indirizzo di tutti coloro che stanno progettando un cyber attacco ai danni degli Stati Uniti, una sorta di memento mori del tipo: "attenti, potrebbero esserci delle conseguenze". Ciononostante, la decisione del Pentagono non ha mancato di generare critiche e perplessità.
Come si potrà mai essere certi dell'origine di un cyber attacco?
Basti pensare al virus Stuxnet, responsabile del sabotaggio delle centrifughe nucleari iraniane. L'opinione più diffusa è che la responsabilità di quell'attacco sia israeliana, ma le prove non lo confermano al 100%, così come si sospetta che gli USA abbiano aiutato Israele a realizzare l'attacco. Ciononostante, si tratta di "sospetti" sostenuti da meri indizi senza alcun valore probatorio. Come ci si comporterebbe in un caso come questo? Si applicherebbe sempre il principio del ragionevole dubbio o, all'occorrenza, si fabbricherebbero prove ad arte come nell'intervento (tristemente celebre) di Colin Powell all'ONU in cui si accusava Hussein di possedere dell'antrace che in realtà non aveva?
Quand'è che un cyber attacco è equiparabile ad una dichiarazione di guerra e quando non lo è? E data la drasticità del provvedimento, non c'è il forte rischio che ne se abusi anche quando le condizioni non lo richiederebbero?
Prendiamo la notizia di oggi: Google accusa formalmente la Cina di aver violato (di nuovo) gli account Gmail di politici statunitensi di alto profilo, di politici asiatici (in particolare della Corea del Sud), di giornalisti, di militari e di dissidenti cinesi. Pechino, chiaramente, nega ogni addebito e considera "inaccettabili" le insinuazioni della compagnia di Mountain View. Ma poniamo il caso si riesca a scoprire che dietro l'attacco c'è il governo cinese e che non sussista alcun dubbio in merito: che si fa? Si attacca militarmente la Cina? Si tenta di violare gli account di politici, giornalisti e militari cinesi filo-governativi tanto per rendere la pariglia, applicando una sorta di legge del taglione 2.0?
Naturalmente, la discussione nel merito delle implicazioni di una simile risoluzione è stata molto forte anche all'interno dello stesso Pentagono e al momento sembrerebbe prevalere il principio di "equivalenza". Vale a dire: "se il cyber attacco produce morte, danni, distruzione o un elevato livello di disturbo paragonabili ad un attacco militare tradizionale, allora si potrà valutare l'ipotesi di usare la forza"
Ma questa precisazione non basta di certo a sedare le critiche. Innanzitutto c'è una "o" che avrebbe suonato meglio come "e". Stando così le cose, anche solo causare "elevato disturbo" o "danni" potrebbe essere sufficiente a generare una risposta bellica da parte degli USA. Ma, in tal caso, di che tipo di risposta parliamo? Violare massicciamente i conti correnti di alcuni cittadini statunitensi, ad esempio, causerebbe sia "danni" che "elevato disturbo", ma può avere come conseguenza una rappresaglia di tipo militare? Sinceramente, ci auguriamo di no. E, per quanto parossistica possa sembrare quest'ipotesi, sarebbe opportuno non dimenticare la sfilza di ridicoli casus belli di cui è costellata la Storia. Considerando il tenore della politica internazionale contemporanea, poi, non si può non ammettere che spesso i governi non cerchino altro che pretesti per ingaggiare conflitti armati contro questa o quella nazione, e sarebbe opportuno concedere meno sponde possibile a simili scuse.
Eppure, malgrado l'idea di produrre una legislazione internazionale in materia di attacchi informatici sia condivisa da gran parte dei paesi NATO e malgrado si fosse già deciso che "in caso di cyber attacco ad uno dei paesi alleati, la NATO si sarebbe riunita in consultazione", gli Stati Uniti hanno voluto -ancora una volta- forzare la mano e cominciare a mettere qualche paletto. "Nessun cyber attacco su larga scala è possibile senza il supporto del governo del paese da cui viene lanciato", questa l'opinione degli ufficiali del Pentagono che, proprio partendo da questo presupposto, hanno deciso di approntare un piano che garantisca la sicurezza di tutte le infrastrutture civili e militari che dipendono da Internet.
Eppure, nonostante sia indubbia ed innegabile la necessità di formulare risposte nuove a problemi nuovi, non possiamo fare a meno di notare la preoccupante uguaglianza che esiste tra queste risposte e quelle "vecchie". Le stesse che hanno portato il pianeta al punto di precario equilibrio politico in cui ora si trova.
La Storia ci impone una riflessione e, anche se ancora non si conoscono i dettagli di questa risoluzione e le sue conseguenze non sono del tutto prevedibili, occorre mettere ben a fuoco almeno un punto.
Come ricorda il Wall Street Journal, infatti, anche George W. Bush applicò la politica del "Se ci attaccano dei terroristi afghani, allora bombardiamo l'Afghanistan" e non ci risulta che, da allora, il livello di sicurezza dei popoli del mondo sia aumentato. Anzi. Se, dopo dieci anni, necessitiamo di una risoluzione sui cyber attacchi che arriva ad equiparare l'offesa informatica a una vera e propria dichiarazione di guerra, allora qualcosa non ha funzionato.
Modificare, una volta tanto, il modello di pensiero (e conseguentemente quello di azione) potrebbe giovare.