Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war.

Non è solo uno scenario futuristico o una minaccia ipotetica. È realtà. Dai conflitti tra Russia e Ucraina, passando per gli attacchi paralleli che si sono verificati durante lo scontro tra Israele e Hamas, fino alle recenti tensioni tra Israele e Iran, il cyberspazio è ormai diventato un vero campo di battaglia.

Il cyberspazio come nuovo dominio di guerra

Il cyberspace non è più soltanto l’ambiente dove si realizzano truffe informatiche, divulgazioni di materiale pedopornografico o accessi abusivi. È stato ufficialmente riconosciuto dalla NATO come quinto dominio della guerra, accanto a terra, mare, aria e spazio. Questo significa che operazioni offensive e difensive condotte attraverso sistemi informatici possono avere lo stesso peso strategico e geopolitico degli attacchi convenzionali.

Nel contesto delle relazioni internazionali, la cyber war si distingue da altre attività digitali come il cyber crimine, l’info war, il cyber terrorismo o la sorveglianza digitale statale.

Qui si parla di veri e propri attacchi portati da uno Stato contro un altro, con obiettivi di destabilizzazione, sabotaggio o acquisizione strategica di dati sensibili.

Il diritto internazionale e le sfide della cyber war

Una delle grandi questioni aperte è quella giuridica: come si regolano i conflitti cibernetici? Serve un diritto “su misura” per il cyberspazio?

La posizione prevalente, sostenuta anche dagli Stati Uniti, è che le regole del diritto internazionale – sia in tempo di pace che di guerra – si applicano anche nel cyberspazio. Tuttavia, permangono criticità evidenti:

• l’attribuzione dell’attacco: nel cyber spazio è difficile identificare con certezza l’aggressore;
• il concetto di arma cibernetica: quando un attacco informatico può essere considerato “militare”? Quando si può reagire anche con la forza?
• la proporzionalità della risposta: il diritto internazionale richiede che la risposta a un attacco armato sia proporzionata. Ma come si misura un attacco digitale?

Secondo molti esperti, un attacco cyber diventa “armato” se produce danni fisici, morti o distruzione di infrastrutture critiche. In questo contesto, si parla di cyber arma quando l’attacco:

1. avviene nel contesto di un conflitto tra attori statali o equiparabili;
2. ha lo scopo di danneggiare fisicamente o informaticamente infrastrutture sensibili;
3. è portato avanti tramite strumenti tecnologici avanzati.

Le operazioni cibernetiche: CNA, CNE e CND

Per il Dipartimento della Difesa degli Stati Uniti, le operazioni cibernetiche si dividono in:

• CNA (Computer Network Attack): attacchi finalizzati a disturbare, degradare o distruggere sistemi informativi (sono le vere operazioni da “cyber war”);
• CNE (Computer Network Exploitation): raccolta segreta di informazioni – si tratta di operazioni di intelligence;
• CND (Computer Network Defence): azioni difensive per proteggere reti e sistemi.

Solo le CNA che rappresentano una minaccia o un uso della forza rientrerebbero nella cyber war vera e propria. Le altre si collocano più propriamente nell’ambito dello spionaggio o della guerra dell’informazione.

Cyber attacco e articolo 5: quando può scattare la difesa collettiva della NATO?

L’articolo 5 del Trattato del Nord Atlantico, sottoscritto nel 1949, prevede che:

“Un attacco armato contro uno o più membri dell’Alleanza sarà considerato un attacco contro tutti, e ciascuno di essi prenderà le misure necessarie per aiutare lo Stato attaccato, anche con l’uso della forza armata.”

In origine, questa norma era pensata per attacchi militari convenzionali (terrestri, navali o aerei). Tuttavia, dal 2014 in poi – in particolare dopo gli attacchi hacker a infrastrutture occidentali e l’annessione della Crimea – la NATO ha esteso ufficialmente il concetto di “attacco armato” anche al cyberspazio.

Quando un cyber attacco può attivare l’art. 5?

Un cyber attacco può teoricamente innescare l’articolo 5 se raggiunge una soglia paragonabile a un attacco armato convenzionale in termini di:

• gravità (es. paralisi di un intero sistema elettrico nazionale, sabotaggio delle infrastrutture ospedaliere, disattivazione della difesa aerea);
• effetti (vittime umane, danni materiali su larga scala);
• chiarezza dell’attribuzione (identificabilità certa dell’attore responsabile, e che questo sia uno Stato o direttamente collegato a esso).

Nel 2007, l’Estonia – membro NATO – subì un attacco cyber massiccio attribuito a gruppi russi: non fu attivato l’art. 5, ma da quel momento la NATO ha istituito il Centro di Eccellenza per la Difesa Cibernetica a Tallinn.

• Nel 2021, la NATO ha dichiarato ufficialmente che “un attacco cyber significativo potrebbe portare all’attivazione dell’articolo 5″, senza però specificare soglie quantitative.
• La crisi Russia-Ucraina ha ulteriormente alzato il livello di attenzione: se la Russia dovesse lanciare un attacco informatico devastante contro un’infrastruttura critica NATO, l’Alleanza potrebbe considerarlo un attacco armato vero e proprio.

In conclusione, l’articolo 5 può essere applicato alla cyber war, ma solo in presenza di evidenze forti, impatti gravi e responsabilità statale accertata. L’Alleanza atlantica è ancora prudente: il cyberspazio è un campo di battaglia fluido, dove la risposta sbagliata rischia di far degenerare il conflitto invece che contenerlo.

Pertanto, l’articolo 5 oggi è uno strumento più politico che operativo nella cyber war: serve a dissuadere potenziali attaccanti, ma la sua attuazione concreta resta eccezionale e carica di implicazioni giuridiche e diplomatiche complesse.

Dai documenti normativi europei alla difesa nazionale

L’urgenza di proteggersi da queste minacce è testimoniata da una serie di atti normativi e strategici sia internazionali che nazionali. In ambito europeo, spiccano la Direttiva NIS del 2016, il Documento G7 di Taormina e i Manuali di Tallinn, veri e propri riferimenti giuridici sul tema.

In Italia, lo sforzo normativo si è concretizzato in provvedimenti come:

• il Libro Bianco per la Sicurezza Internazionale e la Difesa;
• il Piano nazionale per la protezione cibernetica;
• il DPCM del 17 febbraio 2017“Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionali” ;
• la legge n. 133/2019, istitutiva del perimetro di sicurezza nazionale cibernetica;
• la legge 109/2021, recante “ Disposizioni urgenti in materia di cybersicurezza, definizione dell’architettura nazionale di cybersicurezza e istituzione dell’Agenzia per la cybersicurezza nazionale “ , che ha istituito l’Agenzia per la cybersicurezza nazionale (ACN);
• la legge n. 90/2024,” Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”, che impone nuovi obblighi di notifica, reazione e coordinamento in caso di incidenti informatici.

I Manuali di Tallinn: la cornice giuridica internazionale del conflitto cibernetico

I due Manuali di Tallinn (2013 e 2017), redatti da un gruppo internazionale di esperti sotto l’egida del Centro di Eccellenza NATO per la Cyber Difesa (CCDCOE), rappresentano il tentativo più avanzato di dare un’interpretazione giuridica al ruolo del diritto internazionale nel cyberspazio, in assenza di trattati specifici vincolanti.

Il primo Manuale si concentra esclusivamente sulle situazioni di conflitto armato: si applica, cioè, quando la cyber war raggiunge o affianca una guerra convenzionale. Analizza come si applichino al cyberspazio le regole del diritto internazionale umanitario (o diritto bellico), come la Convenzione di Ginevra, e quelle del diritto internazionale generale, compresi i principi di:

• sovranità: ogni Stato ha il diritto esclusivo di controllare il proprio cyberspazio e le proprie infrastrutture digitali;
• non ingerenza: le operazioni informatiche non devono compromettere la sovranità o l’indipendenza politica di un altro Stato;
• proibizione dell’uso della forza, salvo legittima difesa;
• responsabilità dello Stato: uno Stato è responsabile per gli atti compiuti nel suo cyberspazio o da soggetti sotto il suo controllo.

Viene anche definito cosa possa considerarsi “uso della forza” in ambito informatico, distinguendo tra azioni di disturbo (es. DDoS) e attacchi distruttivi a infrastrutture critiche, che possono potenzialmente giustificare una risposta militare.

Il secondo Manuale, amplia enormemente la portata del primo. Si concentra infatti sulle cyber operations che si verificano al di sotto della soglia del conflitto armato, cioè in tempo di pace, e spesso in assenza di dichiarazioni ufficiali di guerra.

Tallinn 2.0 affronta nuove questioni cruciali:

• la responsabilità degli Stati per attività di spionaggio, sabotaggio e disinformazione condotte da gruppi “non statali” ma tollerati o sostenuti;
• la definizione e protezione delle infrastrutture critiche;
• l’interazione tra cyber law e altri rami del diritto internazionale, come:
  
  • il diritto del mare (per es. cavi sottomarini);
  • il diritto dello spazio (per le comunicazioni satellitari);
  • il diritto diplomatico e consolare (in relazione alla violazione di sedi e dati di rappresentanze estere);

  
  

• l’applicazione dei diritti umani al cyberspazio: libertà di espressione, tutela della privacy, accesso all’informazione;
• il trattamento giuridico delle operazioni di spionaggio informatico, finora escluse da norme esplicite, ma che mettono a rischio la sicurezza nazionale e la fiducia tra Stati;
• le modalità di risoluzione pacifica delle controversie digitali e le responsabilità degli Stati nei confronti di attacchi cyber lanciati da attori interni o ospitati sul proprio territorio.

Se il primo Manuale rappresenta una sorta di “Manuale d’emergenza” per la guerra cibernetica, il secondo è una vera e propria enciclopedia del diritto internazionale applicato al cyberspazio, utile anche per prevenire escalation e promuovere un uso responsabile delle tecnologie digitali.

Le tre leggi cardine della cybersicurezza italiana: 133/2019, 109/2021 e 90/2024

Nel panorama normativo italiano, tre provvedimenti rappresentano le fondamenta della strategia nazionale di difesa cibernetica. Si tratta della legge 133/2019, del Decreto-legge 82/2021 (convertito nella legge 109/2021) e della legge 90/2024. Ciascuno di questi interventi normativi ha rafforzato progressivamente l’architettura istituzionale e operativa della cybersicurezza nel nostro Paese, con obiettivi crescenti di prevenzione, coordinamento e risposta efficace agli attacchi digitali.

La legge 133 nasce per difendere le infrastrutture digitali critiche italiane, pubbliche e private, da potenziali attacchi informatici. Convertendo il Decreto-legge n. 105/2019, istituisce il Perimetro di sicurezza nazionale cibernetica, che ha due obiettivi fondamentali:

1. individuare i soggetti strategici nazionali (ministeri, aziende, enti pubblici, operatori di servizi essenziali) che gestiscono sistemi e reti fondamentali per la sicurezza dello Stato;
2. imporre a questi soggetti l’adozione di specifiche misure di sicurezza, standard tecnologici, obblighi di notifica in caso di incidenti e di sottoporre a verifica preventiva i fornitori di tecnologie critiche.

La legge attribuisce alla Presidenza del Consiglio, tramite il DIS (Dipartimento delle informazioni per la sicurezza), un ruolo di coordinamento, con la collaborazione di altri organi, come il Ministero della Difesa e dell’Interno. Inoltre, prevede sanzioni per chi non si adegua agli obblighi di sicurezza, e introduce una valutazione preventiva per le forniture ICT in settori sensibili.

Con il Decreto-legge 82, convertito nella legge 109/2021, l’Italia compie un salto di qualità istituzionale istituendo l’ACN – Agenzia per la Cybersicurezza Nazionale. L’Agenzia ha il compito di:

• gestire, monitorare e potenziare la resilienza cibernetica del Paese;
• coordinare le attività di difesa informatica delle pubbliche amministrazioni;
• promuovere l’autonomia strategica italiana ed europea nel settore del digitale;
• collaborare con università, centri di ricerca e imprese per sviluppare tecnologie sicure;
• curare la formazione di una forza lavoro specializzata e promuovere campagne di educazione alla cybersicurezza tra cittadini e aziende.

L’ACN si occupa anche dell’attuazione operativa delle misure previste dalla legge 133/2019 e rappresenta l’interlocutore unico a livello europeo e internazionale per la cooperazione nel settore cyber.

Il modello italiano viene trasformato da reattivo a proattivo e integrato, riconoscendo il cyberspazio come elemento strutturale della sicurezza nazionale.

La legge 90 del 2024 ha aggiornato e rafforzato il sistema normativo già esistente, introducendo obblighi puntuali e tempestivi di segnalazione per gli incidenti informatici. In particolare, prevede:

• l’obbligo per determinati soggetti (amministrazioni pubbliche e operatori rilevanti) di inviare una prima segnalazione all’ACN entro 24 ore dal momento in cui vengono a conoscenza di un incidente cyber;
• la trasmissione di una notifica completa entro 72 ore, tramite le piattaforme messe a disposizione dall’Agenzia;
• l’obbligo per i soggetti segnalati di risolvere vulnerabilità indicate dall’ACN entro 15 giorni;
• l’individuazione all’interno delle PA di una struttura e un referente per la cybersicurezza, che fungano da punto di contatto unico con l’Agenzia.

Inoltre, la legge favorisce l’armonizzazione tra cybersicurezza e transizione digitale: il responsabile per la transizione al digitale (RTD) può coincidere con il referente per la sicurezza cibernetica.

Si tratta di un grande passo avanti verso un modello reattivo ma anche collaborativo, che premia la rapidità nella gestione delle crisi e impone tempistiche chiare per intervenire, riducendo i margini di incertezza o inazione.

Cyberwar e propaganda: il futuro dei conflitti è ibrido, ma l’Italia è ancora culturalmente disarmata

Oggi tutte le guerre sono ibride: non si combattono più solo con armi convenzionali, ma si estendono al cyberspazio, dove la linea tra attacco e difesa è sottile, invisibile e in continua evoluzione. In questa nuova dimensione, accanto ai malware e alle operazioni di sabotaggio, gioca un ruolo decisivo anche la disinformazione, alimentata da sofisticate tecniche di propaganda digitale, spesso potenziate dall’intelligenza artificiale. Le fake news diventano munizioni, i social network campi di battaglia, le menti dei cittadini obiettivi da manipolare.

Sul fronte normativo, qualcosa si muove: i legislatori internazionali – seppur con lentezza – stanno prendendo atto della portata della minaccia, adottando leggi sempre più orientate a proteggere i sistemi digitali critici, quelli cioè che custodiscono le informazioni vitali per la sicurezza nazionale. Anche in Italia, come dimostrano le leggi 133/2019, 109/2021 e 90/2024, la consapevolezza istituzionale è ormai chiara.

Tuttavia, resta un pesante ritardo culturale. L’educazione informatica, soprattutto nel campo della cybersicurezza, è ancora marginale. Le Università che formano specialisti in sicurezza digitale sono poche, spesso sottodimensionate rispetto alla domanda reale del mercato e alle esigenze dello Stato. In molte realtà strategiche mancano le competenze tecniche adeguate per gestire le minacce cyber, e spesso chi guida i processi decisionali non ha piena padronanza dei rischi digitali.

Inoltre, manca una definizione normativa chiara di cybersecurity: non è ancora stabilito fino a che punto possa spingersi un esperto della sicurezza informatica senza incorrere in violazioni di legge. Quando la difesa diventa intrusione? Quando la protezione diventa sorveglianza abusiva? Questi vuoti normativi creano incertezza e, in casi estremi, possono addirittura ostacolare la sicurezza stessa che si intende garantire.

In un contesto globale in cui la guerra si combatte con droni, codici e notizie manipolate, non possiamo più permetterci di rimanere indietro. Costruire una solida cultura della cybersicurezza è oggi una priorità nazionale, tanto quanto dotarsi di armamenti tradizionali. Perché nella guerra del futuro – che in parte è già il presente – la prima linea è fatta di competenza, consapevolezza e prontezza digitale.

L'articolo Cyber War: la guerra invisibile nel cyberspazio che decide i conflitti del presente proviene da il blog della sicurezza informatica.