I software dual use: la sfida della nuova era, tra cybercrime, diritti fondamentali e di libera iniziativa economica (Parte II)

Le modifiche apportate all’Accordo di Wassenaar, e di riflesso al Regolamento UE (quest’ultimo logicamente vincolante per i soli stati europei), potrebbero non essere scevre da conseguenze  negative sul piano pratico, data la mancata e contestuale armonizzazione, rispetto alle linee guida del patto internazionale, delle discipline legislative extracomunitarie coinvolte nell’Intesa, ovviamente con importanti ripercussioni in ambito economico e concorrenziale. Finora, tuttavia, almeno da quanto emerso da un’indagine incrociata condotta dai principali media europei – purtroppo limitata ad un gruppo ristretto di stati comunitari (tra cui, si badi, non figura l’Italia) - è risultato che tra il 2014 ed il 2016 le autorità competenti hanno complessivamente autorizzato più di 300 esportazioni di “cyber-surveillance technology”, contro un totale di soli 14 dinieghi. Dalle risposte raccolte è inoltre emerso un dettaglio non trascurabile, ovvero che ben il 30% delle licenze rilasciate è servito per l’esportazione dei suddetti beni in paesi considerati dall’organizzazione internazionale Freedom House (con sede a Washington)“not free”, quindi, fondamentalmente, in contesti governativi dediti ad una politica di soppressione della libera manifestazione del pensiero (ad es. Emirati Arabi Uniti), mentre il 52% in nazioni comunque ritenute “partially free” (ad es. Turchia). A conti fatti, le esportazioni “più sicure” hanno rappresentato soltanto una minoranza all’interno del quadro generale (tra l’altro incompleto), tanto da far dubitare che le buone intenzioni sottese alle modifiche di Wassenaar e del Reg. europeo siano state realmente lo specchio fedele della gerarchia di valori radicata nella comunità internazionale. È bene a questo punto chiarire brevemente quali siano stati i fattori che hanno concretamente incentivato il descritto scenario. Ebbene, allo stato di fatto, gli stati membri della UE, in forza delle disposizioni oggi vigenti in materia (nonostante l’emendamento del testo), non sono assolutamente vincolati ad alcun obbligo giuridico che imponga loro il divieto di esportazione verso paesi in cui sia pur sempre ipotizzabile un “chiaro rischio” di repressione interna, dal momento che: “they should [only] take all relevant considerations into account – including the risk that the technology could be used in violation of human rights”, restando in ogni caso liberi di privilegiare altri interessi, quali, chiaramente, l’incremento della crescita economica interna ed il mantenimento di una partnership redditizia con il paese destinatario. La regolamentazione di riferimento non si è, in effetti, ancora ufficialmente sbilanciata a favore di obiettivi estranei al proposito originario di un prioritario e necessario contenimento di “security risks” dovuti alla storicamente temuta proliferazione di armi di distruzione di massa. Di qui, i numericamente crescenti casi di spionaggio politico ed antidemocratico realizzati per mezzo di strumenti forniti da aziende europee ed extra europee leader nel settore della produzione e del commercio “consapevole” di “cyber-armamentari” (valga per tutti l’esempio della celebre vicenda del 2015 tutta italiana di “Hacking team”, società milanese divenuta nel corso degli anni monopolista nell’IT security market per le forze dell’ordine del nostro Paese, ma fornitrice di servizi di intrusione offensiva e di sorveglianza anche per molti Governi stranieri ed agenzie di intelligence; come noto, H.T. oltre ad essere finita nel mirino di un gruppo di hacker, è stata ritenuta responsabile della vendita di software “a doppio taglio” a ben 21 paesi non democratici, tra cui Egitto e Marocco, successivamente riconosciuti colpevoli di illegittimi monitoraggi cibernetici a scopo repressivo).

L’argomento non ha quindi tardato a tornare di grande attualità, al punto che l’Unione europea ha in questi ultimi due anni lavorato alla pianificazione di un aggiornamento del Reg. 428/2009 e successive modifiche. Nella sfida tutta giocata sulla protezione dei cittadini (rectius, di ben determinati human rights) e la contemporanea tutela del commercio internazionale in ambito tecnologico e, sull’onda di una precedente proposta della Commissione Europea, il 23 novembre 2017 l’International Trademark Association (Inta) – Commissione interna al Parlamento europeo - si è, da ultimo, espressa a favore di un irrigidimento dei controlli, promuovendo l’inserimento nel testo legislativo di un’apposita clausola restrittiva concernente software “which can be used in connection with the violation of human rights, including privacy, free speech, freedom of assembly and association, or otherviolations of human rights, threats to international security, or the EU’s and MSs’ security”.  La maggioranza ha, di fatto, approvato un documento, attualmente al vaglio del Parlamento, che, da un lato, tiene ferma la necessità di contrastare l’abuso della tecnologia europea da parte di governi stranieri, ma che, dall’altra, promette di non perdere di vista l’esigenza di garantire la competitività degli esportatori: concorrenza tutelabile – si legge - attraverso la previsione di regole di trasparenza e di condivisione delle informazioni relative a transazioni di business, oltre che tramite un opportuno ed efficiente snellimento delle procedure burocratiche per il rilascio dell’autorizzazione alla vendita di prodotti duali. Il tutto senza ovviamente trascurare il dovere di costante collaborazione tra le imprese esportatrici ed il singolo stato d’appartenenza, onde prevenire i non pochi rischi connessi a lacune informative dal lato imprenditoriale circa l’identità dell’utilizzatore finale o la concreta destinazione d’uso del bene. Non possono essere sottovalutati, infatti, i profili negativi in materia, riguardanti, sia il preoccupante impatto sulla sicurezza e sui diritti umani in ambito regionale ed internazionale, provocato dall’utilizzo illecito da parte del paese importatore di prodotti dual use non preventivamente autorizzati, sia le conseguenze sanzionatorie a cui, non di rado, è possibile esporsi nel contesto di provenienza, per esportazioni effettuate in assenza di autorizzazione o con licenza rilasciata sulla base di dichiarazioni mendaci: in Italia da 2 a 6 anni di reclusione, o una multa da 25.000 a 250.000 euro (art. 16 del D. Lgs. 96 del 2003).

In linea di principio, d’altronde, conoscere le sanzioni, gestire i meccanismi giuridici della “compliance”, analizzare e prevenire il rischio, sono indubbiamente le nuove frontiere della competitività all’interno dell’intricata rete del mercato contemporaneo. Ciò premesso, è innegabile che a monte della questione “prettamente tecnologico-informatica” permanga una grossa difficoltà: il nodo da sciogliere è comprendere se maggiori restrizioni giuridiche nel campo dell’Information Technology alla lunga possano penalizzare eccessivamente le imprese attive nel settore, e di riflesso l’economia e la stabilità della società e del mercato, tenendo presente, non soltanto i possibili svantaggi in termini concorrenziali (a causa di un rafforzamento dei controlli potenzialmente foriero di rallentamenti od addirittura abbandono di questo delicatissimo settore del commercio), ma anche la realistica incentivazione di un mercato illegale: il cyber crime è globale e non incontra barriere; a che pro dunque frenare la produzione ed il commercio di software dual use, tra cui rischiano di essere ricompresi anche i tool di cyber security? Gli Zero-day attacks, a cui purtroppo abbiamo assistito negli ultimi anni, non hanno precedenti, così da rendere assolutamente imprescindibile un contrasto deciso ed immediato. Da più parti si invoca, dunque, la necessità di rimanere competitivi, prima di tutto, rispetto al crimine, restando al passo coi tempi e non indietreggiando di fronte alle derive della rivoluzione digitale a detrimento del business e - cosa più importante - della stessa sicurezza globale. Non è, però, facile scegliere la corretta tecnica di tipizzazione da impiegare nella differenziazione dei programmi informatici. In linea di massima, in commercio sono presenti due diverse categorie di software, che a seconda delle caratteristiche si distinguono in:

1) software multifunzionali;

2) software multiscopo.

I primi si contraddistinguono per il fatto di svolgere diverse funzioni di cui una esclusivamente pregiudizievole ed illegittima; il che significa che nel programma è contenuto un codice in grado di cagionare un danno (a dati o a sistemi) o di eseguire una funzione illecita (accedere ad un computer od eludere una password). Qui si porrebbe innanzitutto il problema di stabilire se la funzione illecita prevalga su quelle lecite. I secondi si caratterizzano, di contro, per il fatto che la funzionalità illegale può essere utilizzata non solo per finalità illecite, ma anche per scopi leciti. Essendo, invece, molto rari i software utilizzabili unicamente per finalità illecite, se il legislatore optasse per un intervento troppo restrittivo, selezionando i beni esclusivamente destinati a commettere un reato, rischierebbe di creare disposizioni puramente simboliche. Dall’altro lato, allargare le maglie della definizione, avrebbe inevitabilmente l’effetto di abbracciare anche prodotti indispensabili al mantenimento della sicurezza (programmi per simulare attacchi informatici, per controllare da remoto una rete informatica per fini leciti di analisi e di controllo, per testare programmi antivirus o firewall etc…).

A quest’ultimo proposito, è utile soffermarsi per un istante su uno degli esempi più eclatanti di software dual use, il c.d. “captatore informatico”: non si può non notare come esso rappresenti, sì, il futuro delle investigazioni in ambito legale, ma resti, a tutti gli effetti, una delle più potenti e pericolose cyber-weapon esistenti sul mercato e come tale, a rigor di logica,dovrebbe essere trattato e disciplinato. Per concludere: il fatto che l’evoluzione tecnologica abbia innegabilmente apportato benefici in termini di velocizzazione e miglioramento della comunicazione non solo tra privati, ma anche ad un livello verticale tra questi ultimi e le p.a. (in Italia, in particolare, in forza di quanto disposto dal Codice dell’amministrazione digitale del 2005), non può spingerci a sottovalutare le vulnerabilità insite nelle dinamiche della nuova realtà, specialmente considerando come la grande diffusione di strumenti portatili di ultima generazione abbia permesso ad un numero crescente di utenti, spesso sprovvisti dell’adeguata sensibilità per le tematiche della sicurezza generale, di affacciarsi al mondo della rete, spalancando così le porte ad un’aggressione cibernetica in costante aumento. Lo scenario che si profila all’orizzonte non è tra i più confortanti ed ha la forma di un’incombente minaccia, capace di suscitare una sensazione di insicurezza generalizzata, inficiante la preservazione della pace geopolitica globale. Ferma restando, dunque, la consapevolezza che si tratti di una delicata questione “polemogena”, in cui si scontrano interessi di sicurezza nazionale, regionale ed internazionale, di tutela della privacy, di salvaguardia dei diritti fondamentali dell’uomo e di inarrestabile progresso tecnologico volto ad abbattere limiti spaziali e temporali, non può essere trascurato un dato cruciale: dobbiamo fare i conti con un’esplosione terroristica che cavalca abilmente l’onda delle nuove tecnologie informatiche. Di qui il dovere di porre un freno ad un mercato anche del crimine, lanciando un importante segnale. Parafrasando le recenti parole di Cecilia Malmström (European Commisioner for Trade), se l’Europa è libertà di parola e lotta contro ogni regime che violi tale diritto, allora non può sottrarsi dal raccogliere sapientemente le nuove sfide lanciate dall’evoluzione della scienza e della tecnologia, perché: “the EU is a beacon for open trade, but it also is a beacon for security, stability and rights”.

_________________________

−> A questo articolo è collegato anche:

I software dual use: la sfida della nuova era, tra cybercrime, diritti fondamentali e di libera iniziativa economica (Parte I) - A cura di Sara Cortelazzo (partecipante all'Executive Master in Giurista d'Impresa - MI)

Riferimenti Bibliografici

- CRIMINALITÀ INFORMATICA E TECNICHE DI ANTICIPAZIONE DELLA TUELAPENALE, L'INCRIMINAZIONE DEI “DUAL-USE SOFTWARE”, Rivista Italiana di Diritto e Procedura Penale, fasc.2, 1 GIUGNO 2017, pag. 747, Ivan Salvadori.

- EUROPEAN COMMISSION, Bruselles, 21.11.2017 COM. (2017) 679 FINAL REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the implementation of Regulation (EC) No 428/2009 setting up a Community regime for the control of exports, transfer, brokering and transit of dual-use items.

- THE PROLIFERATION OF CYBER-SURVEILLANCE TECHNOLOGIES: CHALLENGES AND PROSPECTS FOR STRENGHENED EXPORT CONTROLS, Strategic Trade Review, Volume 3, Issue 4, Spring 2017 p. 81,Fabian Bohnenberger.

- Cyber Operations and the Use of Force in International Law, OUP Oxford, 13 mar 2014, Marco Roscini.

- Cyber Counterterrorism, Cyber International Conflict, Virtual Cyber War Crimes, Journal of Legal Technology Risk Management, 2015.

- Information Warfare 2012. Armi cibernetiche e processo decisionale, 2 settembre 2013, ed. Franco Angeli, Gori e Lisi.

- Cybersecurity: Unione europea e Italia: Prospettive a confronto, Edizioni Nuova Cultura, 21 ago 2014, Claudia Cencetti.

-  Regolamento delegato (UE) n. 1382/2014 della Commissione, del 22 ottobre 2014 , che modifica il regolamento (CE) n. 428/2009 del Consiglio che istituisce un regime comunitario di controllo delle esportazioni, del trasferimento, dell’intermediazione e del transito di prodotti a duplice uso http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv%3AOJ.L_.2014.371.01.0001.01.ITA.

- Export Control Forum Ilias Chantzos December 19, 2017 Senior Director Government Affairs EMEA & APJ.http://trade.ec.europa.eu/doclib/docs/2017/december/tradoc_156493.pdf, 2017. 

- Quando la tecnologia europea finisce in mano ai dittatori, dal Teflon (nucleare) al Voltaren (missili), è lunga la lista dei beni "dual use", usati anche per fini bellici o in settori soggetti a sanzioni. E sottoposti quindi a stringenti controlli nell'export. Ora la Ue prova a evitare che i suoi prodotti aiutino le cyber war contro i dissidenti politici, Maria Elena Viggiano, Domenica, 17 Dicembre 2017, http://eastwest.eu/it/opinioni/open-doors/esportazione-beni-dual-use-utilizzo-militare.

- CHANGES TO EXPORT CONTROL ARRANGEMENT APPLY TO COMPUTER EXPLOITS AND MORE, Stanford Lw School, January 15, 2014, Jennifer Granick, http://cyberlaw.stanford.edu/publications/changes-export-control-arrangement-apply-computer-exploits-and-more.

-  HOW EUROPEAN SPY TECHNOLOGY FALLS INTO THE WRONG HANDS, February 23, 2017, Sebastian GJERDING, Lasse SKOU ANDERSEN https://thecorrespondent.com/6257/how-european-spy-technology-falls-into-the-wrong-hands/2168866237604-51234153.

- Center for Cyber Security and International Relations Studies, Il caso ‘Hacking Team’: quis custodiet ipso scustodes? Problematiche e sfide per una più efficiente partnership tra settore privato e agenzie d’intelligence nella cybersecurity, Filippo Pierozzi, https://www.dsps.unifi.it/upload/sub/filippo-pierozzi-hacking-team-paper.pdf.

- THE WASSENAAR ARRANGEMENT On Export Controls for Conventional Arms and Dual-Use Goods and Technologies http://www.wassenaar.org/.

-  European Commission – Speech – Export Controls: Trading in dual use while securing our safety Brussels, 19 December 2017 Speech by European Commissioner for Trade, Cecilia Malmström http://trade.ec.europa.eu/doclib/docs/2017/december/tradoc_156472.pdf.