I software dual use: la sfida della nuova era, tra cybercrime, diritti fondamentali e di libera iniziativa economica (Parte I)

L’inarrestabile sviluppo tecnologico-cibernetico degli ultimi anni e, parallelamente, l’ampia diffusione e l’utilizzo sistematico e trasversale di prodotti informatici in ambito privato, professionale ed istituzionale – logica conseguenza dell’era globale – hanno condotto inevitabilmente ad una progressiva estensione del campo dell’illecito in un settore dapprima sconosciuto. In breve tempo, si è infatti assistito al moltiplicarsi di casi di aggressione contro beni giuridici non tradizionali, quali la riservatezza, la disponibilità e l’integrità di dati informatici. Se è pacifico che il principio tipico della protezione dei dati personali consista nella stretta necessità dell’uso delle informazioni richieste e trattate, è ormai altrettanto evidente la difficoltà di arginare l’escalation di operazioni illecite in grado di compromettere la sicurezza delle reti di telecomunicazione e l’impenetrabilità dei sistemi. Fatti che, come noto, frequentemente scaturiscono dalla volontà di pregiudicare meri – per così dire – interessi e diritti circoscritti alla realtà quotidiana del quisque de populo, come testimoniato, ad esempio,dalle sempre più complesse ed insidiose truffe on-line, o dal trend in aumento delle clonazioni di carte di credito, od ancora dai dibattuti casi di violazione del copyright, senza parlare della diffusa compromissione di dati e di sistemi informatici privati,od infine dei numerosi atti di concorrenza sleale realizzati nella forma della sottrazione via web di segreti d’azienda. Ferma restando la gravità di tale genere di atti, è d’uopo tuttavia sottolineare come ben altri interessi e preoccupazioni entrino in gioco, quando ad essere coinvolti - oltretutto in misura crescente ed allarmante - siano i fondamentali e superiori diritti di libertà e di democrazia, tradizionali ed imprescindibili pilastri di civiltà. Ipotesi, queste, pericolosamente concretizzabili, ogni qualvolta l’illecito informatico si traduca in strategie dirette contro la sicurezza nazionale ed internazionale: dall’illegittima intercettazione di flussi di dati riservati (molto spesso attuata da regimi dittatoriali per scopi oppressivi contro dissidenti ed oppositori), fino ai recentissimi episodi di cyber spionaggio ai danni di istituzioni politiche, finanziarie e militari, nell’ottica di una vera e propria “cyber war”. Non è, d’altro canto, un mistero il fatto che il cyberspace rappresenti, oggigiorno, il più attuale e critico punto di arrivo dell’evoluzione dei terreni d’azione dell’uomo, prestandosi tanto al crimine, quanto al terrorismo ed alla guerra.

La c.d. “new cyber reality”, si è, infatti, nel tempo, indubbiamente rivelata un terreno fertile, non soltanto ai fini della commissione di tradizionali fattispecie di reato, che, pur calate nel peculiare contesto cibernetico, non ruotano affatto intorno alla disponibilità ed all’uso di conoscenze tecniche informatiche specifiche (si pensi, ad esempio, ai reati di truffa, di minaccia, di diffamazione, odi adescamento di minore per scopi sessuali,illeciti oggi configurabili anche– se non prevalentemente - nella dimensione parallela della rete,attraverso il mero utilizzo di uno spazio web, non di rado rappresentato dalle più importanti e popolari piattaforme sociali), ma ha altresì aperto le porte alla realizzazione di sofisticate intrusioni nella sfera dei diritti altrui, mediante prestazioni di elevato livello tecnico, consistenti nell’illegittima manipolazione, distruzione o sottrazione di informazioni presenti in un dato sistema o in una rete informatica, e ciò, grazie all’ausilio di particolari software (malware e spyware), aventi lo scopo di vulnerare i livelli di sicurezza attivati a protezione di dispositivi tecnologici, di server e di dati salvati o scambiati on-line.

È utile ricordare che, per molti anni, simili prodotti, a dispetto di un’obiettiva intrinseca pericolosità, non hanno trovato pressoché ostacolo alla loro circolazione nel mercato legale “globale”, poiché normalmente caratterizzati da una doppia valenza, ovvero da una natura c.d. “duale” (i.e. foriera di effetti potenzialmente legittimi, oltre che illegittimi), per giunta “non ordinaria”, data l’apparente diversità di tali innovativi strumenti rispetto ad altri tipi di beni, ipoteticamente sfruttabili - anche - in contesti militari “fisici e tradizionali” e pertanto soggetti, fin da subito, all’applicazione delle regole di controllo storicamente introdotte a livello comunitario, internazionale e nazionale nell’ambito delle esportazioni. Eppure, gli attacchi cibernetici su ampia scala, colpendo tra l’altro su più fronti, hanno dimostrato di poter provocare - al pari di altre strategie belliche “convenzionali” - gravi danni, in termini di costi materiali ed immateriali (questi ultimi,ovviamente legati, non soltanto alla messa in discussione dell’infrangibilità della tutela della privacy, ma altresì rappresentati dal danno d’immagine e reputazionale dell’organizzazione governativa, militare o finanziaria di volta in volta sotto attacco). Di fatto, le minacce cibernetiche hanno di mira una pluralità di obiettivi distinguibili in due grandi categorie:

• le c.d.“cyber-weapons”, software progettati per sabotare, e dunque distruggere, interrompere od alterare un sistema informatico o telematico, le sue informazioni, i dati od i programmi in esso contenuti o ad esso pertinenti; perciò armi tipicamente dirette contro infrastrutture critiche (ad esempio, gli impianti nucleari, o di distribuzione dell’energia elettrica, o di gas, la rete ferroviaria, la navigazione satellitare, gli ospedali etc…);
• i tool di cyber-spy, il cui scopo si traduce, invece, nell’illecita sottrazione di informazioni sensibili dalle banche dati dei colossi finanziari e delle principali istituzioni politiche e militari.

I malware e gli spyware devono, pertanto, essere considerati “armi” a tutti gli effetti, benché non convenzionali; a maggior ragione, trattandosi di risorse molto apprezzate in contesti di conflitto, grazie alla possibilità di sferrare attacchi e perpetrare reati senza rischi di perdite umane (per tacere la difficoltà di risalire ai colpevoli), così da inserirsi oggi a pieno titolo - secondo la dottrina maggioritaria - nella lista dei possibili strumenti d’attacco in ambito militare, come mezzi orbitanti nella c.d. “5° dimensione” del teatro bellico contemporaneo, accanto a terra, mare, aria e spazio. Prevedibile conseguenza, del resto, di una realtà in cui l’informazione, oggi sovrana, travalica ogni distanza, viaggiando attraverso la “noosfera”, influenzando le scelte politico-militari su scala mondiale e ciò – è bene evidenziarlo – non allo scopo di una “tradizionale” ricerca di superiorità, ma di una conversione in debolezza della superiorità dell’avversario.

Nell’epoca presente, a ben riflettere, sono numerosi i beni dual use prodotti nel campo dell’elettronica e dell’informatica teoricamente ad alto rischio di abuso, anche se solitamente impiegati in modo lecito, in particolare, nei settori dell’aerospazio (sorveglianza/ricognizione/osservazione), dell’Homeland Security (protezione civile, gestione calamità naturali, attività di sorveglianza e protezione della popolazione in occasione di grandi manifestazioni pubbliche) e della Sicurezza delle Informazioni (Cyber Security, Identity Access Management, Information Assurance). Si tratta, certamente, di beni indispensabili al perseguimento di importanti finalità lecite, quali, comunemente, esigenze di polizia, di legittima sorveglianza e, quindi, di sicurezza interna; oppure,possono essere considerati “speciali” per ragioni di utilità, nell’ottica dell’elaborazione di una risposta pronta ed efficace contro attacchi e minacce cibernetiche virali ed in continua evoluzione (attività logicamente semplificata da un’estesa collaborazione, normalmente a distanza, tra esperti del settore, resa più agevole da un contesto di libero scambio dei software malevoli oggetto di analisi). Tuttavia, a dispetto dell’innegabile utilità di tale genere di prodotti, non v’è dubbio che sottovalutare i numerosi rischi inscindibilmente legati alla loro duplice spendibilità, possa rivelarsi nel medio-lungo termine un grave errore.

Per questa ragione, la prassi tradizionale è stata, almeno di recente, messa in discussione dalle novità introdotte sul piano legislativo comunitario ed internazionale:il Regolamento UE 1382/2014, modificante il Regolamento n°428 del 2009 (“sul controllo delle esportazioni, del trasferimento, dell'intermediazione e del transito di prodotti a duplice uso”) ha, infatti, introdotto nell’elenco ufficiale dei c.d. “dual use goods” sottoposti ad autorizzazione ai fini dell’esportazione (All. n°1)il concetto di software “d’intrusione”, ovvero di “software appositamente progettato o modificato per evitare l’individuazione da parte degli ‘strumenti di monitoraggio’, o per sconfiggere le ‘contromisure di protezione’, di un computer o di un dispositivo collegabile in rete,  e che esegue una delle seguenti funzioni:

a. l’estrazione di dati o informazioni da un computer o un dispositivo collegabile in rete, o la modifica dei dati;

b. la modifica del percorso standard di esecuzione di un programma o di un processo al fine di consentire l’esecuzione di istruzioni fornite dall’esterno”.

L’emendamento, è d’uopo sottolinearlo, ha voluto essere il punto di arrivo in ambito regionale di un processo di riflessione e di modifica riguardanti l’Accordo di Wassenaar del 1995 (intesa multilaterale a carattere globale e di natura politica, quindi non immediatamente vincolante per gli stati aderenti, e di cui oggi fanno parte 42 nazioni, compresi gli U.S.A. e l’Italia),sul controllo dell'export di armi convenzionali e di beni e di tecnologie sensibili a doppio uso. Nel 2013, il patto, benché originariamente istituito al prioritario fine di impedire lo sviluppo ed il rafforzamento di armate militari lesive per la sicurezza regionale ed internazionale, ha preso finalmente in considerazione anche i software, definiti “intrusivi” (in sintesi, “software specially designed or modified to evade detection or to defeca protection, in order to extract data, modify systems or data, or execute rogue commands”); e ciò, è doveroso specificarlo, con il declamato intento – tuttavia mai espressamente inserito per iscritto nella disposizione - di estendere la rete di protezione iniziale anche agli human rights (in particolare, a tutela del libero dissenso politico in regimi non democratici). Sfortunatamente, il nuovo approccio offerto da Wassenaar, pur interpretato come primo, fondamentale passo nella giusta direzione - di lotta comune contro il dilagare di governi liberticidi - ha clamorosamente mancato il bersaglio. La scelta di una definizione eccessivamente ampia ed imprecisa ha generato, infatti, molteplici dubbi e critiche da parte dell’Industria, della dottrina e dei ricercatori nel campo della tecnologia (e, più in generale, della maggior parte degli esperti in questa materia), contribuendo invero a complicare la questione, piuttosto che ad offrire un rimedio ai molti interrogativi sorti intorno all’opportunità di sottoporre ad idonee restrizioni l’incerta e sfuggente categoria dei software dual use. In effetti, la terminologia adottata nell’Accordo, focalizzandosi su “items designed to avoid security features on a device”, si presta ad una lettura ambigua e comprensiva di un largo numero di “security tool” legittimamente circolanti nel mercato: si pensi, ad esempio, ai processi di aggiornamento automatico – per di più abitualmente installati senza l’intervento diretto, i.e. “volontario”, dell’utente - tramite un tool che tecnicamente “scavalca” le barriere di sicurezza attivate sul dispositivo; senza considerare la possibilità di far rientrare nella formula legislativa, non solo gli stessi programmi antivirus, basati su algoritmi pressoché identici a quelli di malevoli “intrusion software”, ma altresì tutti quei programmi, consistenti in “penetration testing software”, utilizzati allo scopo di simulare attacchi, ai fini dell’elaborazione di strategie atte a contrastarli.

________________________

−> A questo articolo è collegato anche:

I software dual use: la sfida della nuova era, tra cybercrime, diritti fondamentali e di libera iniziativa economica (Parte II) - A cura di Sara Cortelazzo (partecipante all'Executive Master in Giurista d'Impresa - MI)

Riferimenti Bibliografici

- CRIMINALITÀ INFORMATICA E TECNICHE DI ANTICIPAZIONE DELLA TUELAPENALE, L'INCRIMINAZIONE DEI “DUAL-USE SOFTWARE”, Rivista Italiana di Diritto e Procedura Penale, fasc.2, 1 GIUGNO 2017, pag. 747, Ivan Salvadori.

- EUROPEAN COMMISSION, Bruselles, 21.11.2017 COM. (2017) 679 FINAL REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL on the implementation of Regulation (EC) No 428/2009 setting up a Community regime for the control of exports, transfer, brokering and transit of dual-use items.

- THE PROLIFERATION OF CYBER-SURVEILLANCE TECHNOLOGIES: CHALLENGES AND PROSPECTS FOR STRENGHENED EXPORT CONTROLS, Strategic Trade Review, Volume 3, Issue 4, Spring 2017 p. 81,Fabian Bohnenberger.

- Cyber Operations and the Use of Force in International Law, OUP Oxford, 13 mar 2014, Marco Roscini.

- Cyber Counterterrorism, Cyber International Conflict, Virtual Cyber War Crimes, Journal of Legal Technology Risk Management, 2015.

- Information Warfare 2012. Armi cibernetiche e processo decisionale, 2 settembre 2013, ed. Franco Angeli, Gori e Lisi.

- Cybersecurity: Unione europea e Italia: Prospettive a confronto, Edizioni Nuova Cultura, 21 ago 2014, Claudia Cencetti.

-  Regolamento delegato (UE) n. 1382/2014 della Commissione, del 22 ottobre 2014 , che modifica il regolamento (CE) n. 428/2009 del Consiglio che istituisce un regime comunitario di controllo delle esportazioni, del trasferimento, dell’intermediazione e del transito di prodotti a duplice uso http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv%3AOJ.L_.2014.371.01.0001.01.ITA.

- Export Control Forum Ilias Chantzos December 19, 2017 Senior Director Government Affairs EMEA & APJ.http://trade.ec.europa.eu/doclib/docs/2017/december/tradoc_156493.pdf, 2017. 

- Quando la tecnologia europea finisce in mano ai dittatori, dal Teflon (nucleare) al Voltaren (missili), è lunga la lista dei beni "dual use", usati anche per fini bellici o in settori soggetti a sanzioni. E sottoposti quindi a stringenti controlli nell'export. Ora la Ue prova a evitare che i suoi prodotti aiutino le cyber war contro i dissidenti politici, Maria Elena Viggiano, Domenica, 17 Dicembre 2017, http://eastwest.eu/it/opinioni/open-doors/esportazione-beni-dual-use-utilizzo-militare.

- CHANGES TO EXPORT CONTROL ARRANGEMENT APPLY TO COMPUTER EXPLOITS AND MORE, Stanford Lw School, January 15, 2014, Jennifer Granick, http://cyberlaw.stanford.edu/publications/changes-export-control-arrangement-apply-computer-exploits-and-more.

-  HOW EUROPEAN SPY TECHNOLOGY FALLS INTO THE WRONG HANDS, February 23, 2017, Sebastian GJERDING, Lasse SKOU ANDERSEN https://thecorrespondent.com/6257/how-european-spy-technology-falls-into-the-wrong-hands/2168866237604-51234153.

- Center for Cyber Security and International Relations Studies, Il caso ‘Hacking Team’: quis custodiet ipso scustodes? Problematiche e sfide per una più efficiente partnership tra settore privato e agenzie d’intelligence nella cybersecurity, Filippo Pierozzi, https://www.dsps.unifi.it/upload/sub/filippo-pierozzi-hacking-team-paper.pdf.

- THE WASSENAAR ARRANGEMENT On Export Controls for Conventional Arms and Dual-Use Goods and Technologies http://www.wassenaar.org/.

-  European Commission – Speech – Export Controls: Trading in dual use while securing our safety Brussels, 19 December 2017 Speech by European Commissioner for Trade, Cecilia Malmström http://trade.ec.europa.eu/doclib/docs/2017/december/tradoc_156472.pdf.