L’analisi di un professore di Harvard su un tema di grande attualità e su cui abbiamo ancora molto da imparare

Il fatto che un conflitto sfugga o meno al controllo dipende dalla capacità dei protagonisti di comprendere e comunicare l’estensione delle ostilità. Purtroppo, in materia di cyber-conflitto, non c’è ancora alcun accordo sulla portata della guerra, né sui suoi legami con le tradizionali misure militari. Quel che alcuni potrebbero considerare come una battaglia alle regole concordate può apparire in modo diverso agli occhi dell’altro campo.

Una decina di anni fa, gli Stati Uniti hanno fatto ricordo al sabotaggio cibernetico anziché ai missili per distruggere diverse installazioni nucleari iraniane. L’Iran ha quindi reagito con attacchi informatici che hanno distrutto almeno 30 mila computer in Arabia Saudita e creato seri danni a banche statunitensi. Quest’estate, a seguito dell’imposizione di sanzioni da parte dell’amministrazione del presidente americano Donald Trump, l’Iran ha abbattuto un drone di sorveglianza senza pilota appartenente agli Stati Uniti. Non c’è stata alcuna vittima umana. Trump inizialmente progettava di vendicarsi con un attacco missilistico, ma il presidente degli Stati Uniti all’ultimo momento preferì un attacco informatico che distrusse un grande database utilizzato dai militari iraniani per colpire le petroliere. Anche qui, nessuna vittima. L’Iran ha quindi condotto, direttamente o indirettamente, un attacco sofisticato con droni e missili da crociera contro due importanti installazioni petrolifere saudite. Sebbene non vi siano state pochissime vittime umane, questo attacco ha rappresentato un passo importante in termini di costi e rischi.

La questione delle diverse percezioni e del controllo dell’escalation di un conflitto non è nuova. Nell’agosto del 1914, le grandi potenze europee si aspettavano una breve e rapida “terza guerra balcanica”. Pensavano che le loro truppe sarebbero tornate per Natale. Dopo l’assassinio dell’arciduca austriaco a giugno, l’Austria-Ungheria intendeva colpire la Serbia. La Germania preferiva dare carta bianca all’Austria alleata piuttosto che vederla umiliata. Ma quando il kaiser ritornò dalle vacanze alla fine di luglio era già troppo tardi perché i suoi sforzi di de-escalation potessero avere successo. Decise di scommettere sulla vittoria. Ci arrivò vicino.

Se il Kaiser, lo Zar e l’Imperatore avessero saputo nell’agosto del 1914 che quattro anni dopo avrebbero perso il trono e avrebbero visto il loro regno smantellato, non sarebbero mai andati in guerra. Dal 1945, l’arma atomica è servita come una sfera di cristallo in cui i leader mondiali potevano intravedere il cataclisma che avrebbe generato una nuova grande guerra. Dopo la crisi dei missili cubani nel 1962, i leader politici hanno appreso l’importanza della comunicazione sul controllo delle armi e delle regole di condotta nella gestione dei conflitti.

Le cibertecnologie ovviamente non producono gli effetti visibili e devastanti delle armi nucleari, il che ci pone di fronte a problemi di diversa natura. Durante la guerra fredda, le maggiori potenze hanno evitato il confronto diretto, una prospettiva diversa rispetto ai conflitti informatici. La minaccia che alcuni vedono di una possibile Cyber Pearl Harbor è tuttavia esagerata. La maggior parte dei conflitti informatici opera al di sotto della soglia di ciò che viene considerato in base alle regole stabilite come conflitto armato. Queste guerre sono ora economiche, politiche e non fanno più vittime. Non è credibile rappresentare la minaccia di una risposta nucleare al furto cibernetico cinese di proprietà intellettuale o all’interferenza cibernetica russa nelle elezioni.

Secondo la dottrina americana, la deterrenza in quest’area non si limita a una risposta cibernetica (sebbene tale risposta sia possibile). Gli Stati Uniti intendono rispondere agli attacchi informatici in tutte le aree e settori utilizzando le armi di propria scelta in proporzione al danno subito. Questa risposta può variare dalla semplice denuncia e condanna a sanzioni economiche o all’uso di armi cinetiche. Quest’anno, una nuova dottrina di “impegno costante” è stata descritta non solo per contrastare gli attacchi, ma anche per rafforzare la deterrenza. Ma qui, la distorsione tecnica tra un’intrusione in una rete, la raccolta di informazioni o il disinnesco di attacchi, e l’altra la conduzione di operazioni offensive, complica la distinzione tra scalata e declassamento. Anziché ricorrere a negoziati taciti, talvolta favoriti dai sostenitori dell ‘”impegno costante”, potrebbe essere necessaria una comunicazione esplicita per limitare l’escalation.

Dopotutto, non possiamo pretendere di avere abbastanza esperienza per capire con precisione ciò che può essere descritto come una semplice competizione ammessa nel cyberspazio, né essere certi del modo in cui verranno interpretate le azioni intraprese in reti di paesi stranieri. A titolo di esempio, la cyber-ingerenza russa nelle elezioni statunitensi non è stata certamente una competizione ammessa. In un’area nuova come la cibernetica, la comunicazione aperta, piuttosto che semplicemente tacita, potrebbe arricchire la nostra limitata comprensione dei confini che non dovrebbero essere superati.

Sebbene la negoziazione dei trattati sul controllo cibernetico sia un compito difficile, la diplomazia in questo settore può ancora avere un ruolo importante. Nella cibernetica, la differenza tra un’arma e una non arma può risiedere in una singola riga di codice e lo stesso programma può essere utilizzato per scopi sia legittimi sia malefici, a seconda dell’intenzione dell’utente. Ma sebbene si possa temere che il rispetto dei trattati sul controllo degli armamenti sia impossibile da verificare, è possibile invece fissare limiti a determinati tipi di obiettivi civili (piuttosto che a tipi di armi) e quindi negoziare una serie di regole globali per limitare i conflitti.

In ogni caso, la stabilità strategica nel cyberspazio sarà difficile da mantenere. Poiché l’innovazione tecnologica è molto più rapida rispetto al dominio atomico, la guerra cibernetica è caratterizzata dalla paura per la sorpresa, una paura maggiore e reciproca.

Nel tempo, i progressi nell’identificazione degli aggressori possono aiutare a rafforzare il ruolo della sanzione. Forse migliori meccanismi di difesa attraverso la crittografia o l’apprendimento automatico rafforzeranno anche quello della prevenzione e della negazione. Inoltre, man mano che gli Stati e le organizzazioni diventano più consapevoli dei limiti e delle incertezze degli attacchi informatici, nonché della crescente importanza della complessità di Internet per il loro benessere economico, i calcoli costi-benefici sull’uso della guerra informatica potrebbero forse mutare in futuro.

Per ora, la chiave della dissuasione, della gestione dei conflitti e della distensione nel cyberspazio è ammettere che abbiamo ancora molto da imparare in questo settore, oltre a sviluppare la comunicazione tra i diversi nemici.

Joseph S. Nye*, project-syndicate, ottobre 2019

*Joseph S. Nye, già decano della John F. Kennedy School of Government, ha insegnato alla Harvard University e dal 2008 presiede il gruppo americano della Commissione Trilaterale. È noto per aver coniato l’espressione “soft power”. Tra le sue più recenti pubblicazioni: Is the American Century Over? e  Do Morals Matter? Presidents and Foreign Policy from FDR to Trump.