Attribuzione degli attacchi cyber: dal naming and shaming alle conseguenze giuridiche

Il 29 aprile 2025, le autorità francesi hanno pubblicamente attribuito ad APT28, il gruppo hacker collegato all’unità 26165 del GRU russo, una serie di operazioni di spionaggio informatico condotte nel periodo 2021-2024 contro istituzioni governative, diplomatiche, della difesa, aerospaziali e della ricerca francesi.

Il Ministero degli Affari Esteri francese ha precisato che da almeno il 2021 questo gruppo è stato utilizzato per colpire o compromettere una dozzina di entità francesi, tra cui ministeri, amministrazioni locali, aziende della difesa e del settore aerospaziale, think tank e un’organizzazione sportiva coinvolta nei Giochi Olimpici di Parigi 2024.

Il comunicato ha impiegato un linguaggio deliberatamente preciso: “queste attività destabilizzanti non sono accettabili e sono contrarie alle norme ONU sul comportamento responsabile degli Stati nel cyberspazio”. Per la prima volta il governo francese ha accusato direttamente un’entità dell’intelligence militare russa, segnando una discontinuità rispetto alla tradizionale riservatezza diplomatica di Parigi. Contestualmente, il report tecnico dell’ANSSI ha documentato le catene di infezione utilizzate, rendendolo il documento tecnico governativo più dettagliato mai pubblicato da Parigi su un gruppo APT russo.

Non una dichiarazione di guerra. Non un’azione legale dinanzi alla Corte Internazionale di Giustizia. Una condanna politica accompagnata da prove tecniche. Questa scena si ripete con impressionante regolarità nel panorama geopolitico contemporaneo, ed è precisamente la sua ripetitività a porre una domanda scomoda: a cosa serve davvero l’attribuzione pubblica di un attacco informatico a uno Stato nazionale? Serve a scoraggiare? A costruire norme internazionali? O è, semplicemente, uno strumento di politica estera con un sottile rivestimento giuridico?

Attribuzione degli attacchi cyber: problema strutturale e definizioni giuridiche

Prima di discutere le conseguenze giuridiche dell’attribuzione, è necessario chiarire di cosa si parla esattamente quando si usa il termine. L’attribuzione tecnica può riferirsi all’identificazione della macchina da cui proviene un’operazione, dell’operatore di quella macchina, oppure della persona o entità che ha diretto l’operatore ad agire. Tutte e tre queste accezioni sono distinte l’una dall’altra, e distinte dall’attribuzione legale o politica, che cerca di assegnare la responsabilità di un cyberattacco ai suoi autori.

Questa tripartizione non è accademica: è il nodo gordiano di tutto il dibattito. Il rapporto del 2025 del GCSP, elaborato dal Sino-European Expert Working Group on the Application of International Law in Cyberspace, chiarisce che solo l’attribuzione legale, fondata sulle norme consuetudinarie riflesse negli ARSIWA (Draft Articles on Responsibility of States for Internationally Wrongful Acts), può stabilire un atto internazionalmente illecito, e che l’anonimato, gli attori proxy e le tecniche di offuscamento complicano i test tradizionali applicati in contesti non-cyber.

In pratica, ciò che gli Stati fanno pubblicamente, accusare Mosca per NotPetya, Pechino per il furto di proprietà intellettuale, Pyongyang per i furti alle piattaforme di criptovalute, è attribuzione politica, non legale. Gli Stati accusati negano uniformemente le accuse, indicano altri come responsabili o si rifiutano di commentare, mostrando pochi segni di cambiamento nel loro comportamento. Il naming c’è. Lo shaming, assai meno.

Lo standard probatorio del diritto internazionale: un vuoto normativo deliberato

Quando uno Stato vuole invocare la responsabilità internazionale di un altro per un’operazione cyber, il diritto internazionale esige un doppio passaggio: dimostrare che il comportamento è attribuibile allo Stato e che costituisce una violazione di un obbligo internazionale. Gli ARSIWA, adottati dalla Commissione di Diritto Internazionale nel 2001, prevedono che lo Stato sia responsabile per gli atti dei propri organi (articolo 4) o di attori non statali che agiscono sotto le sue istruzioni, direzione o controllo (articolo 8). Il problema è che né gli ARSIWA né la giurisprudenza della CIG specificano lo standard probatorio applicabile al cyber.

Il Tallinn Manual 2.0, il documento redatto dagli esperti del NATO CCDCOE che rappresenta la più autorevole codificazione non vincolante del diritto internazionale applicato al cyberspazio, affronta la questione in termini deliberatamente non prescrittivi.

Secondo il commento alla Regola 26, il diritto internazionale richiede un’analisi granulare che tenga conto di “l’affidabilità, la quantità, la direttezza, la natura (ad es. dati tecnici, intelligence umana) e la specificità delle informazioni disponibili pertinenti, considerate alla luce delle circostanze particolari e dell’importanza del diritto in questione.”

Michael Schmitt, uno dei principali architetti del Manuale, argomenta che lo standard applicabile per le contromisure dovrebbe essere quello della “ragionevole certezza” (reasonable certainty); altri esperti del CCDCOE propongono il criterio della “preponderanza delle prove” (preponderance of evidence). Il dibattito rimane aperto e senza consenso.

L’attorney general britannico Jeremy Wright ha precisato che nell’adottare contromisure “lo Stato vittima deve essere certo della propria attribuzione dell’atto a uno Stato ostile prima di intraprendere azioni in risposta.” Ma questa certezza è, per sua natura, politicamente costruita, non giuridicamente verificata da un organo terzo indipendente. Non esiste un tribunale internazionale competente a giudicare le controversie cyber in tempo reale. La CIG può essere adita, ma i procedimenti durano anni e richiedono il consenso delle parti. Nel frattempo, lo Stato che si ritiene vittima di un attacco deve scegliere se agire, rischiando di sbagliare, o attendere una certezza che potrebbe non arrivare mai.

Vale la pena segnalare che il dibattito accademico del 2025 ha rilanciato la questione della necessità di un aggiornamento del Manuale stesso. Un articolo del Journal of Law and Cyber Warfare del luglio 2025 argomenta che il Tallinn Manual 2.0 manca di orientamento in aree critiche legate all’intelligenza artificiale e alla guerra ibrida, e propone che una terza edizione dovrebbe sviluppare standard più chiari per attribuire la responsabilità quando sistemi di IA avviano condotte dannose in modo autonomo.

NotPetya: il caso paradigmatico e le sue implicazioni

Il 27 giugno 2017, il malware NotPetya si diffuse a partire dall’Ucraina colpendo infrastrutture in decine di Paesi. Si presentava come ransomware, ma era in realtà un wiper: non esisteva alcun meccanismo di decifrazione e i dati colpiti erano irrecuperabili. In totale, il malware causò circa 10 miliardi di dollari di danni. Solo per Merck, costretta ad affrontare la perdita di capacità produttiva e la sostituzione di 40.000 sistemi, il costo stimato dell’incidente fu di 1,4 miliardi di dollari. Per Maersk, che subì la sospensione delle operazioni in 76 porti in tutto il mondo, le perdite di ricavi furono stimate tra 250 e 300 milioni di dollari.

Otto mesi dopo l’attacco, i Paesi Five Eyes (Australia, Canada, Nuova Zelanda, Regno Unito e Stati Uniti) e la Danimarca attribuirono l’operazione al GRU, il servizio di intelligence militare russo. L’attribuzione faceva riferimento specificamente al gruppo Sandworm, un’unità del GRU specializzata in operazioni offensive di sabotaggio.

Dal punto di vista del diritto internazionale, NotPetya è un caso di scuola perché porta alle estreme conseguenze le contraddizioni dell’attribuzione. Gli esperti NATO CCDCOE hanno ritenuto che “NotPetya sia stato probabilmente lanciato da un attore statale o da un attore non statale con il supporto o l’approvazione di uno Stato.” Ma il condizionale “probabilmente” è esattamente il problema: anche la valutazione tecnica più autorevole disponibile in quel momento non raggiungeva la certezza richiesta per fondare contromisure lecite.

NotPetya illustra come gli Stati possano condurre operazioni di ampia portata con conseguenze transnazionali sfruttando la negabilità plausibile per sfuggire alla responsabilità. La Russia ha sistematicamente negato qualsiasi coinvolgimento, e nessuno Stato ha portato la controversia dinanzi a un tribunale internazionale. Restano le dichiarazioni politiche coordinate e, in un secondo momento, le sanzioni cyber europee: risposte reali, ma assai lontane da ciò che il diritto internazionale consentirebbe in teoria. Il dibattito rimane aperto su quali risposte siano lecite a un attacco di tipo NotPetya, e non è mai emersa una discussione pubblica strutturata su se tali operazioni costituiscano o meno un uso della forza ai sensi della Carta dell’ONU.

SolarWinds: dove finisce lo spionaggio lecito e dove inizia l’illecito

Il caso SolarWinds, emerso nel dicembre 2020, complica ulteriormente il quadro perché introduce un elemento che il diritto internazionale gestisce con estrema difficoltà: la distinzione tra spionaggio e attacco. L’operazione, formalmente attribuita dagli USA all’SVR russo nell’aprile 2021, ha compromesso il sistema di aggiornamento del software Orion di SolarWinds, inserendovi una backdoor. Secondo la dichiarazione ufficiale della Casa Bianca del 15 aprile 2021, la compromissione della supply chain di SolarWinds da parte dell’SVR aveva dato la possibilità di spiare o potenzialmente disturbare oltre 16.000 sistemi informatici in tutto il mondo. L’Intelligence Community statunitense ha attribuito questo giudizio il massimo grado di fiducia.

Lo spionaggio, per quanto eticamente discutibile, non è tradizionalmente vietato dal diritto internazionale consuetudinario. Ma SolarWinds non era semplice raccolta di intelligence: ha compromesso infrastrutture critiche, violato la supply chain del software e acquisito potenzialmente accesso a sistemi che, se attivati, avrebbero potuto causare danni fisici. La coercizione riguarda esattamente questo: privare uno Stato della libertà di scelta, costringendolo a fare cose che non farebbe altrimenti. Soprattutto nelle operazioni il cui scopo primario è lo spionaggio, la questione dell’intenzionalità rispetto agli effetti diventa critica.

A differenza di NotPetya o di altri attacchi distruttivi, SolarWinds era un’operazione di spionaggio, non un’operazione progettata per disturbare o danneggiare sistemi globali. Le precedenti amministrazioni avevano cercato di promuovere un accordo internazionale secondo cui, mentre il furto o il danno potrebbero giustificare sanzioni, il puro spionaggio cyber non lo farebbe. Ciò che SolarWinds ha dimostrato è che la soglia tra spionaggio lecito e atto internazionalmente illecito non è una linea ma un continuum, e che la distinzione dipende in ultima analisi da una valutazione politica prima ancora che giuridica.

Il ciclo delle sanzioni europee: strumento di deterrenza o rituale performativo?

L’Unione Europea ha costruito, a partire dal 2019, un regime sanzionatorio specifico per le operazioni cyber. Nel maggio 2025, il Consiglio ha prorogato le misure restrittive UE contro i cyberattacchi che minacciano l’Unione e i suoi Stati membri fino al 18 maggio 2026, con il quadro giuridico esteso fino al 18 maggio 2028.

In pratica, questo regime ha consentito l’adozione di sanzioni individuali e istituzionali. Nel dicembre 2025, il Consiglio UE ha sanzionato 12 individui e due entità per aver supportato minacce ibride russe contro l’Europa, tra cui tre individui legati all’unità GRU 29155, responsabile di attività contro Stati membri UE, alleati NATO e Ucraina. Parallelamente, nell’aprile 2025, l’UE ha sanzionato Lee Chang Ho, identificato come il capo del Reconnaissance General Bureau nordcoreano, per aver supervisionato unità di cyberattacco incluse quelle note come Lazarus e Kimsuky.

Nel dicembre 2025, il Regno Unito ha sanzionato le aziende tecnologiche cinesi I-Soon e Integrity Tech per il loro presunto ruolo in attività malevole contro sistemi IT di oltre 80 entità governative, pubbliche e private; il portavoce del Ministero degli Esteri cinese ha negato le accuse definendole “manipolazione politica.”

Il regime sanzionatorio è certamente uno strumento più sofisticato del semplice naming. Comporta conseguenze patrimoniali concrete: congelamento dei beni e divieto di viaggio. Trasmette un messaggio di coordinamento geopolitico occidentale. Ma la sua efficacia deterrente resta oggetto di dibattito. Gli individui sanzionati risiedono tipicamente nei Paesi che li impiegano, dove le sanzioni occidentali non hanno esecuzione diretta. Il segnale politico è forte, l’effetto pratico è circoscritto.

Il ruolo delle agenzie di intelligence: prove e segreti incompatibili

C’è una tensione irriducibile al cuore di qualsiasi attribuzione pubblica: le prove più convincenti sono, per definizione, quelle che uno Stato non può rivelare senza compromettere le proprie capacità di intelligence. Poiché una parte significativa dell’attribuzione di un cyberattacco riguarda lavoro di intelligence umana e tecnica, gli Stati lavoreranno sistematicamente per preservare l’anonimato di queste fonti.

Questo crea una situazione paradossale: lo Stato accusatore chiede allo Stato accusato di credere a un’accusa supportata da prove che non può mostrare. Lo Stato accusato nega. La comunità internazionale non ha strumenti per arbitrare. Gli Stati accusati negano uniformemente le accuse o si rifiutano di commentare, senza cambiare comportamento. Per i giuristi internazionali, il problema è aggravato dall’assenza del diritto internazionale in queste accuse: gli attacchi cyber sponsorizzati da stati sono raramente inquadrati giuridicamente nelle dichiarazioni di accusa ufficiali degli Stati.

Questo vuoto non è accidentale. È il risultato di una scelta politica largamente condivisa. Gli Stati che dispongono di capacità offensive cyber significative, e sono molti più di quanti si ammetta pubblicamente, hanno interesse a mantenere l’ambiguità normativa. Un diritto internazionale cyber chiaro e vincolante limiterebbe non solo i propri avversari, ma anche se stessi.

Contromisure cyber: il diritto che non osa dire il proprio nome

La dottrina delle contromisure nel diritto internazionale consente allo Stato leso di adottare azioni altrimenti illecite in risposta a un illecito dello Stato responsabile. Il Tallinn Manual 2.0, Regola 20, disciplina le contromisure cyber stabilendo condizioni di proporzionalità, necessità e obbligo di notificazione preliminare alla controparte, salvo circostanze eccezionali.

Gli Stati vittime di cyberattacchi da parte di altri Stati devono essere in grado di identificare quali regole del diritto internazionale siano state violate per sapere quale azione è loro consentita in risposta, incluso se hanno diritto ad adottare contromisure, ossia azioni che sarebbero altrimenti illecite ma che sono permissibili a determinate condizioni.

In pratica, le contromisure cyber rimangono uno strumento giuridicamente controverso. Il primo problema è la circolarità: per giustificare contromisure, lo Stato deve dimostrare che c’è stato un atto internazionalmente illecito, e per farlo deve sostenere un’attribuzione giuridica che, come si è detto, non ha standard concordati. Il secondo problema è l’escalation: se uno Stato vittimizzato da un’intrusione informatica adotta contromisure prematuramente ed è errato sull’attribuzione, esso ha a sua volta commesso un atto internazionalmente illecito. Se invece attende fino ad avere alta fiducia nella responsabilità statale, qualsiasi contromisura implementata rischia di essere considerata punizione, vietata dal diritto internazionale.

Esiste poi la questione delle contromisure collettive, adottate da Stati che non sono direttamente lesi. Il tema riguarda il diritto dello Stato non leso di adottare contromisure contro lo Stato responsabile ai sensi del diritto internazionale vigente, e le posizioni degli Stati verso questa forma di reazione cooperativa non istituzionalizzata. Il dibattito è aperto, e la prassi degli Stati rimane ancora molto embrionale.

Verso norme condivise: la prassi come costruzione dal basso

Il quadro che emerge è quello di un diritto internazionale che fatica ad adattarsi alla velocità e all’opacità del dominio cyber. L’attribuzione politica, con tutte le sue limitazioni, è diventata il principale meccanismo di governance informale delle operazioni cibernetiche statali. Le coalizioni di attribuzione congiunta rappresentano un’evoluzione significativa: nell’advisory congiunto del maggio 2025, i governi di sette Stati membri dell’UE e Paesi alleati hanno documentato come l’85ª Special Service Center del GRU, unità militare 26165, abbia preso di mira entità logistiche occidentali e aziende tecnologiche con attività di cyber espionage continuativa dal 2022.

Questa prassi coordinata ha un valore normativo non trascurabile. L’attribuzione pubblica ufficiale serve come pratica per i Paesi per esprimere la propria disapprovazione del comportamento inappropriato nel cyberspazio: ripetuta sistematicamente, può cumulativamente plasmare le pratiche internazionali e responsabilizzare lo Stato attaccante. È una forma di costruzione normativa dal basso, lenta e imperfetta, ma forse l’unica praticabile nell’assenza di un trattato vincolante in materia.

Il GCSP ha sottolineato nel 2025 che la distinzione tra attribuzione tecnica, politica e legale è fondamentale, poiché solo l’attribuzione legale, fondata sulle norme consuetudinarie degli ARSIWA, può stabilire un atto internazionalmente illecito, e che esistono visioni divergenti su come questi standard si applichino nel cyberspazio, dove anonimato, attori proxy e tecniche di offuscamento complicano i test tradizionali.

Conclusioni: la trasparenza come norma emergente, l’accountability come obiettivo incompiuto

L’evoluzione degli ultimi anni suggerisce una direzione, anche se non una soluzione. I meccanismi di attribuzione si stanno istituzionalizzando: le coalizioni si ampliano, le sanzioni si coordinano, i report tecnici delle agenzie nazionali (ANSSI, BSI, NCSC) diventano più dettagliati e più frequenti. La Francia che pubblica il 29 aprile 2025 un report tecnico sull’attività di APT28 nel momento stesso in cui attribuisce ufficialmente la campagna rappresenta qualcosa di qualitativamente diverso da una semplice dichiarazione diplomatica: è una forma di accountability pubblica che incorpora, anche senza citarlo esplicitamente, il linguaggio della responsabilità internazionale.

Permane tuttavia la contraddizione di fondo: gli Stati occidentali chiedono a voce alta accountability e trasparenza, ma mantengono le proprie operazioni offensive nell’ombra. Un diritto internazionale del cyber credibile richiede non solo che le vittime possano accusare, ma che esista una corte in cui farlo, uno standard di prova concordato e la volontà politica di sottoporsi agli stessi vincoli che si pretende di imporre agli avversari.

Nel frattempo, il ciclo continua: l’attacco arriva, l’attribuzione segue a mesi di distanza, la negazione è immediata, le sanzioni arrivano dopo, e il comportamento non cambia. Non è impotenza giuridica. È, forse, il modo in cui gli Stati gestiscono la competizione nel cyberspazio in assenza di regole universalmente accettate: con la retorica della responsabilità e la pratica dell’impunità controllata. Il dibattito su un possibile Tallinn Manual 3.0, capace di affrontare le sfide poste dall’intelligenza artificiale e dalla guerra ibrida, è già aperto. Che porti a norme vincolanti o rimanga anch’esso un esercizio accademico, dipenderà dalla stessa volontà politica che oggi frena l’applicazione di quelle esistenti.