Attribuzione: il nemico non si scopre, si decide

Attribuzione: il nemico non si scopre, si decide

A cura di:Redazione Ore

L’attribuzione di un attacco informatico la immaginiamo come un lavoro da detective: si raccolgono indizi, si risale alla fonte, si dà finalmente un nome al colpevole. Così la racconta il linguaggio degli addetti, così la attende l’opinione pubblica. Eppure il testo che fonda la risposta europea agli attacchi cyber dice, nero su bianco, qualcosa di diverso, e quasi nessuno ci si ferma sopra. Nelle Conclusioni del Consiglio del 2017 che istituiscono il Cyber Diplomacy Toolbox si legge che «l’attribuzione a uno Stato o a un attore non statale resta una decisione politica sovrana», basata su tutte le fonti di intelligence disponibili, e che essa «va stabilita in conformità al diritto internazionale della responsabilità degli Stati»; e, due righe più sotto, che «non tutte le misure» di risposta «richiedono un’attribuzione». Nel maggio 2025 il Consiglio ha prorogato quelle misure restrittive ed esteso il quadro giuridico fino al 2028; nel maggio 2026 ha rinnovato le designazioni fino al maggio 2027: la struttura regge, e con essa quella frase. La leggiamo come prudenza diplomatica. È invece la confessione di un rovesciamento.

Attribuzione: dalla scoperta alla decisione

Per secoli ogni ordine capace di punire ha avuto bisogno di un autore da trovare. Il processo presuppone l’imputazione: un fatto, una prova, un soggetto a cui il fatto ritorna. La guerra stessa, nella sua forma classica, presuppone un nemico riconoscibile, che porta un’uniforme e si lascia identificare. In tutti questi casi l’autore è qualcosa che si scopre, mai qualcosa che si sceglie, e questa è esattamente la garanzia contro l’arbitrio: accusare in assenza di prova è il nome più antico dell’ingiustizia.

Il cyberspazio incrina questo presupposto, e non perché renda l’autore introvabile. A volte lo si trova, e con buona precisione tecnica. Lo incrina perché separa, alla radice, l’atto dal suo autore. Un pacchetto di dati attraversa dieci giurisdizioni; un’infrastruttura compromessa fa da maschera; un gruppo agisce per conto di uno Stato che lo disconoscerà. La prova tecnica risale alle macchine, non sempre alle mani, quasi mai alle volontà. E le tre attribuzioni, quella tecnica, quella politica e quella legale, non coincidono: solo l’ultima potrebbe fondare la responsabilità di uno Stato, ed è precisamente quella che non arriva quasi mai.

È qui che la clausola del Consiglio, quella che chiede di stabilire l’attribuzione «in conformità al diritto internazionale della responsabilità degli Stati», rivela la propria fragilità. Rinvia a uno standard di prova mai concordato e a un giudice terzo che non esiste: nessun tribunale accerta, in tempo utile, chi è stato. Il diritto viene evocato e resta fuori dai fatti; la decisione sovrana riprende tutto lo spazio che la prova le lascia.

Quando la prova non chiude, resta la decisione. Ed è qui che la formula del Consiglio smette di suonare burocratica. Stabilire chi è stato non è più la conclusione di un’indagine che converge sul vero: diventa un atto. La sovranità, che pensavamo definita dal territorio e dal confine, si scopre in questa prerogativa minima e immensa, nominare il nemico anche dove la prova non basta. Chi può compiere quel gesto, è sovrano. Il nemico ha così cambiato statuto: non lo si incontra alla fine di una ricerca, lo si costituisce con una dichiarazione.

L’indirizzo di ritorno che scriviamo da soli

La deterrenza ha sempre avuto bisogno di un indirizzo di ritorno. Si colpisce chi ha colpito, e per farlo occorre sapere da dove il colpo è partito. Si ripete da anni che il cyberspazio, cancellando il mittente, renda la deterrenza difficile o impraticabile: senza un indirizzo a cui rispondere, contro chi dirigere la rappresaglia?

Il rovesciamento è più scomodo della rinuncia. Si è osservato, e a ragione, che quel pessimismo è esagerato: la deterrenza resta praticabile proprio contro i bersagli di valore, là dove la posta è troppo alta perché l’identità di chi colpisce possa restare a lungo nascosta. Ma è una conclusione che si ritorce contro chi la formula. Se l’anonimato non è l’ostacolo che si crede, allora l’indirizzo di ritorno non scompare, viene riscritto. E a riscriverlo, in assenza di un mittente certo, è la parte che si ritiene colpita, libera di stabilire da sé verso chi indirizzare la risposta.

Qui la rappresaglia si stacca dalla prova e si aggancia al calcolo. Il pericolo maggiore, allora, non è l’impunità dell’attaccante invisibile; è il suo esatto opposto, la possibilità di colpire chiunque convenga aver individuato. L’anonimato dell’aggressore non disarma il potere: gli restituisce una libertà che la prova gli toglieva.

Rispondere senza nominare

C’è un ultimo gradino, ed è il più radicale. «Non tutte le misure richiedono un’attribuzione», dice il testo europeo. Nella lettura minima la frase è quasi ovvia: rafforzare le difese o cooperare con un partner non esige di aver attribuito nulla a nessuno. Ma spinta a fondo, e qui interpreto il testo più di quanto lo commenti, dice qualcosa di più grave: si può rispondere senza nominare. È la ragione per cui le sanzioni cyber europee colpiscono individui ed entità ma si astengono dall’attribuire formalmente la responsabilità a uno Stato. Le motivazioni delle designazioni indicano spesso l’affiliazione, «ufficiali del GRU», una certa unità militare, e lasciano dunque intendere chi sta dietro; ma segnalare un’appartenenza non è l’atto giuridico che imputa l’illecito allo Stato. L’Unione nomina l’esecutore e tace sul mandante, agendo contro qualcuno senza dover dichiarare, nel solo luogo in cui conterebbe, chi davvero risponda.

Questa cautela, che si presenta come un eccesso di garanzia, produce l’effetto contrario di ciò che promette. Il diritto penale non può condannare senza un autore: l’imputazione è il filo che tiene insieme il fatto e la persona, e senza quel filo non c’è pena legittima. La diplomazia coercitiva del cyber ha imparato invece a tirare le conseguenze di un atto lasciando vuoto il posto del soggetto. La colpa, che era una relazione tra un fatto e qualcuno, si trasforma in una funzione che può restare disabitata: il colpevole come casella amministrativa, da riempire quando e se converrà. Si punisce, o si reagisce, senza chiudere la domanda su chi. La responsabilità sopravvive al responsabile.

Il verbo del nemico

Avevamo costruito la giustizia e la guerra sulla stessa fiducia: che l’autore di un atto si scopra, e che senza autore non vi sia né condanna né nemico. L’attribuzione nel cyberspazio non ha tolto il nemico di scena: ne ha cambiato il verbo. Non lo si scopre, lo si decide. E il problema che lamentiamo come fallimento tecnico, l’impossibilità di provare con certezza chi è stato, non è una falla in attesa di una patch: è la porta da cui il nemico è passato dall’ordine della prova all’ordine della scelta. E scegliere, lì dove non si può dimostrare, è la più sovrana delle azioni.

Forse la posta in gioco non è perfezionare la prova finché il dubbio si chiude, traguardo che non arriverà. È stabilire chi, e dentro quali vincoli, abbia il diritto di nominare il nemico quando la prova non chiuderà mai. Finché la risposta resterà «una decisione politica sovrana», l’attribuzione continuerà a essere il luogo in cui, sotto il vocabolario tecnico della prova, torna a parlare la più antica delle prerogative: dire chi è il nemico, e farne, con ciò stesso, un nemico.

Riferimenti di pensiero:

  • Carl Schmitt, Il concetto di “politico” (Der Begriff des Politischen, 1932), in Le categorie del “politico”; e Teologia politica (Politische Theologie, 1922).
  • Hannah Arendt, per la responsabilità che si dissolve quando l’atto non risale più a un soggetto identificabile, fino al «governo di Nessuno» in cui non resta nessuno a cui chiederne conto.
Condividi sui Social Network:

Ultimi Articoli