Cyber diplomacy: verso un ordine internazionale del cyberspazio?

La governance internazionale del cyberspazio ha una storia più lunga di quanto si creda. Già nel 1998, la Russia portò per la prima volta all’Assemblea Generale delle Nazioni Unite la questione della sicurezza delle informazioni in rete. Da allora, il cammino è stato tortuoso: negoziati intermittenti, rapporti di esperti, dichiarazioni di principio e una moltiplicazione di forum che riflette tanto l’urgenza del problema quanto la profondità dei disaccordi politici che lo attraversano.

La domanda al centro di questo dibattito rimane, a distanza di quasi tre decenni, sostanzialmente invariata: è possibile costruire un ordine normativo internazionale per il cyberspazio? E se sì, su quali fondamenta, quelle di un diritto internazionale preesistente da applicare anche al dominio digitale, o quelle di un nuovo trattato specificamente pensato per regolarne le peculiarità?

Le risposte che si contendono il campo non sono soltanto giuridiche. Sono profondamente politiche, e riflettono visioni del mondo radicalmente diverse.

Dalla GGE all’OEWG: anatomia di un processo multilaterale

Il percorso formale delle Nazioni Unite sulla sicurezza informatica internazionale si è articolato attraverso due principali strutture negoziali.

Il Gruppo di Esperti Governativi (GGE, composto da un numero ristretto di paesi selezionati) ha prodotto nel corso degli anni i documenti fondativi dell’attuale framework normativo. I rapporti del 2013 e del 2015 sono considerati pietre miliari: il primo riconobbe esplicitamente che il diritto internazionale si applica al cyberspazio; il secondo articolò undici norme volontarie e non vincolanti di comportamento responsabile degli Stati, che includono l’obbligo di non attaccare le infrastrutture critiche di un altro Stato in tempo di pace, il dovere di non consentire che il proprio territorio venga utilizzato per condurre operazioni cibernetiche contro Stati terzi, e l’obbligo di rispondere tempestivamente alle richieste di assistenza in caso di attacchi informatici.

L’Open-Ended Working Group (OEWG), istituito nel 2018 su proposta della Russia, paradossalmente allo scopo di “democratizzare” il processo allargandolo a tutti i 193 Stati membri dell’ONU, ha rappresentato un cambiamento strutturale significativo. A differenza del GGE, più chiuso, l’OEWG era aperto a tutti gli Stati membri dell’ONU, con un mandato che includeva le norme di comportamento responsabile, il diritto internazionale, le misure di fiducia reciproca e il capacity building.

Dopo anni di negoziati, l’OEWG ha concluso la sua sessione finale nel luglio 2025, adottando l’atteso Rapporto Finale, un traguardo significativo negli sforzi internazionali per costruire un terreno comune sul comportamento responsabile degli Stati nel cyberspazio. Raggiungere il consenso all’ONU oggi non è impresa facile, soprattutto su questioni spinose di cybersecurity nell’ambito della Prima Commissione. L’adozione è stata accolta con applausi e con un senso condiviso di orgoglio e sollievo, segnando anche la fine di un’era di organismi ONU temporanei dedicati alla sicurezza informatica.

Il Global Mechanism: un’istituzione permanente è nata

Il Global Mechanism, istituito tramite una risoluzione adottata dall’Assemblea Generale dell’ONU nel novembre 2025, è progettato per servire come piattaforma permanente di dialogo multilaterale sull’uso degli strumenti ICT da parte degli Stati nel contesto della sicurezza internazionale, facilitando la condivisione di informazioni, buone pratiche e attività di capacity building.

Il 30 e 31 marzo 2026, presso la sede delle Nazioni Unite a New York, si è tenuta la sessione organizzativa del Global Mechanism, con la partecipazione di tutti gli Stati membri dell’ONU. In questa sede è stata eletta come Presidente l’Ambasciatrice Egriselda López, Rappresentante Permanente di El Salvador alle Nazioni Unite, e si sono svolte discussioni sull’organizzazione e le modalità operative del meccanismo, inclusi i Dedicated Thematic Groups (DTG).

Dopo la sessione organizzativa del 30 e 31 marzo 2026, il Global Mechanism terrà sessioni plenarie sostantive una volta all’anno nel corso di ogni ciclo biennale. La prima sessione sostantiva è calendarizzata per il 20-24 luglio 2026, mentre i gruppi tematici dedicati si riuniranno dal 7 all’11 dicembre 2026. Il meccanismo convocherà inoltre una conferenza di revisione ogni cinque anni, con la prima prevista nel 2030.

La struttura adottata prevede due DTG: uno dedicato alle questioni sostantive generali, che abbraccia i cinque pilastri dell’OEWG (norme, diritto internazionale, misure di fiducia, capacity building e minacce), e uno focalizzato esclusivamente sul capacity building. Il nuovo meccanismo si è organizzato attorno a una sessione plenaria sostantiva e a gruppi tematici dedicati, ciascuno della durata di cinque giorni all’anno, una contrazione considerevole rispetto alle tre settimane di sessioni dell’OEWG. Gli Stati hanno chiesto da anni meno tempo di negoziato e più formati ibridi, poiché partecipare a estese discussioni a New York rappresenta un onere per i bilanci limitati e i negoziatori già sotto pressione dei paesi in via di sviluppo.

Ma l’entusiasmo per la nascita di un forum permanente va temperato con una valutazione lucida delle sue criticità strutturali. Il recente accordo presenta segnali positivi per il multilateralismo, ma il consenso sul processo non equivale al consenso sulle questioni sostantive. Il progresso sull’applicazione del diritto internazionale nell’OEWG è stato glaciale, e difficilmente andrà meglio nel Global Mechanism, data la sua dipendenza dal processo decisionale per consenso. La Russia ha sistematicamente minato la piena e automatica applicabilità del diritto internazionale all’uso degli ICT, chiedendo la creazione di un “regime giuridico internazionale universale ed equo” per la regolamentazione dello spazio informativo.

Le due visioni del cyberspazio: una frattura strutturale

Al cuore di ogni negoziato multilaterale sul cyberspazio vi è una divisione che non è tecnica, ma filosofica e politica.

Da un lato, l’Occidente, ossia Stati Uniti, Unione Europea e i loro alleati, sostiene che il diritto internazionale preesistente, incluso il diritto umanitario e quello sui diritti umani, si applichi integralmente anche al dominio digitale. In questa visione, non serve un nuovo trattato: bastano norme condivise, misure di fiducia reciproca e la chiarificazione progressiva di come le regole esistenti si traducano in contesto cyber. Il cyberspazio deve restare aperto, libero, interoperabile.

Dall’altro lato, Russia e Cina spingono per un modello radicalmente diverso, fondato sul concetto di sovranità digitale. La Cina sostiene che “la sovranità su Internet” debba significare che Internet riflette lo spazio fisico e quindi anche il territorio sovrano di uno Stato, per cui ogni paese avrebbe il diritto di controllare il proprio cyberspazio interno senza interferenze esterne. Mosca e Pechino hanno sistematicamente proposto meccanismi che ampliano il controllo degli Stati sull’infrastruttura digitale e sulle attività online, in linea con le loro posizioni storiche sulla governance del cyberspazio.

Questa frattura si è manifestata in modo particolarmente acuto durante i negoziati per la nuova Convenzione ONU contro il Cybercrimine, la cosiddetta “Convenzione di Hanoi”. La Convenzione fu proposta dalla Russia nel 2017, dopo che Mosca aveva a lungo ostacolato la Convenzione di Budapest del Consiglio d’Europa, ritenendola una minaccia alla sua sovranità su Internet. Dopo un processo negoziale lungo cinque anni, fu adottata dall’Assemblea Generale nel dicembre 2024. La cerimonia di firma si è svolta il 25 e 26 ottobre 2025 ad Hanoi, in Vietnam. Al marzo 2026, il trattato contava 74 firmatari, ma soltanto il Qatar ha depositato formalmente lo strumento di ratifica, in febbraio 2026.

Tre dei componenti della rete Five Eyes, ossia Stati Uniti, Canada e Nuova Zelanda, e altri paesi chiave tra cui Giappone, India e Israele, hanno partecipato attivamente ai negoziati ma non hanno firmato la Convenzione a Hanoi, per ragioni diverse che spaziano da processi interni di revisione a considerazioni legate alla sicurezza nazionale.

Le critiche al trattato sono state feroci e trasversali. Il Cybersecurity Tech Accord, che rappresenta oltre 150 grandi aziende tecnologiche e di cybersecurity, ha avvertito che la Convenzione presenta gravi rischi per i diritti umani e per il commercio legittimo. Secondo gli analisti Arun Sukumar e Arindrajit Basu, il processo è servito a Russia e Cina per tentare di sostituire il liberal cyber order con un modello di cyber sovereignty, consolidando il controllo statale sui cittadini, riorientando l’accesso ai dati attorno al crimine anziché ai diritti umani e limitando la capacità di aziende e ONG di definire standard su accesso, crittografia e privacy.

Il processo negoziale fu avviato nel 2019 su iniziativa della Russia, che voleva uno strumento globale al posto della Convenzione di Budapest del Consiglio d’Europa. Fin dall’inizio, le trattative furono segnate da polarizzazione e mancanza di consenso, e la convenzione finale differisce significativamente dalle versioni proposte da Mosca, che avrebbero incluso disposizioni di criminalizzazione molto più ampie e minori garanzie sui diritti umani.

Le norme di comportamento responsabile: dal consenso all’implementazione

Uno degli aspetti meno dibattuti pubblicamente, ma più rilevanti dal punto di vista operativo, è lo stato di implementazione delle undici norme di comportamento responsabile degli Stati adottate dall’ONU nel 2015. Queste norme, volontarie e non vincolanti ma politicamente significative, prescrivono ad esempio che gli Stati non debbano condurre operazioni informatiche contro le infrastrutture critiche di altri paesi in tempo di pace, non debbano ostacolare i CERT altrui e debbano rispettare i diritti umani anche nel cyberspazio.

Le norme esercitano un’attrattiva morale sugli Stati: i governi preferiscono essere visti come sostenitori di queste regole, poiché esse assegnano obblighi specifici, seppur non legalmente vincolanti, a determinati attori, e esprimono l’opinione collettiva di ciò che è considerato comportamento responsabile da parte degli Stati. Il problema è che tra l’endorsement formale e il rispetto sostanziale vi è una distanza spesso abissale.

La Russia, che ha adottato consensualmente i rapporti GGE che includevano queste norme, non ha cessato le sue operazioni informatiche offensive. La Cina, egualmente firmataria, ha proseguito campagne di spionaggio sistematico su scala globale. La questione più spinosa rimane quella del diritto internazionale: durante l’OEWG, molti Stati hanno cercato di riaffermare che il diritto internazionale esistente, incluso il diritto umanitario internazionale e quello sui diritti umani, si applica al cyberspazio. Russia, Iran e i loro alleati hanno invece usato l’OEWG come forum per spingere verso un nuovo trattato giuridicamente vincolante, sollevando serie preoccupazioni per le implicazioni che un simile processo negoziale potrebbe comportare.

Il Rapporto Finale dell’OEWG raccomanda che gli Stati continuino le discussioni su come il diritto internazionale si applichi nel cyberspazio nell’ambito del nuovo Global Mechanism, rinviando al futuro la risoluzione delle divisioni in questo campo. È il linguaggio diplomatico del rinvio: il consenso si raggiunge spostando il problema sul prossimo tavolo.

La Paris Call e il Pall Mall Process: la governance dal basso

Di fronte alla lentezza e agli stalli dei processi onusiani, si sono moltiplicati forum e iniziative alternative che cercano di costruire consenso normativo attraverso coalizioni più ristrette ma potenzialmente più coese.

La Paris Call for Trust and Security in Cyberspace, lanciata dal presidente Macron nel novembre 2018 durante il Forum sulla Governance di Internet a Parigi, rappresenta il tentativo più ambizioso di un approccio multistakeholder. Sostenuta oggi da oltre 1.200 attori, inclusi 80 Stati, più di 700 aziende e oltre 380 organizzazioni della società civile, la Paris Call è diventata il principale framework multi-attore di riferimento per promuovere principi fondamentali sulla sicurezza del cyberspazio. Tuttavia, tra i grandi assenti storici rimangono Russia e Cina; gli Stati Uniti, che non avevano aderito al lancio del 2018, si sono uniti nel 2021, ma l’attuale amministrazione Trump segnala un allentamento dell’impegno multilaterale su questi temi.

La Francia, coerentemente con la propria Strategia Nazionale di Cybersicurezza 2026-2030, continua a guidare iniziative come la Paris Call e il Pall Mall Process, sostenendo al contempo all’ONU la creazione del Global Mechanism per operazionalizzare gli standard di comportamento responsabile del 2015.

Il Pall Mall Process, lanciato nel febbraio 2024 da Francia e Regno Unito, affronta una delle questioni più urgenti e meno regolate della cyber governance contemporanea: la proliferazione degli strumenti commerciali di intrusione informatica. Il 3 e 4 aprile 2025, Francia e Regno Unito hanno convocato a Parigi la seconda conferenza del Pall Mall Process, riunendo 45 Stati e organizzazioni internazionali, assieme a una larga coalizione di rappresentanti del settore privato, della società civile e del mondo accademico.

Il Codice di Pratica per gli Stati, il primo patto comprensivo guidato dai governi per integrare diritti umani, responsabilità e trasparenza nel mercato degli strumenti di intrusione commerciale, ha raccolto 27 adesioni, impegnando i governi a garantire che gli strumenti di intrusione commerciale vengano utilizzati solo quando necessario, proporzionato e legalmente autorizzato.

Il Pall Mall Process affronta frontalmente la zona grigia più problematica del mercato cyber: aziende come NSO Group o Paragon Solutions vendono strumenti di sorveglianza avanzati a governi che li usano contro giornalisti, attivisti e dissidenti. L’agenzia di intelligence britannica GCHQ ha già avvertito che più di 80 paesi hanno acquistato spyware nell’ultimo decennio, con alcuni che li hanno utilizzati per colpire giornalisti, difensori dei diritti umani, dissidenti politici e funzionari governativi stranieri.

Ma anche qui i limiti sono evidenti. Tra le sfide che affronta questo sforzo diplomatico vi è la mancanza di adesione da parte di alcuni dei paesi e delle aziende coinvolti negli usi più preoccupanti. In particolare, Israele, India, Austria, Egitto e Macedonia del Nord, tra i principali esportatori di queste tecnologie, hanno scelto di non partecipare alla prima conferenza di Londra. Il Pall Mall Process sta ora avviando la fase successiva, rivolta al settore privato: una consultazione pubblica per elaborare Linee Guida per l’Industria che saranno finalizzate nel corso del 2026.

Iniziative regionali e il rischio di frammentazione

Il panorama si complica ulteriormente considerando la proliferazione di iniziative regionali che, pur contribuendo a costruire norme e capacità, rischiano di produrre un sistema di governance frammentato e difficilmente coerente.

L’Unione Europea ha sviluppato un corpus normativo cyber tra i più avanzati al mondo, dalla Direttiva NIS2 al Cyber Solidarity Act, ma la sua capacità di proiettare questo modello all’esterno rimane limitata. I diplomatici europei nel cyberspazio dovrebbero considerare i DTG del Global Mechanism non solo come spazi di deliberazione, ma come catalizzatori per azioni al di là del sistema ONU, in particolare nell’attuale contesto geopolitico, dove le organizzazioni multilaterali sono sotto pressione crescente e raggiungere un consenso universale su questioni di sicurezza internazionale diventa progressivamente più difficile.

L’OSCE ha cercato di costruire fiducia attraverso le sue Confidence-Building Measures (CBM), ma il suo spazio di manovra si è drasticamente ridotto dopo l’invasione russa dell’Ucraina. L’ASEAN ha espresso l’intenzione di operazionalizzare le norme ONU, ma senza un meccanismo di enforcement reale. La Shanghai Cooperation Organisation promuove invece un modello di “sicurezza dell’informazione” che rispecchia fedelmente la visione sino-russa della sovranità digitale.

Il rischio concreto è quello di un cyberspazio geopoliticamente frammentato, a volte definito splinternet, dove gli standard tecnici, le regole giuridiche e le norme di comportamento divergono su base regionale o di alleanza, rendendo di fatto impossibile qualsiasi forma di governance davvero globale.

Verso un diritto internazionale del cyberspazio? Prospettive e ostacoli

La domanda che dà il titolo a questo articolo merita una risposta franca: l’idea di un “diritto internazionale del cyberspazio” inteso come corpus normativo specifico, organico e giuridicamente vincolante rimane, allo stato attuale, più un orizzonte desiderabile che una prospettiva realistica nel breve termine.

Le ragioni sono molteplici. Il disaccordo fondamentale tra i due blocchi sulla natura del cyberspazio, se sia cioè un’estensione dello spazio fisico soggetto alla sovranità statale oppure un commons globale da regolamentare con standard universali, impedisce qualsiasi negoziato su un trattato generale. Il meccanismo del consenso nell’ambito delle Nazioni Unite conferisce di fatto a qualsiasi Stato un potere di veto. E la velocità con cui le tecnologie evolvono, basti pensare all’impatto dell’intelligenza artificiale sulle capacità offensive, mette sotto pressione qualsiasi framework normativo prima ancora che diventi operativo.

Eppure, sarebbe sbagliato concludere che il processo multilaterale sia privo di valore. Un risultato pratico già significativo è stato il lancio di una directory globale di Punti di Contatto (PoC) cyber, che permette agli Stati di identificare e comunicare direttamente con le autorità nazionali designate in caso di incidente informatico, esattamente il tipo di misura di fiducia reciproca che può ridurre i malintesi e il rischio di escalation. È un passo modesto, ma rivelatore: quando i dibattiti legali e normativi si arenano, l’infrastruttura pratica per la comunicazione e il coordinamento può avanzare comunque.

La lezione più duratura degli anni dell’OEWG è che i progressi nella diplomazia cyber multilaterale tendono ad avvenire a strati. Gli accordi politici di alto livello sulle norme coesistono con la cooperazione tecnica a livello operativo, e i guadagni più duraturi vengono spesso da strumenti concreti e operativi che gli Stati possono usare immediatamente.

Vi è poi una dimensione strutturale spesso trascurata: il progressivo coinvolgimento dei paesi del Sud globale. Le sessioni dell’OEWG hanno mostrato un progressivo aumento dell’impegno globale sulla cybersecurity, con un numero crescente di delegazioni che partecipano alle discussioni e una diversità geografica in aumento. Questo allargamento della platea è sia una promessa, in termini di maggiore legittimità democratica delle norme, sia una sfida: interessi più eterogenei rendono i compromessi ancora più difficili da raggiungere.

Conclusione: la diplomazia dell’incompiuto

La cyber diplomacy internazionale assomiglia, in molti aspetti, a un’opera perennemente incompiuta: abbastanza costruita da non poter essere ignorata, ma non abbastanza solida da reggere le tensioni più acute. Il Global Mechanism avviato a marzo 2026 rappresenta un progresso istituzionale genuino. Per la prima volta, il dibattito sulla sicurezza informatica ha una sede permanente e strutturata all’interno dell’ONU, con una Presidente eletta e un calendario di lavoro definito fino alla Conferenza di Revisione del 2030. Eppure, tutto ciò non risolve le contraddizioni di fondo.

A meno che i paesi occidentali non dimostrino determinazione e leadership nel promuovere nuovi approcci al comportamento responsabile, rischiano di cedere l’agenda agli Stati autoritari, uno scenario che hanno a lungo cercato di evitare.

Il vero nodo rimane irrisolto: come si costruisce un ordine normativo per un dominio come il cyberspazio, che è simultaneamente globale nella sua connettività e profondamente nazionale nelle sue infrastrutture, dove gli attori non statali hanno un peso determinante e dove la verificabilità dei comportamenti è strutturalmente difficile? Non esiste risposta pronta. Ma è nel tentativo, imperfetto, conflittuale e lento, di trovarne una che si gioca una partita decisiva per la stabilità internazionale del XXI secolo.