La dottrina del Pentagono sulle “Cyberspace Operations”

La recente desegretazione della dottrina del Pentagono del 2013 sulle “Cyberspace Operations” rappresenta un documento di particolare valore e rilevanza, soprattutto per capire appieno l’evoluzione dell’approccio operativo americano alle operazioni militari attraverso il cyber-spazio.

L’Avvocato Stefano Mele, Direttore del Dipartimento “InfoWarfare e Tecnologie emergenti” dell’Istituto Italiano di Studi Strategici “Niccolò Machiavelli”, analizza il contenuto di questo preziosissimo documento, evidenziandone il suo pensiero sull’utilizzo delle tecnologie, da parte dei governi, per scopi militari.

Perché, a Suo avviso, il governo americano ha sentito la necessità di predisporre un simile documento di dottrina?

“In via preliminare, occorre evidenziare come, al di là del clamore mediatico che fantomatiche “cyber-war” hanno da tempo guadagnato nell’immaginario dell’opinione pubblica, l’utilizzo del cyber-spazio e delle tecnologie per scopi militari abbia finora assunto – nella pratica – il solo ruolo di facilitatore di attacchi cinetici attraverso i quattro domini tradizionali (aria, terra, mare e spazio). Allo stato attuale, quindi, almeno per quanto è dato sapere da fonti pubbliche, il cyber-spazio rappresenta esclusivamente un ulteriore “strumento” a disposizione dei governi e delle loro attività e capacità conflittuali (warfare).
Nonostante ciò, la capillare penetrazione delle tecnologie e della rete Internet perfino in settori particolarmente sensibili e ad elevata riservatezza – anche per la sicurezza nazionale – ha comportato la contestuale necessità che questo ‘dominio’ sia attentamente analizzato, compreso e plasmato a seconda degli specifici bisogni ed obiettivi, anche e soprattutto attraverso la lente della sicurezza nazionale e militare”.

Il governo americano, attraverso l’NSA, non è certamente nuovo allo sfruttamento del cyber-spazio per attività di spionaggio elettronico. E’ possibile, invece, rintracciare l’inizio dell’impiego del cyber-spazio per scopi militari da parte degli Stati Uniti d’America?

“Seppure gli Stati Uniti abbiano cominciato a ragionare ed organizzare le proprie forze per l’information warfare e la cyber-warfare all’indomani della prima guerra del Golfo del 1991, lo sfruttamento del cyber-spazio per scopi militari operativi è stato ufficializzato solo nel 2004, quando l’allora National Military Strategy esplicitamente statuì che “le Forze Armate [americane] devono avere la capacità di operare attraverso i domini dell’aria, della terra, del mare, dello spazio e del cyberspazio”. Concetto sfociato, poi, nella Quadriennal Defense Review del 2006, in cui si dichiarò per la prima volta che “il Dipartimento della Difesa [americano] tratterà il cyber-spazio come dominio per la conflittualità”.
Anche questo documento del 2013 recentemente desegretato dagli Stati Uniti, che ha come identificativo “Joint Publication 3-12” e che – come si è detto – è dedicato alle “Cyberspace Operations”, aggiorna, in realtà, la “National Military Strategy for Cyberspace Operations” del Pentagono del 2006, che si era preoccupata di approfondire principalmente gli aspetti strategici e definitori utili ad inquadrare una problematica che – nel 2006 – era sul piano operativo ancora agli “albori”.
Quello del 2013, invece, è un documento marcatamente operativo, che fa suoi i 7 anni di esperienza maturati dalle Forze Armate americane in questo settore. L’obiettivo, quindi, è quello di fornire una dottrina operativa comune per pianificare, preparare, eseguire e valutare le attività militari congiunte nel e attraverso il cyberspazio. Una vera novità, almeno per i ricercatori che si basano solo su fonti pubbliche.”

Quali sono, quindi, gli elementi che nella Joint Publication del 2013 meritano una particolare attenzione?

“L’aspetto più rilevante del documento è certamente legato al formale riconoscimento e impiego delle attività militari offensive volte a “proiettare la forza nel e attraverso il cyber-spazio”, al fine di “degradare, danneggiare o distruggere l’accesso, il funzionamento o la disponibilità delle capacità di un bersaglio ad un livello e per un periodo di tempo determinato”, oppure per “controllare o modificare le informazioni, i sistemi informatici o le reti dell’avversario” (denominate “Offensive Cyber Operations” o OCO). Attività, queste, tutte intimamente legate ad uno specifico ordine esecutivo di autorizzazione e aventi come unico possibile bersaglio diretto dell’attacco un “obiettivo militare”.
Rilevante, inoltre, è anche la previsione della possibilità di utilizzare delle Defensive Cyberspace Operations (DCO) che vadano ben oltre la mera difesa e che possano sfociare in alcuni casi anche in Defensive Cyberspace Operations Response Actions (DCO-RA). Queste ultime attività – anch’esse da sottoporre a specifica autorizzazione – mirano unicamente a degradare in maniera attiva le capacità di un avversario i cui cyber-attacchi siano imminenti o in atto. Appare evidente come le Defensive Cyberspace Operations Response Actions – così definite – potranno in molti casi essere giuridicamente qualificabili come un ‘uso della forza’, con tutte le conseguenti problematicità discendenti sia in punta di diritto, che di politica internazionale.”

Quindi il documento è deputato a regolamentare e gestire vere e proprie attività militari operative e non ha un mero valore teorico. Ravvede problematiche irrisolte o non ancora completamente regolamentate, affinché ciò possa essere effettivamente attuato?

“In realtà sono molte le problematiche non ancora risolte. Non può e non deve sfuggire come la previsione all’interno del documento del Pentagono delle Offensive Cyber Operations e delle Defensive Cyberspace Operations Response Actions, seppur indicativa di un trend da tempo evidente, apre il fianco a notevoli questioni – soprattutto giuridiche – ancora ben lontane dal trovare una soluzione.
Così come, peraltro, ogni governo che intenderà adottare un simile approccio dovrà riflettere in maniera attenta e approfondita sull’indispensabile e prodromica capacità di riuscire a comprendere, proiettare e soprattutto controllare gli effetti e l’impatto di operazioni militari nel e attraverso il cyberspazio così impostate, tanto sul piano non-militare, quanto su quello dei rapporti diplomatici e di politica internazionale.”

Intervista all’Avv. Stefano Mele, Istituto Italiano di Studi Strategici ‘Niccolò Machiavelli’

Articolo pubblicato sulla rivista ICT Security – Gennaio/Febbraio 2015