A volte sottolineare l'ovvio fa bene, ma di norma non porta grandi risultati concreti e non va oltre un certo valore simbolico. Possiamo tenere almeno questo della dichiarazione ufficiale dell'Alto Rappresentante dell'Unione Europea in merito al lato cyber della guerra tra Russia e Ucraina. Dichiarazione secondo cui l'azione dei gruppi hacker ostili russi contro le nazioni che sostengono l'Ucraina non solo sta creando inevitabili vittime collaterali, ma aumenta il rischio di escalation.

La dichiarazione ufficiale sottolinea il "preoccupante numero di hacker e gruppi di hacker che colpiscono indiscriminatamente entità essenziali in tutto il mondo". Un comportamento che crea "rischi inaccettabili di effetti di spillover, intepretazioni sbagliate e possibili escalation". Rischi che in parte sono già fatti concreti, in realtà.

Gli effetti di spillover, per cui gli attacchi cyber contro l'Ucraina "traboccano" fuori da quella nazione e ne colpiscono altre, li abbiamo già visti ampiamente. Tutte le principali organizzazioni dedicate alla cyber security hanno avvisato le organizzazioni delle nazioni occidentali che si sarebbero trovate coinvolte in azioni filorusse di hacking ostile. A questi effetti "involontari" poi si aggiungono quelli delle azioni che esplicitamente prendono di mira aziende ed enti delle nazioni che sono scese in campo con sanzioni contro Mosca.

È meno chiaro cosa intenda la UE quando parla di "intepretazioni sbagliate e possibili escalation". Allo stato attuale l'attribuzione di un attacco cyber a un particolare gruppo, poi collegato a una particolare nazione o fazione, è spesso banale e impossibile allo stesso tempo. Banale perché si trovano tanti indizi e modus operandi che identificano rapidamente uno specifico attaccante. Impossibile perché tanti indizi non fanno una prova. E comunque non esiste un complesso giuridico internazionale per cui il colpevole, una volta identificato, possa essere in qualche modo punito.

Quando una organizzazione pubblica o privata è oggetto di un attacco cyber, di solito non è molto interessata a sapere chi ha attaccato, a meno che questa informazione non serva a mitigare meglio l'attacco e le sue conseguenze. Diverso è il tema degli attacchi cyber alle infrastrutture critiche, per i quali da tempo si ipotizza un principio di equivalenza con gli attacchi fisici e quindi la possibilità di rappresaglia. Ma siamo ancora nel campo delle ipotesi (non esiste ancora una legittima difesa cyber) e di quello che gli Stati fanno in Rete senza dirlo ufficialmente.

Al momento l'Unione Europea non può fare molto più che allertare i suoi Stati membri sulla opportunità di prepararsi alla difesa cyber, specie delle infrastrutture critiche, e di diffondere consapevolezza sul tema tra le aziende e le organizzazioni pubbliche. Il resto sono richiami a un ordine che deve ancora essere stabilito.

In effetti le Nazioni Unite hanno definito - e la UE le richiama - undici norme "per un comportamento responsabile degli Stati nel cyberspazio". Ma il loro succo principale è semplicemente che una nazione non dovrebbe condurre o supportare attività cyber ostili o permettere che queste vengano portate avanti dal proprio territorio. Nell'ambito di un conflitto anche guerreggiato con armi convenzionali, sono richiami trascurabili.

A meno che - ed è qui il punto chiave - non si arrivi al punto che attacchi cyber contro una nazione portino conseguenze tali da essere davvero paragonabili a un attacco convenzionale. Una ipotesi che la NATO non esclude affatto, anche se non ci sono norme ufficiali che stabiliscano quando un attacco cyber è così rilevante e quando no. "Una decisione su quando un attacco cyber porterebbe all'invocazione dell'Articolo 5 verrebbe presa dalla NATO caso per caso", è stato dichiarato. Per ora, nessun gruppo state-sponsored ha mai superato il limite.