Per la prima volta nella sua storia, il Consiglio Europeo ha voluto imporre misure restrittive nei confronti di sei persone (Gao Qiang, ZhangShilong, Alexey Valeryevich Minin, Aleksei Sergeyvich Morenets, Evgenii Mikhaylovich Serebriakov, Oleg Mikhaylovich Sotnikov) e tre entità, accusate di aver preso parte ad attacchi informatici nei quali l’Europa è stata coinvolta. Le sanzioni comminate includono il congelamento dei beni in tutti i casi, mentre per le persone fisiche è stato altresì fatto divieto di varcare i confini europei. Inoltre si vieta a chiunque, all’interno dell’UE, di mettere fondi a disposizione di queste entità che hanno dimostrato di voler lavorare con interessi opposti a quelli del vecchio continente.
WannaCry, NotPetya e Operation Cloud Hopper
Tre i casi dimostrati e tali da portare alle rispettive sanzioni: “WannaCry“, “NotPetya” e “Operation Cloud Hopper“. In tutti i casi le sanzioni sono rivolte nella direzione di Russia, Cina e Corea del Nord. I casi sono tutti tristemente noti: WannaCry era un ransomware che nel 2017 mise sotto scacco pc in tutto il mondo e fin da subito venne accusata la Corea del Nord; NotPetya è datato 2018, generò miliardi di dollari di danni in Ucraina e fu immediatamente chiaro il nesso con i cracker russi; Operation Cloud Hopper colpì a sua volta tutto il mondo (Europa compresa) per trafugare preziose informazioni commerciali, con l’accredito in quel caso immediatamente riconosciuto nella mano lunga della Cina.
Le sanzioni sono una delle opzioni disponibili del pacchetto di strumenti della diplomazia informatica dell’UE per prevenire, scoraggiare e contrastare attività informatiche dolose condotte contro l’UE o i suoi Stati membri e oggi, per la prima volta, l’UE ha utilizzato tale strumento. Il quadro giuridico relativo alle misure restrittive mirate contro gli attacchi informatici è stato adottato nel maggio 2019 e rinnovato di recente.
La decisione del Consiglio è un passo importante poiché apre un fronte tra le istituzioni europee ed il cybercrime, dimostrando che l’UE è pronta a combattere questa guerra in tribunale, fino ad impugnare l’arma della sanzione (per quanto limitata in termini di incidenza all’interno dei confini UE).
Tutto ciò avviene nelle settimane in cui gli Stati Uniti puntano maggiormente il dito contro il nemico cinese e lo stesso Vaticano deve fare i conti con attacchi informatici provenienti da Oriente. L’UE prende posizione puntando il dito contro singole persone e singole entità, ma la radice nazionale è la medesima già nota in molti altri casi antecedenti, a dimostrazione di quanto le tensioni in questa cyberguerra siano alte e gli investimenti necessari nella difesa siano fondamentali.
L’UE si ferma alle responsabilità giuridiche
Il Consiglio Europeo sembra però voler cautelativamente prendere le distanze dalla questione geopolitica, utilizzando una frase che allontana le responsabilità dei singoli da quelle dei rispettivi stati di appartenenza:
Le misure restrittive mirate hanno un effetto deterrente e dissuasivo e andrebbero distinte dall’attribuzione di responsabilità a uno Stato terzo.
Distinte, ma non escluse. Come a dire: abbiamo colpito i singoli attraverso una procedura giuridica, lasceremo alla politica valutare se possano sussistere responsabilità ulteriori.
L’UE mantiene il suo impegno a favore di un ciberspazio globale, aperto, stabile, pacifico e sicuro e ribadisce pertanto la necessità di rafforzare la cooperazione internazionale al fine di promuovere l’ordine fondato su regole in questo settore.