Superato il tornante dei 70 anni di esistenza, la capacità dell’Alleanza Atlantica di adattarsi alle nuove complesse sfide di sicurezza continuando a preservare i sui valori fondanti può essere considerata ancora, probabilmente, il più grande segreto del suo successo. L’evoluzione compiuta dalla NATO nel dominio cibernetico, peraltro in un lasso di tempo relativamente limitato, è forse uno degli esempi più calzanti di questo sforzo di adeguamento ai rapidissimi mutamenti del contesto tecnologico e di sicurezza, con un saldo ancoraggio alla sua natura difensiva, al rispetto del diritto internazionale e al suo ruolo di primo piano nella promozione di un sistema internazionale più stabile, sicuro e pacifico. 

Gli ampi e complessi obiettivi che la NATO si è preposta in questo ambito testimoniano la rilevanza della difesa cibernetica quale imprescindibile contributo all’adempimento di quelli che sono stati definiti con il Concetto Strategico del 2010 i suoi tre “core task” (difesa collettiva, gestione delle crisi e sicurezza cooperativa), nonché quale parte integrante della sua postura di deterrenza e difesa. Compito dell’Alleanza nel cyber è innanzitutto quello di proteggere le proprie reti; assistere gli Alleati nel pieno adempimento del principio di solidarietà; rafforzare la resilienza delle nazioni quale fondamentale contributo alla resilienza dell’Alleanza intera (particolarmente rilevante in merito l’impegno preso al Vertice di Varsavia del 2016 al rafforzamento delle difese cibernetiche alleate come priorità, il cosiddetto “Cyber Defence Pledge”); migliorare il flusso informativo e, infine, agire in complementarietà con le altre organizzazioni internazionali e regionali.

La NATO costituisce dunque senz’altro un importante contesto di confronto e scambio di informazioni e sostiene apertamente gli sforzi in corso in altri contesti internazionali per lo sviluppo di norme per un comportamento responsabile da parte degli Stati e di misure di “confidence building”. Laddove, però, l’Alleanza si distingue rispetto alle altre organizzazioni internazionali è nel contributo pressoché esclusivo che apporta nello specifico settore dello sviluppo di dottrine e regole di ingaggio relative alla difesa cibernetica, contribuendo in maniera concreta alla promozione di uno spazio cibernetico più stabile e sicuro.

Numerose le tappe di questa evoluzione. In occasione del vertice in Galles del 2014, l’Alleanza ha riconosciuto l’applicabilità del diritto internazionale nello spazio cibernetico. Sulla base della vigente Policy della NATO sulla difesa cibernetica, le operazioni cibernetiche sono infatti governate dal diritto internazionale applicabile, incluso il diritto internazionale umanitario per le operazioni cibernetiche intraprese come parte di un conflitto armato. Il diritto internazionale umanitario si applica alle operazioni cibernetiche analogamente a quanto avviene per altre tipologie di operazioni parte di un conflitto armato. Allo stesso vertice, l’Alleanza ha esteso il perimetro di applicabilità della sua clausola di difesa collettiva, l’articolo 5 del Trattato di Washington, anche ad un attacco cibernetico, riconoscendo che esso può costituire un “attacco armato” e, in linea con l’articolo 51 della Carta delle Nazioni Unite, lo stato colpito può agire in auto-difesa. La soglia per la quale un attacco cibernetico è assimilabile ad un attacco armato e può dunque giustificare l’invocazione dell’articolo 5 non è mai stata definita, così come analoga flessibilità e ambiguità è volutamente lasciata alle risposte dell’Alleanza, a conferma della natura eminentemente politica di tale decisione.

Quale corollario di questo importante riconoscimento, al vertice del 2016 di Varsavia, la NATO ha riconosciuto lo spazio cibernetico come dominio operativo, nell’ambito del quale l’Alleanza deve poter condurre operazioni e difendersi analogamente a quanto avviene via terra, aria e mare e, più recentemente, nello spazio (dichiarato quinto dominio operativo nel dicembre 2019), come fondamentale contributo alla sua generale postura di deterrenza e difesa e nel rispetto del diritto internazionale. Nel 2018, con il vertice di Bruxelles è stato, inoltre, istituito un contesto per l’integrazione degli effetti sovrani cibernetici nazionali, messi a disposizione volontariamente dagli Alleati quale contributo alle operazioni e alle missioni dell’Alleanza, e istituito un Cyberspace Operations Centre (CyOC). La resa operativa dello spazio cibernetico ha comportato l’integrazione della difesa cibernetica nei processi di pianificazione e nelle operazioni e missioni della NATO, con lo sviluppo di relative dottrine militari, che concorrono a definire caratteristiche, tipologie, principi, effetti, considerazioni giuridiche delle operazioni cibernetiche, e lo sviluppo di precise regole di ingaggio, contribuendo alla determinazione di uno spazio cibernetico più stabile e prevedibile, almeno per quanto concerne le operazioni militari.

Una questione particolarmente complessa alla luce delle peculiari caratteristiche dello spazio cibernetico e che è al centro del dibattito interno all’Alleanza è quella della deterrenza e della risposta alle cosiddette attività malevole che restano sotto la soglia di un attacco armato. Rispetto a questa “zona grigia”, la NATO si è recentemente dotata di una sorta di compendio sugli strumenti a disposizione, che sarà necessario leggere e sviluppare sempre più in complementarietà con analoghi strumenti di competenza di altre organizzazioni internazionali, in particolare l’UE.

Infatti, le relazioni esterne con altri paesi partner e con organizzazioni internazionali rilevanti, in particolare UE, ONU e OSCE, nel rispetto dei principi di mutua complementarietà e evitando duplicazioni, costituiscono un’altra dimensione imprescindibile dell’attività NATO, destinata ad acquisire sempre maggior importanza. I partenariati sono valutati caso per caso e basati su valori condivisi, approcci analoghi e considerazioni di mutuo interesse. Di particolare rilevanza anche quello con il settore privato, che riveste un’importanza crescente alla luce della rapida evoluzione della minaccia, e che si esplica in particolare attraverso la NATO Industry Cyber Partnership (NICP).

Un’altra componente di rilievo del cyber NATO è quella relativa alla cooperazione bi-multilaterale. Le attività intraprese su questo fronte sono molteplici. A titolo di esempio: intese bilaterali con gli Alleati in ambito di difesa cibernetica; programmi esercitativi; attività formative che coinvolgono la Scuola NATO di Oberammergau, in Germania, e il NATO Defense College a Roma; le attività del NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) che ha sede a Tallinn. A questo proposito, proprio il CCDCOE ha compiuto e continua a compiere un importante lavoro nella comprensione e promozione dell’applicabilità del diritto internazionale allo spazio cibernetico, in particolare con la pubblicazione nel 2017 del “Tallinn Manual 2.0”, una guida a cura di 19 esperti di diritto internazionale, i cui contenuti non impegnano gli stati parte del CCDCOE, ma che costituiscono un importante sforzo di composizione e analisi.

Infine, guardando ad un futuro non così lontano, lo sforzo di adattamento non potrà non considerare, affrontare ed integrare nella trattazione della sicurezza cibernetica l’impatto delle tecnologie dirompenti, in particolare l’Intelligenza Artificiale, il quantum, le “lethal autonomous weapons”, un filone di lavoro di cui la NATO ha iniziato ad occuparsi sinora soprattutto nella prospettiva dello sviluppo capacitivo e dell’innovazione. Si tratta di un aspetto cruciale che deve essere declinato coniugando il punto di vista securitario alla sfida posta dal mantenimento della superiorità tecnologica, con evidenti e complesse implicazioni strategiche, industriali ed etiche.