La pandemia ha evidenziato sia la fragilità cibernetica delle strutture pubbliche e delle aziende private nel campo sanitario, sia gli effetti negativi dell’assenza di norme internazionali al riguardo.

Come emerge chiaramente dal rapporto Europol Pandemic profiteering: How criminals exploit the Covid-19 crisis, con l’insorgere della pandemia si è riscontrato un significativo aumento di attacchi informatici a livello mondiale. Facendo opportunisticamente leva sul senso di instabilità e incertezza generato dall’emergenza sanitaria, è stata colta l’occasione per lanciare svariati attacchi informatici specie contro ospedali, strutture sanitarie e società biotecnologiche.

Il settore sanitario, una miniera d’oro di dati sensibili, non essendo attrezzato per monitorare e affrontare adeguatamente le potenziali minacce alla sicurezza informatica, è infatti un bersaglio strategico per gli attacchi cyber.

Ad esempio, lo scorso 14 marzo un attacco informatico ha colpito l’ospedale universitario di Brno, il secondo più grande della Repubblica Ceca, sede di uno dei principali laboratori per i test Covid-19, non solo mettendo a rischio la salute dei pazienti – tutti gli interventi chirurgici urgenti sono stati posticipati e i pazienti gravi sono stati trasferiti in un ospedale vicino – ma anche causando notevoli ritardi nell’elaborazione dei tamponi. Il 15 marzo un altro attacco informatico di tipo DDoS (Distributed Denial of Service) ha preso di mira il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti: per molte ore i server sono stati sovraccaricati da milioni di accessi nel tentativo di ostacolare una risposta tempestiva al diffondersi della pandemia.

Non è certo la prima volta che vengono selezionati tali obbiettivi. Basti pensare ai due sofisticati attacchi ransomware che hanno sconvolto il mondo nel 2017. Da un lato il WannaCry che, oltre a infettare decine di migliaia di computer in centocinquanta Paesi, ha messo in crisi il servizio sanitario nazionale del Regno Unito. Dall’altro il NotPetya che, partito dall’Ucraina, si è poi rapidamente diffuso, colpendo, oltre a organizzazioni e aziende, anche diversi ospedali in vari Paesi.

In quest’ottica, non sembra dunque realistico pensare che tali attacchi cesseranno una volta superata la pandemia.

Norme inadeguate per attacchi in tempi di pace
Questi esempi dovrebbero servire da monito per la comunità internazionale: nessun Paese è esente da simili attacchi informatici ed è dunque arrivato il momento di adottare norme internazionali per tutelare ospedali e strutture sanitarie e per permettere al Paese vittima di un attacco di reagire con la dovuta rapidità.

Il diritto internazionale umanitario, ad esempio, può essere applicato solo qualora gli attacchi informatici perpetrati contro ospedali e strutture sanitarie avvengano nel contesto di un conflitto armato. Questo scenario, tuttavia, rappresenta un’eccezione poiché la maggior parte delle operazioni informatiche vengono avviate senza varcare la soglia di un attacco armato ai sensi del diritto internazionale: il cyber-spazio sta così offuscando i confini tra guerra e pace, i due poli opposti attorno ai quali si è tradizionalmente sviluppato tale diritto.

In tempo di pace, non esistono norme giuridiche in materia di attacchi attraverso il cyber-spazio. Il divieto generale sull’uso della forza, sancito dall’articolo 2 della Carta delle Nazioni Unite, concerne solo quegli attacchi informatici contro ospedali e strutture sanitarie, sponsorizzati da uno Stato, che comportano la morte di cittadini di un altro Stato. A livello teorico, tale disposizione sarebbe applicabile solo nello scenario in cui un attacco informatico sponsorizzato da uno Stato comprometta ventilatori e altri sistemi salvavita di ospedali di un altro Stato, causando così la morte dei pazienti lì ricoverati.

Il principio di non-intervento vale nel cyberspazio?
Anche il principio di non intervento negli affari interni di altri Stati non è facilmente applicabile in relazione al cyber-spazio. In conformità con il Tallinn Manual 2.0, un documento di riferimento a livello euro-atlantico sebbene non giuridicamente vincolante, tale principio è violato solo quando le operazioni informatiche hanno in sé un elemento coercitivo: la semplice intrusione nei sistemi di un altro Stato non basta per poterlo invocare.

In questa prospettiva, gli attacchi informatici che prendono di mira i sistemi di ospedali e strutture sanitarie negando il servizio o trafugando dati, senza ricorrere a metodi coercitivi, non rientrerebbero nel campo di applicazione di questo principio.

Gli attacchi informatici che minano il settore sanitario di uno Stato potrebbero, in linea teorica, essere interpretati come violazioni della sovranità di quello Stato. Tuttavia, non si è arrivati a un parere unanime su questo fronte poiché non è chiaro se esista effettivamente un obbligo giuridico di rispettare la sovranità di altri Stati nel cyber-spazio.

Dalla crisi un’opportunità
Di fronte all’inadeguatezza del quadro giuridico esistente, la comunità internazionale dovrebbe adottare nuove norme che vietino tassativamente ogni attacco informatico contro ospedali e strutture sanitarie anche al di fuori dei teatri di guerra.

A questo proposito, l’emergenza sanitaria mondiale provocata dal Covid-19, avendo evidenziato diverse vulnerabilità nei sistemi sanitari nazionali, potrebbe rappresentare un’opportunità per colmare alcune lacune della normativa in materia di cyberspazio e salute pubblica.

***

“Cara AI Ti Scrivo” è la rubrica che offre ai più giovani (studenti, laureandi, neolaureati e stagisti) la possibilità di cimentarsi con analisi e commenti sulla politica internazionale. Mandateci le vostre proposte: affarinternazionali@iai.it.