Il cyberspazio come ulteriore fronte di guerra
La Corte penale internazionale sta già indagando sugli attacchi russi alle infrastrutture civili ucraine nel cyberspazio come potenziali crimini di guerra.
L’Ucraina come poligono dei cyberattacchi russi
Dopo la Rivoluzione della dignità e l’inizio dell’aggressione russa nel 2014, i cyberattacchi sono diventati per la Federazione Russa un ulteriore strumento di guerra contro l’Ucraina. Sono stati presi di mira uffici governativi, il settore energetico, i media, il business e le infrastrutture critiche.
Uno dei primi casi di grande risonanza è stato l’attacco alla Commissione elettorale centrale durante le elezioni presidenziali del 2014. Gli hacker hanno cercato di interferire con il funzionamento del sistema pubblicando sul sito della Commissione risultati elettorali falsi. Secondo i dati di CEPA l’attacco è stato fermato e quindi non ha influito sui risultati delle elezioni. Nonostante la prevenzione tempestiva dell’attacco, il canale televisivo russo “Pervyj kanal” ha mostrato il giorno dopo nel telegiornale un sito falso riconducibile alla Commissione con i risultati truccati.
Un anno dopo, in seguito a un attacco del gruppo Sandworm al sistema energetico ucraino sono rimasti senza luce circa 230 mila utenti. Il 17 dicembre 2016 in Ucraina ha avuto luogo un secondo caso simile, questa volta in una zona di Kyiv. Un rapporto del Servizio statale ucraino per le comunicazioni speciali e la protezione dell’informazione attribuisce a Sandworm già 80 attacchi informatici tra il 2022 e il 2024. Una media di due al mese.
Nel 2017 la Russia ha usato il virus NotPetya contro l’Ucraina. Il tutto è iniziato come un attacco ai sistemi ucraini per destabilizzare la situazione nel paese, ma velocemente il virus si è diffuso in tutto il mondo e ha causato danni miliardari ad aziende in Europa, Asia e USA. La Casa Bianca aveva allora definito NotPetya “il più grande e costoso cyberattacco della storia”. Il Ministero degli affari esteri britannico ha sostenuto che l’obiettivo del cyberattacco fosse quello di compromettere il funzionamento delle istituzioni statali ucraine e dei settori finanziario ed energetico dell’economia.
Quell’anno, Valentyn Petrov, allora capo del Sevizio per la sicurezza informatica del Consiglio di sicurezza nazionale e difesa ha dichiarato che i servizi segreti russi e i gruppi hacker a loro collegati utilizzano l’Ucraina come terreno di prova per testare nuovi metodi di distruzione delle infrastrutture.
Come è cambiata la tattica russa durante i cyberattacchi
Dopo l’inizio dell’invasione su vasta scala la Russia ha continuato a usare i cyberattacchi parallelamente agli attacchi sul campo di battaglia. Il 24 febbraio 2022, a un’ora circa dall’inizio dell’invasione, è avvenuto un attacco alla rete satellitare Viasat. L’obiettivo principale doveva essere la comunicazione militare ucraina, ma le conseguenze sono state percepite anche da utenti civili e da aziende in altri paesi europei.
Secondo i dati del Servizio per la comunicazione speciale durante l’invasione su vasta scala il numero di cyberattacchi confermati cresce annualmente: nel 2021 erano 1350, nel 2022 — 2194, nel 2023 — 2543, nel 2024 già 4315 e nel 2025 quasi 6000. Inoltre, secondo il suo rapporto, la tattica russa sta cambiando gradualmente. Se all’inizio dell’invasione su vasta scala il nemico puntava tutto su attacchi distruttivi, più tardi si è dedicato sempre più spesso a spionaggio, presenza occulta nei sistemi e alla raccolta di informazioni. Nel 2024 il focus è passato alla organizzazioni legate direttamente alle operazioni militari e anche ai fornitori di servizi che supportano gli sforzi militari.
Nel 2024 l’Ucraina ha subito uno dei più gravi cyberattacchi ai registri statali dell’ultimo periodo. A seguito dell’attacco, attribuito ad hacker russi, il funzionamento dei sistemi chiave del Ministero della giustizia è stato temporaneamente interrotto. Secondo Volodymyr Karastel’ov, capo del Dipartimento per la sicurezza informatica dell’SBU, l’attacco è stato sferrato da uno dei gruppi di hacker russi. I servizi di sicurezza ucraini sono riusciti a collegarlo con la Direzione principale dell’intelligence dello Stato maggiore generale delle forze armate della Federazione Russa.
Un obiettivo a sé stante dei cyberattacchi russi durante la guerra rimangono i media ucraini. Attacchi a canali tv, agenzie informative e piattaforme online sono spesso usati per pubblicare fake sotto forma di notizie riportate da media conosciuti. Un caso simile è avvenuto a febbraio del 2024. Secondo i dati dell’Istituto dell’informazione di massa, il 18 e 19 febbraio hacker russi hanno attaccato minimo sei media ucraini: i siti “Telegraf”, “Apostrof”, “LIGA.net”, la pagina X della “Ukrajins’ka Pravda”, e anche i canali tv “Espreso” e “Prjamyj” Gli hacker hanno seminato disinformazione sulla presunta “sconfitta” inflitta dai russi alle unità d’élite delle Forze armate ucraine ad Avdijivka.
Anche le telecomunicazioni sono sotto attacco Da una connessione stabile dipendono le notifiche sugli allarmi aerei, servizi bancari, servizi statali, il lavoro del settore business e la possibilità per le persone di rimanere online durante gli attacchi. Uno dei cyberattacchi più grandi è stato quello ai danni di “Kyivstar” il 12 febbraio 2023: per un guasto tecnico milioni di utenti sono rimasti temporaneamente senza connessione telefonica e internet.
I cyberattacchi possono essere considerati un crimine di guerra?
Il 14 giugno 2024 l’agenzia Reuters ha dichiarato che i procuratori della CPI considerano i casi dei cyberattacchi russi all’infrastruttura civile ucraina come potenziali crimini di guerra. Se verranno raccolte prove a sufficienza, gli imputati dei cybercrimini potranno ricevere un ordine di arresto.
L’indagine della CPI che considera i cyberattacchi come potenziali crimini di guerra può creare un precedente nel diritto internazionale.
A novembre del 2023 il Procuratore generale Andrij Kostin ha dichiarato alla rivista Time che l’Ucraina sta indagando sui cyberattacchi russi come crimini di guerra. Secondo lui si tratterebbe di un processo particolarmente complicato e quasi senza precedenti durante il quale gli attivisti per i diritti umani ucraini saranno supportati da Palantir e Microsoft.
L’indagine è importante non solo per l’Ucraina, ma anche per il diritto internazionale in genere. Le convenzioni di Ginevra proibiscono attacchi a obiettivi civili, ma nel caso del cyberspazio non esiste ancora una visione del tutto consolidata su cosa in particolare debba considerarsi “reato di cyberguerra”. Ad esempio, rimane una questione controversa se i dati possano considerarsi obiettivo specifico dell’attacco e se la loro distruzione costituisca un crimine di guerra qualora ciò comporti gravi conseguenze per la popolazione civile.
Al centro dell’attenzione della CPI possono esserci, in particolare, gli attacchi all’infrastruttura energetica e alle telecomunicazioni. Secondo Reuters tra gli indagati c’è il gruppo Sandworm, di cui abbiamo parlato in precedenza.
L’attacco a “Kyivstar” è un esempio del motivo per cui i cyberattacchi possano andare ben oltre un semplice “incidente tecnico”. Il professore di Diritto internazionale Michael Schmitt, citato da Reuters, ritiene che l’attacco informatico contro “Kyivstar” possa rispondere ai criteri di crimine di guerra, poiché gli autori dovevano essere consapevoli delle prevedibili conseguenze di tale attacco per la popolazione civile.
