Il contesto dell’incidente
Il recente data breach che ha colpito Knownsec rappresenta un caso di studio rilevante per comprendere le implicazioni giuridiche delle operazioni cibernetiche sponsorizzate da Stati. La società, fondata nel 2007 e supportata strategicamente da Tencent dal 2015, opera come uno dei pilastri dell’ecosistema di cybersecurity cinese, con oltre 900 dipendenti e contratti con istituzioni finanziarie, agenzie governative e grandi gruppi tecnologici nazionali.
La sottrazione e successiva divulgazione di oltre 12.000 documenti classificati ha esposto informazioni sensibili relative ad arsenali cibernetici, metodologie operative e liste di obiettivi globali. Il materiale, inizialmente pubblicato su GitHub prima della rimozione per violazione della privacy, offre una visibilità senza precedenti sulle capacità offensive cibernetiche attribuibili alla Repubblica Popolare Cinese.
La portata tecnica delle operazioni
I documenti trafugati rivelano un’infrastruttura offensiva significativa. L’arsenale include Remote Access Trojan multipiattaforma compatibili con Linux, Windows, macOS, iOS e Android, malware specializzati per l’estrazione di dati da applicazioni di messaggistica incluso Telegram, e dispositivi hardware malevoli progettati per l’exfiltration di dati attraverso apparenti caricabatterie.
L’analisi dei database operativi documenta la compromissione di 80 obiettivi stranieri, includendo agenzie governative e infrastrutture critiche distribuite in oltre venti Stati. I volumi di dati esfiltrati sono considerevoli: 95 gigabyte di registri di immigrazione dall’India, 3 terabyte di comunicazioni telefoniche dal provider sudcoreano LG U Plus, e centinaia di gigabyte relativi alla pianificazione infrastrutturale di Taiwan.
Le violazioni del diritto internazionale
Dal punto di vista del diritto internazionale pubblico, le operazioni documentate configurano molteplici violazioni. Il principio di sovranità territoriale, codificato nel Tallinn Manual 2.0 alla Regola 4, stabilisce che uno Stato non deve condurre operazioni cibernetiche che violino la sovranità di altri Stati. Le intrusioni sistematiche in sistemi governativi e infrastrutture critiche di numerosi Stati sovrani costituiscono violazioni manifeste di questo principio fondamentale.
La questione della responsabilità statale si pone con particolare rilevanza. Gli Articoli sulla Responsabilità degli Stati per Atti Internazionalmente Illeciti della Commissione di Diritto Internazionale prevedono che la condotta di entità private possa essere attribuita allo Stato quando queste operino sotto la sua direzione o controllo. Nel caso Knownsec, elementi quali i contratti diretti con agenzie governative, gli investimenti strategici e la finalizzazione delle operazioni a obiettivi di intelligence nazionale suggeriscono un livello di integrazione con l’apparato statale sufficiente a configurare l’attribuzione secondo gli standard internazionali.
Le implicazioni per la protezione dei dati personali
L’estrazione massiva di dati personali solleva questioni rilevanti nel diritto internazionale dei diritti umani. Il diritto alla vita privata, sancito dall’articolo 17 del Patto Internazionale sui Diritti Civili e Politici, include la protezione delle comunicazioni elettroniche e dei dati in formato digitale. Le operazioni documentate costituiscono interferenze significative prive dei requisiti di legalità, necessità e proporzionalità richiesti dagli standard internazionali.
Per quanto concerne il Regolamento Generale sulla Protezione dei Dati (GDPR) dell’Unione Europea, qualora tra i dati sottratti figurassero informazioni di cittadini europei, si configurerebbero violazioni degli articoli 5 (principi del trattamento), 6 (liceità) e del Capo V (trasferimenti verso paesi terzi), con sanzioni potenziali fino a 20 milioni di euro o il 4% del fatturato mondiale annuo.
Il quadro della Convenzione di Budapest
Le condotte integrate nel leak soddisfano le fattispecie penali previste dalla Convenzione sul Cybercrime: accesso illegale a sistemi informatici (articolo 2), intercettazione illegale di trasmissioni (articolo 3) e produzione e distribuzione di dispositivi per commettere reati informatici (articolo 6). Tuttavia, l’efficacia della Convenzione è limitata dalla non adesione della Repubblica Popolare Cinese, che rende impraticabili i meccanismi di cooperazione giudiziaria internazionale previsti dal trattato.
Conclusioni e prospettive
Il caso Knownsec evidenzia le lacune dell’attuale framework di governance cibernetica internazionale. L’assenza di un trattato vincolante specifico per il cyberspazio, le difficoltà nell’**attribuzione formale** e l’enforcement limitato delle norme esistenti creano un ambiente di sostanziale impunità per operazioni cibernetiche statali offensive. La comunità internazionale si trova di fronte alla necessità di sviluppare meccanismi normativi e istituzionali più efficaci per regolare un dominio sempre più centrale per la sicurezza globale.