Sebbene un comitato dell'ONU stia elaborando un nuovo trattato internazionale sul crimine informatico, gli esperti dubitano che possa fare la differenza per le aziende.
Il crimine informatico è difficile da definire e ancor più da attribuire e perseguire, soprattutto se si considera che gli attacchi informatici colpiscono regolarmente oltre confine. Per questo motivo, quest'anno un comitato delle Nazioni Unite (ONU) ha avviato i negoziati per definire un nuovo trattato internazionale sul crimine informatico.
Nonostante le molteplici misure e leggi volte a contrastare il crimine informatico, gli attacchi di ogni tipo continuano ad aumentare: dal ransomware al phishing.
Il piano delle Nazioni Unite è in fase di elaborazione da mesi, ma la quarta riunione del comitato, tenutasi a gennaio, è stata una delle più importanti, in quanto, è stato presentato un trattato di massima per la discussione.
Il Comitato, che comprende delegati di Russia, Cina e Stati Uniti, ha cercato di definire il crimine informatico e di dare una risposta globale, che includa la condivisione delle informazioni, per rendere il mondo online un luogo più sicuro per le aziende e i consumatori.
Tra le proposte c'è la pena per i crimini informatici, tra cui l'accesso e l'intercettazione illegali, l'interferenza dei dati e dei sistemi e l'uso improprio dei dispositivi. In linea teorica, il trattato è positivo, ma è stato anche pesantemente criticato: gli esperti sostengono che il suo impatto sarà limitato, soprattutto perché con la Convenzione di Budapest del 2001, si affrontarono molte delle questioni sopra delineate.
Organizzazioni come la Electronic Frontier Foundation (EFF) si sono spinte oltre, criticando il trattato nella sua forma attuale, affermando che non è abbastanza flessibile da adattarsi alla natura mutevole del crimine informatico e non protegge, ad esempio, i diritti umani degli informatori e giornalisti.
Tanto per cominciare, la convenzione proposta potrebbe comportare nuovi poteri di polizia per le indagini penali nazionali e internazionali. Ciò potrebbe includere la condivisione di prove oltre confine con Paesi con diversi livelli di protezione dei diritti umani, afferma Katitza Rodriguez, direttore delle politiche della EFF per la privacy globale.
Secondo la sua attuale traiettoria, il trattato potrebbe persino portare all'incarcerazione di persone per attività online legittime, avverte Rodriguez. "Poiché gli articoli sono redatti in modo vago - eccessivamente ampi, indefiniti e soggettivi - potrebbero indubbiamente travolgere e criminalizzare espressioni legittime, notizie di cronaca, discorsi di protesta e altro ancora", spiega l'esperta.
In un panorama cibernetico geopolitico complesso, gli attacchi sponsorizzati dagli Stati contro l'Occidente sono in aumento e sono notoriamente difficili da attribuire. Rimane discutibile la possibilità che un trattato possa affrontare questo tipo di attacchi, soprattutto se si considerano gli obiettivi della Cina e della Russia, notoriamente avversarie.
I negoziati, comunque, non sono finiti. Il comitato si riunirà nuovamente ad aprile e a settembre, mentre la bozza finale sarà presentata alle Nazioni Unite all'inizio del 2024. Quindi, cosa può realmente realizzare il trattato proposto e cosa potrebbe significare per le imprese?
Cosa propone il trattato delle Nazioni Unite sui crimini informatici?
Tra le proposte, il trattato internazionale mira a stabilire norme e regolamenti per il comportamento degli Stati online, affrontando questioni come la guerra informatica e lo spionaggio. "Il trattato potrebbe potenzialmente portare a un ambiente online più sicuro e stabile per le aziende", afferma Jake Moore, consulente globale per la sicurezza informatica di ESET.
Il trattato delinea anche proposte per l'assistenza legale tra i Paesi nelle indagini e nel perseguimento dei crimini informatici. "Le forze dell'ordine hanno notoriamente affrontato problemi transfrontalieri in relazione ai crimini informatici in più giurisdizioni", spiega Moore. "Questo trattato mira a stabilire una cooperazione internazionale tra i Paesi per indagare e perseguire i criminali informatici, che potrebbe contribuire a scoraggiare e interrompere le loro attività".
Steffen Friis, Sales Engineer di VIPRE, afferma che questo trattato fornirà un quadro di cooperazione tra il settore pubblico e quello privato che potrebbe essere utile per le aziende. Afferma che l'assistenza legale reciproca, la conservazione dei dati e l'estradizione tra le nazioni "saranno estremamente utili per le aziende che operano in più Paesi".
Anche dopo gli ultimi negoziati, il trattato è tutt'altro che perfetto e molti esperti si interrogano sull'impatto che potrà avere. Come per la maggior parte dei trattati, almeno in parte il suo scopo è simbolico, afferma Will Richmond-Coggan, esperto di dati e controversie informatiche presso lo studio legale Freeths. Tuttavia, sottolinea anche che: "Le varie annotazioni ed emendamenti nazionali all'attuale bozza di convenzione dimostrano fino a che punto molti Paesi debbano temperare l'ampio linguaggio originariamente proposto, per evitare che si estenda fino a comprendere le loro attività".
Allo stesso tempo, facendo eco alle questioni espresse dall'EFF, Mick Reynold, direttore dell'intelligence di SecAlliance, sottolinea la necessità di misurare e bilanciare qualsiasi nuovo potere legale con l'erosione dei diritti umani, in particolare quelli relativi alla privacy individuale.
Le preoccupazioni sulla privacy riguardano le disposizioni proposte dal trattato sulla conservazione dei dati e sull'assistenza legale reciproca, come aggiunge Friis, si teme che possano essere utilizzate per accedere ai dati personali senza sufficienti garanzie legali.
Il trattato deve anche tenere conto delle sfumature della ricerca sulla sicurezza, che vede gli esperti utilizzare tecniche di attacco per trovare vulnerabilità nel software. "I ricercatori di sicurezza identificano abitualmente punti deboli e potenziali exploit nei sistemi software", sottolinea Tim Mackey, responsabile della strategia di rischio della catena di fornitura del software presso Synopsys. "Anche se il loro intento non è criminale, questi sforzi potrebbero facilmente ricadere nelle dichiarazioni che riguardano lo 'sfruttamento di una vulnerabilità'".
La sovranità è un altro problema: "Le disposizioni sulla giurisdizione
e sull'assistenza legale reciproca e l'estradizione potrebbero essere utilizzate per violare la sovranità dei Paesi e per aggirare le leggi nazionali", afferma Friis.
Come misurerà il successo l'ONU?
La convenzione ONU deve certamente lavorare per appianare i problemi della proposta, ma se si vuole che il trattato finale sia efficace, sarà anche importante poterne misurare il successo.
Secondo alcuni esponenti della cyber security, gli obiettivi principali del trattato sulla criminalità informatica sono due: l'arresto dei criminali informatici e la diminuzione degli attacchi informatici.
Altri, invece, suggeriscono di misurare anche la gravità degli attacchi e il numero di procedimenti giudiziari andati a buon fine.
In un'arena geopolitica complessa, è difficile definire l'aspetto di un trattato perfetto. Tuttavia, gli esperti sottolineano la necessità di un approccio globale, al di là dei confini e degli interessi politici; un obiettivo estremamente difficile da raggiungere. La situazione ideale, sarebbe trovare un accordo tra gli Stati, Cina e Russia comprese.
Commenti