La guerra informatica ha sviluppato un fascino ambiguo, quasi romantico, per chi immagina il futuro dei conflitti come una distesa di bit che sostituisce le bombe. Succede sempre quando una tecnologia appare nuova, veloce, seducente. Qualcuno, con l’entusiasmo di chi scambia l’adrenalina per strategia, propone che gli stati occidentali adottino quello che definisce un approccio responsabilmente irresponsabile, una formula che farebbe sorridere persino un consigliere politico di basso livello. L’idea è che imitare le tattiche più aggressive osservate in Ucraina, incluse campagne offensive senza troppe remore, renda la guerra digitale finalmente efficace. Il problema è che questa teoria si basa su una lettura superficiale del diritto internazionale umanitario, su un eccesso di fiducia nella potenza del cyberspazio e su un’impressione distorta di ciò che davvero accade quando i conflitti diventano lunghi, ad alta intensità e fortemente distribuiti.
Capita spesso che le narrazioni più brillanti si schiantino contro i dati. Ricerche indipendenti, osservazioni sul campo e analisi operative suggeriscono con crescente evidenza che la guerra informatica, nelle sue forme più rumorose, ha avuto un impatto sorprendentemente modesto nei conflitti prolungati. L’effetto iniziale colpisce, certo, ma svanisce rapidamente quando la resilienza tecnica, la ridondanza infrastrutturale e la capacità di adattamento entrano in gioco. La realtà è che gli attacchi che dovrebbero paralizzare un avversario finiscono per rallentarlo per poche ore, a volte pochi giorni, prima che tutto torni a funzionare. C’è stato persino un ufficiale europeo che, con una franchezza degna di una taverna militare prussiana, ha dichiarato che alcune operazioni cyber producono meno effetti di un blackout programmato. Se la promessa tecnologica è così incerta, allora indebolire la cornice normativa che tutela civili e infrastrutture assume il sapore amaro di uno scambio svantaggioso.
Succede inoltre che il diritto internazionale umanitario non sia un esercizio accademico. È un corpus modellato da generazioni di militari che hanno compreso sulla propria pelle quanto sia fragile l’equilibrio tra necessità operativa e protezione dei civili. La sua flessibilità, contrariamente a quanto sostengono alcuni fautori dell’offensivismo digitale, già permette numerose operazioni cyber purché rispettino i principi cardine di distinzione, proporzionalità e precauzione. Non serve reinventare la ruota né sorpassare le norme, basta comprendere come applicarle correttamente in un nuovo dominio. La retorica che presenta queste regole come un ostacolo è spesso il rifugio di chi confonde l’audacia con l’imprudenza.
Accade poi che qualcuno proponga di colpire banche, supermercati, piattaforme retail o provider di rete, come se fossero ingranaggi legittimi della macchina bellica. La visione è tanto fantasiosa quanto pericolosa. Un sistema finanziario non è un centro di comando, un supermercato non è un deposito militare, un ISP non è una base missilistica. Le norme internazionali lo chiariscono da decenni. Gli oggetti civili non sono bersagli e non lo diventano solo perché possono generare disagio all’avversario. Una banca colpita digitalmente produce un collasso di fiducia, non un vantaggio militare; un attacco a una catena alimentare genera panico, non una manovra tattica. Un blackout a un provider crea caos che non si ferma ai confini del nemico. È utile ricordare una frase attribuita a un analista della NATO: colpire infrastrutture civili nella speranza di fiaccare il morale equivale a gettare benzina su un incendio e sperare che si spenga per mancanza di ossigeno.
Accanto alle infrastrutture, un’altra deriva preoccupante riguarda la romantica idea di mobilitare masse di hacker civili. Il mito dell’esercito digitale di volontari, per molti versi un’illusione nata e cresciuta nei forum online, finisce per ignorare un principio giuridico non negoziabile: un civile che partecipa direttamente alle ostilità perde la protezione e diventa un obiettivo militare. Significa che trasformare studenti di informatica, impiegati e perfino minorenni in guerrieri a tastiera li espone a rischi reali. Alcuni stati che flirtano con questa strategia sembrano dimenticare gli obblighi di protezione verso i propri cittadini. Esistono doveri chiari relativi alla prevenzione della partecipazione dei minori e alla tutela del diritto alla vita. Nessun entusiasmo digitale può spazzarli via.
Ricorre spesso anche un dettaglio che i sostenitori delle cyber milizie civili fingono di non notare. Le operazioni richiedono disciplina, comando, catena di responsabilità. Gruppi informali e spontanei possono essere rapidi, certo, ma sono imprevedibili. Si muovono senza coordinamento, commettono errori grossolani, attaccano bersagli sbagliati, sabotano involontariamente operazioni più grandi. E alla fine del conflitto? La storia insegna che i gruppi armati improvvisati non tornano spontaneamente alla vita civile. Si trasformano in gang, in gruppi criminali, in minacce future. Un generale britannico in pensione osservò una volta che nessuna cosa è più pericolosa di un combattente senza guerra e senza disciplina. La versione digitale non fa eccezione.
Appare quindi molto più saggio seguire strade già sperimentate con successo. Stati che dispongono di riserve cyber strutturate possono integrare talenti civili mantenendo controllo, addestramento e responsabilità. L’esempio più citato è quello dell’Estonia, che con la sua Cyber Defence Unit ha mostrato come un paese possa mobilitare le competenze migliori senza trasformare cittadini comuni in combattenti improvvisati. Il modello combina professionalità militare e expertise tecnica civile, un equilibrio che riduce i rischi e massimizza il valore reale. Non è un caso se diverse istituzioni internazionali, dal Comitato Internazionale della Croce Rossa alla Geneva Academy, raccomandano approcci simili e ribadiscono l’importanza di informare correttamente i volontari sui rischi e sugli obblighi derivanti da qualsiasi attività che possa avvicinarsi alle ostilità.
Qualcuno potrebbe obiettare che queste regole sono anacronistiche. In realtà sono ciò che impedisce al cyberspazio di trasformarsi in una zona grigia permanente dove ogni infrastruttura, anche la più essenziale, diventa un bersaglio. Le tecnologie digitali non conoscono confini geografici e gli effetti collaterali non toccano solo chi è direttamente coinvolto. Un attacco a una rete elettrica o a un ospedale digitale non rimane confinato in un unico paese. Si propaga lungo catene di interdipendenza che non rispondono alle logiche tradizionali dei fronti di guerra. È un dettaglio che persino alcuni strateghi militari più progressisti ammettono con un certo disagio. Non tutto ciò che è possibile è anche intelligente.
Si scopre quindi che preservare il diritto internazionale umanitario nel cyberspazio non è un atto di idealismo. È una scelta di efficienza, disciplina e legittimità strategica. Un esercito che opera nel rispetto delle norme costruisce fiducia interna ed esterna, limita i danni non necessari, mantiene aperte le possibilità di una riconciliazione post bellica. Le democrazie, soprattutto, non possono permettersi il lusso di sacrificare i propri principi per un vantaggio operativo che la ricerca dimostra essere, nella migliore delle ipotesi, modesto. Una società che trasforma i propri cittadini in bersagli rinuncia a se stessa.
Accade infine un dettaglio che i fautori dell’aggressività digitale non amano contemplare: indebolire le norme nel cyberspazio crea precedenti. Ogni eccezione diventa un’arma che anche gli avversari useranno. Ogni attacco a un supermercato di oggi apre la porta all’attacco a un ospedale di domani. Qualcuno ha detto che la guerra è la più grande produttrice di ironia, e qui l’ironia è evidente. Indebolire le tutele per colpire un nemico significa scegliere un futuro in cui nessuno è protetto.
Il percorso più prudente, più intelligente e più coerente con gli interessi strategici delle democrazie è rafforzare, non indebolire, le barriere che limitano la violenza. La guerra informatica non può diventare un pretesto per riscrivere principi consolidati, né una scusa per sperimentare con la sicurezza dei civili. Le tecnologie evolvono. I valori, se valgono qualcosa, devono rimanere stabili.