Nel gennaio 2010, quando gli ingegneri iraniani della centrale nucleare di Natanz hanno iniziato a notare malfunzionamenti inspiegabili nelle centrifughe per l’arricchimento dell’uranio, non immaginavano che stavano assistendo alla prima dimostrazione pubblica di come le vulnerabilità zero-day potessero sostituire i bombardieri.

Stuxnet, il worm che sfruttava quattro zero-day in Windows per sabotare i controllori Siemens, non era solo un capolavoro tecnico: era un messaggio diplomatico preciso. Gli Stati Uniti e Israele stavano comunicando all’Iran, e a tutto il mondo, che possedevano la capacità di penetrare e distruggere infrastrutture critiche senza sparare un colpo. Il programma nucleare iraniano venne rallentato di anni, ma soprattutto, Washington aveva evitato un bombardamento che avrebbe infiammato il Medio Oriente. Il costo? Alcuni milioni di dollari in vulnerabilità zero-day. Il risultato? Una nuova era dello statecraft.

L’escalation ladder digitale

Come descritto nel precedente articolo “La diplomazia dei bug bounty”, queste falle di sicurezza sono diventate la valuta dell’intelligence moderna. Ma il loro utilizzo va oltre lo spionaggio: sono diventate strumenti di pressione strategica che occupano uno spazio unico nell’escalation tra nazioni. Troppo significative per essere semplice intelligence gathering, troppo deniable per essere atti di guerra tradizionali.

La teoria della coercizione, sviluppata durante la Guerra Fredda da strateghi come Thomas Schelling, si basava sull’idea che le nazioni potessero influenzare il comportamento altrui attraverso minacce credibili di danno. Le operazioni cyber basate su zero-day hanno creato una nuova categoria nella ladder of escalation: azioni che dimostrano capacità devastanti mantenendo plausible deniability, che causano danni calibrati senza vittime dirette, che possono essere graduate con precisione chirurgica.

Nel giugno 2019, quando l’amministrazione Trump ha autorizzato il Cyber Command a penetrare la rete elettrica russa con l’utilizzo di malware, l’operazione aveva un obiettivo esplicitamente deterrente. Secondo il New York Times, gli Stati Uniti volevano che i russi scoprissero i malware: era un messaggio che diceva “possiamo fare a voi quello che voi avete fatto a noi“. Questo è cyber signaling nella sua forma più pura: utilizzare la dimostrazione di capacità offensive come strumento diplomatico.

Il paradosso della dimostrazione

Le armi cyber presentano un paradosso fondamentale per la deterrenza: per dimostrare credibilmente le proprie capacità, bisogna spesso “bruciare” le vulnerabilità che le rendono efficaci. Quando la NSA ha utilizzato EternalBlue contro obiettivi strategici, quella vulnerabilità zero-day in Windows era estremamente preziosa proprio perché sconosciuta. Una volta che il gruppo Shadow Brokers l’ha rubata e pubblicata nel 2017, Microsoft ha rilasciato una patch e quella capacità è stata neutralizzata.

Questo crea un dilemma strategico assente nelle armi convenzionali: un missile può essere mostrato in una parata militare senza perdere efficacia, ma uno zero-day dimostrato pubblicamente perde gran parte del suo valore. Le nazioni devono quindi bilanciare l’esigenza di comunicare deterrenza con la necessità di preservare capacità operative.

La Russia ha risolto questo paradosso con un approccio particolarmente sofisticato durante le elezioni americane del 2016. Le operazioni di penetrazione dei server del DNC e la successiva pubblicazione di documenti attraverso WikiLeaks e DCLeaks hanno dimostrato capacità di infiltrazione senza rivelare gli zero-day specifici utilizzati. Mosca ha comunicato un messaggio chiaro: “possiamo penetrare le vostre infrastrutture democratiche” mantenendo operativi gli strumenti che hanno permesso l’operazione.

La Cina e la coercizione economica digitale

La strategia cinese rappresenta un caso di studio particolarmente illuminante su come gli zero-day possano essere utilizzati per obiettivi di statecraft economico. Tra il 2014 e il 2018, l’Operation Cloud Hopper ha compromesso società di managed services provider in 14 Paesi, utilizzando catene di vulnerabilità zero-day per accedere ai dati dei loro clienti. Non era spionaggio tradizionale: era trasferimento tecnologico forzato su scala industriale.

Nel 2019, il Dipartimento di Giustizia americano ha incriminato hacker cinesi per il furto di dati relativi al C-919, l’aereo commerciale che Pechino sta sviluppando per competere con Boeing e Airbus. Gli investigatori hanno documentato come vulnerabilità zero-day siano state utilizzate per accedere ai sistemi di contractor aerospaziali americani ed europei, estraendo terabyte di dati tecnici. Il risultato? Il C-919, introdotto nel mercato cinese nel 2023, mostra molte similitudini con progetti occidentali che erano protetti da classificazione.

Questa è coercizione economica attraverso mezzi cyber: la Cina comunica alle aziende occidentali che la loro proprietà intellettuale è accessibile, creando un incentivo a “collaborare volontariamente” piuttosto che essere penetrate. Alcune aziende hanno scelto di stabilire joint venture in Cina, cedendo tecnologia in cambio di accesso al mercato, avendo compreso che l’alternativa era vedersi rubare l’innovazione comunque.

L’assenza di norme e il fallimento del controllo degli armamenti

A differenza delle armi nucleari, chimiche o biologiche, le capacità cyber offensive non sono regolate da trattati internazionali vincolanti. I tentativi di stabilire norme sono ripetutamente falliti, rivelando le profonde divergenze su cosa costituisca un attacco cyber accettabile.

I negoziati UN GGE (Group of Governmental Experts) sul comportamento statale nel cyberspace si sono arenati nel 2017 quando Russia e Cina hanno rifiutato di accettare che il diritto internazionale esistente si applichi integralmente al cyberspace.

Il problema fondamentale è l’asimmetria di vulnerabilità: le democrazie occidentali, con economie digitalizzate e infrastrutture interconnesse, sono molto più vulnerabili agli attacchi cyber rispetto a regimi autoritari con minore dipendenza digitale e maggiore controllo sulle informazioni.

Nel 2021, l’amministrazione Biden ha tentato un approccio diverso, proponendo “red lines” su obiettivi specificamente off-limits (sistemi ospedalieri, reti elettriche critiche). Durante il summit di Ginevra, Putin ha accettato un dialogo, ma gli attacchi ransomware contro ospedali americani sono continuati – presumibilmente da gruppi criminali russi che operano con implicita tolleranza statale. Questo illustra un altro problema: l’attribuzione ambigua permette agli stati di utilizzare proxy criminali per operazioni che vogliono negare.

Il futuro della coercizione digitale

L’intelligenza artificiale sta trasformando ulteriormente questo panorama. Sistemi AI possono ora scoprire vulnerabilità zero-day autonomamente e Google Project Zero insieme a Google DeepMind hanno già dimostrato prototipi, democratizzando capacità che erano prerogativa di poche nazioni. Contemporaneamente, l’AI permette difese più sofisticate che potrebbero accorciare drasticamente la “shelf life” degli zero-day.

Questo crea una dinamica instabile: le nazioni potrebbero sentirsi incentivate a utilizzare i propri arsenali digitali prima che diventino obsoleti, in una logica di “use it or lose it” che ricorda i primi anni della Guerra Fredda. I prossimi anni determineranno se le vulnerabilità zero-day rimarranno strumenti di pressione calibrata o se diventeranno il trigger di escalation incontrollate.

Quello che è certo è che, come documentato analizzando il mercato che alimenta questi arsenali, le vulnerabilità zero-day hanno già ridefinito il potere internazionale. E in assenza di norme condivise, ogni vulnerabilità scoperta e ogni exploit sviluppato ci avvicina a un conflitto che potrebbe iniziare con un click e finire con blackout continentali.

Vai al sito di Cybersecurity Italia.

L'articolo Quando il codice diventa pressione: gli zero-day nella diplomazia coercitiva sembra essere il primo su CyberSecurity Italia.