L'Unione Europea ha imposto per la prima volta misure restrittive ai danni di sei persone fisiche e di tre aziende di origine russa e cinese. Sono ritenute responsabili o coinvolte a vario titolo in "cyber attacchi provenienti dall'esterno dell'Unione e che costituiscono una minaccia esterna per l'Unione o per i suoi Stati membri, e attacchi informatici con un effetto significativo nei confronti di terzi".

La decisione, che non ha precedenti, è stata presa dal CFSP (Politica Estera e di Sicurezza Comune) gestito e promosso dall'Alto rappresentante per gli affari esteri e la politica di sicurezza e dal Servizio europeo per l'azione esterna.

Il provvedimento del CFSP numero 2020/1127 del 30 luglio 2020 fa riferimento a quello 2019/797 riguardante le misure restrittive contro gli attacchi informatici che minacciano l'Unione o i suoi Stati membri. Costituisce una risposta diplomatica alle preoccupazioni espresse dai presidenti del Consiglio europeo e della Commissione europea e dell'Alto rappresentante dell'Unione per gli affari esteri e la politica di sicurezza in una dichiarazione congiunta seguita a un attacco informatico ai danni della Organisation for the Prohibition of Chemical Weapons nei Paesi Bassi.
Le sanzioni a cui sono sottoposti tutti gli accusati includono il divieto di viaggio e il congelamento dei beni alle persone fisiche e a entità o enti. Inoltre, soggetti e società in questione non potranno beneficiare di fondi erogati né da persone né da istituzioni interne all'UE.

Le sanzioni erano già contemplate dal quadro giuridico per la risposta diplomatica congiunta dell'UE alle attività cibernetiche dannose, che è attivo da maggio 2019 ed è stato recentemente rinnovato. Finora non era stato ritenuto necessario ricorrere a tali armi.

Accusati e accuse

Come illustrato nel documento ufficiale, i titolari del provvedimento sono due persone fisiche e altrettante aziende di origine cinese, più quattro persone fisiche e un'azienda della Federazione Russa.

La parte cinese è stata collegata alla "Operation Cloud Hopper", una serie di cyber attacchi che ha bersagliato i sistemi informativi di aziende multinazionali in sei continenti, incluse le sedi situate nell'Unione. I cyber criminali hanno ottenuto l'accesso non autorizzato a dati sensibili dal punto di vista commerciale, con conseguenti perdite economiche significative per le vittime.

Le persone fisiche accusate sono ritenute parte del gruppo criminale APT10 a cui è addebitata la regia dell'attacco. Le aziende avrebbero fornito a vario titolo "supporto finanziario, tecnico o materiale all'operazione Cloud Hopper" e lo stesso tipo di aiuto in attacchi informatici con WannaCry contro l'Autorità polacca di vigilanza finanziaria e Sony Pictures Entertainment.
Sul fronte russo le accuse ruotano attorno agli attacchi contro la OPCW e la rete elettrica ucraina condotti mediante l'uso del ransomware NotPetya nel giugno 2017 e negli inverni 2015 e 2016.

L'Alto rappresentante Josep Borrell ha pubblicato una dichiarazione ufficiale in cui sottolinea che "l'Unione europea e i suoi Stati membri hanno ripetutamente manifestato la loro preoccupazione e denunciato comportamenti dannosi nel cyberspazio. Tale comportamento è inaccettabile in quanto mina la sicurezza e la stabilità internazionali e i vantaggi offerti da Internet e dall'uso delle tecnologie dell'informazione e della comunicazione".

I provvedimenti presi dal Consiglio – prosegue Borrel – sono stati decisi "al fine di prevenire, scoraggiare e rispondere a comportamenti dannosi nel cyberspazio" contro l'UE o i suoi Stati membri. Infine Borrel invita "ogni Paese a cooperare a favore della pace e della stabilità internazionali, ad esercitare la dovuta diligenza e ad adottare misure appropriate contro gli attori che svolgono attività cibernetiche dannose".