Il modello legale a cui recentemente la comunità internazionale ha mostrato di prestare maggiore attenzione è quello della responsabilità statale, le cui principali norme sono contenute nel Draft articles on Responsibility of States for Internationally Wrongful Acts, prodotto nel 2001 dalla Commissione del diritto internazionale (Cdi). Il nucleo di questo framework normativo è che lo Stato è responsabile per le tutte le attività ad esso imputabili che abbiano origine sul proprio territorio. L’Ue si troverà a breve ad aggiornare la sua cyber security strategy del 2013 e, raccomandano alcuni esperti, dovrebbe fare del concetto di responsabilità statale il fulcro dell’intera strategia, affinché lo sviluppo delle capacità cibernetiche difensive e offensive degli Stati sia compatibile con la finalità di garantire un internet libero, aperto e affidabile. L’Ue – sottolinea la Bendiek nella sua analisi – potrebbe promuovere il framework sulla responsabilità statale in tre modi: 1) Maggior coordinamento all’interno dell’Ue. Sin dal 2003 i funzionari dell’Ue hanno coordinato le attività in ambito informatico servendosi del Friends of the Presidency Group on Cyber Issues. Quest’organismo dovrebbe a sua volta cooperare con altri due enti, il Servizio europeo per l`azione esterna (Eeas) e l`Agenzia europea per la sicurezza delle reti e dell`informazione (Enisa), al fine di trovare una posizione comune ed implementare delle misure precise in tema di responsabilità statale nel cyber spazio.
2) Cooperazione transatlantica. Affinché uno Stato possa essere ritenuto responsabile per un atto offensivo nel cyber spazio è indispensabile individuare dei meccanismi in grado di rendere possibile l’attribuzione stessa. Poiché il problema dell’attribuzione è una delle sfide più grandi per gli Stati, l’Ue e gli Usa dovrebbero cooperare in tale ambito mettendo da parte le loro divergenze sui temi della privacy, dello spionaggio e della sorveglianza. Una soluzione potrebbe essere quella di creare una corte indipendente di arbitrato ad hoc dotata delle capacità forensi necessarie per effettuare l’attribuzione, cosa che darebbe maggiore credibilità al processo di responsabilizzazione. 3) Mitigazione del rischio di escalation militare. In base al diritto internazionale vigente, se uno Stato viola la sovranità territoriale o l’integrità politica di un altro Paese, quest`ultimo può ricorrere a tutti i mezzi necessari e proporzionali atti a porre fine all’offesa. Tale principio cardine del diritto internazionale, esplicitato negli articoli 2(4) e 51 della Carta delle Nazioni Unite, può essere esteso anche ad operazioni offensive che avvengano nel cyber spazio (come ha riconosciuto anche il Group of Experts che ha redatto il Manuale di Tallinn sul diritto internazionale applicabile alla guerra cibernetica). Sebbene sia legittimo in principio reagire a una violazione grave adottando dei meccanismi di “difesa attiva”, il ricorso a questo tipo di contromisure potrebbe creare tensioni e possibili escalation di violenza. Pertanto gli Stati membri dell’Unione europea dovrebbe limitarsi ad mantenere un atteggiamento puramente difensivo e promuovere queste posizioni in altri fori come la Nato, l’Osce e altre istituzioni multilaterali. (fonte: Cyber Affairs)