Ambiente e infotecnologie, entrambe le discipline hanno caratteristiche innate che le rendono difficili da regolamentare e che le distinguono dalle altre aree di studio.

Diversi parallelismi possono essere individuati tra le minacce all'ambiente naturale e quelle cibernetiche.

Entrambi i problemi sono sopravvissuti molto più a lungo della durata del mandato di qualsiasi politico della storia.

La portata e l'entità dei danni sono spesso di difficile accertamento e gli effetti della mitigazione e del risanamento possono essere altrettanto difficili da misurare.

I reati informatici e i crimini ambientali condividono una sofisticata rete internazionale criminale di natura ibrida,  gruppi di criminalità organizzata ed esperti tecnici, che si adattano rapidamente e modificano azioni e strategie per evitare di essere individuati e processati.

I regolatori spesso si ritrovano coinvolti in un elaborato gioco di “gatto e topo” con avversari esperti, che cercano attivamente di evitare l’individuazione.

Il rapporto UNEP-INTERPOL del 2016 "L'innalzamento della valutazione dei crimini ambientali" afferma che:

L'ampio differenziale nelle forbici di stima riflette la mancanza di statistiche criminali in questo campo, ma si basa sulle migliori fonti pubbliche e sull'intelligence di INTERPOL.

Secondo le stime ufficiali, il valore complessivo dei reati ambientali lo rende la quarta più grande attività criminale al mondo, superato solo dal traffico di droga (344 miliardi di dollari), i reati di contraffazione (288 miliardi di dollari) e la tratta di esseri umani (157 miliardi di dollari).

A differenza di qualsiasi altro crimine, i crimini ambientali sono aggravati dal costo aggiuntivo rappresentato dall'impatto sull'ambiente e sui costi per le generazioni future.

Che dire della criminalità informatica?

The World Economic Forum afferma che il costo per l'economia globale della criminalità informatica è stato stimato a 445 miliardi di dollari l'anno (https://www.weforum.org/projects/cybercrime) e continua a crescere, con un tasso annuo di crescita composto che fa invidia a parecchie aziende quotate.

Il rapporto del 2017 di Internet Organised Crime Threat Assessment (IOCTA) a cura di Europol ed Interpol ha posto enfasi su come il crimine informatico continui a crescere ed evolversi; mentre molti aspetti del crimine informatico sono stabili e consolidati, vi sono altre aree dei cybercrime che hanno registrato un notevole aumento dell'attività, poiché il crimine informatico continua a prendere nuove forme e nuove direzioni.

Alcuni attacchi informatici hanno causato una diffusa preoccupazione nell’opinione pubblica, ma questo ha rappresentato solo un piccolo esempio della vasta gamma di minacce informatiche da affrontare negli anni a venire, in particolare a causa della crescente convergenza tra il mondo fisico, quello biologico e quello digitale.

Quattro caratteristiche uniche che si applicano sia alla cyber-law che al diritto ambientale sono:

  1. Novità: le minacce ambientali non sono state ampiamente discusse fino alla pubblicazione del famigerato libro “Silent Spring” di Rachel Carson alla fine degli anni '60, Internet è una sfida epocale di fine ventesimo secolo;
 
  1. Natura evolutiva e portata globale;
 
  1. L'assenza di un'autorità centrale;
 
  1. Alto livello di complessità: l'ambiente è altamente tecnologico, scientifico e intricato; e la sua complessità è aggravata da una pletora di leggi e regolamenti di diritto ambientale, che sono notoriamente elaborati e tecnici.
Dall'altra parte, Internet è un ecosistema in continua trasformazione e complessità, e poiché la complessità è l'avversario principe della sicurezza, i sistemi informatici sono intrinsecamente insicuri.

Non dimentichiamo la sua nascita come uno strumento militare americano, in seguito ampliato per promuovere le priorità sociali, economiche, educative, ricreative, militari, commerciali, compresa la fornitura di numerosi beni e servizi pubblici e privati.

Uno degli obiettivi principali della legislazione ambientale è disciplinare le esternalità, poiché varie forme di degrado ambientale implicano esternalità negative (cioè costi di ricaduta che sono imposti a terzi non responsabili e che non sono trasmessi attraverso i prezzi).

La sicurezza informatica può essere intesa in termini di esternalità negative, ma una potenziale differenza tra inquinamento e sicurezza informatica è che l'inquinamento è un sottoprodotto dannoso di attività socialmente utile (come la produzione) mentre gli attacchi informatici implicano una condotta intenzionalmente dannosa.

Tuttavia, anche le intrusioni di cyber possono essere viste come un sottoprodotto incidentalmente dannoso di attività benefiche: un attacco informatico su un computer è un sottoprodotto del computer connesso a Internet, che è socialmente utile perché produce effetti di rete; aderendo alla rete, l'utente aumenta il suo valore per tutti gli utenti.

Le aziende non sosterranno interamente i costi legati alle proprie Cyber-insicurezze, alcuni effetti inevitabilmente ricadranno su terzi, quindi parzialmente esternalizzati.

Altro parallelismo, un'impresa che stia decidendo quanto investire nella propria infrastruttura di cyber security, tendenzialmente non terrà conto dei costi che un eventuale attacco dovesse comportare per i terzi, le imprese tendono a sovraccaricare l'inquinamento, poiché acquisiscono tutti i benefici dell'attività produttiva associata, ma non tutti costi risultanti.

Allo stesso modo, le aziende tendono ad alimentare in eccesso la cyber-insicurezza: tendono a sottostimare la cyber-difesa, perché internalizzano tutti i benefici ma solo alcuni dei costi.

Pertanto, le imprese possono investire meno nella difesa cibernetica rispetto a quella ottimale dal punto di vista sociale.

Tuttavia la sicurezza informatica può anche essere intesa come un'esternalità positiva: quando un'impresa spende risorse per difendersi dagli intrusi, tale investimento può rendere i sistemi degli altri utenti marginalmente più sicuri.

Le misure di difesa aiutano anche a impedire che il sistema dell'impresa venga inconsapevolmente utilizzato per infliggere danni ai sistemi informatici altrui.

Il diritto dell’ambiente e i principi economici che riflette forniscono un framework importante per capire la tendenza di alcune aziende a trascurare la cyber-difesa: è un problema di free-riding.

Le aziende tendono a sottovalutare e ad investire in misura sottodimensionata sulle cyber-difese per la stessa ragione per la quale tendono a non investire sulle misure di prevenzione dell’inquinamento: perché le falle che provocano attacchi informatici producono esternalità negative riversate sui terzi.

Le imprese tendono anche a sotto-investire in cyber security perché tali spese creano esternalità positive per i competitor e offrono opportunità di free-riding; il ragionamento aziendale pertanto sarà impostato sul “poiché non posso internalizzare tutti i benefici correlati alla assunzione di spese per la difesa informatica, cercherò di fare free-riding sugli sforzi economici sostenuti dalle altre aziende”.

La vera sfida pertanto, per la creazione di un regime efficiente di cyber-security a livello macrosistemico, deve essere quella di internalizzare le esternalità, garantendo che gli operatori inadempienti rispetto alla sicurezza informatica siano gli unici centri di imputazione dei costi e dei danni correlati.