C’è qualcosa di teneramente surreale nell’immaginare l’FBI che si sente in dovere di ricordare agli hacker al soldo di Pechino che, uscendo dalla Cina, potrebbero essere arrestati. Sembra una di quelle avvertenze scritte sui manuali degli elettrodomestici: non infilare il gatto nel microonde, non asciugare i capelli nella vasca da bagno, non attraversare una frontiera se hai passato gli ultimi anni a violare sistemi informatici per conto di un apparato statale. Il progresso, a volte, consiste nel dover spiegare l’ovvio con tono grave.
La notizia, naturalmente, è seria. Un cittadino cinese, Xu Zewei, arrestato a Milano nel luglio 2025, è stato appena estradato negli Stati Uniti ed è accusato di avere partecipato a campagne di hacking nel 2020 e 2021 su mandato del governo cinese, mentre lavorava per un contractor locale. Secondo il Dipartimento di Giustizia americano, quelle intrusioni avrebbero colpito università, immunologi e virologi impegnati nella ricerca su vaccini, cure e test per il COVID-19. La Cina, per bocca del portavoce dell’ambasciata a Washington, respinge tutto: caso fabbricato per motivi politici, accuse ingiustificate, diffamazione.
Fin qui siamo nella consueta nebbia dove si incontrano cyberspionaggio, giustizia penale, diplomazia e comunicati stampa. Un panorama incerto in cui tutti vedono qualcosa, ma nessuno vede la stessa cosa. Il punto curioso, però, resta quella precisazione dell’Assistant Director dell’FBI Brett Leatherman: la protezione di cui gli hacker cinesi godono in Cina non si estende quando attraversano un confine. Tradotto dal burocratese: finché siete a casa vostra forse nessuno vi tocca, ma se venite a fare shopping, turismo o aperitivo in un Paese che collabora con gli Stati Uniti, il mondo fisico torna improvvisamente a esistere.
È una precisazione utile, ma suona strana. Sarebbe come se negli anni Ottanta qualcuno avesse dovuto ricordare ai narcotrafficanti colombiani che, lasciata la Colombia, potevano essere arrestati. Oppure come se un rapinatore, entrando in Svizzera dopo avere svuotato una banca in Francia, si stupisse perché la refurtiva non gli garantisce l’immunità diplomatica. In fondo, il principio non pare rivoluzionario: se commetti un crimine, non conta molto chi ti ha dato la pacca sulla spalla prima di uscire di casa.
Eppure, nel mondo digitale questa evidenza si inceppa. Forse perché abbiamo ancora la brutta abitudine di pensare che ciò che accade oltre lo schermo appartenga a un altro stato della materia, una specie di vapore morale in cui le responsabilità si dissolvono. Se un gruppo entra fisicamente in un laboratorio universitario e porta via documenti sulla ricerca vaccinale, tutti capiscono il problema. Se invece lo fa attraversando vulnerabilità di un server di posta, improvvisamente partono le sfumature: contractor, negabilità plausibile, interessi strategici, operazioni ibride. Tutto vero, per carità, ma alla vittima, di solito, interessa poco sapere se il ladro ha il passamontagna, la cravatta o un badge da consulente. Gli Stati usano, tollerano, reclutano o lasciano prosperare soggetti che possono risultare utili. In altri tempi non accadevano cose diverse: i corsari avevano lettere di marca e cannoni; oggi hanno exploit, credenziali e server di comando. La differenza è che il mare digitale non ha dogane visibili e molti si convincono che basti navigarlo per non essere mai raggiunti. Poi arriva un aeroporto, una camera d’albergo, un controllo documenti, e l’altro mondo sbatte contro quello fisico.
Tutto vero, a meno che la situazione non sia diversa perché se fossimo in guerra, il quadro cambia. Non perché tutto diventi improvvisamente pulito, ma perché le categorie giuridiche e politiche non sono più le stesse. Tra un delinquente e un prigioniero di guerra passa una distanza considerevole, più o meno quella tra una rapina e un’operazione militare. Il problema è che la cyber dimensione ama le zone grigie: abbastanza statale da avere protezione, sufficientemente privata da negare responsabilità, tanto criminale da produrre danni e patriottica da vendersi come servizio alla nazione. Questa ambiguità piace moltissimo ai governi quando conviene e molto meno quando qualcuno finisce in manette a Milano. Allora si scopre che la plausibile negabilità è un ottimo ombrello finché non piove un mandato di cattura che lo rende piccolo, bucato e piuttosto ridicolo. La lezione è meno tecnica di quanto sembri. Internet non ha abolito i confini, li ha soltanto resi intermittenti. Per anni abbiamo raccontato la Rete come uno spazio senza frontiere; poi ci accorgiamo che i passaporti esistono ancora, gli aeroporti pure, e i tribunali non sono stati disinstallati. Il crimine informatico può viaggiare alla velocità della luce, ma chi lo commette continua ad avere un corpo, una valigia e, qualche volta, un biglietto che poi diventa di sola andata. Alla fine, il digitale promette impunità perché sembra immateriale; la giustizia la smentisce quando ricorda che anche le nuvole, prima o poi, si fermano di fronte a una montagna abbastanza alta.