Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ed esperti di sicurezza di tutto il mondo ne mettono in guardia dalla gravità, utilizzando persino il termine “2025 Log4Shell”.

I server impattati da questa minaccia sono circa 8.777.000 nel mondo, mentre i server italiani sono circa 87.000. Questo fa comprendere, che con una severity da score 10, potrebbe essere una delle minacce più importante di tutto l’anno, che sta diventando “attiva”.

Il nuovo Log4Shell del 2025

Infatti, è stato confermato che la comunità hacker cinese che sono stati già avviati test di attacco su larga scala sfruttando l’exploit per la vulnerabilità in questione sui server esposti. il CVE-2025-55182 non è semplicemente un bug software. È una falla strutturale nel protocollo di serializzazione RSC, che consente lo sfruttamento con la sola configurazione predefinita, senza errori da parte degli sviluppatori. L’autenticazione non è nemmeno richiesta.

Ecco perché gli esperti di sicurezza di tutto il mondo lo chiamano “la versione 2025 di Log4Shell”. Lo strumento di scansione delle vulnerabilità React2Shell Checker sta analizzando più percorsi e alcuni endpoint sono contrassegnati come Sicuri o Vulnerabili. L’immagine sopra mostra che diversi ricercatori stanno già eseguendo scansioni automatiche sui server basati su RSC.

Il problema è che questi strumenti diventano armi che gli aggressori possono sfruttare. Gli hacker cinesi stanno conducendo con successo test RCE. Secondo i dati raccolti dalla comunità di hacker cinese, gli aggressori hanno già iniettato React2Shell PoC nei servizi basati su Next.js, raccolto i risultati con il servizio DNSLog e verificato il vettore di attacco.

L’Exploit PoC in uso nelle scansioni

Viene inviato un payload manipolato con Burp Repeater e il server crea un record DNS esterno. Ciò indica che l’attacco viene verificato in tempo reale. Gli aggressori hanno già completato i seguenti passaggi:

• Carica il payload sul server di destinazione
• Attiva la vulnerabilità di serializzazione RSC
• Verifica il successo dell’esecuzione del comando con DNSLog esterno
• Verifica la possibilità di eseguire child_process sul lato server.

Non si tratta più di una “vulnerabilità teorica”, bensì della prova che è già stato sviluppato un vettore di attacco valido.

Gli hacker cinesi stanno in questi istanti eseguendo con successo le RCE.

l PoC sono stati pubblicati su GitHub e alcuni ricercatori lo hanno eseguito, confermando che la Calcolatrice di Windows (Calc.exe) è stata eseguita in remoto.

L’invio del payload tramite BurpSuite Repeater ha comportato l’esecuzione immediata di Calc.exe sul server. Ciò significa che è possibile l’esecuzione completa del codice remoto.

L’esecuzione remota della calcolatrice è un metodo di dimostrazione comune nella comunità di ricerca sulla sicurezza di un “RCE” riuscito, ovvero quando un aggressore ha preso il controllo di un server.

Gli 87.000 server riportati nella print screen di FOFA, dimostrano che un numero significativo di servizi web di aziende italiane che operano con funzioni RSC basate su React/Next.js attivate sono a rischio. Il problema è che la maggior parte di essi

• utilizza il rendering del server
• mantiene le impostazioni predefinite di RSC
• gestisce percorsi API esposti, quindi possono essere bersaglio di attacchi su larga scala.

In particolare, dato che i risultati della ricerca FOFA sono una fonte comune di informazioni utilizzata anche dai gruppi di hacker per selezionare gli obiettivi degli attacchi, è altamente probabile che questi server siano sotto scansioni attive.

Perché React2Shell è pericoloso?

Gli esperti definiscono questa vulnerabilità “senza precedenti” per i seguenti motivi:

• RCE non autenticato (esecuzione di codice remoto non autenticato): l’aggressore non ha bisogno di effettuare l’accesso.
• Possibilità Zero-Click: non è richiesta alcuna azione da parte dell’utente.
• PoC immediatamente sfruttabile: già pubblicato in gran numero su GitHub e X.
• Centinaia di migliaia di servizi in tutto il mondo si basano su React 19/Next.js: rischio di proliferazione su larga scala a livello della supply chain.
• L’impostazione predefinita stessa è vulnerabile: è difficile per gli sviluppatori difenderla.

Questa combinazione è molto simile all’incidente Log4Shell del 2021.

Tuttavia, a differenza di Log4Shell, che era limitato a Java Log4j, React2Shell è più serio in quanto prende di mira i framework utilizzati dall’intero ecosistema globale dei servizi web.

I segnali di un attacco effettivo quali sono

Gli Aggressori stanno già eseguendo la seguente routine di attacco.

• Raccolta di risorse di esposizione React/Next.js per paese da FOFA
• Esecuzione dello script di automazione PoC di React2Shell
• Verifica se il comando è stato eseguito utilizzando DNSLog
• Sostituisci il payload dopo aver identificato i server vulnerabili
• Controllo del sistema tramite RCE finale

Questa fase non è una pre-scansione, ma piuttosto la fase immediatamente precedente all’attacco. Dato il numero particolarmente elevato di server in Italia, la probabilità di attacchi RCE su larga scala contro istituzioni e aziende nazionali è molto alta. Strumenti di valutazione delle vulnerabilità e altri strumenti vengono caricati sulla comunità della sicurezza.

Mitigazione del bug di sicurezza

Gli esperti raccomandano misure di emergenza quali l’applicazione immediata di patch, la scansione delle vulnerabilità, l’analisi dei log e l’aggiornamento delle policy di blocco WAF.

Il team di React ha annunciato il 3 di aver rilasciato urgentemente una patch per risolvere il problema CVE-2025-55182, correggendo un difetto strutturale nel protocollo di serializzazione RSC. Tuttavia, a causa della natura strutturale di React, che non si aggiorna automaticamente, le vulnerabilità persistono a meno che aziende e organizzazioni di sviluppo non aggiornino e ricompilino manualmente le versioni.

In particolare, i servizi basati su Next.js richiedono un processo di ricostruzione e distribuzione dopo l’applicazione della patch di React, il che significa che probabilmente ci sarà un ritardo significativo prima che la patch di sicurezza effettiva venga implementata nell’ambiente del servizio. Gli esperti avvertono che “la patch è stata rilasciata, ma la maggior parte dei server è ancora a rischio”.

Molte applicazioni Next.js funzionano con RSC abilitato di default, spesso senza che nemmeno i team di sviluppo interni ne siano a conoscenza. Ciò richiede che le aziende ispezionino attentamente le proprie basi di codice per verificare l’utilizzo di componenti server e Server Actions. Con tentativi di scansione su larga scala già confermati in diversi paesi, tra cui la Corea, il rafforzamento delle policy di blocco è essenziale.

Inoltre, con la diffusione capillare di scanner automatici React2Shell e codici PoC in tutto il mondo, gli aggressori stanno eseguendo scansioni di massa dei server esposti anche in questo preciso momento. Di conseguenza, gli esperti di sicurezza hanno sottolineato che le aziende devono scansionare immediatamente i propri domini, sottodomini e istanze cloud utilizzando strumenti esterni di valutazione della superficie di attacco.

Hanno inoltre sottolineato che se nei log interni vengono rilevate tracce di chiamate DNSLog, un aumento di richieste POST multipart insolite o payload di grandi dimensioni inviati agli endpoint RSC, è molto probabile che si sia già verificato un tentativo di attacco o che sia stata raggiunta una compromissione parziale, il che richiede una risposta rapida.

L'articolo React2Shell = Log4shell: 87.000 server in Italia a rischio compromissione proviene da Red Hot Cyber.

Articolo pubblicato in origine il 26/11/2025 su Transform Italia. di P. Nicolosi (Rattus) Negli ultimi dieci anni, quell’area di pensiero critico che si occupa, in modo più o meno sistematico, di tecnologie digitali, ha iniziato a prendere sul serio il … Continua a leggere→

rizomatica

2025-12-05 15:27:12

Spunti attuali e inattuali sul ruolo del comportamentismo nell’evoluzione del capitalismo digitale

img genrata da IA – dominio pubblico

Articolo pubblicato in origine il 26/11/2025 su Transform Italia.

di P. Nicolosi (Rattus)

Negli ultimi dieci anni, quell’area di pensiero critico che si occupa, in modo più o meno sistematico, di tecnologie digitali, ha iniziato a prendere sul serio il ruolo del comportamentismo nella struttura e nei funzionamenti di quello che spesso viene definito capitalismo cognitivo. I riferimenti polemici al comportamentismo sono partiti in sordina, con una battuta di Eugeny Morozov che, in un suo libro di alcuni anni fa ¹, faceva il verso a Richard Barbrook e Andy Cameron: i due massmediologi inglesi, nel celebre articolo intitolato L’ideologia Californiana, avevano definito Marshall McLuhan il “santo protettore” di Internet ². Morozov, tra il serio e il faceto, replicava che il vero santo protettore della rete non era McLuhan, bensì Burrhus F. Skinner, il celebre teorico del comportamentismo radicale.

Qualche anno dopo, nel 2016, l’Economist pubblicava un lungo articolo inchiesta di Ian Leslie ³. Un titolo che rinvia all’incontro che avvenne a Corinto tra Alessandro il Grande e Diogene di Sinope. Si narra che Diogene fosse disteso davanti alla sua botte a prendere il sole quando il giovane condottiero gli si pose di fronte e gli chiese se poteva fare qualcosa in suo favore. Diogene, senza alterarsi, rispose: “Sì, togliti dalla mia luce” (in inglese appunto “Stand out of my light”). Nella metafora di Williams la “luce” sta a indicare il focus attentivo di ciascuno di noi. L’invito a togliersi dalla luce è, in realtà, un’esortazione rivolta alle grandi piattaforme web quali Google o Facebook, a non disturbare la nostra attenzione. L’analogia tra le grandi piattaforme informatiche e il condottiero greco è stata scelta assai bene: sono due forme di potere diverse, che hanno in comune l’ostentazione della loro potenza e la vastità del territorio sottomesso.

Nella prospettiva di Williams le piattaforme informatiche chiedono a ciascuno di noi “Cosa posso fare per te?”, proprio come Alessandro fece con Diogene. Il problema, secondo Williams, è che si rileva un crescente disallineamento tra i nostri obiettivi e quelli delle piattaforme a cui, ingenuamente, ci affidiamo. Esse non fanno realmente ciò di cui avremmo bisogno. Ammesso che sia vero che l’informatica e il web sono nati come strumenti al nostro servizio, utili per i nostri scopi, oggi non svolgono più questa funzione in modo trasparente. La metafora che Williams fornisce a questo riguardo è quella di un sistema GPS, un navigatore per l’automobile, che inizia a funzionare male. Non ci conduce più nei luoghi in cui vogliamo andare, ma ci porta in posti molto distanti da essi. Cresce così il sospetto di essersi affidati a una tecnologia che prima facie si presentava come uno strumento al nostro servizio ma che in realtà stava lavorando per scopi profondamente diversi dai nostri. Vale citare a riguardo un passo tratto dal testo di James Williams:

«Cominciai presto a capire che la causa per la quale ero stato arruolato non era affatto l’organizzazione dell’informazione, ma dell’attenzione. Il settore tecnologico non stava progettando prodotti; stava progettando utenti. Questi sistemi magici e generali non erano “strumenti” neutrali; erano sistemi di navigazione guidati da scopi che orientavano la vita di esseri umani in carne e ossa».

Collega di Williams presso Google, Tristan Harris, viene spesso definito dai giornali come l’ex responsabile di “ethic design” presso gli uffici di Google. Harris ha denunciato le strategie di manipolazione dell’attenzione praticate dai giganti di Internet e ha proposto un inventario di idee per una nuova ecologia delle app e dell’interfaccia utente. La sola esistenza, presso Google, di un incarico definito dalla singolare formula design ethicist desta nel lettore una certa curiosità. Se partiamo dal dato che nelle aziende informatiche italiane è raro incontrare un “ergonomo” o un “esperto di interfacce utente”, il fatto che presso Google possa lavorare un esperto di “etica della progettazione delle interfacce” incuriosisce e suscita comprensibili interrogativi. In Italia esistono degli insegnamenti di Computer Ethics (per esempio presso il Politecnico di Torino), ma si tratta di scelte formative di carattere pubblico. Se è comprensibile che gli Stati nazionali possano decidere di tutelare, nell’ambito di corsi di formazione universitaria, interessi di carattere generale – per esempio attraverso la realizzazione di linee guida di carattere etico per le aziende e gli operatori informatici – non è altrettanto facile spiegarsi quale potrebbe essere il ruolo di un esperto di “ethic design” presso un’azienda privata come Google.

In effetti, la carriera di Harris a Mountain View, per quanto breve, si rivela più complicata e interessante di quanto si possa immaginare. Il percorso attraverso cui, presso Google, gli è stato assegnato il roboante titolo di “design ethicist and product philosopher” merita un breve approfondimento.

Nel 2006 Tristan Harris aveva seguito a Stanford dei corsi di design presso il “Persuasive Tech Lab” di B. J. Fogg. Pare che in quell’occasione abbia collaborato con Mike Krueger alla realizzazione di Send the SunShine un’app con ci si proponeva di alleviare i sintomi dei disturbi stagionali dell’umore (SAD). Mike Krueger in seguito diventerà miliardario come cofondatore di Instagram, mentre Harris avrebbe lanciato una start-up che si chiamava Apture e che aveva come principale obiettivo quello di facilitare i processi di apprendimento degli utenti in rete. Fin dai suoi primi passi nel mondo dell’informatica Harris si è quindi presentato come uno studioso di interfacce digitali e di processi di apprendimento. Nel 2011 Apture è stata acquistata da Google con l’intero staff. Tuttavia, quando Harris si è reso conto che presso Google non riusciva a trovare l’afflato etico e la vocazione didattica che lo aveva spinto a realizzare Apture, ha deciso di andarsene, non senza aver inflitto ai suoi colleghi di Google una serie di testi e di slide in cui sosteneva l’importanza di sviluppare un nuovo atteggiamento etico nei confronti dei prodotti informatici che vengono lanciati in rete. Quel testo, oramai celebre, iniziava con queste parole:

«Sono preoccupato del fatto che stiamo creando un mondo sempre più disattento. Il mio obiettivo con questa presentazione è creare un movimento presso la sede di Google che si ponga l’obiettivo di minimizzare la distrazione e, per riuscire in questo, ho bisogno del tuo aiuto».

Con grande sorpresa dello stesso Harris, quei suoi materiali si sono rapidamente diffusi per contagio all’interno dell’azienda. Google, negli ultimi anni, ha dovuto affrontare in diverse occasioni il malumore dei suoi dipendenti. Anche per ragioni storiche legate al suo brand, che ha sempre sostenuto di voler rendere il mondo un posto migliore, la direzione di Mountain View sfoggia un aplomb da corte illuminata e tende a evitare i mormorii che facilmente seguono la diaspora dei propri dipendenti. Così, per dissuadere Harris dall’idea di lasciare Mountain View, è giunto per lui direttamente dai “piani alti” il titolo di design ethicist and product philosopher e il relativo nuovo incarico. Harris inizialmente ha accettato la nuova investitura, ma si è poi convinto che presso Google, in ogni caso, non gli sarebbe stato possibile esprimere in piena libertà i suoi convincimenti. Così, ha deciso di intraprendere una carriera privata da “design ethicist” dando il via a una varietà di iniziative e tenendo un numero sterminato di conferenze. Uno dei temi ricorrenti nei suoi interventi pubblici è la denuncia dell’uso crescente, da parte dei colossi del web, di tecniche di stimolazione orientate alla cattura dell’attenzione degli utenti. La distrazione indotta da questi dispositivi viola le convinzioni etiche più profonde di Harris, che fin dalla fondazione di Apture, come abbiamo visto, si era proposto di contribuire alla realizzazione di una rete a forte vocazione didattica, capace di facilitare l’apprendimento e di stimolare comportamenti intelligenti e virtuosi.

Nella descrizione che ne fornisce Ian Leslie nel suo famoso articolo, Harris si sarebbe progressivamente convinto che: « (…) il potenziale di Internet di informare e illuminare fosse in conflitto con l’imperativo commerciale di catturare e mantenere l’attenzione degli utenti con ogni mezzo possibile.»

Leslie ha quindi deciso di intervistare a Stanford il professor Brian Jeffrey Fogg, che era stato l’insegnante di Harris e il fondatore della captologia, disciplina che si occupa della cattura dell’attenzione. A detta di Leslie, Fogg si è rivelato un personaggio tutt’altro che diabolico, che sembrava sinceramente turbato dall’accusa, mossa contro di lui in quel periodo, di essere uno stratega della manipolazione del comportamento. Altra intervista di notevole interesse, contenuta nel lungo articolo di Leslie, quella a Natasha Dow Schüll, antropologa, che ha realizzato una monumentale ricerca su Las Vegas e le evoluzioni del gioco d’azzardo sotto la crescente pressione delle tecnologie digitali. Un lavoro con molti tratti di esplicita denuncia, che mostra l’impressionante crescita dell’azzardo negli ultimi due decenni.

Va detto, tuttavia, che sebbene il libro di Dow Schüll sul design delle interfacce dei dispositivi dell’azzardo sia senza ombra di dubbio un’opera fondamentale ⁴ al suo interno i riferimenti al comportamentismo sono sporadici e occasionali o, a dirla tutta, quasi inesistenti. Cosa piuttosto singolare, visto che Skinner ha dedicato molte pagine alle sloth machine e alle loro analogie con i suoi studi sul comportamento animale. In realtà, nessuno dei personaggi intervistati da Leslie ha fatto riferimenti troppo espliciti al comportamentismo né nell’intervista né altrove. A un giudizio di superficie, si può perfino pensare che l’idea di tirare in ballo Skinner in quell’articolo sia da attribuire più a Leslie che ai suoi interlocutori. Fatto salvo il professor Fogg, che è indubitabilmente un neo-comportamentista, gli altri intervistati sembrano avere un’idea piuttosto approssimativa del comportamentismo, della sua vicenda storica e dei suoi principi. Del resto Dow Schüll, Williams e Harris non hanno curricula che prevedano, al loro interno, la presenza di competenze di questo genere. Competenze che anche negli Stati Uniti, vedremo più avanti perché, sono oramai un’ esclusiva degli storici della psicologia e, occasionalmente, di qualche filosofo della mente.

Qualche anno dopo, con la pubblicazione de Il capitalismo della sorveglianza di Shoshana Zuboff ⁵ si ebbe la reprimenda più diretta ed esplicita sul rapporto tra capitalismo digitale e comportamentismo. L’autrice dedicava ben tre capitoli del suo bestseller a Skinner suscitando una certa sorpresa tanto nel grande pubblico quanto tra gli addetti ai lavori.

Io, che da trent’anni avevo adottato in rete il nickname Rattus Norvegicus proprio per suggerire qualche affinità tra gli utenti delle piattaforme digitali e le cavie da laboratorio preferite dai comportamentisti, mi trovavo per la prima volta a ricevere occasionali riconoscimenti per una serie di intuizioni che, prima del boom del comportamentismo in salsa digitale, erano state velocemente derubricate come mie inguaribili stranezze. Tuttavia, a quanti intendevano tirarmi in ballo ho dovuto chiarire subito che trovo sia le forme che gli argomenti della nuova critica al comportamentismo digitale decisamente insoddisfacenti. La mia gratitudine nei confronti di quanti hanno segnalato il cosiddetto “ritorno” del comportamentismo fa il paio con una forte insofferenza nei confronti dei claim sbrigativi e, non di rado, puramente allarmistici, con cui il problema è stato affrontato dai giornali o nei dibattiti pubblici cui m’è capitato di assistere.

Di qui l’ esigenza di chiarire almeno alcuni dei punti chiave del problema con cui siamo chiamati a confrontarci. Intendiamoci: per discutere seriamente il comportamentismo (prima come teoria scientifica e poi come peculiarità socioculturale statunitense) non basterebbe un saggio e, probabilmente, neanche un’opera in tre volumi. Sebbene trascurato a lungo nell’Europa continentale, il comportamentismo è stato un programma di ricerca assai robusto che, negli Stati Uniti, s’è snodato lungo un arco temporale di oltre sessant’anni e, in alcune fasi, ha raggiunto un’organizzazione fordista con decine di laboratori distribuiti nelle principali università e nei centri di ricerca. Al suo interno, accanto a B. F. Skinner, ci sono almeno una decina di figure di spicco, di almeno pari rilevanza teorica, che sarebbe indispensabile includere in qualsiasi serio dibattito nel merito. Peraltro, difficilmente si riuscirà a comprendere qualcosa di un siffatto dibattito se non ci si sarà impegnati, preventivamente, nell’inquadrare il comportamentismo all’interno della complessa temperie culturale che, a partire dalla seconda metà dell’Ottocento, ha visto la psicologia impegnarsi con successo nel tentativo di entrare nel novero delle discipline scientifiche. Quanto al diffuso proclama secondo il quale, a metà degli anni Settanta del Novecento, il comportamentismo avrebbe esaurito la sua “forza propulsiva”e sarebbe stato superato dal cognitivismo c’è, come vedremo, molto da discutere. Sicuramente non si è trattato di quel radicale cambio di paradigma di cui favoleggiano i manuali di storia della psicologia. Cosa che apre una serie di problematiche piuttosto dense riguardo l’ attualità del comportamentismo e i relativi vantaggi che potrebbe aver ricavato dalla singolare posizione di zombie, di morto vivente in cui, piaccia o meno, è stato relegato negli ultimi quarant’anni dalla trionfante retorica cognitivista. Certo è che, sebbene sia stato ripetuto fino alla nausea che il comportamentismo è una corrente della psicologia scientifica oramai del tutto priva di qualsiasi interesse, gli unici psicologi che riescono a vincere dei premi Nobel sono, a tutt’oggi, quelli che si occupano di economia comportamentale, disciplina le cui radici affondano nella storia del comportamentismo e che oggi è situata al centro degli interessi del Gotha della Silicon Valley. Basti ricordare che dal 20 al 22 Luglio del 2007 nella cittadina Rutherford (California) si è tenuto un corso privato dello psicologo premio Nobel per l’economia Daniel Kahneman, cui hanno partecipato Sergey Brin, Elon Musk e altre figure di rilievo.

Questo ci conduce all’argomento attualmente più gettonato, che riguarda il rapporto tra il comportamentismo e l’AI. A tale riguardo è opportuno ricordare subito che la simulazione del comportamento (animale ed umano) attraverso dispositivi artificiali costituisce un metodo di indagine e sperimentazione che il comportamentismo ha iniziato a praticare in modo sistematico (con strumenti meccanici ed elettrici) ben prima dell’avvento dei calcolatori. In questo senso l’AI ha stabilito, fin dalle sue origini, un rapporto strutturale con il comportamentismo, quasi ne fosse una derivazione. Per quante crisi abbia attraversato, questo rapporto non è mai venuto meno, fino a divenire una sorta di seconda natura dei processi di ricerca e sviluppo, particolarmente nell’informatica di consumo. Quanti sostengono che gran parte degli snodi epistemologici sollevati dall’intelligenza artificiale, per un motivo o un altro, hanno già impegnato il comportamentismo, colgono nel segno. Nella filosofia della mente contemporanea i problemi si presentano sempre due volte, prima come scienze del comportamento e poi come intelligenza artificiale. Ciò spiega assai bene perché, nella hall of fame dell’Intelligenza Artificiale, figurano numerosi e autorevoli studiosi apertamente e dichiaratamente comportamentisti.

Mi rendo conto che questa sommaria elencazione di fatti e problemi, piuttosto ruvida ed esplicita, potrebbe essere letta come un tentativo di scoraggiare chi intenda discutere in termini politici il tema dell’influenza del comportamentismo sull’uso delle tecnologie digitali. Persone che vorrebbero risparmiarsi questioni etiche, epistemologiche e di metodo spesso cavillose ed estenuanti. Cercherò, per il possibile, di non deludere queste loro aspettative. Sono sempre più convinto che le responsabilità politiche, particolarmente quelle dell’epoca che stiamo attraversando, siano punteggiate da emergenze che hanno ben poco a che fare con le forme e i toni dei dibattiti accademici e delle sedute delle commissioni parlamentari. Peraltro l’argomento, data la sua importanza, merita senz’altro un pubblico attento ma, si spera, non composto esclusivamente di specialisti. Si tratterà allora di trovare una linea di mediazione tra ciò che è sicuramente necessario e quel che può risultare almeno sufficiente ad un primo inquadramento dei principali aspetti del problema. Altrimenti, tutta la faccenda rischia di restare, come lo è stata finora, sospesa in una caligine di mistero e di irrilevanza, in una zona indefinita tra l’allarmismo dei gazzettieri e l’ineffabile ruminare dei filosofi della mente. Una conclusione che dobbiamo evitare perché nell’attuale configurazione del capitalismo digitale si vanno delineando dinamiche produttive in cui il comportamentismo e la sua eredità teorica e sperimentale giocheranno un ruolo di crescente importanza. Di qui il monito: se non ci impegniamo a sbrogliare pazientemente questo groviglio di storia e teoria della psicologia scientifica, non riusciremo a muovere critiche realmente efficaci all’attuale dominio delle Big Tech e incontreremo serie difficoltà anche nell’indicare strategie adeguate a quanti intendono sottrarsi alle conseguenze più perniciose dell’uso dei loro dispositivi.

Note

1. Eugeny Morozov, Internet non salverà il mondo, Mondadori, 2014.
2. Richard Barbrook,Andy Cameron, L’ideologia californiana, Gog, 2023
3. economist.com/1843/2016/10/20/… un affermato scrittore londinese che, occasionalmente, si occupa anche di marketing. L’articolo mostrava come il ritorno del comportamentismo in ambiente digitale avesse svolto un ruolo chiave nel successo di alcune piattaforme lanciate in quegli anni. Leslie ha svolto un lavoro di indagine abbastanza approfondito, intervistando alcuni dei teorici di quello che definiremo neo-comportamentismo digitale e alcuni dei suoi critici più radicali. I toni erano piuttosto allarmati: il titolo The scientist who make the apps addictive, la cui traduzione in italiano non è immediata, sembrava annunciare il proposito di portare alla sbarra gli scienziati che stavano trasformando le applicazioni web in strumenti capaci di indurre forme di dipendenza tra gli utenti. In realtà, il testo di Leslie è decisamente meno inquisitorio di quanto annunciato nel titolo. È stata la “fuga da Google” di due eminenti whistleblower, James Williams e Tristan Harris, a fornire a Leslie lo spunto per effettuare una serie di approfondimenti sul campo. Prima di discutere in maggior dettaglio l’articolo di Leslie, conviene allora soffermarsi su Williams e Harris che, indipendentemente l’uno dall’altro, sono usciti dalle fila dell’azienda di Page e Brin sbattendo la porta, per dedicarsi interamente al compito di denunciare i nuovi persuasori occulti.Ex-dipendente di Google, James Willliam, nelle pagine di apertura del suo libro sostiene che la liberazione dell’attenzione potrebbe essere “la più importante battaglia politica del nostro tempo”. Su questo tema si snoda l’intera opera, intitolata Stand out of our light
4. Natasha Dow Schüll, Architetture dell’azzardo, Luca Sossella editore, 2015
5. Soshana Zuboff, Il capitalismo della sorveglianza, Luiss University Press, 2019

#capitalismo #digitale #glianza #piattaforme #privacy #psicologia #sorveglianza #tecnologia

Spunti attuali e inattuali sul ruolo del comportamentismo nell’evoluzione del capitalismo digitale – Transform! Italia

^{Transform! Italia}

Within the retro computing community there exists a lot of controversy about so-called ‘retrobrighting’, which involves methods that seeks to reverse the yellowing that many plastics suffer over time. While some are all in on this practice that restores yellow plastics to their previous white luster, others actively warn against it after bad experiences, such as [Tech Tangents] in a recent video.
Uneven yellowing on North American SNES console. (Credit: Vintage Computing)
After a decade of trying out various retrobrighting methods, he found for example that a Sega Dreamcast shell which he treated with hydrogen peroxide ten years ago actually yellowed faster than the untreated plastic right beside it. Similarly, the use of ozone as another way to achieve the oxidation of the brominated flame retardants that are said to underlie the yellowing was also attempted, with highly dubious results.

While streaking after retrobrighting with hydrogen peroxide can be attributed to an uneven application of the compound, there are many reports of the treatment damaging the plastics and making it brittle. Considering the uneven yellowing of e.g. Super Nintendo consoles, the cause of the yellowing is also not just photo-oxidation caused by UV exposure, but seems to be related to heat exposure and the exact amount of flame retardants mixed in with the plastic, as well as potentially general degradation of the plastic’s polymers.

Pending more research on the topic, the use of retrobrighting should perhaps not be banished completely. But considering the damage that we may be doing to potentially historical artifacts, it would behoove us to at least take a step or two back and consider the urgency of retrobrighting today instead of in the future with a better understanding of the implications.

youtube.com/embed/_n_WpjseCXA?…

hackaday.com/2025/12/05/warnin…

Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma.

Oltre ai problemi al Dashboard e alle API, già segnalati dagli utenti di tutto il mondo, l’azienda ha confermato di essere al lavoro anche su un aumento significativo degli errori relativi ai Cloudflare Workers, il servizio serverless utilizzato da migliaia di sviluppatori per automatizzare funzioni critiche delle loro applicazioni.

Un’altra tessera che si aggiunge a un mosaico di criticità non trascurabili.

Come sottolineano da anni numerosi esperti di sicurezza informatica, affidare l’infrastruttura di base del web a una manciata di aziende significa creare colli di bottiglia strutturali. E quando uno di questi nodi si inceppa – come accade con Cloudflare – l’intero ecosistema ne risente.

Un intoppo può bloccare automazioni, API personalizzate, redirect logici, funzioni di autenticazione e perfino sistemi di sicurezza integrati. Un singolo malfunzionamento può generare un effetto domino ben più vasto del previsto.

A complicare ulteriormente la situazione, oggi è in corso anche una manutenzione programmata nel datacenter DTW di Detroit, con possibile rerouting del traffico e incrementi di latenza per gli utenti dell’area. Sebbene la manutenzione sia prevista e gestita, la concomitanza con i problemi ai Workers e al Dashboard aumenta il livello di incertezza. In alcuni casi specifici – come per i clienti PNI/CNI che si collegano direttamente al datacenter – certe interfacce di rete potrebbero risultare temporaneamente non disponibili, causando failover forzati verso percorsi alternativi.

Il nodo cruciale resta lo stesso: questa centralizzazione espone il web a rischi enormi dal punto di vista operativo e di sicurezza. Quando una piattaforma come Cloudflare scricchiola, anche solo per qualche ora, si indeboliscono le protezioni DDoS, i sistemi anti bot, le regole firewall, e si creano finestre di vulnerabilità che gli attaccanti più preparati potrebbero tentare di sfruttare.

La dipendenza da un unico colosso per funzioni così delicate è un punto di fragilità che non può più essere ignorato.

Il precedente blackout globale – documentato con grande trasparenza da Cloudflare stessa e analizzato da Red Hot Cyber – aveva messo in luce come un errore interno nella configurazione del backbone potesse mandare offline porzioni significative del traffico mondiale.

Oggi non siamo (ancora) di fronte a un guasto di tale entità, ma la somma di più disservizi simultanei riporta alla memoria quel caso e solleva dubbi sulla resilienza complessiva dell’infrastruttura.

Il nuovo down di Cloudflare, questa volta distribuito su più livelli della piattaforma, dimostra quanto l’Internet moderno sia fragile e quanto la sua affidabilità dipenda da pochi attori. Le aziende – piccole o grandi – che costruiscono i propri servizi sopra queste fondamenta dovrebbero iniziare a considerare seriamente piani di ridondanza multi-provider. Perché quando un singolo punto cade, rischia di cadere mezzo web.

L'articolo Cloudflare di nuovo in down: disservizi su Dashboard, API e ora anche sui Workers proviene da Red Hot Cyber.

Le spie informatiche cinesi sono rimaste nascoste per anni nelle reti di organizzazioni critiche, infettando le infrastrutture con malware sofisticati e rubando dati, avvertono agenzie governative ed esperti privati.

Secondo un avviso congiunto di CISA, NSA e Canadian Cyber Security Centre, almeno otto agenzie governative e aziende IT sono state vittime della backdoor Brickstorm , che opera in ambienti Linux, VMware e Windows.

La dichiarazione del portavoce di CISA, Nick Andersen, sottolinea anche la portata del problema: afferma che il numero effettivo delle vittime è probabilmente più alto e che Brickstorm stessa è una piattaforma “estremamente avanzata” che consente agli operatori cinesi di radicarsi nelle reti per anni, gettando le basi per il sabotaggio.

In uno degli incidenti indagati da CISA, gli aggressori hanno ottenuto l’accesso a una rete interna nell’aprile 2024, hanno scaricato Brickstorm su un server VMware vCenter e hanno mantenuto l’accesso almeno fino all’inizio di settembre.

Durante questo periodo, sono riusciti a penetrare nei controller di dominio e in un server ADFS, rubando chiavi crittografiche. Google Threat Intelligence, che è stata la prima a descrivere Brickstorm in autunno, esorta tutte le organizzazioni a scansionare la propria infrastruttura. Gli analisti stimano che decine di aziende negli Stati Uniti siano già state colpite da questa campagna e gli aggressori continuano a perfezionare i propri strumenti.

Mandiant collega gli attacchi al gruppo UNC5221 e ha documentato compromissioni in vari settori, dai servizi legali e dai fornitori SaaS alle aziende tecnologiche. Gli esperti sottolineano che l’hacking dei dispositivi edge e l’escalation verso vCenter sono diventate tattiche comuni per gli aggressori, che possono anche prendere di mira vittime a valle.

In un rapporto separato, CrowdStrike attribuisce Brickstorm al gruppo Warp Panda, attivo almeno dal 2022, e descrive vettori di attacco simili, tra cui l’infiltrazione negli ambienti VMware di aziende statunitensi e lo svolgimento di attività di intelligence per il governo cinese.

Secondo CrowdStrike, in diversi casi Warp Panda ha inoltre implementato impianti Go precedentemente sconosciuti, Junction e GuestConduit, su server ESXi e macchine virtuali, e ha preparato dati sensibili per l’esfiltrazione. Alcuni incidenti hanno interessato anche il cloud Microsoft Azure: gli aggressori hanno ottenuto token di sessione, hanno incanalato il traffico attraverso Brickstorm e hanno scaricato materiale sensibile da OneDrive, SharePoint ed Exchange. Sono persino riusciti a registrare nuovi dispositivi MFA, garantendo una persistenza furtiva e a lungo termine negli ambienti guest.

Gli specialisti di Palo Alto Networks confermano la continuità e la profondità della penetrazione di questi gruppi. Secondo gli analisti di Unit 42, gli operatori cinesi utilizzano file unici e backdoor proprietarie per ogni attacco, rendendone estremamente difficile l’individuazione.

La loro prolungata e occulta attività all’interno delle reti rende difficile valutare l’effettivo danno e consente agli aggressori di pianificare operazioni su larga scala molto prima che la loro presenza venga rilevata.

L'articolo Backdoor Brickstorm: le spie cinesi sono rimasti silenti nelle reti critiche per anni proviene da Red Hot Cyber.

Before we can take a critical look at the repercussions and possible positive strides forward that the European Media Freedom Act (EMFA) regulation presents, it is important to understand what it means first.

What is the EMFA?

The European Media Freedom Act (EMFA) is an EU regulation designed to protect media freedom, editorial independence and media pluralism across the EU by setting EU-level rules that national laws must respect. With initial proposals for implementing changes starting in 2022, the European Parliament reached an agreement in December 2023. The agreement, however, only entered force in May 2024, with most of the provisions becoming applicable in August 2025.

What are the practical changes?

• The EMFA accounts for explicit rules preventing public authorities from interfering in editorial decisions to protect the editorial independence. It thus creates safeguards against political interference and for public service media governance.
• It creates stronger legal protection for sources and rules limiting unjustified access to the communications of journalists. It further constrains the indiscriminate surveillance of journalism and the use of spyware. Meaning it protects journalistic sources and confidentiality.
• It creates rules to avoid distortive state advertising practices and to ensure that public advertising does not become a tool of influence. Meaning it creates rules pertaining to state advertising and funding transparency.
• Transparency is further extended to the ownership of media, with tighter rules to monitor concentration and plurality.
• It also includes requirements for transparency when it comes to the platform’s restrictions on media content, giving media outlets better access to the platform’s audience and data. These obligations ensure that there is media visibility on large online platforms.
• In order to enforce the measures, the EMFA allocates enforcement responsibilities to national authorities and creates the Media Board so that communication related to coordinating efforts and peer reviewing is possible across member states.

The EMFA as a turning point

The act emerges as a point for various potential benefits for journalism. With stronger legal protections in place for sources and against surveillance, investigative journalists and whistleblowers face reduced risks. This becomes especially the case when considering member states that have weak national safeguards in place. The EMFA represents possibilities for reduced financial leverage used by governments to influence the media. Once limits are imposed on manipulative state advertisement and obligations are created for clearer ownership transparency, the financial power governments can have on media can be lessened. By imposing platform transparency and data access, the act could positively contribute to a media outlet’s ability to reach its audiences and analyse their distribution. This is important for the commercial sustainability of outlets as well as their editorial strategies. If widely and properly implemented, the provisions of the EMFA can have a wide impact on journalistic practices.

Possible practical constraints

Despite its promising impact on journalism, the EMFA could have some risks and face practical constraints. The protections as outlined by the regulation can only be implemented if the Member States enact national law and administrative reform. The possible implementation gap is a current concern of civil society and journalist organisations that have warned that there is a possibility that some countries may be slow or resistant to the changes. Therefore, a focus on enforcement and incentive for political will is crucial for the regulation to have a real impact.

europeanpirates.eu/from-paper-…

La polizia sudcoreana ha segnalato l’arresto di quattro individui che, presumibilmente in modo indipendente, hanno compromesso oltre 120.000 telecamere IP. Secondo gli investigatori, almeno due di loro lo hanno fatto per rubare video da luoghi come studi ginecologici. Hanno poi modificato i filmati trasformandoli in video pornografici e li hanno venduti online.

Secondo i media locali, due dei quattro sospettati (i cui nomi sono stati omessi) erano impiegati in ufficio, mentre gli altri erano elencati come disoccupati o lavoratori autonomi. Solo due degli arrestati erano responsabili della maggior parte degli attacchi informatici: circa 63.000 e 70.000 dispositivi compromessi, installati in abitazioni private e proprietà commerciali.

Telecamere e video per adulti dalle case di tutti

I criminali hanno venduto i video rubati dalle telecamere su un sito web che la polizia chiamava semplicemente “Sito C”, guadagnando rispettivamente 35 milioni di won (23.800 dollari) e 18 milioni di won (12.200 dollari).

Gli altri due imputati hanno hackerato rispettivamente 15.000 e 136 telecamere.

Non sono ancora state formulate accuse nei confronti degli arrestati, poiché le indagini sono in corso. Le autorità hanno inoltre comunicato di aver arrestato tre persone che avevano acquistato video simili.

“I crimini commessi tramite telecamere IP causano gravi traumi alle vittime. Sradicheremo questa minaccia indagando proattivamente su tali crimini”, ha affermato Park Woo-hyun, capo dell’unità investigativa sui crimini informatici dell’Agenzia di Polizia Nazionale.

Secondo la polizia, gli aggressori hanno sfruttato principalmente password predefinite deboli e combinazioni predefinite facilmente violabili tramite forza bruta.

Le forze dell’ordine hanno visitato 58 luoghi in cui le telecamere erano state hackerate per avvisare i proprietari dei dispositivi compromessi e fornire consigli sulla sicurezza delle password.

Best practices per mettere in sicurezza le telecamere IP

Per ridurre drasticamente il rischio di compromissione, gli esperti raccomandano le seguenti misure:

1. Cambiare subito le password predefinite

• Le password di fabbrica sono la prima cosa che gli attaccanti testano.
• Scegli password lunghe, complesse e uniche per ogni dispositivo.

2. Attivare l’autenticazione a due fattori (2FA)

• Quando disponibile, riduce enormemente la possibilità di accesso non autorizzato.

3. Aggiornare regolarmente il firmware

• I produttori rilasciano patch che correggono vulnerabilità note.
• Imposta gli aggiornamenti automatici quando possibile.

4. Disabilitare l’accesso remoto se non necessario

• Molti attacchi avvengono tramite Internet.
• Se devi accedere da remoto, usa una VPN invece dell’esposizione diretta.

5. Limitare l’accesso alla rete

• Isola le telecamere su una rete separata (VLAN) o guest network.
• Evita che siano raggiungibili da tutti i dispositivi della casa o dell’ufficio.

6. Controllare le porte esposte

• Evita il port forwarding indiscriminato su router e modem.
• Blocca porte non necessarie e monitora eventuali connessioni sospette.

7. Disattivare servizi inutilizzati

• UPnP, P2P e altri servizi remoti possono essere sfruttati dagli attaccanti.
• Mantieni attivi solo i servizi indispensabili.

8. Preferire telecamere IP di produttori affidabili

• Marchi poco affidabili potrebbero non garantire aggiornamenti di sicurezza.
• Verifica sempre la reputazione del brand e la disponibilità di patch.

9. Monitorare regolarmente i log

• Controlla accessi, tentativi falliti e comportamenti anomali.

10. Cambiare periodicamente le credenziali

• Riduce il rischio che credenziali compromesse restino valide a lungo.

L'articolo Cyber-Guardoni all’attacco: hacker sudcoreani spiavano 120.000 telecamere e ne facevano video per adulti proviene da Red Hot Cyber.

Il panorama della sicurezza informatica moderna è imprescindibile dalla conoscenza della topografia del Dark Web (DW), un incubatore di contenuti illeciti essenziale per la criminalità organizzata. In tale contesto, il Dark Web Monitoring (DWM) e la Cyber Threat Intelligence (CTI) sono emersi come pratiche fondamentali, spesso obbligatorie, per la protezione degli asset digitali e la prevenzione di una fuga di dati (data leakage).

L’attività proattiva di DWM consente il rilevamento di minacce critiche, come credenziali e documenti d’identità rubati, che alimentano reati di spear phishing e credential stuffing. Tuttavia, in Italia, l’imperativo di sicurezza privato si scontra con il principio di legalità e la riserva statale delle indagini, poiché i consulenti privati non godono dei poteri processuali riservati agli organi di Polizia Giudiziaria.

La valutazione della legittimità delle azioni del professionista deve procedere bilanciando l’interesse difensivo con la tutela penale. La mia osservazione, come avvocato penalista e docente di Diritto penale dell’informatica, è che la corretta difesa e la prevenzione del rischio non possono prescindere da una profonda conoscenza di questo bilanciamento costituzionale tra diritto di difesa e riserva di legge penale.

Il pericolo di commettere delitti

Il rischio penale principale che incombe sul professionista della cybersecurity che opera nel Dark Web è l’integrazione del reato di Accesso Abusivo a sistema informatico o telematico (Art. 615-ter c.p.). Il bene giuridico tutelato da questa norma è l’ambiente informatico stesso, che la giurisprudenza ha equiparato a un “luogo inviolabile” o a uno spazio privato. La condotta criminosa si perfeziona con l’accesso o il mantenimento nel sistema “senza diritto” e contro la volontà del gestore.

L’analisi critica della Cyber Threat Intelligence (CTI) impone una netta distinzione tra due scenari operativi. L’osservazione passiva (CTI legittima) si verifica se il professionista naviga su pagine del Dark Web che sono aperte e non protette da autenticazione. Tale attività, configurandosi comeopen source intelligence (OSINT) e avvenendo in assenza di misure di sicurezza da superare, generalmente non integra la fattispecie dell’Art. 615-ter c.p., poiché la tutela penale è rivolta al sistema (il contenitore) e non alla liceità del contenuto. Al contrario, si configura accesso attivo e infiltrazione (accesso abusivo) se il professionista compie un atto di credential stuffing, utilizzando credenziali rubate per autenticarsi in un forum protetto o in un pannello di controllo.

In questo caso, si configura il reato, poiché l’interesse difensivo del privato non può prevalere sulla tutela penale del sistema informatico, anche se ostile o criminale, che non sempre ,ma tal volta trova tutela. Ai professionisti che mi consultano, ricordo sempre che la finalità difensiva non è una scriminante penale implicita; l’accesso abusivo è un reato di pericolo che si perfeziona con la mera intrusione non autorizzata.

Oltre all’accesso abusivo, il DWM espone anche al rischio di detenzione abusiva di codici di accesso (Art. 615-quater c.p.). Per mitigare tale pericolo e dimostrare la finalità di tutela, è imperativo che la procedura operativa preveda l’immediata trasformazione dei dati sensibili raccolti in un formato non reversibile, come l’hashing, conservando solo l’informazione strettamente necessaria, in conformità con i principi di minimizzazione dei dati. Cautela è inoltre richiesta nella gestione di segreti commerciali altrui rubati.

Il trattamento dei dati personali raccolti e la compliance gdpr

La raccolta e la successiva analisi di dati personali provenienti dal Dark Web costituiscono un nuovo trattamento e, come tale, devono essere fondate su una base giuridica legittima ai sensi del GDPR. Per il Dark Web Monitoring (DWM), la base più plausibile e invocabile è l’Interesse Legittimo (Art. 6, par. 1, lett. f), poiché risponde all’interesse vitale dell’organizzazione di proteggere il proprio patrimonio digitale e di garantire una tempestiva risposta agli incidenti (incident response).

Tuttavia, l’applicazione dell’Interesse Legittimo non è automatica. Richiede l’esecuzione di un rigoroso Legitimate Interest Assessment (LIA), il quale impone un test di bilanciamento tra l’interesse difensivo del Titolare e i diritti e le libertà fondamentali dell’interessato, la vittima del furto di dati.

Dato che la fonte è criminale e l’interessato non si aspetta che i suoi dati rubati siano raccolti da un CTI provider privato, il bilanciamento è considerato “forte”, richiedendo massime garanzie di mitigazione. La misura cruciale per superare con successo il LIA è la minimizzazione del trattamento. Ciò significa evitare categoricamente l’overcollection e l’overretention, limitando la raccolta alle sole informazioni indispensabili per la difesa. La conservazione integrale e illimitata nel tempo di dati rubati è contraria alla normativa; è fondamentale implementare la pseudonimizzazione (ad esempio, tramite hashing) dei dati identificativi non necessari e definire tempi di conservazione strettamente limitati. Infine, sussistono precisi obblighi di trasparenza e notifica.

La rilevanza probatoria e i limiti istituzionali dei professionisti privati

Nel contesto di un’indagine giudiziaria, la capacità di conferire valore probatorio ai dati raccolti dal Dark Web Monitoring (DWM) da parte di attori privati rappresenta una delle sfide procedurali più acute. L’unico percorso legale che può legittimare l’acquisizione di tali elementi è incanalare strettamente l’attività nel perimetro delle investigazioni difensive, come disciplinato dall’Art. 391-bis del Codice di Procedura Penale (c.p.p.). Questo inquadramento richiede un mandato formale conferito dal difensore e garantisce che l’uso della documentazione sia strettamente limitato alle esigenze dell’esercizio della difesa.

Tuttavia, è fondamentale sottolineare un limite invalicabile del nostro ordinamento: la procedura difensiva non ha il potere di sanare l’illiceità sostanziale della condotta originaria. Ciò significa che se l’atto di acquisizione, sebbene finalizzato alla difesa, viola di per sé una norma penale-ad esempio l’Art. 615-ter c.p. attraverso un accesso abusivo-il dato raccolto sarà considerato illegittimamente acquisito e, di conseguenza, inutilizzabile nel dibattimento. La necessità operativa non può, in sede processuale, prevalere sulla tutela del domicilio informatico garantita dalla legge penale.

Parallelamente ai vincoli procedurali, l’ammissibilità e l’efficacia della prova digitale sono assolutamente dipendenti dal rispetto degli standard internazionali di digital forensics. I dati informatici sono intrinsecamente volatili e facilmente alterabili; pertanto, la loro integrità e autenticità devono essere garantite per evitare che l’autorità giudiziaria li consideri contaminati o inattendibili. L’acquisizione non può limitarsi all’uso di semplici screenshot, che hanno spesso un mero valore suggestivo e non probatorio. Al contrario, essa deve avvenire attraverso la creazione di una copia forense certificata del dato originale (come una bitstream copy).

Come docente, insisto sull’importanza di questa metodologia- L’efficacia della prova digitale è direttamente proporzionale alla sua correttezza epistemologica; non basta contestare un dato, bisogna contestare il metodo di acquisizione. Tale processo deve assicurare la piena e ininterrotta tracciabilità della catena di custodia (chain of custody), documentando meticolosamente ogni passaggio, al fine di garantire l’immutabilità e l’identità dell’elemento probatorio. solo attraverso questa rigorosa aderenza ai protocolli forensi, il professionista privato può sperare di dotare il materiale raccolto della credibilità necessaria per sostenere una tesi difensiva in sede legale.

Raccomandazioni operative

L’analisi svolta evidenzia chiaramente che l’attività di Dark Web Monitoring (DWM) da parte di professionisti privati si svolge in Italia in una complessa zona grigia di incertezza normativa. Il professionista è costantemente esposto a una triade di rischi legali interconnessi.

In primo luogo, il rischio penale è massimo quando l’attività sfocia nell’infiltrazione attiva (ad esempio, l’uso di credenziali rubate per accedere a sistemi protetti), potendo integrare il reato di cui all’Art. 615-ter c.p.

In secondo luogo, il rischio GDPR è sempre presente in caso di overcollection o di mancata esecuzione del Legitimate Interest Assessment (LIA), esponendo l’organizzazione a sanzioni amministrative salate.

Infine, il rischio procedurale neutralizza l’efficacia dell’intelligence raccolta se manca la rigorosa adozione della Chain of Custody e degli standard forensi.

Proprio per questa incertezza normativa, il mio consiglio è di non agire mai nella grey area senza un preventivo e documentato parere, che valuti il rischio e tracci il perimetro operativo lecito del defensive monitoring.

Per operare in modo lecito e minimizzare tale esposizione, l’organizzazione e il consulente devono necessariamente adottare un robusto modello di protocollo legale-tecnico (gcl – governance, compliance, legal). Per quanto riguarda la governance cti, l’attività deve essere rigorosamente limitata alla consultazione osint. Sul fronte degli adempimenti GDPR (preventivi), è imperativo garantire il principio di privacy by design attraverso l’hashing o la pseudonimizzazione immediata. Infine, in sede di protocolli forensi (successivi), qualunque dato acquisito destinato a essere utilizzato come prova deve essere trattato come una copia forense certificata e deve essere mantenuta una tracciabilità documentale ininterrotta della chain of custody.

L’attuale assetto giuridico, fortemente ancorato alla riserva statale in materia di ricerca della prova, costringe l’operatore privato a muoversi con estrema cautela. Ciò solleva la questione delle prospettive de jure condendo. Si rileva l’urgente necessità di una revisione legislativa che riconosca e scriminI esplicitamente la legittima attività difensiva e di prevenzione del crimine informatico svolta da soggetti privati (defensive monitoring). Solo attraverso un esplicito riconoscimento del lawful hacking-se limitato all’analisi difensiva e non volto all’attacco-sarà possibile risolvere in modo definitivo il conflitto tra l’inderogabile imperativo di sicurezza aziendale e la protezione penale degli interessi in gioco e consentire al settore della cybersecurity di operare con la certezza del diritto che la crescente minaccia informatica richiede.

L'articolo CTI e Dark Web: qual è il confine invisibile tra sicurezza difensiva e reato? proviene da Red Hot Cyber.