Si torna sul tema cruciale delle attività di cybersecurity che si spingono fino al complesso e rischioso territorio del Dark Web. In questa analisi, l’attenzione si focalizza sulla stretta e talvolta conflittuale relazione che queste operazioni di intelligence (Dark Web Threat Intelligence o DWTI) intrattengono con la normativa sulla protezione dei dati personali (GDPR), con particolare riguardo alle basi giuridiche per il trattamento.

La cyber threat intelligence come imperativo di difesa e rischio penale

L’ecosistema digitale odierno si presenta come una stratificazione complessa e non univoca. Se il Surface Web costituisce il piano visibile della rete, la sfida ermeneutica e operativa più significativa per la cybersecurity contemporanea risiede nel Dark Web. Non si tratta semplicemente di una porzione non indicizzata della rete (assimilabile al Deep Web legittimo), bensì di un ambiente intenzionalmente anonimizzato, accessibile esclusivamente tramite browser dedicati come Tor.

E’ agevole osservare che questo ambiente è il teatro operativo privilegiato degli attori di minaccia, un mercato nero digitale dove la compravendita di credenziali sottratte, l’hosting di ransomware leak sites e lo scambio di exploit sono la norma.

Per le imprese e le Pubbliche Amministrazioni, la Dark Web Threat Intelligence (DWTI) non è più un elemento opzionale, ma una necessità strategica improrogabile. Essa rappresenta l’unica via per identificare, raccogliere e analizzare in tempo reale i dati che attestano una potenziale o effettiva compromissione, garantendo una difesa proattiva. Del resto, è l’Articolo 32 del Regolamento Europeo Generale sulla Protezione dei Dati (GDPR) che impone al Titolare del trattamento di adottare misure tecniche e organizzative idonee per assicurare un “livello di sicurezza adeguato al rischio”. Non è pertanto giuridicamente sostenibile ignorare la presenza di credenziali o PII (Dati Personali Identificabili) aziendali pubblicamente in vendita. La mancata adozione di un sistema di rilevazione proattivo può essere sanzionata dal Garante per la protezione dei dati personali come negligenza nell’obbligo di sicurezza.

Il Legittimo Interesse sostenibile per i dati comuni Art 6 GDPR

Il primo e fondamentale dilemma giuridico si manifesta nel momento in cui l’operatore CTI acquisisce dati personali “comuni” (ossia non sensibili) dal Dark Web a scopo eminentemente difensivo. Quale può essere la base giuridica di liceità in questo contesto? Escludendo il consenso, la via più accreditata nel quadro del GDPR è il Legittimo Interesse del Titolare, sancito dall’Articolo 6, paragrafo 1, lettera f).

L’interesse è manifesto e tutelato proteggere gli asset aziendali e i diritti degli interessati dal furto d’identità o da frodi informatiche. Tuttavia, come chiunque abbia una formazione giuridica sa, il Legittimo Interesse non costituisce una delega in bianco. Il Titolare è gravato dal principio di accountability e deve dimostrare la liceità del trattamento attraverso il Legitimate Interests Assessment (LIA), un vero e proprio test di bilanciamento articolato in tre fasi, da completare prima di intraprendere il trattamento dei dati.

Innanzitutto, la valutazione impone che l’interesse sia specifico, ad esempio il monitoraggio mirato di credenziali post-breach (dopo una violazione), e non una generica e indeterminata “sicurezza globale”. Successivamente, con il Test di Necessità, si gioca la vera partita in termini di compliance. Si deve dimostrare che la raccolta dati in un ambiente così intrinsecamente rischioso come il Dark Web è strettamente necessaria e che non sussistono alternative meno invasive, come la semplice Open Source Intelligence (OSINT) su fonti pubbliche e lecite. Infine, nel Test di Bilanciamento, l’interesse difensivo del Titolare deve prevalere sui diritti e sulle libertà fondamentali degli interessati. Considerando il rischio operativo insito nel Dark Web, il bilanciamento è difendibile solo se i dati raccolti sono immediatamente anonimizzati o pseudonimizzati, riducendo l’impatto sul singolo al minimo indispensabile.

La giurisprudenza del Garante italiano, pur non esprimendosi in modo esplicito sull’attività preventiva nel Dark Web, ha indirettamente convalidato la funzionalità della CTI in fase post-breach. I provvedimenti sanzionatori più recenti dimostrano infatti che l’attività di intelligence è sovente utilizzata dagli enti per confermare la fuoriuscita dei dati e adempiere all’obbligo di notifica agli interessati (Art. 34 GDPR). La CTI è quindi uno strumento necessario di compliance, ma esige di essere gestita con una documentazione meticolosa e una Valutazione d’Impatto (DPIA) pressoché obbligatoria (Art. 35) dato l’alto rischio intrinseco.

Il muro invalicabile dei dati particolari Art 9 GDPR

Il rischio giuridico diviene esponenziale quando l’attività di CTI comporta, anche in maniera accidentale, l’acquisizione di categorie particolari di dati personali (Articolo 9, paragrafo 1) dati che rivelano l’origine etnica, dati biometrici, sanitari o inerenti la vita sessuale.

Per un Titolare privato, l’Articolo 6 (Legittimo Interesse) non costituisce mai una base giuridica sufficiente per trattare dati ex Art. 9. Il divieto è assoluto, salvo alcune e specifiche eccezioni, tra cui l’Articolo 9, paragrafo 2, lettera g), ovvero il trattamento necessario per motivi di interesse pubblico sostanziale, sulla base del diritto dell’Unione o degli Stati membri.

Ed è qui che si erge un muro normativo invalicabile per l’operatore privato. L’azione è lecita solo se è prevista da una specifica legge nazionale che bilanci adeguatamente l’interesse pubblico con i diritti fondamentali dell’interessato. A mio avviso, l’azienda privata non detiene la necessaria base legale nazionale per accedere o trattare quei dati, a meno che l’operatore CTI non agisca per conto o su delega specifica di un’autorità di sicurezza pubblica, come la Polizia Postale o un’Agenzia di Intelligence statale.

La strategia difensiva, in questo scenario, non può che essere una ritirata strategica e l’immediata attivazione di protocolli automatici di data scrubbing e distruzione. L’unica informazione che può essere mantenuta è quella puramente tecnica, essenziale per la difesa, come gli Indicatori di Compromissione (IOC) irrilevanti per l’identificazione della persona.

Il ” fantasma” della Ricettazione

In qualità di penalista, è mio dovere evidenziare che l’eventuale sanzione del GDPR non è il solo spettro che si aggira in questo contesto. La minaccia più insidiosa per l’operatore CTI privato che si avventura nel Dark Web è il rischio penale. Il Garante Privacy stesso ha messo in guardia in passato che “scaricare dati dal dark web è reato”.

La fattispecie che generalmente si configura è quella di Ricettazione (Articolo 648 c.p.). Quando un operatore, sebbene con finalità difensiva, raccoglie, acquisisce o possiede dati (credenziali, trade secrets, liste di PII) sapendo che provengono da un delitto (ad esempio accesso abusivo o intercettazione), l’atto può configurare un reato a tutti gli effetti.

Nel contesto del Dark Web, è difficile dimostrare l’assenza dell’elemento soggettivo (il dolo), poiché il luogo stesso è universalmente noto come un mercato di merce rubata. A differenza delle Forze dell’Ordine, le aziende e i consulenti di CTI non godono di alcuna immunità legale che giustifichi l’acquisizione di prove di un crimine. La finalità di difesa proattiva, pur eticamente lodevole, non è un’esimente penale per il reato di Ricettazione. Ciò impone che l’attività CTI debba essere rigorosamente passiva (monitoring), evitando ogni interazione attiva, acquisto o scambio con gli threat actors, operazioni che potrebbero configurare un concorso di reato.

La difesa deve essere intelligente

Per chi si occupa attivamente di Diritto penale dell’informatica, la vera lezione non è solo la prevenzione formale, ma l’attuazione di una reazione intelligente e dinamica. Il Garante Privacy ha sanzionato aziende non tanto per l’attacco subito, quanto per la mancata adozione di misure adeguate a rilevare tempestivamente la violazione (Art. 32 GDPR).

Ad esempio, è stata mossa una critica specifica alla presenza di sistemi di logging che però non consentivano la correlazione degli eventi. In sostanza, il Garante richiede una difesa dinamica e tecnologicamente avanzata. L’intelligence raccolta nel Dark Web deve confluire in sistemi di monitoraggio proattivi (SOC/SIEM) che garantiscano l’arricchimento immediato dei dati e il blocco degli attacchi, dimostrando che il Titolare ha fatto tutto il possibile per “attenuare i rischi”.

In conclusione, la CTI nel Dark Web è un’arma a doppio taglio. È indispensabile per l’integrità operativa (Art. 32) ma rappresenta un esercizio ad alto rischio penale. La sostenibilità legale della cyber defense risiede pertanto in una meticolosa accountability. Occorre esigere l’immediata minimizzazione e anonimizzazione dei dati sensibili, documentando ogni fase del monitoring per dimostrare in modo inequivocabile che non si è mai superato il confine sottile tra la legittima difesa tecnica e l’illecito di Ricettazione digitale.

L'articolo Cybersecurity e Dark Web: quando la difesa sconfina nel penale proviene da Red Hot Cyber.