L’Open Source Intelligence (OSINT) è emersa, negli ultimi anni, come una delle discipline più affascinanti, ma anche più insidiose, nel panorama dell’informazione e della sicurezza. La sua essenza è straordinariamente semplice: estrarre e analizzare dati da fonti pubbliche che si tratti di un post su X, di un bilancio depositato in Camera di Commercio, o di un articolo scientifico per trasformarli in intelligence concreta e utilizzabile.

Quella che un tempo era una tecnica appannaggio esclusivo di agenzie governative, oggi è uno strumento quotidiano per investigatori, giornalisti, analisti di threat intelligence e, inevitabilmente, anche per malintenzionati. Ed è proprio questa democratizzazione che ci costringe a porci una domanda fondamentale: dove finisce la ricerca legittima e dove inizia l’illecito?

Un’arma a doppio taglio

L’Open Source Intelligence (OSINT) si configura come un’arma a doppio taglio nell’era digitale: un lato è l’illuminazione, l’altro è l’ombra. Se da una parte ha permesso a organizzazioni non governative e a giornalisti d’inchiesta di portare alla luce crimini di guerra o corruzioni sistemiche, dall’altra ha fornito una metodologia incredibilmente potente a chiunque voglia nuocere. L’accessibilità e l’efficacia degli strumenti attuali, spesso automatizzati e basati su algoritmi di intelligenza artificiale, amplificano esponenzialmente il dilemma originario. L’analista OSINT non è più solo un investigatore paziente che spulcia archivi cartacei o vecchi siti web, ma è un operatore che, con pochi script o tool commerciali, è in grado di mappare intere reti sociali o infrastrutture aziendali in tempi brevissimi.

Il terreno su cui si muove l’OSINT è per sua natura scivoloso. La definizione stessa, “dati da fonti aperte“, suggerisce che tutto sia lecito, purché sia pubblico. Ma la realtà è molto più sfumata. In Italia, e in Europa in generale, il primo ostacolo è il GDPR. Non basta che un dato sia visibile a tutti per poterlo raccogliere, archiviare e analizzare sistematicamente. Questa rapidità e onnipotenza percepita è il cuore del problema legale, specialmente in Europa. La normativa sulla protezione dei dati, il GDPR, è stata concepita per bilanciare l’innovazione tecnologica con la tutela dei diritti fondamentali degli individui.

E qui si annida la trappola per l’analista OSINT non professionale. Molti sono convinti che, se un dato è “pubblicato”, l’individuo ne abbia implicitamente acconsentito alla rielaborazione. Ma il diritto europeo non funziona così. Quando si aggregano informazioni sparse – magari unendo un nome utente di Telegram, la foto di un profilo LinkedIn e l’indirizzo di casa trovato su un vecchio registro catastale – si sta effettuando un vero e proprio trattamento di dati personali.

La pubblicazione volontaria di un selfie su Instagram non è un via libera alla sua indicizzazione, archiviazione a lungo termine, e successiva associazione a informazioni sensibili tratte da altre fonti per la creazione di un “profilo di rischio”.

Aggregazione dei dati: OSINF e OSINT

L’aggregazione di dati è l’azione che trasforma l’OSINF in OSINT, e contemporaneamente, l’azione che più facilmente viola il GDPR. Pensiamo all’utilizzo delle e-mail e dei username recuperati. Un conto è notare che l’utente A ha lo stesso username su Twitter e su un forum di discussione tecnica. Un altro, ben diverso, è raccogliere sistematicamente migliaia di queste correlazioni, associarle a indirizzi IP, metadati e schemi di comportamento, e costruire un database ricercabile. In questo caso, l’attività sfocia in un vero e proprio trattamento su larga scala che non solo richiede una base giuridica solida (quasi sempre assente per il curioso o il freelance senza mandato), ma spesso imporrebbe anche l’obbligo di una Valutazione di Impatto sulla Protezione dei Dati (DPIA).

Questo trattamento richiede una base giuridica (consenso, legittimo interesse, obbligo legale) che spesso, nel contesto di una ricerca OSINT non autorizzata, semplicemente non esiste. L’analista potrebbe agire in perfetta buona fede, convinto di non star facendo nulla di male, ma la semplice creazione di un dossier dettagliato su una persona, attingendo solo a fonti aperte, può già configurare una violazione normativa. L’analista improvvisato è quasi sempre inconsapevole di queste procedure, trasformando la sua “ricerca” in un potenziale illecito amministrativo con multe salatissime.

Il confine si fa ancora più netto quando la curiosità spinge il ricercatore a “dare una sbirciatina oltre il cancello”. L’OSINT dovrebbe limitarsi alla superficie del web, senza sfondare porte. Il confine si fa ancora più spinoso sul piano penale, come accennato con l’accesso abusivo. È fondamentale sottolineare che il diritto penale, in questo contesto, non valuta l’intenzione benevola, ma il fatto oggettivo dell’intrusione. Ma in un mondo dove le protezioni a volte sono banali, la tentazione è forte. Se un analista sfrutta un bug di configurazione di un sito, o indovina una password debole per accedere a un’area riservata – anche se non protetta da sistemi di sicurezza complessi – sta commettendo un accesso abusivo a sistema informatico o telematico.

Non tutto ciò che è pubblico è lecito: l’etica operativa dell’OSINT

Non è importante quanto sia stata facile l’intrusione, ma il fatto che non fosse autorizzata. L’utilizzo di sub-domain enumeration tools che tentano di accedere a cartelle nascoste non è OSINT; l’utilizzo di strumenti per la ricerca di credenziali esposte o database non protetti non è ricerca legittima, ma un’attività pre-offensiva che può facilmente degenerare in reato. Anche un semplice port scanning o la verifica di versioni di software esposte, se eseguiti con l’intento di trovare vulnerabilità da sfruttare, possono essere interpretati come azioni preparatorie all’accesso abusivo.

Allo stesso modo, l’utilizzo aggressivo di scraper automatizzati per rastrellare milioni di record violando i Termini di Servizio di una piattaforma, o aggirando deliberate limitazioni tecniche, ci porta in una zona grigia che è a un passo dal trasformarsi in illegalità, specialmente se l’obiettivo è la successiva monetizzazione o il data mining massivo di informazioni sensibili. L’OSINT agisce sulla superficie esposta e sui dati volontariamente o inconsapevolmente lasciati pubblici, ma si ferma dove inizia la necessità di forzare o aggirare qualsiasi tipo di barriera tecnica, anche la più banale come un file robots.txt ignorato intenzionalmente.

Ma i limiti della ricerca non sono soltanto giuridici. C’è un codice, spesso non scritto, che definisce l’etica dell’OSINT. Oltre la legge, persiste l’ineludibile questione etica, che funge da “norma interna” del professionista. La distinzione cruciale è tra “ciò che puoi fare” e “ciò che dovresti fare”. Pensiamo al social engineering: se un analista crea un profilo fittizio (sock puppet) per stringere amicizia virtuale con l’obiettivo e spingerlo a rivelare dettagli che altrimenti terrebbe privati, l’azione è tecnicamente legale finché non sfocia in truffa o minaccia.

L’uso di profili fittizi (sock puppets), ad esempio, è spesso dibattuto. Sebbene possa non essere illegale creare un alter ego virtuale, l’atto di ingannare un individuo per stabilire un rapporto di fiducia al fine di estorcergli informazioni private viola il principio di trasparenza e minaccia la fiducia digitale generale. Tuttavia, è universalmente considerata una prassi non etica e manipolativa. Sfruttare la debolezza emotiva o la scarsa consapevolezza digitale di un individuo per estorcergli informazioni tradisce lo spirito di trasparenza su cui l’OSINT dovrebbe basarsi. Un analista etico dovrebbe sempre cercare il dato con la sua vera identità professionale o, se necessario, tramite fonti neutrali, evitando la manipolazione psicologica. Il fine ultimo dell’OSINT professionale non è raccogliere il gossip o l’informazione compromettente, ma ottenere un quadro informativo che sia accurato, verificabile e contestualizzato.

Dal rumore al segnale: metodo, verifica ed etica nell’OSINT

Il professionista responsabile non cerca solo il dato, ma anche la sua validazione e il suo contesto. C’è un abisso tra l’OSINT (Intelligence) e l’OSINF (Information). Questa distinzione tra OSINT e OSINF è cruciale. Un analista etico sa che un’informazione decontestualizzata o non verificata può distruggere la reputazione di una persona o, in contesti geopolitici, mettere in pericolo vite. L’analista etico non si limita a trovare un tweet incendiario; verifica l’autenticità dell’account, analizza i metadati della foto, incrocia la dichiarazione con i dati geopolitici noti e valuta la sua rilevanza nel contesto investigativo. Il “martello pneumatico” dell’informazione decontestualizzata distrugge reputazioni, alimenta fake news e può persino mettere in pericolo l’incolumità fisica delle persone, in particolare in contesti di doxing o vendetta online. L’OSINT, quando ben eseguita, è un processo metodologico rigoroso che mira alla validazione e alla contestualizzazione del dato, trasformando il rumore in segnale.

In sintesi, l’OSINT è uno strumento chirurgico, non un martello pneumatico. La linea rossa non è un confine fisico tracciato sulla sabbia, ma una bussola interna che guida l’analista. In definitiva, l’analista responsabile deve adottare una mentalità di minimizzazione del dato e di proporzionalità dell’azione. Deve operare con la consapevolezza che ogni ricerca, anche la più innocua, può avere ripercussioni sulla privacy e sui diritti altrui. Prima di avviare una ricerca intrusiva o di aggregare informazioni personali, deve porsi la domanda: è strettamente necessario questo livello di dettaglio per raggiungere il mio obiettivo legittimo? Se l’obiettivo è la threat intelligence difensiva (es. identificare un attacco phishing in corso), l’azione è proporzionata.

Se l’obiettivo è la semplice curiosità o l’indagine su un ex-partner senza un mandato legale o una giustificazione etica cogente, l’azione è sproporzionata e abusiva. Ignorare i principi di proporzionalità, minimizzazione del dato e rispetto della legge non è solo un rischio legale: significa minare la credibilità e l’integrità dell’intera disciplina, trasformando uno strumento di conoscenza in un mezzo di sorveglianza e violazione. La legittimità dell’OSINT, quindi, non risiede solo nella legalità delle sue fonti, ma nella legittimità del suo scopo e nella riserva etica con cui lo si persegue. L’etica, in questo campo, non è un optional, ma la precondizione per la legittimità stessa del lavoro svolto. Ignorare questa bussola etica interna significa condannare l’OSINT a diventare, agli occhi della legge e della società, una forma sofisticata di sorveglianza non autorizzata.

L'articolo Linee Rosse e Limiti Etici nell’OSINT: Quando la Ricerca Oltrepassa il Confine della Legalità proviene da Red Hot Cyber.