OSINT per privati e aziende: cosa si può fare davvero (e dove ci si ferma)

Lo metto qui perché sempre più colleghi, dopo il servizio, finiscono a fare consulenza per aziende e privati, e l’OSINT è la prima cosa che chiedono. Bene, ma con la testa giusta: fonti aperte non vuol dire “tutto lecito”.

Cosa significa, nel concreto

OSINT è raccogliere e correlare informazioni pubblicamente accessibili per produrre un quadro utile a una decisione: una due diligence su un fornitore, una verifica reputazionale, una valutazione di rischio prima di un viaggio. Il valore non è nel singolo dato, è nella correlazione.

Il metodo, non i trucchi

• Parti dall’obiettivo: cosa devo decidere? Senza domanda, raccogli rumore.
• Valuta la fonte: chi la produce, con quale interesse, con quale storico di affidabilità.
• Conferma incrociata: un dato isolato è un’ipotesi; due fonti indipendenti lo rafforzano.
• Tracciabilità: annota dove hai preso ogni cosa. Se non è ricostruibile, in un contesto professionale non vale.

La linea da non superare

Qui casca tanta gente. Accedere a informazioni pubbliche è lecito; aggirare protezioni, usare credenziali altrui, fingersi qualcun altro per estrarre dati non lo è — diventa accesso abusivo o trattamento illecito. E il GDPR vale anche quando il dato è “trovato in giro”: raccogliere su una persona richiede una base giuridica.

Punti chiave

• Il valore è nella correlazione, non nel singolo dato.
• Sempre: obiettivo → fonte → conferma → tracciabilità.
• Pubblico ≠ libero da regole: il GDPR si applica.
• Niente pretexting, niente accessi forzati.

Nota dell’autore

Il consiglio che do ai privati: tenete un registro di cosa cercate e perché. Vi protegge legalmente e, soprattutto, vi tiene onesti col metodo. L’OSINT serio è noioso e tracciabile, non spettacolare.

Riferimenti

• Regolamento (UE) 2016/679 (GDPR); D.Lgs. 196/2003 come adeguato.
• Modelli di valutazione dell’affidabilità fonte/informazione (scala tipo Admiralty).