Pensiero critico Intelligence Cybersecurity

Pillole di OSINT n.27

di Mirko Lapi · · aggiornato il
Pillole di OSINT n.27

SOMMARIO

  • Formazione – Executive Program “OSINT-Driven Security: Framework operativo per chi opera in ambito Sicurezza
  • Investigazione OSINT – “Geolocating Darfur Killings of Those Escaping Al Fashir” (Bellingcat)
  • Oltre l’aula di tribunale: un nuovo framework per l’analisi OSINT
  • Focus analitico sul decalogo dell’analista OSINT: non fidarti mai di una singola fonte

Formazione – Executive Program

“OSINT-Driven Security

Il corso organizzato da Università Campus Bio‑Medico di Roma UCBM Academy, intitolato “OSINT-Driven Security: Framework operativo per il Security Manager”, è un programma intensivo di 4 ore progettato non per tecnici, ma per decision-maker strategici. L’obiettivo: far acquisire un framework operativo che consenta di integrare le fonti aperte (OSINT) e l’Intelligenza Artificiale nella funzione di sicurezza aziendale o organizzativa, potendo giustificare investimenti, dialogare con il top management, comunicare rischi emergenti in linguaggio c-suite.

Punti salienti del programma
  • Modulo 1: “Il nuovo imperativo strategico”, come l’IA trasforma minacce digitali in rischio di business.
  • Modulo 2: “Strumenti e tecniche di OSINT con AI”, demo pratiche, uso degli strumenti web e AI per analisi OSINT.
  • Modulo 3: “L’Intelligenza Artificiale come minaccia”, analisi di casi reali.
  • Modulo 4: “Dall’Intelligence all’azione” – checklist operativa, piano d’azione a 90 giorni per integrare AI-OSINT nei processi di gestione del rischio.

Al termine, rilascio di un attestato, con possibilità di di test finale e conseguimento di 4 Crediti Formativi Professionali (CFP) validi ai fini del mantenimento delle certificazioni UNI 10459.

Perché è rilevante per chi opera in ambito sicurezza / intelligence
  • In un contesto in cui le minacce digitali e ibride (cyber/physical/IA) stanno evolvendo rapidamente, avere un approccio OSINT + IA rappresenta senza alcun dubbio un vantaggio competitivo.
  • Per i Security Manager non basta “fare” operazioni tecniche: serve saper governare la funzione sicurezza, comunicare efficacemente con il top management, tradurre l’intelligence in decisioni aziendali.
  • Questo corso offre strumenti pronti all’uso (framework, checklist, piano a 90 giorni) che possono velocemente essere applicati in contesti reali.

Se il vostro ruolo prevede la funzione sicurezza (o intelligence interna) e desiderate acquisire velocemente un quadro operativo per integrare OSINT/IA, questo corso può essere una buona occasione. Per massimizzare il valore:

  • Preparare in anticipo un “business case” interno: quali rischi emergenti volete monitorare con OSINT/IA?
  • Identificare già prima del corso i KPI o indicatori di prestazione della funzione sicurezza che intendete migliorare (es: tempi di risposta, incidenti non previsti, visibilità su minacce non convenzionali).
  • Dopo il corso, definire con il team dedicato un piano d’azione interno basato sul modulo 4.

Investigazione OSINT

 “Geolocating Darfur Killings of Those Escaping Al Fashir” (Bellingcat)

L’articolo di Bellingcat documenta un episodio di uccisioni di massa nella regione di Al Fashir (Darfur, Sudan) in cui persone in fuga dalla città sono state intercettate e uccise da uomini alcuni dei quali indossavano uniformi del Rapid Support Forces (RSF).

La metodologia utilizzata è quella classica dell’OSINT investigativo: analisi di filmati social, geolocalizzazione e osservazione di immagini satellitari.

Le implicazioni per OSINT, intelligence, sicurezza
  • Questo caso mostra quanto l’OSINT possa avere impatto in contesti “alto rischio” o conflittuali, dove le fonti tradizionali – sul campo – sono difficili da raggiungere.
  • La geolocalizzazione precisa e la correlazione di fonti aperte (video, immagini, dati satellitari) forniscono evidenza tangibile che può essere usata anche in sede legale o investigativa.
  • Per professionisti della sicurezza o intelligence, l’esempio illustra come la combinazione fonti aperte + strumenti geospaziali + verifica metodologica sia ormai parte integrante di ogni toolkit operativo.
Spunti pratici per la vostra organizzazione
  • Considerate di replicare, a livello interno, un “mini-case study OSINT” per il vostro contesto: selezionate un evento significativo (anche in ambito aziendale), raccogliete fonti aperte, eseguite geolocalizzazione e preparate un brief.
  • Integrare nell’addestramento del team sicurezza un modulo specifico su geolocalizzazione/satellite imagery: come leggere argini, tracce infrastrutturali visibili dall’alto,ecc… e come correlare con dati social.
  • Incorporare nelle vostre policy di intelligence interne (se presenti) un “playbook OSINT”: definizione di fonti aperte da monitorare, protocolli di verifica, catena di custodia per eventuale uso investigativo.
Oltre l’aula di tribunale: un nuovo framework per l’analisi OSINT

Nel mio ottavo approfondimento dedicato all’OSINT, ho esplorato come il Protocollo di Berkeley, nato per regolamentare l’utilizzo delle evidenze digitali in indagini su diritti umani e conflitti, può essere adattato all’ambito della intelligence e dell’analisi strategica.

Cosa troverai:
  • Le origini del protocollo e gli step fondamentali dell’investigazione digitale: raccolta, preservazione, verifica, analisi.
  • Le criticità nel passaggio da indagine retrospettiva a analisi prospettica: come gestire incertezza, segnali deboli e contesti evolutivi.
  • Un nuovo framework operativo che integra integrità analitica, trasparenza metodologica e valutazione del bias cognitivo: strumenti che ogni analista OSINT dovrebbe padroneggiare.
A chi è rivolto:
  • Professionisti della sicurezza, intelligence e OSINT che desiderano rafforzare la propria metodologia.
  • Formatori e consulenti che vogliono integrare introspezione critica, rigore e professionalità nelle analisi.
  • Manager e decision-maker che vogliono comprendere come l’OSINT possa diventare parte integrante della governance informativa e del risk-management.

Con un approccio neutro e rigoroso, in questo approfondimento ho voluto mostrare come l’OSINT non sia più solo “raccolta di dati” bensì un processo strutturato di ragionamento al servizio del decision-making. Vi invito a scaricare il documento completo al link sottostante e a riflettere su come potete integrare queste metodologie nei vostri contesti operativi.

Focus analitico sul decalogo dell’analista OSINT:

non fidarti mai di una singola fonte

Perché questo principio è fondamentale

Nel contesto dell’Open Source Intelligence (OSINT) l’analista lavora con dati e informazioni provenienti da fonti pubblicamente disponibili ma non necessariamente affidabili. Il rischio di incorrere in disinformazione, manipolazione o semplici errori è elevato. Molte fonti, come articoli, post sui social, immagini, possono fornire indizi interessanti, ma non bastano da sole per generare intelligence credibile. Le best-practice nel settore sottolineano che bisogna cross-checking delle informazioni da fonti multiple e, quando possibile, correlare le informazioni OSINT con altre tipologie di evidenze al fine di aumentarne la validità. Questo spiega il perché alla base di ogni buon lavoro di analisi OSINT ci pensa un principio semplice ma spesso trascurato: una singola fonte non è sufficiente.

Cosa implica nell’attività quotidiana dell’analista
  1. Ricerca di fonti indipendenti
  2. Corroborazione riguardo a fatti, tempi e contesti
  3. Valutazione del “peso” delle informazioni
  4. Trasparenza e tracciamento della catena delle fonti
Esempio pratico di un caso simulato

Immagina che il tuo team riceva una segnalazione che un nuovo sito di produzione è stato avviato in una regione di interesse (scegli tu cosa potrebbe produrre e la regione, perché per l’esempio è indifferente :-)). La segnalazione proviene da un post social con foto.

Passi consigliati:

  • Verifica la foto con ricerca inversa immagini (es. TinEye, Google Images) per vedere se è stata ri-usata in un altro contesto.
  • Cerca pubblicazioni ufficiali o annunci locali (registri regionali, licenze) che confermino l’attività.
  • Controlla immagini satellitari per l’area geografica indicata: è coerente con la struttura fotografata?
  • Verifica che il post social sia stato pubblicato durante il tempo indicato, e che non ci siano segnali di manipolazione (metadata, post precedenti, attività dell’account).
  • Se ottieni almeno due fonti indipendenti che confermano la presenza dell’attività, puoi considerare l’informazione convalidata; altrimenti rimane non confermata e va trattata con cautela.

Indicatori di allarme quando una singola fonte non può essere accettata come valida

  • L’affermazione proviene da un solo account nuovo o anonimo, nessun riscontro da altri mezzi.
  • L’informazione sembra essere amplificata solo all’interno di un ecosistema (echo-chamber) senza riscontri esterni.
  • Mancano metadati, timestamp credibili, o la fonte non fornisce dettagli verificabili.
  • L’informazione supporta una narrativa forte senza evidenze concrete (es. «tutto il sistema è compromesso», «nessuna via di uscita») e questo potrebbe amplificare i nostri bias.
Raccomandazione per l’organizzazione

Per massimizzare la qualità delle analisi OSINT, suggerisco di adottare formalmente nel vostro team:

  • Un protocollo interno di corroborazione: stabilire che per ciascuna affermazione significativa occorrono almeno due fonti indipendenti.
  • Una check-list di verifica da usare come standard minimo (es. per ciascuna fonte: autore, data, tipo, indipendenza, bias potenziale, conferma).
  • Un registro delle fonti per ogni progetto, con tracciamento della catena di acquisizione, valutazione della credibilità e stato di conferma (non confermato / confermato).
  • Una formazione interna per staff e analisti sull’importanza del concetto “una fonte non è sufficiente” e delle modalità pratiche per corroborare.

Riassumendo, nel mondo dell’OSINT e dell’intelligence, si tende a dare peso alla rapidità nella raccolta delle informazioni. Tuttavia, la velocità non può sostituire la credibilità: un’affermazione non verificata da più fonti rischia di generare errori decisionali, perdite reputazionali o persino conseguenze operative gravi. Applicare sistematicamente la prima regola del decalogo, “non fidarti mai di una singola fonte” significa elevare la qualità del lavoro analitico, rafforzare la fiducia nel prodotto finale e dotarsi di un approccio professionale e difendibile.