Intelligence

Pillole di OSINT n.34

di Mirko Lapi · · aggiornato il
Pillole di OSINT n.34

Investigazioni private e OSINT: dall’informazione all’intelligence (2 di 4)

Il Collection Plan: tradurre il mandato in azioni verificabili

Nel primo approfondimento di questa serie (Pillole di Osint n.33) abbiamo stabilito il quadro concettuale: l’intelligence nasce da un requisito, si sviluppa attraverso un metodo e termina con un prodotto valutabile. La traduzione pratica di questo principio, nel contesto delle investigazioni private, si chiama Collection Plan. Non facciamo riferimento a un banale template da compilare bensì al documento che rende l’intera attività investigativa replicabile, documentabile e difendibile davanti a un giudice.

Il perimetro normativo come prima variabile operativa

L’investigatore privato italiano non opera in un vuoto regolatorio. La legge n. 197/1991, il D.Lgs. 196/2003 modificato dal GDPR e le linee guida del Garante definiscono con precisione quali trattamenti di dati personali sono leciti nell’ambito di un incarico investigativo. Il punto di partenza è sempre il mandato: l’interesse legittimo del committente (un coniuge in causa di separazione, un datore di lavoro che contesta un’assenza per malattia, un creditore che cerca beni di un debitore inadempiente) è la base giuridica che consente il trattamento di dati altrimenti protetti, nei limiti del principio di proporzionalità.

L’OSINT si inserisce in questo quadro come raccolta di informazioni pubblicamente disponibili. La sua liceità non dipende dalla tecnica utilizzata, ma dalla finalità e dalla proporzionalità rispetto all’obiettivo dichiarato nel mandato. Una ricerca su database pubblici per verificare la residenza dichiarata di un soggetto è proporzionata. La stessa ricerca condotta per costruire un profilo comportamentale sistematico senza un incarico specifico non lo è.

C’è poi un’importante distinzione che l’analista deve tenere ferma: dato pubblico non è sinonimo di dato liberamente accessibile. Un dato è pubblico quando è stato reso tale da un soggetto autorizzato quali potrebbero essere un’istituzione, un organo giudiziario, lo stesso interessato. Il semplice fatto che sia tecnicamente raggiungibile non lo rende tale. Questa distinzione ha rilevanza diretta nella valutazione di ammissibilità delle prove raccolte in giudizio. Il Collection Plan deve indicare, per ogni azione pianificata, la base giuridica che la legittima e il limite oltre il quale l’azione non è praticabile con mezzi OSINT leciti.

La struttura del piano e le quattro fasi

La struttura base del Collection Plan (Specific Intelligence Requirements (SIR), Fonte, Query/Azione, Priorità, Stato, Note/Limiti) si applica invariata anche nelle investigazioni private. Ciò che cambia è il contenuto di ciascuna colonna, che riflette il tipo di incarico e i vincoli legali specifici del settore.

Nelle investigazioni private, i SIR tendono a essere più circoscritti e personali rispetto, per esempio, alle “investigazioni” in ambito corporate: si cerca di stabilire dove vive effettivamente un soggetto, se esercita un’attività in nero durante un periodo di malattia certificata, se nasconde beni patrimoniali al coniuge in sede di separazione. Questa specificità richiede un piano di raccolta proporzionato: non si costruisce un profilo enciclopedico, si risponde a domande precise.

La progressione operativa si articola in quattro fasi distinte. La prima riguarda la profilazione anagrafica e identitaria: verifica dell’identità del soggetto, dati di residenza pubblicati, presenza professionale dichiarata, profili pubblici su piattaforme aperte. Le piattaforme professionali come LinkedIn, gli albi professionali e il Registro delle Imprese della CCIAA sono fonti di primo livello, perché contengono informazioni che il soggetto ha deliberatamente reso accessibili o che derivano da obblighi di pubblicità legale.

La seconda fase affronta la verifica patrimoniale e societaria: partecipazioni in società, cariche, procedure concorsuali, immobili registrati in fonti consultabili istituzionalmente. Le variazioni storiche come ad esempio cariche passate, cessioni di quote, operazioni straordinarie, sono spesso altrettanto rilevanti delle informazioni attuali.

Sul Catasto e il Registro Immobiliare vale una precisazione: l’accesso diretto a fini investigativi deve essere proporzionato al mandato e, in molti casi, richiede di operare tramite soggetti abilitati o nell’ambito di procedimenti giudiziari.

La terza fase introduce il background giudiziario e reputazionale: archivi stampa, sentenze pubblicate, contenziosi civili di dominio pubblico. Qui la distinzione tra informazione verificata e mera allegazione diventa più critica che in qualsiasi altra fase.

Una sentenza pubblicata su DeJure o su un portale istituzionale è un dato verificabile con data, numero di procedimento e autorità giudicante. Un articolo di cronaca che riferisce di indagini in corso ha un valore informativo completamente diverso: indica che il soggetto è stato associato a un procedimento, ma non ne attesta l’esito né la fondatezza. Nel report investigativo, queste due categorie devono essere nettamente separate.

La quarta fase introduce la verifica incrociata attraverso database investigativi internazionali come OCCRP Aleph e ICIJ Offshore Leaks, che aggregano informazioni provenienti da inchieste giornalistiche, leak documentali e registri societari di decine di giurisdizioni. L’analista deve mantenere una consapevolezza critica sul significato operativo di questi risultati: la presenza in OCCRP Aleph non equivale a un precedente penale, indica che il nome è comparso in documenti o articoli trattati dalla piattaforma.

Le liste di sanzioni internazionali come OFAC, lista consolidata UE, lista del Comitato delle Sanzioni ONU, rappresentano l’unica categoria di questa fase che produce un risultato oggettivo e binario: il soggetto è in lista o non lo è. La verifica va aggiornata alla data dell’indagine.

La progressione non è casuale. Le prime due fasi utilizzano fonti istituzionali o piattaforme con bassa aspettativa di privacy da parte dell’interessato. Le ultime due ampliano il campo a database reputazionali e inchieste giornalistiche, dove il rischio di incorrere in informazioni non verificate o contestate è maggiore e richiede una valutazione critica più attenta.

Documentazione: il Collection Plan come archivio difendibile

Il report investigativo che integra attività OSINT deve soddisfare standard di documentazione più stringenti di qualsiasi altro contesto applicativo, perché è destinato a essere utilizzato in sede giudiziaria o stragiudiziale, dove l’ammissibilità e la credibilità delle prove sono soggette a valutazione critica da parte di giudici, arbitri e controparti legali.

Ogni affermazione del report va classificata in una di due categorie: fatto verificato da fonte documentale citabile, o inferenza basata su elementi indiziari convergenti. La confusione tra le due categorie ovvero presentare un’inferenza come un fatto è l’errore più grave che un investigatore possa commettere in un documento destinato a uso legale.

Il fatto che un soggetto compaia come amministratore di tre società in tre anni consecutivi è un dato verificabile e citabile dal Registro Imprese. L’interpretazione che questo pattern indichi un tentativo sistematico di dispersione patrimoniale è un’inferenza e deve essere presentata come tale.

Ogni fonte digitale consultata va documentata con URL esatta, data e ora di consultazione e, ove possibile, screenshot archiviato con timestamp verificabile. I contenuti web hanno una volatilità intrinseca. Il Collection Plan, opportunamente compilato con gli stati di avanzamento, diventa parte dell’archivio dell’incarico e può essere richiesto come elemento di trasparenza procedurale. Un Collection Plan ben tenuto rappresenta quindi la miglior tutela dell’investigatore di fronte a contestazioni sulla correttezza del metodo.

Il prossimo approfondimento affronterà la fase di analisi: come valutare le fonti, gestire le contraddizioni tra risultati divergenti e strutturare un report investigativo che rispetti gli standard processuali e deontologici.

I 5 Perché applicati all’OSINT: analisi delle cause, non delle superfici

La tecnica dei 5 Perché nasce come strumento industriale. Sakichi Toyoda ne gettò le basi concettuali nei primi decenni del Novecento, ma fu Taiichi Ōno a formalizzarla come metodo operativo all’interno del Toyota Production System, a partire dagli anni ‘50, rendendola uno degli strumenti fondamentali dell’approccio scientifico al miglioramento dei processi. Il principio è semplice nella sua formulazione,  ma anche molto impegnativo nell’applicazione: per ogni problema identificato, si chiede “perché” cinque volte consecutive, risalendo la catena causale fino alla radice.

Nel contesto dell’Open Source Intelligence, questa procedura assume una rilevanza che va oltre la gestione dei processi interni. La capacità di analizzare le informazioni con rigore causale, ovvero non fermarsi alla prima spiegazione disponibile, non accettare la causa apparente come causa reale, è la differenza tra una raccolta informativa e un’analisi che produce valore decisionale. In un ecosistema informativo in cui i contenuti generati da sistemi di intelligenza artificiale sono ormai indistinguibili, nella forma, da quelli prodotti da fonti umane verificate, questa capacità non è più un vantaggio competitivo: è una condizione minima di affidabilità.

Il problema della plausibilità

I Large Language Model producono contenuti coerenti, fluenti e apparentemente ben documentati. Non mentono nel senso tradizionale del termine: generano testo statisticamente probabile dato un contesto, indipendentemente dalla sua corrispondenza con la realtà. Il risultato è una categoria di contenuti che non è falsa nel modo in cui è falsa una notizia deliberatamente costruita per ingannare, ma che è ugualmente inutilizzabile come fonte e molto più difficile da smascherare, perché non presenta le anomalie stilistiche o fattuali a cui l’analista è tradizionalmente addestrato a reagire.

La disinformazione generata o amplificata con strumenti AI introduce una variabile non nuova ma sempre più pervasiva nella catena analitica: la plausibilità non rappresenta un indicatore affidabile di veridicità. Un contenuto può essere perfettamente plausibile e completamente infondato. Può citare fonti reali in contesti distorti. Può costruire una narrativa causalmente coerente su premesse false. L’analista che si ferma alla superficie, valutando un contenuto in base alla sua forma è sistematicamente vulnerabile a questo tipo di manipolazione.

La complessità crescente dell’analisi informativa

Accadeva già in passato; tuttavia, la velocità dei processi informativi attuali, ingestibili per la mente umana, rende oggi il compito degli analisti molto più complesso.

Se in passato l’analista poteva contare su tempi di reazione più lunghi e su una quantità di dati gestibile, oggi si trova immerso in un flusso continuo e rapidissimo di informazioni che supera le capacità di elaborazione umana. La sovrabbondanza di contenuti e la loro volatilità impongono agli operatori OSINT di adottare metodi sempre più rigorosi per distinguere tra dati affidabili e interpretazioni, evitando di confondere fatti verificati con inferenze. Il rischio principale è quello di lasciarsi guidare dalla plausibilità apparente, senza poter garantire la tracciabilità e la validità delle fonti, in un ambiente dove anche le informazioni generate artificialmente sono ormai indistinguibili da quelle prodotte da fonti umane verificate.

Di conseguenza, la velocità con cui le informazioni vengono prodotte e diffuse rende necessario strutturare l’analisi su più livelli, applicando tecniche come quella dei 5 Perché per risalire alle cause profonde dietro ogni dato o anomalia rilevata. Solo così è possibile offrire un prodotto di intelligence che rispetti gli standard di affidabilità, precisione e trasparenza richiesti dal contesto giudiziario e operativo attuale.

Come i 5 Perché cambiano la risposta a questo problema

La tecnica forza un cambio di livello. Davanti a un contenuto che sembra affidabile, il primo “perché” non riguarda il contenuto stesso ma la sua origine: perché questa informazione esiste, chi ha interesse a produrla e diffonderla, in quale momento e in quale contesto è apparsa. Il secondo “perché” sposta l’attenzione sulla catena di diffusione: perché questa fonte specifica la riporta, su quali fonti si basa a sua volta, se la catena di citazioni porta a una fonte primaria verificabile o si dissolve in riferimenti circolari. Il terzo “perché” interroga la struttura argomentativa: perché questo contenuto è costruito in questo modo, quali elementi omette, quali enfatizza, a quale risposta emotiva o cognitiva sembra orientato.

Applicata sistematicamente, questa progressione trasforma il controllo delle fonti da verifica puntuale a processo analitico strutturato. Non si tratta di essere sospettosi di tutto perché un simile atteggiamento produrrebbe solo un paralisi analitica, si tratta solo di non accettare mai la prima risposta plausibile come risposta definitiva.

Come funziona nella pratica OSINT

L’applicazione al contesto investigativo parte da un’osservazione che precede l’era dell’AI generativa e che questa ha però reso più urgente: la maggior parte degli errori analitici non nasce da mancanza di dati, ma da un’interpretazione prematura di quelli disponibili. Ci si ferma alla causa più visibile: una fonte inaffidabile, un dato mancante, un’anomalia non spiegata, senza però chiedersi cosa l’ha prodotta.

I 5 Perché obbligano a scavare. Se un’analisi produce risultati contraddittori, la prima risposta tende a indicare un problema tecnico o una lacuna di fonti. Ma il secondo “perché” può rivelare che i criteri di selezione delle fonti erano mal definiti. Il terzo, che mancava un piano di raccolta strutturato. Il quarto, che i requisiti informativi non erano stati tradotti in SIR operativi. Il quinto, che l’incarico era stato avviato senza una KIQ formulata con precisione sufficiente. La soluzione reale non è cercare fonti migliori: è ristrutturare il punto di partenza dell’analisi.

Lo stesso schema si applica alla gestione di un team OSINT che non rispetta le scadenze di un progetto. La causa immediata: le attività richiedono più tempo del previsto potrebbe invece nascondere qualcosa di più profondo: assenza di prioritizzazione dei SIR, sovrapposizione di compiti, mancanza di procedure di verifica intermedie, o una cultura interna che non ha integrato la documentazione come parte del lavoro analitico e non come burocrazia aggiuntiva.

Perché il metodo funziona in analisi

I 5 Perché producono tre effetti concreti nel lavoro di intelligence. Primo: impediscono le soluzioni di superficie, quelle che risolvono il sintomo senza toccare la causa e che garantiscono il ripresentarsi del problema in forma diversa. Secondo: rendono tracciabili le decisioni analitiche perchè ogni passaggio causale aggiunge un livello di consapevolezza che, quando documentato, rende il percorso metodologico trasparente e verificabile. Terzo: supportano una cultura della precisione, perché mettere sistematicamente in discussione le proprie interpretazioni iniziali è un’abitudine che migliora la qualità del prodotto di intelligence nel tempo.

Nell’attuale contesto informativo, questi tre effetti assumono un peso diverso rispetto a quando la tecnica veniva applicata a linee di produzione. La tracciabilità delle decisioni analitiche è oggi anche una forma di responsabilità metodologica: documentare perché si è ritenuta affidabile una fonte, perché si è esclusa un’altra, perché si è accettata una determinata inferenza, significa costruire un archivio di ragionamento che può essere verificato e contestato. Ritengo che la differenza tra un’analisi e un’opinione sia proprio qui.

Il metodo non ha nulla di nuovo. La sua efficacia nell’OSINT, nonché la sua rilevanza crescente in un ecosistema saturo di contenuti sintetici e campagne di disinformazione industrializzate, dipende dalla stessa ragione per cui funzionava nelle officine Toyota: costringe a non fermarsi alla prima risposta plausibile. Penso davvero che in un ambiente in cui la plausibilità è diventata una risorsa producibile su scala, questa resistenza metodologica davvero prioritaria.

Cinque monitor OSINT, Gratuiti e già accessibili.

Su osintnews.it sono attivi cinque Intelligence Monitor ad accesso libero, costruiti per chi lavora con le fonti aperte e ha bisogno di un punto di aggregazione strutturato su aree di crisi e minacce digitali.

I monitor coprono scenari distinti: il Cyber Threat Intelligence Monitor aggrega segnali su minacce informatiche, campagne offensive e attori della minaccia documentati da fonti aperte internazionali. Il Lebanon Conflict Intelligence Monitor, il Balkans Conflict Intelligence Monitor e l’Ukraine Conflict Intelligence Monitor seguono in tempo reale le dinamiche operative, diplomatiche e informative dei rispettivi teatri, attingendo a fonti multilinguistiche selezionate. L’Iran Conflict Intelligence Monitor monitora il posizionamento regionale dell’Iran, le proxy warfare e le tensioni con attori statali e non statali nell’area mediorientale.

Ogni monitor è progettato per ridurre il tempo di orientamento su scenari complessi: le informazioni sono aggregate, categorizzate e aggiornate in modo da fornire un quadro contestuale immediatamente leggibile, senza richiedere all’analista di costruirsi da zero il proprio sistema di monitoraggio delle fonti.

Un elemento operativo rilevante: i contenuti dei monitor sono condivisibili direttamente, via WhatsApp, Telegram e Signal. Per chi gestisce attività di briefing, aggiornamento di team o distribuzione di intelligence a un pubblico definito, questa funzione trasforma il monitor da strumento di consultazione individuale a componente di un flusso informativo condiviso.

Ci tengo a sottolineare che in questo caso l’accesso è gratuito e non richiede registrazione.