L’arte di sapere tutto su chiunque (e come proteggersi)

Ti sei mai chiesto che qualcuno potrebbe ricostruire la tua intera vita senza dover hackerare nulla? Basterebbero Google, qualche ora di tempo e tutti i dati che tu stesso hai lasciato online nel corso degli anni. Oggi ti farò conoscere l’OSINT (Open Source Intelligence), una tecnica legale utilizzata da investigatori, giornalisti e aziende di cybersicurezza, ma anche da stalker e truffatori.

Lo scopo di questo articolo è renderti consapevole che ciò che condividi su internet potrebbe essere sfruttato anche per scopi poco leciti, e capire come funziona è il primo passo per proteggerti!

Il detective nell’era digitale

Immagina di ricevere un messaggio da uno sconosciuto che conosce il tuo indirizzo di casa, dove lavori, a che ora esci la mattina per correre e come si chiama il tuo cane. Non ti ha mai visto. Non ha violato nessun sistema informatico. Ha semplicemente letto quello che tu e quelli intorno a te avete pubblicato online nel corso degli anni.

Questo è l’OSINT nella pratica: la raccolta e l’analisi sistematica di informazioni disponibili a chiunque, trasformate in “intelligence”, cioè in qualcosa di utile (o pericoloso) per prendere decisioni.

Il termine viene dal mondo militare e governativo, dove l’analisi di fonti aperte è pratica consolidata da decenni. Ma oggi l’OSINT si è democratizzata: la usano le forze dell’ordine per individuare criminali, i giornalisti per verificare fake news, le aziende per capire quanto sono esposte agli attaccanti. E la usano, purtroppo, anche i malintenzionati.

Cosa raccolgono, e da dove

Le fonti OSINT sono tutto ciò che chiunque può vedere senza password speciali o accessi illeciti: profili pubblici sui social network, bio, foto, commenti, liste di amici e follower; siti web, forum, archivi di pagine eliminate come l’Internet Archive; registri pubblici di imprese, appalti, bilanci; articoli scientifici, brevetti, presentazioni aziendali.

Preso singolarmente, ogni frammento sembra innocuo. Ma è proprio qui il punto: l’OSINT funziona per aggregazione. La tua foto di corsa con la geolocalizzazione attiva, il commento in cui menzioni il nome del tuo cane (spesso usato come risposta di sicurezza per recuperare account), il post in cui ringrazi i colleghi con i loro nomi, il curriculum che hai caricato su un forum cinque anni fa, messi insieme, dipingono un ritratto dettagliatissimo.

Esistono strumenti appositi per automatizzare tutto questo. I cosiddetti “Google dork” permettono ricerche avanzate per trovare documenti indicizzati con email o nomi specifici. Piattaforme di analisi social leggono contenuti pubblici e ricostruiscono reti di relazioni e cronologie di attività. Scanner come Shodan mostrano quali dispositivi come webcam, router, server aziendali sono raggiungibili da internet perché mal configurati. E tool di correlazione come Maltego tracciano grafici di “chi è collegato a chi”, quali domini appartengono a quali persone, dove compare una certa email.

Tutto legale, tutto potenzialmente devastante se usato in malafede.

Un esempio concreto: il profilo di Marco (nome di fantasia)

Marco è un imprenditore di 42 anni. Usa LinkedIn con il profilo pubblico, posta su Instagram foto delle vacanze e dei ristoranti, ha un account Twitter dove commenta di politica. Sul sito della sua azienda c’è la sua email di lavoro.

Un analista OSINT o un truffatore, in meno di un’ora potrebbe ricavare: nome completo, ruolo, azienda e settore (LinkedIn), città di residenza approssimativa (geotag delle foto Instagram), abitudini e orari (post regolari la domenica mattina in un parco specifico), cerchia di amici e familiari (tag e commenti), nome del cane (foto con didascalia), gusti politici e posizioni pubbliche (Twitter), indirizzo email aziendale (sito web).

Con queste informazioni si può tentare di resettare un account bancario, costruire un’email di phishing iper-personalizzata, pianificare un furto sapendo quando la casa è vuota, o semplicemente perseguitare qualcuno sapendo sempre dove si trova.

I pericoli per le persone comuni

I rischi non riguardano solo manager e personaggi pubblici. Il fenomeno del doxxing, assemblare e pubblicare dati personali (indirizzo di casa, targa dell’auto, scuola dei figli) di una persona per metterla in pericolo colpisce chiunque abbia espresso un’opinione scomoda online. Le frodi d’identità sfruttano date di nascita, email e risposte alle domande di sicurezza che gli utenti disseminano inconsapevolmente. Gli stalker usano l’OSINT per monitorare spostamenti e nuove amicizie delle vittime.

Niente di tutto questo richiede capacità di hacking. Richiede solo pazienza.

Cosa dice la legge (e cosa non dice)

In Europa e in Italia in particolare, il fatto che un’informazione sia visibile pubblicamente non significa che si possa fare qualsiasi cosa. Il GDPR stabilisce una distinzione chiara: vedere un profilo pubblico è una cosa; scaricare in blocco i suoi dati, archiviarli o usarli per discriminare è tutt’altra storia. Aggirare protezioni tecniche, bucare password o forzare accessi non è OSINT: è reato a tutti gli effetti.

C’è poi una zona grigia etica importante: anche quando un’azione è tecnicamente legale; leggere tweet pubblici, consultare un registro d’impresa e usarla per perseguitare o ricattare qualcuno resta eticamente sbagliato e spesso perseguibile penalmente. Per questo, tra i professionisti dell’OSINT si discute sempre più di etica, minimizzazione dei dati e anonimizzazione.

Come proteggersi: le mosse concrete

La buona notizia è che puoi fare molto, anche senza essere un esperto di sicurezza informatica.

Il primo passo è fare “auto-OSINT” su te stesso: cerca su Google il tuo nome, i tuoi nickname passati e presenti, la tua email principale. Guarda cosa esce nelle immagini. Controlla i tuoi profili social come li vedrebbe un estraneo, aprendo una finestra in anonimo. Cerca vecchi PDF o documenti dove compaiono i tuoi dati un curriculum caricato anni fa, un annuncio, un commento su un forum. Quello che trovi tu oggi, domani lo trova chiunque.

Poi agisci su ciò che puoi controllare: rendi privato ciò che non deve essere pubblico, rivedi le impostazioni predefinite dei social (spesso sono molto più aperte di quanto pensi), cancella vecchi account che non usi più, evita di pubblicare dettagli apparentemente innocui come orari e luoghi abituali, non fotografare biglietti aerei o badge aziendali. Usa password tutte diverse con un password manager e attiva l’autenticazione a due fattori su email e social. Se puoi, usa indirizzi email e nickname diversi per ambiti diversi: lavoro, vita privata, hobby. Rendere difficile collegare tutto alla stessa persona è già una difesa efficace.

Sapere è potere (anche per difendersi)

L’OSINT non è solo una minaccia: è anche uno strumento di autodifesa. Chi capisce come funziona può scoprire quali proprie informazioni circolano online e richiederne la rimozione dove possibile. Le aziende possono usarlo per identificare le proprie vulnerabilità prima che lo facciano gli attaccanti. I cittadini consapevoli sanno come governi e piattaforme potrebbero usare o abusare dei dati che lasciano ogni giorno.

Viviamo in un’epoca in cui la privacy non si perde solo per colpa degli hacker, ma spesso per le nostre stesse mani. Conoscere l’OSINT è il primo passo per smettere di regalare informazioni senza rendersene conto.

Hai mai provato a cercare il tuo nome su Google come farebbe uno sconosciuto? Cosa hai trovato? Condividi questo articolo con chi tieni potrebbe aprire conversazioni importanti su quanto siamo davvero “visibili” online. E se vuoi approfondire, inizia da lì: apri una finestra in incognito e cerca te stesso. Il risultato potrebbe sorprenderti.