L’OSINT come strumento a disposizione del difensore

di Paolo Palmieri


Cos’è l’OSINT e perché è così importante?

Non c’è una nozione giuridica univoca di Open Source Intelligence; in campo militale la NATO la definisce come “un processo di raccolta, selezione, distillazione e diffusione di informazioni non classificate ad una comunità ristretta di operatori ed in relazione a specifici argomenti”. In altre parole, l’OSINT consente il reperimento di contenuti (potenzialmente) informativi senza metodi coercitivi e su fonti accessibili a tutti.

Questo è ciò che lo distingue dall’HUMINT (informatori), dal SIGINT (intercettazioni), dall’IMINT (immagini satellitari o altri strumenti utilizzati per spiare) e dal MASINT (strumenti di indagine scientifica).

Con l’OSINT, dunque, si interviene su fonti aperte, ossia su fonti non sottoposte ad un regime di riservatezza, per il cui recupero non c’è bisogno della collaborazione del titolare delle informazioni o di terzi.

La connotazione “aperta” delle fonti consente all’investigatore di non oltrepassare il confine della legalità nella ricerca delle informazioni, oltreché di non dover coinvolgere altri soggetti.

Esempi di OSINT

Può sembrare banale (e delle volte lo è), ma la più classica operazione su fonti aperte consiste nell’indagine dei profili social (Facebook, Twitter, LinkedIn, Instagram, Tik Tok, Twich, etc).

Sono fonti aperte anche i c.d. user generated content, ossia i file multimediali postati liberamente sui social network e forum; si pensi a Wikipedia, oppure ai post con hashtag condiviso, i video su Youtube: fonti alle quali è possibile attingere, sempre più utilizzate anche dai media tradizionali.

Sono OSINT anche le indagini sulle relazioni governative, sulle statistiche ufficiali, sui database istituzionali (ad es. l’Albo Pretorio online) e su tutto ciò che tende all’open data (si veda il progetto di www.dati.gov.it).

Se per un verso non è automatico il sillogismo fonte aperta=fonte affidabile, in quanto le fonti chiuse di solito sono connotate da un maggiore livello di affidabilità derivante dalla responsabilità di chi le cura, non è neppure automatico che la fonte aperta sia di per sé inaffidabile, soprattutto qualora sia stata validata da un’attività di cross-checking. Sul punto è bene sottolineare che qualsiasi tecnica di intelligence, per avere una valutazione probatoria sufficiente, deve comunque rispettare le best practice di gestione e raccolta della prova, al fine di garantire la genuinità e l’inalterabilità della stessa.

Tecniche di OSINT

Ovviamente per poter sfruttare le fonti aperte occorre avere dimestichezza con le tecniche avanzate concesse dai motori di ricerca, ed occorre sapersi districare tra i database istituzionali.

Le possibilità offerte dall’OSINT, con l’aumento dei grandi collettori di informazioni (in primis i social network) e la diffusione degli strumenti di sorveglianza, sono direttamente proporzionali alla repentina diffusione delle nuove tecnologie.

In questa sovrabbondanza di informazioni (la c.d. infodemia, resa ancor più evidente dalla pandemia) diventa fondamentale saper passare da dati grezzi e generici, a fonti aperte validamente filtrate e destinate a soddisfare una specifica richiesta normativa. In dottrina, infatti, si parla delle c.d. quattro “D”: discovery, come individuazione della fonte; discrimination, come selezione e catalogazione delle fonti; distillation, come filtraggio delle sole informazioni rilevanti; e dissemination, come diffusione dei risultati tra i soggetti interessati.

Esistono diversi aggregatori finalizzati all’OSINT (il più diffuso è senza dubbio https://osintframework.com); così come tools utilizzati per risalire all’identità del titolare di un nome di dominio (whois); al luogo da cui provengono le informazioni tramite la lettura dei registri di traduzione DNS (https://dnslytics.com); a versioni precedenti di un sito web – se catalogato – (https://archive.org/web/web.php).

Ci sono, poi, dei tools specifici per la ricerca di immagini (come tineye.com e Google Immagini), per le persone, per i forum (boardreader.com), per le società (hoovers.com); oppure tools sfruttati per la ricerca tra IoT (il più famoso è sicuramente shoodan.io).

È possibile ricavare molteplici informazioni da un solo dato di partenza; ad esempio, partendo da un’immagine, da un nome, da un documento di testo (studiando i metadati), o da un indirizzo e-mail. Esistono, poi, dei software a pagamento che velocizzano le operazioni di analisi dei collegamenti e OSINT, come Maltego o Palantir; così come software a pagamento (LegalEye, Faw, ecc.), che consentono di acquisire legittimamente pagine web da portare come prova in procedimenti penali e civili.

Le investigazioni digitali del difensore in ambito penale

Come detto, siamo circondati da aggregatori di informazioni e da devices IoT, basti pensare ai dispositivi connessi utilizzati in casa ed ai dispositivi indossabili.

In materia penale, la prova scientifica si forma frequentemente sulla scaena criminis. Questa situazione ha portato ad un rovesciamento di prospettiva per il difensore, tenuto a ripensare sempre più spesso alla propria strategia difensiva: non più attendista, ma d’attacco, per non trovarsi di fronte ad un processo già confezionato difficile da ribaltare in dibattimento, e soprattutto per evitare perdite di dati (anche causate dallo spirare dei termini per la data retention).

Il codice di procedura penale, infatti, agli artt. 391 bis e ss., offre molteplici strumenti per le investigazioni difensive finalizzate alla ricerca di elementi di prova (anche prima dell’instaurazione di un procedimento penale): consente l’accesso ai luoghi ed alla documentazione, l’audizione delle persone informate dei fatti, l’accesso alla documentazione della pubblica amministrazione. Chiaramente anche per le investigazioni difensive digitali è opportuno adottare tutte le misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione, seguendo le best practices di cui alla legge n. 48/2008.

Infine, c’è sempre da considerare il disposto dell’art. 191 c.p.p., ai sensi del quale le prove acquisite in violazione dei divieti stabiliti dalla legge non possono essere utilizzate.

Le investigazioni digitali del difensore in ambito civile

Il processo civile, invece, non ha regole specifiche per l’acquisizione della prova digitale, simili a quelle introdotte nel processo penale con la l. 48/2008; ma sappiamo, ormai, che ai sensi dell’art. 46 del Reg. UE 2014/910 (eIDAS) ad un documento elettronico non sono negati gli effetti giuridici e l’ammissibilità come prova in procedimenti giudiziali per il solo motivo della sua forma elettronica; e che, ai sensi dell’art. 20, comma 1 bis, C.A.D., il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’art. 2702 c.c. quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata; e che, in generale, l’idoneità del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, in relazione alle sue caratteristiche oggettive di qualità, sicurezza, integrità e immodificabilità. Inoltre, ai sensi dell’art. 2712 c.c., le riproduzioni informatiche formano piena prova dei fatti e delle cose rappresentate, se colui contro il quale sono prodotte non ne disconosce la conformità ai fatti o alle cose medesime (con un implicito richiamo all’art. 115 c.p.c. sull’onere di specifica contestazione).

Gli strumenti a disposizione del difensore sono molteplici. In primis provengono dal GDPR: l’art. 15 del Reg. UE 2016/679 consente all’interessato da un trattamento di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, ed ottenerne l’accesso e la copia (i provider ed i servizi di messaggistica istantanea più diffusi, consentono di scaricare tutti i dati personali detenuti con un click); l’art. 20 del Reg. UE 2016/679 attribuisce all’interessato il diritto alla portabilità dei dati, ossia il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano. In secondo luogo, è possibile utilizzare tutte le tecniche di OSINT, a seconda delle esigenze di ricerca.

Il “prontuario” per le indagini difensive telematiche

Che si agisca in ambito penale o in ambito civile, è possibile stendere un piccolo prontuario che è bene tenere a mente e che può fornire spunti di difesa interessanti.

Per prima cosa, occorre pensare di effettuare un’analisi forense di smartphone o pc a disposizione del soggetto; in tal caso è opportuno avvalersi di consulenti esperti di digital forensics, al fine di avere la più ampia efficacia probatoria possibile sulle fonti di prova reperite.

Poi, possono entrare in gioco i dispositivi IoT che circondano il soggetto, come ad esempio i dispositivi indossabili. Si può pensare di analizzare i sistemi che memorizzano i log GPS, per provare la posizione in un determinato luogo ed ad una determinata ora.

Così come potrebbe essere utile richiedere l’accesso e la copia ai propri dati, ad esempio ad un titolare del trattamento che utilizza un sistema di videosorveglianza e che, ai sensi dell’art. 15 del Reg. UE 2016/679 è tenuto a consegnare i dati personali (qualora ancora detenuti). Nel caso in cui possano essere utili i dati relativi al traffico telefonico o telematico, l’art. 132 Codice Privacy consente al difensore dell’imputato o della persona sottoposta alle indagini di richiedere direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito.

Il quadro normativo ed i limiti per il difensore

Parlare di fonti aperte non significa che il difensore possa agire senza rispettare alcun paletto; infatti, il contenuto delle informazioni ricercate rientra – di regola – nella definizione di “dato personale”, e dunque l’utilizzo di tecniche di OSINT solleva dei problemi in merito alla protezione accordata dal GDPR.

Come detto, l’OSINT riguarda necessariamente delle fonti pubbliche e accessibili; tutto ciò che è protetto da una forma di autenticazione o che richieda il superamento di misure di sicurezza, non rientra nella definizione di OSINT e potrebbe comportare una illecita acquisizione di dati personali.

Nulla quaestio in relazione ai dati personali già diffusi da altre fonti e liberamente disponibili in rete, ed ai dati già diffusi dallo stesso interessato (che possono essere lecitamente trattati ai sensi dell’art. 9, comma 2, lett. e) del GDPR); per questa tipologia di fonti sarà necessario accertarsi della liceità della fonte e della base giuridica in base alla quale viene comunicata.

Invece, in relazione alle informazioni apprese diversamente, l’utilizzo è consentito qualora il trattamento sia necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, o ogniqualvolta le autorità giurisdizionali esercitino e loro funzioni giurisdizionali (art. 9, comma 2, lett. f) del GDPR).

Da ultimo, il difensore non può esimersi dal rispettare le “Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria”, adottate (rectius, riconfermate) dal Garante per la protezione dei dati personali con provvedimento del 19 dicembre 2018, contenenti la disciplina da seguire in relazione al trattamento di dati personali per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria, sia nel corso di un procedimento (anche in sede amministrativa, di arbitrato o di conciliazione) sia nella fase propedeutica all’instaurazione di un eventuale giudizio, sia nella fase successiva alla sua definizione, da parte di avvocati, praticanti avvocati, ed altri soggetti che svolgano attività di investigazione privata.

In altri termini, affinché le attività di OSINT siano conformi alla normativa posta a protezione dei dati personali, il difensore è tenuto a verificare la legittimità e la qualità della fonte, minimizzare i dati raccolti e cancellare i dati non necessari (principio di proporzionalità e sussidiarietà), evitare la comunicazione dei dati a terzi, proteggerli e garantire l’esercizio dei diritti ai titolari degli stessi.


Autore:

 

it_IT