CTI e Dark Web: qual è il confine invisibile tra sicurezza difensiva e reato penale?

Paolo Galdieri : 4 Dicembre 2025 09:47

Il panorama della sicurezza informatica moderna è imprescindibile dalla conoscenza della topografia del Dark Web (DW), un incubatore di contenuti illeciti essenziale per la criminalità organizzata. In tale contesto, il Dark Web Monitoring (DWM) e la Cyber Threat Intelligence (CTI) sono emersi come pratiche fondamentali, spesso obbligatorie, per la protezione degli asset digitali e la prevenzione di una fuga di dati (data leakage).

L’attività proattiva di DWM consente il rilevamento di minacce critiche, come credenziali e documenti d’identità rubati, che alimentano reati di spear phishing e credential stuffing. Tuttavia, in Italia, l’imperativo di sicurezza privato si scontra con il principio di legalità e la riserva statale delle indagini, poiché i consulenti privati non godono dei poteri processuali riservati agli organi di Polizia Giudiziaria.

La valutazione della legittimità delle azioni del professionista deve procedere bilanciando l’interesse difensivo con la tutela penale. La mia osservazione, come avvocato penalista e docente di Diritto penale dell’informatica, è che la corretta difesa e la prevenzione del rischio non possono prescindere da una profonda conoscenza di questo bilanciamento costituzionale tra diritto di difesa e riserva di legge penale.

Il pericolo di commettere delitti

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il rischio penale principale che incombe sul professionista della cybersecurity che opera nel Dark Web è l’integrazione del reato di Accesso Abusivo a sistema informatico o telematico (Art. 615-ter c.p.). Il bene giuridico tutelato da questa norma è l’ambiente informatico stesso, che la giurisprudenza ha equiparato a un “luogo inviolabile” o a uno spazio privato. La condotta criminosa si perfeziona con l’accesso o il mantenimento nel sistema “senza diritto” e contro la volontà del gestore.

L’analisi critica della Cyber Threat Intelligence (CTI) impone una netta distinzione tra due scenari operativi. L’osservazione passiva (CTI legittima) si verifica se il professionista naviga su pagine del Dark Web che sono aperte e non protette da autenticazione. Tale attività, configurandosi come open source intelligence (OSINT) e avvenendo in assenza di misure di sicurezza da superare, generalmente non integra la fattispecie dell’Art. 615-ter c.p., poiché la tutela penale è rivolta al sistema (il contenitore) e non alla liceità del contenuto. Al contrario, si configura accesso attivo e infiltrazione (accesso abusivo) se il professionista compie un atto di credential stuffing, utilizzando credenziali rubate per autenticarsi in un forum protetto o in un pannello di controllo.

In questo caso, si configura il reato, poiché l’interesse difensivo del privato non può prevalere sulla tutela penale del sistema informatico, anche se ostile o criminale, che non sempre ,ma tal volta trova tutela. Ai professionisti che mi consultano, ricordo sempre che la finalità difensiva non è una scriminante penale implicita; l’accesso abusivo è un reato di pericolo che si perfeziona con la mera intrusione non autorizzata.

Oltre all’accesso abusivo, il DWM espone anche al rischio di detenzione abusiva di codici di accesso (Art. 615-quater c.p.). Per mitigare tale pericolo e dimostrare la finalità di tutela, è imperativo che la procedura operativa preveda l’immediata trasformazione dei dati sensibili raccolti in un formato non reversibile, come l’hashing, conservando solo l’informazione strettamente necessaria, in conformità con i principi di minimizzazione dei dati. Cautela è inoltre richiesta nella gestione di segreti commerciali altrui rubati.

Il trattamento dei dati personali raccolti e la compliance gdpr

La raccolta e la successiva analisi di dati personali provenienti dal Dark Web costituiscono un nuovo trattamento e, come tale, devono essere fondate su una base giuridica legittima ai sensi del GDPR. Per il Dark Web Monitoring (DWM), la base più plausibile e invocabile è l’Interesse Legittimo (Art. 6, par. 1, lett. f), poiché risponde all’interesse vitale dell’organizzazione di proteggere il proprio patrimonio digitale e di garantire una tempestiva risposta agli incidenti (incident response).

Tuttavia, l’applicazione dell’Interesse Legittimo non è automatica. Richiede l’esecuzione di un rigoroso Legitimate Interest Assessment (LIA), il quale impone un test di bilanciamento tra l’interesse difensivo del Titolare e i diritti e le libertà fondamentali dell’interessato, la vittima del furto di dati.

Dato che la fonte è criminale e l’interessato non si aspetta che i suoi dati rubati siano raccolti da un CTI provider privato, il bilanciamento è considerato “forte”, richiedendo massime garanzie di mitigazione. La misura cruciale per superare con successo il LIA è la minimizzazione del trattamento. Ciò significa evitare categoricamente l’overcollection e l’overretention, limitando la raccolta alle sole informazioni indispensabili per la difesa. La conservazione integrale e illimitata nel tempo di dati rubati è contraria alla normativa; è fondamentale implementare la pseudonimizzazione (ad esempio, tramite hashing) dei dati identificativi non necessari e definire tempi di conservazione strettamente limitati. Infine, sussistono precisi obblighi di trasparenza e notifica.

La rilevanza probatoria e i limiti istituzionali dei professionisti privati

Nel contesto di un’indagine giudiziaria, la capacità di conferire valore probatorio ai dati raccolti dal Dark Web Monitoring (DWM) da parte di attori privati rappresenta una delle sfide procedurali più acute. L’unico percorso legale che può legittimare l’acquisizione di tali elementi è incanalare strettamente l’attività nel perimetro delle investigazioni difensive, come disciplinato dall’Art. 391-bis del Codice di Procedura Penale (c.p.p.). Questo inquadramento richiede un mandato formale conferito dal difensore e garantisce che l’uso della documentazione sia strettamente limitato alle esigenze dell’esercizio della difesa.

Tuttavia, è fondamentale sottolineare un limite invalicabile del nostro ordinamento: la procedura difensiva non ha il potere di sanare l’illiceità sostanziale della condotta originaria. Ciò significa che se l’atto di acquisizione, sebbene finalizzato alla difesa, viola di per sé una norma penale-ad esempio l’Art. 615-ter c.p. attraverso un accesso abusivo-il dato raccolto sarà considerato illegittimamente acquisito e, di conseguenza, inutilizzabile nel dibattimento. La necessità operativa non può, in sede processuale, prevalere sulla tutela del domicilio informatico garantita dalla legge penale.

Parallelamente ai vincoli procedurali, l’ammissibilità e l’efficacia della prova digitale sono assolutamente dipendenti dal rispetto degli standard internazionali di digital forensics. I dati informatici sono intrinsecamente volatili e facilmente alterabili; pertanto, la loro integrità e autenticità devono essere garantite per evitare che l’autorità giudiziaria li consideri contaminati o inattendibili. L’acquisizione non può limitarsi all’uso di semplici screenshot, che hanno spesso un mero valore suggestivo e non probatorio. Al contrario, essa deve avvenire attraverso la creazione di una copia forense certificata del dato originale (come una bitstream copy).

Come docente, insisto sull’importanza di questa metodologia- L’efficacia della prova digitale è direttamente proporzionale alla sua correttezza epistemologica; non basta contestare un dato, bisogna contestare il metodo di acquisizione. Tale processo deve assicurare la piena e ininterrotta tracciabilità della catena di custodia (chain of custody), documentando meticolosamente ogni passaggio, al fine di garantire l’immutabilità e l’identità dell’elemento probatorio. solo attraverso questa rigorosa aderenza ai protocolli forensi, il professionista privato può sperare di dotare il materiale raccolto della credibilità necessaria per sostenere una tesi difensiva in sede legale.

Raccomandazioni operative

L’analisi svolta evidenzia chiaramente che l’attività di Dark Web Monitoring (DWM) da parte di professionisti privati si svolge in Italia in una complessa zona grigia di incertezza normativa. Il professionista è costantemente esposto a una triade di rischi legali interconnessi.

In primo luogo, il rischio penale è massimo quando l’attività sfocia nell’infiltrazione attiva (ad esempio, l’uso di credenziali rubate per accedere a sistemi protetti), potendo integrare il reato di cui all’Art. 615-ter c.p.

In secondo luogo, il rischio GDPR è sempre presente in caso di overcollection o di mancata esecuzione del Legitimate Interest Assessment (LIA), esponendo l’organizzazione a sanzioni amministrative salate.

Infine, il rischio procedurale neutralizza l’efficacia dell’intelligence raccolta se manca la rigorosa adozione della Chain of Custody e degli standard forensi.

Proprio per questa incertezza normativa, il mio consiglio è di non agire mai nella grey area senza un preventivo e documentato parere, che valuti il rischio e tracci il perimetro operativo lecito del defensive monitoring.

Per operare in modo lecito e minimizzare tale esposizione, l’organizzazione e il consulente devono necessariamente adottare un robusto modello di protocollo legale-tecnico (gcl – governance, compliance, legal). Per quanto riguarda la governance cti, l’attività deve essere rigorosamente limitata alla consultazione osint. Sul fronte degli adempimenti GDPR (preventivi), è imperativo garantire il principio di privacy by design attraverso l’hashing o la pseudonimizzazione immediata. Infine, in sede di protocolli forensi (successivi), qualunque dato acquisito destinato a essere utilizzato come prova deve essere trattato come una copia forense certificata e deve essere mantenuta una tracciabilità documentale ininterrotta della chain of custody.

L’attuale assetto giuridico, fortemente ancorato alla riserva statale in materia di ricerca della prova, costringe l’operatore privato a muoversi con estrema cautela. Ciò solleva la questione delle prospettive de jure condendo. Si rileva l’urgente necessità di una revisione legislativa che riconosca e scriminI esplicitamente la legittima attività difensiva e di prevenzione del crimine informatico svolta da soggetti privati (defensive monitoring). Solo attraverso un esplicito riconoscimento del lawful hacking-se limitato all’analisi difensiva e non volto all’attacco-sarà possibile risolvere in modo definitivo il conflitto tra l’inderogabile imperativo di sicurezza aziendale e la protezione penale degli interessi in gioco e consentire al settore della cybersecurity di operare con la certezza del diritto che la crescente minaccia informatica richiede.

Paolo Galdieri
Avvocato penalista e cassazionista, noto anche come docente di Diritto Penale dell'Informatica, ha rivestito ruoli chiave nell'ambito accademico, tra cui il coordinamento didattico di un Master di II Livello presso La Sapienza di Roma e incarichi di insegnamento in varie università italiane. E' autore di oltre cento pubblicazioni sul diritto penale informatico e ha partecipato a importanti conferenze internazionali come rappresentante sul tema della cyber-criminalità. Inoltre, ha collaborato con enti e trasmissioni televisive, apportando il suo esperto contributo sulla criminalità informatica.

Lista degli articoli
Visita il sito web dell'autore