Il panorama della sicurezza informatica moderna è imprescindibile dalla conoscenza della topografia del Dark Web (DW), un incubatore di contenuti illeciti essenziale per la criminalità organizzata. In tale contesto, il Dark Web Monitoring (DWM) e la Cyber Threat Intelligence (CTI) sono emersi come pratiche fondamentali, spesso obbligatorie, per la protezione degli asset digitali e la prevenzione di una fuga di dati (data leakage).
L’attività proattiva di DWM consente il rilevamento di minacce critiche, come credenziali e documenti d’identità rubati, che alimentano reati di spear phishing e credential stuffing. Tuttavia, in Italia, l’imperativo di sicurezza privato si scontra con il principio di legalità e la riserva statale delle indagini, poiché i consulenti privati non godono dei poteri processuali riservati agli organi di Polizia Giudiziaria.
La valutazione della legittimità delle azioni del professionista deve procedere bilanciando l’interesse difensivo con la tutela penale. La mia osservazione, come avvocato penalista e docente di Diritto penale dell’informatica, è che la corretta difesa e la prevenzione del rischio non possono prescindere da una profonda conoscenza di questo bilanciamento costituzionale tra diritto di difesa e riserva di legge penale.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il rischio penale principale che incombe sul professionista della cybersecurity che opera nel Dark Web è l’integrazione del reato di Accesso Abusivo a sistema informatico o telematico (Art. 615-ter c.p.). Il bene giuridico tutelato da questa norma è l’ambiente informatico stesso, che la giurisprudenza ha equiparato a un “luogo inviolabile” o a uno spazio privato. La condotta criminosa si perfeziona con l’accesso o il mantenimento nel sistema “senza diritto” e contro la volontà del gestore.
L’analisi critica della Cyber Threat Intelligence (CTI) impone una netta distinzione tra due scenari operativi. L’osservazione passiva (CTI legittima) si verifica se il professionista naviga su pagine del Dark Web che sono aperte e non protette da autenticazione. Tale attività, configurandosi come open source intelligence (OSINT) e avvenendo in assenza di misure di sicurezza da superare, generalmente non integra la fattispecie dell’Art. 615-ter c.p., poiché la tutela penale è rivolta al sistema (il contenitore) e non alla liceità del contenuto. Al contrario, si configura accesso attivo e infiltrazione (accesso abusivo) se il professionista compie un atto di credential stuffing, utilizzando credenziali rubate per autenticarsi in un forum protetto o in un pannello di controllo.
In questo caso, si configura il reato, poiché l’interesse difensivo del privato non può prevalere sulla tutela penale del sistema informatico, anche se ostile o criminale, che non sempre ,ma tal volta trova tutela. Ai professionisti che mi consultano, ricordo sempre che la finalità difensiva non è una scriminante penale implicita; l’accesso abusivo è un reato di pericolo che si perfeziona con la mera intrusione non autorizzata.
Oltre all’accesso abusivo, il DWM espone anche al rischio di detenzione abusiva di codici di accesso (Art. 615-quater c.p.). Per mitigare tale pericolo e dimostrare la finalità di tutela, è imperativo che la procedura operativa preveda l’immediata trasformazione dei dati sensibili raccolti in un formato non reversibile, come l’hashing, conservando solo l’informazione strettamente necessaria, in conformità con i principi di minimizzazione dei dati. Cautela è inoltre richiesta nella gestione di segreti commerciali altrui rubati.
La raccolta e la successiva analisi di dati personali provenienti dal Dark Web costituiscono un nuovo trattamento e, come tale, devono essere fondate su una base giuridica legittima ai sensi del GDPR. Per il Dark Web Monitoring (DWM), la base più plausibile e invocabile è l’Interesse Legittimo (Art. 6, par. 1, lett. f), poiché risponde all’interesse vitale dell’organizzazione di proteggere il proprio patrimonio digitale e di garantire una tempestiva risposta agli incidenti (incident response).
Tuttavia, l’applicazione dell’Interesse Legittimo non è automatica. Richiede l’esecuzione di un rigoroso Legitimate Interest Assessment (LIA), il quale impone un test di bilanciamento tra l’interesse difensivo del Titolare e i diritti e le libertà fondamentali dell’interessato, la vittima del furto di dati.
Dato che la fonte è criminale e l’interessato non si aspetta che i suoi dati rubati siano raccolti da un CTI provider privato, il bilanciamento è considerato “forte”, richiedendo massime garanzie di mitigazione. La misura cruciale per superare con successo il LIA è la minimizzazione del trattamento. Ciò significa evitare categoricamente l’overcollection e l’overretention, limitando la raccolta alle sole informazioni indispensabili per la difesa. La conservazione integrale e illimitata nel tempo di dati rubati è contraria alla normativa; è fondamentale implementare la pseudonimizzazione (ad esempio, tramite hashing) dei dati identificativi non necessari e definire tempi di conservazione strettamente limitati. Infine, sussistono precisi obblighi di trasparenza e notifica.
Nel contesto di un’indagine giudiziaria, la capacità di conferire valore probatorio ai dati raccolti dal Dark Web Monitoring (DWM) da parte di attori privati rappresenta una delle sfide procedurali più acute. L’unico percorso legale che può legittimare l’acquisizione di tali elementi è incanalare strettamente l’attività nel perimetro delle investigazioni difensive, come disciplinato dall’Art. 391-bis del Codice di Procedura Penale (c.p.p.). Questo inquadramento richiede un mandato formale conferito dal difensore e garantisce che l’uso della documentazione sia strettamente limitato alle esigenze dell’esercizio della difesa.
Tuttavia, è fondamentale sottolineare un limite invalicabile del nostro ordinamento: la procedura difensiva non ha il potere di sanare l’illiceità sostanziale della condotta originaria. Ciò significa che se l’atto di acquisizione, sebbene finalizzato alla difesa, viola di per sé una norma penale-ad esempio l’Art. 615-ter c.p. attraverso un accesso abusivo-il dato raccolto sarà considerato illegittimamente acquisito e, di conseguenza, inutilizzabile nel dibattimento. La necessità operativa non può, in sede processuale, prevalere sulla tutela del domicilio informatico garantita dalla legge penale.
Parallelamente ai vincoli procedurali, l’ammissibilità e l’efficacia della prova digitale sono assolutamente dipendenti dal rispetto degli standard internazionali di digital forensics. I dati informatici sono intrinsecamente volatili e facilmente alterabili; pertanto, la loro integrità e autenticità devono essere garantite per evitare che l’autorità giudiziaria li consideri contaminati o inattendibili. L’acquisizione non può limitarsi all’uso di semplici screenshot, che hanno spesso un mero valore suggestivo e non probatorio. Al contrario, essa deve avvenire attraverso la creazione di una copia forense certificata del dato originale (come una bitstream copy).
Come docente, insisto sull’importanza di questa metodologia- L’efficacia della prova digitale è direttamente proporzionale alla sua correttezza epistemologica; non basta contestare un dato, bisogna contestare il metodo di acquisizione. Tale processo deve assicurare la piena e ininterrotta tracciabilità della catena di custodia (chain of custody), documentando meticolosamente ogni passaggio, al fine di garantire l’immutabilità e l’identità dell’elemento probatorio. solo attraverso questa rigorosa aderenza ai protocolli forensi, il professionista privato può sperare di dotare il materiale raccolto della credibilità necessaria per sostenere una tesi difensiva in sede legale.
L’analisi svolta evidenzia chiaramente che l’attività di Dark Web Monitoring (DWM) da parte di professionisti privati si svolge in Italia in una complessa zona grigia di incertezza normativa. Il professionista è costantemente esposto a una triade di rischi legali interconnessi.
In primo luogo, il rischio penale è massimo quando l’attività sfocia nell’infiltrazione attiva (ad esempio, l’uso di credenziali rubate per accedere a sistemi protetti), potendo integrare il reato di cui all’Art. 615-ter c.p.
In secondo luogo, il rischio GDPR è sempre presente in caso di overcollection o di mancata esecuzione del Legitimate Interest Assessment (LIA), esponendo l’organizzazione a sanzioni amministrative salate.
Infine, il rischio procedurale neutralizza l’efficacia dell’intelligence raccolta se manca la rigorosa adozione della Chain of Custody e degli standard forensi.
Proprio per questa incertezza normativa, il mio consiglio è di non agire mai nella grey area senza un preventivo e documentato parere, che valuti il rischio e tracci il perimetro operativo lecito del defensive monitoring.
Per operare in modo lecito e minimizzare tale esposizione, l’organizzazione e il consulente devono necessariamente adottare un robusto modello di protocollo legale-tecnico (gcl – governance, compliance, legal). Per quanto riguarda la governance cti, l’attività deve essere rigorosamente limitata alla consultazione osint. Sul fronte degli adempimenti GDPR (preventivi), è imperativo garantire il principio di privacy by design attraverso l’hashing o la pseudonimizzazione immediata. Infine, in sede di protocolli forensi (successivi), qualunque dato acquisito destinato a essere utilizzato come prova deve essere trattato come una copia forense certificata e deve essere mantenuta una tracciabilità documentale ininterrotta della chain of custody.
L’attuale assetto giuridico, fortemente ancorato alla riserva statale in materia di ricerca della prova, costringe l’operatore privato a muoversi con estrema cautela. Ciò solleva la questione delle prospettive de jure condendo. Si rileva l’urgente necessità di una revisione legislativa che riconosca e scriminI esplicitamente la legittima attività difensiva e di prevenzione del crimine informatico svolta da soggetti privati (defensive monitoring). Solo attraverso un esplicito riconoscimento del lawful hacking-se limitato all’analisi difensiva e non volto all’attacco-sarà possibile risolvere in modo definitivo il conflitto tra l’inderogabile imperativo di sicurezza aziendale e la protezione penale degli interessi in gioco e consentire al settore della cybersecurity di operare con la certezza del diritto che la crescente minaccia informatica richiede.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
