Open Source Intelligence, tra NIS 2 e D.Lgs. 231/2001

di Mirko Lapi - Dopo 27 anni nelle Forze Armate, è oggi consulente e formatore specializzato in analisi Intelligence, OSINT, sicurezza delle informazioni e sviluppo del pensiero critico applicato ai processi decisionali. E’ docente universitario a contratto in Open Source Intelligence (UNIFoggia) e in Cyber Security (Campus Bio-Medico Roma) e insegna in diversi Master su Intelligence e Security. E’ Presidente di Osintitalia APS

Nel nuovo scenario normativo europeo, dominato dall’entrata in vigore della Direttiva NIS 2, le piccole e medie imprese (PMI) si trovano ad affrontare una sfida importante: garantire una gestione strutturata del rischio cyber in un contesto sempre più esposto a minacce digitali. In questa partita, l’Open Source Intelligence (OSINT) può rappresentare un importante alleato strategico.

L^’OSINT è l’insieme di tecniche e strumenti per raccogliere informazioni da fonti pubblicamente accessibili: siti web, social media, motori di ricerca specializzati, forum, archivi e database. Sebbene non si tratti di una novità nel mondo della sicurezza informatica, il suo impiego assume oggi una rilevanza crescente proprio alla luce degli obblighi introdotti dalla NIS 2. Questa direttiva impone alle aziende, anche di piccole dimensioni se operanti in settori critici o filiere essenziali, l’adozione di misure tecniche e organizzative per prevenire, rilevare e gestire i rischi informatici. L’OSINT può fornire supporto in ciascuna di queste fasi.

L’OSINT può aiutare le PMI?

L’OSINT, se integrato con criterio nei processi aziendali, consente di:

• mappare l’impronta digitale dell’azienda, individuando informazioni sensibili o tecnologie esposte; 

• monitorare il proprio settore di riferimento, rilevando vulnerabilità emergenti o campagne di phishing specifiche; 

• prevenire danni reputazionali, identificando tempestivamente contenuti negativi o usi impropri del brand online; 

• migliorare i processi decisionali, fornendo al management dati aggiornati su rischi e opportunità. 

Un approccio OSINT ben strutturato può quindi aiutare le PMI a trasformare una difesa “reattiva” in una postura proattiva e informata, proprio come richiesto dalla logica della NIS 2.

I rischi dell’OSINT: trascurare o abusare

Le attività OSINT non sono però prive di rischi. I principali riguardano:

• esposizione involontaria di dati sensibili, che possono essere facilmente intercettati da attori malevoli; 

• utilizzo scorretto delle informazioni raccolte, con potenziali violazioni del GDPR o di altri obblighi normativi (es. D.Lgs. 231/2001 e art.134 TUPLS); 

• falsi positivi o fonti non attendibili, che se non verificate, possono portare all’assunzione di decisioni sbagliate.

Per questo è essenziale adottare policy chiare, strumenti adeguati e formazione continua. L’OSINT non può essere improvvisato: va gestito con competenza, rigore metodologico e attenzione ai limiti legali.

OSINT e compliance

Un aspetto spesso trascurato è il ruolo dell’OSINT nella compliance interna. Il Decreto Legislativo 231/2001 prevede la responsabilità amministrativa delle imprese in caso di reati (inclusi quelli informatici), qualora non abbiano predisposto modelli organizzativi idonei a prevenirli. Integrare l’OSINT nei controlli e nelle attività dell’organismo di vigilanza 231 significa rafforzare la capacità dell’azienda di anticipare e gestire i rischi, documentando al contempo la propria diligenza.

La lezione più importante è forse questa: trasformare un obbligo normativo in un vantaggio competitivo. L’OSINT permette alle PMI di colmare il gap informativo rispetto alle grandi imprese, sfruttando dati accessibili per migliorare sicurezza, reputazione e capacità decisionale.