Puntata 5 — Difendersi e regolamentare — OSINT: Occhi Ovunque — effedc.it
Inchiesta · effedc.it · 5 puntate

OSINT: Occhi Ovunque

Puntata 5 (finale) — Difendersi e regolamentare: cosa sta cambiando davvero, cosa puoi fare tu, e come si fa OSINT in modo responsabile.

effedc.it Luglio 2026 Dati aggiornati al 4 luglio 2026 Inchiesta Puntata 5 / 5 — Finale
In sintesi

La puntata finale lascia da parte l'inchiesta sui soggetti e passa al pratico: cosa sta cambiando davvero a livello normativo, cosa puoi fare per ridurre la tua esposizione, e cosa distingue l'OSINT fatto con etica da quello che diventa sorveglianza.

  • La California ha introdotto il DROP (Delete Request and Opt-out Platform), il primo meccanismo statale che permette di inviare una singola richiesta di cancellazione verificata a tutti i data broker registrati contemporaneamente.
  • Il Connecticut ha seguito lo stesso modello con una legge firmata il 27 maggio 2026, con obbligo di attivazione entro il 1° luglio 2028.
  • Esistono passi concreti e verificabili che puoi fare oggi per ridurre la tua esposizione ai data broker "people search" — nessuno di questi ti rende invisibile, ma insieme riducono sensibilmente la superficie di attacco.
  • Il modello Bellingcat (Puntata 1) dimostra che è possibile fare OSINT investigativo rigoroso restando dentro un perimetro etico e legale solido — la differenza sta nel metodo, nella trasparenza e nella verificabilità, non nella tecnica in sé.

01 / Il quadro normativo che sta effettivamente cambiando

Nelle puntate precedenti abbiamo visto un pattern ricorrente: la regolamentazione arriva sempre dopo il danno, e spesso fatica a farsi rispettare anche quando esiste sulla carta (il caso Clearview AI, Puntata 3, ne è l'esempio più netto). Ma sarebbe disonesto concludere che nulla si stia muovendo — negli ultimi due anni, in particolare negli Stati Uniti, il quadro normativo sui data broker ha fatto passi concreti e verificabili.

L'accordo FTC-Kochava (Puntata 4) stabilisce, per la prima volta, che la vendita di dati di geolocalizzazione sensibili è una pratica sleale di per sé, indipendentemente da cosa dichiari la privacy policy dell'azienda — un precedente che il settore legale considera riutilizzabile contro il prossimo data broker che segua pratiche simili.

02 / California, Connecticut e il modello "DROP"

Scheda tecnica — Il modello di cancellazione centralizzata

California Delete Act / DROP (Delete Request and Opt-out Platform): un meccanismo, gestito dallo Stato, che permette a un residente californiano di inviare un'unica richiesta di cancellazione verificata, ricevuta simultaneamente da tutti i data broker registrati nello Stato — invece di dover contattare individualmente ciascuna delle centinaia di aziende del settore, come era necessario fino a oggi.

Connecticut SB 4: firmata il 27 maggio 2026, replica lo stesso modello con obbligo di attivazione di un portale equivalente entro il 1° luglio 2028.

Altri Stati USA: un numero crescente di Stati (tra cui Virginia, che ha ampliato la propria legge sulla privacy dei consumatori nell'aprile 2026) ha introdotto divieti specifici sulla vendita di dati di geolocalizzazione precisi, con eccezioni limitate.

Va detto con altrettanta chiarezza cosa questo modello non risolve: resta limitato ai data broker che si registrano formalmente presso lo Stato (con obblighi di compliance ancora disomogenei da Stato a Stato), non ha equivalente in Italia o nell'Unione Europea (dove il diritto alla cancellazione GDPR esiste già in teoria, ma va esercitato singolarmente presso ciascun titolare del trattamento), e non copre in alcun modo i data broker che operano illegalmente o dall'estero, fuori da qualunque registro.

03 / Cosa puoi fare, concretamente, oggi

  • Verifica la tua esposizione — cerca il tuo nome sui principali siti "people search" del tuo paese; sapere cosa è già visibile è il primo passo, non un esercizio inutile.
  • Esercita il diritto di cancellazione — in UE/Italia, l'art. 17 GDPR (diritto all'oblio) si applica anche ai data broker: puoi richiedere la cancellazione dei tuoi dati, e il titolare ha l'obbligo di rispondere entro un mese.
  • Limita l'aggregabilità, non solo la visibilità — il rischio reale (Puntata 1, effetto mosaico) nasce dalla correlazione tra fonti diverse: usare nomi/pseudonimi diversi tra piattaforme non correlate riduce la capacità di un aggregatore di unire i puntini.
  • Attenzione ai metadati — le fotografie pubblicate da smartphone spesso contengono coordinate GPS incorporate; disattivare la geolocalizzazione nell'app fotocamera è un passo semplice e spesso trascurato.
  • Se sei una persona a rischio elevato (vittima di violenza domestica, stalking, funzionario pubblico) — verifica se il tuo paese o Stato offre un programma di indirizzo riservato o protezioni specifiche rafforzate (Puntata 4); non aspettare che il rischio si materializzi per informarti.

04 / Come si fa OSINT in modo responsabile — la lezione di Bellingcat

Torniamo, per chiudere, a Bellingcat (Puntata 1) — non come contro-narrativa consolatoria, ma perché il suo metodo indica concretamente cosa distingue un uso legittimo da uno predatorio della stessa tecnica:

  • Verifica incrociata multipla — nessuna informazione viene pubblicata sulla base di una sola fonte
  • Tracciabilità delle fonti — ogni affermazione è riconducibile a una fonte pubblica verificabile da terzi, non a un'asserzione non documentata
  • Proporzionalità dello scopo — l'indagine risponde a un interesse pubblico dimostrabile (crimini di guerra, responsabilità istituzionali), non alla curiosità su un singolo privato cittadino
  • Trasparenza del metodo — Bellingcat pubblica le proprie metodologie, permettendo ad altri di replicare (o confutare) le proprie conclusioni

Sono, non a caso, esattamente i quattro elementi che mancano quasi sempre nei casi problematici raccontati in questa inchiesta: Clearview AI non verifica il consenso delle persone scrapate; i data broker "people search" non verificano lo scopo di chi acquista; ImmigrationOS aggrega dati con una proporzionalità tutta da dimostrare rispetto al singolo caso individuale. La tecnica è la stessa. Il metodo, e le regole che lo governano, fanno tutta la differenza.

05 / Conclusione della serie

In cinque puntate abbiamo seguito l'OSINT dalle sale di ascolto radiofonico della Seconda Guerra Mondiale (Puntata 1) fino ai contratti da centinaia di milioni di dollari di Palantir con ICE (Puntata 2), dalle multe europee mai pagate a Clearview AI (Puntata 3) fino a un duplice omicidio in Minnesota reso possibile, secondo gli atti giudiziari, da un sito di data broker consultabile da chiunque per pochi dollari (Puntata 4).

Il filo che le unisce non è una tecnologia specifica: è una domanda di responsabilità che attraversa l'intera filiera — da chi raccoglie il dato, a chi lo aggrega, a chi lo vende, a chi decide di non verificare chi lo acquista. "È tutto pubblico" non è mai stata, di per sé, una risposta sufficiente a questa domanda. Le prossime regole — europee, statunitensi, o di qualunque altra giurisdizione — si misureranno esattamente su questo: se riusciranno a normare l'aggregazione, non solo la singola fonte, e se riusciranno a farsi rispettare anche quando chi le viola non ha alcuna sede legale da cui essere raggiunto.

Questa inchiesta è finita. I casi che l'hanno resa possibile — dai contratti Palantir alle cause FTC contro i data broker — continuano a evolversi: vale la pena tornarci.

06 / Fonti di questa puntata

01New Media and Technology Law Blog (Proskauer) — "FTC Remains on the Location Data Beat" (modello DROP, leggi statali)newmedialaw.proskauer.com, giu. 2026
02ComplianceHub.Wiki — "FTC v. Kochava: The Data-Broker Reckoning Over Sensitive Geolocation Data"compliancehub.wiki, giu. 2026
03Regolamento (UE) 2016/679 (GDPR) — art. 17, diritto alla cancellazioneEUR-Lex
04Bellingcat — Justice and Accountability Unit, metodologia pubblicabellingcat.com
05IWPR — intervista sulla metodologia OSINT ammissibile in sede giudiziariaiwpr.net
OSINT: Occhi Ovunque — Puntata 5 di 5 (finale) · effedc.it · Inchiesta giornalistica
Tutte le fonti citate sono pubblicamente verificabili ai link indicati. Articolo aggiornato al 4 luglio 2026.
← Puntata 4 · Torna alla Puntata 1