Puntata 4 — Il lato oscuro: quando i dati diventano armi — OSINT: Occhi Ovunque — effedc.it
Inchiesta · effedc.it · 5 puntate

OSINT: Occhi Ovunque

Puntata 4 — Il lato oscuro: cosa succede alle persone quando i dati raccolti "perché tanto sono pubblici" arrivano nelle mani sbagliate.

effedc.it Luglio 2026 Dati aggiornati al 4 luglio 2026 Inchiesta Puntata 4 / 5
In sintesi

Questa è la puntata più difficile della serie: mostra, con casi documentati da fonti giudiziarie e istituzionali pubbliche, cosa succede quando l'infrastruttura dell'OSINT commerciale — pensata per il marketing o per "la trasparenza" — finisce nelle mani di chi vuole fare del male a una persona specifica.

  • I data broker "people search" vendono dossier con indirizzo di casa, numeri di telefono e familiari per pochi dollari a query, quasi sempre senza verificare chi acquista né perché.
  • La FTC ha appena chiuso (maggio 2026) una causa quadriennale contro il data broker Kochava per la vendita di dati di geolocalizzazione precisi di oltre 300 milioni di dispositivi, incluse le visite a cliniche sanitarie, luoghi di culto e centri antiviolenza.
  • Il principio legale che collega un data broker al danno che ne deriva non è nuovo: risale al caso Amy Boyer del 2003 nel New Hampshire, quando un uomo comprò l'indirizzo di lavoro della vittima da un data broker e la uccise lo stesso giorno.
  • Nel giugno 2025, secondo atti giudiziari pubblici, l'uomo accusato di aver ucciso la deputata statale del Minnesota Melissa Hortman e suo marito, e di aver ferito il senatore statale John Hoffman e sua moglie, ha usato siti di data broker "people search" per trovare i loro indirizzi di casa.

00 / Un avviso prima di iniziare

Questa puntata cita un caso di violenza politica che ha causato la morte di due persone e il ferimento di altre due. Lo facciamo perché è documentato da atti giudiziari pubblici ed è direttamente pertinente al tema dell'inchiesta — non per sensazionalismo. Ci atteniamo ai fatti riportati dalle fonti citate, senza aggiungere dettagli non verificati.

01 / I data broker "people search": come funzionano davvero

A differenza delle aziende OSINT viste nelle puntate precedenti — che vendono a governi o ad aziende, con almeno la parvenza di un rapporto contrattuale verificabile — i data broker "people search" (in italiano si potrebbero chiamare "aggregatori di dossier personali") vendono direttamente al pubblico, senza distinzione, un profilo completo di quasi chiunque: nome, indirizzi passati e presenti, numeri di telefono, parenti, età, a volte precedenti penali pubblici. Il prezzo, secondo la ricostruzione del Lawfare Institute, può scendere fino a meno di un dollaro per singolo record, o pochi dollari al mese per accesso illimitato.

La materia prima di questi dossier sono, quasi sempre, registri già pubblici per legge (catasti, liste elettorali, atti giudiziari, registri di veicoli) — la stessa logica di "fonte aperta" descritta nella Puntata 1. Il problema, di nuovo, non è la fonte: è l'aggregazione sistematica e la vendita senza alcuna verifica di chi acquista o del motivo per cui lo fa.

Già nel 2014 — oltre un decennio fa — la Federal Trade Commission statunitense scriveva in un rapporto ufficiale sui data broker che i "prodotti di ricerca persone possono essere usati per facilitare molestie o persino stalking, e possono esporre vittime di violenza domestica, forze dell'ordine, pubblici ministeri o altri individui a ritorsioni o altri danni". Non è, quindi, un rischio scoperto oggi: è un rischio noto da tempo alle autorità, e tollerato per oltre dieci anni.

02 / Il caso Kochava: geolocalizzazione di massa, appena chiuso

Scheda tecnica — FTC contro Kochava, cronologia completa
Denuncia iniziale
agosto 2022 — vendita di dati di geolocalizzazione precisi da oltre 300 milioni di dispositivi mobili
Precisione dei dati
fino a ~10 metri, con localizzazioni ripetute nel tempo (giorni, mesi, anni)
Luoghi sensibili tracciabili
cliniche di salute riproduttiva, luoghi di culto, centri antiviolenza domestica, centri di recupero da dipendenze
Primo rigetto giudiziario
maggio 2023 — un giudice federale ritenne insufficiente la prova del danno concreto ai consumatori
Denuncia emendata, superato il rigetto
2024
Accordo transattivo
4 maggio 2026 — divieto di vendere dati di geolocalizzazione sensibili senza consenso esplicito, nessuna sanzione pecuniaria diretta

Il caso Kochava è importante non solo per l'esito, ma per il fondamento giuridico usato dalla FTC: anziché basarsi sull'accusa più comune ("l'azienda ha promesso una cosa e ne ha fatta un'altra"), la Commissione ha vinto sostenendo che la vendita di dati di localizzazione sensibili è di per sé una pratica sleale ai sensi della Sezione 5 del Federal Trade Commission Act — indipendentemente da cosa dicesse la privacy policy dell'azienda. È un precedente che, secondo gli osservatori legali citati in questa puntata, offre alla FTC un modello riutilizzabile contro il prossimo data broker.

Nello stesso periodo, si sono chiusi con esito analogo anche i casi FTC contro X-Mode Social/Outlogic, InMarket Media, Mobilewalla e Gravy Analytics — segno che non si tratta di un caso isolato, ma di un intero segmento industriale sotto esame regolatorio negli Stati Uniti.

03 / Il precedente storico: Amy Boyer e il caso Remsburg v. Docusearch

Per capire quanto sia vecchio, e quanto sia stato a lungo ignorato, questo problema, bisogna tornare al 2003 e a una sentenza della Corte Suprema del New Hampshire che ha aperto — e in parte ancora oggi definisce — il dibattito legale su questo tema. Un uomo pagò un'agenzia investigativa online, Docusearch, per ottenere l'indirizzo del posto di lavoro di una donna, Amy Boyer, che lo stava evitando. Docusearch fornì l'informazione. Lo stesso giorno in cui la ottenne, l'uomo si recò da Amy Boyer sul posto di lavoro e la uccise, per poi togliersi la vita.

La Corte Suprema del New Hampshire stabilì che Docusearch aveva violato un dovere di ragionevole cautela nel divulgare le informazioni di una terza persona, scrivendo che il rischio di una condotta criminale era "sufficientemente prevedibile" da generare, per un investigatore, il dovere di usare cautela nel divulgare dati personali a un cliente sconosciuto, del quale non si conosce lo scopo della richiesta. È, ancora oggi, uno dei precedenti più citati in materia — e, allo stesso tempo, un esempio di quanto lentamente il diritto abbia poi tradotto quel principio in regole effettive per l'industria dei data broker, cresciuta enormemente nei vent'anni successivi.

04 / Un caso recente e documentato: gli attacchi ai legislatori del Minnesota

Nel giugno 2025, secondo la ricostruzione basata su atti giudiziari pubblici raccolti dall'Electronic Privacy Information Center (EPIC), la deputata statale del Minnesota Melissa Hortman e suo marito sono stati uccisi nella propria abitazione. Lo stesso uomo è accusato di aver sparato, ferendoli, anche al senatore statale John Hoffman e a sua moglie. Secondo i documenti giudiziari citati da EPIC, l'aggressore ha usato siti web di data broker "people search" per trovare gli indirizzi di casa delle vittime.

In risposta a questo e ad altri episodi di violenza contro funzionari pubblici, il Congresso statunitense e almeno dodici Stati hanno approvato leggi per proteggere specificamente le informazioni personali di categorie di funzionari pubblici (giudici, forze dell'ordine e, in alcuni Stati, membri del potere legislativo) dai data broker — un elenco di queste leggi, stato per stato, è documentato pubblicamente da EPIC. È significativo, e va detto con onestà, che queste tutele rafforzate coprano quasi sempre categorie specifiche di persone (giudici, politici, forze dell'ordine) e non la popolazione generale, che resta esposta esattamente agli stessi rischi.

05 / I numeri del fenomeno, oggi

11,7MAdulti statunitensi che dichiarano di essere stati vittime di doxxing (diffusione non consensuale di dati personali), secondo un sondaggio SafeHome.org di febbraio 2026 — circa il 4% della popolazione adulta USA. Una persona su sei conosce qualcuno che lo è stato.

Lo stesso sondaggio riporta che il 77% degli intervistati si dichiara preoccupato per il fenomeno, ma che la maggioranza non adotta comunque alcuna misura di protezione attiva — un divario tra percezione del rischio e azione concreta che, va detto onestamente, riguarda anche molti dei lettori di questa stessa inchiesta.

Sul fronte legislativo, circa 19 Stati USA avevano approvato, a metà 2025, una qualche forma di legge specifica contro il doxxing — una copertura ancora parziale e diseguale, che lascia ampi vuoti normativi soprattutto per chi vive in Stati senza questo tipo di tutela specifica, dovendo affidarsi a leggi generiche su stalking o molestie non sempre applicabili al caso.

Nella puntata conclusiva: cosa si può fare, concretamente — dalle nuove leggi statunitensi sui data broker al modello (imperfetto ma reale) dell'OSINT investigativo fatto con etica e verifica, come quello di Bellingcat incontrato nella Puntata 1.

06 / Fonti di questa puntata

01Lawfare — "People Search Data Brokers, Stalking, and 'Publicly Available Information' Carve-Outs" (cita il caso Amy Boyer e il rapporto FTC 2014)lawfaremedia.org
02FTC — "FTC Sues Kochava for Selling Data that Tracks People at Reproductive Health Clinics..." (denuncia originale)ftc.gov, ago. 2022
03FTC — "FTC to Ban Kochava and Subsidiary from Selling Sensitive Location Data..." (comunicato sull'accordo transattivo)ftc.gov, 4 mag. 2026
04White & Case LLP — analisi legale dell'accordo transattivo Kochavawhitecase.com, 14 mag. 2026
05EPIC (Electronic Privacy Information Center) — "Data Broker Harms to Public Officials" (caso Minnesota, elenco leggi statali)epic.org
06LegalClarity — "Is Doxxing Illegal? Federal, State, and Civil Laws" (quadro normativo USA, statistiche stati con leggi specifiche)legalclarity.org, apr. 2026
OSINT: Occhi Ovunque — Puntata 4 di 5 · effedc.it · Inchiesta giornalistica
Tutte le fonti citate sono pubblicamente verificabili ai link indicati. Articolo aggiornato al 4 luglio 2026.
Se questa puntata ti ha turbato o riguarda una situazione che stai vivendo, parlarne con qualcuno di cui ti fidi o rivolgerti a un servizio di supporto specializzato può fare la differenza.
← Puntata 3 · Puntata 5 — Difendersi e regolamentare →