Audit OSINT aziendale

L'esposizione reale della vostra organizzazione, vista da un attaccante

OSINT (Open Source Intelligence · intelligence da fonti aperte) è la disciplina che raccoglie, correla e analizza informazioni pubblicamente disponibili per costruire un profilo di un bersaglio. È la prima cosa che fa qualsiasi attaccante moderatamente serio prima di passare all'azione. Sapere cosa è in vista su di voi prima che qualcuno con peggiori intenzioni lo usi è elementare.

---

Cos'è

Un audit OSINT aziendale è lavoro di intelligence, non di pentesting. Non testiamo vulnerabilità, non accediamo ai vostri sistemi, non inviamo mail con pretesto. L'unica cosa che facciamo è raccogliere, da fonti aperte e legittime esclusivamente, tutta l'informazione che un attaccante con motivazione moderata e dieci giorni di dedizione potrebbe ottenere sulla vostra organizzazione.

Il risultato si legge in due modi. Il primo è difensivo: mostra quali informazioni sono esposte senza che l'azienda lo sappia (credenziali trapelate, documenti interni pubblicati per errore, infrastruttura dimenticata nel cloud di un vecchio fornitore). Il secondo è di intelligence: mostra come un attaccante costruirebbe il caso di attacco da quell'informazione (quale dirigente è vulnerabile all'ingegneria sociale, quale fornitore debole è il cammino più probabile, quale servizio esposto è il più sfruttabile).

La differenza con una scansione automatizzata di superficie di attacco è che qui c'è un analista umano che correla pezzi, non uno script che esegue regole. Il rapporto è redatto in linguaggio chiaro per la direzione e in linguaggio tecnico per il team, senza gonfiare i rilievi né nasconderli dietro gergo.

---

Quando vi serve

Dopo una fusione, acquisizione o cambio organizzativo rilevante. Ogni cambio incorpora nuovi domini, infrastruttura ereditata, dipendenti con nuovi profili pubblici e contratti ereditati con fornitori tecnologici. La mappa cambia in fretta e molte cose restano a metà integrate. Un audit OSINT dopo il cambio identifica i buchi.

Prima di un'operazione aziendale significativa. Quotazione pubblica, round di finanziamento importante, contratto strategico che cambia il vostro profilo di esposizione. Il questionario dell'acquirente o dell'investitore includerà domande sull'esposizione digitale. È meglio rispondere da un rapporto interno recente che dall'improvvisazione.

Dopo un incidente o sospetto di fuga. Se c'è stato tentativo di ransomware, frode tramite impersonificazione del CFO, fuga di un fornitore, o semplicemente una mail di phishing quasi passata, un audit OSINT determina se circolano informazioni della vostra organizzazione in luoghi che giustificano allerte aggiuntive.

Come pratica ricorrente. Raccomandiamo di ripeterla annualmente, o dopo cambiamenti importanti. L'esposizione non è statica: ogni nuovo dipendente, ogni nuovo strumento SaaS contrattato, ogni documento pubblicato sul web aggiunge superficie.

---

Come lavoriamo

Fase 1 · Perimetro e autorizzazione (giorni 1-2). Concordiamo per iscritto il perimetro: domini, marchi, profili dirigenziali chiave, geografie e fornitori nel perimetro. Firmiamo autorizzazione formale (necessaria da parte nostra per realizzare il lavoro con copertura legale pulita) e accordo di riservatezza dalla vostra.

Fase 2 · Raccolta (settimana 1-2). Lavoro sul campo in OSINT passivo: enumerazione di domini e sottodomini, analisi di certificati, inventario di infrastruttura esposta, ricerca in database pubblici di violazioni, analisi della presenza dei dirigenti in reti professionali e forum, identificazione di documenti interni pubblicati per errore, revisione di repository pubblici per fuga di credenziali o segreti, identificazione di impersonificazioni attive (domini simili, profili falsi), correlazione con fornitori tecnologici chiave.

Fase 3 · Analisi e prioritizzazione (settimana 2-3). Incrociamo i rilievi. Una credenziale trapelata isolata è un dato; una credenziale trapelata del responsabile finanziario combinata con un dominio simile recentemente registrato è uno scenario di frode imminente. Prioritizziamo per probabilità di sfruttamento e impatto, non per volume.

Fase 4 · Consegna e presentazione (settimana 3). Consegnamo due rapporti e li presentiamo: uno esecutivo alla direzione (cosa abbiamo trovato, cosa significa, cosa fare nei prossimi novanta giorni) e uno tecnico al team (ogni rilievo con evidenza, fonte, data di cattura e raccomandazione operativa specifica).

---

Cosa consegnamo

Rapporto esecutivo (5-8 pagine) destinato alla direzione generale e al comitato direttivo, con sintesi dei rilievi critici, impatto stimato, piano di mitigazione prioritizzato e messaggi chiave da comunicare internamente.
Rapporto tecnico (tipicamente 30-60 pagine secondo i rilievi) con ogni rilievo documentato: evidenza catturata, fonte, data, criticità, vettore di sfruttamento, contromisura raccomandata e priorità.
Piano di mitigazione a 90 giorni con azioni concrete, proprietario suggerito e ordine ragionevole di esecuzione.
Repository di evidenze consegnato tramite canale sicuro, con accesso limitato e ritenzione concordata.
Sessione di presentazione doppia: una alla direzione, una al team tecnico.
Lista prioritizzata di monitoraggio continuo suggerita (domini simili da sorvegliare, profili da allertare, fonti da verificare).

---

Per chi è

Organizzazioni con presenza digitale significativa, dirigenti visibili o esposizione all'ingegneria sociale. Particolarmente utile per:

Aziende in operazione aziendale (fusione, acquisizione, round, quotazione pubblica) che necessitano documentazione recente e verificabile della loro esposizione.
Settori con rischio regolatorio o reputazionale alto (finanziario, sanitario, energia, infrastrutture critiche, servizi professionali con clienti di alto profilo).
Organizzazioni con dirigenti pubblici o influenti, dove l'ingegneria sociale diretta alle persone è un vettore rilevante.

---

FAQ

È legale fare un audit OSINT sulla nostra stessa azienda?

Sì, nel perimetro che ci autorizzate. Lavoriamo esclusivamente con fonti aperte e tecniche passive. Non accediamo ai vostri sistemi né a quelli di terzi, non ci fingiamo nessuno, non contattiamo dipendenti. L'autorizzazione scritta che firmiamo prima di iniziare ci copre da malintesi e vi copre da auditor che chiedessero perché un terzo stava raccogliendo dati sull'organizzazione.

Quanto dura il lavoro?

Tre settimane dalla firma dell'autorizzazione formale e kick-off. Se il perimetro è molto ampio (gruppo internazionale con decine di filiali e marchi), si segmenta in ondate per mantenere la qualità dell'analisi umana.

Che differenza c'è tra questo e un pentesting?

Il pentesting testa attivamente vulnerabilità, toccando i vostri sistemi con autorizzazione. OSINT non tocca nulla: solo raccoglie e analizza ciò che è già pubblico. Sono complementari; OSINT precede di solito il pentesting affinché quest'ultimo vada focalizzato su ciò che davvero importa.

Cosa succede se trovate qualcosa di grave durante il lavoro?

Escaliamo immediatamente, senza aspettare la consegna finale. Se ci sono credenziali critiche trapelate attive, un dominio simile usato per frode o informazioni sensibili pubblicate per errore, vi avvisiamo in meno di 24 ore con il rilievo e la raccomandazione di mitigazione immediata.

Potete farla periodicamente come servizio gestito?

Sì. Dopo il primo audit possiamo contrattare un servizio di monitoraggio continuo che sorveglia le fonti rilevanti e vi allerta quando qualcosa cambia (nuova credenziale trapelata, nuovo dominio simile, nuova menzione della vostra organizzazione in forum di attività illecita). Lo discutiamo alla chiusura se ha senso.

Che ne è dei dati personali dei dipendenti che appaiono nei rilievi?

Trattiamo informazioni minime necessarie, anonimizziamo quando possibile ed eliminiamo le evidenze alla fine del progetto salvo ritenzione concordata con voi. Rispettiamo il GDPR come contitolari del trattamento durante il progetto.

---

Casi d'uso tipici

Caso 1 · L'azienda in pieno processo di acquisizione. Azienda industriale di centocinquanta dipendenti in processo di vendita a un gruppo internazionale. L'acquirente esige due diligence di cybersicurezza come condizione per chiudere il prezzo. Realizziamo audit OSINT in tre settimane. Rilievo principale: tre credenziali trapelate attive di ex-dipendenti con accessi non revocati, un dominio simile in uso sconosciuto e documentazione sensibile pubblicata in un vecchio repository di fornitore IT. L'azienda chiude i rilievi prima della due diligence formale e consegna rapporto pulito all'acquirente.

Caso 2 · Lo studio dopo tentativo di frode al CFO. Studio professionale subisce un tentativo di frode per impersonificazione del CFO su un bonifico. Il bonifico è fermato in tempo. L'audit OSINT identifica che l'attaccante aveva profilato tutta la gerarchia direttiva da reti professionali pubbliche, conosceva i nomi dei principali clienti dalla stampa e aveva registrato un dominio simile due mesi prima. Piano di mitigazione: revisione dell'esposizione dei dirigenti, monitoraggio di domini simili, protocollo di doppia verifica per bonifici sopra soglia.

Caso 3 · Il gruppo internazionale con espansione rapida. Gruppo di servizi con presenza in cinque paesi e dieci marchi, crescita per acquisizioni. Audit OSINT focalizzato sulla cartografia del vero perimetro: domini dimenticati di marchi acquisiti, infrastruttura non inventariata, profili pubblici di dirigenti ereditati che non sono stati aggiornati. Risultato: inventario corretto con dodici domini e ventitré asset non contabilizzati in precedenza, piano di consolidamento successivo.

---

Come iniziamo?

Il primo passo è una diagnosi iniziale gratuita di una settimana. Concordiamo perimetro, vi diciamo cosa troveremmo tipicamente con un'azienda del vostro profilo e vi consegniamo una proposta concreta senza impegno. Se non è per voi, ve lo diciamo.

Scriveteci a [[email protected]](mailto:[email protected])

---

Altri servizi

[vCISO mensile · Direzione della sicurezza](/it/servizi/vciso-detalle)
[ISO/IEC 42001 · Pilota di gestione responsabile dell'IA](/it/servizi/iso-42001-detalle)