+39 049 825 7400 academy@lab4int.org

CYBER ANALYST

da | Nov 5, 2025

Cyber Analyst
ACS Italia Certificazioni
ISCRIZIONE

Registrati Entro:

Giorno(s)

:

Ore(s)

:

Minuto(i)

:

Second(s)

IN COLLABORAZIONE CON:

IN CONVENZIONE CON:

INTERNATIONAL POLICE ASSOCIATION

Comitato Locale di Riccione

Threat Intelligence

 Affidabilità, Proattività e Resilienza: i pilastri del Cyber Analyst

Affidabilità
Un dato non è utile se non è garantito nella sua riservatezza, integrità e correttezza probatoria. Nell’ambito investigativo e dell’intelligence, l’affidabilità delle informazioni rappresenta il presupposto essenziale per assumere decisioni operative, redigere analisi tecniche e sostenere attività giudiziarie. Un Cyber Analyst deve quindi presidiare processi, sistemi e fonti informative assicurando rigore metodologico, verificabilità e tracciabilità.

Proattività
La moderna cyber defense non può limitarsi a un approccio reattivo. La Threat Intelligence permette di anticipare le minacce, identificare vulnerabilità sistemiche e valutare scenari evolutivi prima che si trasformino in incidenti. Il Cyber Analyst agisce come “early warning system”: monitora il contesto, interpreta segnali deboli e trasforma i dati in insight operativi, orientando l’azione preventiva e strategica delle organizzazioni.

Resilienza
Un sistema davvero sicuro non è quello che non viene mai attaccato, ma quello che mantiene continuità operativa, assorbe l’impatto e si ripristina rapidamente. La resilienza è la capacità di un’infrastruttura, di un team e di un’organizzazione di reagire a eventi ostili, contenere il danno, ripristinare i servizi e imparare dall’incidente per rafforzarsi. È il risultato integrato di tecnologia, procedure, competenze e cultura della sicurezza.

si consigliano i seguenti pre-requisiti:
– conoscenze di base di informatica
– conoscenze giuridiche di base

Panoramica del Corso e Schema di Qualificazione:

Il Corso di Cyber Analyst – Qualificazione n. 80, conforme allo Schema di Certificazione SCH86 – REV. 00 – 01/07/2025, è rivolto esclusivamente agli operatori delle Forze di Polizia (FF.OO.) e delle Forze Armate (FF.AA.) in servizio attivo. Il percorso fornisce una preparazione specialistica e metodologicamente rigorosa nei domini della cybersecurity, della cyber intelligence, delle investigazioni digitali e della digital forensics, con un allineamento ai principali standard professionali e normativi del settore.

Il programma è pensato per profili operativi che, pur non avendo una formazione tecnica informatica avanzata, necessitano di sviluppare una cultura investigativa digitale che consenta di comprendere il dominio cyber, dialogare efficacemente con i reparti tecnici, orientare le richieste d’analisi e valorizzare operativamente i risultati nelle attività d’indagine e di intelligence.

Il corso non ha l’obiettivo di formare tecnici forensi, bensì di potenziare la consapevolezza operativa dei partecipanti, fornendo strumenti, metodologie e criteri utili a:

  • comprendere minacce digitali, modelli di attacco e impatti sulle indagini;
  • identificare e sfruttare le fonti informative del cyberspazio (OSINT, SOCMINT, metadati, comunicazioni, blockchain);
  • utilizzare piattaforme di analisi, dashboard investigative e strumenti di intelligenza artificiale a supporto delle decisioni operative;
  • integrare informazioni digitali nei fascicoli e nei processi investigativi, garantendo tracciabilità, verificabilità e rispetto della catena di custodia.

La didattica integra lezioni accademiche, laboratori avanzati, esercitazioni e scenari simulati basati su casi realistici, con un approccio evidence-based orientato a rigore metodologico, ripetibilità e corretto utilizzo della prova digitale. L’obiettivo è fornire competenze subito applicabili sul campo, sia in attività investigative sia in contesti giudiziari o di sicurezza.

Al termine del percorso, i partecipanti acquisiranno una visione chiara e strutturata delle investigazioni digitali: conosceranno quali informazioni possono essere ottenute, con quali strumenti e a quali condizioni metodologiche e normative, aumentando la maturità investigativa nel dominio cyber.

Il corso si conclude con un esame finale composto da 40 domande a risposta multipla, volto a verificare l’apprendimento in coerenza con lo Schema SCH86.

È richiesta una frequenza minima dell’80% per ottenere l’Attestato di Qualificazione in Cyber Analyst, rilasciato da LAB4INT secondo i requisiti di qualificazione previsti dallo Schema di Certificazione.

I partecipanti che lo desiderano potranno successivamente sostenere l’esame di certificazione professionale pressoACS Italia, al fine di formalizzare le competenze e ottenere la certificazione ufficiale di Cyber Analyst.

Alcune giornate formative prevedono moduli da 4 e 8 ore. In caso di assenza, è possibile recuperare la lezione tramite repliche riservate agli iscritti.

Le informazioni organizzative e amministrative, incluse le condizioni economiche, vengono comunicate esclusivamente agli aventi diritto tramite e-mail istituzionale.

Il corso si svolge online su Google Meet, con interazione audio-video, condivisione schermo e supporto live durante le esercitazioni.

PROGRAMMA DEL CORSO CYBER ANALYST

Svolgimento del corso in 10 giornate

1^ giornata Giovedì 04 Dicembre 2025 dalle 14:00 alle 18:00

Svolgimento onLine

Introduzione alla Cyber Security, alla Threat Intelligence e alla Human Intelligence

La giornata inaugurale del Corso Cyber Analyst è dedicata alla definizione del quadro concettuale e operativo entro cui si colloca la figura del Cyber Analyst. Dopo i saluti istituzionali e la presentazione del percorso formativo, viene introdotto il paradigma della Cyber Threat Intelligence, evidenziandone ruolo, finalità e applicazioni nelle attività di prevenzione, contrasto e investigazione.

Vengono affrontati i principi fondanti della sicurezza informatica, con particolare attenzione alla CIA Triad(riservatezza, integrità e disponibilità) e alla loro applicazione nelle operazioni di polizia e nelle attività di tutela del dato sensibile. L’obiettivo è fornire ai partecipanti una comprensione solida del valore strategico della protezione delle informazioni nei contesti giudiziari, investigativi e istituzionali.

La giornata prosegue con una panoramica strutturata sulle principali minacce informatiche rilevanti per le indagini — tra cui phishing, malware e ransomware — evidenziandone le modalità operative, gli indicatori di compromissione e le ricadute sui procedimenti investigativi.

Parallelamente, viene introdotto il contributo della Human Intelligence (HUMINT) nei processi informativi e investigativi, in un’ottica comparata con le discipline cyber e open source. Viene illustrato come l’integrazione tra fonti umane e digitali accresca la qualità dell’analisi e la robustezza del processo decisionale.

La parte applicativa si concentra su esercitazioni e simulazioni guidate finalizzate a sviluppare capacità di osservazione, riconoscimento e analisi di attività sospette nel dominio digitale. Attraverso scenari realistici di risposta a incidenti e attività di tracciamento online, i partecipanti sperimentano un primo approccio strutturato alle investigazioni digitali.

La sessione si conclude con un’introduzione alle tecniche di penetration testing a fini investigativi, presentando metodologie, limiti etico-normativi e strumenti comunemente impiegati per l’analisi delle vulnerabilità. In modalità controllata e guidata, vengono mostrati strumenti professionali come Nmap e Metasploit, al fine di consentire ai partecipanti di comprendere logiche e fasi di un attacco informatico, nonché le strategie adottate dagli autori di reati informatici.

Contenuti della giornata:

  • Saluti istituzionali e presentazione del percorso formativo
  • Introduzione alla Cyber Threat Intelligence: finalità, processo e ambiti applicativi
  • Fondamenti di Human Intelligence nei contesti informativi e investigativi
  • Principi essenziali della sicurezza informatica e CIA Triad nelle operazioni di polizia
  • Analisi delle principali minacce impiegate nei reati informatici (phishing, malware, ransomware)
  • Scenari di risposta a incidenti e primi elementi di investigazione digitale
  • Simulazioni guidate di tracciamento e identificazione di attività sospette online
  • Penetration testing a fini investigativi: quadro metodologico, limiti e buone pratiche
  • Dimostrazioni e attività pratiche con strumenti specialistici (Nmap, Metasploit)

2^ giornata Venerdì 12 Dicembre 2025 dalle 14:00 alle 18:00

Sicurezza delle Informazioni, Identità Operativa e Protezione del Sistema Informativo dell’Investigatore

La seconda giornata del Corso Cyber Analyst si innesta direttamente sulla prima, spostando il baricentro dall’analisi delle minacce esterne alla protezione dell’ecosistema informativo dell’operatore.
Il messaggio di fondo è semplice e non negoziabile: un’indagine è forte quanto è sicuro il sistema che la produce. Se l’infrastruttura è fragile, l’identità dell’analista è esposta e le informazioni non sono governate, l’attività investigativa perde valore, affidabilità e, nei casi peggiori, legittimità.

La lezione apre con una riflessione chiave: l’analista è parte del sistema informativo. Le sue credenziali, i suoi dispositivi, le sue abitudini operative e la sua identità digitale costituiscono una superficie d’attacco concreta. Proteggere l’informazione significa quindi proteggere anche chi la maneggia, in un’ottica di sicurezza end-to-end che coinvolge tecnologia, processi e comportamento umano.

Viene approfondito il concetto di informazione come asset strategico, richiamando i principi della ISO/IEC 27001 e del suo approccio risk-based. Non si parla di compliance astratta, ma di governo del rischio informativo: classificare i dati, stabilire chi può accedervi, come vengono trattati, dove risiedono e per quanto tempo. In ambito investigativo, ogni dato non protetto è un potenziale punto di compromissione, ogni accesso non tracciato è una vulnerabilità procedurale.

Ampio spazio è dedicato alla sicurezza dell’identità dell’operatore. L’uso di ambienti segregati, macchine virtuali, compartimentazione delle attività e separazione tra identità reale e identità operative non è presentato come una scelta tecnica, ma come una misura di autodifesa professionale. L’analista che espone la propria identità digitale durante un’indagine non sta solo rischiando sé stesso, ma sta indebolendo l’intero procedimento.

In questo contesto viene valorizzato il concetto di Operational Security (OPSEC) applicato alle investigazioni informatiche: ridurre le informazioni osservabili, controllare le emissioni digitali, evitare correlazioni involontarie tra attività investigative e vita personale. Le tecniche illustrate nella prima giornata (OSINT, HUMINT digitale, tracciamenti, analisi di piattaforme) vengono rilette alla luce di una domanda cruciale: cosa sto lasciando io, mentre osservo gli altri?

La seconda parte della lezione integra e contestualizza operativamente i contenuti del materiale allegato, dedicato alla costruzione dell’ambiente di lavoro sicuro dell’analista. Gli strumenti, le macchine virtuali, le VPN, l’uso del dark web e delle piattaforme di comunicazione vengono ricondotti a un modello coerente di sicurezza delle informazioni, in cui ogni scelta tecnica ha una motivazione investigativa e una ricaduta sulla protezione dell’identità dell’operatore

Viene inoltre affrontato il tema del valore probatorio dell’informazione digitale in relazione alla sicurezza del sistema che la produce. Un dato raccolto in un ambiente non controllato, non segregato o non documentato rischia di essere contestabile. La sicurezza informatica non è quindi solo una misura difensiva, ma un abilitatore della validità giuridica dell’attività investigativa.

La lezione si chiude con una visione orientata al futuro: l’analista moderno non è solo un utilizzatore di strumenti, ma un custode di informazioni critiche. La capacità di dimostrare che il proprio sistema informativo è correttamente protetto, configurato e gestito secondo standard riconosciuti (come la ISO/IEC 27001) diventa un elemento distintivo di professionalità, credibilità e affidabilità istituzionale.

Obiettivi formativi della lezione

  • Rafforzare la consapevolezza del valore strategico dell’informazione investigativa
  • Comprendere il ruolo dell’analista come parte integrante del sistema informativo
  • Integrare i principi della ISO/IEC 27001 nelle attività investigative quotidiane
  • Tutelare l’identità digitale e operativa dell’investigatore
  • Garantire la solidità tecnica e probatoria delle attività di indagine informatica

Contenuti chiave della giornata

  • Sicurezza delle informazioni e identità dell’operatore investigativo
  • Governance del dato e gestione del rischio informativo
  • OPSEC e compartimentazione nelle investigazioni digitali
  • Ambienti di lavoro sicuri e segregazione operativa
  • Valore probatorio e affidabilità del sistema informativo

Questa seconda lezione non aggiunge semplicemente contenuti: cambia il mindset.
Dopo questa giornata, l’analista non si chiede più solo cosa posso scoprire, ma anche quanto è solido il sistema con cui lo sto scoprendo. E lì si fa la differenza tra tecnica e professionalità.

3^ giornata Venerdì 19 Dicembre 2025 dalle 09:00 alle 13:00 e dalle 14:00 alle 18:00

Digital Forensics Avanzata: Metodologie, Strumenti e Laboratorio Operativo

La giornata è interamente dedicata alla Digital Forensics avanzata, con particolare attenzione alle metodologie di acquisizione, analisi e gestione delle evidenze digitali nel rispetto dei requisiti giuridici e dei principi di ammissibilità della prova. L’obiettivo è fornire ai partecipanti un quadro pratico e rigoroso delle attività peritali, affinché le evidenze raccolte possano essere utilizzate in procedimenti giudiziari senza comprometterne integrità, autenticità e tracciabilità.

La sessione introduce le procedure di acquisizione forense dei reperti digitali e i criteri per una corretta catena di custodia, enfatizzando gli standard operativi necessari a garantire ripetibilità, verificabilità e solidità probatoria. Verranno analizzati casi pratici di sequestro e trattamento di dispositivi digitali, con simulazioni volte a riprodurre le fasi critiche dell’intervento operativo.

Ampio spazio è riservato all’utilizzo di strumenti specialistici riconosciuti a livello internazionale.

La giornata prevede un laboratorio pratico ad alta intensità:

Contenuti della giornata:

  • Procedure di acquisizione forense conformi ai requisiti legali e gestione della catena di custodia
  • Simulazioni operative di sequestro e analisi di dispositivi digitali
  • Analisi avanzata di dispositivi mobili con strumenti professionali
  • Tecniche di information gathering e OSINT forense
  • Data link analysis con integrazione con metodologie AI
  • Laboratorio pratico a partecipazione online in modalità assistita

4^ giornata Venerdì 9 Gennaio 2026 dalle 14:00 alle 18:00

Tecniche di Investigazione Digitale Avanzata e Analisi Multidominio

La giornata è dedicata allo studio delle metodologie avanzate di raccolta, analisi e correlazione dei dati a supporto delle indagini digitali. L’obiettivo è fornire ai partecipanti un framework strutturato per l’osservazione del dominio informativo, la valutazione delle fonti e l’estrazione di elementi utili all’elaborazione investigativa.

La sessione si apre con l’analisi del traffico di rete quale fonte primaria di evidenze digitali. Verranno esaminate le principali tipologie di traffico, le tecniche di network monitoring e i criteri per riconoscere indicatori di compromissione e anomalie comportamentali, in modo da identificare attività sospette e potenziali compromissioni di sistemi o account.

Ampio spazio è dedicato all’OSINT investigativo (Open Source Intelligence), trattato come disciplina metodologica di raccolta, validazione e utilizzo di informazioni provenienti da fonti aperte. Saranno approfondite le tecniche di ricerca avanzata, le procedure di verifica delle fonti e le best practice per garantire affidabilità e tracciabilità dei dati acquisiti.

Segue una focalizzazione su tre verticalità chiave dell’OSINT moderno:

  • SOCMINT (Social Media Intelligence): analisi dei contenuti, delle interazioni e dei comportamenti nei social network per ricostruire reti relazionali, pattern comportamentali e dinamiche di gruppo.
  • Image OSINT: tecniche di acquisizione, estrazione e interpretazione di dati da immagini digitali, con attenzione a metadati, geolocalizzazione implicita/esplicita, landmark recognition e correlazioni spazio-temporali.
  • GEOINT (Geospatial Intelligence): uso di dati geospaziali, cartografici e satellitari per supportare ricostruzioni cronologiche, geografiche e strategiche di eventi o spostamenti.

La seconda parte della giornata introduce i fondamenti della Vehicle Transportation Intelligence, illustrando come dati relativi ai trasporti, alla mobilità e ai veicoli possano essere integrati nelle indagini. Verranno analizzati metodi e fonti per identificare mezzi, ricostruire tragitti, collegare eventi e correlare informazioni veicolari con altre evidenze digitali, in un’ottica multidominio.

L’intera giornata si sviluppa secondo un modello evidence-based, con esercitazioni e casi applicativi volti a consolidare l’abilità di trasformare dati eterogenei in quadro investigativo integrato.

Contenuti della giornata:

  • Analisi del traffico di rete e rilevamento di anomalie e indicatori di compromissione
  • Metodologie e strumenti di OSINT Investigativo
  • Social Media Intelligence (SOCMINT): analisi dei contenuti, reti e comportamenti
  • Image OSINT e tecniche di estrazione delle evidenze da immagini digitali
  • GEOINT (Geospatial Intelligence): uso dei dati geospaziali nelle indagini
  • Vehicle Transportation Intelligence: ricostruzione di percorsi, eventi e correlazioni veicolari

5^ giornata Venerdì 16 Gennaio 2026 dalle 14:00 alle 18:00

Svolgimento onLine

Introduzione ai Tabulati Telefonici e Analisi delle Comunicazioni

La giornata è dedicata allo studio dei tabulati telefonici quali strumenti di primaria rilevanza nelle attività investigative e di sicurezza. L’obiettivo è fornire ai partecipanti un quadro completo dei riferimenti normativi, delle procedure di acquisizione e delle modalità di gestione, analisi e correlazione dei dati provenienti dalle comunicazioni elettroniche.

La sessione si apre con l’esame della normativa vigente in materia di dati di traffico telefonico e telematico, illustrando presupposti giuridici, tempistiche di conservazione, competenze dell’Autorità Giudiziaria e modalità di richiesta e acquisizione presso gli operatori di telecomunicazioni. Sarà chiarito cosa si intenda per “tabulato telefonico”, quali informazioni contiene e quali limiti normativi ne regolano l’utilizzo ai fini probatori.

Segue una classificazione delle principali tipologie di tabulati — voce, telematici e IP — evidenziandone struttura, contenuti informativi e specifiche potenzialità nei differenti scenari investigativi. In continuità con l’analisi dei dati, verranno introdotte le infrastrutture delle reti mobili (GSM, UMTS/3G, LTE/4G, 5G) e il loro funzionamento, con particolare attenzione all’utilizzo delle mappe radioelettriche per la geolocalizzazione, la ricostruzione dei movimenti e l’analisi spazio-temporale delle comunicazioni.

Una parte della giornata sarà dedicata ai criteri di gestione, organizzazione e archiviazione forense dei dati acquisiti dagli operatori telefonici, con riferimento alla tutela dell’integrità, alla conservazione corretta nel tempo e alla documentazione della catena di custodia.

La componente applicativa prevede l’impiego di strumenti avanzati di analisi, data mining e visualizzazione per l’esame e la correlazione dei tabulati con altre fonti informative (es. dati GPS, sistemi di lettura targhe – ANPR, estrazioni da dispositivi e altre banche dati). Attraverso casi studio basati su indagini reali, i partecipanti sperimenteranno l’elaborazione multidimensionale dei dati e la costruzione di un quadro investigativo integrato.

Contenuti della giornata:

  • Quadro normativo relativo ai tabulati e ai dati di traffico
  • Definizione, struttura e requisiti del tabulato telefonico
  • Valore investigativo dei tabulati nelle attività di sicurezza e contrasto ai reati
    Infrastrutture e tecnologie:
  • Reti cellulari (GSM, 3G, 4G, 5G) e principi di funzionamento
  • Utilizzo delle mappe radioelettriche per geolocalizzazione e ricostruzione dei movimenti
    Classificazione dei tabulati:
  • Tabulati voce, telematici e IP: dati contenuti, limiti e potenzialità
    Gestione e archiviazione:
  • Procedure corrette di gestione, archiviazione e preservazione dei dati acquisiti
    Strumenti e analisi:
  • Software per data mining, visualizzazione e correlazione investigativa
  • Integrazione dei tabulati con dati GPS, ANPR e altre fonti eterogenee
    Casi studio:
  • Analisi guidata di casi reali e costruzione del quadro investigativo

6^ giornata Venerdì 23 Gennaio 2026 dalle 14:00 alle 18:00

Cyber Analysis delle Gang Criminali: Off-chain e On-chain

Questa giornata offre un’esplorazione sistematica e scientifica delle strategie criminali nel dominio digitale, con un focus specifico sui malware drainers e sulle tecniche rivolte al furto di asset digitali e criptovalute. Il percorso unisce analisi del modello economico-organizzativo delle gruppi criminosi, tecniche investigative off-chain e metodi on-chain per l’analisi delle transazioni, fornendo un quadro operativo e metodologico adatto a operatori delle FF.OO. e delle FF.AA.

Obiettivi formativi

  • Comprendere il funzionamento e il modello di business dei malware drainers e delle organizzazioni criminali che monetizzano asset digitali.
  • Acquisire tecniche investigative off-chain per ricostruire attività illecite che avvengono al di fuori delle blockchain (es. comunicazioni, servizi centralizzati, infrastrutture di command & control, mercati clandestini).
  • Applicare metodologie on-chain per tracciare transazioni, identificare pattern di offuscamento (mixing, tumblers, smart contract complessi) e ricostruire flussi finanziari illeciti.
  • Utilizzare strumenti analitici integrati per correlare dati on-chain e off-chain e produrre dossier investigativi utilizzabili in attività operative e processuali.
  • Analizzare le vulnerabilità dei sistemi di posta elettronica (DKIM, SPF, DMARC) e le tecniche di compromissione delle comunicazioni — i cosiddetti attacchi “Man-in-the-Mail” — per comprendere l’impatto sulle indagini e sulle attività di intelligence.

Contenuti e approccio metodologico

  • Panoramica sui malware drainers: caratteristiche tecniche, vettori di compromissione, workflow operativo e modelli di monetizzazione (esfiltrazione, conversione in crypto, riciclaggio).
  • Case study operativo: analisi strutturata del caso della gang “Angel Drainer” come esempio di TTP (Tactics, Techniques, Procedures): raccolta di evidenze, catena operativa, punti di vulnerabilità ed elementi di attribution.
  • Investigazioni off-chain: tecniche per seguire tracce nei servizi centralizzati, marketplace, canali di comunicazione cifrati o semi-privati; raccolta e validazione di intelligence umana (HUMINT) e open source (OSINT) correlata.
  • Indagini on-chain: metodi di analisi delle blockchain pubbliche, identificazione di indirizzi sospetti, clustering e pattern recognition, tracking dei flussi e tecniche di attribution forense.
  • Analisi combinata (cross-domain): integrazione di dati on-chain con elementi off-chain (KYC leak, pagamenti fiat, webhook, exchange), workflow di correlazione e produzione di report investigativi.
  • Attacchi contro la posta elettronica — “Man-in-the-Mail”: meccanismi di compromissione delle comunicazioni, debolezze operative nei protocolli DKIM/SPF/DMARC, tecniche per rilevare e mitigare spoofing e hijacking di account e messaggi.

Metodologie pratiche e laboratori

  • Esercitazioni guidate su tracciamento di flussi on-chain: uso di blockchain explorer, tecniche di clustering e rappresentazione grafica dei flussi.
  • Laboratorio off-chain: ricostruzione delle call-flow criminali tramite correlazione di sorgenti aperte, canali underground e indicatori di compromissione.
  • Attività di integrazione: costruzione di un dossier investigativo che unisce evidenze on-chain e off-chain, con valutazione dei rischi probatori e delle procedure di preservazione delle evidenze.
  • Dimostrazioni di strumenti analitici per la cyber intelligence e il contrasto al crimine finanziario (visual analytics, graph analysis, tool per il monitoring di exchange e servizi di mixing).

Risultati attesi

Al termine della giornata il partecipante sarà in grado di:

  • descrivere il modello operativo ed economico dei malware drainers;
  • applicare tecniche investigative off-chain per individuare infrastrutture e attori legati a campagne criminali;
  • eseguire analisi on-chain funzionali a individuare flussi, tecniche di offuscamento e possibili punti di ricostruzione dell’attribution;
  • valutare le implicazioni probatorie e procedurali nell’uso delle evidenze digitali combinate;
  • riconoscere e proporre contromisure efficaci contro attacchi alla posta elettronica basati su spoofing e compromissione dei meccanismi DKIM/SPF/DMARC.

7^ giornata Venerdì 30 Gennaio 2026 dalle 09:00 alle 13:00 e dalle 14:00 alle 18:00

Svolgimento onLine

Investigazione Avanzata sul Dark Web

Questa giornata è dedicata a fornire una comprensione critica, metodologica e operativa del Dark Web come dominio informativo e criminale. L’approccio privilegia l’analisi strutturale dei fenomeni, la valutazione dei rischi e l’acquisizione di tecniche investigative avanzate — sempre nel rispetto delle normative, delle limitazioni etiche e dei requisiti probatori.

Panoramica e obiettivi
Il modulo spiega il funzionamento delle reti anonime (es. Tor, I2P), i vettori di rischio e le categorie di reato più diffuse (commercio illecito, mercati neri, fraude, traffici di dati e servizi illeciti). Obiettivo formativo è dotare i partecipanti di un quadro operativo che consenta di: riconoscere strutture e dinamiche criminali, condurre attività di monitoraggio sicuro, estrarre elementi utili all’intelligence e preservare evidenze utilizzabili in sede investigativa e giudiziaria.

Approccio metodologico
L’attività didattica coniuga teoria, analisi di casi reali e laboratori controllati. Si enfatizza la integrazione tra OSINT, HUMINT e tecniche forensi digitali, con procedure specifiche per la raccolta, la validazione e la documentazione delle informazioni acquisite nel dominio anonimo. Ampio spazio è dedicato alle misure di sicurezza operative (OPSEC), alla gestione del rischio legale e alla minimizzazione dell’impatto su vittime e dati sensibili.

Contenuti principali

  • Introduzione al Dark Web: architettura delle reti anonime, livelli del web (surface/deep/dark), rischi operativi e quadro tipologico dei reati.
  • Black Market: struttura dei mercati clandestini, logiche di offerta/domanda, categorie di prodotti e servizi (dati, malware, servizi di riciclaggio, armi digitali), dinamiche reputazionali e sistemi di feedback.
  • Tecniche investigative avanzate: metodologie di monitoraggio e raccolta (web crawling sicuro, honeytokens, fingerprinting), uso avanzato di OSINT per identificare pattern e collegamenti, tecniche di social engineering eticamente e proceduralmente contestualizzate per attività di infiltrazione controllata.
  • Forensics sul Dark Web: strumenti e procedure per il recupero e la conservazione di artefatti digitali (log, snapshot, metadati), tecniche di acquisizione forense di contenuti Web anonimi, criteri di catena di custodia e documentazione delle evidenze.
  • Cryptocurrency e flussi finanziari: analisi forense degli artefatti crypto, metodologie on-chain per tracciare transazioni sospette, correlazione off-chain (exchange, servizi di conversione, indicatori KYC/AML) e tecniche di attribuzione.
  • Infiltrazione e contro-intelligence: pratiche sicure per l’interazione con comunità e venditori, gestione del rischio di compromissione operativa e protezione delle fonti umane.

Metodologie pratiche e output
La giornata prevede esercitazioni pratiche su scenari simulati: monitoraggio di un mercato, raccolta e preservazione di evidenze, costruzione di un dossier investigativo che integra elementi on-chain e off-chain, e analisi di un caso di traffico illecito con ricostruzione finanziaria. I partecipanti acquisiranno template operativi per reportistica, check-list OPSEC e procedure di conservazione probatoria.

Risultati attesi
Al termine, i partecipanti saranno in grado di: progettare e condurre attività investigative sul Dark Web in modo sicuro e conforme; estrarre e documentare evidenze digitali utilizzabili; integrare risultati OSINT e forensi con analisi finanziarie per supportare azioni operative e processuali.

8^ giornata Venerdì 13 Febbraio 2026 dalle 09:00 alle 13:00 e dalle 14:00 alle 18:00

Analisi e Sequestro di Criptovalute: Metodologie Forensi e Procedure Operative

Questa giornata è interamente dedicata alla forensics delle criptovalute e alle procedure operative per la corretta esecuzione del sequestro di asset digitali. Il modulo coniuga fondamenti tecnici, inquadramento normativo e pratica operativa, offrendo un percorso completo per comprendere, tracciare e bloccare flussi illeciti nell’ecosistema crypto, con attenzione alle implicazioni probatorie e procedurali.

Obiettivi formativi

  • Fornire una comprensione strutturata dei principi tecnologici alla base delle blockchain e delle principali tipologie di crypto-asset.
  • Introdurre e applicare tecniche di analisi on-chain e di correlazione off-chain per identificare schemi di riciclaggio, mixing e altre tecniche di offuscamento.
  • Illustrare il quadro giuridico e procedurale del sequestro di valute virtuali, con riferimento alle prassi investigative e alle esigenze di conservazione probatoria.
  • Sviluppare competenze operative tramite esercitazioni pratiche che simulano il sequestro e la successiva gestione forense degli asset.

Quadro introduttivo
Dopo una rapida panoramica sui fondamenti della blockchain (struttura dei blocchi, indirizzi, chiavi, smart contract, differenze tra ledger pubblici e permissioned), si esamina il contesto attuale: l’aumento delle segnalazioni da parte degli operatori in valuta virtuale e le tendenze recentemente osservate nelle attività di riciclaggio, che richiedono strumenti analitici avanzati e coordinamento inter-istituzionale.

Contenuti tecnici e metodologici

  • Tecniche di tracciamento on-chain: identificazione di indirizzi sospetti, clustering, heuristics, analisi dei flussi e riconoscimento di pattern di mixing/tumbling.
  • Correlazione off-chain: integrazione di dati da exchange, KYC leaks, pagamenti fiat, logs di servizi e fonti OSINT per attribuire e contestualizzare movimenti.
  • Strumenti analitici: panoramica degli strumenti di blockchain analysis e delle metriche utili per la valutazione del rischio e la produzione di output investigativi.
  • Machine learning e analisi predittiva: uso di modelli per il rilevamento di anomalie e la prioritizzazione delle piste investigative.

Aspetti legali e procedurali

  • Normativa vigente e presidi procedurali per la richiesta e l’esecuzione del sequestro.
  • Preservazione dell’integrità della prova digitale: catena di custodia, documentazione delle operazioni, conservazione delle chiavi e delle immagini forensi.
  • Valutazione probatoria delle evidenze on-chain e gestione dei vincoli giurisdizionali nell’azione contro servizi esteri o decentralizzati.

Esercitazione pratica
I partecipanti eseguono una simulazione operativa completa: identificazione di indirizzi collegati a una campagna illecita, blocco/sigillatura forense degli asset (simulato), redazione del verbale di sequestro e predisposizione del dossier investigativo con evidenze on-chain e off-chain.

Risultati attesi
Al termine della giornata, il partecipante sarà in grado di condurre analisi forensi su transazioni crypto, valutare la plausibilità di schemi di riciclaggio, predisporre e documentare un’operazione di sequestro in conformità ai requisiti probatori e collaborare efficacemente con unità finanziarie e provider tecnici.

9^ giornata Venerdì 20 Febbraio 2026 dalle 09:00 alle 13:00 e dalle 14:00 alle 18:00

Cyber Threat Intelligence e Intelligenza Artificiale

Questa giornata costituisce il nucleo centrale del percorso formativo, poiché integra in modo sinergico i principi della Cyber Threat Intelligence (CTI) con le potenzialità dell’Intelligenza Artificiale (IA) applicata alle indagini digitali. L’obiettivo è fornire ai partecipanti la capacità di trasformare dati eterogenei in intelligence operativa, sfruttando metodologie analitiche e strumenti avanzati di automazione.

Obiettivi formativi

  • Sviluppare competenze nella raccolta, classificazione e analisi delle informazioni utili a identificare minacce, attori ostili e infrastrutture criminali.
  • Applicare modelli e metodologie di CTI per anticipare scenari di rischio, prevenire attacchi e supportare decisioni operative.
  • Comprendere e utilizzare tecniche di IA e machine learning a supporto del ciclo di intelligence, dall’ingestion dei dati alla correlazione e prioritizzazione degli alert.
  • Operare in laboratorio su casi complessi in ambiente virtuale controllato, con l’obiettivo di replicare dinamiche reali di cyber intelligence.

Contenuti e approccio metodologico
La giornata si articola come un laboratorio immersivo, in cui teoria e pratica si intrecciano in esercitazioni ad alta intensità. I partecipanti opereranno in un ecosistema cyber simulato, progettato per riprodurre minacce realistiche e ambienti ostili.

  • Threat Intelligence Operativa
    • Raccolta, normalizzazione e classificazione delle informazioni da fonti aperte, tecniche e riservate.
    • Indicatori di compromissione (IoC), TTP (Tactics, Techniques & Procedures) e modelli MITRE ATT&CK applicati all’analisi dei gruppi avversari.
    • Tecniche di monitoraggio e profilazione di attori malevoli, infrastrutture e campagne cyber.
  • AI a supporto della Cyber Intelligence
    • Introduzione ai modelli di machine learning applicati alla detection, all’analisi predittiva e alla correlazione degli eventi.
    • Integrazione dell’IA nel ciclo di intelligence per accelerare l’analisi, ridurre i falsi positivi e potenziare la capacità di individuare pattern complessi.
    • Applicazioni pratiche: automazione dei processi di enrichment, classificazione delle minacce, priorità degli alert e supporto decisionale.
  • Laboratorio avanzato in ambiente sicuro e isolato
    • Esercitazioni hands-on su casi complessi ispirati a scenari reali.
    • Analisi collaborativa multi-team e utilizzo guidato di sistemi di AI come supporto all’interpretazione dei dati.
    • Redazione e presentazione di elaborati di intelligence basati su evidenze tecniche e output AI.

Risultati attesi
Al termine della giornata, il partecipante sarà in grado di:

  • condurre un’analisi di cyber threat intelligence end-to-end;
  • utilizzare l’IA come moltiplicatore operativo per l’analisi investigativa;
  • interpretare indicatori tecnici e contestualizzarli in un quadro di intelligence strategica;
  • produrre output di intelligence chiari, verificabili e utili alla prevenzione e al contrasto delle minacce cyber.

Sintesi dei contenuti della giornata:

  • Laboratorio di CTI: raccolta, analisi e contestualizzazione delle informazioni
  • Analisi di casi complessi in ambiente virtuale sicuro e controllato
  • Utilizzo dell’IA a supporto dell’interpretazione dei dati e dell’accelerazione delle indagini

10^ giornata Venerdì 27 Febbraio 2026 (facoltativa – in fase di definizione)

11^ giornata Venerdì 6 Marzo 2026 dalle 14:00 alle 18:00

Sintesi, Consolidamento delle Competenze ed Esame Conclusivo

La giornata conclusiva è dedicata alla sintesi strutturata dei contenuti affrontati durante il percorso e alla valutazione formale delle competenze acquisite. In un contesto come quello dell’intelligence e delle investigazioni digitali, caratterizzato da minacce in costante evoluzione, l’aggiornamento continuo non è un’opzione, ma un requisito professionale imprescindibile. La capacità di apprendere, adattarsi e rielaborare criticamente le conoscenze costituisce il principale fattore di resilienza per gli operatori che operano nel dominio cyber.

La sessione di apertura è focalizzata sul consolidamento dei concetti chiave trattati nel corso, con l’obiettivo di rafforzare la visione integrata delle discipline affrontate: cybersecurity, analisi forense, OSINT, cyber intelligence, blockchain investigation, analisi dei tabulati, Dark Web e IA applicata. Attraverso un confronto guidato, i partecipanti ripercorreranno le metodologie, gli strumenti e i modelli operativi appresi, con particolare attenzione alla loro applicabilità nei rispettivi contesti professionali.

L’esame finale costituisce un momento di verifica e maturazione: non soltanto valuta l’apprendimento teorico e pratico, ma rappresenta un’occasione per riflettere sulla crescita compiuta nel corso del percorso formativo. L’obiettivo è accertare la capacità dei partecipanti di applicare con autonomia critica le metodologie investigative, interpretare scenari operativi e produrre valutazioni coerenti con i requisiti della professione.

L’efficacia dell’azione investigativa moderna non risiede nella reazione, ma nella preparazione, nella conoscenza e nella capacità di anticipare. Come ricorda la tradizione strategica, la vittoria più efficace è quella ottenuta prima dello scontro: nell’ambito della sicurezza e dell’intelligence, ciò si traduce nella prevenzione, nell’analisi informata e nella capacità di riconoscere i segnali deboli del rischio prima che si trasformino in minacce concrete.

Contenuti della giornata:

  • Sintesi e rielaborazione dei contenuti del corso
  • Consolidamento dei concetti e delle metodologie acquisite
  • Esame finale: verifica delle competenze teoriche e applicative

Pin It on Pinterest

Share This