+39 049 825 7400 academy@lab4int.org

CYBER ANALYST

da | Nov 5, 2025

Cyber Analyst
ACS Italia Certificazioni
ISCRIZIONE

Registrati Entro:

Giorno(s)

:

Ore(s)

:

Minuto(i)

:

Second(s)

IN COLLABORAZIONE CON:

IN CONVENZIONE CON:

INTERNATIONAL POLICE ASSOCIATION

Comitato Locale di Riccione

Threat Intelligence

 Affidabilità, Proattività e Resilienza: i pilastri del Cyber Analyst

Affidabilità
Un dato non è utile se non è garantito nella sua riservatezza, integrità e correttezza probatoria. Nell’ambito investigativo e dell’intelligence, l’affidabilità delle informazioni rappresenta il presupposto essenziale per assumere decisioni operative, redigere analisi tecniche e sostenere attività giudiziarie. Un Cyber Analyst deve quindi presidiare processi, sistemi e fonti informative assicurando rigore metodologico, verificabilità e tracciabilità.

Proattività
La moderna cyber defense non può limitarsi a un approccio reattivo. La Threat Intelligence permette di anticipare le minacce, identificare vulnerabilità sistemiche e valutare scenari evolutivi prima che si trasformino in incidenti. Il Cyber Analyst agisce come “early warning system”: monitora il contesto, interpreta segnali deboli e trasforma i dati in insight operativi, orientando l’azione preventiva e strategica delle organizzazioni.

Resilienza
Un sistema davvero sicuro non è quello che non viene mai attaccato, ma quello che mantiene continuità operativa, assorbe l’impatto e si ripristina rapidamente. La resilienza è la capacità di un’infrastruttura, di un team e di un’organizzazione di reagire a eventi ostili, contenere il danno, ripristinare i servizi e imparare dall’incidente per rafforzarsi. È il risultato integrato di tecnologia, procedure, competenze e cultura della sicurezza.

si consigliano i seguenti pre-requisiti:
– conoscenze di base di informatica
– conoscenze giuridiche di base

Panoramica del Corso e Schema di Qualificazione:

Il Corso di Cyber Analyst – Qualificazione n. 80, conforme allo Schema di Certificazione SCH86 – REV. 00 – 01/07/2025, è rivolto esclusivamente agli operatori delle Forze di Polizia (FF.OO.) e delle Forze Armate (FF.AA.) in servizio attivo. Il percorso fornisce una preparazione specialistica e metodologicamente rigorosa nei domini della cybersecurity, della cyber intelligence, delle investigazioni digitali e della digital forensics, con un allineamento ai principali standard professionali e normativi del settore.

Il programma è pensato per profili operativi che, pur non avendo una formazione tecnica informatica avanzata, necessitano di sviluppare una cultura investigativa digitale che consenta di comprendere il dominio cyber, dialogare efficacemente con i reparti tecnici, orientare le richieste d’analisi e valorizzare operativamente i risultati nelle attività d’indagine e di intelligence.

Il corso non ha l’obiettivo di formare tecnici forensi, bensì di potenziare la consapevolezza operativa dei partecipanti, fornendo strumenti, metodologie e criteri utili a:

  • comprendere minacce digitali, modelli di attacco e impatti sulle indagini;
  • identificare e sfruttare le fonti informative del cyberspazio (OSINT, SOCMINT, metadati, comunicazioni, blockchain);
  • utilizzare piattaforme di analisi, dashboard investigative e strumenti di intelligenza artificiale a supporto delle decisioni operative;
  • integrare informazioni digitali nei fascicoli e nei processi investigativi, garantendo tracciabilità, verificabilità e rispetto della catena di custodia.

La didattica integra lezioni accademiche, laboratori avanzati, esercitazioni e scenari simulati basati su casi realistici, con un approccio evidence-based orientato a rigore metodologico, ripetibilità e corretto utilizzo della prova digitale. L’obiettivo è fornire competenze subito applicabili sul campo, sia in attività investigative sia in contesti giudiziari o di sicurezza.

Al termine del percorso, i partecipanti acquisiranno una visione chiara e strutturata delle investigazioni digitali: conosceranno quali informazioni possono essere ottenute, con quali strumenti e a quali condizioni metodologiche e normative, aumentando la maturità investigativa nel dominio cyber.

Il corso si conclude con un esame finale composto da 40 domande a risposta multipla, volto a verificare l’apprendimento in coerenza con lo Schema SCH86.

È richiesta una frequenza minima dell’80% per ottenere l’Attestato di Qualificazione in Cyber Analyst, rilasciato da LAB4INT secondo i requisiti di qualificazione previsti dallo Schema di Certificazione.

I partecipanti che lo desiderano potranno successivamente sostenere l’esame di certificazione professionale pressoACS Italia, al fine di formalizzare le competenze e ottenere la certificazione ufficiale di Cyber Analyst.

Alcune giornate formative prevedono moduli da 4 e 8 ore. In caso di assenza, è possibile recuperare la lezione tramite repliche riservate agli iscritti.

Le informazioni organizzative e amministrative, incluse le condizioni economiche, vengono comunicate esclusivamente agli aventi diritto tramite e-mail istituzionale.

Il corso si svolge online su Google Meet, con interazione audio-video, condivisione schermo e supporto live durante le esercitazioni.

PROGRAMMA DEL CORSO CYBER ANALYST

Svolgimento del corso in 10 giornate

1^ giornata Giovedì 04 Dicembre 2025 dalle 14:00 alle 18:00

Svolgimento onLine

Introduzione alla Cyber Security, alla Threat Intelligence e alla Human Intelligence

La giornata inaugurale del Corso Cyber Analyst è dedicata alla definizione del quadro concettuale e operativo entro cui si colloca la figura del Cyber Analyst. Dopo i saluti istituzionali e la presentazione del percorso formativo, viene introdotto il paradigma della Cyber Threat Intelligence, evidenziandone ruolo, finalità e applicazioni nelle attività di prevenzione, contrasto e investigazione.

Vengono affrontati i principi fondanti della sicurezza informatica, con particolare attenzione alla CIA Triad(riservatezza, integrità e disponibilità) e alla loro applicazione nelle operazioni di polizia e nelle attività di tutela del dato sensibile. L’obiettivo è fornire ai partecipanti una comprensione solida del valore strategico della protezione delle informazioni nei contesti giudiziari, investigativi e istituzionali.

La giornata prosegue con una panoramica strutturata sulle principali minacce informatiche rilevanti per le indagini — tra cui phishing, malware e ransomware — evidenziandone le modalità operative, gli indicatori di compromissione e le ricadute sui procedimenti investigativi.

Parallelamente, viene introdotto il contributo della Human Intelligence (HUMINT) nei processi informativi e investigativi, in un’ottica comparata con le discipline cyber e open source. Viene illustrato come l’integrazione tra fonti umane e digitali accresca la qualità dell’analisi e la robustezza del processo decisionale.

La parte applicativa si concentra su esercitazioni e simulazioni guidate finalizzate a sviluppare capacità di osservazione, riconoscimento e analisi di attività sospette nel dominio digitale. Attraverso scenari realistici di risposta a incidenti e attività di tracciamento online, i partecipanti sperimentano un primo approccio strutturato alle investigazioni digitali.

La sessione si conclude con un’introduzione alle tecniche di penetration testing a fini investigativi, presentando metodologie, limiti etico-normativi e strumenti comunemente impiegati per l’analisi delle vulnerabilità. In modalità controllata e guidata, vengono mostrati strumenti professionali come Nmap e Metasploit, al fine di consentire ai partecipanti di comprendere logiche e fasi di un attacco informatico, nonché le strategie adottate dagli autori di reati informatici.

Contenuti della giornata:

  • Saluti istituzionali e presentazione del percorso formativo
  • Introduzione alla Cyber Threat Intelligence: finalità, processo e ambiti applicativi
  • Fondamenti di Human Intelligence nei contesti informativi e investigativi
  • Principi essenziali della sicurezza informatica e CIA Triad nelle operazioni di polizia
  • Analisi delle principali minacce impiegate nei reati informatici (phishing, malware, ransomware)
  • Scenari di risposta a incidenti e primi elementi di investigazione digitale
  • Simulazioni guidate di tracciamento e identificazione di attività sospette online
  • Penetration testing a fini investigativi: quadro metodologico, limiti e buone pratiche
  • Dimostrazioni e attività pratiche con strumenti specialistici (Nmap, Metasploit)

2^ giornata Venerdì 12 Dicembre 2025 dalle 14:00 alle 18:00

Sicurezza delle Informazioni, Identità Operativa e Protezione del Sistema Informativo dell’Investigatore

La seconda giornata del Corso Cyber Analyst si innesta direttamente sulla prima, spostando il baricentro dall’analisi delle minacce esterne alla protezione dell’ecosistema informativo dell’operatore.
Il messaggio di fondo è semplice e non negoziabile: un’indagine è forte quanto è sicuro il sistema che la produce. Se l’infrastruttura è fragile, l’identità dell’analista è esposta e le informazioni non sono governate, l’attività investigativa perde valore, affidabilità e, nei casi peggiori, legittimità.

La lezione apre con una riflessione chiave: l’analista è parte del sistema informativo. Le sue credenziali, i suoi dispositivi, le sue abitudini operative e la sua identità digitale costituiscono una superficie d’attacco concreta. Proteggere l’informazione significa quindi proteggere anche chi la maneggia, in un’ottica di sicurezza end-to-end che coinvolge tecnologia, processi e comportamento umano.

Viene approfondito il concetto di informazione come asset strategico, richiamando i principi della ISO/IEC 27001 e del suo approccio risk-based. Non si parla di compliance astratta, ma di governo del rischio informativo: classificare i dati, stabilire chi può accedervi, come vengono trattati, dove risiedono e per quanto tempo. In ambito investigativo, ogni dato non protetto è un potenziale punto di compromissione, ogni accesso non tracciato è una vulnerabilità procedurale.

Ampio spazio è dedicato alla sicurezza dell’identità dell’operatore. L’uso di ambienti segregati, macchine virtuali, compartimentazione delle attività e separazione tra identità reale e identità operative non è presentato come una scelta tecnica, ma come una misura di autodifesa professionale. L’analista che espone la propria identità digitale durante un’indagine non sta solo rischiando sé stesso, ma sta indebolendo l’intero procedimento.

In questo contesto viene valorizzato il concetto di Operational Security (OPSEC) applicato alle investigazioni informatiche: ridurre le informazioni osservabili, controllare le emissioni digitali, evitare correlazioni involontarie tra attività investigative e vita personale. Le tecniche illustrate nella prima giornata (OSINT, HUMINT digitale, tracciamenti, analisi di piattaforme) vengono rilette alla luce di una domanda cruciale: cosa sto lasciando io, mentre osservo gli altri?

La seconda parte della lezione integra e contestualizza operativamente i contenuti del materiale allegato, dedicato alla costruzione dell’ambiente di lavoro sicuro dell’analista. Gli strumenti, le macchine virtuali, le VPN, l’uso del dark web e delle piattaforme di comunicazione vengono ricondotti a un modello coerente di sicurezza delle informazioni, in cui ogni scelta tecnica ha una motivazione investigativa e una ricaduta sulla protezione dell’identità dell’operatore

Viene inoltre affrontato il tema del valore probatorio dell’informazione digitale in relazione alla sicurezza del sistema che la produce. Un dato raccolto in un ambiente non controllato, non segregato o non documentato rischia di essere contestabile. La sicurezza informatica non è quindi solo una misura difensiva, ma un abilitatore della validità giuridica dell’attività investigativa.

La lezione si chiude con una visione orientata al futuro: l’analista moderno non è solo un utilizzatore di strumenti, ma un custode di informazioni critiche. La capacità di dimostrare che il proprio sistema informativo è correttamente protetto, configurato e gestito secondo standard riconosciuti (come la ISO/IEC 27001) diventa un elemento distintivo di professionalità, credibilità e affidabilità istituzionale.

Obiettivi formativi della lezione

  • Rafforzare la consapevolezza del valore strategico dell’informazione investigativa
  • Comprendere il ruolo dell’analista come parte integrante del sistema informativo
  • Integrare i principi della ISO/IEC 27001 nelle attività investigative quotidiane
  • Tutelare l’identità digitale e operativa dell’investigatore
  • Garantire la solidità tecnica e probatoria delle attività di indagine informatica

Contenuti chiave della giornata

  • Sicurezza delle informazioni e identità dell’operatore investigativo
  • Governance del dato e gestione del rischio informativo
  • OPSEC e compartimentazione nelle investigazioni digitali
  • Ambienti di lavoro sicuri e segregazione operativa
  • Valore probatorio e affidabilità del sistema informativo

Questa seconda lezione non aggiunge semplicemente contenuti: cambia il mindset.
Dopo questa giornata, l’analista non si chiede più solo cosa posso scoprire, ma anche quanto è solido il sistema con cui lo sto scoprendo. E lì si fa la differenza tra tecnica e professionalità.

3^ giornata Venerdì 19 Dicembre 2025 dalle 09:00 alle 13:00 e dalle 14:00 alle 18:00

Digital Forensics Avanzata: Metodologie, Strumenti e Laboratorio Operativo

La giornata è interamente dedicata alla Digital Forensics avanzata, con particolare attenzione alle metodologie di acquisizione, analisi e gestione delle evidenze digitali nel rispetto dei requisiti giuridici e dei principi di ammissibilità della prova. L’obiettivo è fornire ai partecipanti un quadro pratico e rigoroso delle attività peritali, affinché le evidenze raccolte possano essere utilizzate in procedimenti giudiziari senza comprometterne integrità, autenticità e tracciabilità.

La sessione introduce le procedure di acquisizione forense dei reperti digitali e i criteri per una corretta catena di custodia, enfatizzando gli standard operativi necessari a garantire ripetibilità, verificabilità e solidità probatoria. Verranno analizzati casi pratici di sequestro e trattamento di dispositivi digitali, con simulazioni volte a riprodurre le fasi critiche dell’intervento operativo.

Ampio spazio è riservato all’utilizzo di strumenti specialistici riconosciuti a livello internazionale.

La giornata prevede un laboratorio pratico ad alta intensità:

Contenuti della giornata:

  • Procedure di acquisizione forense conformi ai requisiti legali e gestione della catena di custodia
  • Simulazioni operative di sequestro e analisi di dispositivi digitali
  • Analisi avanzata di dispositivi mobili con strumenti professionali
  • Tecniche di information gathering e OSINT forense
  • Data link analysis con integrazione con metodologie AI
  • Laboratorio pratico a partecipazione online in modalità assistita

4^ giornata Venerdì 9 Gennaio 2026 dalle 14:00 alle 18:00

Tecniche di Investigazione Digitale Avanzata e Analisi Multidominio

La giornata è dedicata allo studio delle metodologie avanzate di raccolta, analisi e correlazione dei dati a supporto delle indagini digitali. L’obiettivo è fornire ai partecipanti un framework strutturato per l’osservazione del dominio informativo, la valutazione delle fonti e l’estrazione di elementi utili all’elaborazione investigativa.

La sessione si apre con l’analisi del traffico di rete quale fonte primaria di evidenze digitali. Verranno esaminate le principali tipologie di traffico, le tecniche di network monitoring e i criteri per riconoscere indicatori di compromissione e anomalie comportamentali, in modo da identificare attività sospette e potenziali compromissioni di sistemi o account.

Ampio spazio è dedicato all’OSINT investigativo (Open Source Intelligence), trattato come disciplina metodologica di raccolta, validazione e utilizzo di informazioni provenienti da fonti aperte. Saranno approfondite le tecniche di ricerca avanzata, le procedure di verifica delle fonti e le best practice per garantire affidabilità e tracciabilità dei dati acquisiti.

Segue una focalizzazione su tre verticalità chiave dell’OSINT moderno:

  • SOCMINT (Social Media Intelligence): analisi dei contenuti, delle interazioni e dei comportamenti nei social network per ricostruire reti relazionali, pattern comportamentali e dinamiche di gruppo.
  • Image OSINT: tecniche di acquisizione, estrazione e interpretazione di dati da immagini digitali, con attenzione a metadati, geolocalizzazione implicita/esplicita, landmark recognition e correlazioni spazio-temporali.
  • GEOINT (Geospatial Intelligence): uso di dati geospaziali, cartografici e satellitari per supportare ricostruzioni cronologiche, geografiche e strategiche di eventi o spostamenti.

La seconda parte della giornata introduce i fondamenti della Vehicle Transportation Intelligence, illustrando come dati relativi ai trasporti, alla mobilità e ai veicoli possano essere integrati nelle indagini. Verranno analizzati metodi e fonti per identificare mezzi, ricostruire tragitti, collegare eventi e correlare informazioni veicolari con altre evidenze digitali, in un’ottica multidominio.

L’intera giornata si sviluppa secondo un modello evidence-based, con esercitazioni e casi applicativi volti a consolidare l’abilità di trasformare dati eterogenei in quadro investigativo integrato.

Contenuti della giornata:

  • Analisi del traffico di rete e rilevamento di anomalie e indicatori di compromissione
  • Metodologie e strumenti di OSINT Investigativo
  • Social Media Intelligence (SOCMINT): analisi dei contenuti, reti e comportamenti
  • Image OSINT e tecniche di estrazione delle evidenze da immagini digitali
  • GEOINT (Geospatial Intelligence): uso dei dati geospaziali nelle indagini
  • Vehicle Transportation Intelligence: ricostruzione di percorsi, eventi e correlazioni veicolari

5^ giornata Venerdì 16 Gennaio 2026 dalle 14:00 alle 18:00

Svolgimento onLine

Introduzione ai Tabulati Telefonici e Analisi delle Comunicazioni

La giornata è dedicata allo studio dei tabulati telefonici quali strumenti di primaria rilevanza nelle attività investigative e di sicurezza. L’obiettivo è fornire ai partecipanti un quadro completo dei riferimenti normativi, delle procedure di acquisizione e delle modalità di gestione, analisi e correlazione dei dati provenienti dalle comunicazioni elettroniche.

La sessione si apre con l’esame della normativa vigente in materia di dati di traffico telefonico e telematico, illustrando presupposti giuridici, tempistiche di conservazione, competenze dell’Autorità Giudiziaria e modalità di richiesta e acquisizione presso gli operatori di telecomunicazioni. Sarà chiarito cosa si intenda per “tabulato telefonico”, quali informazioni contiene e quali limiti normativi ne regolano l’utilizzo ai fini probatori.

Segue una classificazione delle principali tipologie di tabulati — voce, telematici e IP — evidenziandone struttura, contenuti informativi e specifiche potenzialità nei differenti scenari investigativi. In continuità con l’analisi dei dati, verranno introdotte le infrastrutture delle reti mobili (GSM, UMTS/3G, LTE/4G, 5G) e il loro funzionamento, con particolare attenzione all’utilizzo delle mappe radioelettriche per la geolocalizzazione, la ricostruzione dei movimenti e l’analisi spazio-temporale delle comunicazioni.

Una parte della giornata sarà dedicata ai criteri di gestione, organizzazione e archiviazione forense dei dati acquisiti dagli operatori telefonici, con riferimento alla tutela dell’integrità, alla conservazione corretta nel tempo e alla documentazione della catena di custodia.

La componente applicativa prevede l’impiego di strumenti avanzati di analisi, data mining e visualizzazione per l’esame e la correlazione dei tabulati con altre fonti informative (es. dati GPS, sistemi di lettura targhe – ANPR, estrazioni da dispositivi e altre banche dati). Attraverso casi studio basati su indagini reali, i partecipanti sperimenteranno l’elaborazione multidimensionale dei dati e la costruzione di un quadro investigativo integrato.

Contenuti della giornata:

  • Quadro normativo relativo ai tabulati e ai dati di traffico
  • Definizione, struttura e requisiti del tabulato telefonico
  • Valore investigativo dei tabulati nelle attività di sicurezza e contrasto ai reati
    Infrastrutture e tecnologie:
  • Reti cellulari (GSM, 3G, 4G, 5G) e principi di funzionamento
  • Utilizzo delle mappe radioelettriche per geolocalizzazione e ricostruzione dei movimenti
    Classificazione dei tabulati:
  • Tabulati voce, telematici e IP: dati contenuti, limiti e potenzialità
    Gestione e archiviazione:
  • Procedure corrette di gestione, archiviazione e preservazione dei dati acquisiti
    Strumenti e analisi:
  • Software per data mining, visualizzazione e correlazione investigativa
  • Integrazione dei tabulati con dati GPS, ANPR e altre fonti eterogenee
    Casi studio:
  • Analisi guidata di casi reali e costruzione del quadro investigativo

6^ giornata Venerdì 30 Gennaio 2026 dalle 09:00 alle 13:00 e dalle 14:00 alle 18:00

Cyber Threat Intelligence + AI applicate alle indagini sul Dark Web

Il Dark Web rappresenta un ecosistema informativo ad alta entropia dove attori criminali, infrastrutture anonime e flussi finanziari criptovalutari generano un volume di dati caotico, frammentato e spesso deliberatamente manipolato. In questo contesto, la Cyber Threat Intelligence (CTI) fornisce la struttura metodologica per trasformare segnali dispersi — tecnici, relazionali e comportamentali — in intelligence operativa utilizzabile. L’Intelligenza Artificiale entra come acceleratore analitico: non sostituisce l’investigatore, ma amplifica la capacità di correlare eventi, individuare pattern nascosti e filtrare il rumore informativo tipico delle reti anonime.

L’attività investigativa nel Dark Web richiede un’integrazione disciplinare: OSINT per la raccolta, HUMINT per l’interazione controllata, digital forensics per la validazione probatoria, e CTI per la sintesi strategica. I framework di analisi delle minacce e i modelli TTP consentono di profilare attori e campagne criminali, mentre algoritmi di machine learning permettono di individuare anomalie nei comportamenti di marketplace clandestini, forum e servizi illegali.

Sul piano operativo, la combinazione CTI-AI consente di:

  • monitorare ecosistemi criminali anonimi con raccolta dati automatizzata e sicura

  • correlare identità pseudonime, infrastrutture tecniche e transazioni crypto

  • identificare infrastrutture condivise tra gruppi criminali

  • attribuire attività attraverso segnali deboli distribuiti su più fonti

Il valore reale emerge nella fase finale del ciclo di intelligence: la produzione di output strutturati, verificabili e giuridicamente sostenibili. Qui convergono metodologia investigativa, rigore forense e capacità di sintesi analitica. I risultati devono essere tracciabili, replicabili e presentabili a decisori operativi o autorità giudiziarie.

In sostanza, il Dark Web non è solo un ambiente da esplorare ma un sistema complesso da modellare. CTI fornisce il metodo, l’AI la potenza computazionale, l’analista la comprensione critica. Senza quest’ultimo elemento, anche l’algoritmo più sofisticato resta solo un calcolatore veloce che ignora il contesto.

7^ giornata Venerdì 13 Febbraio 2026 dalle 14:00 alle 18:00

Cyber Analysis delle Gang Criminali: Investigazioni Off-chain e On-chain

La giornata formativa è dedicata allo studio delle dinamiche operative delle organizzazioni criminali che agiscono nel dominio digitale, con particolare riferimento alle attività di sottrazione, movimentazione e riciclaggio di asset digitali e criptovalute.

L’approccio proposto è di tipo analitico e metodologico e mira a fornire ai partecipanti gli strumenti concettuali necessari per comprendere come le moderne cyber-gang operino lungo due piani strettamente interconnessi: quello off-chain, che comprende infrastrutture, comunicazioni, servizi e identità digitali, e quello on-chain, relativo all’analisi delle blockchain pubbliche e dei flussi finanziari in criptovalute.

Nel corso della lezione viene superata la logica del singolo caso di studio per concentrarsi sull’osservazione dei pattern ricorrenti, delle Tactics, Techniques and Procedures (TTP) e dei modelli organizzativi che caratterizzano in modo trasversale la criminalità digitale contemporanea.

Dal punto di vista formativo, l’obiettivo è mettere i discenti in condizione di comprendere il modello economico e operativo delle gang criminali digitali, analizzando le principali tecniche di compromissione utilizzate nella fase off-chain e i successivi processi di monetizzazione attraverso l’uso delle blockchain. Particolare attenzione è dedicata alla distinzione, ma anche alla necessaria integrazione, tra attività investigative svolte al di fuori delle blockchain e analisi delle transazioni on-chain.

La lezione affronta quindi le investigazioni off-chain, illustrando come le tracce digitali generate da comunicazioni, servizi centralizzati, infrastrutture tecniche e canali clandestini rappresentino una componente essenziale del ciclo investigativo. Tali elementi vengono inquadrati nel contesto del ciclo di intelligence, evidenziando il ruolo dell’OSINT e della HUMINT nella ricostruzione delle attività criminali e nella produzione di evidenze utilizzabili in ambito operativo.

Parallelamente viene introdotta l’analisi on-chain, con una panoramica sulle metodologie di tracciamento delle transazioni nelle blockchain pubbliche, sull’identificazione di pattern sospetti e sulle principali tecniche di offuscamento impiegate per ostacolare l’attribuzione e la ricostruzione dei flussi finanziari illeciti. L’attenzione non è rivolta allo strumento in sé, ma al metodo analitico che consente di trasformare il dato on-chain in informazione investigativa.

Una parte conclusiva della giornata è dedicata all’integrazione tra dati on-chain e off-chain, intesa come momento centrale dell’analisi investigativa. La correlazione tra evidenze tecniche, informazioni contestuali e flussi finanziari consente infatti di costruire un quadro coerente e documentabile dell’attività criminale, valorizzando il dato digitale anche sotto il profilo probatorio.

Nel contesto delle investigazioni off-chain viene infine affrontato il tema della sicurezza delle comunicazioni, con riferimento alle vulnerabilità dei sistemi di posta elettronica e alle tecniche di compromissione delle comunicazioni, quali gli attacchi di tipo Man-in-the-Mail, evidenziandone le implicazioni operative e investigative.

La giornata si propone quindi di fornire una visione rigorosa e integrata delle investigazioni cyber off-chain e on-chain, ponendo le basi metodologiche per un approccio consapevole, critico e strutturato all’analisi della criminalità digitale.

8^ giornata Venerdì 27 Febbraio 2026 dalle 14:00 alle 18:00

Analisi e Sequestro di Criptovalute: Metodologie Forensi e Procedure Operative

Questa giornata è interamente dedicata alla forensics delle criptovalute e alle procedure operative per la corretta esecuzione del sequestro di asset digitali. Il modulo coniuga fondamenti tecnici, inquadramento normativo e pratica operativa, offrendo un percorso completo per comprendere, tracciare e bloccare flussi illeciti nell’ecosistema crypto, con attenzione alle implicazioni probatorie e procedurali.

Obiettivi formativi

  • Fornire una comprensione strutturata dei principi tecnologici alla base delle blockchain e delle principali tipologie di crypto-asset.
  • Introdurre e applicare tecniche di analisi on-chain e di correlazione off-chain per identificare schemi di riciclaggio, mixing e altre tecniche di offuscamento.
  • Illustrare il quadro giuridico e procedurale del sequestro di valute virtuali, con riferimento alle prassi investigative e alle esigenze di conservazione probatoria.
  • Sviluppare competenze operative tramite esercitazioni pratiche che simulano il sequestro e la successiva gestione forense degli asset.

Quadro introduttivo
Dopo una rapida panoramica sui fondamenti della blockchain (struttura dei blocchi, indirizzi, chiavi, smart contract, differenze tra ledger pubblici e permissioned), si esamina il contesto attuale: l’aumento delle segnalazioni da parte degli operatori in valuta virtuale e le tendenze recentemente osservate nelle attività di riciclaggio, che richiedono strumenti analitici avanzati e coordinamento inter-istituzionale.

Contenuti tecnici e metodologici

  • Tecniche di tracciamento on-chain: identificazione di indirizzi sospetti, clustering, heuristics, analisi dei flussi e riconoscimento di pattern di mixing/tumbling.
  • Correlazione off-chain: integrazione di dati da exchange, KYC leaks, pagamenti fiat, logs di servizi e fonti OSINT per attribuire e contestualizzare movimenti.
  • Strumenti analitici: panoramica degli strumenti di blockchain analysis e delle metriche utili per la valutazione del rischio e la produzione di output investigativi.
  • Machine learning e analisi predittiva: uso di modelli per il rilevamento di anomalie e la prioritizzazione delle piste investigative.

Aspetti legali e procedurali

  • Normativa vigente e presidi procedurali per la richiesta e l’esecuzione del sequestro.
  • Preservazione dell’integrità della prova digitale: catena di custodia, documentazione delle operazioni, conservazione delle chiavi e delle immagini forensi.
  • Valutazione probatoria delle evidenze on-chain e gestione dei vincoli giurisdizionali nell’azione contro servizi esteri o decentralizzati.

Esercitazione pratica
I partecipanti eseguono una simulazione operativa completa: identificazione di indirizzi collegati a una campagna illecita, blocco/sigillatura forense degli asset (simulato), redazione del verbale di sequestro e predisposizione del dossier investigativo con evidenze on-chain e off-chain.

Risultati attesi
Al termine della giornata, il partecipante sarà in grado di condurre analisi forensi su transazioni crypto, valutare la plausibilità di schemi di riciclaggio, predisporre e documentare un’operazione di sequestro in conformità ai requisiti probatori e collaborare efficacemente con unità finanziarie e provider tecnici.

9^ giornata Venerdì 6 marzo 2026 dalle 14:00 alle 18:00

Cyber Threat Intelligence e Intelligenza Artificiale

Questa giornata formativa rappresenta il nucleo metodologico del percorso, in quanto affronta in modo integrato i principi della Cyber Threat Intelligence (CTI) e l’impiego dell’Intelligenza Artificiale come strumento di supporto all’analisi investigativa e decisionale.

La lezione è orientata a fornire una comprensione strutturata del processo attraverso cui dati eterogenei — tecnici, contestuali e informativi — vengono raccolti, analizzati e trasformati in intelligence operativa, utile alla prevenzione, alla comprensione delle minacce e al supporto delle attività investigative. L’Intelligenza Artificiale viene inquadrata non come elemento sostitutivo dell’analista, ma come moltiplicatore cognitivo all’interno del ciclo di intelligence.

Dal punto di vista teorico, la giornata introduce i fondamenti della Cyber Threat Intelligence, soffermandosi sulle logiche di raccolta, classificazione e valutazione delle informazioni, nonché sui modelli utilizzati per descrivere e interpretare il comportamento degli attori ostili. Viene illustrato il ruolo degli indicatori tecnici, delle Tactics, Techniques and Procedures (TTP) e dei framework di riferimento, evidenziando come tali elementi contribuiscano alla comprensione delle campagne cyber e delle infrastrutture criminali.

In questo contesto, l’Intelligenza Artificiale viene presentata come strumento di supporto alle fasi più critiche del ciclo di intelligence, in particolare nell’analisi di grandi volumi di dati, nella correlazione degli eventi e nella riduzione del rumore informativo. L’attenzione è posta sui principi di funzionamento dei modelli di machine learning applicati alla cyber intelligence, evidenziandone potenzialità, limiti e implicazioni operative.

La parte applicativa della giornata è strutturata come laboratorio guidato in ambiente virtuale controllato, progettato per riprodurre scenari realistici di cyber threat intelligence. I partecipanti operano su casi complessi che simulano dinamiche reali di raccolta e analisi delle informazioni, sperimentando l’integrazione tra attività analitiche tradizionali e sistemi di supporto basati su Intelligenza Artificiale.

Durante le esercitazioni viene posta particolare attenzione alla capacità di interpretare correttamente gli output generati dai sistemi automatizzati, evitando una lettura acritica dei risultati e mantenendo centrale il ruolo dell’analista umano. L’obiettivo è sviluppare una consapevolezza critica dell’uso dell’IA, intesa come strumento di accelerazione e supporto, ma non come fonte autonoma di verità.

La giornata si conclude con un focus sulla produzione dell’output di intelligence, inteso come risultato strutturato, verificabile e comunicabile. Viene affrontato il tema della trasformazione dell’analisi tecnica in informazione utile ai decisori, sottolineando l’importanza della chiarezza espositiva, della tracciabilità delle fonti e della solidità metodologica.

Al termine della lezione, i partecipanti avranno acquisito una visione integrata della Cyber Threat Intelligence supportata dall’Intelligenza Artificiale, sviluppando competenze utili a operare in contesti investigativi e di sicurezza complessi, con un approccio rigoroso, critico e orientato all’efficacia operativa.

10^ giornata Venerdì 13 Marzo 2026 dalle 14:00 alle 18:00

Sintesi, Consolidamento delle Competenze ed Esame Conclusivo

La giornata conclusiva è dedicata alla sintesi strutturata dei contenuti affrontati durante il percorso e alla valutazione formale delle competenze acquisite. In un contesto come quello dell’intelligence e delle investigazioni digitali, caratterizzato da minacce in costante evoluzione, l’aggiornamento continuo non è un’opzione, ma un requisito professionale imprescindibile. La capacità di apprendere, adattarsi e rielaborare criticamente le conoscenze costituisce il principale fattore di resilienza per gli operatori che operano nel dominio cyber.

La sessione di apertura è focalizzata sul consolidamento dei concetti chiave trattati nel corso, con l’obiettivo di rafforzare la visione integrata delle discipline affrontate: cybersecurity, analisi forense, OSINT, cyber intelligence, blockchain investigation, analisi dei tabulati, Dark Web e IA applicata. Attraverso un confronto guidato, i partecipanti ripercorreranno le metodologie, gli strumenti e i modelli operativi appresi, con particolare attenzione alla loro applicabilità nei rispettivi contesti professionali.

L’esame finale costituisce un momento di verifica e maturazione: non soltanto valuta l’apprendimento teorico e pratico, ma rappresenta un’occasione per riflettere sulla crescita compiuta nel corso del percorso formativo. L’obiettivo è accertare la capacità dei partecipanti di applicare con autonomia critica le metodologie investigative, interpretare scenari operativi e produrre valutazioni coerenti con i requisiti della professione.

L’efficacia dell’azione investigativa moderna non risiede nella reazione, ma nella preparazione, nella conoscenza e nella capacità di anticipare. Come ricorda la tradizione strategica, la vittoria più efficace è quella ottenuta prima dello scontro: nell’ambito della sicurezza e dell’intelligence, ciò si traduce nella prevenzione, nell’analisi informata e nella capacità di riconoscere i segnali deboli del rischio prima che si trasformino in minacce concrete.

Contenuti della giornata:

  • Sintesi e rielaborazione dei contenuti del corso
  • Consolidamento dei concetti e delle metodologie acquisite
  • Esame finale: verifica delle competenze teoriche e applicative

11^ giornata Venerdì 20 Marzo 2026 (facoltativa – in fase di definizione)

Pin It on Pinterest

Share This