Vai al sito dello studio

OSINT e business intelligence: serve la licenza prefettizia

I servizi di business intelligence e OSINT offrono grandi vantaggi alle aziende, ma vanno forniti e utilizzati con attenzione: in Italia queste attività necessitano di specifiche autorizzazioni e del pieno rispetto della privacy. Operare correttamente tutela gli operatori dai rischi legali e consente di proteggere la reputazione aziendale.

Indice:

  1. Cosa sono la business intelligence e l’OSINT?
  2. Business intelligence e OSINT: normativa di riferimento
  3. Business intelligence e informazione commerciale
  4. Il ruolo della privacy nella business intelligence e nell’OSINT
  5. Conclusioni

1) Cosa sono la business intelligence e l’OSINT?

La business intelligence (o corporate intelligence) rappresenta un insieme di attività, di processi, di tecnologie e di strumenti che consentono di raccogliere, analizzare, elaborare e trasformare dati in informazioni strategiche per le aziende.

Le informazioni raccolte attraverso l’attività di business intelligence possono supportare i processi decisionali aziendali, consentendo alle aziende di garantire la compliance normativa.

Tra i servizi di business intelligence possono annoverarsi, ad esempio:

  • l’analisi dell’affidabilità creditizia, ossia la valutazione della capacità di un’azienda di far fronte ai propri impegni finanziari (utile per decisioni in materia di investimenti, partnership commerciali e gestione del rischio di credito)
  • l’elaborazione di indici valutativi rispetto ai rischi economici, ossia l’identificazione e l’analisi di fattori che possono influenzare negativamente le performance economiche o l’affidabilità di un’azienda in generale
  • le ricerche reputazionali su aziende o su persone fisiche.

Parallelamente, l’OSINT (Open Source Intelligence) è un’attività focalizzata sulla raccolta e l’elaborazione di dati provenienti da fonti aperte o pubblicamente disponibili, come Internet e archivi accessibili al pubblico.

Le tecniche di OSINT comprendono una serie di metodologie per la raccolta e l’analisi di informazioni provenienti da fonti aperte, come siti web, social media, database e registri pubblici e altre risorse accessibili al pubblico. Queste tecniche includono il web scraping, l’analisi semantica dei contenuti, il monitoraggio di forum e piattaforme di discussione, nonché la geolocalizzazione di dati e immagini.

L’OSINT viene utilizzato in numerosi ambiti – tra cui quello investigativo – per tracciare movimenti finanziari sospetti, identificare minacce alla sicurezza informatica e analizzare comportamenti anomali.

Nel contesto aziendale, consente di monitorare la reputazione di persone fisiche o giuridiche, individuare attività fraudolente e prevenire possibili rischi commerciali. Inoltre, tale attività può arrivare a fornire indicazioni cruciali per la gestione della sicurezza aziendale e la protezione da minacce esterne, migliorando la resilienza operativa e riducendo i rischi di attacchi informatici.

Negli ultimi anni, anche per via delle sempre crescenti richieste normative in tema di compliance e due diligence dei propri partner commerciali, il settore della corporate intelligence appare in forte espansione: queste pratiche in effetti sono sempre più utilizzate dalle aziende per prevenire rischi commerciali e prendere decisioni informate.

Tra gli ambiti più spesso interessati da questo genere di attività appaiono, ad esempio, la raccolta e la verifica di informazioni (due diligence) su aziende in fase di acquisizione o fusione, al fine di valutare rischi e opportunità di un’operazione societaria, oppure l’intelligence sulla supply chain aziendale, utile per monitorare i rischi e le vulnerabilità della propria catena di approvvigionamento, oltre che a fini di ottimizzazione e riduzione dei costi.

Inoltre, avvalersi di questo genere di servizi consente alle aziende di proteggere la propria reputazione, in particolare:

  • evitando di intrattenere relazioni commerciali con soggetti che presentano problemi finanziari, legali o reputazionali
  • evitando di associare la propria immagine a partner coinvolti in attività illecite o controversie
  • assicurandosi che la supply chain sia composta da aziende affidabili e in grado di rispettare gli impegni commerciali assunti.

2) Business intelligence e OSINT: normativa di riferimento

Le normative potenzialmente applicabili a questa tipologia di servizi sono molteplici: pertanto, occorre che sia i fornitori che i fruitori vi prestino la necessaria attenzione, per non incorrere in problematiche di carattere legale.

Anzitutto, è bene ricordare che in Italia eseguire ricerche o raccogliere informazioni per conto di privati è possibile solo da parte di chi sia titolare di una licenza prefettizia.

L’art. 134 del T.u.l.p.s. (Testo Unico delle Leggi di Pubblica Sicurezza) vieta infatti di svolgere queste attività di “informazione commerciale”, come quelle – più note – di vigilanza, custodia e investigazione, “senza licenza del prefetto” (su questo aspetto, v. il paragrafo seguente).

Come è evidente, la natura dell’attività potrebbe investire tuttavia, di volta in volta, numerosi ulteriori profili legali, come ad esempio:

  • profili attinenti alla responsabilità civile, non solo nei confronti di chi beneficia dei servizi di business intelligence, ma anche nei confronti dei terzi, “soggetti target” delle analisi
  • aspetti privacy – a tal proposito, il Codice di Condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale approvato dal Garante Privacy italiano il 29 aprile 2021 rappresenta un utile supporto nell’interpretazione e nell’applicazione del Regolamento UE 2016/679 (GDPR) e del D.lgs. 196/2003 (Codice della Privacy), come emendato dal D.lgs. 101/2018 (su questo punto si rimanda al par. 4)
  • questioni in tema di diritto del lavoro, nel caso in cui il monitoraggio possa interessare dipendenti o lavoratori
  • temi legati all’uso di sistemi di intelligenza artificiale, sempre più diffusi anche per l’aggregazione di informazioni e per l’elaborazione di indici sintetici.

3) Business intelligence e informazione commerciale

Le attività di business intelligence si sovrappongono in parte con quelle dell’informazione commerciale.

Quest’ultima consiste nella fornitura a terzi di dati utili a valutare la situazione economica, finanziaria e patrimoniale di potenziali clienti, partner commerciali o fornitori, e a coadiuvare le aziende nella definizione delle proprie strategie di mercato e nell’adempimento di obblighi normativi, come quelli previsti in materia di antiriciclaggio.

Come già detto, in Italia l’attività di informatore commerciale può essere svolta solo da parte di chi sia titolare di una apposita licenza prefettizia, ai sensi dell’art. 134 del T.u.l.p.s.

Le previsioni di cui al T.u.l.p.s. vanno integrate e coordinate con quelle contenute nel R.D. 635 del 1940 e nel D.M. 269/2010, che disciplinano una serie di stringenti e rigorosi adempimenti richiesti all’informatore commerciale sia in sede di rilascio, sia di rinnovo della licenza, oltre che nel corso della prestazione dei servizi, per certi versi analoghi a quelli demandati a chi svolge attività di investigazione privata.

4) Il ruolo della privacy nella business intelligence e nell’OSINT

Com’è facile comprendere, un altro aspetto fondamentale nello svolgimento delle attività in parola è l’attenzione alla protezione dei dati personali. Le società che offrono servizi di business intelligence non possono non garantire che ogni processo che comporta un trattamento dei dati personali rispetti le normative in vigore.

Come cennato, il trattamento di dati nell’ambito della business intelligence e dell’OSINT si intende regolato nel dettaglio dal Codice di Condotta per il trattamento dei dati personali a fini di informazione commerciale, approvato dal Garante della Privacy il 29 aprile 2021.

Questo codice, elaborato in seno ad A.N.C.I.C. (Associazione Nazionale delle Imprese di Informazione Commerciale, cui le singole imprese del settore possono facoltativamente aderire) fornisce linee guida per l’applicazione del Regolamento UE 2016/679 (GDPR) e del D.lgs. 196/2003 (Codice della Privacy), come emendato dal D.lgs. 101/2018.

Ai sensi della normativa applicabile, pertanto, le aziende e i professionisti che svolgono attività di business intelligence e OSINT devono assicurarsi che i dati raccolti siano pertinenti, aggiornati e trattati nel rispetto delle normative sulla protezione della privacy.

Inoltre, è essenziale che i fornitori verifichino l’accuratezza delle informazioni oggetto di raccolta ed elaborazione, che provvedano a un aggiornamento costante di dati, fonti e metodologie di analisi, così da poter garantire la qualità e l’affidabilità dei dati forniti, e che trattino le informazioni rispettando i precisi criteri temporali prescritti dal Codice di condotta.

Da ultimo, è fondamentale che anche i soggetti terzi, “target” dell’analisi, siano informati sulle modalità di raccolta e utilizzo dei loro dati e che abbiano la possibilità di esercitare i propri diritti anche nei confronti dell’informatore commerciale. Per adempiere a tale obbligo, è anzitutto necessario che l’informatore commerciale pubblichi una specifica informativa sul proprio sito internet.

5) Conclusioni

In un contesto in cui la business intelligence e l’OSINT offrono opportunità strategiche e soluzioni sempre più sofisticate, è fondamentale che imprenditori e aziende adottino un approccio consapevole e conforme alle normative, per evitare problemi legali e reputazionali.

Le normative applicabili, tra l’altro, possono variare nel tempo e in base al contesto specifico. Per questo motivo, prima di fornire o di adottare strumenti e metodologie di raccolta e analisi delle informazioni, è sempre consigliabile effettuare una mappatura legale accurata e dettagliata.

Una mappatura legale può consentire all’azienda:

  • in una prima fase, di comprendere quante e quali normative risultano applicabili al suo caso, e in che termini e modalità può essere necessario implementarle
  • in seguito, di integrare le normative applicabili in modo armonico e strutturato, impattando il meno possibile sui flussi operativi già esistenti e garantendo che le operazioni vengano svolte in piena conformità, riducendo così il rischio di sanzioni o contenziosi.

Nell’era della compliance, trovare il giusto equilibrio tra innovazione e rispetto delle regole non è solo un obbligo normativo, ma un fattore determinante per poter instaurare rapporti commerciali anche con aziende di primario rilievo, enti pubblici o società a partecipazione statale.

Operare in modo conforme rappresenta, infatti, un importante criterio di selezione per accedere a quei mercati in cui viene richiesto il rispetto di determinati standard legali e operativi.

Trasparenza, sicurezza e affidabilità diventano quindi elementi distintivi, che trasformano la compliance in un vero e proprio vantaggio competitivo concreto per le aziende che intendono operare nel settore della business intelligence e dell’OSINT.

 

Avv. Ilaria Campagna e Avv. Vera Scola