OSINT: molto più di una ricerca su Google
Guardando una serie investigativa (l'ennesima, lo ammetto), il detective di turno digita freneticamente sulla tastiera e nel giro di tre secondi sullo schermo appaiono nome, cognome, indirizzo, conto corrente, gruppo sanguigno e probabilmente anche la marca delle mutande del sospettato. La collega lo guarda ammirata e dice: "Come hai fatto?". Lui, senza alzare gli occhi dal monitor: "Fonti aperte".
Ecco, no. Non funziona così. Ma nemmeno lontanamente.
L'OSINT — acronimo di Open Source Intelligence — è una disciplina affascinante, potentissima e tremendamente sottovalutata. È l'arte di raccogliere, analizzare e trasformare in intelligence le informazioni che provengono da fonti aperte: tutto ciò che è pubblico, accessibile e legale. Niente infiltrazioni clandestine in stile CIA, niente cimici sotto il tavolo del ristorante e niente scene da Mission: Impossible con Tom Cruise appeso a un cavo d'acciaio. Solo informazioni che sono già lì fuori, in bella vista, che aspettano qualcuno abbastanza sveglio (o abbastanza paranoico) da metterle insieme.
Il mercato globale degli strumenti OSINT valeva circa 2,64 miliardi di dollari nel 2025 e si stima che raggiungerà i 5,72 miliardi entro il 2034[^Dati pubblicati da IntelMarketResearch nel report Open Source Intelligence OSINT Tools Market Outlook 2026-2034, consultabile su intelmarketresearch.com]. Quasi sei miliardi di dollari per strumenti che, nella loro essenza, sfruttano roba che chiunque potrebbe trovare. Il punto è che tra "potrebbe trovare" e "sa effettivamente come farlo" c'è un abisso largo quanto il Grand Canyon e profondo quanto la mia pazienza dopo l'ennesimo tentativo fallito di configurare un container Docker alle due di notte.
L'evoluzione dell'intelligence a fonti aperte
Dai ritagli di giornale ai Big Data
L'OSINT non è roba moderna. Esiste da quando esistono le informazioni pubbliche e le informazioni pubbliche esistono da quando qualcuno ha avuto la brillante idea di stampare un giornale. Durante la Seconda Guerra Mondiale, l'intelligence americana monitorava le trasmissioni radiofoniche nemiche e spulciava i quotidiani stranieri per estrarre informazioni strategiche. Era OSINT a tutti gli effetti, ma con le forbici e la colla al posto di Python e delle API. Forse un po' meno affascinante, ma dannatamente efficace.
Quello che è cambiato — e che ha cambiato tutto in modo irreversibile — è la scala del disastro. Oggi ogni essere umano con uno smartphone produce una quantità di dati pubblici che un analista degli anni cinquanta avrebbe impiegato mesi a catalogare. Post sui social network con tanto di geolocalizzazione attiva (grazie, genio), foto con metadati GPS incorporati, registri pubblici digitalizzati, documenti aziendali indicizzati per errore dai motori di ricerca (il classico "ops, non doveva essere pubblico"), profili LinkedIn aggiornati compulsivamente ogni volta che si cambia scrivania, ecc.
È come se l'intera popolazione mondiale avesse deciso spontaneamente di pubblicare il proprio dossier personale aggiornandolo in tempo reale e lamentandosi poi della "privacy violata" quando qualcuno lo legge. L'ironia non mi sfugge. Per niente.
Per chi volesse avere una panoramica strutturata degli strumenti OSINT gratuiti, l'OSINT Framework è il punto di partenza ideale. È una raccolta categorizzata e costantemente aggiornata di risorse gratuite per la ricerca da fonti aperte. Il coltellino svizzero del principiante. Non richiede registrazione, non costa nulla e non vi giudica se lo aprite alle due di notte per pura curiosità. Lo so, perché l'ho fatto.
Il profiler digitale: dove cybersecurity e criminologia si incontrano
L'investigatore moderno ragiona come un detective di Connelly
Devo fare una confessione imbarazzante: una delle ragioni principali per cui l'OSINT mi affascina così tanto è che unisce le mie due anime. Quella dell'informatico — che dopo oltre vent'anni di IT e cybersecurity ha sviluppato una deformazione professionale permanente — e quella del divoratore seriale di thriller che ha consumato ogni singolo romanzo di Michael Connelly, Lee Child e compagnia bella.
Chi ha letto Connelly sa come ragiona Harry Bosch: parte da un dettaglio che tutti hanno ignorato, tira il filo con una testardaggine patologica e ricostruisce un'intera trama che nessun altro aveva visto. L'analista OSINT fa esattamente la stessa cosa, ma al posto delle suole consumate sui marciapiedi di Los Angeles usa un browser e una manciata di strumenti digitali. Al posto del taccuino unto ha un grafo di Maltego con duecento nodi collegati. E al posto del caffè nero del chiosco all'angolo ha... ok, il caffè nero ce l'ha comunque. Quello è universale.
Il parallelo non è forzato. Le indagini da fonti aperte seguono lo stesso schema mentale di un'indagine tradizionale: ipotesi iniziale (anche solo un nome o un nickname), raccolta dei dati disponibili, incrocio delle informazioni, eliminazione dei vicoli ciechi e costruzione progressiva di un quadro coerente. La differenza è che il "terreno di caccia" è l'intero ecosistema digitale. E il "testimone" non è un tipo losco che beve birra al bancone alle tre del pomeriggio, ma è la traccia digitale involontaria che quel tipo losco si è lasciato dietro senza nemmeno rendersene conto. Perché tutti lasciano tracce. Tutti. Anche chi è convinto di non farlo — anzi, soprattutto loro.
Dopo un bel po' di anni passati a occuparmi di cybersecurity ho maturato una convinzione granitica: l'intuizione umana e la potenza di calcolo non sono in competizione. Sono alleati. L'uno senza l'altro è zoppo. Un algoritmo può scandagliare milioni di record in pochi secondi, ma serve un cervello umano per capire cosa significano quei dati. Esattamente come serve Bosch per interpretare la scena del crimine, anche se la scientifica gli ha già analizzato ogni fibra al microscopio.
La cassetta degli attrezzi dell'analista OSINT
Maltego e la visualizzazione delle relazioni sommerse
Se dovessi scegliere un solo strumento per spiegare cosa rende l'OSINT potente al punto da far venire i brividi, sceglierei Maltego[^Maltego è un software di analisi e visualizzazione di link sviluppato dalla sudafricana Paterva nel 2007. Il sito ufficiale, ricco di documentazione e risorse formative, è maltego.com] senza la minima esitazione. È il tipo di software che la prima volta che lo apri ti fa sentire contemporaneamente un genio del male e un personaggio secondario di un film di spionaggio di serie B. Poi capisci come funziona davvero e ti rendi conto che è molto meglio di qualsiasi film.
Maltego è una piattaforma di link analysis: raccoglie dati da fonti aperte e li visualizza sotto forma di grafo. In pratica, si parte da un'entità — un dominio web, un indirizzo email, un nome, un indirizzo IP, un profilo social — e si lanciano le cosiddette "Transforms", che sono interrogazioni automatizzate verso database e fonti esterne. Il risultato è un diagramma a nodi e archi che mostra le relazioni nascoste tra le varie entità. Sembra uno schema dei complottisti col filo rosso sulle foto, ma con la differenza fondamentale che funziona davvero.
Trasformare nodi e archi in prove concrete
Un esempio pratico (tranquilli, niente di illegale — ho già dato abbastanza grattacapi alla mia coscienza configurando reti altrui). Inserisco un dominio aziendale in Maltego. Lancio le Transforms. In pochi secondi ottengo: i server DNS associati, gli indirizzi IP, le email pubblicamente disponibili collegate a quel dominio, i sottodomini, i record WHOIS storici. Da ognuno di questi nodi posso espandere ulteriormente, scoprendo connessioni che a occhio nudo sarebbero invisibili come un ago in un pagliaio grande quanto Internet.
La versione Community Edition è gratuita (con limitazioni), perfetta per chi vuole sperimentare senza vendere un rene. Le versioni a pagamento offrono accesso a oltre 80 fonti dati e funzionalità di collaborazione che fanno gola a qualsiasi team investigativo serio.
Ma Maltego non è l'unico arnese nella cassetta. Eccone alcuni che meritano una menzione:
| Strumento | Tipo | Costo | A cosa serve (davvero) |
|---|---|---|---|
| Maltego CE | Analisi di link e grafi | Gratuito (limitato) | Visualizzare chi è collegato a chi (e spaventarsi) |
| SpiderFoot | Raccolta automatizzata | Gratuito (open source) | Scansione automatica di domini, IP e email |
| theHarvester | Email e sottodomini | Gratuito (incluso in Kali) | Raccogliere email e domini in un colpo solo |
| Shodan | Motore di ricerca IoT | Freemium | Trovare dispositivi esposti su Internet (e pregare che non siano i tuoi) |
| OSINT Framework | Directory di strumenti | Gratuito | Orientarsi senza perdersi |
Metadati, Google Dorking e le tracce che nessuno cancella
Le impronte digitali involontarie
E qui arriviamo alla parte che trovo contemporaneamente affascinante e raccapricciante. Ogni file digitale che creiamo, ogni foto che scattiamo e ogni documento che pubblichiamo contiene una serie di metadati che la stragrande maggioranza delle persone ignora con la stessa spensieratezza con cui ignora i termini e condizioni di qualsiasi servizio online. Sono le impronte digitali involontarie: informazioni nascoste dentro i file che raccontano molto più del contenuto visibile.
Una foto scattata con lo smartphone? Contiene (potenzialmente) le coordinate GPS esatte del luogo in cui è stata scattata, il modello del dispositivo, la data, l'ora e a volte perfino il nome del proprietario del telefono. Quel selfie con il tramonto romantico postato su Instagram? Congratulazioni, hai appena comunicato al mondo la tua posizione precisa, il modello del tuo telefono e — indirettamente — che non sei a casa. I ladri ringraziano sentitamente.
Un documento Word o PDF? Può contenere il nome dell'autore, la cronologia delle modifiche, il software utilizzato per crearlo e i commenti nascosti lasciati durante la revisione. Ho visto casi in cui documenti "anonimi" pubblicati online contenevano nei metadati il nome e cognome della persona che li aveva redatti. Così tanto per l'anonimato.
E poi c'è il Google Dorking — anche detto Google Hacking, ma il primo nome suona decisamente più divertente (e meno illegale). Si tratta di una tecnica che utilizza gli operatori di ricerca avanzati di Google per trovare informazioni che con una ricerca normale non emergerebbero mai[^Il termine "Google Dorking" deriva dai "Google Dorks", operatori avanzati documentati nel Google Hacking Database (GHDB). Una guida dettagliata è su Imperva]. Non è niente di illegale — sono funzionalità native del motore di ricerca — ma il risultato può essere talmente efficace da far venire la paranoia.
Qualche assaggio? Digitando filetype:xlsx "budget 2024" su Google si possono scovare fogli di calcolo con dati di budget caricati per errore su server pubblici. Con intitle:"index of" password si trovano directory di server lasciate spalancate con file pieni di credenziali. Con site:esempio.com inurl:admin si identificano i pannelli di amministrazione esposti. Tutto lecito. Tutto disponibile. Tutto terrificante se pensate a quante aziende non hanno la minima idea di cosa sia indicizzato sui loro server.
Il Google Dorking è perfettamente legale finché ci si limita a utilizzare gli operatori per trovare ciò che è già pubblico. Diventa un problema serio quando si tenta di accedere a risorse protette scoperte con queste ricerche. Come ripeto da anni a chiunque mi ascolti: "il fatto che la porta sia aperta non significa che tu abbia il permesso di entrare". L'articolo 615-ter del codice penale (accesso abusivo a sistema informatico) non fa sconti a nessuno, indipendentemente da quanto fossi convinto di "stare solo curiosando". La mia regola personale è semplice e non ammette eccezioni: guarda pure, ma non toccare.
Quando l'OSINT risolve i casi veri
Da Bellingcat alle indagini su persone scomparse
Casi reali in cui le fonti aperte hanno fatto la differenza
Fino a qui potrebbe sembrare tutto molto teorico — roba da smanettoni con troppo tempo libero e una preoccupante dipendenza dalla caffeina. Ma l'OSINT ha dimostrato più volte di poter fare la differenza in casi drammaticamente reali. E il nome che bisogna conoscere, prima di tutti gli altri, è uno solo: Bellingcat[^Bellingcat è un collettivo olandese di giornalismo investigativo fondato nel 2014 dal giornalista britannico Eliot Higgins. Il sito ufficiale, ricco di guide e risorse OSINT, è bellingcat.com].
La storia di Eliot Higgins sembra inventata per un film (e infatti un film l'hanno fatto davvero[^Bellingcat: Truth in a Post-Truth World (2018)]). Un blogger britannico senza nessuna formazione giornalistica, seduto sul divano di casa sua, inizia ad analizzare i video del conflitto siriano utilizzando esclusivamente fonti aperte. Confronta filmati amatoriali con immagini satellitari, geolocalizza le riprese, analizza i dettagli delle armi visibili nei video e riesce a dimostrare che il regime siriano stava usando armi chimiche e munizioni a grappolo contro i civili. Dal divano. Con un laptop e una connessione Internet. Mentre le agenzie di intelligence con budget miliardari stavano ancora "valutando la situazione". Prego, lasciatemi godere l'ironia per qualche secondo.
Da lì in poi è stata una valanga. L'indagine più clamorosa? L'abbattimento del volo MH17 della Malaysia Airlines, precipitato sull'Ucraina orientale nel luglio 2014. Bellingcat — analizzando post sui social media, foto geolocalizzate e immagini satellitari — concluse che l'aereo era stato abbattuto da un missile Buk di fabbricazione russa. Conclusione raggiunta esclusivamente tramite fonti aperte e successivamente confermata dalla commissione d'inchiesta internazionale guidata dai Paesi Bassi. Un gruppo di volontari con un browser aveva battuto sul tempo un'indagine ufficiale costata milioni di euro. Se non è poesia investigativa questa...
Ma non finisce qui — e la lista è impressionante. Nel 2020, in collaborazione con The Insider, CNN e Der Spiegel, Bellingcat ha ricostruito l'intera operazione di avvelenamento di Alexei Navalny identificando gli agenti dei servizi russi coinvolti. Come? Analizzando registri di viaggio, metadati telefonici e database trapelati. In Etiopia, durante la guerra del Tigrai, hanno geolocalizzato esecuzioni sommarie analizzando le ombre nei video e confrontando le caratteristiche del terreno con Google Earth. Per trovare la posizione esatta del massacro nel villaggio di Mahbere Dego hanno usato PeakVisor — un'app nata per gli escursionisti di montagna. Sul serio.
E recentemente hanno tracciato il commercio illecito di grano dalle zone occupate della Crimea usando i dati di tracciamento navale e le immagini satellitari per seguire il percorso della nave Zafar. Tutto con strumenti gratuiti o quasi. Tutto verificabile. Tutto aperto.
Se questa roba non fa venire la pelle d'oca, probabilmente avete il sangue freddo di un agente del MI6. O semplicemente non avete capito la portata della faccenda.
Il "metodo Bosch" applicato ai dati digitali
Intuizione umana e potenza di calcolo: alleati, non rivali
Torno a Bosch — e a Connelly — perché il parallelo è irresistibile e nessuno mi può impedire di parlare dei miei romanzi preferiti sul mio blog. Harry Bosch ha un mantra famoso: "Everybody counts or nobody counts". Ogni vittima merita la stessa attenzione, ogni dettaglio conta. L'analista OSINT lavora con la stessa filosofia: ogni dato è potenzialmente il pezzo mancante del puzzle, ogni connessione può essere la chiave.
Ma c'è una differenza enorme. Bosch ha l'intuito affinatissimo, ma lavora con una quantità di informazioni che un cervello umano riesce a gestire. L'analista OSINT si trova davanti a una mole di dati che nessun essere umano potrebbe processare manualmente nemmeno in mille vite. Qui entra in gioco la tecnologia: Maltego, SpiderFoot, Shodan[^Shodan è un motore di ricerca per dispositivi connessi a Internet (IoT, server, webcam, sistemi SCADA). Il sito ufficiale è shodan.io] automatizzano raccolta e correlazione dei dati, restituendo all'analista un quadro già parzialmente ordinato su cui esercitare il pensiero critico.
L'IA sta accelerando tutto ulteriormente. Analisi del sentimento, riconoscimento di pattern in dataset sterminati, elaborazione del linguaggio naturale multilingue — cose che cinque anni fa erano fantascienza oggi sono funzionalità integrate negli strumenti di lavoro. Maltego stesso ha implementato l'analisi del sentimento basata su IA per il monitoraggio in tempo reale. Ma — e questo "ma" è grande come il palazzo della NSA a Fort Meade —la macchina resta uno strumento. Chi decide cosa cercare, perché cercarlo e cosa significano i risultati è sempre e solo l'essere umano. L'IA è il Watson di Sherlock Holmes: fondamentale, ma se non c'è Holmes a interpretare i dati, Watson si limita a prendere appunti.
Bellingcat ha pubblicato un pezzo illuminante intitolato "OSHIT: Seven Deadly Sins of Bad Open Source Research" (sì, il titolo è un gioco di parole geniale tra OSINT e una parolaccia) in cui elenca gli errori più comuni degli analisti improvvisati. Tra i migliori: confondere le nuvole nelle immagini satellitari con i crateri di un bombardamento (è successo davvero), scambiare un palloncino per un UFO nei filmati di un drone e trarre conclusioni definitive basandosi su strumenti che non si è capito come funzionano. Lettura obbligatoria per chiunque pensi di buttarsi nel mondo dell'OSINT.
Etica, legge e confini dell'indagine digitale
Cosa può (e cosa non può) fare un cittadino curioso
Eccoci al punto dolente. Quello che separa l'appassionato responsabile dal tizio che finisce nei guai. Perché l'OSINT è affascinante e potentissima, ma se usata male può trasformarsi in un incubo sia per chi la pratica sia per chi ne è oggetto. Il concetto fondamentale — e lo ripeterò fino alla nausea — è che il fatto che un'informazione sia pubblica non significa automaticamente che il suo utilizzo sia legale o etico.
Il primo principio è semplice nella teoria e contorto nella pratica: pubblicazione non equivale a consenso. Il fatto che qualcuno abbia postato una foto su Instagram non significa che quella foto possa essere raccolta, archiviata, profilata e incrociata con altri dati per finalità che l'interessato non ha mai nemmeno lontanamente immaginato. Non lo dico io — lo dice il Garante della Privacy e lo ribadisce il GDPR ogni volta che qualcuno prova a fare il furbo. Spoiler: ci provano in tanti, la beccano in parecchi.
La normativa italiana sulla raccolta dati open source
In Italia il quadro normativo è particolarmente stringente — e per certi versi anche un po' labirintico, ma questa è una caratteristica del diritto italiano che ormai accettiamo con la stessa rassegnazione con cui accettiamo il traffico stradale.
Il GDPR si applica anche ai dati pubblici. Questo è il punto che metà del pianeta sottovaluta (e l'altra metà finge di non capire). L'articolo 6 del Regolamento UE 2016/679 stabilisce che ogni trattamento di dati personali necessita di una base giuridica valida. Il fatto che il dato giri liberamente su Internet non costituisce automaticamente un via libera per qualsiasi utilizzo[^La Cassazione Civile, Sez. I, sent. n. 1608/2021, ha chiarito che le informazioni pubblicamente accessibili rientrano nell'ambito del GDPR e che la loro raccolta sistematica a fini di profilazione richiede una base giuridica adeguata]. Il GDPR impone anche il principio di minimizzazione: raccogli solo ciò che ti serve per la finalità dichiarata e niente di più. Tradotto in italiano corrente: niente pesca a strascico.
Poi c'è la questione della licenza investigativa. In Italia la raccolta e l'analisi di informazioni per conto terzi — anche da fonti aperte — è disciplinata dall'articolo 134 del TULPS e richiede una licenza prefettizia[^Il quadro normativo è approfondito su Difesa Online e in un contributo dell'avvocato Paolo Palmieri su CyberLaws.it]. In soldoni: se raccolgo informazioni OSINT per curiosità personale o per studio, mi muovo in un'area generalmente lecita (rispettando il GDPR e senza accedere a roba protetta). Se lo faccio per cederle a qualcuno o per conto di un committente, senza la licenza, commetto un reato. Il confine è sottilissimo e scivoloso come un pavimento appena cerato.
| Principio | Traduzione pratica |
|---|---|
| Liceità della fonte | Solo fonti genuinamente pubbliche. Niente forzature |
| Minimizzazione | Prendi solo ciò che ti serve. Non fare l'accumulatore seriale |
| Proporzionalità | L'indagine deve essere proporzionata allo scopo |
| Limitazione temporale | Finita l'analisi, cancelli i dati. Non li tieni "per dopo" |
| Divieto di sorveglianza | L'OSINT non può diventare stalking digitale. Mai |
La regola aurea resta una: cercare ciò che è pubblico è lecito. Tentare di accedere a ciò che è protetto è un reato. L'articolo 615-ter del codice penale non ha senso dell'umorismo, non accetta scuse creative e non fa distinzione tra "stavo solo curiosando" e "avevo intenzioni criminali". Ci si fa male sul serio.
Il futuro delle indagini digitali
L'impatto dell'IA generativa sull'OSINT
Verso un investigatore aumentato
L'intelligenza artificiale generativa sta cambiando le regole del gioco in modo profondo e — devo ammetterlo — un po' inquietante anche per chi con la tecnologia ci lavora da anni. Da un lato, gli strumenti di IA permettono di analizzare montagne di dati testuali in più lingue, identificare pattern che un umano non vedrebbe mai e automatizzare processi che prima richiedevano ore di lavoro manuale ripetitivo (quello che in gergo tecnico si chiama "lavoro noioso che nessuno vuole fare").
Dall'altro lato c'è un problema enorme con il nome e cognome di deepfake. Se fino a ieri una foto era una prova ragionevolmente affidabile della realtà, oggi un'immagine generata dall'IA può essere praticamente indistinguibile da una vera. L'analista OSINT del futuro non dovrà solo trovare le informazioni, ma dovrà anche verificare che siano autentiche e non fabbricate da qualche modello generativo con le allucinazioni. Come ha avvertito il team di Bellingcat: la distinzione tra contenuti autentici e fabbricati diventerà progressivamente più complessa[^L'impatto dell'IA sull'OSINT è discusso dall'International Center for Journalists (ICFJ), con interviste ai ricercatori di Bellingcat sulle sfide future del settore].
Il paradosso è comico nella sua crudeltà: la stessa tecnologia che rende l'OSINT più potente rende anche più facile produrre disinformazione contro cui l'OSINT deve lottare. È il gatto che si morde la coda, ma con l'IA al posto dei denti e un budget praticamente illimitato.
Guardando avanti, l'OSINT evolverà verso un modello di "investigatore aumentato": un analista umano potenziato da strumenti di IA che amplificano le sue capacità senza sostituire il suo giudizio critico. Un po' come Iron Man con la sua armatura: la tecnologia potenzia l'uomo, ma è l'uomo a decidere dove andare e cosa fare. Sì, sono passato da Connelly alla Marvel in poche righe, ma dopo vent'anni di informatica mi prendo queste libertà.
Nel 2022 Bellingcat e il Global Legal Action Network (GLAN) hanno fondato la Justice & Accountability Unit, con l'obiettivo di rendere le prove raccolte tramite OSINT ammissibili nei procedimenti penali internazionali, in particolare per i crimini di guerra in Ucraina. È una frontiera ancora in evoluzione, ma potrebbe cambiare radicalmente il modo in cui la giustizia internazionale raccoglie le prove. Approfondimento interessantissimo sul tema: l'intervista a George Katz, investigatore OSINT di Bellingcat, pubblicata dall'Institute for War and Peace Reporting.
Conclusioni (ovvero: punto di partenza)
L'OSINT non è un giocattolo da nerd annoiato, ma non è nemmeno un'arma segreta riservata ai servizi segreti con le valigette diplomatiche. È uno strumento potente, accessibile e — se usato con un minimo di sale in zucca — straordinariamente utile. Che si tratti di verificare una notizia sospetta prima di condividerla come un invasato su WhatsApp, di controllare quali informazioni personali sono esposte in rete (spoiler: probabilmente troppe) o semplicemente di soddisfare quella curiosità investigativa che ti viene dopo l'ennesimo romanzo di Connelly, le competenze OSINT sono diventate una sorta di alfabetizzazione digitale avanzata.
La lezione più importante? Non sta nel padroneggiare gli strumenti — quelli si imparano. Sta nel pensiero critico: saper distinguere il segnale dal rumore, verificare prima di concludere, incrociare le fonti e soprattutto conoscere quei benedetti confini etici e legali oltre i quali la curiosità smette di essere una virtù e diventa un problema penale.
Come direbbe Bosch: "Segui le prove, ovunque ti portino". Ma con un'aggiunta che Harry probabilmente non apprezzerebbe: segui le prove, certo, ma assicurati che il sentiero sia legale. Perché l'articolo 615-ter del codice penale, a differenza tua, non sta scherzando.