La disinformazione corre veloce, ma la verifica può correre più veloce. Un workflow OSINT ben strutturato permette di validare post virali e presunti leak tecnologici con rigore e tempi ragionevoli. Servono metodo, strumenti giusti e una routine replicabile che riduca gli errori e favorisca la documentazione delle prove, dall’impronta digitale del file alla geolocalizzazione dei dettagli nelle immagini.
Questa guida pratica propone un percorso operativo completo: ricerca inversa di immagini e video, analisi dei metadata uso sistematico degli archivi e tecniche di geolocalizzazione e cronolocalizzazione. Il tutto con setup di tool open source, estensioni per il browser e piccoli automatismi che alleggeriscono il lavoro ripetitivo senza perdere controllo sul processo.
Setup degli strumenti open source essenziali
Prima del caso da analizzare, conviene predisporre una cassetta degli attrezzi. Su desktop, installare exiftool per leggere metadati di immagini, audio e PDF; ffmpeg e yt-dlp per scaricare e segmentare video; hashlib (o utility equivalenti) per calcolare hash come SHA-256; un browser moderno con estensioni dedicate. Per l’archiviazione, affidarsi a Wayback Machine e servizi di snapshot paginati, così da congelare le evidenze nel tempo e preservare URL e contenuti chiave.
Sul browser, due estensioni sono difficili da sostituire: InVID/WeVerify per ricerca inversa, estrazione di keyframe dai video e analisi rapida delle immagini; RevEye (o alternative) per lanciare una ricerca inversa su più motori in un click. Per l’automazione leggera, Automa o script headless con Selenium permettono di catturare screenshot coerenti, esportare HTML e salvare timestamp, standardizzando il dossier.
Workflow di verifica: dal primo check alla smentita
Un flusso semplice e ripetibile limita bias e perdite di tempo. Strutturarlo in fasi aiuta a mantenere traccia delle decisioni e delle fonti originali.
- Acquisizione salvare copia locale del contenuto (immagine, video, post). Calcolare l’hash del file e annotare URL, autore dichiarato, data/ora visibile.
- Conservazione creare uno snapshot con un archivio affidabile e generare uno PDF forense con screenshot a pieno schermo e intestazioni visibili.
- Discovery avviare ricerca inversa, analizzare metadati, cercare versioni precedenti via archivi/quote, individuare indicatori di manipolazione o ricontestualizzazione.
- Corroborazione geolocalizzare e cronolocalizzare usando fonti aperte indipendenti; confrontare con immagini storiche e dati meteo/astronomici.
- Esito classificare come autentico, manipolato, ricontestualizzato o non verificabile. Documentare il percorso con riferimenti e allegati.
Ricerca inversa di immagini e video
Per immagini statiche, avviare la ricerca inversa su più motori: Google, Bing, Yandex e motori specializzati. Cambiare piccole porzioni (cropping) può sbloccare corrispondenze sfuggite all’algoritmo. Cercare prima copie ad alta qualità del contenuto, poi confrontare date di indicizzazione per stimare la prima apparizione (first seen). Per i video, estrarre keyframe con InVID o ffmpeg e usarli come immagini per ampliarne la tracciabilità nei risultati.
Quando i risultati sembrano inconcludenti, uniformare l’immagine: raddrizzare la prospettiva, ridurre il rumore, riportare a colori più neutri senza alterare il contenuto informativo. Per i video, segmentare in frame ogni 2-3 secondi e lanciare ricerche batch. Una buona pratica è associare al file un percorso di verifica: un foglio di lavoro con link, esiti parziali, note su analogie visive (cartelli, skyline, segnaletica), evitando salti logici e mantenendo un audit trail coerente.
Metadata e archivi: EXIF, cronologia, versioni
I metadati EXIF possono rivelare fotocamera, software di editing e, talvolta, coordinate GPS. Con exiftool, estrarre tutto in formato testo e salvare il report. Se i metadati mancano (spesso i social li rimuovono), cercare residui nei thumbnail o in versioni caricate su piattaforme meno aggressive. Per i PDF e i documenti, analizzare campi autore, software, tempi di creazione/modifica: incongruenze tra contenuto e timestamp indicano possibile manipolazione o riciclo.
Gli archivi sono il salvagente quando i post spariscono o cambiano: Wayback per intere pagine, servizi di snapshot per URL specifici, estensioni che catturano HTML completo. Archiviare anche risorse collegate (immagini, script, CSS) consente di riprodurre l’aspetto originale. La cronologia delle versioni aiuta a capire se una didascalia è stata riscritta per cambiare il contesto. Un diff tra copie archiviate offre prove puntuali su cosa è stato alterato, quando e come.
Geolocalizzazione e cronolocalizzazione: metodi pratici
Geolocalizzare significa mappare i segnali visivi a un luogo reale. Partire da dettagli distintivi: numeri civici, negozi, stili architettonici, cartelli stradali, cablaggi, flora. Confrontare su mappe e street-level imagery, preferendo angoli e prospettive coerenti. Verificare la coerenza con elementi naturali: profilo delle montagne, curvatura di una baia, orientamento delle ombre in base all’ora ipotizzata.
Per la cronolocalizzazione, incrociare meteo storico, posizioni del sole (azimut e altezza), orari di esercizio di attività visibili, decorazioni stagionali. I cantieri sono ottimi marcatori temporali: verificare permessi e fasi di avanzamento. Integrare con banche dati di trasporti (orari, livree dei mezzi), variazioni di segnaletica e cambi recenti di viabilità, così da ottenere una finestra temporale credibile e, se possibile, un giorno specifico.
Due casi passo-passo: post virale e presunto leak tecnologico
Caso 1 — post virale. Un’immagine circola con la didascalia che attribuisce l’evento a una città diversa. Procedura: (1) scaricare l’immagine e calcolare l’hash; (2) lanciare ricerca inversa multipla: emerge una versione di due anni prima con una didascalia differente; (3) confrontare i dettagli visivi — vetrine, numeri di telefono, stile dei segnali — e mappare su cartografia; (4) archiviare tutte le versioni trovate; (5) convalidare la geolocalizzazione con street-view e foto locali coeve. Esito: ricontestualizzazione. L’immagine è autentica, ma non rappresenta ciò che sostiene il post.
Caso 2 — presunto leak tecnologico. Un documento PDF afferma l’uscita imminente di un dispositivo. Procedura: (1) estrarre metadati con exiftool il software di creazione è una suite consumer recente; (2) ispezionare i font incorporati e cercare incongruenze; (3) verificare i loghi con ricerca inversa per individuare versioni ufficiali precedenti; (4) controllare cronologia via archivi: nessuna menzione autorevole nella timeline; (5) analizzare grafica e griglia tipografica rispetto ai materiali reali dell’azienda; (6) se presenti immagini, estrarne i keyframe o i livelli incorporati e cercare sorgenti originali. Esito: alta probabilità di fake, documentata da metadati incoerenti e asset presi da vecchie brochure.
Per entrambi i casi, la standardizzazione del dossier è cruciale: un report con hash, URL, date, snapshot, diff tra versioni, mappe annotate e fonti di corroborazione consente revisione tra pari e tracciabilità. Automatizzare ciò che è ripetitivo — ad esempio script che creano cartelle, nominano file con timestamp, lanciano ricerche base e compilano un indice — libera tempo per le parti analitiche in cui l’occhio umano, supportato dai tool fa davvero la differenza.
