ATTO 4: Sicurezza Operativa (OPSEC)
La vera sicurezza non è un tool. È disciplina. È il modo in cui ti comporti, pensi, interagisci con la macchina e con il mondo. Puoi usare Tor, cifrare il disco, isolare ogni app, ma se mischi le identità, se usi sempre lo stesso orario, se ripeti gli stessi errori, tutto il tuo castello crolla. L’anonimato è fragile. E il primo nemico sei tu.
🧱 La compartimentazione: vivere in comparti stagni
Il fondamento dell’OPSEC è semplice: dividere tutto. Ogni identità digitale che usi deve esistere in un ambiente separato. Una macchina virtuale, un sistema live, un container. Non puoi navigare con il tuo profilo secondario su YouTube mentre in background è aperta la tua casella Gmail reale. Mai mischiare. Mai accavallare. Mai “tanto è veloce”. Ogni identità: un browser, una VPN, una lingua, un fuso orario. Anche lo stile di scrittura deve cambiare.
Se usi Tor per un profilo anonimo, non aprire Telegram o Discord nello stesso sistema. Se scarichi documenti da un alias, non aprirli mai nel sistema reale. Se gestisci account separati, devono vivere in sistemi isolati, idealmente in VM dedicate o su sistemi Tails/Qubes/TorBox. La compartimentazione non è paranoia. È igiene digitale.
🧠 Ogni identità è un personaggio. E tu sei l’attore
Una vera identità anonima non è solo un nome falso. È un comportamento coerente. Scrive in un certo modo, naviga a certe ore, legge certi siti, reagisce con un certo tono. Se stai impersonando un attivista francese, non puoi scrivere con la punteggiatura italiana. Se hai creato un profilo Twitter americano, non puoi usare lo stesso sarcasmo che usi nel tuo account reale. I tuoi pattern ti tradiscono. Sempre.
Chi lavora nel tracciamento (e chi fa OSINT professionale) non cerca nomi. Cerca abitudini, linguaggi, schemi di comportamento. Se ti colleghi sempre tra le 23:30 e le 00:10, se scrivi sempre con tre puntini e le stesse abbreviazioni, stai lasciando tracce. Non servono cookie o JavaScript: sei tu a essere il tracciante.
⏱ Tempo, fuso orario, abitudini: il tuo orologio ti tradisce
Chi lavora in sicurezza lo sa: il tempo è un fingerprint. Se ti connetti sempre alla stessa ora, dallo stesso luogo, con la stessa durata, il tuo pattern diventa identificabile. Anche il fuso orario del sistema operativo, quello del browser, e l’orologio del file system possono rivelare da dove agisci. Per essere coerente, devi far finta di vivere altrove. Usa sistemi con fusi orari modificati, cambia lingua del browser, usa tastiere virtuali diverse. Se vuoi sembrare qualcun altro, non basta cambiare IP. Devi cambiare orario, ritmo, abitudini.
🧼 Logging, cronologia, residui: la spazzatura che ti incastra
Ogni comando che esegui, ogni file che apri, ogni download che effettui lascia un segno. Il terminale salva la cronologia. Il browser salva cache, cookie, fingerprint. I documenti salvano metadati. La RAM conserva chiavi di cifratura. La sicurezza operativa significa pulizia continua. Ogni sessione deve essere effimera. Quando finisci, chiudi tutto, azzeri, e riparti da zero.
Usa sistemi live o VM “usa e getta”. Cancella la shell history con `history -c && history -w`. Disabilita i file recenti. Disinstalla ciò che non usi. Cripta tutto il resto. Non lasciare nulla che possa raccontare chi sei o cosa hai fatto.
💥 L’errore umano: il colpo di grazia
Il problema non è il tool. Sei tu. Una copia incolla tra identità. Un accesso con l’account sbagliato. Un file aperto nella macchina sbagliata. L’errore umano è l’unico vero attacco zero-day che non si può patchare. Per questo l’OPSEC è disciplina. Una serie di abitudini rigide. Un rituale quotidiano.
Nessuno può essere perfetto. Ma puoi essere coerente. Non esiste sicurezza senza metodo. E il metodo nasce dalla ripetizione. Se vuoi restare invisibile, devi comportarti come se lo fossi. Sempre.
📡 Comunicazione indipendente: quando staccano la spina
Non puoi contare per sempre su internet, telefonia, o piattaforme centralizzate. In uno scenario di blackout digitale – causato da censura, guerra, disastri naturali o repressione – ciò che rimane è ciò che è tuo. La vera resilienza nasce dalla capacità di comunicare anche quando “staccano la spina”.
Sistemi come le radio CB, le HAM VHF/UHF e le HF a lunga distanza sono ancora oggi strumenti affidabili per mantenere una rete di contatto decentralizzata, punto-punto, fuori dalla rete internet. Una radio amatoriale ti collega a migliaia di operatori nel mondo. Ma esistono anche alternative meno professionali: PMR446, LoRa Mesh, ricetrasmettitori digitali open-source, dispositivi basati su Software Defined Radio (SDR) come HackRF o RTL-SDR.
Un vantaggio sottovalutato delle radio analogiche è la loro natura intrinsecamente anonima. Non c'è autenticazione, non c'è logging, non ci sono metadati: la trasmissione è effimera, volatile, non associata a un'identità. Tuttavia, il contenuto è pubblico: chiunque si trovi sulla stessa frequenza può ascoltarlo. Questo significa che sei invisibile, ma non segreto. L'anonimato è massimo, la privacy minima. È un modello in cui devi parlare poco, usare codici, evitare nomi, non dire mai tutto. Il silenzio, spesso, è il messaggio più sicuro.
Saper costruire reti mesh locali (LoRa, ESP32, RNode) significa avere un'infrastruttura autonoma per trasmettere messaggi, coordinate, ordini. Non è fantascienza. È pratica concreta: puoi messaggiare in una città anche senza rete cellulare, grazie a mesh a pacchetti P2P offline come Briar, Meshtastic o Serval Project.
Se stai leggendo questa pagina da una rete Wi-Fi captive portal che hai trovato in città – senza internet, senza SIM, senza provider – allora stai vedendo la prova concreta di tutto ciò. Questo sito non vive su un server remoto, ma su un trasmettitore locale. Sta funzionando perché io sto trasmettendo e sono nelle tue vicinanze. Finché avrò elettricità, o una batteria per alimentarlo, potrai continuare a leggere. Nessun DNS. Nessun ISP. Nessun cloud. Solo onde radio, hardware locale, e volontà.
L'indipendenza digitale non è solo una scelta ideologica: è sopravvivenza operativa. Se un giorno tutto tace, la tua voce potrà ancora viaggiare – se avrai preparato gli strumenti giusti, imparato a usarli e li avrai tenuti lontani da occhi (e segnali) indiscreti.
🎯 Non sei anonimo finché non sei separato
L’anonimato non è uno stato. È una pratica continua. Puoi usare Tor e VPN quanto vuoi, ma se navighi con lo stesso stile, agli stessi orari, dallo stesso PC dove leggi la mail del lavoro, non sei anonimo. Sei solo illuso.
La vera sicurezza operativa è separazione. Separare i mondi, separare le abitudini, separare le identità. È pensiero strategico, pazienza, silenzio. L’OPSEC non ti rende invisibile. Ti rende imprendibile.
Di seguito trovi due guide operative: una è la storica Jolly Roger, un compendio ancora attualissimo ricco di tecniche e riferimenti; l’altra è una guida moderna sull’OPSEC estratta da Hacktown, un tempo reperibile sul deep web e oggi offline — la ripubblico qui per chi non ha fatto in tempo a salvarla.
📄 1B - Jolly Roger (Guida storica)
📄 1A - OPSEC (estratto Hacktown)