Consuleria è una società specializzata in digital forensics, protezione dei dati e security testing autorizzato. Operiamo con metodo probatorio e documentato, affinché ogni attività risulti tecnicamente verificabile e giuridicamente difendibile.
Supportiamo Pubbliche Amministrazioni, enti e imprese in programmi di sicurezza e conformità misurabili, allineati a standard internazionali (ISO/IEC, NIST, ENISA), con particolare attenzione a GDPR, NIS2 e contesti regolati. Gli output includono evidenze riproducibili, raccomandazioni prioritizzate e piani di remediation con retest.
Servizi professionali erogati solo su incarico scritto e strumenti tecnici reali, costruiti da noi e in uso nei nostri ingaggi. Niente promesse: ogni voce qui sotto è già attiva sul sito o disponibile a contratto.
Acquisizioni forensi bit-a-bit con write-blocker e hash SHA-256/512, analisi Android/iOS (BFU/AFU, APFS/Keychain/Keystore) e timeline multiorigine. Catena di custodia e verbali pronti per il giudizio.
Governance del dato su Reg. (UE) 2016/679: accountability, privacy by design, registro dei trattamenti, DPIA (art. 35), gestione data breach e trasferimenti extra-UE (SCC/DTIA). DPO esterno su incarico.
Penetration Test e Vulnerability Assessment su web/API, mobile, infrastrutture e cloud. Scoring CVSS 3.1/4.0, mappatura ISO 27001 e NIS2, report executive + tecnico, remediation plan e retest. Solo previo incarico scritto.
Threat-intel, ICS/OT, tabletop e red/blue teaming, business continuity. TSCM (sweep RF su asset nella disponibilità del Cliente) e hardening delle comunicazioni. Nessuna vigilanza/custodia fisica né investigazioni private (TULPS): demandate a operatori terzi autorizzati.
Traduciamo la Direttiva (UE) 2022/2555 in controlli misurabili: gestione incidenti, supply-chain, business continuity, vulnerability management, access management — ognuno legato a evidenze verificabili e deliverable firmati per l'audit.
Livello di deception passivo che raccoglie telemetria con PII sempre hashate, catena di hash + HMAC e attestazioni firmate verificabili offline. Mappa i controlli tecnici a NIS2 (art. 20–23) e ISO/IEC 27001 Annex A — evidence pack per audit, PA e CERT/CSIRT.
Catalogo curato di fonti pubbliche verificate (AIS marittimo, ADS-B, BGP/routing, internet outages, telecom, threat-intel). Ricerca live, categorie, preferiti e apertura batch — tutto locale, senza tracker.
Condividi password, OTP e note cifrate lato browser, con autodistruzione dopo la lettura o alla scadenza. Il server non vede mai il contenuto in chiaro. Senza account.
Risposte rapide su normative e incident response da una base di conoscenza curata dagli esperti (non un LLM in tempo reale), con i riferimenti. Funziona offline, senza tracker.
Percorsi a 10 step verificati lato server, senza contenuti offensivi: metodologia, catena di custodia, triage, evidenze e reporting. Dimostrano le nostre capacità in modo sicuro ed educativo.
Quadro operativo del Regolamento UE sull'IA per sistemi ad alto rischio: governance, dataset, sicurezza by design, trasparenza, logging. Integrato con NIS2 e GDPR.
Formazione modulare al personale con casi reali, quiz di verifica e percorsi forensics, a partire dai nostri laboratori. Pacchetto da confermare con il titolare.
Scrivici cifrando il messaggio nel browser contro la nostra chiave pubblica. Da attivare: la chiave pubblica reale deve ancora essere pubblicata dal titolare.
Sezioni separate e non invasive, pensate per dimostrare postura difensiva, metodologia e simulazioni controllate. Nessuna modifica alle meccaniche core del sito: questi moduli vivono “a lato”.
Ambiente dimostrativo controllato, progettato per illustrare metodologia, regole d’ingaggio e indicatori difensivi osservabili, senza esposizione di sistemi reali o dati operativi.
Laboratorio orientato alla forensic readiness: catena di custodia, ripetibilità, standard di riferimento e output idonei a audit e contesti regolati.
Percorso CTF a livelli in modalità “decoy”, progettato per engagement tecnico e verifica di competenze senza esporre componenti core o superfici reali del sito.
Sfide controllate per toccare con mano metodologia e mentalità offensiva/difensiva. Ambienti isolati, decoy e a punti: zero rischio per i sistemi reali, massima curiosità.
Un percorso a livelli con flag da catturare: crittografia, web, logica. Pensato per imparare divertendosi, in modalità decoy.
Simulazione dimostrativa di attacco: metodologia, kill-chain e indicatori difensivi osservabili, senza esporre sistemi o dati reali.
Indaga artefatti e ricostruisci la timeline: catena di custodia, ripetibilità e output idonei ad audit. La parte investigativa del mestiere.
Suggerimento: premi Ctrl/⌘+K e cerca “Labs” per saltare qui in un attimo.
Questa sezione mostra (lato client) principali parametri tecnici del browser e del dispositivo a fini dimostrativi e di trasparenza. I dati vengono visualizzati localmente e non sono utilizzati per profilazione o marketing. In modalità “Privacy mode” vengono mascherati i campi più sensibili e vengono disabilitate le chiamate di rete non essenziali.
Se il backend espone un endpoint dedicato (es. /api/ip.php), qui vengono mostrati IP pubblico e metadati ASN/ORG. In Privacy mode tali informazioni vengono mascherate.
Il rilevamento esteso aggiunge dettagli che possono aumentare l’unicità del profilo tecnico (es. WebGL renderer, stati dei permessi). Per impostazione predefinita è disattivo e viene abilitato solo tramite azione esplicita dell’utente.
Niente account, niente tracker. Tre strumenti reali per scambiare informazioni in modo cifrato e investigare fonti aperte — gli stessi che usiamo nei nostri ingaggi.
Note cifrate lato browser che si autodistruggono dopo la lettura o alla scadenza. Il server non vede mai il contenuto in chiaro.
Scrivici in modo cifrato end-to-end. Scarica e verifica la nostra chiave pubblica, poi invia segnalazioni o dati sensibili senza che terzi possano leggerli.
Modulo dimostrativo che raccoglie ed elabora segnali da fonti pubbliche in tempo reale, con piena trasparenza su cosa viene letto e perché.
Conduciamo acquisizioni forensi secondo ISO/IEC 27037/27041/27042/27043 ed ENISA, utilizzando write‑blocker hardware, imaging bit‑a‑bit e calcolo di hash SHA‑256/512 per garantire integrità e verificabilità. Le analisi coprono filesystem, registri, artefatti applicativi e cronologie di rete, con timeline multiorigine e correlazioni evento‑evento.
Nel dominio mobile (Android/iOS) operiamo in scenari BFU/AFU, analizzando APFS, Keychain, Keystore, backup e applicazioni cloud; estraiamo artefatti di messaggistica, navigazione, geolocalizzazione e sensori. Effettuiamo validation e cross‑tool verification, documentando le limitazioni metodologiche e l’incertezza residua.
Quadro probatorio e giuridico: catena di custodia completa e verbali tecnici; acquisizioni e analisi svolte esclusivamente su incarico e in presenza di legittima disponibilità/consenso del titolare o di idoneo titolo autorizzativo, nel rispetto delle norme applicabili. Trattamento dati conforme al GDPR (artt. 5, 25, 32) e alla Convenzione di Budapest; conservazione e protezione delle evidenze secondo best practice.
Disegniamo sistemi di governo del dato conformi a Reg. (UE) 2016/679 e D.lgs. 196/2003, con attenzione a accountability (art. 24), privacy by design/default (art. 25), registri dei trattamenti (art. 30), sicurezza (art. 32), gestione dei data breach (artt. 33–34) e valutazioni d’impatto (art. 35) con eventuale consultazione preventiva (art. 36).
Gestiamo vendor e trasferimenti internazionali ai sensi dell’art. 28 e del capo V (artt. 44–49) mediante SCC e DTIA, affrontando rischi di giurisdizione e accesso da parte di autorità estere. Introduciamo logging firmato, segregazione dei ruoli, minimizzazione, policy di retention e formazione periodica. Il tutto è accompagnato da indicatori misurabili e verificabili in audit.
Eroghiamo Penetration Test e Vulnerability Assessment su web/API, mobile, infrastrutture e cloud secondo NIST SP 800‑115 e OWASP Testing Guide/ASVS. Classifichiamo i risultati con CVSS 3.1/4.0, mappiamo le tecniche a MITRE ATT&CK, e correliamo gli esiti agli obiettivi di controllo ISO/IEC 27001 e agli obblighi NIS2 per soggetti essenziali e importanti.
I deliverable comprendono executive report con heatmap rischi e priorità, technical report con PoC riproducibili, query e comandi, nonché un remediation plan con effort stimati, dipendenze e impatti. È incluso il retest a chiusura per attestare l’efficacia delle correzioni e consolidare le evidenze utili in audit e in sede ispettiva.
Regole di ingaggio: le attività di security testing sono svolte esclusivamente previo incarico scritto, con perimetro, finestre operative, limitazioni e punti di contatto concordati; ogni attività fuori scope è esclusa.
Supportiamo PA/Difesa e aziende in settori sensibili con attività di threat‑intel, preparazione ICS/OT, esercitazioni tabletop e red/blue teaming, integrazione con processi di business continuity. L’allineamento avviene a NIS2 e alle linee guida ENISA, oltre che ai riferimenti ACN e, ove applicabile, al Perimetro di Sicurezza Nazionale Cibernetica.
Per executive e target ad alto profilo eroghiamo attività di consulenza tecnica e prevenzione: TSCM (ispezioni RF e sweep ambientali su spazi e asset nella disponibilità del Cliente), hardening delle comunicazioni, policy di viaggio e sicurezza dei dispositivi mobili, valutazioni di esposizione e procedure operative. Garantiamo conformità privacy e tracciabilità delle evidenze raccolte.
Perimetro e qualificazione del servizio: Consuleria non eroga servizi di vigilanza/custodia o protezione fisica riservati a soggetti autorizzati, né svolge investigazioni private soggette a licenza prefettizia. Ove richiesti, tali servizi sono demandati a operatori terzi debitamente autorizzati. Ogni attività è svolta su incarico scritto, con consenso/legittima disponibilità degli ambienti e nel rispetto delle norme applicabili.
Una domanda veloce su normative o incident response? Il nostro assistente cerca tra risposte curate dagli esperti e mostra i riferimenti. Prova uno spunto:
Assistente guidato (beta) — base di conoscenza curata, non un LLM in tempo reale. Upgrade LLM live su richiesta.Implementiamo la Direttiva (UE) 2022/2555 traducendo i requisiti in controlli misurabili: responsabilità del management, gestione vulnerabilità, logging e monitoraggio, gestione incidenti, supply‑chain security, cifratura, access management e business continuity. Ogni controllo è legato a evidenze verificabili e a deliverable firmati.
Esempio: Vulnerability Management → ticket/log → Report PT/VA e retest → percentuale chiusura High/Critical e tempo medio di risoluzione. La matrice requisito→evidenza→deliverable→metrica è fornita nel pacchetto di audit.
Descriviamo metodologie e limiti: estrazioni logiche/fisiche, analisi di APFS/Keychain/Keystore, ricostruzione delle timeline, carving di contenuti cancellati, correlazioni multi‑device e verifiche di consistenza. Trattiamo i profili giuridici (artt. 247, 254‑bis, 352, 354, 259 c.p.p.) e i vincoli privacy (artt. 5 e 32 GDPR), con attenzione alla minimizzazione e alla conservazione probatoria.
I report sono pensati per l’uso in dibattimento: chiarezza espositiva, ripetibilità delle operazioni, separazione metodologica tra acquisizione e analisi, allegati tecnici e indici delle evidenze con calcolo degli hash.
Offriamo un quadro operativo dei requisiti del Regolamento europeo sull’IA per sistemi ad alto rischio: governance, gestione dei dataset (qualità, bias, licenze), sicurezza by design (minacce al modello e alla supply‑chain), trasparenza, registrazione degli eventi e controllo degli accessi. Integriamo gli adempimenti con NIS2 e GDPR per una postura coerente.
Forniamo check‑list di conformità, esempi di registri, modelli di policy e linee guida per audit periodici, includendo processi di validazione, monitoraggio post‑market e gestione delle vulnerabilità specifiche dei modelli.
| Requisito NIS2 | Evidenza | Deliverable (es.) |
|---|---|---|
| Gestione incidenti | Runbook, ticket, log correlati | Piano IR firmato, verbale esercitazione |
| Supply‑chain | DPA/contratti, SBOM, policy vendor risk | Report valutazione fornitori |
| Business continuity | Test restore, RTO/RPO evidenza | Verbale esercitazione BCDR |
| Gestione vulnerabilità | Scanner, ticketing, changelog | Report PT/VA con retest |
| Access management | IAM, registri privilegi | Policy e verifiche periodiche |
Valutazione di oltre 60 asset su ambienti ibridi, con 120 evidenze classificate e piano di remediation guidato. Riduzione del rischio High/Critical del 65% in 30 giorni, attestata da retest e indicatori di chiusura ticket.
Il programma ha incluido misure per hardening, least privilege, protezione della superficie esposta e messa in sicurezza dei flussi CI/CD, con documentazione pronta per audit e ispezioni.
Realizzazione del registro dei trattamenti, mappatura delle basi giuridiche, DPIA su trattamenti ad alto rischio, procedure breach 72h e piano di audit semestrale. Definizione dei ruoli con art. 28 e valutazione trasferimenti esteri (SCC/DTIA).
Al termine, attestazione del livello di conformità, roadmap di miglioramento e formazione modulare al personale con casi reali e quiz di verifica.
Sì. Seguiamo ISO/IEC 27037/41/42/43, manteniamo catena di custodia, registriamo hash e log firmati, separiamo ruoli e fasi (acquisizione/analisi) e documentiamo limiti e incertezze. I report sono progettati per essere comprensibili al giudice e alle parti.
Sì. Strutturiamo governance, DPIA per trattamenti ad alto rischio, policy e procedure di gestione del data breach entro 72 ore, oltre a formazione, audit periodici e misure tecniche adeguate al rischio.
Forniamo gap analysis, roadmap e policy operative, con indicatori misurabili e audit trail. Per l’IA ad alto rischio curiamo registri, dataset, sicurezza del ciclo di vita, trasparenza e controllo accessi, coordinando GDPR e NIS2.
Ci basiamo su NIST SP 800‑115 e OWASP ASVS. Definiamo il perimetro, concordiamo i livelli ASVS, conduciamo test manuali e automatizzati, classifichiamo con CVSS, mappiamo ATT&CK e chiudiamo con retest attestante la mitigazione.
Supporto H24 per incidenti critici. Operatività Italia e Svizzera. Per comunicazioni sensibili: PGP su richiesta o PEC; su richiesta attiviamo canali dedicati.
Nota: per ridurre lo scraping automatico, i contatti vengono composti lato browser e mostrati su richiesta dell’utente.
Il form riduce lo scraping: i contatti non sono esposti in chiaro. L’invio avviene tramite endpoint server-side con rate‑limit, honeypot e CSRF.
Per comunicazioni riservate possiamo attivare scambio PGP (cifratura end‑to‑end e firma). Per ridurre l’esposizione automatica, la chiave pubblica viene fornita su richiesta e accompagnata da fingerprint di verifica.
Per segnalazioni e comunicazioni riservate puoi cifrare il messaggio direttamente nel tuo browser con la nostra chiave pubblica PGP. Il testo in chiaro non lascia mai il tuo dispositivo.
Ai sensi degli artt. 13–14 Reg. (UE) 2016/679 (GDPR). Titolare: Consuleria S.r.l., Via Papa Giovanni XXIII 162, 17031 Albenga (SV), PEC (clicca per mostrare).
I contenuti del sito hanno finalità informative e non costituiscono consulenza legale. L’uso del sito implica l’accettazione dei presenti termini e delle policy collegate. Restano riservati diritti, marchi, segni distintivi e know‑how.
Condizioni di erogazione dei servizi: i servizi tecnici (digital/mobile forensics, PT/VA, data protection) sono svolti esclusivamente su base contrattuale o incarico scritto, con perimetro (scope), regole di ingaggio e limiti operativi definiti. Il Cliente dichiara e garantisce la propria legittima disponibilità dei sistemi/dati e l’esistenza di un titolo autorizzativo idoneo; è esclusa qualunque attività non autorizzata o eccedente lo scope.
Esclusioni (TULPS/attività riservate): Consuleria non eroga servizi di vigilanza/custodia o protezione fisica riservati a soggetti autorizzati, né svolge investigazioni private soggette a licenza prefettizia. Ove richiesti, tali servizi sono demandati a soggetti terzi debitamente autorizzati.
Uso consentito e divieti: è vietato lo scraping non autorizzato, l’uso di bot di stress, attività di scanning indiscriminato o condotte idonee a compromettere disponibilità, integrità o riservatezza del sito e dei servizi correlati. Per il materiale tecnico reso disponibile possono applicarsi licenze specifiche; la riproduzione, anche parziale, è subordinata a consenso scritto, salvo eccezioni di legge.
In caso di vulnerabilità, inviare segnalazione a (clicca per mostrare) o via PEC. Aderiamo a un processo di Coordinated Vulnerability Disclosure (CVD): presa in carico entro 7 giorni, verifica tecnica, definizione della severità, e remediation coerente con l’impatto. Richiediamo di evitare prove che possano causare interruzioni o coinvolgere dati personali di terzi.
Concordiamo pubblicazione responsabile dei dettagli tecnici dopo la mitigazione. Se necessario, forniamo CVE‑request support ed evidenze per audit.