Podcast

Questo è il testo della puntata del 9 dicembre 2024 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.

---

[CLIP: spot di Temu in italiano]

Da tempo circolano voci e dicerie allarmistiche a proposito dell’app di Temu, il popolarissimo negozio online. Ora una nuova analisi tecnica svizzera fa chiarezza: sì, in questa app ci sono delle “anomalie tecniche” che andrebbero chiarite e la prudenza è quindi raccomandata. Ma i fan dello shopping online possono stare abbastanza tranquilli, se prendono delle semplici precauzioni.

Benvenuti alla puntata del 9 dicembre 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. In questa puntata vediamo cos’è Temu, cosa è accusata di fare in dettaglio, e cosa si può fare per rimediare. Io sono Paolo Attivissimo.

[SIGLA di apertura]

---

La popolarità del negozio online cinese Temu anche in Svizzera è indiscussa: la sua app è una delle più scaricate in assoluto negli app store di Google e di Apple, e le testate nazionali [Blick] parlano di mezzo milione di pacchetti in arrivo dall’Asia ogni giorno all’aeroporto di Zurigo, spediti principalmente dai colossi cinesi dell’e-commerce come Shein e, appunto, Temu.

Prevengo subito i dubbi sulla mia pronuncia di questi nomi: ho adottato quella usata dalle rispettive aziende, che non è necessariamente quella usata comunemente [pronuncia di Shein; deriva dal nome originale del sito, che era She Inside].

Ma se si immette in Google “temu app pericolosa” emergono molte pagine Web, anche di testate autorevoli, che parlano di questa popolare app in termini piuttosto preoccupanti, con parole tipo “spyware” e “malware”. Molte di queste pagine fondano i propri allarmi su una ricerca pubblicata dalla società statunitense Grizzly Research a settembre del 2023, che dice senza tanti giri di parole che l’app del negozio online cinese Temu sarebbe uno “spyware astutamente nascosto che costituisce una minaccia di sicurezza urgente” e sarebbe anche “il pacchetto di malware e spyware più pericoloso attualmente in circolazione estesa”.

Parole piuttosto pesanti. Online, però, si trovano anche dichiarazioni contrarie ben più rassicuranti.

A fare chiarezza finalmente su come stiano effettivamente le cose arriva ora un’analisi tecnica redatta dall’Istituto nazionale di test per la cibersicurezza NTC, un’associazione senza scopo di lucro con sede a Zugo [video; l’acronimo NTC deriva dal tedesco Nationales Testinstitut für Cybersicherheit]. Secondo questa analisi [in inglese], l’app Temu ha delle “anomalie tecniche insolite” che vanno capite per poter valutare cosa fare.

La prima anomalia descritta dai ricercatori dell’NTC è il cosiddetto “caricamento dinamico di codice in runtime proprietario”. Traduco subito: siamo abituati a pensare alle app come dei programmi che una volta scaricati e installati non cambiano, almeno fino a che decidiamo di scaricarne una nuova versione aggiornata. L’app di Temu, invece, è capace di modificarsi da sola, senza passare dal meccanismo degli aggiornamenti da scaricare da un app store. Questo vuol dire che può eludere i controlli di sicurezza degli app store e che può scaricare delle modifiche dal sito di Temu senza alcun intervento dell’utente, e questo le consente di adattare il suo comportamento in base a condizioni specifiche, come per esempio la localizzazione. L’esempio fatto dai ricercatori è sottilmente inquietante: un’app fatta in questo modo potrebbe comportarsi in modo differente, per esempio, solo quando il telefono si trova dentro il Palazzo federale a Berna oppure in una base militare e non ci sarebbe modo di notarlo.

Questo è il significato di “caricamento dinamico di codice”, e va detto che di per sé questo comportamento dell’app di Temu non è sospetto: anche altre app funzionano in modo analogo. Quello che invece è sospetto, secondo i ricercatori dell’NTC, è che questo comportamento si appoggi a un componente software, in gergo tecnico un cosiddetto “ambiente di runtime JavaScript”, che è di tipo sconosciuto, ossia non è mai stato visto in altre app, ed è proprietario, ossia appartiene specificamente all’azienda, invece di essere un componente standard conosciuto. È strano che un’azienda dedichi risorse alla creazione di un componente che esiste già ed è liberamente utilizzabile.

La seconda anomalia documentata dal rapporto tecnico dell’Istituto nazionale di test per la cibersicurezza è l’uso di livelli aggiuntivi di crittografia. Anche qui, in sé l’uso della crittografia per migliorare la protezione dei dati è un comportamento diffusissimo e anzi lodevole, se serve per impedire che le informazioni personali degli utenti vengano intercettate mentre viaggiano via Internet per raggiungere il sito del negozio online. Ma nell’app di Temu la crittografia viene usata anche per “identificare in modo univoco gli utenti che non hanno un account Temu”. E viene adoperata anche per un’altra cosa: per sapere se il dispositivo sul quale sta funzionando l’app è stato modificato per consentire test e analisi. Questo vuol dire che l’app potrebbe comportarsi bene quando si accorge che viene ispezionata dagli esperti e comportarsi… diversamente sugli smartphone degli utenti.

Anche queste, però, sono cose che fanno anche altre app, senza necessariamente avere secondi fini.

---

C’è però un altro livello aggiuntivo di crittografia che i ricercatori non sono riusciti a decifrare: un pacchettino di dati cifrati che non si sa cosa contenga e che viene mandato a Temu. E a tutto questo si aggiunge il fatto che l’app può chiedere la geolocalizzazione esatta dell’utente, non quella approssimativa, e lo può fare in vari modi.

In sé queste caratteristiche non rappresentano una prova di comportamento ostile e potrebbero essere presenti per ragioni legittime, come lo sono anche in altre app. Ma sono anche le caratteristiche tipiche che si usano per le app che fanno sorveglianza di massa nascosta, ossia sono spyware. Di fatto queste caratteristiche rendono impossibile anche per gli esperti dell’Istituto nazionale di test per la cibersicurezza determinare se l’app Temu sia pericolosa oppure no.

Ma allora come mai i ricercatori di Grizzly Research sono stati invece così categorici? L’analisi tecnica svizzera spiega che Grizzly non è un’azienda dedicata alla sicurezza informatica, ma è una società che si occupa di investimenti finanziari e “ha un interesse economico nel far scendere le quotazioni di borsa e quindi non è neutrale”.

I ricercatori svizzeri, tuttavia, non possono scagionare completamente l’app di Temu proprio perché manca la trasparenza. Fatta come è attualmente, questa app potrebbe (e sottolineo il potrebbe) “contenere funzioni nascoste di sorveglianza che vengono attivate solo in certe condizioni (per esempio in certi luoghi o certi orari)” e non sarebbe possibile accorgersene. L’Istituto nazionale di test per la cibersicurezza nota inoltre che Temu e la società che la gestisce, la PDD, sono soggette al diritto cinese, che non garantisce una protezione adeguata dei dati degli utenti dal punto di vista europeo, e aggiunge che “le agenzie governative in Cina hanno accesso facilitato ai dati personali e le aziende vengono spesso obbligate a condividere dati con queste agenzie”.

Un’app che ha tutte le caratteristiche tecniche ideali per farla diventare uno strumento di sorveglianza di massa e appartiene a un’azienda soggetta a un governo che non offre le garanzie di protezione dei dati personali alle quali siamo abituati non è un’app che rassicura particolarmente. Ma non ci sono prove di comportamenti sospetti.

Per questo i ricercatori svizzeri sono arrivati a una raccomandazione: in base a un principio di prudenza, è opportuno valutare con attenzione se installare Temu in certe circostanze, per esempio su smartphone aziendali o governativi o di individui particolarmente vulnerabili, e tutti gli utenti dovrebbero fare attenzione ai permessi richiesti ogni volta durante l’uso dell’app, per esempio la geolocalizzazione o l’uso della fotocamera, e dovrebbero tenere costantemente aggiornati i sistemi operativi dei propri dispositivi.

Tutto questo può sembrare davvero troppo complicato per l’utente comune che vuole solo fare shopping, ma per fortuna i ricercatori dell’Istituto nazionale di test per la cibersicurezza hanno una soluzione più semplice e al tempo stesso sicura.

---

Se siete preoccupati per il rischio tecnicamente plausibile di essere spiati da Temu o da app analoghe, soprattutto se vivete o lavorate in ambienti sensibili, i ricercatori svizzeri propongono una scelta facile e a costo zero: invece di usare l’app di Temu, accedete al sito di Temu usando il browser del telefono o del tablet o del computer. Questo vi permette di avere maggiore controllo, riduce la superficie di attacco disponibile per eventuali abusi, e riduce drasticamente gli appigli tecnici che consentirebbero un’eventuale sorveglianza di massa.

C’è invece un altro aspetto di sicurezza, molto concreto, che emerge da altre indagini tecniche svolte su Temu e sulla sua app: il rischio di furto di account. È altamente consigliabile attivare l’autenticazione a due fattori, che Temu ha introdotto a dicembre 2023, oltre a scegliere una password robusta e complessa. Questa misura antifurto si attiva andando nelle impostazioni di sicurezza dell’app e scegliendo se si vuole ricevere un codice di verifica via SMS oppure immettere un codice generato localmente dall’app di autenticazione, quando ci si collega al sito. Temu è un po’ carente sul versante sicurezza: secondo i test di Altroconsumo, quando un utente si registra su Temu non gli viene chiesto di scegliere una password sicura e robusta. Gli sperimentatori hanno immesso come password “1234” e Temu l’ha accettata senza batter ciglio.

Questa è insomma la situazione: nessuna prova, molti sospetti, un’architettura che si presterebbe molto bene ad abusi, e una dipendenza da leggi inadeguate ai nostri standard di riservatezza. Ma la soluzione c’è: usare un browser al posto dell’app. Gli esperti dell’Istituto nazionale di test per la cibersicurezza non hanno invece soluzioni per un altro problema dei negozi online: la scarsissima qualità, e in alcuni casi la pericolosità, dei prodotti offerti. Giocattoli con pezzi piccoli che potrebbero portare al soffocamento, assenza di istruzioni in italiano, mancanza delle omologazioni di sicurezza previste dalle leggi, assenza di elenco degli ingredienti dei cosmetici e imballaggi difficilissimi da smaltire sono fra i problemi più frequentemente segnalati.

Forse questo, più di ogni dubbio sulla sicurezza informatica, è un buon motivo per diffidare di questi negozi online a prezzi stracciati.

Fonti aggiuntive

Comunicato stampa dell’Istituto Nazionale di test per la cibersicurezza NTC (in italiano), 5 dicembre 2024

Un istituto di prova indipendente aumenta la sicurezza informatica nazionale in Svizzera, M-Q.ch (2022)

Temu da… temere – Puntata di Patti Chiari del 18 ottobre 2024

People only just learning correct way to pronounce Shein – it’s not what you think, Manchester Evening News, 2024

Temu è uno spyware? Cosa c’è di vero nelle ipotesi di Grizzly Research – Agenda Digitale (2023)

Questo è il testo della puntata del 16 dicembre 2024 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.

---

Il 9 dicembre scorso OpenAI, l’azienda che ha creato ChatGPT, ha rilasciato al pubblico Sora, un generatore di video basato sull’intelligenza artificiale, che era stato presentato a febbraio senza però renderlo pubblicamente disponibile. Con Sora, si descrive a parole la scena che si desidera, e il software produce il video corrispondente, in alta definizione.

Gli spezzoni dimostrativi sono straordinariamente realistici, e Sora a prima vista sembra essere un altro prodotto vincente e rivoluzionario di OpenAI, ma il giorno dopo il suo debutto ha iniziato a circolare in modo virale sui social network [Bluesky; X] un video, realizzato con Sora da un utente, che è così profondamente sbagliato e grottesco che diventa comico. Per qualche strano motivo, Sora sa generare di tutto, dai cani che corrono e nuotano alle persone che ascoltano musica ai paesaggi tridimensionali, ma è totalmente incapace di generare un video di una ginnasta che fa esercizi a corpo libero.

Il video diventato virale mostra appunto quella che dovrebbe essere una atleta che compie una serie di movimenti ginnici ma invece diventa una sorta di frenetica ameba fluttuante dal cui corpo spuntano continuamente arti a caso e le cui braccia diventano gambe e viceversa; dopo qualche secondo la testa le si stacca dal corpo e poi si ricongiunge. E non è l’unico video del suo genere.

Attempt 2.

2/4 pic.twitter.com/YuhQLLdj8d

— Deedy (@deedydas) December 10, 2024

Attempt 3

3/4 pic.twitter.com/sdJ6mKhbJh

— Deedy (@deedydas) December 10, 2024

Attempt 4

4/4 pic.twitter.com/GzBtUTuspm

— Deedy (@deedydas) December 10, 2024

Un risultato decisamente imbarazzante per OpenAI, ben diverso dai video dimostrativi così curati presentati dall’azienda. Un risultato che rivela una delle debolezze fondamentali delle intelligenze artificiali generative attuali e mette in luce il “trucco” sorprendentemente semplice usato da questi software per sembrare intelligenti.

Questa è la storia di quel trucco, da conoscere per capire i limiti dell’intelligenza artificiale ed evitare di adoperarla in modo sbagliato e pagare abbonamenti costosi ma potenzialmente inutili.

Benvenuti alla puntata del 16 dicembre 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

---

Dieci mesi dopo il suo annuncio iniziale, OpenAI ha reso disponibile al pubblico il generatore di video Sora basato sull’intelligenza artificiale. Dandogli una descrizione, o prompt, Sora produce un video che può durare fino a venti secondi e rispecchia fedelmente la descrizione fornita.

Sora è la naturale evoluzione delle intelligenze artificiali generative: nel giro di pochi anni, dalla semplice produzione di testi siamo passati alla generazione di immagini, ormai diventate fotorealistiche, sempre partendo da un prompt testuale, e ora arrivano i video generati.

OpenAI non è l’unica azienda che ha presentato intelligenze artificiali che generano video: lo hanno già fatto Google, Runway, Kling e Minimax, giusto per fare qualche nome. Ma Sora sembrava essere molto superiore alla concorrenza, perlomeno fino al momento in cui ha iniziato a circolare il video della ginnasta ameboide.

Va detto che tutti i prodotti attuali di generazione di video hanno gli stessi problemi: spesso producono videoclip mostruosi e deformi, e tocca generarne tanti per ottenerne uno buono. Ma come mai il prodotto di punta di un’azienda leader nel settore fallisce miseramente proprio con la ginnastica artistica?

Per capirlo bisogna ragionare sul modo in cui lavorano le intelligenze artificiali: vengono addestrate fornendo loro un numero enorme di testi, foto o video di esempio di vario genere. Le foto e i video vengono accompagnati da una dettagliata descrizione testuale, una sorta di etichettatura. In questa fase di addestramento, l’intelligenza artificiale crea delle associazioni statistiche fra le parole e le immagini. Quando poi le viene chiesto di creare un testo, un’immagine o un video, attinge a questo vastissimo catalogo di associazioni e lo usa per il suo trucco fondamentale: calcolare il dato successivo più probabile.

Nel caso della generazione di testi, l’intelligenza artificiale inizia a scegliere una prima parola o sequenza di parole, basata sulla descrizione iniziale, e poi non fa altro che mettere in fila le parole statisticamente più probabili per costruire i propri testi. Nelle risposte di ChatGPT, per capirci, non c’è nessuna cognizione o intelligenza: quello che scrive è in sostanza la sequenza di parole più probabile. Sto semplificando, ma il trucco di base è davvero questo.

Lo ha detto chiaramente Sam Altman, il CEO di OpenAI, in una dichiarazione resa davanti a un comitato del Senato statunitense nel 2023:

La generazione attuale di modelli di intelligenza artificiale – dice – è costituita da sistemi di predizione statistica su vasta scala: quando un modello riceve la richiesta di una persona, cerca di prevedere una risposta probabile. Questi modelli operano in maniera simile al completamento automatico sugli smartphone […] ma a una scala molto più ampia e complessa […] – dice sempre Altman – Gli strumenti di intelligenza artificiale sono inoltre in grado di imparare i rapporti statistici fra immagini e descrizioni testuale e di generare nuove immagini basate su input in linguaggio naturale.

[fonte, pag. 2]

In altre parole, ChatGPT sembra intelligente perché prevede le parole o frasi più probabili dopo quelle immesse dall’utente. Nel caso dei video, un’intelligenza artificiale calcola l’aspetto più probabile del fotogramma successivo a quello corrente, basandosi sull’immenso repertorio di video che ha acquisito durante l’addestramento. Tutto qui. Non sa nulla di ombre o forme o di come si muovono gli oggetti o le persone (o, in questo caso, gli arti delle ginnaste): sta solo manipolando pixel e probabilità. Sora affina questa tecnica tenendo conto di numerosi fotogrammi alla volta, ma il principio resta quello.

Ed è per questo che va in crisi con la ginnastica.

---

Come spiega Beni Edwards su Ars Technica, i movimenti rapidi degli arti, tipici della ginnastica a corpo libero, rendono particolarmente difficile prevedere l’aspetto corretto del fotogramma successivo usando le tecniche attuali dell’intelligenza artificiale. E così Sora genera, in questo caso, un collage incoerente di frammenti dei video di ginnastica a corpo libero che ha acquisito durante l‘addestramento, perché non sa quale sia l’ordine giusto nel quale assemblarli. E non lo sa perché attinge a medie statistiche basate su movimenti del corpo molto differenti tra loro e calcolate su una quantità modesta di video di ginnastica a corpo libero.

Non è un problema limitato alla ginnastica artistica: in generale, se il tipo di video chiesto dall’utente è poco presente nell’insieme di dati usato per l’addestramento, l’intelligenza artificiale è costretta a inventarsi i fotogrammi, creando così movimenti mostruosi e arti supplementari che sono l’equivalente video delle cosiddette “allucinazioni” tipiche delle intelligenze artificiali che generano testo.

Sora, in questo senso, è nonostante tutto un passo avanti: alcuni generatori di video concorrenti usciti nei mesi scorsi facevano addirittura svanire le atlete a mezz’aria o le inglobavano nei tappeti o negli attrezzi, in una sorta di versione IA del terrificante morphing del robot T-1000 alla fine di Terminator 2: Il giorno del giudizio.

Gymnastics is the Turing test of video generation models pic.twitter.com/cOhmUJjI2m

— Deedy (@deedydas) July 2, 2024

Questo suggerisce una possibile soluzione al problema: aumentare la quantità e la varietà di video dati in pasto all’intelligenza artificiale per addestrarla, ed etichettare con molta precisione i contenuti di quei video. Ma non è facile, perché quasi tutti i video sono soggetti al copyright. Soprattutto quelli degli eventi sportivi, e quindi non sono liberamente utilizzabili per l’addestramento.

Sora fa sorridere con i suoi video mostruosamente sbagliati in questo campo, ma non vuol dire che sia da buttare: è comunque una tappa molto importante verso la generazione di video di qualità. Se i video che avete bisogno di generare rappresentano scene comuni, come una persona che cammina o gesticola oppure un paesaggio, Sora fa piuttosto bene il proprio mestiere e consente anche di integrare oggetti o immagini preesistenti nei video generati.

Al momento, però, non è disponibile in Europa, salvo ricorrere a VPN o soluzioni analoghe, e accedere alle funzioni di generazione video costa: gli abbonati che pagano 20 dollari al mese a ChatGPT possono creare fino a 50 video al mese, in bassa qualità [480p] oppure possono crearne di meno ma a qualità maggiore. Gli abbonati Pro, che pagano ben 200 dollari al mese, possono chiedere risoluzioni maggiori e durate più lunghe dei video generati.

Se volete farvi un’idea delle attuali possibilità creative di Sora, su Vimeo trovate per esempio The Pulse Within, un corto creato interamente usando spezzoni video generati con questo software, e sul sito di Sora, Sora.com, potete sfogliare un ricco catalogo di video dimostrativi.

Siamo insomma ancora lontani dai film creati interamente con l’intelligenza artificiale, ma rispetto a quello che si poteva fare un anno fa, i progressi sono stati enormi. Ora si tratta di decidere come usare questi nuovi strumenti e le loro nuove possibilità creative.

Infatti il rapidissimo miglioramento della qualità di questi software e la loro disponibilità di massa significano anche che diventa più facile e accessibile produrre deepfake iperrealistici o, purtroppo, anche contenuti di abuso su adulti e minori. Sora ha già implementato filtri che dovrebbero impedire la generazione di questo tipo di video, e i contenuti prodotti con Sora hanno delle caratteristiche tecniche che aiutano a verificare se un video è sintetico oppure no, ma questo è un settore nel quale la gara fra chi mette paletti e chi li vuole scardinare non conosce pause. Nel frattempo, noi comuni utenti possiamo solo restare vigili e consapevoli che ormai non ci si può più fidare neppure dei video. A meno che, per ora, siano video di ginnastica artistica.

Fonti aggiuntive

Ten months after first tease, OpenAI launches Sora video generation publicly, Ars Technica

Questo è il testo della puntata del 23 dicembre 2024 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS. Il podcast riprenderà il 13 gennaio 2025.

---

Se avete ricevuto una strana mail che sembra provenire da Google e che parla di “spostamenti” e “cronologia delle posizioni” ma non avete idea di cosa voglia dire, siete nel posto giusto per levarvi il dubbio e capire se e quanto siete stati pedinati meticolosamente da Google per anni: siete nella puntata del 23 dicembre 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica, e dedicato in questo caso agli importanti cambiamenti della popolarissima app Google Maps. Io sono Paolo Attivissimo.

[SIGLA di apertura]

---

Se siete fra i tantissimi utenti che hanno installato e usano Google Maps sullo smartphone, forse non vi siete mai accorti che questa utilissima app non vi dice soltanto dove siete e dove si trovano i punti di interesse intorno a voi, ma si ricorda ogni vostro spostamento sin da quando l’avete installata, anche quando le app di Google non sono in uso. In altre parole, Google sa dove siete stati, minuto per minuto, giorno per giorno, e lo sa molto spesso per anni di fila.

Infatti se andate nell’app e toccate l’icona del vostro profilo, compare un menu che include la voce Spostamenti. Toccando questa voce di menu compare un calendario con una dettagliatissima cronologia di tutti i vostri spostamenti, che include gli orari di partenza e di arrivo e anche il mezzo di trasporto che avete usato: bici, auto, nave, treno, aereo, piedi.

Google infatti usa i sensori del telefono per dedurre la vostra posizione: non solo il tradizionale GPS, che funziona solo all’aperto, ma anche il Wi-Fi e il Bluetooth, che permettono il tracciamento della posizione anche al coperto. Anche se non vi collegate a una rete Wi-Fi mentre siete in giro, Google Maps fa una scansione continua delle reti Wi-Fi presenti nelle vicinanze e confronta i loro nomi con una immensa mappa digitale, costantemente aggiornata, delle reti Wi-Fi in tutto il mondo. Se trova una corrispondenza, deduce che siete vicini a quella rete e quindi sa dove vi trovate, anche al chiuso.

Moltissime persone non sono a conoscenza di questo tracciamento di massa fatto da Google. Quando vado nelle scuole a presentare agli studenti le questioni di sicurezza e privacy informatica, mostrare a uno specifico studente la sua cronologia degli spostamenti archiviata da Google per anni è una delle dimostrazioni più efficaci e convincenti della necessità di chiedersi sempre quali dati vengono raccolti su di noi e come vengono usati. Sposta immediatamente la conversazione dal tipico “Eh, ma quante paranoie” a un più concreto “Come faccio a spegnerla?”

Disattivare il GPS non basta, perché Maps usa appunto anche il Wi-Fi per localizzare il telefono e quindi il suo utente. Bisognerebbe disattivare anche Wi-Fi e Bluetooth, ma a quel punto lo smartphone non sarebbe più uno smartphone, perché perderebbe tutti i servizi basati sulla localizzazione, dal navigatore alla ricerca del ristorante o Bancomat più vicino, e qualsiasi dispositivo Bluetooth, come cuffie, auricolari o smartwatch, cesserebbe di comunicare. Si potrebbe disabilitare GPS, Bluetooth e Wi-Fi solo per Maps, andando nei permessi dell’app, ma è complicato e molti utenti non sanno come fare e quindi rischiano di disabilitare troppi servizi e trovarsi con un telefono che non funziona più correttamente.

Maps permette di cancellare questa cronologia, per un giorno specifico oppure integralmente, ma anche in questo caso viene il dubbio: e se un domani ci servisse sapere dove eravamo in un certo giorno a una certa ora? Per esempio per catalogare le foto delle vacanze oppure per dimostrare a un partner sospettoso dove ci trovavamo e a che ora siamo partiti e arrivati? Non ridete: ci sono persone che lo fanno. Lo so perché le incontro per lavoro. Ma questa è un’altra storia.

Insomma, sbarazzarsi di questo Grande Fratello non è facile. Ma ora è arrivata una soluzione alternativa, ed è questo il motivo della mail di Google.

---

Il titolo della mail firmata Google, nella versione italiana, è “Vuoi conservare i tuoi Spostamenti? Decidi entro il giorno 18 maggio 2025”, e il messaggio di solito arriva effettivamente da Google, anche se è probabile che i soliti sciacalli e truffatori della Rete invieranno mail false molto simili per cercare di ingannare gli utenti, per cui conviene comunque evitare di cliccare sui link presenti nella mail di avviso e andare direttamente alle pagine di Google dedicate a questo cambiamento; le trovate indicate su Attivissimo.me.

La prima buona notizia è che se siete sicuri di non voler conservare questa cronologia dei vostri spostamenti, è sufficiente non fare nulla: i dati e le impostazioni degli Spostamenti verranno disattivati automaticamente dopo il 18 maggio 2025 e Google smetterà di tracciarvi, perlomeno in questo modo.

Se invece volete conservare in tutto o in parte questa cronologia, dovete agire, e qui le cose si fanno complicate. Il grosso cambiamento, infatti, è che i dati della cronologia degli spostamenti non verranno più salvati sui server di Google ma verranno registrati localmente sul vostro telefono, in maniera molto meno invadente rispetto alla situazione attuale.

Per contro, Google avvisa che dopo il 18 maggio, se non rinunciate alla cronologia, i dati sui vostri spostamenti verranno raccolti da tutti i dispositivi che avete associato al vostro account Google, quindi non solo dal vostro telefono ma anche da eventuali tablet o computer o altri smartphone, e verranno raccolti anche se avevate disattivato la registrazione degli spostamenti su questi altri dispositivi.

Un’altra novità importante è che la cronologia degli spostamenti non sarà più disponibile nei browser Web, ma sarà accessibile soltanto tramite l’app Google Maps e soltanto sul telefono o altro dispositivo sul quale avete scelto di salvare la copia locale della cronologia.

La procedura di cambiamento di queste impostazioni di Google Maps è semplice e veloce ed è usabile anche subito, senza aspettare maggio del 2025. Con pochi clic si scelgono le preferenze desiderate e non ci si deve pensare più. Se si cambia idea in futuro, si possono sempre cambiare le proprie scelte andando a myactivity.google.com/activitycontrols oppure entrare nell’app Google Maps e scegliere il menu Spostamenti. I dati scaricati localmente, fra l’altro, occupano pochissimo spazio: la mia cronologia degli spostamenti, che copre anni di viaggi, occupa in tutto meno di tre megabyte.

Resta un ultimo problema: se i dati della cronologia degli spostamenti vi servono e d’ora in poi verranno salvati localmente sul vostro telefono, come farete quando avrete bisogno di cambiare smartphone? Semplice: Google offre la possibilità di fare un backup automatico dei dati, che viene salvato sui server di Google e può essere quindi importato quando si cambia telefono.

Ma allora siamo tornati al punto di partenza e i dati della cronologia restano comunque a disposizione di Google? No, perché il backup è protetto dalla crittografia e Google non può leggerne il contenuto, come descritto nelle istruzioni di backup fornite dall’azienda.

---

Resta solo da capire cosa fa esattamente Google con i dati di localizzazione di milioni di utenti. Sul versante positivo, questi dati permettono di offrire vari servizi di emergenza, per esempio comunicando ai soccorritori dove vi trovate. Se andate a correre e usate lo smartphone o smartwatch per misurare le vostre prestazioni, la localizzazione permette di tracciare il vostro chilometraggio. Se cercate informazioni meteo o sul traffico, la localizzazione consente di darvi più rapidamente i risultati che riguardano la zona dove vi trovate. Se smarrite il vostro telefono, questi dati permettono di trovarlo più facilmente. E se qualcuno accede al vostro account senza il vostro permesso, probabilmente lo fa da un luogo diverso da quelli che frequentate abitualmente, e quindi Google può insospettirsi e segnalarvi la situazione anomala.

Sul versante meno positivo, le informazioni di localizzazione permettono a Google di mostrarvi annunci più pertinenti, per esempio i negozi di scarpe nella vostra zona se avete cercato informazioni sulle scarpe in Google. In dettaglio, Google usa non solo i dati di posizione, ma anche l’indirizzo IP, le attività precedenti, l’indirizzo di casa e di lavoro che avete memorizzato nel vostro account Google, il fuso orario del browser, i contenuti e la lingua della pagina visitata, il tipo di browser e altro ancora. Tutti questi dati sono disattivabili, ma la procedura è particolarmente complessa.

Non stupitevi, insomma, se il vostro smartphone a volte vi offre informazioni o annunci così inquietantemente azzeccati e pertinenti da farvi sospettare che il telefono ascolti le vostre conversazioni. Google non lo fa, anche perché con tutti questi dati di contorno non gli servirebbe a nulla farlo. E se proprio non volete essere tracciati per qualunque motivo, c’è sempre l’opzione semplice e pratica di lasciare il telefono a casa o portarlo con sé spento.

Usare Google senza esserne usati è insomma possibile, ma servono utenti informati e motivati, non cliccatori passivi. Se sono riuscito a darvi le informazioni giuste per decidere e per motivarvi, questo podcast ha raggiunto il suo scopo. E adesso vado subito anch’io a salvare la mia cronologia degli spostamenti.

Questo è il testo della puntata del 13 gennaio 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.

---

Pochi giorni fa Meta ha annunciato che chiuderà il proprio programma di fact-checking gestito tramite esperti esterni e lo sostituirà con le cosiddette Community notes, ossia delle annotazioni redatte dagli stessi utenti dei suoi social network, come ha già fatto la piattaforma concorrente X di Elon Musk.

Questa decisione, che per citare un titolo del Corriere della Sera è stata vista come una “resa definitiva a Trump (e Musk)”, ha rianimato la discussione su come contrastare la disinformazione. Walter Quattrociocchi, professore ordinario dell’Università La Sapienza di Roma, ha dichiarato che “Il fact-checking è stato un fallimento, ma nessuno vuole dirlo”, aggiungendo che “[l]a comunità scientifica lo aveva già dimostrato”. Queste sono sue parole in un articolo a sua firma pubblicato sullo stesso Corriere.

Detta così, sembra una dichiarazione di resa incondizionata della realtà, travolta e sostituita dai cosiddetti “fatti alternativi” e dai deliri cospirazionisti. Sembra un’ammissione che non ci sia nulla che si possa fare per contrastare la marea montante di notizie false, di immagini fabbricate con l’intelligenza artificiale, di propaganda alimentata da interessi economici o politici, di tesi di complotto sempre più bizzarre su ogni possibile argomento. I fatti hanno perso e le fandonie hanno vinto.

Se mi concedete di portare per un momento la questione sul piano personale, sembra insomma che la scienza dica che il mio lavoro di “cacciatore di bufale” sia una inutile perdita di tempo, e più in generale lo sia anche quello dei miei tanti colleghi che fanno debunking, ossia verificano le affermazioni che circolano sui social network e nei media in generale e le confermano o smentiscono sulla base dei fatti accertati.

È veramente così? Difendere i fatti è davvero fatica sprecata? Ragioniamoci su in questa puntata, datata 13 gennaio 2025, del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

---

Nel suo annuncio pubblico, Mark Zuckerberg ha spiegato che il programma di fact-checking lanciato nel 2016 dalla sua piattaforma e basato su organizzazioni indipendenti specializzate in verifica dei fatti voleva dare agli utenti “più informazioni su quello che vedono online, in particolare sulle notizie false virali, in modo che potessero giudicare da soli quello che vedevano e leggevano”, scrive Zuckerberg.

Ma a suo dire questo approccio non ha funzionato perché anche gli esperti, dice, “come tutte le persone, hanno i propri pregiudizi e i propri punti di vista”, e quindi è giunto il momento di sostituire gli esperti esterni con gli utenti dei social network. Saranno loro, dice Zuckerberg, a “decidere quando i post sono potenzialmente ingannevoli e richiedono più contesto”, e saranno “persone che hanno una vasta gamma di punti di vista” a “decidere quale tipo di contesto è utile che gli altri utenti vedano”.

Zuckerberg non spiega, però, in che modo affidare la valutazione delle notizie agli utenti farà magicamente azzerare quei pregiudizi e quei punti di vista di cui parlava. In fin dei conti, gli utenti valutatori saranno un gruppo che si autoselezionerà invece di essere scelto in base a criteri di competenza. Anzi, l’autoselezione è già cominciata, perché Zuckerberg ha già pubblicato i link per iscriversi alla lista d’attesa per diventare valutatori su Facebook, Instagram e Threads. Mi sono iscritto anch’io per vedere dall’interno come funzionerà questa novità e raccontarvela.

Invece le Linee guida della community, ossia le regole di comportamento degli utenti di Meta, sono già state riscritte per togliere molte restrizioni sui discorsi d’odio, aggiungendo specificamente che dal 7 gennaio scorso sono consentite per esempio le accuse di malattia mentale o anormalità basate sul genere o l’orientamento sessuale* ed è accettabile paragonare le donne a oggetti e le persone di colore ad attrezzi agricoli oppure negare l’esistenza di una categoria di persone o chiedere l’espulsione di certi gruppi di individui.**

* Il 10 gennaio, Meta ha eliminato da Messenger i temi Pride e Non-Binary che aveva introdotto con così tanta enfasi rispettivamente 2021 e nel 2022 [404 media; Platformer.news]. Intanto Mark Lemley, avvocato per le questioni di copyright e intelligenza artificiale di Meta, ha troncato i rapporti con l’azienda, scrivendo su LinkedIn che Zuckerberg e Facebook sono in preda a “mascolinità tossica e pazzia neonazista”.

** Confesso che nel preparare il testo di questo podcast non sono riuscito a trovare parole giornalisticamente equilibrate per definire lo squallore infinito di un‘azienda che decide intenzionalmente di riscrivere le proprie regole per consentire queste specifiche forme di odio. E così ho contenuto sia il conato che la rabbia, e ho deciso di lasciare che le parole di Meta parlassero da sole.

Un’altra novità importante è che Meta smetterà di ridurre la visibilità dei contenuti sottoposti a verifica e gli utenti, invece di trovarsi di fronte a un avviso a tutto schermo che copre i post a rischio di fandonia, vedranno soltanto “un’etichetta molto meno invadente che indica che sono disponibili ulteriori informazioni per chi le vuole leggere”. In altre parole, sarà più facile ignorare gli avvertimenti.

Insomma, è un po’ come se una compagnia aerea decidesse che tutto sommato è inutile avere dei piloti addestrati e competenti ed è invece molto meglio lasciare che siano i passeggeri a discutere tra loro, insultandosi ferocemente, su come pilotare, quando tirare su il carrello o farlo scendere, quanto carburante imbarcare e cosa fare se l’aereo sta volando dritto verso una montagna. Ed è un po’ come se decidesse che è più saggio che gli irritanti allarmi di collisione vengano sostituiti da una voce sommessa che dice “secondo alcuni passeggeri stiamo precipitando, secondo altri no, comunque tocca lo schermo per ignorare tutta la discussione e guardare un video di tenerissimi gattini.”

Va sottolineato che queste scelte di Meta riguardano per ora gli Stati Uniti e non si applicano in Europa, dove le leggi* impongono ai social network degli obblighi di moderazione e di mitigazione della disinformazione e dei discorsi d’odio.

*  In particolare il Digital Services Act o DSA, nota Martina Pennisi sul Corriere.

Ma una cosa è certa: questa nuova soluzione costerà molto meno a Meta. I valutatori indipendenti vanno pagati (lo so perché sono stato uno di loro per diversi anni), mentre gli utenti che scriveranno le Note della comunità lo faranno gratis. Cosa mai potrebbe andare storto?

---

Ma forse Mark Zuckerberg tutto sommato ha ragione, perché è inutile investire in verifiche dei fatti perché tanto “il fact-checking non funziona,” come scrive appunto il professor Quattrociocchi, persona che conosco dai tempi in cui abbiamo fatto parte dei numerosi consulenti convocati dalla Camera dei Deputati italiana sul problema delle fake news.

In effetti Quattrociocchi presenta dei dati molto rigorosi, contenuti in un articolo scientifico di cui è coautore, intitolato Debunking in a world of tribes, che si basa proprio sulle dinamiche sociali analizzate dettagliatamente su Facebook fra il 2010 e il 2014. Questo articolo e altri indicano che “il fact-checking, lungi dall’essere una soluzione, spesso peggiora le cose” [Corriere] perché crea delle casse di risonanza o echo chamber, per cui ogni gruppo rimane della propria opinione e anzi si polarizza ancora di più: se vengono esposti a un fact-checking, i complottisti non cambiano idea ma anzi tipicamente diventano ancora più complottisti, mentre chi ha una visione più scientifica delle cose è refrattario anche a qualunque minima giusta correzione che tocchi le sue idee.

Ma allora fare il mio lavoro di cacciatore di bufale è una perdita di tempo e anzi fa più male che bene? Devo smettere, per il bene dell’umanità, perché la scienza dice che noi debunker facciamo solo danni?

Dai toni molto vivaci usati dal professor Quattrociocchi si direbbe proprio di sì. Frasi come “nonostante queste evidenze, milioni di dollari sono stati spesi in soluzioni che chiunque con un minimo di onestà intellettuale avrebbe riconosciuto come fallimentari” sono facilmente interpretabili in questo senso. Ma bisogna fare attenzione a cosa intende esattamente il professore con “fact-checking”: lui parla specificamente di situazioni [nel podcast dico “soluzioni” – errore mio, che per ragioni tecniche non posso correggere] in cui il debunker, quello che vorrebbe smentire le falsità presentando i fatti, va a scrivere quei fatti nei gruppi social dedicati alle varie tesi di complotto. In pratica, è come andare in casa dei terrapiattisti a dire loro che hanno tutti torto e che la Terra è una sfera: non ha senso aspettarsi che questo approccio abbia successo e si venga accolti a braccia aperte come portatori di luce e conoscenza.

Anche senza il conforto dei numeri e dei dati raccolti da Quattrociocchi e dai suoi colleghi, è piuttosto ovvio che un fact-checking del genere non può che fallire: tanto varrebbe aspettarsi che andare a un derby, sedersi tra i tifosi della squadra avversaria e tessere le lodi della propria squadra convinca tutti a cambiare squadra del cuore. Ma il fact-checking non consiste soltanto nell’andare dai complottisti; anzi, i debunker evitano accuratamente questo approccio.

Il fact-checking, infatti, non si fa per chi è già parte di uno schieramento o dell’altro. Si fa per chi è ancora indeciso e vuole informarsi, per poi prendere una posizione, e in questo caso non è affatto inutile, perché fornisce le basi fattuali che rendono perlomeno possibile una decisione razionale.

Del resto, lo stesso articolo scientifico del professor Quattrociocchi, e il suo commento sul Corriere della Sera, sono in fin dei conti due esempi di fact-checking: su una piattaforma pubblica presentano i dati di fatto su un tema e li usano per smentire una credenza molto diffusa. Se tutto il fact-checking fosse inutile, se davvero presentare i fatti non servisse a nulla e fosse anzi controproducente, allora sarebbero inutili, o addirittura pericolosi, anche gli articoli del professore.

---

Resta la questione delle soluzioni al problema sempre più evidente dei danni causati dalla disinformazione e dalla malinformazione circolante sui social e anzi incoraggiata e diffusa anche da alcuni proprietari di questi social, come Elon Musk.

Il professor Quattrociocchi scrive che “L’unico antidoto possibile, e lo abbiamo visto chiaramente, è rendere gli utenti consapevoli di come interagiamo sui social.” Parole assolutamente condivisibili, con un piccolo problema: non spiegano come concretamente arrivare a rendere consapevoli gli utenti di come funzionano realmente i social network.

Sono ormai più di vent’anni che esistono i social network, e finora i tentativi di creare questa consapevolezza si sono tutti arenati. Non sono bastati casi clamorosi come quelli di Cambridge Analytica; non è bastata la coraggiosa denuncia pubblica, nel 2021, da parte di Frances Haugen, data scientist di Facebook, del fatto che indignazione e odio sono i sentimenti che alimentano maggiormente il traffico dei social e quindi i profitti di Meta e di tutti i social network. Come dice anche il professor Quattrociocchi insieme a numerosi altri esperti, “[s]i parla di fake news come se fossero il problema principale, ignorando completamente che è il modello di business delle piattaforme a creare le condizioni per cui la disinformazione prospera.”

La soluzione, insomma, ci sarebbe, ma è troppo radicale per gran parte delle persone: smettere di usare i social network, perlomeno quelli commerciali, dove qualcuno controlla chi è più visibile e chi no e decide cosa vediamo e ha convenienza a soffiare sul fuoco della disinformazione. Le alternative prive di controlli centrali non mancano, come per esempio Mastodon al posto di Threads, X o Bluesky, e Pixelfed al posto di Instagram, ma cambiare social network significa perdere i contatti con i propri amici se non migrano anche loro, e quindi nonostante tutto si finisce per restare dove si è, turandosi il naso. Fino al momento in cui non si sopporta più: il 20 gennaio, per esempio, è la data prevista per #Xodus, l’uscita in massa da X da parte di politici, organizzazioni ambientaliste, giornalisti* e utenti di ogni genere.

* La Federazione Europea dei Giornalisti (European Federation of Journalists, EFJ), la più grande organizzazione di giornalisti in Europa, che rappresenta oltre 295.000 giornalisti, ha annunciato che non pubblicherà più nulla su X dal 20 gennaio 2025: “Come molte testate europee (The Guardian, Dagens Nyheter, La Vanguardia, Ouest-France, Sud-Ouest, ecc.) and e organizzazioni di giornalisti, come l’Associazione dei Giornalisti Tedeschi (DJV), la EFJ ritiene di non poter più partecipare eticamente a un social network che è stato trasformato dal suo proprietario in una macchina di disinformazione e propaganda.”

Funzionerà? Lo vedremo molto presto.

Aggiornamento (2025/01/20)

Il quotidiano francese Le Monde ha annunciato di aver interrotto la condivisione dei propri contenuti su X, dove ha 11,1 milioni di follower.

Questo è il testo della puntata del 20 gennaio 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.

---

Probabilmente avete già sentito la notizia della donna francese che ha inviato in totale oltre 800.000 euro a dei truffatori perché era convinta di essere in chat con Brad Pitt e di doverlo aiutare economicamente perché i conti del celeberrimo attore erano bloccati dalla causa legale con l’ex moglie, Angelina Jolie. Se l’avete sentita, probabilmente l’avete commentata criticando l’ingenuità della vittima. Molte persone sono andate oltre e hanno insultato e preso in giro la vittima pubblicamente sui social; lo ha fatto persino Netflix France. Una gogna mediatica rivolta esclusivamente alla persona truffata, senza spendere una parola sulla crudeltà infinita dei truffatori. Ed è stata tirata in ballo l’intelligenza artificiale, che però in realtà c’entra solo in parte.

Questa è la storia di un inganno che in realtà è ben più complesso e ricco di sfumature di quello che è stato diffusamente raccontato, e che permette di conoscere in dettaglio come operano i truffatori online e cosa succede nella mente di una persona che diventa bersaglio di questo genere di crimine.

Benvenuti alla puntata del 20 gennaio 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

---

Questa storia inizia a febbraio del 2023, quando Anne, una donna francese sposata con un facoltoso imprenditore, scarica Instagram perché vuole postare le foto di una sua vacanza nelle Alpi francesi. Viene contattata subito da qualcuno che dice di essere Jane Etta Pitt, la madre dell’attore Brad Pitt, che chatta con lei e le dice che sarebbe la persona giusta per suo figlio. Poco dopo la contatta online qualcuno che afferma di essere Brad Pitt in persona e chiede di conoscerla meglio. Soprattutto vuole sapere se Anne lavora per caso nei media, perché lui ci tiene molto a proteggere la sua vita privata.

Questo contatto insospettisce la donna, ma Anne non conosce i meccanismi dei social network. Non sa, per esempio, che i controlli di Instagram sulle identità degli utenti sono scarsissimi e che quindi il falso Brad Pitt e la sua altrettanto falsa madre sono liberi di agire praticamente indisturbati e di tentare la stessa truffa contemporaneamente con migliaia di persone. Una truffa complessa e articolata, che include fra i suoi espedienti la capacità dei criminali di passare mesi e mesi a circuire una vittima chattando amorevolmente con lei, perché nel frattempo ne stanno raggirando tante altre, in una sorta di catena di montaggio dell’inganno.

Fra questi espedienti ci sono anche trucchi come i finti regali. A un certo punto, il falso Brad Pitt scrive ad Anne, dicendo che ha tentato di inviarle dei regali di lusso ma che non ha potuto pagare la dogana perché i suoi conti correnti sono bloccati dalla causa di divorzio da Angelina Jolie. E così Anne invia ai truffatori 9000 euro. Il servizio attraverso il quale invia il denaro non la avvisa che questa transazione è sospetta.

Anne, invece, si insospettisce parecchie volte durante questo lungo corteggiamento online, ma ogni volta che le viene un dubbio, i truffatori riescono a farglielo passare, mandandole per esempio un falso documento d’identità dell’attore. La figlia di Anne cerca di avvisarla che si tratta di una truffa e tenta di ragionare con lei per oltre un anno, ma la donna è troppo coinvolta emotivamente in questa relazione a distanza. Anche perché questo falso Brad Pitt le ha chiesto di sposarlo, e lei ovviamente ha accettato una proposta così lusinghiera dopo aver divorziato dal marito.

I truffatori giocano anche la carta della compassione oltre a quella della seduzione e della lusinga. Scrivono ad Anne, fingendo sempre di essere Brad Pitt, e le dicono che l’attore ha bisogno di contanti per poter pagare le cure per il tumore al rene che lo ha colpito. Mandano ad Anne delle fotografie false che sembrano mostrare Brad Pitt ricoverato in ospedale. La donna è reduce da un tumore, e quindi i truffatori toccano un suo tasto emotivo particolarmente sensibile.

Anne cerca su Internet le foto di Brad Pitt ricoverato e non le trova, ma giustifica questa mancanza pensando che quelle fotografie siano confidenziali e siano dei selfie scattati specificamente per lei.

E così Anne invia ai criminali tutto il denaro che ha ottenuto dal divorzio, ossia 775.000 euro, convinta di contribuire a salvare la vita di una persona in gravi difficoltà. Anche qui, i servizi di trasferimento di denaro usati dalla vittima la lasciano agire senza bloccare la transazione, che dovrebbe essere già sospetta in partenza per il suo ammontare così elevato.

Quando i giornali che si occupano di gossip legato alle celebrità pubblicano immagini del vero Brad Pitt con la sua nuova compagna, Ines de Ramon, Anne si insospettisce di nuovo, ma i truffatori le mandano un falso servizio televisivo nel quale il conduttore (in realtà generato dall’intelligenza artificiale)* parla di un rapporto esclusivo con una persona speciale che va sotto il nome di Anne. Questo la rassicura per qualche tempo, ma poi Brad Pitt e Ines de Ramon annunciano ufficialmente il loro legame sentimentale. Siamo a giugno del 2024, e a questo punto Anne decide di troncare le comunicazioni.

* Dopo la chiusura del podcast sono riuscito a recuperare uno spezzone [YouTube, a 1:08] di questo servizio televisivo e ho scoperto che il conduttore sintetico è invece una conduttrice, perlomeno in base al suo aspetto.

Ma i truffatori insistono, spacciandosi stavolta per agenti speciali dell’FBI, e cercano di ottenere dalla donna altro denaro. Lei segnala la situazione alla polizia, e vengono avviate le indagini. Pochi giorni fa, Anne ha raccontato pubblicamente la propria vicenda sul canale televisivo francese TF1, per mettere in guardia altre potenziali vittime. E qui è cominciato un nuovo calvario.

---

Sui social network, infatti, centinaia di utenti cominciano a prenderla in giro. Uno dei più importanti programmi radiofonici mattutini francesi le dedica uno sketch satirico. Netflix France pubblica su X un post nel quale promuove quattro film con Brad Pitt, specificando fra parentesi che il servizio di streaming garantisce che si tratti di quello vero, con una chiara allusione alla vicenda di Anne. Il post è ancora online al momento in cui preparo questo podcast.

La società calcistica Toulouse FC pubblica un post ancora più diretto, che dice “Ciao Anne, Brad ci ha detto che sarà allo stadio mercoledì, e tu?”. Il post è stato poi rimosso e la società sportiva si è scusata.

TF1 ha tolto il servizio dedicato ad Anne dalla propria piattaforma di streaming dopo che la testimonianza della donna ha scatenato questa ondata di aggressioni verbali, ma il programma resta reperibile online qua e là. Anne, in un’intervista pubblicata su YouTube, ha dichiarato che TF1 ha omesso di precisare che lei aveva avuto dubbi, ripetutamente, e ha aggiunto che secondo lei qualunque persona potrebbe cadere nella complessa trappola dei truffatori se si sentisse dire quelle che lei descrive come “parole che non hai mai sentito da tuo marito.”

In altre parole, una donna che era in una situazione particolarmente vulnerabile è stata truffata non da dilettanti improvvisati ma da professionisti dell’inganno, disposti a manipolare pazientemente per mesi le loro vittime usando senza pietà le leve emotive più sensibili, ha deciso di raccontare pubblicamente la propria vicenda per mettere in guardia le altre donne, e ne ha ottenuto principalmente dileggio, scherno e derisione. Uno schema purtroppo molto familiare alle tante donne che scelgono di raccontare abusi di altro genere di cui sono state vittime e di cui la gogna mediatica le rende vittime due volte invece di assisterle e sostenerle.

In questa vicenda, oltretutto, non sono solo gli utenti comuni a postare sui social network commenti odiosi: lo fanno anche professionisti dell’informazione, che in teoria dovrebbero sapere benissimo che fare satira su questi argomenti è un autogol di comunicazione assoluto e imperdonabile.

Mentre abbondano i commenti che criticano Anne, scarseggiano invece quelli che dovrebbero far notare il ruolo facilitatore di queste truffe dei social network e dei sistemi di pagamento. Questi falsi account che si spacciano per Brad Pitt (usando in questo caso specifico parte del nome completo dell’attore, ossia William Bradley Pitt) sono alla luce del sole. Dovrebbero essere facilmente identificabili da Meta, un’azienda che investe cifre enormi nell’uso dell’intelligenza artificiale per monitorare i comportamenti dei propri utenti a scopo di tracciamento pubblicitario eppure non sembra in grado di usarla per analizzare le conversazioni sulle sue piattaforme e notare quelle a rischio o rilevare gli account che pubblicano foto sotto copyright.

Basta infatti una banale ricerca in Google per trovare falsi account a nome di Brad Pitt, che hanno migliaia di follower, pubblicano foto dell’attore di cui chiaramente non hanno i diritti ed esistono in alcuni casi da anni, come per esempio @william_bradley_pitt767, creato a febbraio del 2021 e basato in Myanmar. E lo stesso vale per moltissime altre celebrità. Queste truffe, insomma, prosperano grazie anche all’indifferenza dei social network.

---

C’è anche un altro aspetto di questa vicenda che è stato raccontato in maniera poco chiara da molte testate giornalistiche: l’uso dell’intelligenza artificiale per generare le foto di Brad Pitt ricoverato. Quelle foto sono in realtà dei fotomontaggi digitali tradizionali, e lo si capisce perché anche il più scadente software di generazione di immagini tramite intelligenza artificiale produce risultati di gran lunga più coerenti, nitidi e dettagliati rispetto alle foto d’ospedale ricevute da Anne.

L’intelligenza artificiale è stata sì usata dai criminali, ma non per quelle foto. È stata usata per creare dei videomessaggi dedicati ad Anne, nei quali un finto Brad Pitt si rivolge direttamente alla donna, le confida informazioni personali chiedendole di non condividerle, muovendosi e parlando in modo naturale.

Questi video sono nettamente più credibili rispetto alle false foto del ricovero che circolano sui social media in relazione a questa vicenda; sono forse riconoscibili come deepfake da parte di chi ha un occhio allenato, ma chi come Anne si è affacciato da poco ai social network non ha questo tipo di sensibilità nel rilevare gli indicatori di falsificazione, e non tutti sanno che esistono i deepfake. Mostrare solo quei fotomontaggi, senza includere i video, significa far sembrare Anne molto più vulnerabile di quanto lo sia stata realmente.

La qualità delle immagini sintetiche migliora in continuazione, ma per il momento può essere utile cercare alcuni elementi rivelatori. Conviene per esempio guardare la coerenza dei dettagli di contorno dell’immagine, come per esempio la forma e la posizione delle dita oppure la coerenza delle scritte presenti sugli oggetti raffigurati. Un altro indicatore è lo stile molto patinato delle immagini sintetiche, anche se i software più recenti cominciano a essere in grado di generare anche foto apparentemente sottoesposte, mosse o dilettantesche. Si può anche provare una ricerca per immagini, per vedere se una certa foto è stata pubblicata altrove. Inoltre la ricerca per immagini permette spesso di scoprire la fonte originale della foto in esame e quindi capire se ha un’origine autorevole e affidabile. E ovviamente l’indicatore più forte è il buon senso: è davvero plausibile che un attore popolarissimo vada sui social network a cercare conforto sentimentale?

Fra l’altro, nel caso specifico di Brad Pitt il suo portavoce ha ribadito che l’attore non ha alcuna presenza nei social. In altre parole, tutti i “Brad Pitt” che trovate online sono degli impostori.

In coda a questa vicenda amara c’è però un piccolo dettaglio positivo: il racconto pubblico di questo episodio è diventato virale in tutto il mondo, per cui si può sperare che molte vittime potenziali siano state allertate grazie al coraggio di Anne nel raccontare quello che le è successo. E va ricordato che a settembre 2024 in Spagna sono state arrestate cinque persone durante le indagini su un’organizzazione criminale che aveva truffato due donne spacciandosi proprio per Brad Pitt, ottenendo dalle vittime ben 350.000 dollari.

Non sempre i truffatori la fanno franca, insomma, e se gli utenti diventano più consapevoli e attenti grazie al fatto che questi pericoli vengono segnalati in maniera ben visibile dai media, le vittime di questi raggiri crudeli diminuiranno. Più se ne parla, anche in famiglia, e meglio è.

Fonti

Brad Pitt’s team reminds fans he’s not on social media after a woman gets big-time scammed, LA Times

Brad Pitt AI scam: Top tips on how to spot AI images, BBC

French Woman Faces Cyberbullying After Forking Over $850,000 to AI Brad Pitt, Rollingstone.com

AI Brad Pitt dupes French woman out of €830,000, BBC

French TV show pulled after ridicule of woman who fell for AI Brad Pitt, The Guardian

French Woman Scammed Out Of $850k By Fake ‘Brad Pitt’—And The AI Photos Are Something Else, Comic Sands

How an AI Brad Pitt conned a woman out of €830,000, triggering online mockery, France 24 su YouTube

Une femme arnaquée par un faux Brad Pitt – La Story – C à Vous, YouTube (include approfondimenti, spezzoni del finto servizio televisivo, il commento dell’avvocato della vittima sulle responsabilità delle banche che hanno effettuato i trasferimenti di denaro)

Questo è il testo della puntata del 3 febbraio 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.

---

[CLIP: rumori del traffico veicolare di San Francisco, registrati da me pochi giorni fa in loco]

Pochi giorni fa sono stato a San Francisco, una delle poche città al mondo nelle quali delle automobili completamente prive di conducente, guidate da speciali computer di bordo, circolano in mezzo al normale traffico veicolare e pedonale.

Sono i taxi di Waymo, un’azienda che da anni sta lavorando alla guida autonoma e da qualche tempo offre appunto un servizio commerciale di trasporto passeggeri a pagamento. I clienti usano un’app per prenotare la corsa e un’auto di Waymo li raggiunge e accosta per accoglierli a bordo, come un normale taxi, solo che al posto del conducente non c’è nessuno. Il volante c’è, ma gira da solo, e l’auto sfreccia elettricamente e fluidamente nel traffico insieme ai veicoli convenzionali. È molto riconoscibile, perché la selva di sensori che le permettono di fare tutto questo sporge molto cospicuamente dalla carrozzeria in vari punti e ricopre il tetto della vettura, formando una sorta di cappello high-tech goffo e caratteristico, e queste auto a San Francisco sono dappertutto: uno sciame silenzioso di robot su ruote che percorre incessantemente le scoscese vie della città californiana.*

* Purtroppo non sono riuscito a provare questi veicoli: l’app necessaria per prenotare un taxi di Waymo è disponibile solo per chi ha l‘App Store o Play Store statunitense e non ho avuto tempo di organizzarmi con una persona del posto che la installasse e aprisse un account.

Ma allora la sfida tecnologica della guida autonoma è risolta e dobbiamo aspettarci prossimamente “robotaxi” come questi anche da noi? Non proprio; c’è ancora letteralmente tanta strada da fare. Provo a tracciarla in questa puntata, datata 3 febbraio 2025, del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Benvenuti. Io sono Paolo Attivissimo.

[SIGLA di apertura]

---

È il sogno di ogni pendolare a quattro ruote: un’auto che si guida da sola, nella quale è sufficiente salire a bordo e dirle la destinazione desiderata per poi potersi rilassare completamente per tutto il viaggio, senza dover gestire code o ingorghi e senza trascorrere ore frustranti dietro il volante. Un sogno che ha radici lontane: i primi esperimenti di guida almeno parzialmente autonoma iniziarono alla fine degli anni Settanta del secolo scorso e furono svolti in Germania, Giappone e Italia [Computerhistory.org]. Ma si trattava di veicoli costosissimi, stracarichi di computer che ne riempivano il bagagliaio, e comunque funzionavano solo su strade semplici e ben demarcate. Anche così, ogni tanto dovevano arrendersi e chiedere aiuto umano.

Ma le strade di una città sono invece complesse, caotiche, piene di segnaletica da decodificare e di ostacoli che possono comparire all’improvviso e confondere i sistemi di riconoscimento automatici: per esempio un pedone che attraversa la strada, un cantiere, un’ambulanza o anche semplicemente un riflesso dell’auto stessa in una vetrata oppure una figura umana stampata sul portellone posteriore di un camion o su un cartellone pubblicitario.

Per cominciare a interpretare tutti questi fattori è stato necessario attendere a lungo che migliorasse il software e diventasse meno ingombrante l’hardware: il primo viaggio su strada urbana normale di un’automobile autonoma, senza conducente e senza scorta di polizia, risale a meno di dieci anni fa ad opera del progetto di Google per la guida autonoma, poi trasformatosi in Waymo.

Waymo è stata la prima a offrire un servizio commerciale di veicoli autonomi su strade urbane, a dicembre 2018 [Forbes], dopo dieci anni di sperimentazione, con un servizio di robotaxi limitato ad alcune zone della città statunitense di Phoenix e comunque all’epoca con un conducente d’emergenza a bordo. Nel 2021 a Shenzen, in Cina, ha debuttato il servizio di robotaxi gestito da Deeproute.ai. Nel 2022 a Waymo si è affiancata la concorrente Cruise, che è stata la prima a ottenere il permesso legale di fare a meno della persona dietro il volante, pronta a intervenire, in un servizio commerciale [CNBC].

Anche Uber aveva provato a entrare nel settore della guida autonoma, ma aveva sospeso la sperimentazione dopo che uno dei suoi veicoli di test aveva investito e ucciso un pedone, Elaine Herzberg, nel 2018 in Arizona, nonostante la presenza di un supervisore umano a bordo.

Probabilmente avete notato che fra i nomi che hanno segnato queste tappe dell’evoluzione della guida autonoma manca quello di Tesla, nonostante quest’azienda sia considerata da una buona parte dell’opinione pubblica come quella che fabbrica auto che guidano da sole. Non è affatto così: anche se il suo software si chiama Full Self-Drive, in realtà legalmente il conducente è tenuto a restare sempre pronto a intervenire.*

* Non è solo un requisito legale formale, mostrato esplicitamente sullo schermo a ogni avvio: deve proprio farlo, perché ogni tanto FSD sbaglia molto pericolosamente, anche nella versione più recente chiamata ora FSD (Supervised), come ben documentato da questa prova pratica di Teslarati di gennaio 2025.

E la famosa demo del 2016 in cui una Tesla effettuava un tragitto urbano senza interventi della persona seduta al posto di guida era una messinscena, stando a quanto è emerso in tribunale. A fine gennaio 2025 Elon Musk ha dichiarato che Tesla offrirà la guida autonoma senza supervisione a Austin, in Texas, a partire da giugno di quest’anno, a titolo sperimentale.

Ma come mai Tesla è rimasta così indietro rispetto alle concorrenti? Ci sono due motivi: uno tecnico, molto particolare, e uno operativo e poco pubblicizzato.

---

Ci sono fondamentalmente due approcci distinti alla guida autonoma. Uno è quello di mappare in estremo dettaglio e preventivamente le strade e consentire ai veicoli di percorrere soltanto le strade mappate in questo modo, il cosiddetto geofencing o georecinzione, dotando le auto di un assortimento di sensori di vario genere, dalle telecamere ai LiDAR, ossia sensori di distanza basati su impulsi laser.

Questo consente al veicolo [grazie al software di intelligenza artificiale che ha a bordo] di “capire” con molta precisione dove si trova, che cosa ha intorno a sé in ogni momento e di ricevere in anticipo, tramite aggiornamenti continui via Internet, segnalazioni di cantieri o di altri ostacoli che potrà incontrare.

Questa è la via scelta da Waymo e Cruise, per esempio, e funziona abbastanza bene, tanto che le auto di queste aziende sono già operative e hanno un tasso di incidenti estremamente basso, inferiore a quello di un conducente umano medio [CleanTechnica]. Ma è anche una soluzione molto costosa: richiede sensori carissimi e ingombranti e impone un aggiornamento costante della mappatura, ma soprattutto limita le auto a zone ben specifiche.

Anche a San Francisco, per esempio, Waymo è usabile soltanto in alcune parti della città [Waymo]*, e per aggiungere al servizio un’altra città bisogna prima mapparla tutta con precisione centimetrica.

Waymo sta iniziando a provare le proprie auto sulle autostrade (freeway) intorno a Phoenix oltre che in città, ma per ora trasportano solo dipendenti dell’azienda [Forbes].

L’altro approccio consiste nell’usare l’intelligenza artificiale a bordo del veicolo per decifrare i segnali che arrivano dai sensori e ricostruire da quei segnali la mappa tridimensionale di tutto quello che sta intorno all’auto. Questo evita tutto il lavoro preventivo di mappatura e quello di successivo aggiornamento e consente al veicolo di percorrere qualunque strada al mondo, senza restrizioni.

Questa è la via che Elon Musk ha deciso per Tesla, rinunciando inoltre ai sensori LIDAR per contenere i costi complessivi dei veicoli e usando soltanto le immagini provenienti dalle telecamere perimetrali per riconoscere gli oggetti e “capire” la situazione di tutti gli oggetti circostanti e come gestirla. Ma il riconoscimento fatto in questo modo non è ancora sufficientemente maturo, e questo fatto ha portato al ritardo di Tesla di vari anni rispetto alle aziende concorrenti.

Quale sia la soluzione migliore è ancora tutto da vedere. Waymo e Cruise stanno investendo cifre enormi, e nonostante le loro auto siano strapiene di sensori che costano più del veicolo stesso ogni tanto si trovano in situazioni imbarazzanti.

A ottobre 2023, un’auto di Cruise ha trascinato per alcuni metri un pedone che le era finito davanti dopo essere stato urtato da un’automobile guidata da una persona [Cruise]. A giugno 2024, un robotaxi di Waymo a Phoenix è andato a sbattere contro un palo telefonico mentre cercava di accostare per accogliere un cliente, perché il palo era piantato sul bordo della superficie stradale invece di sorgere dal marciapiedi e il software non era in grado di riconoscere un palo. Non si è fatto male nessuno e il problema è stato risolto con un aggiornamento del software, ma è un ottimo esempio del motivo per cui queste auto hanno bisogno di una mappatura preventiva incredibilmente dettagliata prima di poter circolare [CNN].

A dicembre 2024, inoltre, un cliente Waymo si è trovato intrappolato a bordo di uno dei taxi autonomi dell’azienda, che continuava a viaggiare in cerchio in un parcheggio senza portarlo a destinazione [BBC]. Ha dovuto telefonare all’assistenza clienti per farsi dire come ordinare al veicolo di interrompere questo comportamento anomalo, e a quanto pare non è l’unico del suo genere, visto che è diventato virale un video in cui un’altra auto di Waymo continua a girare ad alta velocità su una rotonda senza mai uscirne, fortunatamente senza nessun cliente a bordo [Reddit].

Gli episodi di intralcio al traffico da parte di veicoli autonomi vistosamente in preda allo smarrimento informatico sono sufficientemente frequenti da renderli impopolari fra le persone che abitano e soprattutto guidano nelle città dove operano i robotaxi [BBC].

Del resto, dover subire per tutta la notte per esempio il concerto dei clacson di un gruppo di auto Waymo parcheggiate e impazzite, come è successo a San Francisco l’estate scorsa, non suscita certo simpatie nel vicinato [TechCrunch].

Per risolvere tutti questi problemi, Waymo e Cruise ricorrono a un trucco.

---

Se ne parla pochissimo, ma di fatto quando un’auto autonoma di queste aziende non riesce a gestire da sola una situazione, interviene un guidatore umano remoto. In pratica in questi casi il costoso gioiello tecnologico diventa poco più di una grossa automobilina radiocomandata. Lo stesso farà anche Tesla con i suoi prossimi robotaxi, stando ai suoi annunci pubblici di ricerca di personale [Elettronauti].

È una soluzione efficace ma imbarazzante per delle aziende che puntano tutto sull’immagine di alta tecnologia, tanto che sostanzialmente non ne parlano* [BBC] e sono scarsissime le statistiche sulla frequenza di questi interventi da parte di operatori remoti: Cruise ha dichiarato che è intorno allo 0,6% del tempo di percorrenza, ma per il resto si sa ben poco.

*Uno dei pochi post pubblici di Waymo sui suoi guidatori remoti o fleet response agent spiega che l’operatore remoto non comanda direttamente il volante ma indica al software di bordo quale percorso seguire o quale azione intraprendere.

Lo 0,6% può sembrare pochissimo, ma significa che l’operatore umano interviene in media per un minuto ogni tre ore. Se un ascensore si bloccasse e avesse bisogno di un intervento manuale una volta ogni tre ore per farlo ripartire, quanti lo userebbero serenamente?

Per contro, va detto che pretendere la perfezione dalla guida autonoma è forse utopico; e sarebbe già benefico e accettabile un tasso di errore inferiore a quello dei conducenti umani. Nel 2023 in Svizzera 236 persone sono morte in incidenti della circolazione stradale e ne sono rimaste ferite in modo grave 4096. Quei 236 decessi sono la seconda cifra più alta degli ultimi cinque anni, e il numero di feriti gravi è addirittura il più alto degli ultimi dieci anni [ACS; BFU.ch]. Se la guida autonoma può ridurre questi numeri, ben venga, anche qualora non dovesse riuscire ad azzerarli.

Vedremo anche da noi scene come quelle statunitensi? Per ora sembra di no. È vero che il governo svizzero ha deciso che da marzo 2025 le automobili potranno circolare sulle autostrade nazionali usando sistemi di guida assistita (non autonoma) che consentono la gestione automatica della velocità, della frenata e dello sterzo, ma il conducente resterà appunto conducente e dovrà essere sempre pronto a riprendere il controllo quando necessario.

I singoli cantoni potranno designare alcuni percorsi specifici sui quali potranno circolare veicoli autonomi, senza conducente ma monitorati da un centro di controllo. Inoltre presso i parcheggi designati sarà consentita la guida autonoma, ma solo nel senso che l’auto potrà andare a parcheggiarsi da sola, senza conducente a bordo. Di robotaxi che circolano liberamente per le strade, per il momento, non se ne parla [Swissinfo].*

* In Italia, a Brescia, è iniziata la sperimentazione di un servizio di car sharing che usa la guida autonoma. Finora il singolo esemplare di auto autonoma, una 500 elettrica dotata di un apparato di sensori molto meno vistoso di quello di Waymo, ha percorso solo un chilometro in modalità interamente autonoma, è limitato a 30 km/h ed è monitorato sia da un supervisore a bordo, sia da una sala di controllo remota. È la prima sperimentazione su strade pubbliche aperte al traffico in Italia [Elettronauti].

Insomma, ancora per parecchi anni, se vogliamo assistere a scene imbarazzanti e pericolose che coinvolgono automobili, qui da noi dovremo affidarci al talento negativo degli esseri umani.

Fonti aggiuntive

Welcome To ‘Waymo One’ World: Google Moon Shot Begins Self-Driving Service—With Humans At The Wheel For Now, Forbes (2018)

Where to? A History of Autonomous Vehicles, Computerhistory.org (2014)

Waymo Road Trip Visiting 10+ Cities in 2025, CleanTechnica (2025)

Waymo employees can hail fully autonomous rides in Atlanta now, TechCrunch (2025)

Waymo to test its driverless system in ten new cities in 2025, Engadget (2025)

Waymo, Cruise vehicles have impeded emergency vehicle response 66 times this year: SFFD, KRON4 (2023)

How robotaxis are trying to win passengers’ trust, BBC (2024)

Bad Week for Unoccupied Waymo Cars: One Hit in Fatal Collision, One Vandalized by Mob, Slashdot (2025)

Hidden Waymo feature let researcher customize robotaxi’s display, TechCrunch (2025)

Tesla’s Autonomous Driving Strategy Stranded By Technological Divergence, CleanTechnica (2025)

Zeekr RT, the robotaxi built for Waymo, has the tiniest wipers, TechCrunch (2025)

Should Waymo Robotaxis Always Stop For Pedestrians In Crosswalks?, Slashdot (2025)

Questo è il testo della puntata del 10 febbraio 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.

---

Siamo a fine gennaio 2025. In tutti gli Stati Uniti e anche all’estero, scienziati, ricercatori, studenti, tecnici informatici si stanno scambiando frenetici messaggi di allarme: salvate subito una copia dei vostri dati pubblicati sui siti governativi statunitensi. È l’inizio di una maratona digitale collettiva per mettere in salvo dati sanitari, statistici, sociali, storici, climatici, tecnici ed economici che stanno per essere cancellati in una purga antiscientifica che ha pochi precedenti: quella derivante dalla raffica di ordini esecutivi emessi dalla presidenza Trump.

Persino la NASA è coinvolta e il 22 gennaio diffonde ai dipendenti l’ordine di “mollare tutto” [“This is a drop everything and reprioritize your day request”] e cancellare dai siti dell’ente spaziale, entro il giorno stesso, qualunque riferimento a minoranze, donne in posizione di autorità, popolazioni indigene, accessibilità, questioni ambientali e molti altri temi per rispettare questi ordini esecutivi [404 Media].

Per fortuna molti dei partecipanti a questa maratona si sono allenati in precedenza e sono pronti a scattare, e le risorse tecniche per sostenerli non mancano.

Questa è la storia di questa corsa per salvare scienza, conoscenza e cultura. E non è una corsa che riguarda solo gli Stati Uniti e che possiamo contemplare con inorridito distacco, perché piaccia o meno è lì che di fatto si definiscono gli standard tecnici e scientifici mondiali e si svolge gran parte della ricerca che viene utilizzata in tutto il mondo.

Benvenuti alla puntata del 10 febbraio 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica… e questa è decisamente una storia strana e difficile da raccontare. Io sono Paolo Attivissimo.

[SIGLA di apertura]

---

La vastità e pervasività della cancellazione e riscrittura dei contenuti dei siti governativi statunitensi in corso dopo l’elezione del presidente Trump è difficile da comprendere guardando soltanto i suoi numeri. Secondo il New York Times, sono scomparse oltre 8000 pagine web di informazione sparse su una dozzina di siti governativi [NYT]. Inoltre sono svanite almeno 2000 raccolte di dati [404 Media]. Dati scientifici che riguardano le epidemie in corso, l’inquinamento e il clima, per esempio.

Va detto che ogni avvicendamento di un’amministrazione statunitense comporta qualche modifica dei dati governativi disponibili, per rispecchiare gli orientamenti politici di chi è stato eletto, ma è la scala e la natura delle modifiche attualmente in atto che spinge molte autorità scientifiche, solitamente sobrie e compassate, a protestare pubblicamente e a paragonare la situazione di oggi a quella del romanzo distopico 1984 di George Orwell [Salon.com], alle censure sovietiche o ai roghi di intere biblioteche di libri scientifici da parte del regime nazista in Germania nel 1933 [Holocaust Memorial Day Trust; Wikipedia].

Quando riviste scientifiche prestigiosissime come Nature o il British Medical Journal si sentono in dovere di scendere in campo, vuol dire che la situazione è grave.

“Non ritireremo articoli pubblicati, se un autore ce lo chiede perché contengono cosiddette parole bandite” scrive il British Medical Journal, aggiungendo che le buone prassi scientifiche e l’integrità professionale “non cederanno di fronte a ordini di imbavagliamento o soppressione o capricci autoritari […] Se c’è qualcosa che va proibito, è l’idea che le riviste mediche e scientifiche, il cui dovere è rappresentare integrità ed equità, debbano piegarsi a censure politiche o ideologiche”, conclude il BMJ.

Ma non siamo nel 1933. Non si bruciano più vistosamente in piazza i libri malvisti dal potere. Oggi si danno ordini esecutivi e i database sanitari spariscono silenziosamente con un clic, per cui è facile non rendersi conto della portata delle istruzioni impartite dall’amministrazione Trump. E i numeri non aiutano a capire questa portata: come in ogni grande disastro, sono troppo grandi e astratti per essere compresi realmente. Forse tutto diventa più chiaro citando qualche caso specifico e concreto.

---

Prendiamo per esempio un argomento ben distante dagli schieramenti politici come l’astronomia. In Cile c’è il modernissimo Osservatorio Vera Rubin, intitolato all’omonima astronoma statunitense e gestito dalla National Science Foundation del suo paese. Il sito di quest’osservatorio ospitava questa frase:

“La scienza è ancora un campo dominato dagli uomini, ma l’Osservatorio Rubin si adopera per aumentare la partecipazione delle donne e di altre persone che storicamente sono state escluse dalla scienza, accoglie chiunque voglia contribuire alla scienza, e si impegna a ridurre o eliminare le barriere che escludono i meno privilegiati.”

Questa frase, che non sembrerebbe essere particolarmente controversa, è stata rimossa e riscritta per rispettare gli ordini esecutivi del presidente Trump e adesso parla della dominazione maschile della scienza come se fosse una cosa passata [“what was, during her career, a very male-dominated field”] [ProPublica].

Oppure prendiamo il Museo Nazionale di Crittologia dell’NSA, che sta ad Annapolis, nel Maryland. La scienza dei codici segreti parrebbe forse ancora più lontana dalla politica di quanto lo sia l’astronomia, ma lo zelo degli esecutori degli ordini di Trump è arrivato anche lì: dei pannelli informativi che raccontavano il ruolo delle donne e delle persone di colore nella crittografia sono stati coperti in fretta e furia con fogli di carta da pacchi [Mark S. Zaid su X], rimossi solo dopo che la grossolana censura è stata segnalata ed è diventata virale sui social network.*

* La foga (o la paura di perdere il posto di lavoro) ha fatto addirittura cancellare un video che spiega il concetto grammaticale di pronome [404 Media].

---

Quelli che ho raccontato sono piccoli esempi, che illustrano la natura pervasiva e meschina* degli effetti delle direttive del governo Trump. Ma ovviamente la preoccupazione maggiore riguarda i grandi archivi di dati scientifici su argomenti che l’attuale amministrazione americana considera inaccettabili perché menzionano anche solo di striscio questioni di genere, di discriminazione e di accessibilità.

* 404 Media usa “pettiness”, ossia “meschinità”, per descrivere alcune delle cancellazioni dei siti governativi documentate tramite Github.

Il CDC, l’agenzia sanitaria federale statunitense, ha eliminato moltissime pagine di risorse scientifiche dedicate all’HIV, alle malattie sessualmente trasmissibili, all’assistenza alla riproduzione, alla salute delle minoranze, alla salute mentale dei minori, al monitoraggio dell’influenza, e ha ordinato a tutti i propri ricercatori di rimuovere dai propri articoli in lavorazione termini come “genere, transgender, persona in gravidanza, LGBT, transessuale, non binario, biologicamente maschile, biologicamente femminile”. La rimozione non riguarda solo gli articoli pubblicati dall’ente federale ma anche qualunque articolo da inviare a riviste scientifiche [Inside Medicine; Washington Post].

Il NOAA, l’ente federale per la ricerca atmosferica e oceanica degli Stati Uniti, ha ordinato di eliminare persino la parola “empatia” da tutti i propri materiali [Mastodon].*

* La National Science Foundation, che finanzia una quota enorme della ricerca scientifica in USA, ha sospeso i finanziamenti a qualunque progetti che tocchi in qualche modo questioni di diversità o uguaglianza [Helen Czerski su Mastodon]. La sezione “Razzismo e salute” del CDC non esiste più [Archive.org; CDC.gov]. Dal sito della NASA sono stati rimossi moduli educativi sull‘open science [Archive.org; NASA]. Dal sito della Casa Bianca sono scomparsi la versione in spagnolo e la dichiarazione d’intenti di renderlo accessibile a persone con disabilità; l’Office of Gun Violence Prevention è stato cancellato [NBC].

Di fatto, qualunque ricerca scientifica statunitense che tocchi anche solo vagamente questi temi è bloccata, e anche le ricerche su altri argomenti che però usano dati del CDC oggi rimossi sono a rischio; è il caso, per esempio, anche delle indagini demografiche, che spesso contengono dati sull’orientamento sessuale, utili per valutare la diffusione di malattie nei vari segmenti della popolazione. Il Morbidity and Mortality Weekly Report, uno dei rapporti settimanali fondamentali del CDC sulla diffusione delle malattie, è sospeso per la prima volta da sessant’anni. È una crisi scientifica che imbavaglia persino i dati sull’influenza aviaria [Salon.com; KFF Health News], perché gli ordini esecutivi di Trump vietano in sostanza agli enti sanitari federali statunitensi di comunicare con l’Organizzazione Mondiale della Sanità [AP].

Ma c’è un piano informatico per contrastare tutto questo.

---

Il piano in questione si chiama End of Term Archive: è un progetto nato nel 2008 che archivia i dati dei siti governativi statunitensi a ogni cambio di amministrazione [Eotarchive.org]. È gestito dai membri del consorzio internazionale per la conservazione di Internet, che includono le biblioteche nazionali di molti paesi, Svizzera compresa, e a questa gestione prendono parte anche i membri del programma statunitense di conservazione dei dati digitali (NDIIPP).

Non è insomma una soluzione d’emergenza nata specificamente per la presidenza attuale. Nel 2020, durante la transizione da Trump a Biden, l’End of Term Archive raccolse oltre 266 terabyte di dati, che sono oggi pubblicamente accessibili presso Webharvest.gov insieme a quelli delle transizioni precedenti.

Questa iniziativa di conservazione si appoggia tecnicamente all’Internet Archive, una delle più grandi biblioteche digitali del mondo, fondata dall’imprenditore informatico Brewster Kahle come società senza scopo di lucro nell’ormai lontano 1996 e situata fisicamente a San Francisco, con copie parziali in Canada, Egitto e Paesi Bassi e accessibile online presso Archive.org.

Questa colossale biblioteca online archivia attualmente più di 866 miliardi di pagine web oltre a decine di milioni di libri, video, notiziari televisivi, software, immagini e suoni. Le raccolte di dati delle transizioni presidenziali statunitensi sono ospitate in una sezione apposita di Archive.org; quella del 2024, già disponibile, contiene oltre mille terabyte di dati.

Ma molti giornalisti, ricercatori e scienziati hanno provveduto a scaricarsi copie personali dei dati governativi che temevano di veder sparire, passando notti insonni a scaricare e soprattutto catalogare terabyte di dati [The Atlantic; The 19th News; Jessica Valenti; Nature]. Lo ha fatto anche l’Università di Harvard, mentre la Columbia University ha aggiornato il suo Silencing Science Tracker, una pagina che traccia i tentativi dei governi statunitensi di limitare o proibire la ricerca, l’educazione e la discussione scientifica dal 2016 in avanti.

È facile sottovalutare l’impatto pratico sulla vita di tutti i giorni di un ordine esecutivo che impone la riscrittura di un enorme numero di articoli e di pagine Web informative su temi scientifici e in particolare medici. La virologa Angela Rasmussen spiega in un’intervista al sito Ars Technica che non è semplicemente una questione di cambiare della terminologia o riscrivere qualche frase e tutto tornerà a posto: vengono rimosse informazioni critiche. Per esempio, i dati governativi statunitensi sulla trasmissione dell’Mpox, la malattia nota precedentemente come “vaiolo delle scimmie”, sono stati censurati rimuovendo ogni riferimento agli uomini che hanno rapporti sessuali con uomini, dice Rasmussen. Queste persone “non sono le uniche a rischio negli Stati Uniti, ma sono quelle che hanno il maggior rischio di esposizione all’Mpox. Togliere il linguaggio inclusivo nasconde alle persone a rischio le informazioni che servirebbero a loro per proteggersi”.

La giornalista Jessica Valenti ha salvato e ripubblicato online documenti rimossi dall’amministrazione Trump e riguardanti la contraccezione, la pianificazione familiare, la salute sessuale, i vaccini, la violenza fra partner e altri argomenti assolutamente centrali nella vita di quasi ogni essere umano.

La presidenza Trump ha presentato la libertà di parola come uno dei propri mantra centrali, e uno degli ordini esecutivi che hanno portato a questo oscuramento, o oscurantismo se vogliamo chiamarlo con il suo vero nome, ha un titolo che parla di difesa delle donne e di “ripristino della verità biologica” (Defending Women from Gender Ideology Extremism and Restoring Biological Truth to the Federal Government). Censurare i fatti scientifici sulla salute e le informazioni che aiutano una donna a proteggersi è un modo davvero orwelliano di fare i paladini della libertà di espressione e i difensori delle donne.

George Orwell, in 1984, usava il termine doublethink (bipensiero o bispensiero nella traduzione italiana) per descrivere il meccanismo mentale che consente di ritenere vero un concetto e contemporaneamente anche il suo contrario. Sembra quasi che ci sia una tendenza diffusa a interpretare quel libro non come un monito ma come un manuale di istruzioni. Al posto dell’inceneritore delle notizie passate non più gradite al potere c’è il clic sull’icona del cestino, al posto della propaganda centralizzata c’è la disinformazione in mille rivoli lasciata correre o addirittura incoraggiata dai social network, e al posto dei teleschermi che sorvegliano a distanza ogni cittadino oggi ci sono gli smartphone e i dati raccolti su ciascuno di noi dai loro infiniti sensori, ma il concetto è lo stesso e gli effetti sono uguali: cambia solo lo strumento, che oggi è informatico.

Ed è ironico che sia proprio l’informatica a darci una speranza di conservare per tempi migliori quello che oggi si vuole invece seppellire. Forse conviene che ciascuno di noi cominci, nel proprio piccolo, a diventare un pochino hacker.

Fonti aggiuntive

The CDC’s Website Is Being Actively Purged to Comply With Trump DEI Order, 404 Media (2025)

CDC datasets uploaded before January 28th, 2025, Archive.org (2025)

BREAKING NEWS: CDC orders mass retraction and revision of submitted research across all science and medicine journals. Banned terms must be scrubbed, Inside Medicine (2025). Cita il concetto di vorauseilender Gehorsam, o “ubbidienza preventiva”

National Center for Missing & Exploited Children site scrubbed of transgender kids, Advocate.com (2025)

‘Breathtakingly Ignorant and Dangerous’: Trump’s DOT Orders Sweeping Purge of Climate, Gender, Race, Environmental Justice Initiatives, Inside Climate News (2025)

Trump scrubs all mention of DEI, gender, climate change from federal websites, The Register (2025)

Internet Archive played crucial role in tracking shady CDC data removals, Ars Technica (2025)

Researchers rush to preserve federal health databases before they disappear from government websites, The Journalist’s Resource (2025)

US Information Erasure Hurts Everyone, Human Rights Watch (2025)

Hot Topics in IPC: Avian Flu and Results From Trump’s Executive Orders, Infection Control Today (2025)

Questo è il testo della puntata del 24 febbraio 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS.

Lo streaming verrà pubblicato qui non appena verrà messo online.

---

[CLIP: audio dal trailer di “Fuori in 60 secondi” (2000)]

Hollywood come sempre esagera la realtà, ma è vero che gli attacchi informatici stanno diventando sempre più rapidi: secondo una ricerca appena pubblicata, nel 2024 la loro velocità è aumentata mediamente del 22% rispetto all’anno precedente. In un caso recentissimo, agli aggressori sono bastati 48 minuti per penetrare le difese informatiche di un’azienda del settore manifatturiero e cominciare a saccheggiarne i dati, per poi chiedere un riscatto per restituirli o non pubblicarli.

Questa è la storia di quell’attacco, spiegata in dettaglio, utile per capire come lavorano oggi i criminali informatici e come ci si può difendere concretamente riconoscendo i primi segnali di un’incursione informatica.

Benvenuti alla puntata del 24 febbraio 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo.

[SIGLA di apertura]

---

Siamo a dicembre del 2024 e sono passate da poco le cinque del pomeriggio di un giorno lavorativo qualsiasi. Il gruppo di criminali informatici russofoni noto agli addetti ai lavori con il nome di Black Basta inizia il proprio attacco a un’azienda del settore manifatturiero. Una delle tante che in tutto il mondo vengono prese di mira ogni giorno.

Per prima cosa i criminali mandano a una quindicina di dipendenti dell’azienda un’ondata massiccia di mail di spam, che intasa le loro caselle di posta e produce un numero spropositato di notifiche che rendono impossibile lavorare: una scocciatura particolarmente irritante, visto che arriva alla fine di una giornata lavorativa. Ma non è questo l’attacco vero e proprio: è solo un diversivo scelto con attenzione.

Alle 17 e 26 minuti, alcuni dei dipendenti bersagliati dal flusso incessante di spam ricevono un messaggio Teams dall’helpdesk informatico di Onmicrosoft.com, che offre soccorso per arginare la pioggia di mail spazzatura. Due di questi dipendenti ricevono poi una chiamata via Teams che li invita ad aprire Quick Assistant (o Assistenza rapida nella versione italiana), lo strumento Microsoft di accesso remoto, e a dare all’assistenza informatica il controllo dei loro computer. Uno dei dipendenti accetta l’invito e attiva la gestione remota del computer, lasciandola aperta per una decina abbondante di minuti. Sono le 17 e 47: sono passati solo ventuno minuti dall’inizio dell’attacco e i ladri sono già sulla soglia dei sistemi informatici aziendali.

Infatti Onmicrosoft.com non è un dominio di Microsoft: appartiene ai criminali, che si stanno fingendo operatori dell’assistenza tecnica Microsoft. La tattica di usare un’ondata di spam come diversivo è particolarmente efficace, perché queste mail di spam in sé non contengono nulla di pericoloso e quindi i sistemi di sicurezza non le bloccano. Le vittime non hanno neanche bisogno di interagire con queste mail, come avviene invece negli attacchi tradizionali in cui l’aggressore deve convincere il bersaglio a cliccare su un link ostile presente nella mail. Lo scopo della valanga di messaggi spazzatura è semplicemente causare agitazione nella vittima e creare una giustificazione plausibile per la chiamata immediatamente successiva su Teams dei criminali che fingono di essere l’assistenza tecnica di Microsoft. E il fatto che il messaggio arrivi via Teams, invece che da una mail tradizionale, rende tutto ancora più plausibile.

Dal punto di vista della vittima, infatti, è semplicemente arrivata un’ondata di spam ed è giunta prontamente la chiamata Teams dell’assistenza tecnica Microsoft che si è offerta di risolvere il problema. Nulla di sospetto, anzi: alla vittima fa anche piacere sapere che l’assistenza clienti è veloce e pensa lei a tutto, soprattutto quando è ora di lasciare l’ufficio.

Dal punto di vista degli aggressori, invece, l’attacco è particolarmente efficace, perché non richiede di convincere la vittima a installare app di dubbia provenienza. Tutto il software necessario per avviare l’attacco è infatti già presente nei computer dell’azienda: basta convincere qualcuno, anche uno solo dei tanti dipendenti, a cederne momentaneamente il controllo.

È una trappola tecnica e psicologica perfetta. E infatti pochi minuti dopo che la vittima ha passato il controllo remoto del proprio computer ai criminali pensando di darlo invece al soccorso informatico Microsoft, gli aggressori iniziano la loro scorribanda.

---

Sono le 17 e 56: nei nove minuti trascorsi da quando hanno ottenuto il comando remoto del computer aziendale del dipendente caduto nella trappola, gli aggressori hanno collegato quel computer al loro server di comando e controllo,* e cosi la breccia temporanea aperta dall’incauto utente è ora un tunnel permanente.

*  Lo hanno fatto aaprendo le porte 443 e 10443 tipicamente riservate per il traffico criptato TLS e usando un beacon di OneDrive che punta a un indirizzo IP controllato dagli aggressori.

Attraverso questo tunnel, gli aggressori non installano un programma ostile, come è facile immaginarsi che facciano, ma si limitano a depositare una versione appositamente modificata a loro favore di un componente software comune, in termini tecnici una libreria a collegamento dinamico o DLL*, mettendola in una cartella OneDrive usata per effettuare gli aggiornamenti del software dell’azienda presa di mira.

 * Il nome del file in questo caso è winhttp.dll.

Per via del modo in cui funzionano Windows e le sue applicazioni,* quel componente software modificato verrà eseguito dalle applicazioni aziendali al posto della sua versione originale. Questa è una tecnica sofisticata, chiamata DLL sideloading.In altre parole, il sistema informatico dell’azienda è già infettato e pronto per essere devastato.

* Le applicazioni cercano le DLL di cui hanno bisogno prima di tutto nella propria cartella e poi altrove, e quindi gli aggressori piazzano la DLL ostile nella cartella che ospita un’applicazione vulnerabile, sapendo che verrà eseguita al posto della DLL originale situata altrove.

I criminali attivano l’infezione usando PowerShell, un altro strumento presente nei sistemi Windows, e il componente software modificato viene eseguito negli account degli amministratori di sistema, che sono abilitati ad accedere a molte più risorse di un account utente normale. Con questo potere, gli aggressori riescono a trovare delle credenziali* che permettono loro di creare un nuovo account con i massimi permessi di amministrazione.

* Sono quelle di un account di servizio usato per gestire un database SQL.

A questo punto i criminali hanno il controllo totale della rete informatica del bersaglio e possono fare sostanzialmente tutto quello che desiderano. Infatti usano addirittura il software di sicurezza dell’azienda [Network Scanner di Softperfect] per trovare altre vulnerabilità da sfruttare per esfiltrare i dati di lavoro, ossia portarsi via una copia integrale di tutte le informazioni che servono all’azienda per poter lavorare, allo scopo di rivendere quelle informazioni sul mercato nero dei dati rubati oppure di ricattare l’azienda stessa con la minaccia di pubblicarli, con tutti i problemi legali di privacy che questo comporterebbe, oppure ancora di cancellarli dai computer dell’azienda e fornirne una copia solo dietro lauto pagamento.

Sono le 18.35. In 48 minuti i criminali informatici sono passati dal trovarsi sulla soglia a essere onnipotenti. Nel giro di poco più di un giorno completeranno l’esfiltrazione dei dati aziendali e il saccheggio informatico sarà pronto per essere monetizzato. Nel caso specifico, l’azienda riuscirà a contenere il danno scollegando da Internet vari data center, ma questo comporterà blocchi della produzione ed enormi disagi nel flusso di lavoro.

---

Come si fa a evitare di trovarsi in queste situazioni? La formazione del personale, e di tutto il personale, ossia di chiunque metta mano a un computer, è ovviamente essenziale: tutti devono conoscere l’esistenza di queste tecniche di attacco e abituarsi a riconoscerne i sintomi e a non fidarsi delle chiamate Teams o di altro genere che sembrano provenire dall’assistenza informatica di Microsoft o di qualunque altro fornitore di servizi. Tutti devono rendersi conto che gli attacchi informatici non sono un problema che riguarda solo gli addetti ai servizi informatici. Serve anche un modo affidabile e pratico per verificare le identità degli interlocutori quando la conversazione non avviene in presenza: cose come parole d’ordine concordate, per fare un esempio.

Ma c’è anche una parte tecnica importante che va ripensata e gestita correttamente non dagli utenti ma da parte degli amministratori dei sistemi informatici e dei loro superiori. Le applicazioni di accesso remoto, come Assistenza rapida di Microsoft, andrebbero disinstallate ovunque sia possibile o perlomeno rese meno facilmente accessibili agli utenti, e gli account degli utenti che interagiscono con un tentativo di furto anche solo sospettato andrebbero bloccati e isolati immediatamente. Tutte cose che hanno un costo e comportano disagi e scomodità e quindi spesso non vengono fatte.

Trovate raccomandazioni tecniche molto dettagliate e motivate nei due rapporti sulla vicenda pubblicati dalla società di sicurezza informatica Reliaquest, quella che ha seguito e analizzato in profondità questo attacco [48 Minutes: How Fast Phishing Attacks Exploit Weaknesses; Racing the Clock: Outpacing Accelerating Attacks].

E la lezione più importante che ci offre questa vicenda è che gli intrusi stanno diventando sempre più veloci, grazie anche all’automazione dei loro attacchi consentita dall’intelligenza artificiale, che stanno usando a piene mani e senza scrupoli, e quindi i tempi di reazione devono adeguarsi e gli interventi di protezione devono essere il più possibile automatici e drastici. L’idea ancora molto diffusa di avere un servizio di supporto informatico solo in orari d’ufficio, per contenere i costi, non è soltanto obsoleta: è di fatto pericolosa. Perché i criminali informatici non rispettano gli orari di lavoro o le ferie.

C’è un epilogo positivo a questa vicenda: Black Basta, il gruppo criminale al quale è stato attribuito l’attacco che ho descritto qui, è in crisi. Le sue chat interne sono state infatti trafugate e pubblicate online, permettendo a studiosi e ricercatori di sicurezza di analizzare tattiche, segreti professionali e liti fra i suoi membri, disseminati su oltre 200.000 messaggi [Ars Technica]. Uno dei suoi leader è stato arrestato, e questo aumenta le possibilità che vengano rintracciati anche gli altri componenti. E un altro dei capi di Black Basta ha commesso l’errore strategico di attaccare le infrastrutture di alcune banche russe, col risultato di attirare sulla banda le attenzioni decisamente indesiderate delle autorità di polizia del paese.

Alla fine, i peggiori nemici dei criminali sono i criminali stessi.

Fonte aggiuntiva

Notorious crooks broke into a company network in 48 minutes. Here’s how. Ars Technica (2025).

Questo articolo è importato dal mio blog precedente Il Disinformatico: l’originale (con i commenti dei lettori) è qui.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

Benvenuti alla puntata del 16 agosto 2024 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo, e questa settimana vi porto due storie, e due notizie, che sembrano scollegate e appartenenti a due mondi molto distanti, ma hanno in realtà in comune un aspetto molto importante.

La prima storia riguarda una delle più pubblicizzate influencer virtuali, Emily Pellegrini, annunciata dai giornali di mezzo mondo come un trionfo dell’intelligenza artificiale, così attraente e realistica che viene contattata da celebri calciatori che la vogliono incontrare a cena e da ricchi imprenditori che le offrono vacanze di lusso pur di conoscerla, credendo che sia una persona reale, e accumula centinaia di migliaia di follower su Instagram. Ma oggi tutte le immagini che l’avevano resa celebre sui social sono scomparse.

La seconda storia riguarda invece una truffa da 25 milioni di dollari ai danni di una multinazionale, messa a segno tramite una videoconferenza in cui il direttore finanziario sarebbe stato simulato dai criminali, in voce e in video e in tempo reale, usando anche qui l’intelligenza artificiale così bene da ingannare persino i suoi stessi dipendenti.

Ma non è l’intelligenza artificiale l’aspetto che accomuna queste storie. È qualcosa di ben poco artificiale e purtroppo molto umano.

[SIGLA di apertura]

Siamo a fine settembre del 2023. Un’eternità di tempo fa, per i ritmi dello sviluppo frenetico dell’intelligenza artificiale. Su un sito per adulti, Fanvue, e su Instagram iniziano a comparire le foto sexy di Emily Pellegrini [instagram.com/emilypellegrini], una modella di 23 anni che vive a Los Angeles e fa l’influencer. Ma si tratta di una influencer particolare, perché è generata con l’intelligenza artificiale, anche se nelle foto che pubblica sembra una persona in carne e ossa.

Sei settimane dopo, l’11 novembre, Emily Pellegrini ha già 81.000 follower su Instagram [New York Post]. Ai primi di gennaio ne ha 175.000 [Corriere del Ticino], a metà gennaio sono già 240.000 [NZZ], e ne parlano i media di tutto il mondo [Daily Mail, ripetutamente; Fortune, Dagospia, Repubblica, Stern, Welt.de, Radio Sampaio], dicendo che il suo aspetto procace e fotorealistico ha tratto in inganno molti uomini “ricchi, potenti e di successo”, dice per esempio il Daily Mail britannico, aggiungendo che su Instagram la contattano “persone veramente famose, come calciatori, miliardari, campioni di arti marziali miste e tennisti” che “credono che sia reale” e “la invitano a Dubai per incontrarla e mangiare nei migliori ristoranti”. Una delle celebrità sedotte da Emily Pellegrini, scrive sempre il Daily Mail, è un imprecisato conoscente di Cristiano Ronaldo; un altro è una star del calcio tedesco di cui non viene fatto il nome.

Moltissime testate in tutto il mondo riportano fedelmente questi dettagli e non perdono l’occasione di pubblicare molte foto delle grazie abbondanti dell’influencer virtuale, ma c’è un piccolo problema: tutte queste presunte conquiste di Emily Pellegrini sono riferite da una sola fonte, il suo creatore, che fra l’altro vuole restare anonimo, e sono descritte in modo estremamente vago: nessun nome, ma solo frasi come “uno dei volti famosi, di cui non viene fatto il nome e che l’ha contattata, a quanto pare conosce Cristiano Ronaldo” [“One unnamed famous face who contact [sic] her allegedly knew Cristiano Ronaldo, the creator claimed”]. 

Che senso ha precisare che questo anonimo fan conosce Cristiano Ronaldo? Non fornisce nessuna informazione reale. Però permette di citare un nome famoso e associarlo a questa influencer per farla brillare di luce riflessa nella mente del lettore, che magari è distratto perché l’occhio gli sta cadendo altrove.

Questo espediente autopromozionale funziona, perché Emily Pellegrini viene citata dai media di mezzo pianeta come l’influencer che “fa innamorare i vip”, come titola Il Mattino, o “ha fatto innamorare calciatori e vip di tutto il mondo”, come scrive Repubblica, per citare giusto qualche esempio italofono. Ma di questo innamoramento collettivo non c’è la minima conferma. Ci sono solo le dichiarazioni straordinariamente vaghe del suo creatore senza nome.

Questo anonimo creatore della influencer virtuale racconta anche di aver “lavorato 14-16 ore al giorno” per riuscire a creare il volto, il corpo e i video di Emily Pellegrini con l’intelligenza artificiale. Ma anche qui qualcosa non quadra, perché a fine gennaio 2024 emerge un dato: alcune delle immagini di Emily Pellegrini, soprattutto quelle più realistiche, sono realistiche non per qualche rara maestria nell’uso dei software di intelligenza artificiale, ma perché sono semplicemente foto e video di donne reali, come per esempio quelle della modella Ella Cervetto (www.instagram.com/ellacervetto/), sfruttate senza il loro consenso [Radio France; Abc.net.au, con esempi; Fanpage.it], sostituendo digitalmente il loro volto con un volto sintetico e tenendo tutto il resto del corpo intatto. In altre parole, un banale deepfake come tanti, fatto oltretutto a scrocco.

Le pose e le movenze così realistiche di Emily Pellegrini non sono generate dal software: sono prese di peso dai video reali di modelle reali. Una chiara violazione del copyright e uno sfruttamento spudorato del lavoro altrui.

---

Oggi il profilo Instagram di Emily Pellegrini [www.instagram.com/emilypellegrini] è praticamente vuoto. Tutte le foto sono scomparse. Restano solo 12 post, nei quali un uomo che si fa chiamare “Professor Ep” e dice di essere il creatore della modella virtuale – che in realtà tanto virtuale non era – propone un corso, naturalmente a pagamento, per insegnare agli altri a fare soldi creando modelle virtuali. Nessun accenno al fatto che l’insegnante ha usato i video e la fatica degli altri e ha adoperato  solo in parte l’intelligenza artificiale per guadagnare, dice lui, oltre un milione di dollari.

Fra l’altro, il corso del sedicente professore, che costava inizialmente mille dollari, ora è svenduto a circa duecento.

Lasciando da parte un momento i ragionevoli dubbi sull’etica e la competenza dimostrate fin qui dal Professor Ep, se per caso state pensando di lanciarvi anche voi nel settore immaginando di fare soldi facilmente in questa versione 2024 della febbre per il mining domestico delle criptovalute, beh, pensateci due volte.

I dati indicano infatti che fare soldi esclusivamente generando immagini di modelle virtuali è cosa assai rara. Ci sono alcune superstar del settore che guadagnano discretamente, ma il grosso degli aspiranti creatori e delle aspiranti creatrici fa la fame. Il mercato è saturo di gente che ci sta provando e fallendo.

Grazie ad alcune persone esperte del settore, ho constatato di persona che su piattaforme che promettono grandi guadagni tramite la vendita di immagini generate con l’intelligenza artificiale, come la piattaforma usata dal creatore di Emily Pellegrini, è sufficiente incassare trecento dollari nell’arco di un mese per trovarsi nel discutibile Olimpo del settore, ossia nella fascia del 10% dei creatori che guadagnano di più. Il restante 90%, in altre parole, guadagna di meno.

Molte influencer virtuali che nei mesi scorsi erano state segnalate dai media come le avanguardie emergenti di un nuovo fenomeno oggi non rendono visibile il numero dei like o dei follower, o addirittura questi dati vengono nascosti dalla piattaforma stessa, per non far vedere che non le sta seguendo praticamente nessuno e che i guadagni promessi sono solo un miraggio per molti.

Quelli che guadagnano davvero, invece, sono i fornitori dei servizi e dell’hardware necessario per generare queste immagini sintetiche, proprio come è avvenuto per le criptovalute. Quando si scatena una corsa all’oro, conviene sempre essere venditori di picconi.

Fonti aggiuntive e ulteriori dettagli:

• Celebrities And Millionaires Fall For Instagram Model Created By AI, Send Her Flirty Texts, BoredPanda.com (con citazione di un comunicato stampa di Fanvue che parla degli incassi: “A press release from Fanvue, a subscription social platform, said in an official statement: “The stunner, who shares her content with fans on content creator platform, Fanvue, has become an overnight sensation with her perfect smile and envious figure, earning nearly $10,000 in just six weeks on the content creator platform.”)
• ‘AI pimps’ and their fake influencers are mass-harvesting women’s videos to peddle porn, Abc.net.au (include servizio TV di 9 minuti e video di confronto del furto di foto e video ai danni di Ella Cervetto e altre modelle, non solo da parte del creatore di Emily Pellegrini)
• AI influencers are making their secretive creators tens of thousands of dollars a month—now an OnlyFans rival is betting on the lucrative virtual girlfriends, Fortune.com (“Last November, the amount of money generated on Fanvue from AI models doubled from the month before. AI creators accounted for 15% of Fanvue’s total revenues that month. One of the biggest drivers of that increase was Emily Pellegrini, a 23-year-old influencer who posts adult content to her subscribers using deepfake technology. Fanvue says Pellegrini, one of the most popular AI models on its site, generated $23,000 in revenue in January, up from $6,000 in October”; cita anche Aitana Lopez e le relazioni parasociali)
• No, this AI model isn’t making €10,000 a month as a model: how an upstart conned dozens of gullible journalists, Medium.com (debunking dei presunti guadagni di Aitana Lopez e analisi di come la pseudonotizia del suo successo è diventata virale)

---

La seconda storia di questo podcast arriva da Hong Kong. Siamo a febbraio del 2024, e scoppia la notizia di una truffa da 25 milioni di dollari ai danni di una multinazionale, effettuata con la tecnica del deepfake, la stessa usata nella storia precedente con altri scopi.

Un operatore finanziario che lavora a Hong Kong si sarebbe fatto sottrarre questa ragguardevolissima cifra perché dei truffatori avrebbero creato una versione sintetica del suo direttore finanziario, che stava a Londra, e l’avrebbero usata per impersonare questo direttore durante una videoconferenza di gruppo, nella quale anche gli altri partecipanti, colleghi dell’operatore, sarebbero stati simulati sempre con l’intelligenza artificiale, perlomeno stando alle dichiarazioni attribuite alla polizia di Hong Kong [Rthk.hk, con video del portavoce della polizia, Baron Chan; The Register].

Dato che tutti i partecipanti alla videochiamata sembravano reali e avevano le sembianze di colleghi, quando l’operatore ha ricevuto l’ordine di effettuare quindici transazioni verso cinque conti bancari locali, per un totale appunto di 25 milioni di dollari, ha eseguito le istruzioni, e i soldi hanno preso il volo.

L’ipotesi che viene fatta dalla polizia è che i truffatori abbiano scaricato dei video dei vari colleghi e li abbiano usati per addestrare un’intelligenza artificiale ad aggiungere ai video una voce sintetica ma credibile. Il malcapitato operatore si sarebbe accorto del raggiro solo quando ha chiamato la sede centrale dell’azienda per un controllo.

La notizia viene accolta con un certo scetticismo da molti addetti alla sicurezza informatica. Già simulare un singolo volto e una singola voce in maniera perfettamente realistica è piuttosto impegnativo, figuriamoci simularne due, tre o più contemporaneamente. La potenza di calcolo necessaria sarebbe formidabile. Non c’è per caso qualche altra spiegazione a quello che è successo?

[The Standard presenta una ricostruzione un po’ diversa degli eventi: solo il direttore finanziario sarebbe stato simulato e gli altri quattro o sei partecipanti sarebbero stati reali. “An employee of a multinational company received a message from the scammer, who claimed to be the “Chief Financial Officer” of the London head office, asking to join an encrypted virtual meeting with four to six staffers. The victim recalled that the “CFO” spent most of the time giving investment instructions, asking him to transfer funds to different accounts, and ending the meeting in a hurry. He found that he was cheated after he made 15 transactions totaling HK$200 million to five local accounts within a week and reported to the police. It was discovered that the speech of the “CFO” was only a virtual video generated by the scammer through deepfake. Police said other employees of the same company were also instructed to attend the meeting.”]

Otto mesi dopo, cioè pochi giorni fa, un esperto di sicurezza, Brandon Kovacs, affascinato da quella truffa milionaria, ha dimostrato alla conferenza di hacking DEF CON che in realtà una videoconferenza nella quale tutti i partecipanti, tranne la vittima, sono in realtà delle simulazioni indistinguibili dagli originaliè fattibile, ed è fattibile con apparecchiature piuttosto modeste e sicuramente alla portata economica di una banda di criminali che spera in un bottino di svariati milioni di dollari.

La parte più impegnativa di quest’impresa è procurarsi delle riprese video delle persone da simulare. Queste registrazioni servono per addestrare un’intelligenza artificiale su misura a generare un deepfake in tempo reale della persona specifica. Ma oggigiorno praticamente chiunque lavori in un’azienda ha ore e ore di riprese video che lo riguardano nel contesto ideale per addestrare un’intelligenza artificiale: le registrazioni delle videoconferenze di lavoro alle quali ha partecipato.

Kovacs ha messo alla prova quest’ipotesi: è possibile creare un clone video di qualcuno usando solo informazioni pubblicamente disponibili e software a sorgente aperto, cioè open source?

La risposta è sì: insieme a una collega, Alethe Denis, di cui aveva le registrazioni pubblicamente disponibili delle sue interviste, podcast e relazioni a conferenze pubbliche, ha addestrato un’intelligenza artificiale e si è procurato una fotocamera digitale reflex professionale, delle luci, una parrucca somigliante ai capelli della collega, un telo verde e del software, e ha usato il deepfake generato in tempo reale come segnale di ingresso del microfono e della telecamera per una sessione di Microsoft Teams, nella quale ha parlato con i figli della collega, spacciandosi per lei in voce e in video in diretta. I figli ci sono cascati completamente, e se un figlio non si accorge che sua mamma non è sua mamma, vuol dire che l’inganno è più che adeguato.

Creare un deepfake del genere, insomma, non è più un’impresa: il sito tecnico The Register nota che un software come DeepFaceLab, che permette di addestrare un modello per creare un deepfake di una persona specifica, è disponibile gratuitamente. Anche il software per l’addestramento della voce esiste in forma open source e gratuita: è il caso per esempio di RVC. E la scheda grafica sufficientemente potente da generare le immagini del volto simulato in tempo reale costa circa 1600 dollari.

In pratica, Kovacs ha creato un kit per deepfake pronto per l’uso [mini-demo su LinkedIn]. Un kit del genere moltiplicato per il numero dei partecipanti a una videoconferenza non è a buon mercato per noi comuni mortali, ma è sicuramente una spesa abbordabile per un gruppo di criminali se la speranza è usarlo per intascare illecitamente 25 milioni di dollari. E quindi l’ipotesi della polizia di Hong Kong è plausibile.

Non ci resta che seguire i consigli di questa stessa forza di polizia per prevenire questo nuovo tipo di attacco:

• primo, avvisare che esiste, perché molti utenti non immaginano nemmeno che sia possibile;
• secondo, non pensare che il numero dei partecipanti renda particolarmente difficile questo reato;
• e terzo, abituare e abituarsi a confermare sempre le identità delle persone che vediamo in video facendo loro delle domande di cui solo loro possono sapere la risposta.

E così la demolizione della realtà fatta dall’intelligenza artificiale prosegue inesorabile in entrambe queste storie: non possiamo più fidarci di nessuna immagine, né fissa né in movimento, ma possiamo fare affidamento su una costante umana che non varia nel tempo: la capacità e la passione universale di trovare il modo di usare qualunque tecnologia per imbrogliare il prossimo.

Fonte aggiuntiva: Lights, camera, AI! Real-time deepfakes coming to DEF CON, The Register. 

Questo articolo è importato dal mio blog precedente Il Disinformatico: l’originale (con i commenti dei lettori) è qui.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.

Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.

Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.

---

Vi piacciono gli adblocker? Quelle app che bloccano le pubblicità e rendono così fluida e veloce l’esplorazione dei siti Web, senza continue interruzioni? O state pensando di installarne uno perché avete visto che gli altri navigano beatamente senza spot? Beh, se adoperate o state valutando di installare uno degli adblocker più popolari, uBlock Origin, c’è una novità importante che vi riguarda: Google sta per bloccarlo sul proprio browser Chrome. Ma c’è un modo per risolvere il problema.

Ve lo racconto in questa puntata del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica, e vi racconto anche cosa succede realmente con gli iPhone ora che l’App Store di Apple non è più l’unico store per le app per questi telefoni e quindi aziende come Epic Games, quella di Fortnite, sono finalmente libere di offrire i propri prodotti senza dover pagare il 30% di dazio ad Apple, anche se lo sono solo a certe condizioni complicate. Vediamole insieme. Io sono Paolo Attivissimo.

[SIGLA di apertura]

Google sta per bloccare l’adblocker uBlock Origin

La pubblicità nei siti a volte è talmente invadente, specialmente sugli schermi relativamente piccoli degli smartphone, che diventa impossibile leggere i contenuti perché sono completamente coperti da banner, pop-up e tutte le altre forme di interruzione inventate in questi anni dai pubblicitari. Molti utenti si difendono da quest’invasione di réclame adottando una misura drastica: un adblocker, ossia un’app che si aggiunge al proprio browser sul computer, sul tablet o sul telefono e blocca le pubblicità.

Uno degli adblocker più popolari, con decine di milioni di utenti, è uBlock Origin, un’app gratuita disponibile per tutti i principali browser, come per esempio Edge, Firefox, Chrome, Opera e Safari. È scaricabile presso Ublockorigin.com ed è manutenuto ormai da un decennio dal suo creatore, Raymond Hill, che non solo offre gratuitamente questo software ma rifiuta esplicitamente qualunque donazione o sponsorizzazione. Questa sua fiera indipendenza, rimasta intatta mentre altri adblocker sono scesi a compromessi lasciando passare le “pubblicità amiche”, lo ha fatto diventare estremamente popolare.

Ovviamente i pubblicitari, e i siti che si mantengono tramite le pubblicità, non vedono di buon occhio questo successo degli adblocker, e quindi c’è una rincorsa tecnologica continua fra chi crea pubblicità che eludono gli ablocker in modi sempre nuovi e chi crea adblocker che cercano di bloccare anche quei nuovi modi.

Anche Google vive di pubblicità, e quindi in questa rincorsa non è affatto neutrale: se le pubblicità che Google vende non vengono viste dagli utenti, gli incassi calano. E infatti il suo browser Chrome, uno dei più usati al mondo, sta per bloccare l’adblocker uBlock Origin. I trentacinque milioni di utenti che lo adoperano su Chrome, stando perlomeno ai dati presenti sulla sua pagina nel Chrome Web Store [screenshot qui sotto], si troveranno quindi presto orfani, perché è in arrivo un aggiornamento importante della tecnologia di supporto alle estensioni in Chrome, fatto formalmente per aumentarne la sicurezza, l’efficienza e la conformità agli standard, ma questo aggiornamento ha anche un effetto collaterale non trascurabile: renderà uBlock Origin incompatibile con le prossime versioni di Chrome.

Niente panico: al momento attuale uBlock Origin funziona ancora su Chrome, ma nelle prossime versioni del browser di Google verrà disabilitato automaticamente. Per un certo periodo, gli utenti avranno la possibilità di riattivarlo manualmente, ma poi sparirà anche questa opzione.

uBlock Origin continuerà a funzionare sugli altri browser, per cui un primo rimedio al problema per i suoi milioni di utenti è cambiare browser, passando per esempio a Firefox. Ma questo non è facile per gli utenti poco esperti e rischia di introdurre incompatibilità e disagi, perché la popolarità di Chrome spinge i creatori dei siti a realizzare siti Web che funzionano bene soltanto con Chrome, in una ripetizione distorta della celebre guerra dei browser che aveva visto protagonista Internet Explorer di Microsoft contro Netscape alla fine degli anni Novanta.

Raymond Hill, il creatore di uBlock Origin, non è rimasto con le mani in mano. Vista la tempesta in arrivo, ha già creato e reso disponibile, sempre gratuitamente, un nuovo adblocker che è compatibile con le prossime versioni di Google Chrome. Si chiama uBlock Origin Lite, ed è già disponibile sul Chrome Web Store. Trovate i link per scaricarlo su Disinformatico.info. Per ragioni tecniche non è potente ed efficace come il suo predecessore, per cui Raymond Hill non lo propone come aggiornamento automatico ma lo raccomanda come alternativa.

Se siete affezionati alla navigazione senza pubblicità grazie a uBlock Origin, insomma, avete due possibilità: cambiare browser oppure passare alla versione Lite di uBlock Origin, che è già stata installata in questo momento da circa trecentomila utenti.

In tutto questo non va dimenticato che molti dei siti e dei servizi più usati di Internet si mantengono grazie ai ricavi pubblicitari che gli adblocker impediscono, per cui se usate un adblocker di qualunque tipo vale la pena di dedicare qualche minuto ad autorizzare le pubblicità dei siti che vi piacciono e che volete sostenere, lasciando bloccati tutti gli altri, anche come misura di difesa contro i siti di fake news nei quali è facile incappare e che si mantengono con la pubblicità, per cui a loro non interessa che crediate o meno a quello che scrivono: l’importante per loro è che vediate le loro inserzioni pubblicitarie. Ed è così che paradossalmente gli adblocker diventano uno strumento contro la disinformazione e i truffatori.

Fonti aggiuntive: PC World, WindowsCentral.

iPhone, arrivano gli app store alternativi. Ma solo in UE

Da quando è arrivato l’iPhone, una delle sue caratteristiche centrali è stata quella di avere un unico fornitore di app, cioè l’App Store della stessa Apple. Sugli smartphone delle altre marche, con altri sistemi operativi come per esempio Android, l’utente è sempre stato libero di procurarsi e installare app di qualunque provenienza con poche semplici operazioni, mentre Apple ha scelto la via del monopolio, aggirabile solo con procedure decisamente troppo complicate per l’utente medio.

Oggi, dopo sedici anni dal suo debutto nel 2008, l’App Store di Apple non è più l’unica fonte di app disponibile agli utenti degli smartphone di questa marca: debuttano infatti gli app store alternativi per gli iPhone. Ma solo per chi si trova nell’Unione Europea. Una volta tanto, una novità arriva prima in Europa che negli Stati Uniti, ma non scalpitate, le cose non sono così semplici come possono sembrare a prima vista.

La novità è merito delle norme europee sulla concorrenza, specificamente del Digital Markets Act o DMA, e delle azioni legali avviate da aziende come Spotify, Airbnb e in particolare Epic Games, la casa produttrice di Fortnite, aziende che contestavano non solo il regime di sostanziale monopolio ma anche il fatto che Apple, come Google, chiede il 30% dei ricavi delle app: una percentuale ritenuta troppo esosa da molti sviluppatori di app.

A questi costi si aggiungeva il fatto che alcuni tipi di app non erano disponibili nell’App Store di Apple per scelta politica, per esempio su pressioni di governi come quello cinese, indiano o russo, oppure per decisione spesso arbitraria di Apple, come per esempio nel caso degli emulatori di altri sistemi operativi (come il DOS) [The Verge], o nel caso dei browser alternativi (ammessi solo se usano lo stesso motore interno WebKit di Safari [The Verge]), oppure dei contenuti anche solo vagamente relativi alla sessualità, come nella vicenda emblematica dell’app che offriva un adattamento a fumetti dell’Ulisse di Joyce, che era stata respinta per aver osato mostrare dei genitali maschili appena accennati da un tratto di matita.

Apple ha giustificato finora queste restrizioni parlando di esigenze di qualità e di sicurezza, e in effetti i casi di app pericolose giunte nel suo App Store sono limitatissimi rispetto al fiume di malware e di spyware che si incontra facilmente su Google Play per il mondo Android, ma non sempre queste giustificazioni sono state documentate; l’argomentazione generale di Apple è stata che solo Apple era in grado di fornire una user experience buona, sicura e felice. In ogni caso, che ad Apple piaccia o no, l’Unione Europea ha disposto che gli utenti di iPhone e iPad abbiano la facoltà di procurarsi app anche attraverso app store alternativi.

E così oggi un utente Apple che si trovi in Unione Europea può rivolgersi ad app store come AltStore, Setapp, Epic Games, Aptoide e altri, trovandovi app che non esistono nello store di Apple, soprattutto nel settore dei giochi e degli emulatori.

Ma la procedura non è affatto semplice. Mentre per usare l’App Store di Apple l’utente non deve fare nulla, per usare gli store alternativi deve trovarsi materialmente nel territorio dell’Unione Europea, e quindi per esempio la Svizzera e il Regno Unito sono esclusi; deve impostare il paese o l’area geografica del proprio ID Apple su uno dei paesi o delle aree geografiche dell’Unione Europea, e deve aver installato iOS 17.4 o versioni successive. E una volta fatto tutto questo, deve poi andare al sito dello store alternativo ed eseguire tutta una serie di operazioni prima di poter arrivare finalmente alle app vere e proprie. La cosa è talmente complessa che Epic Games ha addirittura pubblicato su YouTube un video che spiega la procedura.

La faccenda si complica ulteriormente se per caso l’utente esce per qualunque motivo dall’Unione Europea: gli aggiornamenti delle app degli store alternativi saranno ammessi solo per 30 giorni, e ci sono anche altre limitazioni, elencate in un tediosissimo documento pubblicato da Apple che trovate linkato su Disinformatico.info.

[il documento di Apple elenca in dettaglio i paesi e le aree geografiche compatibili: Austria, Belgio, Bulgaria, Croazia, Cipro, Repubblica Ceca, Danimarca, Estonia, Finlandia (incluse Isole Åland), Francia (incluse Guyana francese, Guadalupa, Martinica, Mayotte, Reunion, Saint Martin), Germania, Grecia, Ungheria, Irlanda, Italia, Lettonia, Lituania, Lussemburgo, Malta, Paesi Bassi, Polonia, Portogallo (incluse Azzorre), Madeira, Romania, Slovacchia, Slovenia, Spagna (incluse Isole Canarie), Svezia]

All’atto pratico, è difficile che questa apertura forzata e controvoglia dell’App Store interessi a chi non è particolarmente esperto o appassionato, ma perlomeno stabilisce il principio che a differenza di quello che avviene altrove, nell’Unione Europea le grandi aziende del software non sono sempre in grado di fare il bello e il cattivo tempo.

Fonti aggiuntive: TechCrunch, IGN, The Verge, TechCrunch