Vengono usati per diffondere disinformazione, seminare discordia, e anche per truffare le persone. Sono i cosidetti “bad bots”, i falsi account che su internet e sui social permettono di comprare decine di migliaia di visualizzazioni false, di spargere fake news a piene mani, ma anche di mandare esaurita in pochi istanti la vendita di biglietti per il concerto di una star. Abbiamo discusso con Jon Roozenbeek, ricercatore al Social Decision-Making Laboratory dell’Università di Cambridge, e di recente visiting professor alla Scuola IMT, dei dati più o meno noti sul funzionamento di questo mercato di cui siamo tutti attori e del suo potenziale impatto sulle società e le democrazie.
Quante delle “persone” con cui interagiamo online in realtà non esistono?
È una domanda difficile a cui rispondere perché i nostri metodi di rilevamento sono pessimi. Ma abbiamo dei sospetti. C’è uno studio che viene condotto ogni anno da un gruppo di ricerca chiamato Barracuda per verificare quanto traffico internet sia composto da bot, buoni e cattivi. I bot buoni sono aggregatori di notizie, chatbot e così via. I bot cattivi sono quelli che pubblicano disinformazione, o che rubano i dati personali, o che acquistano massivamente biglietti per eventi, e così via. Secondo l’ultimo studio, risalente all’anno scorso, la percentuale di bot dannosi su tutto il traffico internet era del 24 per cento: quindi, uno su quattro. Non significa che il 24 per cento di tutti i contenuti dei social media sia creato da bot. Significa che di tutto il traffico internet, un quarto è costituito da bot dannosi.
Anche se questo numero sembra diminuire di anno in anno, è una falsa impressione: significa solo che stiamo diventando sempre meno capaci di riconoscere cosa sia e cosa non sia un bot online, il che è un problema perché è in parte dovuto all’ascesa dell’intelligenza artificiale. I bot di oggi sembrano molto più umani di prima. Questo rende ancora più difficile stimare l’entità del problema, ma siamo abbastanza sicuri che sia sostanziale e anche che i nostri strumenti di rilevamento siano piuttosto scadenti, purtroppo.
Quali sono le categorie di bot “cattivi”?
Ci sono vari modi in cui un bot è dannoso, magari non tutti illegali, ma più simili a comportamenti da economia sommersa. Uno dei principali è semplicemente fare soldi. È molto semplice, per esempio per l’acquisto di biglietti per eventi. Mettiamo che Taylor Swift faccia un concerto in Italia, i biglietti vanno esauriti in un minuto. Non è perché ci sono persone in coda, o non soltanto per questo. A volte è così, per artisti molto popolari. Ma spesso ci sono degli script automatizzati che acquistano questi biglietti, per poi rivenderli, su eBay o altrove.
Questo accade non solo per i biglietti degli eventi, ma anche per hardware popolari, come la PlayStation 5 che ha avuto questo problema in modo grave quando è stata lanciata: i bot la acquistavano, generando molta più domanda rispetto all’offerta. Questo significa che puoi guadagnare un sacco di soldi essendo tra i primi ad acquistare e poi rivendendo a un prezzo più alto online.
E non c’è modo di individuare questo tipo di bot che acquista biglietti?
C’è, ma non funziona bene. È davvero difficile.
Quali sono altri settori in cui vengono usati i bot?
C’è quello delle truffe sulle criptovalute, la versione moderna delle truffe via email, più o meno. Questo ci avvicina al territorio dei social media, dove qualcuno programma bot su X, per dire “dovresti comprare questa criptovaluta”. Le persone reali pensano “toh, ci sono molte persone che stanno comprando questa criptovaluta, forse dovrei farlo anch’io”. In realtà, si tratta semplicemente di bot. Quindi questo è un modo per truffare le persone.
Ci sono anche operazioni di influenza politica, in cui viene generata attività sui social media riguardo a un politico. Sembra che questo politico sia molto popolare, ma in realtà si tratta solo di scambi tra i bot. A questo è legato un altro fenomeno: l’acquisto di account online per diffondere disinformazione. Gli account valgono di più se sono “più vecchi” e hanno maggiore attività. Quindi molta attività dei bot avviene non per uno scopo specifico, ma solo per dare legittimità all’account. Ad esempio, su Reddit si vedono molti account bot che pubblicano contenuti falsi generati dall’intelligenza artificiale, non perché alle persone interessi davvero il contenuto pubblicato, ma per dare all’account più voti positivi, più “karma”, e far sembrare che sia legittimo, per poi venderlo, oppure usarlo per altri motivi.
E questo succede su tutti i social media?
Indistintamente, ovunque. Anche se ci sono variazioni nella domanda e nell’offerta. Per alcuni canali davvero sconosciuti è diverso rispetto a Facebook, X, Reddit o TikTok, per esempio.
Chi c’è dietro questa “industria”?
È proprio un’intera industria in cui si possono acquistare attività false. E questa industria non è affatto illegale, solo un po’ discutibile. In quasi tutti i paesi non verresti arrestato se gestissi un sito web del genere. È un mercato grigio, in realtà, non un mercato nero. Quello che fanno è vendere, ad esempio, verifiche per gli account. Mettiamo che vuoi aprire un account Facebook, hai bisogno di un indirizzo email e di un numero di telefono. Se sei in Italia e devi registrare un account in Austria, per esempio, ti serve un numero di telefono austriaco, altrimenti la registrazione non funziona: le piattaforme hanno misure di sicurezza che lo impediscono. Ma questo servizio si può acquistare: puoi andare su un sito web e acquistare un account Facebook in Austria quasi gratuitamente, costa un centesimo di euro a dir tanto, non di più. Questo settore è ampiamente utilizzato da tutti gli attori che ho appena menzionato, come gli scanner e gli operatori politici per acquistare un gran numero di account che poi insieme diventano reti di bot programmati per vari scopi.
Sappiamo dove ha sede chi offre questi servizi?
La maggior parte si trova in Russia, alcuni in altri paesi, come Cina e Bielorussia. Non è chiaro come funzionino, se siano collegati tra loro, se siano gestiti dallo Stato, se siano operazioni dei servizi segreti. È possibile. Non lo sappiamo. Possiamo guardare i loro siti web, e il motivo per cui pensiamo che siano russi è perché il loro sito web è in inglese, ma è un inglese grammaticalmente scorretto, mentre in russo è perfettamente corretto. E inoltre si possono usare i fornitori di servizi di pagamento russi, si può pagare in rubli, e così via. Per questo pensiamo che siano russi, ma potrebbero anche non esserlo: potrebbero operare da qualche altra parte e semplicemente rivolgersi al mercato russo. È una possibilità. Anche se il mio sospetto è che siano proprio russi.
Ci sono stime su quante persone potrebbero essere impiegate in questo settore?
La portata del fenomeno è una delle cose che stiamo cercando di capire. Si parla di migliaia, decine di migliaia. Abbiamo individuato 17 fornitori, ma potrebbero essercene di più. È possibile che non li abbiamo trovati tutti, ma è anche possibile che alcuni di questi fornitori, che sono come cloni l’uno dell’altro perché hanno esattamente gli stessi prezzi ogni giorno, quindi usano gli stessi dati, non siano in realtà fornitori diversi.
La mia idea di partenza era che questo fosse un fenomeno molto noto, ma hai appena detto che in realtà è difficile studiarlo e avere un’idea precisa di come funziona, chi c’è dietro, quanto è esteso. Perché è difficile avere dati su questo fenomeno, per ragioni tecniche? O per qualche altro motivo?
Il problema dei bot è abbastanza ben studiato. Ci sono studi che risalgono a diversi anni fa e che cercano di stimare la percentuale di bot su Twitter, ad esempio, l’uso dei bot nelle campagne di disinformazione, ecc. Queste cose sono abbastanza ben note. Quello che non è ben noto e studiato è il mercato che li vende. Non è del tutto sconosciuto, ma per il momento non ci sono grandi studi al riguardo.
Pensi che sia utile o necessario sensibilizzare il pubblico sull’esistenza e sul funzionamento di questo fenomeno?
Beh, io lo affronto come un problema di regolamentazione. Ovviamente, se le persone sono interessate, allora tanto meglio. Ma non sono così sicuro che l’educazione pubblica sia d’aiuto, perché è davvero difficile capire se si sta parlando con un bot online, o se si stanno leggendo cose prodotte da un bot. Penso che ci si debba porre principalmente da una prospettiva di sicurezza informatica. Guardando la cosa dalla prospettiva del mercato, ha senso chiedersi se dobbiamo regolamentare questo mercato e, in tal caso, come. Come società, decidiamo che questo mercato sia accettabile o decidiamo che preferiamo disincentivarlo il più possibile? Ma non spetta a me deciderlo. Spetta alle autorità di regolamentazione e ai legislatori esprimere un’opinione in merito. Per poter esprimere un’opinione in merito, dobbiamo però ovviamente prima capirlo.
Chiara Palmerini
