Senza la recente inchiesta di due giornali svedesi, Svenska Dagbladet e Göteborgs-Posten, forse nessuno saprebbe che i dipendenti di un’azienda di Nairobi che si chiama Sama, su incarico di Meta, sono stati ingaggiati per visionare e classificare i video registrati dagli utenti degli smart glassesRay-Ban e Oakley dell’azienda. Obiettivo: addestrare il sistema di intelligenza artificiale integrato negli occhiali. Il problema è che quelle persone raccontano di aver visto di tutto: persone che fanno sesso, che vanno in bagno, che inquadrano le proprie carte di credito. Con le trascrizioni delle conversazioni tra gli utenti e l’IA.
Meta dice che è tutto ok perché questa “pratica” è indicata nelle condizioni d’uso e che i video vengono filtrati prima della revisione. I revisori, però, dicono che i filtri non funzionano sempre e che i volti restano spesso riconoscibili.
La posizione di Meta è tecnicamente difendibile: la revisione umana dei dati è menzionata nelle condizioni d’uso e nelle versioni per UK e UE si parla esplicitamente di “revisione manuale”. Ma c’è una differenza enorme tra rispettare la legge e agire in modo trasparente. Quella clausola è annegata in un documento che nessuno legge, scritta per soddisfare i requisiti legali, non per informare davvero. D’altronde il led di notifica sulla montatura degli occhiali segnala che si sta registrando, non che quei video potrebbero finire sul desktop di un revisore a Nairobi. Lo sappiamo: per Meta i dati degli utenti sono il carburante del business. Addestrare l’IA significa migliorare i prodotti e venderne di più. Il costo lo pagano gli utenti con la loro privacy, spesso senza saperlo davvero.
Chi compra un paio di Ray-Ban Meta pensa di acquistare un accessorio di stile con un cervello incorporato, difficilmente è consapevole di sottoscrivere anche un abbonamento implicito a un programma di sorveglianza involontaria, dove i momenti più privati della propria giornata diventano materia prima per l’addestramento di macchine. Il consenso richiesto è formale, non sostanziale: le aziende sanno esattamente cosa raccolgono, gli utenti no. Ma soprattutto: la privacy non riguarda solo chi ha segreti da nascondere, riguarda chiunque abbia un corpo, una casa, una vita intima che preferirebbe non mostrare a estranei.
C’è una domanda che questa storia solleva e che rimane sospesa nell’aria: se questo è quello che sappiamo degli occhiali di Meta, cosa non sappiamo ancora dei mille altri dispositivi “intelligenti” che abbiamo in casa, in tasca, sul polso?
Gli assistenti vocali e gli smart speaker ascoltano. I televisori guardano. Le app tracciano. I telefoni registrano. Ognuno di questi sistemi ha bisogno, prima o poi, di dati umani per migliorare. E quei dati vengono da noi. La storia degli occhiali Meta non è uno scandalo isolato, ma uno squarcio in un sistema opaco che funziona così da anni e che continuerà a funzionare finché la legge si accontenterà di clausole sepolte in documenti che nessuno legge.
E quella piccola lucina sugli occhiali che segnala la registrazione è una metafora perfetta: c’è, tecnicamente fa quello che deve fare, ma non basta. Non basta a illuminare davvero quello che succede dopo.
Febbraio e marzo sono i mesi in cui milioni di italiani iniziano a organizzare le vacanze di Pasqua, i ponti di aprile e maggio, ma soprattutto le ferie estive. Lo sappiamo noi e lo sanno ancor meglio i cybercriminali: la Polizia Postaleha lanciato in questi giorni un nuovo allarme su una campagna di phishing mirata specificamente a chi ha già prenotato un viaggio tramite piattaforme online come Booking, Airbnb e altre.
Il meccanismo si basa su un dettaglio preciso: l’importo indicato nel messaggio fraudolento coincide esattamente con la cifra realmente versata per il viaggio. Ed è proprio questa corrispondenza a rendere la truffa particolarmente credibile.
La comunicazione può arrivare via mail o messaggi WhatsApp. Il mittente si presenta sotto le mentite spoglie della piattaforma scelta per la prenotazione e comunica che il pagamento non è andato a buon fine, oppure è ancora in verifica, con l’invito a effettuare un “pagamento prioritario” o un “riaccredito necessario” verso un conto che, ovviamente, è nelle mani dei truffatori.
Attenzione all’aspetto anche grafico dell’e-mail, che spesso è realmente molto simile a quello ufficiale. Grazie anche all’intelligenza artificiale generativa, i criminali riescono a creare messaggi e siti quasi identici a quelli originali, includendo persino chatbot automatizzati che imitano l’assistenza clienti.
Questi sono i testi tipici che devono far scattare un campanello d’allarme immediato:
“Il pagamento precedentemente effettuato non risulta accreditato”
“Il suo pagamento è in verifica, è necessario un riaccredito urgente”
“Effettui un pagamento prioritario per confermare la prenotazione”
Qualsiasi messaggio che crei senso di urgenza e spinga ad agire in fretta, senza dare il tempo di verificare
Quindi, come non cascare nella trappola?
Non cliccare mai sui link contenuti in e-mail o messaggi sospetti, anche se la grafica sembra autentica.
Digitate voi stessi l’indirizzo della piattaforma nel browser per verificare lo stato della vostra prenotazione.
Controllate il mittente dell’e-mail: spesso differisce di una sola lettera da quello reale, o ha un dominio insolito (es. .today, .info).
Non effettuate mai un secondo pagamento prima di aver verificato direttamente sulla piattaforma ufficiale.
Diffidate dei siti che accettano solo carta di credito e rifiutano metodi come PayPal: è un possibile segnale di truffa.
Se avete già pagato, contattate subito la banca per bloccare il bonifico o contestare l’addebito.
Anche se non avete effettuato nessun pagamento, segnalate il tentativo di truffa tramite il portale della Polizia Postale su commissariatodips.it. Ogni segnalazione contribuisce a monitorare il fenomeno e a proteggere chi prenota dopo di voi.
Questa notizia non deve farvi diffidare degli operatori turistici online, ma ricordate: i truffatori puntano proprio sulla fretta e sull’emozione del momento. Un minuto di verifica in più può salvarvi da una brutta sorpresa.
L’intelligenza artificiale è già seduta tra i banchi: nei compiti scritti con l’aiuto di ChatGPT, nei registri elettronici, nei sistemi di supporto alla valutazione, nelle piattaforme didattiche che suggeriscono esercizi personalizzati. L’ingresso dell’IA nel mondo dell’istruzione è ormai affermato e il tempo di chiedersi se sia giusto o meno è scaduto: ora è il momento di capire come farne un uso costruttivo e, soprattutto, con quali regole e con quali consapevolezze. Non spetta ovviamente al sottoscritto dare risposte definitive: il mio intento, umile ma spero utile, è quello di proporre qualche strumento di lettura critica su un fenomeno che riguarda tutti: studenti, docenti, famiglie, istituzioni.
Nell’agosto del 2025 il Ministero dell’Istruzione e del Merito ha pubblicato le Linee guida per l’introduzione dell’Intelligenza Artificiale nelle scuole, parte della più ampia Strategia italiana per l’intelligenza artificiale 2024-2026 elaborata dall’AgID. Nel novembre dello stesso anno è arrivato un investimento di 100 milioni di euro destinati alla formazione del corpo docente e alla creazione di laboratori dedicati alla transizione digitale, risorse PNRR che segnalano quanto la questione sia ormai considerata prioritaria anche a livello di politica pubblica.
Il documento ministeriale afferma un principio chiaro: l’IA è uno strumento, non un fine. Deve essere messa al servizio della didattica e della crescita umana degli studenti, sempre nel rispetto dell’AI Act europeo e dei diritti fondamentali. La sorveglianza umana di insegnanti, dirigenti e famiglie resta insostituibile.
Il quadro italiano si inserisce in una riflessione più ampia. A gennaio 2026 l’OCSE ha pubblicato il suo rapporto sull’educazione digitale e l’IA generativa nell’istruzione, un documento che vale la pena leggere con attenzione, non perché offra ricette facili, ma proprio perché si guarda bene dal farlo. Il tono è volutamente sobrio: dopo anni di investimenti in tecnologia educativa in tutto il mondo, i risultati si sono rivelati disomogenei. Il digitale ha allargato opportunità in molti contesti, ma non ha automaticamente chiuso i gap di apprendimento, né innalzato in modo uniforme la qualità della didattica. La lezione principale è quasi controintuitiva: digitalizzare non significa migliorare. Non è sufficiente dotare le classi di dispositivi o piattaforme. Ciò che fa la differenza, secondo l’OCSE, è la preparazione pedagogica dei docenti, la coerenza tra strumenti digitali e obiettivi curricolari, insieme alla capacità di misurare davvero l’impatto di quello che si fa.
Anche il dibattito pubblico italiano si è intensificato: Il podcast Puntini sull’AI di Radio Radicale, nella puntata del gennaio 2026 dedicata alla scuola, ha esplorato cosa accade davvero quando gli algoritmi entrano nelle aule, non nella versione patinata dei convegni, ma nelle realtà quotidiane di chi insegna e di chi impara. E a questo proposito suggerisco anche la puntata di Intelligenze Artificiali che Matteo Flora ha dedicato all’IA nelle scuole, in cui ha esaminato i modi d’uso concreti dell’IA nel sistema scolastico italiano, evidenziando le tensioni tra potenziale innovativo e rischi sottovalutati.
Vale la pena guardare con onestà alle possibilità genuine che queste tecnologie aprono, senza cedere né all’entusiasmo acritico né al rifiuto pregiudiziale. Ogni studente ha tempi, modalità e punti di forza diversi. Gli strumenti di IA generativa possono adattare spiegazioni, esercizi e feedback alla fase in cui si trova ciascuno, cosa difficilissima da garantire in una classe di venticinque persone con un solo insegnante. E non si tratta solo di teoria: alcune sperimentazioni negli Stati Uniti citate nel rapporto OCSE 2026 mostrano che l’impiego di un tutor basato su IA generativa, progettato per stimolare il ragionamento attivo invece di limitarsi a fornire risposte, ha prodotto risultati di apprendimento superiori rispetto allo stesso corso tenuto in aula senza supporto algoritmico. Gli studenti hanno compreso di più e si sono mostrati più coinvolti. La differenza, però, stava nel come: l’IA era costruita con un preciso obiettivo pedagogico, non come scorciatoia.
Sempre nel rapporto OCSE si parla di un caso particolarmente interessante: docenti meno esperti che, grazie al supporto di strumenti di IA generativa, hanno migliorato la qualità delle loro strategie didattiche, con ricadute positive anche sugli apprendimenti degli studenti. Questo suggerisce che l’IA, se ben calibrata, può avere effetti positivi anche sul fronte dell’equità, aiutando a compensare le disuguaglianze legate alla qualità variabile dell’insegnamento.
Uno studente universitario che usa un assistente conversazionale per farsi spiegare un concetto in modi diversi, per testare la propria comprensione con domande simulate, o per organizzare la struttura di una tesi, sta sfruttando un potenziale reale. Questo non deve essere visto come un espediente per barare: è come avere un tutor disponibile a qualsiasi ora. Anche gli insegnanti possono farsi supportare dalla IA: le incombenze amministrative, la compilazione di registri, la preparazione di materiali standardizzati occupano una parte importante del loro tempo. Liberarli da queste attività tramite strumenti intelligenti significa restituire energia e attenzione alla parte più preziosa del lavoro: la relazione con gli studenti, la lettura delle loro difficoltà, la capacità di motivare.
Un articolo pubblicato su Nature a dicembre 2025, raccontando un’esperienza in corso a Sydney, proponeva la visione radicale (ma stimolante) dell’IA come infrastruttura di base di tutto il percorso accademico. In questo scenario, ogni fase (dall’orientamento iniziale alla personalizzazione dei contenuti, dalla valutazione dei progressi alla gestione amministrativa) verrebbe ripensata con l’IA come asse portante e il ruolo dei docenti cambierebbe di conseguenza: meno trasmissione frontale di nozioni, più mentorship, guida critica, accompagnamento umano. L’ateneo diventerebbe più flessibile, potenzialmente più capace di rispondere al calo delle iscrizioni e al disallineamento tra formazione e mercato del lavoro. In teoria, un sistema più accessibile e rilevante. In teoria.
Ma eccoci al punto in cui la prudenza è d’obbligo. Le opportunità appena descritte non sono automatiche: si realizzano solo in presenza di condizioni precise, e in loro assenza possono trasformarsi in danni. Il rischio più documentato e più insidioso è nel “miraggio della competenza”: il rapporto OCSE cita uno studio su studenti di matematica che, affidandosi a strumenti generici di IA generativa durante le esercitazioni, hanno mostrato un miglioramento apparente vicino al 50% nei compiti svolti con il supporto dell’algoritmo. Ma quando, all’esame, l’IA è stata rimossa, le loro prestazioni sono risultate sensibilmente peggiori rispetto a chi aveva studiato senza supporti artificiali. La tecnologia aveva prodotto un’illusione di padronanza: certo, migliorava l’output immediato, ma senza costruire comprensione reale. È una distinzione fondamentale, e dovrebbe far riflettere chiunque sia tentato di valutare l’efficacia di uno strumento solo dai risultati a breve termine.
Un altro rischio è il debito cognitivo: se deleghiamo all’IA la fatica del pensiero, cioè la ricerca delle parole giuste, la costruzione di un argomento, il ragionamento, rischiamo di non sviluppare quelle capacità. Come un muscolo che non viene allenato, il senso critico e analitico si atrofizza se non viene esercitato. L’articolo di Nature su Sydney avverte esplicitamente che un ricorso eccessivo all’IA può portare a plasmare studenti abituati a farsi condurre dagli algoritmi, con effetti negativi sull’autonomia intellettuale e sullo sviluppo del pensiero critico. E l’attendibilità delle fonti? I modelli di linguaggio generativo producono testi plausibili, ben scritti, convincenti… ma non necessariamente veri, lo sappiamo. A volte inventano citazioni, in altri casi falsificano dati e confondono dettagli storici con la stessa disinvoltura con cui producono contenuti accurati. Uno studente che non ha ancora sviluppato gli strumenti per verificare le fonti è particolarmente vulnerabile. L’IA non è un’enciclopedia: è uno strumento che richiede senso critico da parte di chi la usa.
Ma c’è anche un aspetto strutturale: le scuole con meno risorse, che spesso sono quelle che servono le comunità più fragili, rischiano di rimanere ai margini della transizione digitale, non potendo garantire connettività, dispositivi adeguati e docenti formati. Il rapporto OCSE è esplicito nel descrivere la possibilità che il digital divide si estenda: il digitale non riduce automaticamente le disuguaglianze e, in assenza di politiche mirate, può renderle ancora più evidenti. In Italia questo tema è particolarmente sensibile, dato il persistente divario tra Nord e Sud, ma anche tra aree urbane e periferiche.
C’è da considerare anche l’aspetto della governance dei dati. Sistemi di IA che tracciano i progressi degli studenti, ne analizzano le difficoltà e modellano i percorsi di apprendimento raccolgono dati straordinariamente sensibili. Chi li gestisce? Con quali garanzie? Se scuola e università si affidano a piattaforme proprietarie di grandi aziende tecnologiche, di fatto, cedono autonomia pedagogica. Le scelte su cosa insegnare, come valutare, quali contenuti privilegiare rischiano di migrare progressivamente verso pochi grandi attori privati con logiche e interessi propri.
Veniamo alla sostenibilità: In Italia il PNRR ha rappresentato, per chi è stato in grado di sfruttarlo, un’iniezione di risorse senza precedenti per la digitalizzazione educativa, con la nascita di Digital Educational Hub universitari e iniziative rivolte a scuole e fasce fragili della popolazione. Il quadro che emerge è quello di un sistema in rapida costruzione, capace di produrre esperienze di qualità. Ma molte di queste strutture restano dipendenti dai finanziamenti straordinari. La domanda che pochi si pongono apertamente è: cosa accadrà quando i fondi si esauriranno? Senza modelli istituzionali ed economici solidi, il rischio è che alcune di queste esperienze rimangano episodi brillanti ma isolati, incapaci di trasformarsi in patrimonio stabile del sistema educativo.
Ed è importante considerare l’importanza della relazione educativa: l’insegnamento non è un trasferimento di informazioni, ma una vera e propria relazione. La capacità di un docente di leggere lo stato emotivo di uno studente, di dargli forza nei momenti di scoraggiamento, di stimolarne la curiosità con un’osservazione inattesa, non è replicabile da nessun algoritmo. Se l’IA viene percepita come un sostituto dell’insegnante anziché come uno strumento di supporto, si rischia di sminuire qualcosa di irriducibile.
Il messaggio che emerge dalla riflessione più seria sul tema, dal rapporto OCSE, dalla ricerca accademica, dalle esperienze di chi insegna davvero, è che la tecnologia non funziona senza la pedagogia. Non basta introdurre uno strumento in classe per migliorare i risultati di apprendimento. Occorre chiedersi prima: perché? Con quali obiettivi? Come si valuta se funziona? Il vero salto di qualità, come scrive Adriana Agrimi su Agenda Digitale, non dipende dai device o dalle piattaforme, ma da scelte culturali e politiche coerenti nel tempo.
Da tutto questo si possono trarre alcune indicazioni utili, ricavate dall’esperienza di chi già lavora su questi temi:
Regole chiare e condivise. Ogni scuola, ogni ateneo dovrebbe definire in modo trasparente in quali contesti l’uso dell’IA va incoraggiato, consentito o vietato. Non per reprimere, ma per creare le condizioni di un uso consapevole.
Formare i docenti, davvero. Un insegnante che non conosce gli strumenti non può guidare gli studenti nel loro utilizzo critico. La formazione non può essere una tantum: deve essere continua, pratica, ancorata ai contesti reali. Il PNRR ha già finanziato percorsi importanti in questa direzione — il problema è che spesso si tratta di interventi a termine, non di cambiamenti strutturali.
Progettare con intenzione pedagogica. La differenza tra un tutor IA che “produce” apprendimento reale e uno che genera solo l’apparenza di competenza sta nel modo in cui è costruito e nel contesto in cui viene usato. Strumenti pensati per sollecitare il ragionamento, fare domande, stimolare la riflessione danno risultati diversi rispetto a quelli usati per ottenere risposte già pronte. La progettazione didattica deve precedere la scelta tecnologica.
Sviluppare l’AI literacy negli studenti. Capire come funziona un modello di linguaggio con i suoi limiti, i suoi meccanismi, ma anche con i suoi bias, deve essere considerato una competenza di cittadinanza. La scuola ha il compito di formare persone capaci di leggere criticamente i contenuti prodotti dall’IA, non solo di utilizzarla. Può aiutare a trovare risorse, a strutturare idee, a correggere bozze. Ma la valutazione critica, l’argomentazione originale, il giudizio autonomo devono restare compiti dello studente. Questo è il cuore dell’educazione.
Last but not least: non lasciare indietro nessuno. Qualsiasi politica di introduzione dell’IA nella scuola deve essere accompagnata da investimenti in infrastrutture e connettività, soprattutto nelle aree più svantaggiate. L’inclusione non è un optional.
L’intelligenza artificiale è uno specchio potente: riflette le scelte di chi la progetta, le aspettative di chi la usa, le condizioni strutturali in cui viene adottata. Ma è anche una spugna, perché assorbe le nozioni con cui viene addestrata. Nella scuola, come altrove, può fare molto bene o molto male, ma soprattutto può fare cose molto diverse a seconda di come viene introdotta e governata. L’IA può essere uno strumento straordinario al servizio di una visione educativa chiara: i problemi sorgono quando è la visione a mancare e si lascia che sia la tecnologia a colmare il vuoto.
L’indagine aperta per l’ipotesi di accesso abusivo a sistema informatico nei confronti di un tecnico ministeriale del distretto torinese, per come la vedo io, ha già avuto un effetto di rilievo: confermare le lacune nella gestione del sistema finito sotto la lente di Report. Le notizie diffuse nelle scorse ore, infatti, evidenziano che il ministero si è reso conto di quegli accessi solo dopo averne avuto notizia dalla trasmissione televisiva, e non da un alert interno.
Osservatori ed esperti del settore lo hanno evidenziato in tutti i modi: Microsoft ECM non è una cimice o un software-spia (definizioni errate date da alcuni), è uno standard di Endpoint Management, un prodotto regolarmente disponibile sul mercato e utilizzato in tutto il mondo per normalissime e necessarie operazioni di monitoraggio dello stato di un computer, distribuzione di aggiornamenti di sicurezza, installazione di software, supporto tecnico da remoto.
I vertici del Ministero hanno dichiarato che non può essere utilizzato per attività di controllo remoto senza il consenso degli utenti, ma questo non è un impedimento tecnico, poiché è stato riscontrato che notifiche e richieste di consenso agli utenti possono effettivamente essere disattivate. Certo, queste disattivazioni lasciano tracce che possono essere rilevate, ma il punto è proprio questo: vengono effettivamente rilevate?
Stiamo parlando dell’infrastruttura informatica del Ministero della Giustizia, di cui fanno parte i computer di magistrati che trattano dati molto riservati: se fosse attivo un controllo sulla disattivazione di notifiche e richieste di consenso, con l’invio dei relativi alert a figure responsabili della sicurezza dell’infrastruttura, dovrebbero scattare immediatamente le necessarie procedure di verifica, dando prova dell’efficacia della governance del sistema. In questo caso, invece, l’indagine della Procura è scattata in seguito a un esposto del Ministero della Giustizia datato 24 gennaio, dopo la pubblicazione – avvenuta il 21 gennaio da parte di Report – del video in cui il GIP di Alessandria Aldo Tirone spiega di aver consapevolmente fatto effettuare alcune prove con il supporto di tecnici informatici.
Queste evidenze, purtroppo, non trasmettono solo la smentita dell’impossibilità di disattivare notifiche e richieste di consenso all’utente, ma vanno ad un livello più alto, escludendo l’esistenza di un controllo efficace su eventuali disattivazioni non dichiarate. In questo momento, quindi, nell’occhio del ciclone sta finendo chi ha segnalato una seria vulnerabilità organizzativa, mentre l’attenzione dovrebbe puntare ad individuare e affrontare i problemi che l’hanno generata
Il servizio anticipato da Report nei giorni scorsi sul software di controllo installato nei computer del Ministero della Giustizia ha suscitato perplessità e preoccupazioni nei magistrati, sul fronte politico e nell’opinione pubblica. Prima di esprimermi ho atteso la messa in onda del servizio, per vederne il contenuto e formarmi un’opinione basata su informazioni più complete. Risultato: il vero problema non è tanto il software, quanto la mancanza di informazioni – o di chiarezza – sulla sua governance.
Le premesse, agli occhi e alle orecchie di un tecnico informato estraneo alla vicenda, indicavano essenzialmente che, per la gestione centralizzata di tutti i computer del Ministero, viene utilizzato Microsoft ECM, un software che per sua natura è utile, legittimo e regolarmente utilizzato in molte organizzazioni sia pubbliche che private, descrizione che i giornalisti di Report hanno dato correttamente, specificando che non si tratta di un software-spia, anche se alcune testimonianze nel servizio lo hanno etichettato in modo errato e fuorviante con termini come “cimice” e “trojan di Stato”.
Per inciso: quando dico “tutti i computer del Ministero” parlo di circa 40mila computer utilizzati da tutti coloro che lavorano alle dipendenze del Ministero. Un contesto in cui è necessario gestire l’inventario di hardware e software, avere il controllo delle licenze, programmare ed eseguire tutti i dovuti aggiornamenti per la sicurezza ed effettuare operazioni di helpdesk. Un’infrastruttura di grandi dimensioni richiede una gestione centralizzata di queste esigenze: per comprensibili difficoltà logistiche, non è pensabile che questa gestione sia affidata a un tecnico, ma sarebbe complesso anche per un team di tecnici pronti a intervenire fisicamente su ogni singolo pc.
Microsoft ECM consente di superare questi limiti e, tra le varie funzionalità, prevede quella di Remote Control, ad esempio, progettata ovviamente per effettuare assistenza tecnica da un altro dispositivo. Generalmente, prima di un intervento effettuato da remoto, è previsto che l’utente dia il consenso all’attività e accetti il collegamento. Tuttavia, è effettivamente possibile impostare un’opzione che permette di avviare quel collegamento anche senza consenso e questo è chiarito dalla stessa Microsoft che, nella documentazione tecnica, spiega esplicitamente che lo strumento “può anche monitorare gli utenti senza il loro permesso o consapevolezza” a seconda di come viene configurato.
Il software include anche strumenti di Software Metering per raccogliere dati sull’uso del computer (è possibile rilevare quali applicazioni vengono aperte, per quanto tempo e da quale utente, in background e senza notifiche all’utente) e permette di effettuare, sempre senza interazioni con l’utente, attività approfondite di ispezione su configurazione di sistema, utenti, file a scopo di inventario di hardware e software, così come l’esecuzione di script e comandi da remoto per estrarre informazioni o file senza che appaia nulla sullo schermo dell’utente.
I vertici del Ministero dichiarano che Microsoft ECM non può essere utilizzato per attività di controllo remoto senza il consenso degli utenti, ma questo è un impedimento procedurale e non tecnico, poiché è stato riscontrato che le notifiche e le richieste di consenso agli utenti possono effettivamente essere disattivate. Le possibilità di accesso “stealth” ad un pc dipendono dalla disattivazione intenzionale di questi controlli e di tutte queste operazioni, ovviamente, resta traccia. A quanto pare, tuttavia, nessuno rileva queste tracce, ne’ chiede conto di queste operazioni, come è stato dimostrato dai test effettuati da un giudice – il gip di Alessandria Aldo Tirone – con la collaborazione di un tecnico informatico interno, che per mesi e in più occasioni ha effettuato varie prove di collegamento remoto senza riscontrare alcun tipo di alert e, in seguito, senza ricevere alcuna segnalazione da chi dovrebbe avere la governance del sistema.
Occorre dunque considerare un aspetto importante: queste caratteristiche di Microsoft ECM, se non vincolate, lo rendono più adatto alla gestione dei dispositivi di organizzazioni che, per loro natura, trattano dati meno riservati e sensibili. Pensiamo ad esempio ai computer collegati ai display che mostrano i dati di arrivi e partenze presenti in aeroporti e stazioni ferroviarie, oppure a totem informativi o pubblicitari: in sintesi, è lo strumento ideale per la gestione di postazioni non presidiate (e che quindi non hanno un utilizzatore che deve dare un consenso alle attività di aggiornamento o manutenzione).
Sorgono quindi di conseguenza almeno due domande. La prima: per quale motivo, nel 2019, per la gestione e la manutenzione software dei computer del Ministero della Giustizia a tutti i livelli – da quelli amministrativi fino a quelli in uso ai magistrati – la scelta è caduta su Microsoft ECM? La seconda: come vengono gestite le informazioni relative alle operazioni effettuate senza trasmettere segnalazioni agli utenti?
Ricevere risposta a tali quesiti potrebbe, forse, contribuire a rendere meno fondate le perplessità sorte su questo software e a trasmettere la percezione di un Ministero che ha il controllo della situazione. Sicuramente una soluzione che consenta una gestione ottimale delle attività di supporto, manutenzione e aggiornamento è necessaria ad una realtà come quella del Ministero della Giustizia, soprattutto pensando alla sicurezza dei dati e ricordando che in un recente passato ci sono stati episodi allarmanti come l’attacco messo in atto nel 2024 dall’hacker Carmelo Miano, che riuscì a violare i server del Ministero della Giustizia, della Guardia di Finanza e di Telespazio, non con software di controllo remoto, ma utilizzando credenziali reali di magistrati e personale amministrativo carpite grazie a un malware trasmesso ai pc di due dipendenti del Ministero. Probabilmente privi di aggiornamenti o adeguate protezioni.
Anche LinkedIn, con la sua messaggistica interna, può essere usato come canale di distribuzione di malware. Lo ha reso noto Reliaquest spiegando la dinamica dell’attacco: gli utenti del social network vengono contattati da falsi recruiter o colleghi, con l’obiettivo di ottenere fiducia e convincere la vittima a scaricare un file, apparentemente innocuo che si presenta come un archivio compresso WinRAR che contiene un lettore PDF open source, una libreria DLL dannosa, un interprete Python e un file RAR di copertura.
La questione richiede particolare attenzione per un motivo molto semplice: generalmente la messaggistica privata di un social network non è sotto il controllo dei sistemi di sicurezza aziendali e questo la rende un canale ideale per i criminali informatici.
Per agire in modo nascosto gli attaccanti utilizzano una tecnica chiamata DLL side-loading: quando la vittima apre il lettore PDF legittimo, viene caricata automaticamente anche la libreria dannosa, camuffata da file legittimo e innocuo. Con questo malware i malintenzionati ottengono accesso remoto al computer colpito e da questo possono ricavare i dati personali e sensibili memorizzati, oltre ad avere la possibilità di mantenere il controllo del sistema.
Raccomandazioni d’obbligo: diffidate dei messaggi inattesi che chiedono di scaricare un file, anche se sembrano provenienti da persone conosciute e verificate l’identità del mittente (sfruttando altri canali, ad esempio via mail, WhatsApp o qualunque altra forma di comunicazione con cui potete mettervi in contatto), perché per un’opportunità professionale seria e legittima nessuno chiederà mai di scaricare file sospetti o di bypassare le procedure di sicurezza. Last but not least: mantenete aggiornati antivirus e sistema operativo e attivate l’autenticazione a due fattori.
È necessario tenere presente che il phishing non è più confinato solo alla posta elettronica e i social media sono terreno di caccia per i cybercriminali, anche quelli professionali come LinkedIn. La prima ldifesa, anche questo va ricordato, è la consapevolezza: se qualcosa sembra troppo bello per essere vero o mette fretta, probabilmente è un tentativo di truffa.
Sono da sempre contrario alle reazioni eccessive che sono conseguenza di vicende sgradevoli come quella del Pandoro-gate, per cui quando sento parlare – come in questi giorni – di boicottaggi organizzati contro aziende senza colpe, che danno lavoro a tante persone, credo che il discorso prenda pieghe decisamente sbagliate.
Il Pandoro-gate nasce dagli effetti di una campagna commerciale organizzata dall’industria dolciaria Balocco con le società Fenice e TBS Crew, che gestiscono attività, marchi e diritti relativi a Chiara Ferragni. Sono queste le aziende colpite dalle sanzioni dell’Antitrust per pratica commerciale scorretta, per motivazioni abbondantemente spiegate nel testo del provvedimento. Mi spiace sinceramente dirlo, ma se avete tempo e pazienza di leggerlo credo converrete con me che lasci davvero poco margine all’interpretazione o alla fantasia. Soprattutto nelle trascrizioni dei vari messaggi e-mail intercorsi tra le aziende interessate, emerge in modo abbastanza netto l’intento esplicito di far passare il messaggio che le vendite del pandoro avrebbero sostenuto l’iniziativa benefica per l’Ospedale Regina Margherita di Torino. Sono inoltre la stessa Chiara Ferragni e Alessandra Balocco ad essere iscritte dalla Procura di Milano nel registro degli indagati con l’ipotesi di truffa aggravata, ipotesi che personalmente credo ponga un carico davvero eccessivo sopra tutta la vicenda.
Sono molte le aziende che hanno rapporti commerciali con le società del gruppo che fa capo a Chiara Ferragni e alcune di queste (Coca-Cola, Safilo, Monnalisa) hanno deciso o stanno valutando di interrompere i progetti in corso. C’è la possibilità che nuove aziende si aggreghino e seguano questa strada, così come non è da escludere che altre preferiscano invece mantenere i rapporti, forse in attesa di conoscere i risultati di ulteriori accertamenti da parte delle autorità competenti, che potrebbero anche stabilire l’innocenza delle persone indagate.
Per questo motivo trovo fuori luogo ed eccessivo che – come emerge da una ricerca realizzata da SocialData – molte persone, per esprimere il proprio dissenso, invitino via social a boicottare i brand delle aziende che hanno scelto di collaborare con Chiara Ferragni, anche in rapporti di collaborazione che hanno avuto luogo in passato: se è legittimo esprimere la propria opinione e mettere in discussione le decisioni prese in questo senso da un’azienda, non è altrettanto legittimo sfruttare la propria visibilità online per invitare i consumatori al boicottaggio ai danni di aziende che lavorano correttamente, si fanno pubblicità in modo lecito e danno lavoro a tante persone. In questa’ottica non è corretto prendere di mira nessuno e quindi ovviamente neppure Balocco, che nel provvedimento dell’Antitrust risulta anzi aver subìto le decisioni dei suoi partner commerciali, nel rispetto delle condizioni contrattuali che prevedevano che l’ultima parola, sul piano della comunicazione, spettasse a Fenice e TBS Crew.
Certo, è molto facile cedere alla tentazione di “fare giustizia”, soprattutto per certi leoni da tastiera che si fermano ai titoli e non approfondiscono, e che in questo caso puntano a colpire l’attività di aziende che potrebbero subire seri danni senza un reale motivo. Ma poi… giustizia per cosa?
Le trappole per “rubare” gli account nei social network sono tante. Qui spiego un espediente piuttosto ricorrente nei social network, basato semplicemente sulla modifica delle informazioni di contatto, che un utente può essere indotto ad aggiornare in modo ingannevole. Non chiamiamolo hackeraggio, non lo è: si tratta di un imbroglio. E in questo caso un utente incauto, senza accorgersene, serve il proprio account su un piatto d’argento direttamente ad un truffatore.
Una possibilità è questa: voi commentate il post Instagram (o Facebook) di un personaggio famoso o di un’azienda, il vostro commento viene notato da qualcuno che, tramite DM (Direct Message), vi contatta spacciandosi per un collaboratore, dice che il commento è interessante e vi promette di aprirvi un canale di comunicazione privilegiato ed esclusivo con il personaggio o l’azienda, inviandovi un link. L’opportunità attira la vostra attenzione: il commento che avevate scritto potrebbe essere ignorato, annegare in mezzo a migliaia di altri, qui invece vi propongono di aprire un contatto diretto e poter comunicare direttamente con la sicurezza di essere considerati, tutto ciò che dovete fare è seguire un link. Questo link vi porta alla gestione dei contatti del vostro account, in cui il truffatore vi indica di aggiungere un indirizzo mail (non il vostro, ma un indirizzo che vi dirà lui) “per permettere l’invio di messaggi diretti”. Il gioco è fatto: da quel momento, pensando di aver creato un collegamento con il personaggio o l’azienda in questione, in realtà avete dato ad un truffatore la delega a gestire il vostro account. Da lì a pochi minuti, ogni utente caduto nel tranello si trova ben presto a non poter più utilizzare il proprio account, perché il truffatore ha cambiato la password d’accesso e i contatti di riferimento. Pertanto è fondamentale fare sempre molta attenzione agli inviti ricevuti da persone sconosciute.
Aggiungo un elemento di complicazione: potreste ricevere questo stesso tipo di invito da una persona che conoscete, o almeno così credete. La persona che vi contatta potrebbe essersi impossessata dell’account del vostro conoscente, oppure potrebbe avere un account fasullo con lo stesso nome, per indurvi a fidarsi di lui. Anche qui, attenzione: il link che vi indica porta alla pagina che gestisce gli account del vostro profilo. Se ricevete quindi una richiesta simile, verificate sempre: prima di inserire o trasmettere qualsiasi informazione personale, contattate quella persona in un altro modo (telefonicamente oppure via mail, WhatsApp, Telegram, fax, piccione viaggiatore, citofonate a casa sua… quello che vi pare) e chiedetele se è stata lei a mandarvi quel link, che non serve a stabilire alcun canale di comunicazione privilegiato, ma a definire chi ha la possibilità gestire il vostro account.
Ultimamente ho ricevuto svariate segnalazioni di account rubati con espedienti simili e sabato scorso io stesso ho ricevuto questo tipo di esca, in cui mi è stato offerto di avere un contatto esclusivo con un’azienda che però conosco bene e con cui ho già un rapporto diretto. Il sospetto della truffa quindi era dietro l’angolo, ma in molti casi scoprirla non è semplice. Per cui ripeto, attenzione: si tratta a tutti gli effetti di un tentativo di furto di identità ed esserne vittime, oltre a creare problemi personali legati all’indisponibilità dell’account, può avere effetti collaterali anche molto sgradevoli. Se pensate a tutto ciò che può fare una persona che può agire sotto mentite spoglie, capite che si tratta di un argomento da prendere in seria considerazione. E se vi accade una cosa simile, oltre a non abboccare, segnalate l’account all’assistenza del social network
Nella classifica delle password più utilizzate, l’Italia si distingue (poco): mentre a livello mondiale resta saldamente in testa l’inossidabile “123456“, noi ci differenziamo con “admin” (dimostrando anche un discreto complesso di superiorità: l’admin è l’administrator, l’utente principale, il profilo con permessi di accesso “onnipotenti”). Ma in realtà la fantasia è poca, come si vede dal parallelo tra le top ten “Tutti i Paesi” e “Italia”. Perché nonostante siamo nel 2023, non tutti hanno maturato la consapevolezza che oggi, nell’era in cui tutto viene digitalizzato (dai documenti al conto corrente bancario), la password è la versione digitale della chiave – o della combinazione – che apre la cassaforte in cui conserviamo i nostri dati personali.
Si noti inoltre – sempre dalle classifiche qui riportate – quanto tempo serve per decifrare le password di uso comune: nel 70% dei casi basta meno di un secondo per aggirare l’ostacolo. Una menzione d’onore meritano però gli utenti che hanno scelto UNKNOWN, che danno più filo da torcere ai malintenzionati. Ovviamente uno dei criteri più diffusi resta sempre quello di utilizzare il proprio nome, ma nessun nome ricorrente potrà mai vantare presenze pari alle password più standard del mondo.
La debolezza della password è un problema? Sì perché, come detto sopra, le password sono le chiavi. Chiavi di casa digitali, del conto in banca, del computer. Se le perdiamo – o se ne perdiamo il controllo al punto da permettere a un’altra persona di impossessarsene e farne un utilizzo illecito – sapete meglio di me cosa può accadere: dal furto di informazioni a quello di identità, passando per i reati contro il patrimonio, le probabilità di subire un danno concreto sono direttamente proporzionali alla facilità di individuazione della parola chiave.
Le password devono essere complesse, e il più possibile slegate e indipendenti da qualunque informazione che ci riguarda: meglio pensare a qualcosa di differente dal nome (nostro o di qualcuno di famiglia, animali domestici inclusi), dalla data di nascita e da qualsiasi informazione che possa essere facilmente individuata, per conoscenza diretta o indiretta.
I criteri di composizione delle password devono andare in altre direzioni. Ad esempio si può pensare ad una frase, considerando le lettere iniziali di ogni parola che la compone e giocando con maiuscole e minuscole, usando anche lettere alternate a numeri e aggiungendo caratteri speciali. Oppure è possibile ricorrere a un generatore di password (come Roboform) e affidarsi alla sua scelta, senza utilizzare informazioni riconducibili a informazioni personali. Quando le password diventano tante e diventa difficile gestirle, anziché scriverle su un post it o in un foglio Excel, è il momento di affidarsi ad una soluzione di password management, cioè di qualcosa che possa aiutare a gestirne l’inventario e a recuperarle all’occorrenza. Una soluzione efficace e gratuita ad esempio è Devolutions Hub Personal.
Mai sottovalutare l’importanza delle password. Se pensate alle informazioni personali gestite dalle applicazioni installate su uno smartphone, ad esempio, capite bene quanta parte della vostra vita ha bisogno di password sicure: account social media, posta elettronica, conto corrente bancario, fascicolo sanitario elettronico, identità digitale. La possibilità che le nostre informazioni personali finiscano nelle mani sbagliate ci deve far riflettere: meglio una sola password, facile, da utilizzare per tutti gli account (che una volta rubata apre ai malintenzionati tutte le porte), oppure tante password complesse, diverse per ogni account?
Da alcuni giorni numerosi utenti contribuiscono ancora a diffondere su Facebook, a distanza di anni, una vecchia bufala ingannevole che, con un semplice post con una dichiarazione, permetterebbe agli utenti di mantenere la titolarità di ciò che pubblicano e/o non sottoscrivere il pagamento del canone di 4,99 euro al mese e di mantenere i diritti di utilizzo di immagini e testi pubblicati. Ancora una volta è necessario ribadirlo: sono tutte palle! Ma questa volta la bufala è tornata d’attualità perché Meta sta varando un altro servizio: la versione senza pubblicità di Facebook e Instagram. Che affiancherà la versione “gratuita”, ma con costi ben più alti. E, soprattutto, senza alcun cambiamento sui diritti di utilizzo delle immagini.
I fatti: dal mese di novembre 2023, Meta (la società che controlla piattaforme come Facebook, Instagram e WhatsApp) ha lanciato in Europa la versione “pay” dei suoi social network, fruibile senza inserzioni pubblicitarie. Questo significa che la versione “gratuita” di Facebook e Instagram continuerà a esistere e, se un utente non sottoscriverà alcun tipo di abbonamento, potrà proseguire a utilizzare questi servizi “gratuitamente” e a visualizzare inserzioni pubblicitarie mirate, derivanti dalla sua navigazione e dalle sue preferenze espresse nell’utilizzo dei social network. Come adesso, dunque, anche se non è da escludere nel prossimo futuro un bombardamento pubblicitario maggiore.
Quanto costerà la libertà dalla pubblicità? 9,99 euro al mese per chi utilizza Facebook o Instagram dal browser, 12,99 euro al mese per gli utenti che utilizzano i social network da app su dispositivi iOS (iPhone, iPad) o Android. Attenzione però: fino al 29 febbraio 2024, la sottoscrizione sarà valida per tutti gli account collegati al Centro gestione account dell’utente. Dal 1 marzo, ogni account aggiunto al Centro gestione account dell’utente comporterà un costo aggiuntivo, ossia un canone di 6 euro al mese da browser e di 8 euro al mese se da iOS o Android.
Queste sono le condizioni che saranno applicate a chi sottoscriverà un abbonamento, differenziando la propria esperienza social dagli utenti che rimarranno sulla piattaforma “gratuita”, pagando quindi non con un canone in denaro, ma acconsentendo ad essere profilati dalle piattaforme di advertising. Perché – è bene ricordarlo – la presunta gratuità ha comunque un prezzo, che dal punto di vista monetario viene pagato dagli inserzionisti pubblicitari, mentre dal punto di vista del patrimonio di informazioni viene pagato dagli utenti che acconsentono di essere tracciati e controllati.
Il controllo che riguarda tutti, utenti “pay” e “free”, riguarda i contenuti pubblicati. Ma a questo proposito non c’è “non autorizzo” o “sto disattivando” che tenga: all’atto dell’iscrizione a Facebook, per dirla in termini semplici, ogni utente ha sottoscritto le condizioni indicate nel regolamento, che prevedono la concessione di una licenza non esclusiva, trasferibile, sub-licenziabile, esente da royalty e mondiale per ospitare, utilizzare, distribuire, modificare, eseguire, copiare o visualizzare pubblicamente, tradurre e creare opere derivate dai tuoi contenuti”. Cosa significa? Che “se condividi una foto su Facebook, ci dai il permesso di archiviarla, copiarla e condividerla con altri”.
Quindi, nei vostri post, potete scrivere ciò che volete. Ma Facebook, come da accordi sottoscritti all’atto dell’iscrizione, potrà ancora utilizzare ciò che pubblicate nel modo che ritiene più opportuno. In barba a tutti i “non autorizzo” e “anch’io sto disattivando!”, ma c’è anche la variante “Il mio è davvero diventato blu”. Ma a proposito: cosa state disattivando, esattamente? E dove vedete Channel 4 News? E se state pubblicando la variante, cos’è che vi è davvero diventato blu?
In rete esistono ancora molti e-commerce ingannevoli che si pubblicizzano tramite i social media attirando nella loro rete molti utenti, attratti da prodotti interessanti presentati a prezzi favorevoli. Fate molta attenzione prima di procedere con gli acquisti su siti di e-commerce sconosciuti, perché è davvero semplice diventare vittime di truffe o pratiche commerciali ingannevoli, e con l’approssimarsi di offerte promozionali da “black friday” il rischio di cadere in trappola è davvero dietro l’angolo. Un esempio recente è dato dalla “attività” in cui mi sono imbattuto di recente, che si presenta con il nome Domenica Milano.
L’approccio parte da un annuncio ingannevole pubblicato sui social network, che inizia con la frase “Purtroppo annuncio con tristezza la chiusura della nostra amata azienda di famiglia”, prosegue descrivendo quanto una piccola attività commerciale non possa più competere con i “giganti online” e conclude indicando lo sconto che sarà applicato sulle collezioni poste in saldo per cessata attività. Tutto verosimile, ma da approfondire. E identico all’annuncio pubblicato da un’altra attività simile, Zorrato negozio.
E approfondendo si nota innanzitutto che l’annuncio di questo e-commerce italiano ha uno strano problema di lingua:
“Hasta el 75% de descuento”, “Existencias limitatadas – Envio Gratuito”. Un problema tecnico? Mah, se fosse un peccato di gioventù sarebbe un po’ anomalo per un’attività di famiglia che dichiara di essere sul mercato da tempo. Intanto prendiamo nota e proseguiamo, cliccando sul link che porta a domenicamilano.com. Il sito web ha caratteristiche standard, d’altronde utilizzando una piattaforma come Shopify è abbastanza semplice realizzare in poco tempo e con poche risorse un negozio online. I capi in vendita sono gli stessi che si possono trovare – a prezzi anche migliori – su un numero imprecisato di siti di e-commerce. Provate a vedere questa giacca venduta ad Eur 79,99:
I contatti offerti sono un indirizzo e-mail e un numero telefonico “poco milanese”, visto il prefisso internazionale francese +33. L’iscrizione alla newsletter (con promessa di uno sconto del 10%) viene confermata da un messaggio e-mail che riporta il codice sconto da utilizzare per il primo acquisto. Però, come già osservato in altri casi, sul sito web manca l’indicazione di informazioni obbligatorie per una attività commerciale che opera sul mercato italiano, i termini di utilizzo sono molto generici e approssimativi, così come è abbastanza vaga (e priva di riferimenti di legge) l’informativa sulla riservatezza. La cosiddetta azienda di famiglia fa parte di un gruppo con sede a Hong Kong, indicato nella pagina relativa ai termini di utilizzo:
Gli stessi di altri negozi online (molto simili a domenicamilano.com) come madiolisboa.com, annabcnboutique.com, nicoleberlin.de, angelikabutik.com e molti altri, tutti molto simili tra loro, che troverete con una semplice ricerca. Indubbiamente una grande famiglia!
Dulcis in fundo: un post sponsorizzatopubblicato su Facebook è stato commentato da alcuni utenti che hanno dato feedback negativi sugli acquisti effettuati (e non ricevuti), molto simili alle testimonianze scritte a commento di altri post della pagina Domenica Milano.
Agli assistenti vocali come Alexa è possibile chiedere tante cose: le funzionalità si evolvono ogni giorno ma già nel loro standard permettono di fare ricerche sul web, impostare una sveglia, fissare appuntamenti, ascoltare un brano musicale in streaming, per non parlare della gestione dei dispositivi domestici “smart”. Ma, come scrivevo qualche tempo fa, si chiamano Assistenti perché assistono. Anzi: ascoltano, e lo fanno sempre, a scapito della privacy di chi li utilizza.
L’ultima notizia al riguardo viene dalla McKelvey School of Engineering della Washington University di St. Louis, le cui ricerche hanno confermato come Amazon utilizzi tutti i dati acquisiti tramite Alexa per profilare gli utenti e per destinare loro annunci pubblicitari mirati alle loro preferenze. Ma non è una novità: anni fa, da un rapporto pubblicato da Bloomberg è emersa l’esistenza di un team dedicato all’attività di ascolto e trascrizione di ciò che viene detto tramite lo smart speaker. Attività che oggi sono certamente automatizzate e che possono agire su una scala realmente ampia.
Non illudiamoci che questi dispositivi siano predisposti per attivarsi solamente in corrispondenza di una determinata frase. Certo, Alexa mostra di ascoltarci ed eseguire i comandi dopo che la chiamiamo per nome, esattamente come fanno anche Siri (Apple), Cortana (Microsoft), Google Assistant e altri assistenti vocali, come quelli a bordo delle auto. Ma per svolgere quel “compito”, l’assistente che si attiva con una determinata “parola magica” deve essere in grado di sceglierla, di distinguerla, di identificarla in mezzo al rumore, ad altri suoni… e ad altre frasi. Per rendere l’idea propongo sempre questo esempio: quando ci chiamano per nome, da quel momento rispondiamo e concediamo attenzione a chi ci ha chiamato, ma le nostre orecchie e il nostro cervello erano già “accesi” da prima.
Un assistente vocale non fa nulla di diverso e non ha alcuna difficoltà a rimanere sempre in ascolto e farsi microfono e portavoce di tutto quanto avviene tra le mura domestiche. All’insaputa di chi lo utilizza, che però dovrebbe sempre essere necessariamente informato di come vengono trattati i suoi dati personali: di chi sono le orecchie che li ascoltano? Per cosa verranno davvero impiegati? Verranno venduti ad altre organizzazioni a scopo statistico, commerciale, oppure politico?
Semaforo rosso acceso davanti a ChatGPT da parte del Garante Privacy che la scorsa settimana ha disposto la limitazione provvisoria del trattamento dei dati degli utenti italiani nei confronti di OpenAI, la società americana che gestisce la piattaforma. È bene chiarire, però, che il provvedimento riguarda il divieto di raccolta e trattamento di dati personali, non l’accesso a ChatGPT, che è stato bloccato per iniziativa della stessa OpenAI, non del Garanre.
In sintesi le motivazioni del provvedimento sono l’assenza di un’adeguata informativa agli utenti sulla raccolta di dati personali degli interessati, la mancanza di motivazioni alla base delle attività di raccolta e conservazione massiccia di dati personali (in parole povere, non spiegano perché raccolgono i dati personali senza informarli) e la mancanza di una “barriera” che impedisca ad utenti minorenni di accedere al servizio. Sì, anche il fatto che può raccogliere, memorizzare e comunicare informazioni non corrette, che non possono essere modificate nell’interesse di chi è titolare di quei dati.
ChatGPT, come dicevo sopra, non è stata resa inaccessibile dal Garante: è stata OpenAI ad aver disabilitato l’accesso in via cautelativa agli utenti in Italia, e per questo provvederà ai dovuti rimborsi degli utenti che hanno acquistato un abbonamento. Impegnandosi al rispetto delle leggi sulla protezione dei dati personali, l’azienda dichiara di voler ripristinare l’accessibilità della piattaforma il prima possibile.
E’ possibile aggirare la chiusura di questo “cancello”? Certo, utilizzando una VPN che non permette a ChatGPT di conoscere la provenienza dell’utente. Ed è una soluzione lecita, perché è stata OpenAI a bloccare l’accesso, non un’autorità italiana 😉
Chiaramente, oltre ad utilizzare la VPN, l’account che accede non deve dichiarare di essere italiano. E chi ha a cuore la riservatezza dei propri dati si documenterà in modo da utilizzare una VPN che – magari per sostenere la propria gratuità – sfrutta comunque i dati personali dell’utente. Qui di attenzione, altrimenti si torna… al punto di partenza.
Solo io trovo assolutamente normale che TikTok – così come il profilo personale personale esistente su ogni altro social network – non debba trovare posto sui dispositivi dei dipendenti pubblici che hanno accesso ai sistemi dell’ente per cui lavorano? Ovviamente stiamo parlando di dispositivi “aziendali” e non di quelli privati, che non accedono ai servizi di telefonia mobile degli enti pubblici. Se lo smartphone o il tablet sono personali e sono attivi con account privati, che nulla hanno a che vedere con l’attività lavorativa svolta, naturalmente l’utente ha la massima libertà di usare qualunque app lecita gli interessi, chiaramente mantenendo un comportamento consapevole e sui rischi che si possono correre utilizzandola.
Il fatto che solo adesso le pubbliche amministrazioni si pongano il problema di un divieto fa pensare che finora non sia mai esistita un’indicazione in questo senso a livello di regolamento per i dipendenti, una regola banalmente basilare che deve essere sicuramente definita a scopo di sicurezza, ma in primo luogo per correttezza verso il “datore di lavoro”. Per cui – leggendo titoli e articoli sul “bando” di TikTok dagli smartphone aziendali dei dipendenti pubblici – si potrebbe pensare che al personale retribuito con il denaro dei contribuenti fosse consentito il trastullo attraverso un dispositivo pagato con il denaro dei contribuenti. Ovviamente non è così, tuttavia sembra sempre sia necessario perdere del tempo per vietare ciò che già non è consentito, solamente per il fatto di non essere specificamente ed espressamente vietato. Certo, sarebbe sufficiente adottare una soluzione di gestione centralizzata dei dispositivi mobili (MDM) per impedire a monte (e per tutti) ogni installazione di app non conforme all’attività lavorativa. Nelle organizzazioni in cui questo è stato già fatto, non esiste la necessità di ulteriori provvedimenti di divieto.
Il “bando” deriva dal fatto che i tecnici TikTok che lavorano in Cina – come riportato dal Guardian – hanno accesso ai dati personali degli utenti. Quali informazioni si possono ottenere? Sicuramente la posizione dello smartphone, le app installate, quanto tempo sono state utilizzate, i contenuti della rubrica dei contatti e del calendario. Quando gli utenti vengono invitati a condividere audio e immagini mentre utilizzano l’app, di fatto condividono quei contenuti multimediali con TikTok. Ora forse non tutti sanno che nel partito comunista cinese esiste una commissione di cui fanno parte alcuni dipendenti della ByteDance, l’azienda che è alle spalle di TikTok. I legami con il governo di Pechino sono dunque piuttosto stretti e questo induce molti addetti ai lavori a pensare che i dati personali degli utenti possano essere trasmessi a enti delle istituzioni cinesi, sebbene l’azienda l’abbia sempre smentito.
Questi presupposti a me basterebbero per spegnere ogni smania di utilizzo di TikTok, soprattutto se fossi nei panni di uno qualunque fra i politici italiani che da poco tempo hanno aperto un profilo su questo social, nella speranza di conquistare i voti dei suoi giovani frequentatori.
Google è il motore di ricerca per antonomasia per moltissime persone che non usano altro, al punto che il neologismo googlare significa effettuare una ricerca (con un motore di ricerca). In realtà sulla scena del mercato di cui Google è leader con una quota del 92% circa, si muovono altri “attori non protagonisti” come Bing, il motore di casa Microsoft utilizzato più o meno nel 3% delle ricerche, che ora potrebbe conquistare maggiore interesse in virtù del supporto dell’intelligenza artificiale e distinguersi dalle altre “comparse” (che si chiamano Yandex, Yahoo, Baidu e DuckDuckGo).
Microsoft infatti ha iniziato a rendere disponibile una versione di Bing “potenziata” che sfrutta insegnamenti e progressi del modello di machine learningGPT-3.5, lo stesso che è alla base di ChatGPT. Ma dal punto di vista degli utenti cosa significa dotare Bing di intelligenza artificiale? Significa effettuare una ricerca e ottenere una risposta in linguaggio naturale, quindi non semplicemente un elenco di link, ma un testo in forma discorsiva che può dare il via ad una sorta di conversazione con l’utente.
Google sta facendo la stessa cosa con il software Bard, presentato un paio di settimane fa in un evento ufficiale che però ha avuto uno strascico negativo: l’inesattezza di una risposta è stata evidenziata da esperti e il titolo dell’azienda ha perso il 7% in borsa. Lo scopo di Microsoft, che con la novità in corso di introduzione incalza Google, non è semplicemente contrastarlo come concorrente: l’obiettivo è sviluppare una tecnologia da adottare anche in altre piattaforme Microsoft.
Dalle prime prove che ho avuto l’opportunità di effettuare posso dire “interessante”. Ottenuto l’accesso (per il quale è comunque possibile mettersi in lista d’attesa) è possibile installare Edge in versione Dev Channel che permette all’utente di sfruttare le funzionalità più recenti e avanzate. Tra queste c’è la Chat con cui Bing invita l’utente a parlare, anche in italiano, con l’invito “Ask me anything” (chiedimi qualsiasi cosa).
Raccolto l’invito, ho iniziato a chiedere informazioni ispirandomi a ciò avevo intorno. Ottenendo qualche sorpresa, come ad esempio una frettolosa interruzione della conversazione da parte di Bing 😲
Questo slideshow richiede JavaScript.
Qui invece si scusa in modo educato dopo essere cascato in una “trappola culinaria”
Questo slideshow richiede JavaScript.
Qui ha fornito notizie di attualità prima di comunicare di aver raggiunto il limite massimo del giorno:
Questo slideshow richiede JavaScript.
Bing “dopato” con l’intelligenza artificiale, per le sue potenzialità, potrebbe rivelarsi un alleato efficace nelle ricerche scolastiche.
Come visto soprattutto nell’ultimo esempio, si potrebbe utilizzare questa nuova funzionalità per avere riassunti piuttosto efficaci delle news appena pubblicate evitando così di pagare abbonamenti alle testate giornalistiche online, eventualità assolutamente pericolosa per il settore dell’editoria. Ma Bing potrebbe anche riassumere una notizia attingendo indifferentemente da siti di informazione attendibili e siti non attendibili, generando potenzialmente sia informazione che disinformazione. Eventualità pericolosa per tutti.
