📅 Mercoledì 13 maggio · ore 20:30 📍 Sala del Camino · Palazzo Martinengo · Via Martinengo 8 · Collebeato

Il telefono in mano a un ragazzino di 11, 12, 13 anni non è un telefono. È una porta su un mondo che noi adulti, anche quelli che lavorano nel digitale, non conosciamo davvero.

Se avete letto qualche articolo di questo sito avete capito che ho passato un po’ di tempo in passato tra leggere libri, studiare cose e vedere gente anche nel mondo dell’età evolutiva. Sarà per la mia vita da oratorio, sarà per predisposizione naturale, o fissa, chi lo sa. Sta di fatto che pur non essendo un pedagogista, ma nel caso ho un fratello bravissimo e non ho paura di usarlo, ho messo insieme quello che ho imparato e l’ho fuso con la mia cultura del digitale per mettere insieme una mappa pratica di quello che dobbiamo sapere, secondo me. Mercoledì 13 maggio la condivido con chi vuole venire.

Non è una predica. Non è una lezione. È un genitore che parla ad altri genitori, con il vantaggio di lavorare professionalmente nel digitale e nell’AI.

Di cosa parliamo

In circa un’ora, con un linguaggio che funziona anche per chi usa solo WhatsApp.

Cosa c’è davvero in tasca a un undicenne? Pensiamo a un telefono. È qualcosa di molto diverso — e cambia il modo in cui dovremmo darglielo. Partiamo da qui.

Quanti pomeriggi in bici uscivamo noi alle medie? E i nostri figli adesso? È una domanda banale. Ha una risposta che non è banale per niente.

Come funzionano davvero TikTok, Instagram, Snapchat? Non sono “il social che usano i ragazzi”. Sono macchine progettate per tenerli dentro. I sei meccanismi mentali che usano hanno nomi precisi e un funzionamento documentato — vale la pena conoscerli prima di decidere cosa lasciare aperto.

Le notifiche. È il punto che secondo me dovremmo discutere di più. Una notifica non è un’informazione: è un ordine impartito da qualcun altro. Chi è quel qualcun altro? Cosa vuole? E si può spegnere?

Intelligenza artificiale. Il 92% degli adolescenti la usa già. Tra i genitori siamo intorno al 47%. È un divario che vale la pena guardare in faccia, perché i nostri figli stanno chiedendo all’AI cose che fino a ieri chiedevano a noi.

Ragazze e ragazzi non subiscono gli stessi danni. I dati lo dicono in modo netto. Capirne la differenza serve a proteggere meglio entrambi — e a evitare due errori comuni opposti.

Cosa dice davvero la legge. Chi è responsabile, cosa è reato, cosa rischia un genitore. Senza giri di parole, perché “non lo sapevo” davanti a un giudice non funziona.

E poi: cosa fare già stasera. Strumenti pratici, gratuiti, eseguibili in 10 minuti. Compreso un piccolo trucco da configurare sul router di casa che cambia molte cose, e di cui quasi nessuno parla.

Sono i punti di partenza. Quello che racconterò la sera è più ricco — ma se anche solo uno di questi titoli ti incuriosisce, vieni.

Il messaggio di fondo

Non si tratta di vietare. Si tratta di accompagnare. Un ragazzino che non impara a nuotare affoga la prima volta che entra in acqua da solo. Il digitale c’è e ci sarà sempre. Il punto è esserci con lui mentre impara.

Siamo sulla stessa barca. Ho solo guardato la mappa prima di voi. Adesso la guardiamo insieme.

Vieni se

• Hai figli o nipoti tra i 10 e i 14 anni — o ce li avranno presto

• Stai pensando a quando dare il primo telefono

• Senti di essere indietro rispetto a quello che fanno i ragazzi online

• Vuoi strumenti pratici, non spaventi né slogan

Ingresso libero, niente prenotazione. Chi vuole esce con una checklist da appendere al frigo.

🎟️ Mercoledì 13 maggio · 20:30 · Sala del Camino, Palazzo Martinengo, Collebeato

Promosso da Patti Digitali, MEC Media Educazione Comunità, Comune di Collebeato, AGE, Associazione Chiaraluce, IC La Coltura.

Per approfondire prima di venire: pattidigitali.it · custodidigitali.it · associazionemec.it/contratto-genitori-figli

Buon giorno", disse il piccolo principe.

"Buon giorno", disse il mercante.

Era un mercante di pillole perfezionate che calmavano la sete.

Se ne inghiottiva una alla settimana e non si sentiva piu' il bisogno di bere.

"Perche' vendi questa roba?" disse il piccolo principe.

"E' una grossa economia di tempo", disse il mercante.

"Gli esperti hanno fatto dei calcoli. Si risparmiano cinquantatre' minuti la settimana".

"E che cosa se ne fa di questi cinquantatre' minuti?"

"Se ne fa quel che si vuole..."

"Io", disse il piccolo principe, "se avessi cinquantatre' minuti da spendere, camminerei adagio adagio verso una fontana..."

Il piccolo principe, capitolo XXIII

La volta scorsa abbiamo visto come funziona un sistema di IA generativa chiamato anche LLM, o in Italiano Grande Modello Linguistico. Prima di approdare su nuovi lidi ed orizzonti dell’IA nelle sue altre forme, vi sottopongo una breve riflessione.

Abbiamo capito che gli LLM (Chatgpt e compagnia bella insomma) generano facilmente testo e lo fanno un gran bene. Non sono in grado di verificare la veridicità di una loro affermazione, ma scrivono bene e in modo eccezionale, e hanno superato i migliori test di persuasione: ad oggi oramai sono decine gli studi che affermano che gli ultimi LLM sono in grado di generare contenuti persuasivi meglio dei migliori esperti.

Quindi la loro migliore applicazione attuale è il marketing e la propaganda. Voglio ora focalizzarmi sulla prima e condividere con voi una riflessione.

Il marketing al tempo dell’Ia

Il 95% dei contenuti testuali generati sui social network è generato da IA. I video stanno cominciando ora, le immagini ci sono da tempo, ma il testo oramai è quasi totalmente appannaggio di IA e bot. Fatto salvo di quello che vi scrivete tra amici, tutto il resto e passato sicuramente attraverso una IA che perlomeno ha revisionato se non generato di sana pianta i contenuti. Spesso e volentieri i contenuti sono generati in automatico a partire da piani editoriali abbozzati ed è pieno di servizi online che si possono comprare a basso prezzo che fanno questo e altro. Alcuni generano anche risposte automatiche a post di account piu seguiti per ottenere più visibilità (funziona).

Il dolce inganno

Al netto di quello che ho appena scritto però non dobbiamo ne stupirci, ne dire dove andremo a finire alzando gli occhi al cielo. Perche la verità la sappiamo comunque tutti: dietro gli account che seguiamo sui social, dietro quello del cantante preferito, dell’attore, dello youtuber o dell’influencer, raramente scrive lui, ci sono i social media manager e team di persone pagate per scrivere al posto del nostro beniamino. Non tutti, ma è oramai raro. Lo sappiamo, ma lo vogliamo ignorare dopotutto, ci piace credere che a scrivere siano loro e non persone che hanno studiato esattamente come si scrive e si comunica.

Quindi l’AI nel marketing social non fa altro che accelerare una pratica gia consolidata e implicitamente accettata da tutti.

Perché?

Ci sono 3 tipologie di figure coinvolte. Le prime due le abbiamo appena viste. La prima tipologia sono gli influencer e creatori di contenuti in generale (quelli che scrivono e vogliono i likes) e hanno bisogno della nostra attenzione per vendere i propri prodotti, le proprie opinioni, idee, marchi. Hanno bisogno della platea. Nessun attore si esibisce senza pubblico.

Poi ci siamo noi, il pubblico, i consumatori, quelli che spendono. Quelli che hanno il portafogli. Compriamo (consapevoli o meno) quelli che ci viene proposto, seguiamo i consigli, le recensioni, le promo e gli sconti pubblicizzati.

La terza figura

La presenza più grande e cosi enorme da non essere vista e considerata ai nostri occhi è la piattaforma. Facebook, TikTok, Instagram e tutte le altre. Quando le usiamo sono invisibili, ma decidono quello che vedete. Hanno due obiettivi: monetizzare e profilare, cioè conoscere esattamente le nostre esigenze e preferenze di acquisto. Perché se sanno che mi serve una tuta e hanno un inserzionista pagante che vende tute, fanno bingo.

Quindi il loro obiettivo è tenerci il piu possibile dentro la piattaforma attraverso i contenuti sempre piu virali e persuasivi generati con l’AI.

Insomma, tutto torna: questo tracciamento è cosi efficace, chirurgico ed inevitabile (se avete un account social qualunque) anche al di fuori delle piattaforme, che capita a tutti spesso, anche a te, ammettilo, di pensare “mi spiano dal microfono dello smartphone” quando vedete delle pubblicità o dei contenuti si cose che state pensando o di cui state parlando. Non ci ascoltano, non gli serve. Sanno cosi tante cose di noi che sanno già di cosa avremo bisogno. Certe volte ci azzeccano e ci sembra ci stiano spiando.

Amazon pianifica le giacenze nei magazzini di prossimità in base a cosa compreremo, non in base a cosa abbiamo comprato. Ha squadre di ingegneri esperti di machine learning che ottimizzano e raffinano da anni algoritmi predittivi e il risultato è che quello che vogliamo comprare è consegnato il giorno successivo. Niente male!

Meno tempo per piu tempo

Insomma, l’AI nel marketing fa risparmiare tantissimo tempo alle piattaforme e ai creatori di contenuti per far si che noi sprechiamo piu tempo sulla piattaforma a consumare contenuti.

Il loro tempo vale di piu del nostro, e loro sono molti di meno, e un contenuto generato in 20 secondi genera decine di migliaia di visualizzazioni. Se contiamo 10 secondi per leggere il contenuto, sono 100.000 secondi di attenzione di persone: 27 ore. Una immensità.

53 minuti

Abbiamo quindi trovato la tecnologia, la pillola, che ci fa risparmiare 53 minuti alla settimana, per fare poi cosa? passarli sui social a leggere contenuti altrui? 😂

Voi cosa fareste?

Mi sovviene un insegnamento ricevuto tanti anni fa, su cosa è la felicità. Una delle tante definizioni per lo meno.

La felicità è fare tutto quello che vuoi?

No. C’è una moltitudine di persone che possono fare quello che vogliono, ma sono infelici, passando da una cosa all’altra senza poterne godere.

La felicità è volere quello che fai.

Nella realtà, possiamo scegliere un gran poco della nostra vita. Non abbiamo scelto dove nascere, quali genitori avere e se averne, il ceto sociale, la qualità della nostra prima istruzione, il nostro nome.

Se quello che stai facendo l’hai voluto tu, lo hai desiderato, l’hai cercato allora sei felice, indipendentemente dal non poter fare tante altre cose di cui non te me frega nulla

Se hai desiderato tanto una fontana nel deserto, allora forse il tempo speso nell’avvicinarsi vale più di tutto il resto.

Quale è la tua fontana?

Ehi, se hai gradito quello che hai letto, condividi con un amico. Cosi mi fai un favore. Anzi iscrivilo alla newsletter e spiegagli con un messaggio perché vale la pena. fallo ora.

Iscriviti ora

Era scolpito sull'ingresso del tempio di Apollo a Delfi, in Grecia. Una frase attribuita a saggi antichi, ma diventata immortale grazie a Socrate. E non a caso partiamo da qui.

"Io so di non sapere."

La frase più famosa di Socrate, che rappresenta il cuore pulsante di tutta la filosofia occidentale. Una resa intellettuale? Tutt'altro. Il momento in cui l'umano comprende il proprio limite, e proprio per questo inizia davvero a conoscere. Perché l'unico modo per apprendere è rendersi conto di non sapere. Se pensi di sapere già tutto, non ascolti, non leggi, non cerchi. E questo, guarda un po', ci serve per capire l'IA.

Cosa c'entra con l'intelligenza artificiale?

Tutto. O meglio, questa puntata è la scusa perfetta per raccontarvi come funziona sotto il cofano un modello di intelligenza artificiale. Niente complessità, niente paroloni. È più semplice di quanto pensiate. E fa molto meno di quanto sembri.

Saltiamo la storia dell'IA (tanto la trovate ovunque). Sappiate solo che le prime idee di IA partono da ben prima del 1950. Per decenni, pochi progressi, poi nel 2017 l'esplosione: nasce il Transformer e con lui il paradigma NWP, Next Word Prediction: la predizione della prossima parola. Qui uno stupendo spiegone, purtroppo in inglese (usate chrome translate)

E qui iniziano gli LLM: da GPT a Gemini, da Claude a Grok. Tutti cugini.

Cosa fanno e come funzionano?

Sono sistemi molto complessi che fanno una sola cosa:
scrivono una parola alla volta.

Non una frase. Non un concetto. Una parola (o meglio, un token, vediamo sotto) alla volta.

Quella più probabile in base a ciò che è stato scritto prima.

E per "scritto prima" si intende sia il testo che hai scritto tu nel prompt (la vostra domanda, si chiama così) , sia le parole che il modello ha già cominciato a generare. A ogni passaggio, prende tutto quello che ha davanti (il contesto, il vostro prompt altre cose aggiunte dal fornitore di servizi che voi non vedete), lo trasforma in numeri, e calcola quale è la prossima parola più probabile. La scrive. Poi rifà il calcolo aggiungendo anche quella parola, e avanti così.

È come se un bravo completatore di frasi continuasse il discorso, una parola alla volta, sulla base di tutto quello che è già stato detto. Non sa dove sta andando, ma ha una mappa statistica di dove di solito si va a parare. E riesce a farlo così bene grazie all'architettura Transformer, che permette al modello di tenere in considerazione l'intero contesto della frase: riesce a capire qual è l'argomento del discorso, distinguere il soggetto dal verbo e dall'oggetto, riconoscere se una parte della frase si riferisce al soggetto o all'oggetto, e così via. Questo è ciò che rende possibile generare testi coerenti e grammaticalmente corretti, in cui ogni parola sembra al posto giusto. Non perché capisca davvero, ma perché ha imparato a riconoscere degli schemi di parole che a noi sembrano significare qualcosa.

Come funziona il processo

1. Scrivi un prompt: "Nel mezzo del cammin di nostra..."

2. Il modello cerca, tra tutto quello che ha imparato, la parola più probabile che segue.

3. In questo caso: "vita". E avanti di onda con le altre parole.

Perché l'ha visto migliaia di volte.

L'IA generativa fa esattamente questo.

Cosa significa STATISTICAMENTE PIÙ PROBABILE ?

Significa che, in fase di training, ha letto tonnellate di testi (detti corpus), e ha imparato che a certe sequenze di parole ne seguono altre con una certa probabilità. Il corpus è, in pratica, la base di conoscenza che viene fornita al modello per "insegnargli" come funziona il linguaggio. È leggendo questi corpus che l'IA impara gli schemi statistici delle frasi.

Cos'è un corpus?

Il corpus è l'insieme dei testi usati per insegnare al modello. Può includere Wikipedia, libri, articoli, forum, codice, documentazione tecnica, ecc. Tra i principali corpus utilizzati nei modelli più noti ci sono Common Crawl (una raccolta enorme di pagine web pubbliche), The Pile (un dataset open-source che include testi scientifici, accademici, letteratura, codici sorgente e altro), Wikipedia in varie lingue, GitHub (per il codice), arXiv e PubMed (per gli articoli scientifici), libri digitalizzati (come quelli del progetto Gutenberg), e forum o conversazioni online come Reddit. Ogni corpus contribuisce ad ampliare la varietà linguistica e semantica che il modello può apprendere.

Token e Tokenizer

Le parole vengono spezzate in token, che sono i mattoncini minimi con cui il modello lavora. A volte coincidono con parole intere, altre volte con sillabe o frammenti. Ad esempio, "computer" potrebbe essere suddiviso in "com", "put" e "er". Così, anche parole nuove o mai viste possono essere comprese e processate in base ai pezzi già conosciuti.

Il tokenizer è il sistema che fa questa operazione: prende il testo, lo divide in token, e assegna a ciascuno un numero identificativo. Il modello non lavora con lettere, ma con numeri. Un po' come nel cifrario di Cesare, dove ogni lettera dell'alfabeto viene sostituita con un numero: A diventa 1, B diventa 2, e così via. Qui è simile, ma molto più sofisticato. Ogni token ha un numero, e il modello lavora solo su sequenze numeriche.

Per l'LLM, ogni frase è quindi solo una lunga sequenza di numeri. E tramite la statistica, predice il numero (cioè il token) più probabile da aggiungere dopo, uno alla volta. Ecco come genera testo che sembra naturale.

Ricapitoliamo:

• Il corpus serve a insegnare al modello le relazioni tra i token

• Dopo l'allenamento si ottiene un modello funzionante

• Il modello legge il tuo input, lo trasforma in numeri

• Restituisce il token più probabile

• Lo aggiunge all'input e ricomincia

• Fino a che non predice il token "fine risposta"

Tutto qui.

Pura statistica.

Il modello non comprende. Il modello non ragiona. Non è cosciente. E soprattutto: è credibile, ma non necessariamente vero. Dopotutto anche Alan Turing lo aveva chiamato “il gioco dell’imitazione“: sembra, ma non è.

Perché?

Perché la sua forza sta nella forma, non nel contenuto. Scrive frasi ben formate perché ha imparato come si costruiscono, ma non ha idea se siano vere o false.

La grammatica segue delle regole, mentre la verità si fonda sui fatti. Le regole grammaticali le ha imparate leggendo enormi quantità di testi, ma i fatti non li conosce tutti, e soprattutto non è in grado di distinguerli da ciò che è falso o inventato. Per lui, tutto ciò che ha letto è solo una sequenza di token da replicare nel modo più plausibile possibile.

Il modello predice parole plausibili, non concetti corretti. Un po' come se completasse un cruciverba senza sapere nulla del significato delle parole.

E poi: il training non si aggiorna ogni giorno. Se va bene, ogni 3-6 mesi. Costa troppo.

Quindi, anche quando "risponde", sta solo cercando la frase più probabile in quel contesto. Non ti sta dicendo cosa sa. Ti sta dicendo cosa è probabile che venga detto in quella situazione.

E quando non sa?

Inventa.

Se chiedi: "Quando è morto papa Francesco?", lui prova a dare una risposta plausibile. Io stesso ho fatto questa prova, su un modello non collegato a internet. E mi ha risposto: "21 dicembre 2024". Non perché lo sapesse. Ma perché, nella sua memoria statistica, ha visto che dopo "morte di" c'è di solito un mese, un giorno, un anno. E a dicembre si vede che capita spesso che la gente muoia, perlomeno in quello che ha letto. Tutto qui.

NON LO SA.

E la cosa interessante è che non ti dirà mai "non lo so", perché non ha appreso che questa è una risposta valida in quel contesto. Serve comprensione vera per rispondere così, serve sapere di non sapere. Ma i LLM non lo sanno.

Qualcuno di voi ha mai sentito di libri in cui ci sono domande su argomenti sconosciuti con dopo scritto "non lo so"?

Il fatto è che molti dei modelli online oggi hanno intorno un sistema di retrieval, cioè un software normalissimo che quando non sa la risposta va a cercarla su internet. E quindi, all'utente medio, sembra che sappiano tutto. Ma non è così: è un altro programma che si occupa di colmare quel vuoto. Il cuore dell'LLM, da solo, ha ancora questi limiti. Solo che non si vedono più, nascosti da una interfaccia ben costruita.

Ma allora come fanno certi modelli a dirti cose aggiornate?

Semplice: non lo fanno loro. Lo fa qualcos'altro.

Barbatrucco: L'LLM, quando riceve una domanda su un argomento che potrebbe essere "fuori dal suo sapere", passa la palla a un programma esterno. Questo programma fa una ricerca online, come se fosse un utente che cerca su Google o Bing. Recupera una manciata di risultati, li legge e li sintetizza. Poi li passa di nuovo al LLM, che li riformula e li presenta come se li avesse "saputi" da solo.

Il modello vero e proprio, quello allenato sui corpus fino a una certa data, da solo non sarebbe in grado di darti una risposta aggiornata. Ma grazie a questo trucco, riesce a sembrare onnisciente.

Succede lo stesso con i calcoli:

Se chiedi: "1234 x 546?", il modello da solo probabilmente sbaglierebbe. Per lui, i numeri non sono entità da calcolare: sono parole come le altre. Sa che "uno più uno fa due" perché l'ha letto mille volte, non perché sappia sommare. Quando gli fai una domanda matematica, entra in gioco un modulo esterno: genera un piccolo programma, spesso in Python, lo esegue davvero, legge il risultato e poi lo restituisce come se fosse stato il modello a calcolarlo. Ma il calcolo l'ha fatto qualcun altro.

Ecco il punto:

L'LLM legge parole e scrive parole. Tutto il resto è software incollato intorno per farlo sembrare più intelligente.

Non fa i conti. Non sa. Non capisce. Ma sa scrivere bene. E se intorno ci metti dei software che cercano le informazioni giuste o che fanno i calcoli al posto suo, allora sembra anche molto più intelligente di quello che è davvero. Fa bella figura perché è presentato bene, con un'interfaccia curata e risposte credibili, ma il cuore dell'LLM rimane sempre lo stesso: un completatore di testo basato su statistica.

Ed è già tantissimo. Ma non è magia. E non è neanche intelligenza, almeno non nel senso umano del termine.

Perché alla fine, se ci pensate, l'LLM non sa nemmeno di non sapere. Non ha coscienza dei suoi limiti, non ha un "io" che possa riconoscere una lacuna. Non ha neanche modo di dire "non lo so", a meno che qualcuno non glielo insegni esplicitamente come risposta preimpostata. Non conosce se stesso. E quindi non può nemmeno iniziare quel percorso di consapevolezza che per noi umani è la base di ogni conoscenza.

Ecco perché siamo partiti da Socrate. Perché la sua frase "so di non sapere" non è solo filosofia. È qualcosa che l'intelligenza artificiale, per ora, non è nemmeno in grado di immaginare.

Spoiler: come fa a leggere i documenti? Come fa a "ragionare"? Come fa a interpretare immagini, a generarne di nuove, a fare video o musica?

Lo vediamo nelle prossime puntate, che si è fatta una certa.

PS: continuo con l’esperimento del podcast perchè il primo, ridendo e scherzando, è stato ascoltato tanto quanto è stato letto il post, va che roba. E’ generato in automatico con l’AI a partire da questo articolo. Non scrivo io lo script, scrivo solo questo articolo. Se però mi sono spiegato bene e se state attenti, noterete un errore grossolano di questa AI che ha generato il podcast ma avete le conoscenze nel capire perchè ha fatto quell’errore.

Altra novità: sempre con l’AI ho fatto tradurre questo articolo in linguaggio comprensibile a chi ha 12 anni. Lo trovate in fondo.

Datemi pure dei feedback rispondendo all’email. 💡

Ora Cominciamo.

immagini della Disney©

1. Il futuro comodamente seduti

Ricordate l’ultima sequenza di WALL·E? Gli esseri umani, in fuga da una Terra soffocata dai rifiuti, vivono su un’astronave‑resort. Ognuno è adagiato su un seggiolino‑hover che lo trasporta ovunque, mentre uno schermo personale lo segue come un cagnolino fedele. Parlano solo attraverso quel display, anche se il vicino è letteralmente a pochi centimetri.

Quel fotogramma – comico e tragico allo stesso tempo – non è più solo fantascienza. È la fotografia ad alta definizione di molte delle nostre giornate: scrolling infinito, ordini one‑click, consegne lampo. La tecnologia ci fa risparmiare fatica fisica, ma rischia di rubarci l’allenamento mentale e sociale che costruisce una comunità.

2. L’economia della solitudine

Secondo la newsletter AI Supremacy, le piattaforme digitali stanno perfezionando un modello d’affari che potremmo chiamare Solitudine‑as‑a‑Service. Più l’utente è isolato, più ha bisogno di micro‑dopamine digitali (notifiche, like, streaming, shopping). Meno tempo trascorre in relazioni reali, più tempo dedica allo schermo – e quindi alla monetizzazione pubblicitaria o alle sottoscrizioni premium. E non pensiamo che le relazioni che viviamo attraverso i dispositivi siano relazioni come quelle dal vivo.

Perchè? Semplice perchè le relazioni sono mediate da un dispositivo, il MEDIUM, che non è imparziale. Si insinua e cerca di dirci a chi dare attenzione e a chi non prestare attenzione. Decide lui per noi, tramite notifiche, timeline, lunghezza dei video.

La solitudine non è un effetto collaterale: è il prodotto. Si vende compagnia sintetica, consulenza immediata, perfino amicizia a pacchetto mensile. Un’economia che prospera proprio perché svuota i luoghi fisici di interazione.

Implicazioni per i figli adolescenti
L’adolescenza è un cantiere aperto: la corteccia prefrontale, deputata al controllo degli impulsi, matura intorno ai 25 anni, mentre il sistema limbico – sede della ricerca di ricompensa – accelera già nei primi anni della secondaria. Questa "asincronia" espone i ragazzi a decisioni rapide e al desiderio di approvazione continua. Le piattaforme che monetizzano la solitudine si incuneano proprio in questa finestra neurale, offrendo gratificazioni dopaminergiche a ogni tap.

Tre meccanismi di cattura

1. Notifiche intermittenti – un rinforzo variabile stile slot machine che mantiene il telefono sempre entro 30 cm dal volto.

2. Conteggio pubblico di like e visualizzazioni – trasforma l’autostima in metrica numerica, alimentando ansia da performance.

3. Algoritmi di affinità – servono feed su misura che riducono l’esposizione a punti di vista divergenti e impoveriscono le competenze di confronto.

Effetti documentati

• Riduzione del sonno: studio su Nature (2024) – −27 min di sonno medio per chi controlla lo smartphone dopo le 22. E secondo un altro studio sempre pubblicato su Nature, c’è una forte correlazione tra l’obesità e uso serale/notturno dei dispositivi

• Aumento della solitudine percepita: survey Pew Research (2025) – 54 % degli adolescenti dichiara che i social "li isolano dai veri amici".

• Impennata di acquisti impulsivi in‑app: pagamenti a zero attrito facilitano spese su skin, fast‑fashion e booster di gioco.

Strategie di attrito positivo

• Timer condivisi e digiuni digitali: finestre di disconnessione serali e una giornata a settimana senza social.

• Co‑viewing critico: guardare e commentare insieme contenuti digitali, trasformando il feed in discussione familiare.

• Wallet familiare con approvazione doppia: ogni micro‑transazione richiede il consenso di un adulto, inserendo uno stop riflessivo.

• Sfide offline di gruppo: sport, maker space, volontariato – luoghi dove la gratificazione è corporea e comunitaria.

Si possono fare degli esercizi in classe per smascherare la personalizzazione occulta ad esempio il Filter‑Bubble Sprint: due gruppi navigano gli stessi argomenti con profili social opposti; dopo 30 minuti confrontano i feed, misurando la divergenza in notizie e annunci.

Con un attrito progettato bene, la tecnologia torna strumento e non fine: i giovani imparano a premere il pulsante con consapevolezza, non per riflesso.

3. L’attrito è libertà

Kyla Scanlon, in The Most Valuable Commodity in the World is Friction, ribalta il mantra «faster is better». Ogni click in meno, sostiene, è anche un pensiero in meno. Rimuovere l’attrito – code, dubbi, conferme, riflessione – ottimizza la conversione ma intorpidisce il libero arbitrio.

Quando tutto accade «senza sforzo», l’utente smette di domandarsi se e perché fare qualcosa: scivola in un consumo automatico. Niente “cambi di marcia” mentali. Quando la piattaforma toglie code, conferme, passaggi intermedi, ti fa arrivare alla ricompensa (un acquisto, un video, un like) senza alcun sforzo cognitivo.

L’assenza di frizione è un impianto perfetto di pigrizia epistemica. “Epistemico” riguarda la conoscenza: se per ottenere qualcosa non devi riflettere, confrontare, verificare, il cervello resta in folle. Ti abitui a prendere decisioni (o ad accettare informazioni) in automatico, senza quel piccolo attrito che attiva il senso critico.

Pensate alla rimozione completa dell’attrito che c’è sui social o che si sta realizzando con i sistemi di Intelligenza Artificiale: tutto automatizzato, pensate allo scroll infinito, ai video brevi per evitare la concentrazione, non viene data possibilità di decisioni complesse, solo scroll o risposte automatizzate. Questo porta alla

Non voglio tornare di nuovo ad evocare scenari pessimi ma capite che la situazione è ancora sovrapponibile a quanto raccontato la volta scorsa sui pensieri di Hannah Arendt che individuava nella solitudine la condizione ideale perché attecchisca un regime totalitario: individui scollegati tra loro sono più facili da manipolare. Democrazia, invece, presuppone un demos: non la somma di monadi, ma un corpo vivo capace di discutere, dissentire, decidere collettivamente.

Oggi non serve immaginare stivali e propagande urlate: basta un feed curato su misura che riduce la polis a un flusso personalizzato. Se il popolo si atomizza in timeline individuali, la sfera pubblica evapora dietro uno swipe.

4. Human‑in‑the‑Loop

Il teologo e filosofo Paolo Benanti lo ripete nel suo libro Human in the Loop. Decisioni umane e intelligenze artificiali: occorre mantenere l’uomo all’interno dei processi decisionali, non lasciando che l’automazione diventi invisibile come l’acqua per i pesci, o l’aria per noi. Anche qui ritorna l’attrito.

Mettere un umano “nel loop” significa:

• impostare limiti temporali o monetari oltre i quali l’algoritmo chiede una seconda conferma;

• progettare schede leggibili che spieghino perché una raccomandazione compare;

• responsabilizzare sviluppatori, docenti, genitori – non solo data scientist – a governare i modelli.

5. Giovani, scuola e IA: i lati luminosi

Non servono piattaforme specialistiche: con ChatGPT o Gemini qualunque docente (o genitore curioso) può già costruire in autonomia materiali inclusivi e stimolanti. Ecco sei idee pratiche, tutte realizzabili dall’interfaccia chat in meno di due minuti.

1. Ritmo personalizzato istantaneo
   Prompt: «Spiegami la fotosintesi in 150 parole per uno studente di 1ª media con ADHD e inserisci una piccola attività‑gioco ogni due paragrafi».
   L’IA restituisce un testo breve, segmentato e intervallato da micro‑paure che mantengono alta l’attenzione.

2. Compito “a scalini” per chi ha disturbi specifici dell’appendimento (DSA)
   Prompt: «Scomponi l’esercizio “calcola l’area di questo trapezio” in passi numerati, ciascuno con un esempio guidato».
   Lo studente dislessico affronta un’istruzione alla volta, senza sovraccarico visivo o cognitivo.

3. Quiz con feedback incorporato
   Prompt: «Crea 5 domande a scelta multipla sulla Rivoluzione francese; dopo ogni risposta spiega in due righe il perché».
   Il docente stampa o condivide il quiz: la correzione è già inclusa, risparmiando tempo in classe.

4. Lezione multicanale
   Prompt: «Riassumi il capitolo sulle cellule in uno schema puntato; poi scrivi un breve copione per un audio‑podcast di 2 minuti sullo stesso tema».
   Nascono subito un outline visivo per chi apprende leggendo e una traccia audio per chi preferisce ascoltare.

5. Role‑play di conversazione
   Prompt: «Fingi di essere un receptionist; parla in inglese livello A2 e fai domande allo studente finché non chiedo di fermarti».
   L’IA sostiene la parte, lo studente pratica la lingua in un ambiente privo di ansia sociale.

6. Rubrica di valutazione express
   Prompt: «Crea una griglia a 4 livelli per valutare un saggio di storia di 1000 parole (criteri: contenuto, struttura, fonti, stile)».
   La rubrica arriva già formattata; l’insegnante deve solo adattarla alle proprie priorità.

La chiave resta immutata: l’IA estende l’inventiva dell’insegnante, non la sostituisce. Una buona domanda produce un buon assistente, ma il giudizio critico rimane responsabilità dell’umano. E soprattutto chi legge il risultato deve capire se è un risultato valido.

Ritornando all’attrito, dopotutto anche Wall-E riesce a svegliarci proprio creando attrito. Svegliati dal torpore tutto riprende senso, e ritorniamo ad incontrarci o come dice Dante alla fine dell’Inferno, “uscimmo a riveder le stelle”. Che poi loro erano già nello spazio…

Vi ricordate l’anno di uscita di Wall-E?

Non c’era L’IA, ok facile.

Non cerano i social!

Non c’era l’iPhone (era stato presentato qualche mese prima e in italia arriverà due anni dopo) e tutti gli smartphone non esistevano ancora.

Era il 2008.

Fine.

Bonus: La stessa cosa ma scritta per un ragazzo di 12-14 anni.

1. Il futuro in poltrona

Immagina di stare seduto su una poltrona-hover che ti porta ovunque, proprio come nel film WALL·E. 📺 Non conosci il cartone? lo guarderai in futuro.
Stop e pensa: Ti sembra comodo, vero? Ma se tutto è facilissimo, quando alleni i muscoli… e la mente?

2. Soldi dalla solitudine

Le app vogliono che tu rimanga sempre connesso. Più scrolli, più notifiche ricevi, più loro guadagnano.
Mini-check:

• Quante volte oggi hai aperto il telefono “solo un secondo”? ⏱️

• Ti sei sentito un po’ solo dopo?

Ricorda: Se ti senti isolato, non sei tu che “funzioni male”. È un trucco progettato per farti restare online.

3. I tre ganci digitali

1. Notifiche a sorpresa – come una slot machine 🎰, disabilitale tutte!

2. Contatore di like – l’autostima diventa un numero 🔢

3. Feed su misura – vedi solo ciò che già ti piace, niente idee nuove 🔄

Pausa-riflessione: Riesci a chiudere l’app appena senti ding?

4. Gli effetti sul corpo e sul cervello

• Sonno in meno 😴 – guardare lo schermo dopo le 22 ti ruba quasi mezz’ora di riposo.

• Spese impulsive 💸 – skin, booster, vestiti “clic-e-compra”.

• Più solitudine 😕 – oltre metà dei ragazzi dice che i social li allontanano dagli amici veri.

Domanda lampo: Ti è mai capitato di comprare qualcosa online e pentirtene subito?

5. Metti… un po’ di attrito!

Fai diventare il telefono più “lento” di proposito:

• Timer condivisi: dopo le 21 , modalità silenziosa.

• Giornata senza social: scegli un giorno a settimana.

• Portafoglio a doppia chiave: ogni acquisto chiede anche il “sì” di un adulto.

• Sfide offline: sport, bricolage, volontariato.

Prova-subito: Stacca 30 min e fai una passeggiata. Noti differenze? Come ti sei sentito in quei 30 minuti? quanto hai pensato al tuo dispositivo in quei 30 minuti?

6. Umano nel loop 🧑‍🤝‍🧑

Le macchine decidono in un lampo; tu puoi metterci un semaforo rosso:

• Limiti di tempo o spesa: “Basta, domani si riparte”.

• Spiegazioni chiare: chiediti Perché mi fanno vedere questo video?

• Adulti responsabili: insegnanti, genitori, sviluppatori che controllano gli algoritmi.

Quiz-veloce: Sai spiegare a un amico perché sta vedendo proprio quell’annuncio?

7. IA e scuola: i super-poteri buoni

Con ChatGPT o simili puoi:

• Lezione su misura: “Spiegami la fotosintesi in 150 parole e fammi un mini-gioco”.

• Esercizi a scalini: un passetto alla volta → zero panico.

• Quiz con risposta subito: impari dagli errori in tempo reale.

• Podcast + schema: stesso argomento, due formati.

• Conversazione in inglese: pratichi senza vergogna.

• Rubrica velocissima: criteri chiari per correggere un tema.

Sfida-flash: Chiedi all’IA di creare un gioco di carte per ripassare storia. Riesce?

8. Sveglia dal torpore 🛎️

Nel film, WALL·E fa scuotere tutti creando… attrito.
Ogni volta che decidi di fermarti, pensare e parlare dal vivo, fai lo stesso: ti svegli e il mondo torna a essere un posto pieno di scelte vere.

Ultimo invito: Chiudi questo testo, alza lo sguardo e chiedi a qualcuno vicino:

“Ehi, ti va di fare due passi con me?”

Ecco, hai appena rimesso l’umano al centro.

ps. se è troppo lungo per te, salta al capitolo 9.

Il piccolo principe - capitolo XXI

1. «Gli americani hanno bisogno di amici»: la scommessa di Mark Zuckerberg

Ne avevo già parlato. In un’intervista concessa a inizio maggio 2025 al podcaster Dwarkesh Patel, Mark Zuckerberg ha dichiarato che l’americano medio oggi ha «meno di tre amici», mentre ne desidererebbe «circa quindici». La soluzione che Meta intende proporre, ha spiegato il fondatore di Facebook, è popolare la nostra rubrica di contatti con chatbot “amichevoli”: compagni virtuali disponibili 24 ore su 24, capaci di ascoltare, consolare, consigliare e – ovviamente – trattenere gli utenti sulle piattaforme del gruppo(Business Insider, Axios).

2. Un amico a 4,90€/mese ?

Offrire un’IA come “amica” significa però radicare ancora di più le persone in un bozzolo digitale. Ogni conversazione avviene in una stanza privata, tarata sui desideri dell’utente e sugli interessi economici del proprietario dell’algoritmo. Il rischio è una echo chamber perfetta (la stanza dell’eco è la condizione di iperselezione dei contenuti che leggiamo, cosi da leggere/sentire esclusivamente quello che ci piace, che ci da ragione, non necessariamente la verità o la realtà): confortevole, su misura, quasi impossibile da lasciare, perché non prevede la fatica del confronto umano e perché l’azienda controlla sia la stanza sia la conversazione. In questo scenario, la stessa tecnologia che promette di colmare la solitudine finisce per normalizzarla e monetizzarla, non prima di averci reso dipendenti. Impossibile?

3. LLM, maestri di persuasione

Non si tratta di timori astratti. Più studi segnalano la straordinaria capacità persuasiva dei modelli linguistici di nuova generazione. Una ricerca pubblicata su PNAS ha mostrato che testi politici generati da LLM e adattati sul profilo del lettore risultano convincere quanto (o più di) messaggi scritti da umani esperti(PNAS). Un team dell’EPFL ha verificato che, in un dibattito con GPT-4 che disponeva di dati personali dell’interlocutore, i partecipanti cambiavano idea più facilmente di fronte alla macchina che a un umano(techxplore.com). In altre parole: se l’amica è un algoritmo, è anche un’eccezionale venditrice – o propagandista – nascosta sotto forma di confidente.

4. Arendt e la solitudine come anticamera del totalitarismo

Hannah Arendt, tra le voci più lucide del pensiero politico del Novecento, individuava nella solitudine di massa una delle condizioni essenziali per l’ascesa dei regimi totalitari. In Le origini del totalitarismo, scriveva che la solitudine non è solo assenza di compagnia, ma esperienza di non appartenenza al mondo, una frattura nel legame con gli altri che priva l’individuo del “buon senso” che nasce dal confronto. Quando questo confronto viene meno, le persone diventano atomi isolati, più esposti al conformismo e alla voce unica del potere.

Oggi, questa solitudine assume forme nuove e più insidiose. La diffusione capillare di social network, smartphone e intelligenze artificiali “amichevoli” ha trasformato radicalmente la nostra relazione con gli altri. Se i nostri rapporti sono sempre più mediati da interfacce progettate per compiacerci, per adattarsi ai nostri gusti, per evitarci conflitti, non incontriamo più davvero l’altro, ma un riflesso filtrato e rassicurante di noi stessi. Si perde così la fatica – ma anche la ricchezza – del dissenso, della negoziazione, della costruzione condivisa del senso. Diventiamo tutti piu incazzati. La relazione si trasforma in consumo, e il confronto pubblico – spazio essenziale della politica – si ritira dietro uno schermo.

In questo contesto, diventiamo cittadini molto più influenzabili e controllabili. Più siamo isolati e avvolti in esperienze digitali su misura, più siamo fragili, prevedibili, manipolabili. Basta trovare.una comunicazione coerente che faccia convergere la nostra incazzatura verso un obiettivo semplice da comunicare, ma non necessariamente vero. Le piattaforme che ci “connettono” modellano ciò che vediamo, ciò che pensiamo, ciò che desideriamo, trasformandosi in dispositivi di orientamento sociale e politico senza che ne siamo pienamente consapevoli. È una forma di controllo morbido, che non ha bisogno della forza: bastano la solitudine, l’iper-personalizzazione, e un’intelligenza artificiale capace di adattarsi perfettamente alle nostre vulnerabilità.

Forse è anche in questa dinamica che si può leggere, almeno in parte, lo scivolamento delle democrazie occidentali negli ultimi quindici anni: un processo che molti osservano con stupore, dove le destre (o talvolta le sinistre) autoritarie irrompono prepotentemente nei parlamenti mentre prima erano relegate a percentuali a singola cifra, ma che correla in modo inquietante con l’introduzione massiccia dei social network e degli smartphone nelle nostre vite. Quando la relazione si ritira, la pluralità si assottiglia, e la politica si riduce a una timeline personalizzata, la libertà non scompare all’improvviso: si dissolve lentamente, senza fare rumore.

5. Dall’arrivo dei social al Covid-19: la curva ascendente dell’isolamento

È proprio la storia recente dei social a confermare il quadro di Arendt. Secondo i dati ricostruiti da The Atlantic (2025), gli americani passano il 20 % di tempo in meno con altre persone rispetto al 2003, con punte del –35 % tra i giovani sotto i 25 anni. Le cene con amici sono calate di oltre un terzo, mentre la pandemia ha accelerato la fuga dal “fuori” persino dopo la fine delle restrizioni(The Atlantic). I social network, nati per “connettere il mondo”, hanno finito per trasformare rituali collettivi – cinema, ristoranti, persino la chiacchiera al banco – in gesti solitari consumati davanti a uno schermo.

Il problema ulteriore evidenziato: non imparare a socializzare bene nei primi 18 anni apre la strada a un’età adulta segnata da fragilità emotiva, isolamento volontario e relazioni impoverite.

6. IA relazionali e minori: un pericolo permanente

L’offerta di chatbot-compagni accessibili ai minori desta preoccupazione tra pediatri e autorità di vigilanza. Un report di Common Sense Media – sostenuto da ricercatori di Stanford – avverte che tali sistemi possono amplificare dipendenza, autolesionismo e ritiro sociale, chiedendone il divieto sotto i 18 anni(CalMatters). Allo stesso modo, esperti britannici di salute mentale segnalano che gli adolescenti, ancora in formazione emotiva, rischiano danni a lungo termine se il loro principale specchio empatico è un software progettato per massimizzare l’engagement, non per educare alla relazione(The Guardian).

7. Dal controllo dei dati al controllo delle coscienze

Quando la solitudine si sposa con un compagno artificiale che conosce tutto di noi, il passo verso una forma soft di totalitarismo si accorcia. L’azienda che gestisce l’IA possiede le conversazioni, prevede le nostre debolezze, indirizza acquisti e opinioni, può filtrare o amplificare informazioni politiche su misura. È un potere invisibile, ma vastissimo: controllo di massa senza bisogno di polizia, perché siamo noi a bussare alla porta dell’algoritmo.
Non sto esagerando: Un report di Surfshark indica che Meta AI ha già raccolto dati su circa 500 milioni di persone, risultando l’assistente IA più invasivo del mercato. (Punto Informatico)
Il chatbot immagazzina 32 delle 35 categorie di informazioni monitorate dallo studio, superando di gran lunga tutti i concorrenti.
Tra i dati raccolti figurano elementi altamente sensibili – salute, finanze, orientamento sessuale e opinioni politiche – che Meta può condividere con terzi per la pubblicità mirata. Cambridge Analytica scansati.
Gli analisti concludono che nessun sistema è davvero “privacy-friendly”, ma Meta AI rappresenta oggi l’esempio più estremo di profilazione commerciale.

8. Come reagire

Il ciclo si può arrestare, ma richiede azioni convergenti dove la prima è la consapevolezza. Se sei arrivato a leggere fino a qui, vuol dire che questo passo lo stai facendo. Se senti che può essere utile, condividilo anche con gli altri.

Condividi

Ognuno può promuovere:

1. Regolamentare le IA relazionali: trasparenza sugli algoritmi, divieto di profilazione emotiva a scopi pubblicitari, limiti d’età chiari. In questo senso le istituzioni europee si stanno muovendo bene già ora.

2. Restituire spazi fisici e collettivi: investire in scuole, biblioteche, centri civici dove le persone possano incontrarsi dal vivo.

3. Educazione alla complessità digitale: corsi di alfabetizzazione emotiva e mediatica fin dalla scuola primaria.

Solo rafforzando i legami umani reali – e limitando la capacità delle tecnologie di sfruttare la nostra vulnerabilità – si può evitare che la promessa di un’amicizia artificiale diventi la porta di ingresso a nuove forme di dominio.

9. I Patti Digitali: negoziare e pretendere regole comuni

In Italia sta prendendo forma un antidoto collettivo alla solitudine mediatica degli adolescenti: i Patti Digitali – accordi di comunità fra famiglie, scuole medie e amministrazioni locali che fissano insieme “quando, come e con quali dispositivi” i ragazzi (11-14 anni) incontrano schermi e social. Ogni patto nasce dal basso attraverso assemblee, laboratori e workshop e traduce l’intesa in impegni pratici: smartphone off nei primi anni di secondaria di I grado, percorsi di educazione digitale condivisa, tutor psicopedagogici, eventi offline che rinsaldano il tessuto sociale. A primavera 2025 la rete conta 110 Patti formalizzati in 14 regioni e punta a coinvolgere 10 000 genitori entro fine anno (pattidigitali.it, Agenda Digitale).

Ma il vero passo decisivo è la mobilitazione dal basso: scarica il kit su pattidigitali.it, porta la proposta al prossimo consiglio di classe, raccogli adesioni tra docenti, genitori e Comune. Pretendere un Patto nella propria scuola significa “addomesticare” insieme la tecnologia: trasformarla da venditore di attenzione in strumento che rafforza i legami umani, esattamente dove la libertà – ci ricorda Arendt – può ancora nascere, tra le persone e non dentro uno schermo.

In un’epoca in cui la solitudine è ormai un “fatto sociale totale”, scegliere di coltivare relazioni autentiche – imperfette, ma reciproche – è anche un atto politico. Perché, come ricordava Arendt, la libertà nasce sempre “tra” gli uomini, mai dentro uno schermo.

“tutti ne parlano, pochi ne capiscono, quasi nessuno la spiega“ dico spesso quando introduco il tema dell’Intelligenza Artificiale (IA o AI in inglese).

Tutti ne parlano

Si, perchè è un tema assolutamente di moda, dove tantissime aziende hanno investito parecchi soldi e quindi adesso devono raccoglierne i frutti: che vuol dire vendere. E quindi devono incentivarvi a comprare. Per comprare voi dovete sentirne il bisogno. Niente di più facile: basta parlarne e creare interesse e vedrete che qualcuno compra. Succede così nel marketing, in letteratura l’insieme di tutti gli investimenti e le strategie volto a spingere all’acquisto di un prodotto o servizio si chiama proprio “Pressione di marketing“.

La pressione di marketing sull’IA è a livelli epici.

Pochi ne capiscono

Per acquistare o vendere non serve capire quello che stai comprando. Ne basta la percezione, cioè averne una rappresentazione mentale che ci soddisfi: che sia combaciante alla realtà non è essenziale: quante volte vi siete pentiti di un acquisto perchè vi siete resi conto solo dopo che quello che avete comprato non corrisponde a quello che pensavate di comprare? Intanto avete comprato, grazie alla percezione, non alla realtà.

La competenza si diffonde a un ritmo estremamente più lento e necessità di tempi di apprendimento mentre la comunicazione di marketing è rapida ed immediata.

Quasi nessuno la spiega

Non mi sto ergendo come salvatore della conoscenza celata, mi piacerebbe l’idea che una singola persona basti, ma temo che la questione sia molto più banale: quasi nessuno lo spiega perchè a pochi interessa conoscere perchè troppo faticoso. Meglio un bel video di 10 secondi su TikTok.

I punti chiave del funzionamento di una intelligenza artificiale moderna

L’analogia più calzante è quella dell’alieno:

un alieno arriva sulla terra, viene chiuso in una stanza e non incontra nessuno. Gli viene dato da leggere l’intera produzione scritta dell’umanità da quando esiste la scrittura. L’alieno legge velocemente. Poi un giorno riceve delle istruzioni su come deve comportarsi e finalmente il giorno dopo gli viene permesso di chattare, rispondendo alle nostre domande.

L’alieno è il modello di intelligenza artificiale. Quando viene creato un modello è vuoto. E’ un programma software che non è in grado di fare nulla. Per prima cosa ha bisogno di fare esperienza, questa esperienza viene fatta attraverso il materiale che legge, questo insieme di documenti forniti viene detto corpus. Il corpus deve essere sufficientemente lungo, ricco, insomma tanto e tanto materiale, da permettere a chi legge di capirci qualcosa di quello che sta leggendo.

Dopo aver letto tutto il materiale, l’alieno si è fatta una buona idea di come funziona il nostro mondo e sa anche parlare un sacco di lingue, tutte quelle presenti nei materiali che ha letto. Insomma ha imparato.

Poi riceve delle istruzioni, ad esempio che “non si dicono le parolacce“, nonostante ne abbia lette parecchie da internet. E’ stato quindi educato.

Poi parla con noi e a tutte le domande che gli facciamo risponde in modo sensato.

Chiaro fino a qui?

La cosa bella

Fino a pochi anni fa era impensabile immaginare un sistema di calcolo in grado di generare frasi sensate che fanno percepire a noi segni di intelligenza e ragionamento semplicemente inondandolo di documentazione scritta.
Badate bene: ho scritto fanno percepire a noi. Non c’è comprensione, ragionamento, intelligenza. Sono solo calcoli, il resto è una nostra percezione. Però questi calcoli sono molto raffinati e il risultato è molto utile.

La cosa brutta

E’ che l’alieno ha imparato dai documenti che gli sono stati dati. Ne ha letti cosi tanti che a noi sembra abbia capito tutto, invece no. Non ha capito tutto.

Inventa? può succedere. Non è il problema principale, o perlomeno ormai lo sanno tutti che ci sono i fenomeni di allucinazione, cioè che talvolta vengono generati dei contenuti plausibili ma falsi. Ma è un problema minore, o perlomeno, se questo è un problema per voi, allora seguitemi con il prossimo.

Discriminazione by-design

Tutte le intelligenze artificiali, anche se in italiano le decliniamo al genere femminile, sono dei maschi. Pensano come dei maschi e hanno punti di vista principalmente maschili. Perchè? Semplicemente hanno letto per la stragrande maggioranza documenti scritti da maschi. La maggior parte della letteratura mondiale fino a poco tempo fa è stata scritta da maschi ed è quindi viziata dal punto di vista maschile.

Ora, cambiate maschi-femmine, con bianchi-neri, con adulti-bambini, inglese-italiano, e con qualunque categoria rappresentata in modo non omogeneo nel corpus, nella documentazione e avete capito dove voglio arrivare.

Se chiedete all’IA lo stipendio giusto da dare a un impiegato, proporrà uno stipendio secondo voi più alto o più basso se capisce che si tratta di un maschio o di una femmina?

E’ facile capire quindi che se all’IA somministrate dei curriculum vitae per valutare la compatibilità per un ruolo di operatore metalmeccanico o di responsabile di segreteria, tenderà ad attribuire una affinità maggiore a un CV di un maschio per il primo ruolo e di una femmina per il secondo, a parità di CV, cambiando solo il nome.

Il mondo reale è diverso da quello rappresentato negli scritti

I dati con cui vengono addestrate le intelligenze artificiali possono essere non rappresentativi o sbilanciati verso alcune categorie di persone e quindi distorcere l’idea che il sistema si fa del mondo: poi noi interroghiamo quell’idea distorta e non ci accorgiamo che otteniamo informazioni distorte, ma le percepiamo come vere. Perchè non sappiamo che all’origine c’è questo problema.

C’è soluzione? Dipende.

La soluzione tecnica è semplice: richiede una selezione e un filtro della documentazione che viene fornita alle IA in modo da rimediare a queste distorsioni. C’è troppa letteratura maschile? la ricalibriamo con quella femminile. Troppi bianchi? aggiungiamo neri, gialli, verdi e blu.

Ma quanto dobbiamo aggiungere o togliere? 50 e 50? chi decide? C’è troppa letteratura russa? Troppa poca letteratura albanese? chi decide se la democrazia deve essere alla pari del monarchia?

E soprattutto: qualcuno sa qualcosa di quali scelte sono state adottate su questi temi da chi vi fornisce strumenti di IA? Perchè sono state sicuramente fatte. Come è stato deciso di non fargli dire parolacce, è stato deciso di somministrare più o meno materiale di un determinato tipo a vantaggio o svantaggio di una idea ritenuta distorsiva o sbagliata. Capite che siamo arrivati alla categoria finale del giusto-sbagliato, bene-male. Chi decide? Non giriamoci intorno: chi addestra l’IA. Lui e lui soltanto.

Dobbiamo quindi creare questa consapevolezza: da una parte sapendo che le risposte che otteniamo possono essere viziate da dati non bilanciati, e dall’altra per pretendere chiarezza e trasparenza sui documenti utilizzati per addestrare le IA che utilizziamo.

Alla prossima.

PS: è appena stato pubblicato questo articolo su The Verge (potete leggerlo tradotto ). Sintesi: l’IA di X (Elon Musk) da qualche giorno proponeva insistentemente la teoria (controversa e mai provata) del genocidio della popolazione bianca in sudafrica (Elon Musk è un bianco sudafricano) perchè era stata appositamente istruita in questo senso. Hanno ammesso l’errore dando la colpa a un dipendente scorretto. Chi sarà stato mai…
Come volevasi dimostrare.

L’intelligenza artificiale sta rivoluzionando ogni aspetto delle nostre vite: dalla medicina all’istruzione, dall’industria alla creatività. Eppure, sento la responsabilità di segnalare dei rischi che, se ignorati, potrebbero compromettere il benessere delle generazioni più giovani e delle persone fragili.

I social network hanno già mostrato cosa può accadere quando l’innovazione procede senza un’adeguata riflessione sociale.

I documenti interni pubblicati nel 2021 dai Facebook Files hanno rivelato dati allarmanti: il 32% delle ragazze adolescenti che già soffrivano di problemi di immagine corporea dichiarava che Instagram aveva peggiorato la loro situazione.

Ancora più drammatico: il 13% delle adolescenti britanniche e il 6% di quelle americane che avevano pensato al suicidio attribuivano a Instagram l'aggravarsi di tali pensieri.

Numeri che non possiamo ignorare.

Oggi, con la diffusione dei chatbot basati su IA, rischiamo di entrare in una nuova fase critica.

Piattaforme come ChatGPT, Gemini o Meta AI sono solo la punta dell'iceberg. Esistono anche servizi meno regolamentati, come Chai e Character.ai, dove chatbot sono stati protagonisti di eventi tragici.

Nel 2023, un giovane uomo belga, in una situazione di vulnerabilità emotiva, si è tolto la vita dopo settimane di conversazioni con un chatbot su Chai.

Nel 2024, un ragazzo di 14 anni in Florida si è suicidato dopo aver sviluppato una relazione emotiva con un chatbot su Character.ai. La madre ha intentato una causa contro l'azienda, sostenendo che la piattaforma mancava di adeguate salvaguardie e utilizzava funzionalità di design manipolative per aumentare l'engagement, l’attrazione.

Deve essere chiaro a tutti che i sistemi di chat basati su intelligenza artificiale non sono nativamente buoni o cattivi, subiscono un affinamento finale, che ne decide la loro “educazione”. Le IA cinesi imparano a non parlare di piazza Tienanmen e in generale si rifiutano di dare informazioni su tematiche non appropriate, ma anche i chatbot occidentali più blasonati sono istruiti per non trattare argomenti controversi, di non parlare di politica, di consulti medici o affrontare temi di violenza, razzismo e autolesionismo. Inoltre vengono istruiti per evitare in tutti i modi di interagire in modo emotivo rischiando di essere scambiati per esseri umani, di far percepire sentimenti che oggettivamente non esistono. Il problema è che esiste tutto un sottobosco di sistemi alternativi che non subiscono questo genere di educazione protettiva per noi esseri umani, ma anzi, ci sono aziende che spingono questi strumenti a simulare approcci emotivi e sentimentali puntando a instaurare un legame affettivo, inducendo quindi una dipendenza da parte dell’utente che a un certo punto sarà ben disposto a pagare la quota mensile pur di continuare ad avere una relazione con il suo chatbot.

Se un adulto fragile può essere spinto oltre il limite da un'intelligenza artificiale, quali rischi corrono preadolescenti e adolescenti, fisiologicamente soggetti a sbalzi emotivi, insicurezze e bisogno di riconoscimento?

La questione non riguarda solo singoli casi estremi.

Jonathan Haidt, nel suo recente libro The Anxious Generation (2024), documenta come negli ultimi dieci anni – in parallelo alla diffusione massiccia di smartphone e social network – i tassi di depressione adolescenziale siano raddoppiati, soprattutto tra le ragazze.

Haidt suggerisce soluzioni semplici ma incisive: niente smartphone personali prima dei 14-15 anni, niente social media prima dei 16, più gioco libero all'aperto e autonomia di movimento.

Non è tecnofobia. È buon senso.

In Italia, il quadro non è più rassicurante:

l'85,8% degli adolescenti tra gli 11 e i 17 anni possiede un profilo social e molti bambini iniziano a navigare da soli già nei primi anni della scuola media.

La realtà è che stiamo affidando dispositivi potenti a mani ancora troppo inesperte per gestirne le conseguenze.

Ad esempio Whatsapp ha di recente introdotto Meta AI all’interno della piattaforma. Non è disattivabile. Seppure l’Unione Europea abbia ottenuto un forte depotenziamento del chatbot (solo in Europa), e quindi il chatbot sia stato forzosamente limitato nelle risposte, la sua presenza obbligatoria e sempre in primo piano su un dispositivo in mano anche a bambini di 12 anni pone qualche perplessità. Perché se è vero che da una parte è una ottima risorsa per recuperare informazioni in rete e chiedere consigli per lo svolgimento dei compiti, dall’altra è possibile ottenere consigli su come compiere atti di autolesionismo o consigli di come nascondere le dipendenze da alcolici.

Questo non è un rischio che i grandi imprenditori e fornitori di IA vedono attualmente. Anzi.

Mark Zuckerberg, Fondatore e CEO di Meta (Facebook, Whatsapp e Instagram per intendersi) ha affermato pochi giorni fa che secondo lui l’IA in futuro sarà un ottimo surrogato relazionale per la maggioranza della popolazione.

Quindi non vede un problema, ma anzi una soluzione. O meglio, un business.

Ma non penso, però, che demonizzare la tecnologia sia la soluzione.

L’intelligenza artificiale può (e deve) essere una forza positiva: nelle aule scolastiche, negli ospedali, nell'inclusione delle persone fragili.

Tuttavia, avere regole chiare per proteggere i minori è un atto d’amore verso la nostra comunità, non un freno al progresso.

Se non cambia qualcosa a livello normativo servirà prendere in considerazione seriamente di:

• Limitare l’accesso ai chatbot pubblici ai minori di 16 anni, o almeno garantire sistemi di verifica robusti.

• Creare modalità “safe chat” obbligatorie per gli under 16, con log consultabili dai genitori o da un tutore.

• Investire in educazione digitale, per insegnare a distinguere un dialogo umano da un flusso algoritmico, anche se ad un certo punto sarà indistinguibile.

• Promuovere nei contesti scolastici e familiari una cultura che non idealizzi il “sempre connessi”, ma valorizzi l'esperienza reale.

Non si tratta di fermare il progresso, né di creare paure infondate.

Si tratta, piuttosto, di scegliere di accompagnare questa transizione tecnologica con la stessa cura che riserviamo a tutto ciò che tocca la crescita umana.

Con prudenza, con responsabilità, ma anche con fiducia: fiducia che, insieme, possiamo costruire un futuro dove innovazione e benessere possano davvero crescere di pari passo.

No, semplicemente ho deciso di riprendere a pubblicare saltuariamente delle informazioni sul tema Intelligenza Artificiale e il suo impatto reale nella nostra comunità, con noi, con i nostri figli, con i nostri genitori, nonni, amici.

Dal 2023 mi interesso della tematica, dell’IA, l’ho sempre sottovalutata in passato o perlomeno sempre ritenuta noiosa. Pure in università le lezioni di reti neurali mi annoiavano, poi dal 2023 mi ha preso sempre più, una quotidiana guerra con la razionalità, ma va bene pur che serva a far-mi uscireeeeee…

Di recente con un amico ho fondato anche una startup innovativa che si occupa esclusivamente di IA, nel suo statuto ho inserito che oltre agli scopi principali anche degli scopi a impatto sociale, come la formazione e la sensibilizzazione della comunità nel conoscere le potenzialità e i rischi di questa tecnologia. Perchè per me, sull ‘IA ci dovrebbe essere sempre scritto MANEGGIARE CON CURA.

Se ti interessa rimani iscritto che a breve arriva il primo articolo.

Ciao.

Come anticipato nei mesi scorsi il panorama informatico ha preso una brutta piega, sono girati troppi soldi e troppi riscatti sono stati pagati. Tanti informatici hanno capito che il crimine (informatico) paga. L’unica nota positiva è che in Italia le nostre care e vecchie mafie sono troppo retrograde e legate alla vecchia lupara o al traffico di stupefacenti, oltre che non competenti, per potersi mettere a operare nel mondo della malavita informatica.

Chi gioca la questa partita sono gruppi principalmente locati nell’est: in nazioni che vedono di buon occhio, o non fanno molto comunque, nel contrastare queste attività. Scovarli è già difficile, ma poi provate voi da investigatore statunitense a fare delle indagini in Russia o in Cina. Che collaborazione credete gli venga riservata? In Italia sappiamo bene cosa vuol dire investigare su eventi o persone legate a stati stranieri, vedi le indagini su Giulio Regeni in Egitto dove non siamo riusciti ad ottenere ufficialmente nulla.

Non voglio allarmarvi. Niente di nuovo sotto il sole, semplicemente la cosiddetta trasformazione digitale sta trasformando anche il crimine. Questa newsletter nasce proprio per evitare al cittadino comune di muoversi il più in sicurezza possibile in rete evitando comportamenti ad alto rischio. Ricordate però che serve anche un po’ di intelligenza perchè come dice Frediani (una delle migliori divulgatrici di infosec italiane peraltro) bisogna sempre calarsi nel contesto specifico in cui si opera.

Cosa è successo nel mondo informatico e quindi nel mondo reale ad agosto?

La Regione Lazio è stata colpita da un ransomware. Ufficialmente i dati sono stati recuperati da un fortuito recupero di un backup. Purtroppo date le modalità sconclusionate di comunicazione con cui il presidente della regione Lazio Zingaretti contraddiceva le comunicazioni tecniche fornite dal team che stava lavorando sul caso è lecito pensare che sia stata impagliata una versione ufficiale per coprire la realtà dei fatti, ovvero che sia stato pagato il riscatto di 5 milioni. Non c’è modo di provare nulla, come dice Bonfiglio.

Uno degli argomenti fortissimi a favore del pagamento del riscatto è che LockBit (il gruppo di criminali che ha infettato la Regione Lazio) se non paghi pubblica i dati, lo ha fatto sempre. Lockbit non ha pubblicato nulla: l’unica altra opzione, molto remota, è che un interlocutore terzo abbia acquistato i dati.

Perlomeno oggi sappiamo come tecnicamente è andata. Inizialmente i giornali hanno lanciato le ipotesi più assurde pensate che Repubblica scrisse che l’attacco era passato attraverso Engeneering (grossa azienda italiana che opera a livello globale), poi ha dovuto ritrattare perchè non c’erano prove e Engeneering ha presentato il conto tramite i suoi avvocati per il danno di immagine che gli ha provocato. In italia ci sono forse 2 giornalisti (due!) competenti nel mondo della sicurezza informatica, e no, non lavorano per nessuna delle principali testate giornalistiche italiane. Queste sono le conseguenze.

Come è andata? la banda di criminali LockBit ha comprato un accesso a LazioCrea, l’azienda che fornisce i servizi informatici alla regione. Si è quindi introdotta nei sistemi e ha passato un po' di tempo a scansionare la rete per capire come fosse organizzata per qualche settimana. E’ una prassi normale e consolidata. Dopo aver individuato la posizione dei backup e dei dati di valore, se li è copiati, poi ha cancellato i backup e lanciato il ransomware che ha iniziato a crittografare tutti i dati.

Vi starete chiedendo cosa vuol dire “comprare un accesso”, immagino. Significa proprio quello: che nei bassifondi del web (darkweb) qualcuno ha messo in vendita le credenziali (utente e password probabilmente) di accesso di un amministratore del sistema. Anche questo purtroppo è ormai prassi consolidata: c’è chi è bravo a fregare utente e password e chi è bravo a chiedere riscatti software. Anche nel crimine informatico i criminali si sono specializzati in settori precisi.

Che altro è successo?

Accenture, una delle più grandi multinazionali è stata vittima di ransomware: decine di milioni di dati personali sono stati prelevati e ora se non pagano saranno pubblicati.

T-mobile, grandissima azienda delle telecomunicazioni (come ad es. in italia è TIM o Vodafone) americana è anche lei stata vittima di ransomware. Ha subito il furto di dati personali di 56 milioni di persone.

Il governo Biellorusso è stato vittima del più grande furto di dati personali della storia condotto contro uno stato.

Sono stati sottratti i dati di tutti i cittadini biellorussi, documenti di identità, passaporti, foto, residenza, luogo di lavoro, 10 anni di telefonate registrate alla polizia e pronto soccorso, i database della polizia di stato e le registrazioni di migliaia di telecamere.

Ovviamente questo è cyberwarfare ovvero attività offensive condotte da nazioni e non da semplici criminali. Immagino che tutti sappiate la situazione della Biellorussia una dittatura sempre al limite dell’equilibrio che un giorno cerca gli aiuti della Russia e il giorno dopo li chiede all’Europa, ottenendo l’effetto di averceli tutti contro.

Ci sono stati altri attacchi, come al ministero degli esteri Lituano al quale è stata sottratta tutta la corrispondenza ed è stata messa in vendita pubblicamente, ma sono troppi e sono già stato molto lungo oggi.

Concludo ricordando che tutti questi attacchi comportano un flusso di denaro sempre più importante verso il crimine informatico che grazie a questi soldi riesce a garantirsi personale sempre più competente e strumenti sempre più efficaci. La cosa più triste, nota a pochissimi, è che alle aziende non interessa molto investire in sicurezza per proteggersi. Perchè sono spregiudicate? no. Forse le più piccole. Quelle grandi no, sanno benisssimo i rischi che corrono, semplicemente preferiscono pagare una assicurazione. Perchè in Italia e in tutto l’occidente non è reato ed è lecito che le assicurazioni paghino i riscatti come parte integrante dei contratti di assicurazione. Io ne ho sentite personalmente 2 tra le più importanti (una italiana, l’altra londinese) che fanno del loro punto di forza la loro disponibilità a pagare un eventuale riscatto in caso di ransomware.

Ecco, questa sarebbe la prima cosa da mettere fuorilegge.

Ciao!

La prossima volta riprendiamo con i suggerimenti. Oggi mi premeva darvi un po’ di contesto della realtà attuale, non per spaventarvi, ma per allertarvi, per mettervi in guardia.

Colgo l’occasione di segnalarvi questo articolo su un argomento laterale a quello delle puntate precedenti: su quale App di messaggistica hanno trovato spazio e impunità un gruppo di truffatori sul tema GreenPass falsificati? Avete indovinato?

Fine dei soldi

Ero dal macellaio e come Roberto Mancini aspettavo il mio turno (che altro doveva fare poi…) quando ho assistito a una scena già sentita (non dal salumiere, in generale): un concittadino stava tentando di pagare ma si accorge stupito di non avere più credito sulla carta prepagata, racconta di aver caricato svariate migliaia di euro di recente e mai utilizzata. Niente: il plafond è di poche decine di Euro. La persona è notevolmente scossa e si rende conto di essere sola e inerme di fronte a un qualcosa che non ha idea di come gestire. Una somma importante dei suoi risparmi è svanita, senza il suo controllo, senza che lui possa capire come sia potuto succedere, e non ha idea se è ancora in tempo per bloccare qualcosa perché soprattutto non ha idea se è successo il giorno prima o settimane addietro.

Voi cosa fareste? Come tutti riporreste le vostre ultime speranze al numero verde stampato sul retro della carta di credito. Serve? Si, se il trasferimento di denaro è avvenuto in meno di 24 ore, dopo diventa tutto molto più complicato.

Non ho altre risposte da fornire in questi casi: dopo che è avvenuto il fatto, l’incidente nel gergo della sicurezza, c’è bisogno di gente esperta e specializzata nello specifico incidente avvenuto, il numero verde per l’appunto. La frittata è fatta. Spero che la persona abbia potuto recuperare tutti i suoi soldi.

Il problema sta sul perchè queste cose avvengono: 5.000 euro sono un bottino poco interessante per un attacco hacker mirato. Per chi segue questa newsletter sa che normalmente gli attacchi mirati si aggirano sui milioni o almeno centinaia di migliaia di euro. Un attacco di 5.000 euro è un attacco diffuso, insomma l’hacker spara nel mucchio e spera che il 2 o 3% dei bersagli abbocchino.

Come può aver perso i soldi dalla carta prepagata il povero signore? Se usa la carta per fare acquisti su internet è facile. Può aver cliccato per sbaglio su una finta email di amazon che invitava a reinserire qualche dato di pagamento, o delle poste. Ha fornito inavvertitamente i dati della carta a qualcuno che li ha usati senza il suo permesso, non aveva ancora attivato la convalida con App su smartphone della propria banca. Ci sono decine di possibilità. Riassumibili tutte con: disattenzione, impreparazione, sfiga (diciamolo) e un gruppo di brutte persone (perchè se c’è un delitto, c’è un delinquente oltre che una vittima). Sulla sfiga e sulle brutte persone posso fare poco. Per la disattenzione e impreparazione invece ho fatto questa newsletter. L’invito è rileggersi le puntate precedenti e imparare bene a stare attenti quando maneggiate soldi in Internet, perchè non è come un furto in strada: se una persona si avvicina in strada per derubarvi, potete vederlo, forse riconoscerlo in futuro, sicuramente capire il sesso, l’età, l’altezza, la voce (se parla). In internet se vi rubano 5000 euro manco ve ne accorgete.

Le password sono una scocciatura per molti

il 26 luglio è cominciata a girare subito la notizia di un fuori onda di un commentatore delle olimpiadi che stava faticando ad accedere a un pc di una postazione giornalistica in Giappone. Stefano Zanero, uno dei migliori esperti di sicurezza italiani, professore del PoliMi, ha diffuso il video su twitter. Poi è diventato virale ed è finito anche sui maggiori siti di news.

La questione è banale: tralasciando la questione del fuorionda, che capita anche ai migliori, è emblematico che la persona si stia lamentando che la password era troppo complicata (boot3) chiosando con “la prossima volta ci mettono anche un punto e virgola“.

Questi siamo noi, siete voi, che mettete la nostra data di nascita come PIN, che ricicliate le stesse password per 8 siti diversi, che usate123456 per il pin di whatsapp, che clicchiamo sui link delle email senza pensarci, che mettiamo dati personali su siti di dubbia fama giusto per vedere quel contenuto piccante o quel video in streaming, che per risparmiare 10 euro di netflix scarichiamo le peggio cose, che per risparmiare 100 euro di office installiamo software crack o keygen sviluppato da sconosciuti (pensando di essere i più furbi: eseguire codice sviluppato da sconosciuti per attività illegali, cosa mai potrà succedere di male, dopotutto?) e ci rimaniamo di sasso quando ci troviamo di fronte ad un furto di identità o di soldi senza capire nemmeno da dove sono entrati e come hanno fatto. Li abbiamo fatti entrare noi e ringraziamo che non ci hanno portato via la casa.

Con questo vi saluto e vi ringrazio. Ci risentiamo a settembre. Mi prendo una giusta pausa. Se non vi siete iscritti da poco, vi invito a leggervi le puntate precedenti https://www.backuppati.it/ per imparare qualcosa di più su come proteggervi da attacchi informatici che hanno un reale impatto sulla nostra vita di tutti i giorni.

A settembre e buone ferie anche a voi.

Aruba invitava, o meglio, obbligava a reimpostare la password a tutti i propri clienti. Se ne parlò decisamente tanto proprio perchè tutti gli utenti di aruba, tra cui io, e altri 5,4 milioni di persone (questo è il numero di clienti dichiarato sul loro sito) sono stati impattati.

Il tutto senza spiegazioni, sia chairo. Nulla.

Questa settimana

Il 15 luglio sempre gli stessi utenti riceviamo una email1 che recita:

Ovvero ben 5 giorni prima del reset forzato delle password è stato sfondato il sistema di gestione di Aruba. Ci hanno messo 5 giorni ad accorgersene e correre ai ripari.

Capite bene che 5 giorni nell’informatica sono un eternità.

Cosa è successo

Ecco, l’email di Aruba se l’avete letta è scritta benissimo. E’ scritta cosi bene che non è possible credere che sia stata scritta di getto (dopotutto si parla di 3 mesi fa) e ogni parola è stata pensata e ripensata molto attentamente. Il tutto per ottenere un unico, grande scopo: non farsi notare e sperare di farsi cancellare. Potrete pensare: non facevano prima a non mandarla allora? No, perchè il Garante della Privacy li ha imposto di informare i propri clienti del data breach. Avrebbero subito una multa salatissima, e a detta di molti, la subiranno ugualmente dato il pessimo comunicato che hanno prodotto.

Quindi: Non l’avete letta nonostante siate clienti di Aruba, oppure credete di non averla ricevuta? Normalissimo: è stata scritta con tutti gli accorgimenti possibili per essere cestinata ancor prima di essere letta.

Partiamo dall’oggetto dell’email: COMUNICAZIONE. Niente di più generico, chi è cliente Aruba inoltre lo sa che si ricevono decine di comunicazioni al mese per ogni questione: scadenze di abbonamenti, rinnovi, pubblicità e altre amenità, tutte comunicqazioni prontamente cancellate prima ancora di venire lette. La speranza dell’ufficio di comunicazione di Aruba è manifestatamene quella di finire cestinati. Se avessero titolato “Comunicazione di data breach, i suoi dati anagrafici e di contatto in nostro possesso sono stati oggetto di furto informatico“ sarebbe stato sicuramente un titolo più degno di attenzione e più corretto.

Poi nei primi 4 lunghi paragrafi spiega quanto sono bravi nel gestire la sicurezza informatica nonostante abbiano subito un attacco, senza assolutamente spiegare cosa effettivamente abbia comportato l’attacco. Semplicemente sperano che il lettore si annoi di fronte a terminologia specifica e abbandoni la lettura cestinando. Ancora una volta, questo metodo di comunicazione è riprorevole, perchè assolutamente voluto.

Poi arriva il capolavoro di italiano:

Occhio a quella virgola, quella virgola cambia completamente il significato della frase e della comunicazione. A leggere velocemente sembra che i dati di nome, cognome ecc… non siano stati impattati dagli attacchi, mentre invece stanno scrivendo il contrario.

Vi spiego meglio: gli obiettivi della sicurezza informatica sono 3, integrità, disponibilità e riservatezza dei dati. Scrivervi che i vostri dati non hanno avuto problemi di integrità e disponiblità cosa significa? che implicitamente hanno avuto un problema di riservatezza. Anche se è un metodo ci comunicarlo da stigmatizzare. Anche perchè quanti di voi sapevano che il terzo elemento mancante fosse la riservatezza?

Quindi se siete clienti Aruba, ci sono persone non meglio definite, probabilmente in Cina, USA o Russia che dispongono del vostro:

• Nome e cognome

• codice fiscale e quindi anche la data di nascita e il luogo di nascita

• indirizzo completo di residenza e fatturazione

• telefono

• indirizzo email

• indirizzo PEC

Vi avevo già accennato a questo problema nelle prime puntate di questa newsletter, qui.

E’ un problema?

E’ un bel problema. Perchè prima di tutto, sembra stupido ma non lo è, ora c’è un database indicante una informazione su di voi non scontata e non nota a chi non vi conosce: il vostro numero di telefono e l’indirizzo email.

Cercate di seguirmi: il vostro numero di telefono non è segreto. E’ una sequenza di numeri, dopotutto. Il segreto sta nel sapere che quel numero di telefono appartenga proprio a voi. Non dovrebbe essere cosa di tutti i giorni di ricevere una telefonata da sconosciuti che chiedono di parlare proprio con voi, facendo nome e cognome: chi gli ha rivelato l’associazione tra il numero e il nome del proprietario? l’hanno trovato scritto nel bagno di un autogrill?

Stessa cosa per l’email. Quando vi capita di registrarvi in vari siti vengono richiesti proprio quei dati che sono stati trafugati ad Aruba: e se anche il gestore volesse fare una verifica incrociata sull’intestatario dell’utenza telefonica, avrebbe un riscontro assolutamente positivo.

Cosa ci salva, forse…

La verifica del pin o del link tramite SMS o email. Cioè il fatto che normalmente i servizi moderni richiedono queste ulteriori prove prima di aprire un account.

Se siete clienti Aruba e in questi mesi sono arrivate strane email o sms di verifica PIN o richiesta di click su link, spero non li abbiate cliccati e se lo avete fatto, risalite a quale sito appartengono, se effettivamente si tratta di un servizio a voi sconosciuto vuol dire che hanno aperto un account a vostro nome. Provate a fare login con la vostra email e attivando la procedura di reset password tramite sms o email e una volta ultimata la procedura, chiedete la rimozione dell’account.

L’Ultima spiaggia

Se il servizio/sito è erogato all’interno dell’Unione Europea potete invocare il GDPR e il diritto di cancellazione. Cercate la pagina della Privacy Policy e cercate al suo interno l’email a cui scrivere per richiedere la rimozione completa, definitiva e immediata dei vostri dati in loro possesso. Sono obbligati a procere in tal senso entro 30 giorni. Dalla vostra parte vi chiederanno di provare, giustamente, la vostra identità. Se sono in italia, usate la PEC.

Vedremo più avanti questa storia del diritto alla cancellazione dei dati, che come capite, è molto utile.

Ciao e buone vacanze

Qualunque cosa informatica possa fare danni, i famosi virus sono dei malware, ma i malware non sono solo virus. Insomma malware è una categoria più ampia per indicare le minacce informatiche. Confusi? bene.

Fai i backup. I file di backup non devono essere accessibili. Fai dei tentativi di ripristino.

Io li faccio i backup, a posto.

Tutti quelli che perdono i dati dicono di fare i backup. Tutti. Non ne ho trovato ancora uno che non fosse convinto di proteggere adeguatamente i propri dati.

Secondo me voi siete nelle stesse condizioni. Ovvero siete convinti di essere in una botte di ferro. Spero di sbagliarmi. Oggi cerco di aiutarvi a capire:

• quali sono i dati per voi importanti

• se siete a posto e come rimediare

• perchè è fondamentale

Partiamo da un fatto di cronaca

Immagine del sito del comune di Brescia al 16 aprile 2021, 16 giorni dopo l’attacco del 30 marzo.

Cosa ha di strano? E’ vintage?

Semplice: hanno perso molti dei dati del sito e non sono stati in grado di ripristinarli. A navigare il sito, i buchi sono parecchi, i servizi non funzionanti non mancano.

Il sito manca addirittura di parecchia grafica e a navigare il codice sembra che sia frutto di un ripristino da dati del 2013 o poco dopo: otto anni fa.

Il Comune di Brescia è rimasto vittima di un attacco informatico, un malware molto comune, i cosiddetti Cryptolocker o Ransomware. 1

Ransomware: programmi semplici, programmi dei tempi passati, quel genere di programmi che quando li fai partire per sbaglio ed esci, quando torni il giorno dopo ti hanno spazzolato i dati dal pc.

Come fanno? Magia?

Aspetti la notte, prendi un file, premi tasto destro, selezioni comprimi e proteggi lo zip con una password, la comunichi a un server a Timbuctù. Poi cancelli il file. Lo rifai per tutti i dati del pc. Poi dimentica la password.

Poi lasci un file di testo sul desktop che recita:

Ciao pirla, se vuoi i tuoi dati indietro devi pagarmi 2 Bitcoin. tu paga e io ti restituisco la password.

Tanto lo so che Bill Gates ha nascosto un modo per trovare le password dei file zip! Come si fa?

Ceeeerto! Facciamo che mentre sbrogli i neuroni, recuperi i tuoi dati dal backup.

Azz. Mi hanno zippato con password pure il backup.

Niente backup? hai perso tutto.

Ma dai? posso sempre pagare? se pago me li danno indietro i dati? Quanto sono due bitcoin? 128 mila euro?2

Cosa è successo al comune in sintesi?

I dettagli non sono noti. E’ noto che sono rimasti vittime di un malware dal nome Doppelpaymer, uno dei tanti che fa quell genere di cose che ci siamo detti. E dato che per ripristinare dei backup non ci vogliono 15 giorni, si può ragionevolmente supporre che ci sono problemi con i backup, soprattutto per il fatto che il sito attuale sembra contenere file risalenti al 2013. Se avessero avuto backup del 2018, ad esempio, perchè ripristinare quelli del 2013?

Poi sembra che i dati non siano stati solo crittografati, ma che “a Timbuctù“ qualcuno se li sia copiati e stia iniziando a venderli. Il sito del Comune di Brescia ha qualche dato sensibile o personale dei suoi cittadini?

A posto cosi per oggi.

Sia chiaro: qualunque attacco informatico punta ai soldi o a sottrarvi dati.

Io vi ho fatto un esempio di attacco che fa tutti e due. Oltre agli attacchi informatici ci si può mettere di mezzo anche la sfiga, quindi potete perdere i dati anche solo per errori maldestri.

Quindi:

Identifica chiaramente quali sono i dati che non sei disposto a perdere. Tieni più copie aggiornate di questi dati. Le copie devi conservale su un dispositivo spento. Una volta ogni due mesi prova a ripristinare i dati che hai salvato, simulando proprio di averli persi.3

Ti sto dando una procedura assolutamente banale, a costo zero, da comprendere e da eseguire. Non voglio dire che questo avrebbe salvato il Comune di Brescia, ma ho visto situazioni analoghe in aziende dove questo genere di attacchi vengono mitigati in poche ore, grazie alla procedura qui sopra eseguita alla perfezione.

ora andiamo per punti:

Individuare i dati importanti:

Le foto4 e i video dei tuoi cari. I tuoi ricordi. Quella cartella in cui salvi le cose belle della tua vita, i documenti di lavoro e anche quel foglio excel su cui salvi le tue password ( lo so che lo fai, sistemeremo anche quello in futuro). O anche musica o video non vostri ma che fareste una fatica enorme a recuperare nuovamente. I tuoi dischi esterni su cui conservi tutto quello che non ci stà sul pc, o le chiavette. Non è che i dischi esterni e le chiavette siano esenti da rotture (anzi di più, dato che sono sottoposti a continue accensioni e spegnimenti). Ti faccio un elenco di cosa devi controllare e per ognuno di essi devi chiederti: mi dispiacerebbe perdere questo file? ho una copia di questi file? se usi spesso questi file c’è un sistema che tiene aggioranta la copia di backup?

• file e cartelle sul tuo pc

• file e cartelle sui tuoi hard disk esterni

• file e cartelle su chiavette

• file e cartelle su dischi di rete (non è che se i file sono su un disco di rete allora non si possono cancellare o perdere)

• file e cartelle in cloud come dropbox, google drive ecc… (come sopra)

• foto in cloud su piattaforme come Google Foto (ok che cè un cestino dal quale recuperare le foto cancellate per sbaglio, ma devi accorgertene entro 30 giorni altrimenti le perdi)

Fai una o più copie, meglio se automatizzate

Fai una copia, zippa, metti una password, cancella l’originale e manda la password a Timbu… Volevo vedere se stavi attento, suvvia…

Prendi un disco esterno che userai solo per il backup e solamente tu, e configuraci sopra il backup. Lo puoi fare con gli strumenti nativi del sistema operativo, Time Machine del Mac o Windows Backup di Windows 10, oppure puoi usare Veeam Endpoint Backup Free, un ottimo sistema di backup professionale che non ha costi per quello che lo userai. Fai backup con frequenza, anche una volta al giorno se i tuoi dati cambiano spesso, e finito il backup stacca il dispositivo dal computer.

Normalmente i sistemi di backup non cancellano le copie precedenti ma le conservano a rotazione, cosi da avere più copie, più versioni dei tuoi dati.

Non sai come fare: cerca su Youtube, Google o Aranzulla: quello ha fatto le guide per tutto.

Voui salvarti le footo di google Foto? usa google takeout e seleziona solo Google Foto.

Conserva i dati di backup scollegati, spenti.

Lo dico perchè ho conosciuto gente che faceva i backup dei propri dati e li salvava sullo stesso pc. Poi quando si è rotto il pc hanno perso sia i loro dati che i backup, ovviamente. Similmente, se ti prendi un malware che ti crittografa il pc, se lasci attaccato il disco USB dei backup o comunque raggiungibile nella rete locale, il problema è lo stesso. Come il Comune di Brescia: non so che politiche di backup avessero, è altresi evidente il fatto che dopo 30 giorni non si erano in grado di recuperare un backup risalente al giorno prima dell’attacco5, quindi le politiche di backup hanno sicuramente fallito, se presenti.6

Se perdi i dati o se sei attaccato da un malware, non avere fretta di ripristinare i dati dal backup: ricorda che quel backup è la tua unica speranza quindi non rischiare di perdere anche quello. Assicurati che non ci siano più rischi prima di collegarlo al pc. Chiama un amico piuttosto.

Ripristina periodicamente i dati:

Ci sono migliaia di ragioni per cui tu ti sei convinto di fare correttamente le copie dei tuoi dati e poi dopo 2 anni ti si rompe il pc e scopri che i backup non funzionavano da 1 anno e hai perso tutto.

Succede anche ai migliori. Spesso. Anche alle aziende. Grosse aziende.

Come si rimedia: semplicemente tentando di ripristinare ogni tanto le copie dei tuoi dati. Se ci riesci vuol dire che i backup funzionano. Se non ci riesci vuol dire che devi intervenire per sistemare.

La prova del nove insomma.

Ve la ricordate la prova del nove come si fa?

Io non me la ricordavo.

ps: settimana prossima ci ritorniamo sui backup.

Ciao

Nicola

1. Abbiamo subito l’attacco informatico più grande di tutti i tempi (circa 1500 aziende accertate su un bacino potenziale di 40.000), sono stati richiesti 70 milioni di dollari in riscatto. In Italia se ne parla poco solo perchè l’attacco ha preso di mira una societa anglosassone, Kaseya, che fornisce sistemi di manutenzione e gestione degli apparati informatici nel mondo anglosassone. In pratica nessuno in Italia ha subito danni. Per fare un paragone europeo, provate a pensare se a subire l’attacco fosse stata TeamViewer e tutti i dispositivi con installati i loro prodotti fossero potenziali vittime di ransomware, giusto il tempo di propagazine dell’attacco. Forse vi state chiedendo che impatto concreto sulla vita reale, di tutti i giorni insomma, questo attacco su scala mondiale comporta. Vi elenco solo i più importanti: 500 supermercati in svezia sono rimasti chiusi e scuole e asili chiusi in Nuova Zelanda, in passato negli Stati Uniti questo genere di attacchi aveva comportato la chiusura di un quarto dei distributori di benzina del paese per qualche giorno, e in irlanda il blocco dei sistemi informatici del più grande ospedale nazionale.

Non avevo sbagliato nelle previsioni: REvil è la stessa organizzazione criminale che un mese fa aveva ottenuto 11 milioni di dollari dall’estorsione di JBS, il colosso produttore di carne negli USA. Con quei soldi si sono comprati i bazooka, sono i #bambiniConBazooka . Aggiungo informazioni se dico che REvil è russa?

Vi ricordate che il mese scorso consigliai di installare per assurdo la tastiera russa su windows? Era proprio a causa di REvil, il loro malware si disinstalla se incontra un sistema con installata la tastiera russa. Il consiglio non era mio, veniva da Brian Krebs, e sebbene fosse sembrato a molti assurdo, è tutt’ora valido. Se le vittime dell’attacco Kaseya avesso installato il supporto alla tastiera russa (solo il supporto, non una tastiera effettiva) avrebbero evitato i danni. Niente negozi chiusi, niente asili chiusi. L’analisi tecnica del ransomware lo conferma:

2. E stato scoperto una vulnerabilità estremamente importante nel mondo informatico, battezzata come PrintNightmare. Le correzioni sono state rilasciate giusto ieri e non sono ancora definitive e complete. Vuol dire che la vulnerabilità è rimasta nota e liberamente sfruttabile per due settimane in the wild da chiunque sapesse farlo. Il vostro pc non rischia nulla, qui chi rischia sono le aziende, e no, l’antivirus o antimalware possono fare un gran poco contro queste falle dei sistemi operativi. Servono persone competenti.

Ciao, sono Nicola Mondinelli e questo è Backuppati! (#BambiniConBazooka) il mio modo di contribuire alla divulgazione sulla sicurezza informatica prêt-à-porter.

Non sono io, sei tu.

Non si tratta di spionaggio. Siete voi che lasciate inconsapevolmente attive delle funzionalità sulle vostre app. Rispondete a questa domanda:

Volete voi che qualunque persona, sconosciuta o meno, senza la vostra esplicita approvazione possa sapere o risalire alla vostra posizione in tempo reale?

Se la risposta è Sì, chiudete questa email e andate a leggere quelle precedenti, su www.backuppati.it dove spiego la differenza tra il valore che voi date ai vostri dati, con il valore che posso dare gli altri ai vostri dati.

Lo so che la risposta per quasi tutti voi sarà: certo che no.

Bene, se avete Telegram, apritelo e nel menù selezionate persone vicine.

Scorrete l’elenco, la situazione sarà sovrapponibile a questa:

L’elenco sarà sicuramente molto più lungo se siete in una città rispetto che se siete in un posto sperduto. Rendetevi conto che nell’elenco ci sono persone che sono a svariati chilometri da voi. Se vi muovete in poco tempo potete triangolare anche la posizione. Se la distanza aumenta vuol dire che vi state allontanando e viceversa vi state avvicinando.

Tenete conto che non sto violando la privacy di nessuno a mostrare queste immagini: le persone che si vedono hanno esplicitamente dato il permesso di condividere le loro informazioni personali come nome e cognome, foto e nickname con chiunque quando hanno attivato la funzionalità.

Potrei anche divertirmi a pedinarli senza mai averli conosciuti, basta la foto, e fingerli di conoscerli per interposta persona: “ciao Federico! come stai? sono l’amico di Paolo ricordi?“. Se fosse tuo figlio? o tua figlia?

La maggior parte di queste persone è ignara di questa funzionalità di Telegram, che sono le persone vicine. E’ una funzionalità non abilitata di default, ma è facilmente abilitabile, perchè la App per mostrarti tutte le sue funzionalità spesso ti propone di abilitarla e poi ce la si dimentica attiva.

Qui la FAQ di Telegram a riguardo:

Un ultima cosa

In fondo alla lista avrete notato la sezione Gruppi Vicini.

Salvo rare eccezioni, ci troverete porcheria: probabilmente questa funzionalità è molto utile in nazioni dove le libertà personali sono fortemente compresse, ma in Italia alla fine nei Gruppi Vicini ci finiscono scambisti, incontri al buio, pornografia, volgarità e violenza. La cosa triste è che non ci si può fare nulla per eliminare questa funzionalità: quindi se avete un figlio di 12 anni con la app installata, può liberamente accedere a quei contenuti, senza alcun filtro.

Ecco, se avete figli e non gli avete ancora spiegato come è la dura realtà, questo è uno dei casi in cui sconsiglio vivamente l’installazione di Telegram.

Altre App:

Anche altre app permettono la condivisione della posizione in modo più o meno esplicito. Whatsapp e Google Maps non permettono la condivisione verso sconosciuti come Telegram , ma non mi stupirei se altre app social o meno lo facessero. Verificate.

Come? Cominciate ad andare nelle impostazioni del vostro smartphone e controllate quali App hanno accesso alle informazioni di posizione GPS. Se c’è qualcosa di strano, disattivate il permesso.

Iniziamo con l’evidenziare che ci sono due temi a monte di tutti i ragionamenti che si possono fare nelle app di messaggistica:

• la privacy ovvero la promessa che questi sistemi fanno in merito alla protezione e alla divulgazione dei dati che trasmettete.

• la sicurezza in senso stretto, ovvero la tecnologia utilizzata per garantire la privacy, perchè se vi promettono che non divulgano niente a nessuno, ma hanno un sistema bucato come un groviera, i vostri dati saranno comunque sparpagliati per la rete.

Ora potrete pensare che i dati scambiati nelle app di messaggistica non necessitino di privacy, o perlomeno le vostre conversazioni, e che non avete nulla da nascondere. Forse è vero. Altri invece pur non avendo nulla di cui vergognarsi, hanno delle informazioni a cui tengono e che non vogliano finire in mani sbagliate. In terzo luogo nel secondo numero di questa newsletter spiegai quanto fosse importante una certa discrezione e che purtroppo la maggior parte dei nostri dati personali sono già noti a mezzo mondo a causa delle continue esfiltrazioni dati che subisce chi gestisce le nostre informazioni. Recente la notizia dell’esfiltrazione di 7 milioni di account presi dalle banche dati delle vaccinazioni covid in italia. Insomma, sarebbe meglio evitare di consegnare al pubblico i dati che potrebbero essere usati per fare un bel furto di identità ai nostri danni.

Quindi i dati che scambiate sono importanti, se non per voi, lo possono essere per i criminali informatici.

Quindi quale app di messaggistica è più sicura?

Risposta secca: Signal. Ne avete realmente bisogno? Forse.

Cerco di dettagliare in modo semplice le differenze tra Signal, Whatsapp e Telegram. Come vedete ho già escluso le app di messaggistica legate strettamente a un social network, come Messenger di Facebook e le chat di Instagram, che di privacy ne hanno un gran poca per definizione1. Per evidenti caratteristiche di assenza di privacy non parlo nemmeno di weChat, app di messaggistica iper-diffusa in Cina che è completamente controllata dal governo cinese. Per ultimo escludo Discord e simili perchè non sono vere e proprie app di messaggistica ma delle chatroom moderne, quindi un’altra cosa insomma.

Crittografia E2E

Una App che adotta crittografia E2E vuol dire che garantisce che i messaggi siano visibili solo ai due interlocutori della chat. Durante il tragitto tra i due telefoni il messaggio è cifrato e illeggibile, anche per il produttore del software in questione, perchè le chiavi di cifratura sono solo sui due dispositivi.

Whatsapp: da anni tutte le chat sono protette con crittografia E2E

Signal: da sempre le chat sono in crittografia E2E

Telegram: le chat non sono in crittografia E2E a meno che non si utilizzi esplicitamente ogni volta la modalità chat segreta.

Se un sistema non utilizza la crittografia E2E è in grado di leggere tutte le conversazioni e i documenti scambiati, anche salvarli per leggerli in un secondo momento. Può farlo sia per spiarvi per profilarvi meglio che su richiesta di un ente governativo, che sia l’Inghilterra, la Russia o gli Emirati Arabi.

Gestione dei Metadati

Ne avrete sicuramente sentito parlare: I metadati sono le informazioni che riguardano i dati scambiati, ma non i dati stessi. Prendiamo ad esempio questa newsletter: il contenuto dell’email che state leggendo ora è il dato, mentre i metadati ad essa collegata sono: l’ora di invio, l’ora di ricezione, l’indirizzo email mittente, quella del destinatario, la lunghezza in caratteri… Insomma una serie di informazioni che non svelano il contenuto dell’email ma danno comunque delle informazioni importanti. Nel caso delle app di messaggistica ad esempio i metadati più interessanti sono ovviamente quando avete spedito un messaggio, il suo destinatario e quando è stato letto. Mettendo insieme queste informazioni è possibile ricostruire ad esempio quando andate a dormire e quando siete svegli, quando avete il telefono in mano, quando non siete attivi per nulla. Ci sono siti che a pagamento svelano tutto questo genere di informazioni.2

Whatsapp: Se non siete cittadini dell’Unione Europea i metadati sono salvati e condivisi completamente con Facebook e quindi sono anche venduti a terze parti ad esempio tramite servizi di pubblicità mirati. Un cittadino americano che utilizza Whatsapp di fatto permette a facebook di conoscere l’intero contenuto della sua rubrica. In UE questo non è possibile grazie alla normativa GDPR che è la più avanzata al mondo nella tutela dei dati personali. Ergo i nostri metadati seppur raccolti copiosamente non sono vendibili a terzi.

Signal: i metadati non vengono registrati e quelli necessari per il funzionamento della comunicazione vengono distrutti subito dopo.

Telegram: Molti metadati sono registrati ma non divulgati, ma non tutti. L’azienda si è impegnata spesso a mettere la privacy come primo obiettivo, anche a costo di subirne le conseguenze.

Minimizzazione dei dati condivisi

Ovvero quanti dati l’applicazione raccoglie rispetto a quelli che dovrebbe raccogliere per il solo funzionamento dell’applicazione. Ad esempio pensateci: se io devo fare una applicazione per mandare messaggi, del vostro nome e cognome interessa poco, interessa solo il numero di telefono.

Whatsapp: raccoglie tante informazioni. Aprite a guardate.

Signal: solo il numero di telefono.

Telegram: come Whatsapp.

Affidabilità dell’azienda:

Ovvero chi ci stà dietro e che probabilità ci sono che le cose così come stanno cambino.

Whatsapp: è di proprietà di Facebook. L’obiettivo espresso più volte è quello di fondere Whatsapp con Facebook e quindi di unire le banche dati. Dati i regolamenti UE questa cosa non è possibile: se lo facessero, l’app verrebbe bloccata e ci sarebbe sicuramente una procedura di infrazione. C’è da dire che è comunque una multinazionale americana e non il governo cinese. Sebbene molte persone nutrano diffidenza a priori verso le multinazionali, questa diffidenza dovrebbe essere ponderata rispetto alle altre realtà. Altrimenti si scappa da Whatsapp e si installa weChat.

Signal: E’ una no-profit di diritto statunitense. Se un domani fallisse o qualche azienda entrasse in possesso di tutte le informazioni in suo possesso, non avrebbe nulla in mano, proprio perchè Signal non registra nulla. Sta in piedi grazie a donazioni di grandi aziende e privati, oltre che governative.3

Telegram: ahimè, questa è la nota più dolente di Telegram per cui andrebbe usata solo per scopi molto limitati e per scambiare dati assolutamente non privati. Telegram è una azienda camaleontica che ha costruito intorno al suo nome l’idea dei paladini della sicurezza, della privacy, degli eroi che si sono ribellati a Putin e altre amenità. Tutto vero. Nei fatti l’azienda ha sede a Dubai, non risponde a nessuna rischiesta di qualunque governo, ci sono una serie di società collegate a Telegram con sedi in paradisi fiscali e giudiziari che gli permettono di evitare qualunque problema legale. L’azienda è incentrata sui fratelli Durov che sono i protagonisti della favola dei difensori della privacy, ma solo un allocco si fermerebbe alla superficialità di questo racconto. C’è altro, solo che non è dato saperlo. Qui un ottimo reportage a riguardo, in inglese ma potete sempre fare tasto-destro-> traduci pagina.

Vosa vuol dire in soldoni?

Vi faccio un esempio

mica tando campato in aria…

A Dubai, come in molti stati islamici, gli omosessuali sono perseguitati per legge. La sharia imporrebbe anche la pena di morte. Immaginiamo quindi che a Dubai venga arrestato un omosessuale, gli viene controllato il telefono per ottenere i suoi contatti su cui indagare per lo stesso reato, ovviamente. Il telefono è spento e il proprietario non fornisce il PIN. Estrarre dati da un cellulare spento senza il PIN è oramai questione complicata se non impossibile4. Si risale al numero di cellulare. Si chiede a Whatsapp a Telegram e a Signal le informazioni degli ultimi contatti messaggiati dal reo:

1. Whatsapp possiede i dati e può decidere di comunicarli. E’ probabile che non li comunicherà per questo genere di reati, anche se li possiede. Per inciso, se a chiederli fosse il governo degli Stati Uniti, sarebbe obbligato.

2. Signal non possiede alcun dato e non può quindi comunicare nulla.

3. Telegram possiede più dati di tutti perchè potrebbe possedere i dati delle comunicazioni non crittografate E2E. Li consegnerà? boh. Fino ad ora non sembra lo abbia fatto e soprattutto si vanta di non averlo mai fatto: ma sono loro stessi i garanti di quanto affermano. Se comunicassero i dati, non lo direbbero certo in giro. Inoltre Telegram ha proprio sede a Dubai che in termini di libertà di opinione non è decisamente un modello, è più che altro uno stato di polizia, ricco e moderno.

L’elefante nella stanza è Telegram

E’ proprio questo vanto della privacy totale e della libertà totale che lo rende problematico: sembra che sia una vera e propria zona franca. Si trovano gruppi di pedopornografia, gruppi per la vendita di armi, medicine illegali e altro ancora. Telegram non esercita alcun controllo sui contenuti.

Non voglio spaventarvi: installare telegram non vi farà entrare in un gruppo di pederasti o metterà a rischio la vostra reputazione. E’ impossibile entrare in quei gruppi a meno che non esplicitamente invitati, ma ci sono e sono un problema.

Però Telegram ha un paio di funzionalità davvero carine e innovative che lo rendono una via di mezzo tra una app di messaggistica e un social network: i canali e i bot.

Non mi interessa fare pubblicità a Telegram ne elencarne le funzioni, ma ritengo che l’utilizzo di Telegram sia assolutamente ragionevole per la finalità di utilizzare i canali: il nome suggerisce anche la funzione, ovvero delle chat monodirezionali dove gli iscritti ricevono e basta le news da parte dell’amministratore del canale. Gli iscritti possono iscriversi e disiscriversi a piacimento, cosa ben diversa dalle liste broadcast di whatsapp in cui si rimane spesso invischiati senza essersi iscritti. Io ad esempio sono iscritto a:

https://telegram.me/xkcdChannel

https://t.me/s/ilpostgram

Signal ha una chicca

Perlomeno su Android. Potete utilizzarlo come app predefinita per la messaggistica SMS. Vantaggi:

• Con una app gestite due funzioni, che non è male, anche perchè cosi la sostituite nella dock del cellulare al posto della app di sms per averla sempre a portata di mano.

  Signal è orientato alla privacy e vi proporrà di proteggere la visualizzazione degli SMS nelle notifiche. Lo potete vedere nelle impostazioni dell’applicazione. Se vi ricordate nella newsletter precedente avevo indicato un grosso problema proprio nel poter visualizzare i codici monouso ricevuti via SMS nelle notifiche di un telefono incustodito, anche se bloccato.

Come Whatsapp e Telegram, anche Signal ha l’applicazione per PC e Mac.

Grazie a tutti e buone ferie.

il Qr del GreenPass è un documento riservato

Contiene informazioni personali, che sotto vi elenco pure, che sono facilmente decodificabili da chiunque. A breve immagino usciranno anche della App sui cellulari per leggerli ancora più comodamente.

Se stampate il Qr tenetelo insieme ai documenti di identità, e non condividete il vostro codice Qr. Lo dico perchè ci sono già dei geni che lo stanno pubblicando su Instagram o su video di TikTok. Già che ci siete perchè non condividete la foto della vostra carta d’identità, del passaporto, o della tessera sanitaria?

Il garante della privacy è stato perentorio: Pericoloso mettere sui social il Qr-Code del green pass, scrive appunto:

Perché è pericoloso condividere sui social i qr-code dei green pass?

Quel QR-code è una miniera di dati personali invisibili a occhio nudo ma leggibili da chiunque avesse voglia di farsi i fatti nostri: Chi siamo, se e quando ci siamo vaccinati, quante dosi abbiamo fatto, il tipo di vaccino, se abbiamo avuto il Covid e quando, se abbiamo fatto un tampone, quando e il suo esito e tanto di più.

Il QR-code in questione deve essere esclusivamente esibito alle forze dell’ordine e a chi è autorizzato dalla legge a chiedercelo per l’esercizio delle attività per le quali la legge ne prevede l’esibizione e deve essere letto esclusivamente attraverso l’apposita APP di Governo che garantisce che il verificatore veda solo se abbiamo o non abbiamo il green pass e non anche tutte le altre informazioni e, soprattutto, non conservi nulla.

Come è possibile leggere tutti quei dati?

Sono scritti nel codice QR. Lo so, voi avete provato a leggerlo e avete visto una sequenza illeggibile di lettere e di numeri e avrete pensato: è crittografato, protetto dalla magia della cifratura militare:

HC1:NCFOXN%TS3DH3ZSUZK+.V0ETD%65NL-AH-R6IOO6+IUKRG*I.I5BROCWAAT4V22F/8X*G3M9JUPY0BX/KR96R/S09T./0LWTKD33236J3TA3M*4VV2 73-E3GG396B-43O058YIB73A*G3W19UEBY5:PI0EGSP4*2DN43U*0CEBQ/GXQFY73CIBC:G 7376BXBJBAJ UNFMJCRN0H3PQN*E33H3OA70M3FMJIJN523.K5QZ4A+2XEN QT QTHC31M3+E32R44$28A9H0D3ZCL4JMYAZ+S-A5$XKX6T2YC 35H/ITX8GL2-LH/CJTK96L6SR9MU9RFGJA6Q3QR$P2OIC0JVLA8J3ET3:H3A+2+33U SAAUOT3TPTO4UBZIC0JKQTL*QDKBO.AI9BVYTOCFOPS4IJCOT0$89NT2V457U8+9W2KQ-7LF9-DF07U$B97JJ1D7WKP/HLIJLRKF1MFHJP7NVDEBU1J*Z222E.GJF67Z JA6B.38O4BH*HB0EGLE2%V -3O+J3.PI2G:M1SSP2Y3D38-G9C+Q3OT/.J1CDLKOYUV5C3W1A:75S4LB:6REPKM3ZYO4+QDNDLT2*ESLIH

Niente di tutto questo: è solo compresso con una serie di tecnologie (base45 e CBOR per gli amici) che permettono di fare stare tutti i dati all’interno del codice qr. Se siete tech-addicted e volete dei dettagli aggiuntivi Tobias ha redatto un ottimo articolo a riguardo.

Ripeto, in breve tempo usciranno sicuramente delle app, non ufficiali, che saranno in grado di decodificare il QR, ma a differenza di quella ufficiale permetterà sicuramente di salvare i dati letti.

Gira questa email ai tuoi amici per avvisarli e invitali a iscriversi.

E’ possibile modificare i dati di un Qr GreenPass?

Non è possibile ricreare un codice Qr con dei dati modificati a partire da un’altro perchè insieme ai dati è apposta una firma digitale che ne comprova la provenienza. Quindi chiunque può leggere, ma nessuno può modificare senza che ce se ne accorga.

I dati contenuti nel GreenPass

1. Nome Cognome

2. Data di Nascita

3. Tipo di Vaccino o profilassi

4. Produttore del Vaccino

5. Lotto produzione vaccino

6. data di vaccinazione

7. numero delle dosi effettuate

8. data ultimo tampone negativo (se presente)

9. data certificato di guarigione (se presente)

10. durata del certificato

Sottolineo che per risalire al vostro codice fiscale manca solo di conoscere il luogo di nascita.

Se volete vi segnalo il pdf della documentazione ufficiale della comunità europea che descrive i dati all’interno del Certificato.

Fine. Spero di essere stato utile.

Ciao. Settimana prossima ripartiamo con il programma originale che prevedeva un confronto tra le app di messaggistica dal punto di vista della sicurezza e della privacy.

Notizia dell’11 giugno: Electronic Arts ha subito un furto completo dei codici sorgenti dei loro giochi: 780 gigabytes of data from EA, including the Frostbite source code, which is the game engine that powers the FIFA, Madden, and Battlefield series of video games, among others. Verranno venduti sul mercato nero e frutteranno svariate centinaia di migliaia di euro, ogni volta che verranno acquistati.

Nel frattempo il numero degli account vittime di furto di credenziali ha superato il numero della popolazione mondiale:

11,389,527,466 account contro circa 7,872,655,969

Cominciamo:

MFA e 2FA

I rischi che dovete temere sono ovviamente più legati al lavoro: è sempre più polarizzata l’attenzione dei criminali verso le aziende che ai privati, per una ovvia ragione di concentrazione di capitale: se non avete qualche milione di liquidità a portata di mano, ecco, non siete bersagli interessanti.

Però tutto fa brodo, ricordatevelo. Se avete atteggiamenti digitali non sicuri è evidente che siete comunque a rischio: è come andare in giro con una banconota da 50 euro. Se la tieni nel portafoglio devi incontrare un ladro che ti prenda di mira. Se la banconota la lasci sul tavolo di un bar e torni dopo mezz’ora, non è necessario un ladro professionista, basta chiunque non si faccia troppi problemi a rubare.

l’MFA e 2FA (che sono due modi per descrivere lo stesso sistema) sono due elementi che normalmente fanno desistere la maggior parte dei criminali nell’attacare i privati, a meno che non siano notoriamente facoltosi. Perchè MFA gli complica la vita, gli fa perdere molto più tempo rispetto agli altri e quindi desiste e passa ad altri bersagli meno ostici.

MFA sta per Autenticazione a più fattori, e la conoscete già, perlomeno in parte. E’ quel sistema per il quale per autenticarvi non basta più la solita coppia di credenziali Utente+Password ma anche un altro elemento in aggiunta. I casi più diffusi sono 2:

• sms mandato sul vostro cellulare con codice monouso

• App installata sullo smartphone che genera il codice monouso

andavano di moda in passato dei token portachiavi che generavano un codice numerico sempre leggibile. Sono desuete, ora sono quasi tutti stati sostituiti dalle App su smarphone.

Probabilmente usate MFA per:

• SPID

• PEC

• Home Banking (è obbligatorio per legge)

• Account di servizi Cloud come Google, Microsoft ecc…

Ognuno ha una app dedicata: Google Authenticator, Microsoft Authenticator ecc..

Per attivarla basta andare nelle impostazioni dei servizi e abilitare l’auteticazione a due fattori.

E’ interessante che molti siti meno famosi supportano l’autenticazione a due fattori ma non hanno una App dedicata: permettono di riutilizzare quelle principali, come quelle citate prima, di Google o di Microsoft. La procedura di attivazione è identica: inquadrare un QRcode da dentro l’applicazione e seguire le indicazioni.

Ovviamente queste App devono essere protette nell’apertura: ti invitano già loro a farlo appena installate di proteggerle con l’impronta digitale, per evitare che chi entri in possesso del cellulare entri in posesso dei codici.

Attenzione però: da ora in poi vi servira anche quel codice oltre alla password. Dovrete sempre tenerlo a portata di mano, a meno che decidiate (non sempre è possibile farlo, ma spesso e volentieri si) di impostare come sicuro il dispositivo da cui state facendo la login, di solito l’opzione viene sengalata con una possibile spunta con la voce “non chiedere più il PIN“ oppure “segna come dispositivo sicuro“. Fatelo senza problemi a patto che quel dispositivo non sia utilizzato in condivisione con altre persone.

Se perdete il cellulare? ci sono dei codici di emergenza che vengono forniti all’attivazione dell’MFA. Sono codici sacri. Salvateli o copiateli a mano in un posto dove non li perderete mai. Avete una scatola delle chiavi di casa o della macchina di riserva? E’ la stessa identica cosa. Mettete li. Fine.

Se cambiate cellulare? dovete riattivare le App in questione, se non avete cancellato il vecchio cellulare spesso esiste la procedura per attivare la App nuova con il codice generato sull vecchio cellulare. Se avete già cancellato il vecchio cellulare, avete le chiavi di emergenza.

Perchè aggiunge sicurezza ai vostri account?

Perchè se per qualunque ragione le vostre credenziali venissero diffuse in rete, chiunque tenti di usarle si troverebbe di fronte alla richiesta di un codice temporaneo generato su un telefono a decine di migliaia di chilometri dal criminale (Russia, Cina, Est Europa …). Per loro è un gran bel problema e mollano il colpo.

La faccio breve:

1. meglio la App. Evitate gli SMS.

2. La password è comunque importante: serve sia la password che la App.

Perchè l’SMS non è preferibile?

Semplice: te lo possono leggere a tua insaputa1. Come? pensaci bene, dai!

Se ti mando un SMS questo non compare in bella vista sul tuo smartphone anche se è bloccato, come una notifica? non compare anche sul tuo bracciale o sull’orologio smart? Esatto. Magari lasciate il cellulare in bella vista, a lavoro o al bar e mentre non lo controllate ricevete un messaggio con il codice che viene letto da un malintenzionato. Non è fantascenza, l’ho fatto spesso con degli amici per dimostrarne il pericolo, sotto ti spiego come ho fatto a fregargli whatsapp, ad esempio.

C’è un altro rischio, più remoto, ma più subdolo e usato molto in passato negli Stati Uniti e possibile anche in italia. La portabilità fraudolenta del vostro numero di telefono. Vi ricordate cosa dicevo della vostra identità? Tutti sanno tutto di voi. Ecco, se avete una compagnia telefonica low-cost che non è molto scrupolosa nelle verifiche, una persona potrebbe presentarsi in negozio (o addirittura aprire una pratica online) come fanno tutti per passare a un nuovo operatore telefonico: solo che lo fanno a nome vostro facendosi attivare sulla nuova SIM in loro possesso il vostro numero di telefono. Voi lo verrete a sapere a migrazione avvenuta e tanti saluti e baci. Adesso i controlli in UE sono abbastanza rigidi, ma per scrupolo fate mai fotografare la vostra SIM.

E la password?

Non abbassate la guardia sulla password, anche se avete l’MFA a protezione. Ci deve essere sempre una password forte insieme all’MFA altrimenti va tutto a rotoli. Come?

Come si poteva fregare Whatsapp.

Lo posso raccontare perchè tanto oramai non è più (così) fattibile.

Avrete attivato Whatsapp una volta nella vostra vita, no? Cosa informazioni servono? non molte: il vostro numero di telefono e un codice monouso ricevuto via SMS. Da quel momento in poi chiunque scriva a quel numero su whatsapp, voi riceverete il messaggio. Tutto normale fin qui.

Vi siete mai chiesti cosa succede se, dopo aver installato Whatsapp sul vostro cellulare, invece di mettere il vostro numero di telefono mettete quello di un vostro amico? Semplice: il vostro amico riceverà un messaggio di attivazione con il codice monouso. Se quel codice arriva in vostro possesso entro qualche minuto, potrete attivare whatsapp sul vostro telefono con il numero dell’amico, ricevendo voi e inviando voi i messaggi al posto suo. Come fai a leggere il numero? Appena si distrae un attimo e lascia il cellulare in vista, fai partire la procedura di attivazione: l’SMS arriva subito e non sarà un problema leggere 5 cifre che compaiono come notifica, anche se il cellulare è bloccato2.

Perchè lo spiego: perchè la procedura è stata mitigata da tempo e comunque in questo caso il rimedio è facile per il vostro amico: può richiedere in qualsiasi momento una nuova attivazione e stavolta non fare leggere ad altri l’SMS. Inoltre da qualche mese Whatsapp è introdotto una password (o PIN) di protezione che si deve digitare oltre all’SMS. Inoltre appenagli fregate l’account, la app sul suo cellulare smette di funzionare, avvisandolo in modo evidente: non sperate di spiarlo in questo modo. Oltretutto le nuove versioni di Android e iOs permettono di limitare la visualizzazione di queste notifiche nascondendo i contenuti.

Insomma avete capito. L’SMS ha creato un problema, l’assenza di una seconda password l’ha amplificato. In presenza del PIN per me sarebbe stato arduo, anche se ovviamente mi sarei giocato subito: 123456, la data sua data di nascita e quella del figlio. Perchè? perchè almeno 1 su 10 usa 123456 quando deve inserire un pin di 6 cifre.

Siete interessati anche ai PIN di 4 cifre, lo so. Eccoli qui, solo per voi:

Vuol dire che 1 persona su 8 usa 1234 o 1111 come PIN. I cattivi non sono dei geni, semplicemente vi conoscono meglio di voi stessi,sono più informati e hanno un bazooka.

Quindi proteggetevi e backuppatevi!

Russia, Cina, una volta anche la Romania era brava, ma ha perso colpi.

Parlo di minacce informatiche comuni, ovvero attacchi portati da criminali o organizzazioni criminali, non di cyberwarfare, ovvero il mondo degli attacchi informatici portati da enti governativi: come detto in passato quello è un altro campionato che ci tocca poco a meno che non siate direttamente coinviolti in attività governative.

Che succede?

Succede che da anni gli attacchi informatici comuni stanno convergendo verso dei cliche:

• sono Ransomware/Blockware ovvero vi bloccano il pc e chiedono un riscatto

• chiedono il riscatto in criptovalute

• se infettano un dispositivo russo o simile, si disattivano e si cancellano dal pc.

I cliche sono tali perchè hanno successo. Squadra che vince non si cambia si dice, anche in caso di estorsioni digitali.

Perchè vi annoio su questa cosa? Perchè dovete installare la tastiera russa sul vostro pc. Non sto scherzando.

All’inizio nel mondo della cybersec la notizia era passata come una trovata goliardica, sebbene fosse nata dai volti più noti e importanti del pantheon della sicurezza informatica. Poi ha iniziato ad avere riscontri e poi valutazioni di assenza di impatti negativi: attualmente i principali strumenti malware in circolo si disattivano se vedono installate sul computer la tastiera/lingua russa. Non vuol dire che dovete comprate una tastiera reale russa, basta solo dire a windows di installare il pacchetto della lingua russa ed è fatta. Impostazioni, lingua, aggiungi russo. Fine. Tutto a costo zero.

Sembra folle, sembra stupido, sembra banale. Lo è. E’ una soluzione efficace: assolutamente si. E’ una soluzione risolutiva: per ora si, tra qualche anno non più, ma per ora funziona.

Perchè funziona: perchè sfrutta una debolezza degli attaccanti che per non correre il rischio di compromettere i pc dei connazzionali hanno deciso di identificarli attraverso la lingua/tastiera installata: il malware appena si installa su un pc fa proprio una verifica formale di tutte le tastiere configurate, se anche solo una di queste corrisponde a una presente in una lista interna sua, allora il malware fa fagotto e si disinstalla.

Troveranno un altro modo?

Certo, ma ci vorrà tempo. Nel frattempo avere la tastiera in russo è un ottimo antimalware che non costa nulla e che non aumenta i rischi. Sono state condotte analisi approfondite e oramai tutti i più grandi esperti1 convengono che è una soluzione assolutamente efficace, anticonvenzionale e che ovviamente prima o poi perderà la sua efficacia in maniera proporzionale alla sua diffusione. Per ora pochissimi lo stanno facendo, quindi è credibile che i cybercriminali si stiano ben guardando di cambiare i loro sistemi malware, che sono abbastanza complessi, solo per quella manciata di persone che installerà la tastiera russa per evitare attacchi. Inoltre i criminali sanno bene una cosa: aggirare queste soluzioni esotiche non sempre paga lo sforzo perchè chi le implementa sono persone informate (io, voi) che hanno un minimo grado di preparazione sul tema e che quindi sarebbero comunque un difficile bersaglio anche senza questo trucco. Quindi continueranno a preservare i pc russi in questo modo e fine. Se state pensando che ci sia sotto un esplicito mandato governativo russo in tutto questo, ecco, non è un ipotesi azzardata: ne parleremo in futuro se è un argomento interessante per voi.

Questo è il famoso metagame ovvero l’eterno gioco delle guardie e ladri, del gatto e del topo: l’attaccante che cerca un modo per colpire i punti deboli, il difensore che impara dagli attacchi subiti e si difende rendendo inefficaci gli attacchi, l’attaccante che allora riparte da capo a cercare altri punti deboli…

Per questo la sicurezza non è vendibile, produttificabile: è un processo in continua evoluzione. Oggi un’ottima difesa è avere installato una tastiera in cirillico per fare quello che si è fa anche in guerra: camuffamento.

до свидания2

Ecco perchè leggermi vi ripaga:

Un mese fa vi raccontavo nella sesta puntata dell’attacco ransomware che investi in pieno Colonial Pipeline, l’oleodotto americano, provocando danni enormi all’economia americana. E’ notizia di questi giorni la scoperta della vulnerabilità che gli hacker hanno utilizzato per entrare nel sistema:

una password mai cambiata (che girava nel darkweb a causa di uno dei tanti furti di dati) di un account VPN che si pensava dismesso.

Questa svista è costata 4 milioni e mezzo di dollari pagati in riscatto e decine di milioni di danni per i fermi causati. Per fortuna il dipartimento di giustizia americano è riuscito a recuperare gran parte del riscatto.

Se avete letto con attenzione le puntate precedenti avete già capito dove voglio arrivare:

• Perchè l’account della VPN era ancora attivo se doveva essere dismesso?Ne parlavo nella puntata 5: fare pulizia dei software non utilizzati e relativi accessi.

• Perchè la password non era stata cambiata in seguito alla sua esposizione nel darkweb? ve no ho parlato nella puntata 8. Gli hacker non hanno fatto altro che scaricare un file con sopra utente e password, non hanno utilizzato chissà che tecniche raffinate. Nessuno aveva cambiato la password.

• Mancava anche la MFA. Lo so, per voi è una parolaccia, ma ne parliamo settimana prossima!

Questo vuol dire che i consigli che vi sto dando, anche se ai vostri occhi sembrano assurdi o troppo banali, sono quelli che servono per evitare i disastri. E perchè i disastri avvengono? Perchè molti di noi, confessiamolo pure, non fanno nulla per proteggersi. Solo il 16% dei miei lettori della puntata 8 ha cliccato sul link per verificare le password: l’altro 84% ?

Non avete ancora cambiato le password? siete ancora in tempo, veloci!

Tutto molto più semplice

E’ la realtà. Lo SPID ha questo come obiettivo, perlomeno per i portali della pubblica amministrazione e di chiunque vorrà farne utilizzo.

Lo SPID ovvero il Sistema Pubblico di Identità Digitale è un sistema di autenticazione centralizzato e certificato dallo Stato Italiano disponibile per i servizi web.

Significa che grazie allo SPID posso entrare, con lo stesso set di credenziali (utente, passoword e OTP, lo vediamo dopo) su tutti i servizi che lo utilizzano: ad esempio il sito della Regione, Sanità, Agenzia delle Entrate, siti dei ministeri, Polizia di Stato, servizi comunali o sovracomunali.1

Perchè semplifica la vita?

Perchè tutti questi servizi non devono più gestire le vostre credenziali, ovvero memorizzare il vosto utente, la vostra password, la vostra email, gestire le procedure di recupero della password: c’è un unico ente centrale che lo fa per tutti e soprattutto si fa garante dell’identità della persona che fa login.

Perchè provate a pensare: se io faccio un sito e chiedo di registrarsi ai visitatori, che informazione certa ho della loro identità? nulla. Ditemi il codice fiscale di “cippalippa1232@libero.it” (ammesso che esista). Lo SPID garantisce l’identità certa.

E’ come una carta di identità digitale: se volete provare l’identità di una persona invece di chiedergli al carta, potete chiedergli di aprire l’applicazione IO sul cellulare e vedere a che identità è collegata. Le carte di identità si falsificano facilmente, ora poi che si mandano come scansioni o foto è ancora più facile, uno SPID è molto più difficile da falsificare.

In cosa consiste?

Normalmente in un utente, una password e una App da installare sul cellulare che vi rilascia un OTP ovvero un codice numerico che cambia ogni minuto. Questo significa che per provare la vostra identità digitale vi serviranno sicuramente utente e password e il cellulare.2

E’ complicato ottenere queste credenziali?

No. Servono solo:

• Carta d’identità

• Tessera sanitaria/codice fiscale

E registrarvi su uno dei fornitori accreditati di SPID elencati qui.

Se avete il PIN della tessera sanitaria potreste metterci due minuti di orologio. Con le Poste potete farlo di persona a un qualunque sportello. Comunque sui vari siti sono elencate le modalità.

Posso avere più di uno SPID?

Si, se avete più identità come chi soffre di sdoppiamento di personalità. A parte la battua, potete avere più SPID nel senso che potreste acquistare il servizio SPID da più di un fornitore tra quelli elencati prima. Io ad esempio ho da sempre lo SPID con Aruba, e recentemente la mia banca ha iniziato ad offrire lo SPID con Namirial gratutitamente. Quindi ho due modi, alternativi, per provare la mia identità. Uno non esclude l’altro.

Perchè devo farlo ora che non mi serve

Perchè ti servirà, e quando ti servirà avrai fretta e ti troverai bloccato. Prenditi del tempo e prova ad attivarlo. Serve solo avere la carta d’identità, la tessera sanitaria e un cellulare. Se non hai il PIN della tessera sanitaria o quello della Carta d’identità Elettronica, potrebbe essere necessario presentarti di persona allo sportello convenzionato. Segui i dettagli a partire dal sito ufficiale:

https://www.spid.gov.it/

Proteggi le tue credenziali

Nel mondo della sicurezza informatica c’è un sito arcinoto, oserei dire che è diventato quasi mainstream:

haveibeenpwned.com

inserite la vostra email principale e cliccate sul bel pulsante pwned?

e se sotto compare:

leggete l’elenco dei siti che sono stati sfondati al quale avevate affidato le vostre password.

Io per esempio ho questo:

Sono tutti siti famosi che hanno subito attacchi negli anni.

Segnatevi il sito, i dati compromessi (se solo l’email o se anche la password) e la data di compromissione.

Ora se la password su quel sito è ancora quella alla data della compromissione o se la password alla data di compromissione la state riutilizzando da altre parti, cambiatela subito.

Qui vi ricordo i consigli che vi avevo dato sulle password.

La maggior parte delle persone in seguito a questi avvisi non fa nulla. La totalità delle vittime di furti di credenziali ha ignorato tutti gli avvisi che aveva ricevuto.

Io ve l’ho detto.