Sono riuscito ad avere via email una dichiarazione da un portavoce della Meta, che riporto testualmente: “I truffatori impiegano molteplici strategie, sia online che offline, per raggirare le persone. Stiamo destinando importanti risorse per combattere questo problema e continuiamo a investire in tecnologie e approcci innovativi per tutelare le persone che utilizzano i nostri servizi da queste truffe”.

Penso che non ci si possa accontentare di queste risposte standard – di fatto, è esattamente quello che è stato detto al New York Times – così ho fatto altre domande. Quali strategie impiegano questi truffatori?

Come fanno i truffatori a aggirare le restrizioni del business manager? Per i non addetti ai lavori: il business manager è uno strumento che la Meta mette a disposizione degli inserzionisti per creare annunci pubblicitari. Si carica sullo strumento la creatività (testi, video, immagini, url), si definisce un importo di spesa, un periodo temporale durante il quale l’annuncio deve essere proposto alle persone che usano i social della Meta, i luoghi digitali dove questi annunci devono essere mostrati (le story di Instagram o il feed di Facebook, per esempio) e poi si pubblica l’annuncio. Però, ogni annuncio, prima di essere ammesso a circolare su Facebook e Instagram, viene sottoposto ad approvazione preventiva: allora come fanno quegli annunci a superare l’approvazione preventiva? E poi, quali strategie vengono utilizzate dalla Meta a contrasto di queste truffe?

Non ho ottenuto altre informazioni.

Allora ho provato ad andare più a fondo attraverso i provider che ospitano i siti su cui vengono mandate le persone una volta che hanno cliccato sugli annunci truffaldini.

Dalla Main Reg Inc. mi hanno scritto che il dominio che stavo indagando – quello dove è ancora ospitata una pagina palesemente ingannevole come questa – è effettivamente registrato da loro, ma non possono condividere nessuna informazione perché non sono loro a ospitare i contenuti del sito. Così mi hanno rimandato alla Cloudflare, un’altra azienda statunitense. Ho compilato il modulo di segnalazione di phishing della Cloudflare che in pochi minuti mi ha risposto: effettivamente il sito è visibile attraverso un loro ip – l’indirizzo univoco assegnato a ogni dispositivo connesso alla rete –, ma affermano anche loro di non ospitare direttamente i contenuti.

Così ho usato un altro strumento avanzato di analisi dei siti web e verificato che, effettivamente quegli ip rimandano a un altro provider ancora, la OvhCloud, questa volta un’azienda francese: ho scritto anche a loro, senza troppe speranze perché mi pare evidente che il gioco di rimandi e incastri sia progettato in maniera da rendere difficilissimo il tracciamento per chi guarda il tutto da fuori.

So che se i vari provider coinvolti decidessero di collaborare sarebbe tutto più semplice, ma anche questa complessità racconta in maniera evidente il problema.

Insomma: a parole sembriamo tutti preoccupatissimi per i deepfake. Nei fatti, però, questa paura sembra portare a dichiarazioni e tentativi di regolamentazione solo quando si finisce per parlare della fantomatica manipolazione delle persone attraverso le macchine. Quando, invece, si ha a che fare con fatti concreti e documentati, sembra diventare tutto meno importante. Almeno i diretti interessati, che vedono le proprie fattezze usate in questo modo, avranno qualcosa da dire?