Quel caldo pomeriggio di fine agosto 2015 Jeffrey Ashton, procuratore capo delle contee di Orange e Osceola, in Florida, era visibilmente imbarazzato¹. Durante la conferenza stampa tenne un breve discorso, con lo sguardo basso, la voce rotta, trattenendo a fatica le lacrime. L’uomo stava chiedendo pubblicamente scusa perché il suo nome era comparso in una lista di frequentatori del sito di incontri per persone sposate Ashley Madison. «Non ho mai tradito mia moglie» assicurava, «cercavo solo di soddisfare le mie curiosità».

Ashton era solo una fra le 32 milioni di vittime di uno dei furti di dati più famosi di tutti i tempi; insieme al suo nome comparivano anche quelli di vip, star dei reality e giornalisti, per un totale di circa 300 gigabyte di dati trafugati. Il termine tecnico è data breach (“violazione dei dati”), incidente di sicurezza in cui vengono rubati dati sensibili riservati.

La storia dell’hackeraggio era iniziata nell’estate 2015, quando i gestori di Ashley Madison ricevettero un messaggio da Impact Team, gruppo di pirati informatici che, dopo aver minacciato di pubblicare in rete indirizzi mail, numeri di telefono, carte di credito e password di milioni di utenti del sito, ne chiedevano la chiusura immediata². Gli hacker erano poi passati all’azione, pubblicando le informazioni nel dark web, la parte nascosta di internet, dove si può navigare in modo anonimo.

Sul perché del gesto si sarebbero interrogati a lungo i media nei mesi successivi, anche se una breve spiegazione l’avevano fornita gli stessi hacker. Il primo motivo era legato alla natura del sito: su Ashley Madison le persone sposate cercano una scappatella extraconiugale. Il suo slogan, «La vita è breve. Concediti un’avventura», che ancora oggi campeggia a caratteri cubitali sulla home page, può far storcere il naso a chi crede nella fedeltà coniugale. A rincarare la dose ci aveva pensato anche il proprietario, Noel Biderman, che in più occasioni si era definito il «re dell’infedeltà». Nonostante ciò (o forse proprio grazie a queste particolari scelte) il successo era planetario: con i suoi 124 milioni di utenti mensili, all’epoca dello scandalo, Ashley Madison era il più popolare sito di dating online, di gran lunga più usato anche rispetto agli altri due siti di incontri gestiti dall’azienda canadese Avid Life Media, CougarLife.com ed EstablishedMen.com. Tuttavia, tra le ragioni del gesto di Impact Team ce ne sarebbero state altre, totalmente slegate dal pubblico pudore. Nel comunicato gli hacker rivelarono che, mentre i gestori di Ashley Madison lasciavano credere che ci fosse un rapporto sostanzialmente pari tra maschi e femmine sul loro sito, in realtà gli uomini sarebbero stati circa il 90 per cento del totale. Una truffa bella e buona.

Con chi chattavano allora le decine di milioni di uomini iscritti? Interpretando le righe di codice del pacchetto dati pubblicato dagli hacker si scoprì che, per intrattenere gli utenti, i gestori del sito avevano creato una serie di finti profili femminili automatizzati, con tanto di foto ammiccante, indirizzo mail, gusti e preferenze sessuali. Un vero e proprio esercito di donne finte, o fembot, come sono state ribattezzate dagli esperti.

Alla definizione di bot rispondono gli account automatizzati, completamente gestiti da una macchina, in grado di mimare il comportamento umano. Gli scopi per cui vengono creati possono essere i più vari, e l’intrattenimento degli utenti di un sito di dating come Ashley Madison non è che un esempio dei loro possibili utilizzi.

Scoprire la truffa delle fembot, per chi mastica un po’ di analisi dati, è relativamente semplice, perché fra le informazioni trafugate dagli hacker c’è anche il codice sorgente, il dna del sito, da cui è possibile comprendere le logiche che stanno dietro il funzionamento della piattaforma stessa. Tra le righe di codice si può capire per esempio come funzionano gli algoritmi che individuano la corrispondenza fra due profili, o se c’è qualche comando che ordina a dei bot di agganciare gli utenti.

Annalee Newitz, al tempo caporedattrice del blog di tecnologia Gizmodo, svolse alcune indagini nel database trafugato dagli hacker, scoprendo che i profili di donne reali, nei quali si potesse riscontrare attività umana, erano in netta minoranza. Molti account femminili erano stati aperti con mail appartenenti al dominio @ashleymadison.com, ossia generati in automatico con un account dell’azienda; altri risultavano sospetti perché registrati con l’ip 127.0.0.1 (il localhost, un indirizzo fittizio utilizzato dai programmatori per accedere al proprio computer).

Ad avvalorare le supposizioni, vi era il caso di una ex dipendente della Avid Life Media, che nel 2012 aveva citato in giudizio l’azienda canadese per le terribili condizioni lavorative cui era stata sottoposta: sosteneva infatti di essere stata costretta a inserire mille falsi profili femminili in pochissimo tempo³. La sproporzione tra i due sessi era inoltre confermata dai dati sulle cancellazioni dal sito: per uscire da Ashley Madison bisognava pagare 19 dollari con la propria carta di credito, e – stando ai dati diffusi dai pirati informatici – lo avevano fatto poco più di 12.000 donne, contro più di 173.000 uomini. Questo dato, inoltre, rivelava che, nonostante la richiesta di pagamento, le informazioni non erano state effettivamente cancellate dai database.

La polizia canadese si era lanciata subito in una disperata quanto infruttuosa caccia agli hacker e la Avid Life aveva messo sul piatto una taglia di 500.000 dollari per chiunque fornisse informazioni utili alla cattura.

Nel frattempo i data scientists di tutto il mondo elaboravano i dati e fornivano ogni giorno una nuova lettura del fenomeno scappatelle, con i media che seguivano con interesse crescente la vicenda, mentre la società spagnola Tecnilógica arrivò a creare Malfideleco (“infedeltà”), una mappa interattiva che rivelava i Paesi con il maggior numero di utenti attivi su Ashley Madison (l’Italia si piazzava ai primi posti al mondo)⁴.

Oltre a mappe e statistiche anonime, uscirono anche indiscrezioni su personalità di spicco coinvolte nello scandalo. La rivista specializzata “CSO” scrisse che tra gli indirizzi di posta elettronica pubblicati ce n’erano 15.000 appartenenti a funzionari del governo e dell’esercito, oltre a quello del procuratore della Florida costretto a fare pubblica ammenda. A tremare non erano solo personalità di spicco del panorama politico statunitense, ma anche comuni cittadini. Un utente su Reddit rivelò di essere omosessuale e di provenire dall’Arabia Saudita, Paese in cui l’omosessualità può essere punita con la pena capitale, firmandosi «Potrei essere lapidato a morte»: si era iscritto ad Ashley Madison usando il suo vero nome e cognome e stava ora pianificando di scappare dall’Arabia per rifugiarsi negli Stati Uniti. La situazione sfuggì di mano anche nel ben più tollerante Canada, dove due suicidi – come annunciò la polizia in una conferenza stampa – sarebbero stati direttamente ricollegabili al data breach.

Partirono anche le prime cause, oltre a una class action da mezzo miliardo di dollari, contro Avid Life Media, per conto di alcuni cittadini canadesi che avevano trovato i propri profili online. L’azienda, accusavano i legali, non avrebbe protetto a sufficienza i dati degli iscritti, nonostante in molti avessero pagato per ottenerne la cancellazione.

Intanto, fuori dagli studi legali, i giornali internazionali si occupavano della vicenda facendo presente come tra i profili spiccassero account riconducibili al governo degli Stati Uniti e a una serie di agenzie collegate ad esso, oltre all’indirizzo mail istituzionale del premier britannico Tony Blair. Ma gli esperti li misero subito a tacere: per registrarsi al sito era sufficiente un indirizzo di posta elettronica non verificato, e chiunque avrebbe potuto iscriversi utilizzando un dominio della Casa Bianca o del Congresso.

La vicenda di Ashley Madison si è conclusa nel 2017 con un risarcimento di 12 milioni di dollari agli utenti vittime del furto di dati.

Si è parlato così tanto dei fedifraghi in cerca di avventure e delle fembot, che Ashley Madison è diventata anche protagonista di un progetto artistico. Gli artisti del !Mediengruppe Bitnik hanno dichiarato di essere rimasti totalmente spiazzati di fronte all’abilità dei bot di ingannare così tanti uomini con il solo utilizzo di frasi brevi e semplici. Così hanno realizzato un’installazione dal titolo Ashley Madison Angels at Work, che rappresentava su una serie di schermi i bot geolocalizzati nella città dell’installazione. Il visitatore si ritrovava così circondato da avatar di ragazze con una maschera in volto, tutte intente a recitare il proprio copione senza aspettare una risposta. Con voce suadente chiedevano senza posa: «Ci sei?», «Sei occupato?», «Che cosa ti porta qui?».

Nel 1993, quando internet aveva appena cominciato a diffondersi tra gli utenti privati, Peter Steiner pubblicò sul “New Yorker” una vignetta che oggi viene citata in tutti i corsi di informatica. Vi sono raffigurati due cani che si guardano negli occhi: il primo è appollaiato su una sedia da ufficio e tiene una zampa sulla tastiera di un pc, il secondo è seduto sul pavimento lì accanto; il testo sotto recita: «Su internet nessuno sa che sei un cane». L’autore, attraverso quell’illustrazione, rivelava un’amara verità: su internet non si sa mai chi (o che cosa) ci sia dall’altra parte dello schermo. E a quasi trent’anni di distanza, il messaggio è più che mai attuale. Lo hanno imparato sulla propria pelle i fedifraghi in cerca di avventure di Ashley Madison, e lo ripetono gli esperti di informatica e cybersecurity: la rete è invasa dai fake. Ad essere false non sono solo le notizie (le ormai famose fake news di cui si sente tanto parlare a proposito di manipolazione dell’opinione pubblica), ma anche le persone.

Dietro a un’utenza fasulla si può nascondere una persona in carne e ossa, che si spaccia per qualcun altro per compiere azioni ben precise; con intenti nobili, come la promozione di diritti, o fraudolenti, dalla diffamazione allo stalking, fino alla manipolazione delle discussioni. Quando invece dietro l’account falso non si cela un umano ma un algoritmo, come abbiamo visto, si parla di bot, termine che oggi, secondo la definizione più accettata, designa software programmati per svolgere un compito con un obiettivo ben preciso, analizzando le circostanze e decidendo autonomamente quale azione eseguire.

Sebbene possano sembrare molto diversi dagli umanoidi dei libri di Isaac Asimov, tutti questi algoritmi sono in realtà veri e propri robot. Le fembot del celeberrimo sito per infedeli e il rover Curiosity spedito su Marte hanno in comune di essere stati creati dagli umani per uno scopo, come prevede l’origine etimologica di robot: questo termine, coniato nel 1920 dallo scrittore praghese Karel Čapek, deriva dal ceco robota, che significa “schiavo”, “lavoro forzato”.

Le false ragazze ammiccanti della nostra storia erano nello specifico chatbot, ossia bot specializzati nel rispondere nelle conversazioni. Come vedremo in questo libro, esistono moltissimi tipi di bot: si tratta di un universo talmente vasto e variegato che persino gli addetti ai lavori fanno fatica a mettere ordine tra definizioni e classifiche, e questo in particolare negli ultimi tempi, poiché il fenomeno è letteralmente esploso. Un recente report prodotto da due grandi aziende che operano nel settore della sicurezza informatica, contando anche altri tipi di algoritmi automatici di cui non ci occuperemo qui, definisce il 2018 «l’anno in cui i bot sono diventati mainstream»⁵. Non è più possibile ignorarli, dal momento che i non umani svolgerebbero già oltre il 40 per cento del totale dell’attività web mondiale⁶.

Fare classificazioni precise, dicevamo, è molto difficile, ma c’è un punto su cui tutti gli esperti concordano: i bot si possono suddividere in due grandi categorie: buoni e cattivi. Della prima categoria fanno parte servizi come INGVTerremoti, un programma che monitora il sito ufficiale dell’Istituto Nazionale di Geofisica e Vulcanologia e fa partire tweet di allerta automatici in caso di sisma. A questa categoria di servizi utili, che non nascondono la propria natura artificiale, appartiene circa la metà dei bot oggi presenti in rete, mentre i rimanenti – pari a un quinto del traffico internet – sono cattivi. Come le false ragazze di Ashley Madison e in generale come tutti quei sistemi automatici che hanno come principali obiettivi la frode, il furto di dati e le attività criminali. Per riuscire nei loro intenti, i bot maligni spesso si fingono persone reali o comunque provano a nascondere la propria identità. Un esempio di cattivi è costituito dai cosiddetti spambot, falsi utenti di un social network che fanno di tutto per far cliccare gli altri utenti (umani) su link di piattaforme terze che offrono prodotti in vendita. Questa attività non è di per sé illegale, ma può essere eccessivamente invadente e poco gradita a chi la riceve. Inoltre, i siti su cui si viene reindirizzati non sempre rappresentano canali di vendita affidabili.

Può capitare che per combattere i bot cattivi se ne usino altri buoni: è il caso di Re:scam, un chatbot (più precisamente un mailbot) nato pe...