Fake News, Social Media, Cyber Security e giornalismo: cosa potrebbe mai andare storto?

Premessa

Faccio una doverosa premessa. Questo post è scorretto, cattivo, ed estremamente esplicito. Fino ad oggi abbiamo sempre contenuto una linea di condotta ordinata e pacata nei nostri post, però una volta all'anno, forse, bisogna dire senza troppi complimenti quello che si pensa.

Fake News, Social Media, Cyber Security e giornalismo: cosa potrebbe mai andare storto?

La quantità di pubblicità e fake news che si propagano su Internet ha del raccapricciante. La miscela che unisce le normative Europee come il GDPR e la sudicia gestione del business e degli interessi dei colossi americani – e nella fattispecie di casa Zuckerberg – hanno contribuito a creare uno dei periodi che, a mio avviso, è il peggiore mai visto da anni a questa parte.

Oggi ho deciso di farmi seriamente del male. Ho intenzionalmente iniziato a guardare tutte le notizie quelle che “miodddio non ci crederai mai”. La capacità di questi inserzionisti di creare contenuti sfruttando notizie fresche ha dell’ammirevole. Se un quarto dei direttori editoriali avesse la stessa capacità comunicativa, il settore dell’editoria avrebbe una speranza di vivere… ma che dico… anche di prosperare!

Invece no.

Faccio qualche esempio, quattro per la precisione.

Notizie dai quotidiani. Ma non esattamente.

Sito aperto dopo aver letto la notizia di come un uomo fosse passato da una condizione debitoria di 200.000 euro a quella di individuo che guadagna migliaia di euri al giorno.

Clicchi sul titolo palesemente click bait (ovvero che stimola quella parte emotiva che ti spinge a voler cliccare o interessarti) e si apre il sito de “la Repubblica” … con un accorgimento – secondo me – geniale.

Dopo qualche istante che sei online, si apre una mega scritta che dice “affrettati a prendere (nel posteriore) questa offerta imperdibile, perché questa pagina sarà on-line solo per qualche ora!

Beh, ovvio, visto che è un caso di phishing di proporzioni epocali (vedi il testo evidenziato in giallo). Ma visto che c’è il lucchetto verde, l’utente comune è spinto a pensare che “sia sicuro” e quindi perché non dovrebbe essere davvero il quotidiano di informazione?

Di sicuro, in quella pubblicità, c’è solo la fregatura.

Secondo esempio: investiamo in Estonia.

L’Estonia - per chi ne fosse all’oscuro - è uno dei paesi dell’Europa che introduce delle innovazioni sistemiche importanti. Dall’identità digitale nazionale a start-up innovative, è un paese che – assieme ai paesi Scandinavi – a mio avviso è da tenere d’occhio per capire come la tecnologia può essere usata per il bene della società. E anche di cosa può andare storto – ma questo è un altro discorso.

E quindi?

Vai di investimenti!

Migliaia di milioni di Euro possono essere fatti attraverso questa agenzia di investimento che ha un sito bello, un .com che ti invita proprio ad investire qualche soldino per avere un ritorno inimmaginabile. Niente meno che l’Agenzia Estoniana di Investimento il cui dominio Internet (registrato nel 2003 – pensate la lungimiranza) è intestato ad una società di… Hong Kong?

Sapevo che Hong Kong – prima di tornare alla Repubblica Popolare Cinese – fosse sotto il regno della Regina d’Inghilterra… ma l’ultima volta che ho guardato la lista dei paesi che compongono la UE, Hong Kong non c’era.

(Forse farà cambio con il Regno Unito a partire dal 1° Febbraio?)

Ma andiamo oltre.

Altra pubblicità, altro regalo, altra sola. Cripto-sola per la precisione.

Qualche tempo fa era stato determinato che le pubblicità di cripto-investimenti sarebbero state messe al bando dalle piattaforme social.

Ma i cripto-investimenti continuano ad apparire come la muffa sul silicone della vasca da bagno. Fastidiosi e difficili da estirpare.

Girando un po’ sul sito si può trarre qualche conclusione, ma richiede conoscenze e tempo.

La prima: i dati dell’intestatario del dominio non sono accessibili (grazie GDPR per questa chicca).

La seconda: la pagina ti porta ad iscriverti ad una newsletter, ma se cerchi l’informativa sulla privacy ti ritrovi di nuovo a leggere che fornirai i tuoi dati ad una società che ha sede a Hong Kong.

Una cosa comica: per registrare un dominio .EU (direttiva di EURID, l’autorità che gestisce i domini con estensione .eu) la società registrante dovrebbe avere una sede operativa stabile (o stabile organizzazione che si voglia) sul territorio dell’UE.

Ah già, ma abbiamo detto prima che Hong Kong sia in Europa.

Mea culpa.

Esempio quarto. Yahoo! Finance… not.

Vogliamo non fidarci di una notizia (fake) su Yahoo Finanza?

Peccato che di nuovo accanto al (maledettamente inutile) lucchetto verde ci sia un dominio che non è quello di Yahoo ma un sotto dominio di Shopify, una piattaforma che consente la creazione di siti di e-commerce (e phishing a quanto pare).

Se vi domandate perché mi voglia così male da cercare inserzioni del genere (ci ho messo meno di 15 minuti – nda) è “solo” per due motivi: perché è una cosa che mi sposta il sistema nervoso e perché ci tengo.

Primo: casa Facebook & friends.

Il meccanismo di verifica delle inserzioni… non so se dire che sia ridicolo o imbarazzante.

O entrambe le cose.

Quando provo a creare un’inserzione per Rights Chain solitamente devo aspettare 48 ore prima di avere l’opportunità di vederla on-line.

Tenete un attimo a mente questo valore.

Le inserzioni di FB sono sotto accurato scrutinio di un complesso e avanzato sistema di deficienza artificiale. Tale potente sistema può decidere che l’inserzione vada subito online oppure non possa farlo, costringendo l’inserzionista a richiedere una verifica manuale approfondita da parte di un esperto della stessa piattaforma.

Il potente sistema, infatti, potrebbe ritenere che nell’immagine pubblicata ci sia del testo (una parola è già considerata troppo) o del “contenuto fuorviante”. Sì, perché non è che puoi pubblicare un cagnolino per pubblicizzare roba per gatti, mi sembra corretto.

Inevitabilmente tutte le nostre inserzioni sono soggette a scrutinio da parte di personale specializzato.

Succede così, che non potei mettere online un’inserzione di un blog che parla di Blockchain e di come volessi celebrare il compleanno di un sistema che abbiamo messo in piedi.

Sì, era una manifestazione di vanità per cui avremmo anche pagato qualcosina. A volte capita anche a me di avere idee strane (magari non proprio solo a volte).

Nell’ordine ho sentito:

Primo: l’immagine contiene troppo testo.

Grazie, è la cattura di una schermata di codice. Non essendo un esperto di visual effects, la tecnologia rappresentata era una triste schermata di codicini che al 99% delle persone farebbero venire un’emicrania istantanea, ma avevano un significato per altri. Me per esempio.

Quindi, abbiamo richiesto una seconda “verifica manuale” (dopo 24 ore).

Respinta.

“Il titolo non indica chiaramente il prodotto offerto”.

Tolto il fatto che io abbia avuto il desiderio di investire qualche euro per promuovere la nostra vanità del momento, il tutto stava iniziando a mutare in un attacco isterico.

La mia risposta è stata:

“non è un servizio, non è un prodotto: è un blog informativo, stiamo celebrando il nostro fottuto compleanno!”

Non ho capito se fosse la parola “blockchain” a indispettirli o se fossero state “fottuto compleanno”, fatto sta che no, non poteva essere sponsorizzato. Dopo qualche tempo, ho anche scoperto che il post nella timeline è stato messo in shadowban perché parlava del male incarnato (blockchain per chi non l’avesse colto).

La diatriba durò 4 giorni.

Se però promuovi siti di phishing e scam con promesse di guadagni straordinari investendoci probabilmente centinaia di dollari, allora OK: sei l’inserzionista perfetto.

A giudicare da alcuni contenuti, non attendono nemmeno le 48 ore per avere l’autorizzazione alla pubblicazione.

Non viene fatto assolutamente nessun controllo sulla qualità o fonti dei siti Internet, il che ci porta al secondo argomento.

La “sola” GDPR.

Sola – in romanesco, sinonimo di bufala.

Splendida la Commissione dell’Unione Europea che ha detto che la privacy sia una cosa importante.

Ci tengo a precisare che il tema privacy sia estremamente importante, ma il risultato attualmente potrebbe essere riassunto così:

Piccolo cenno storico.

Tutti i nomi a dominio registrati sono intestati a persone (privacy) o aziende (no privacy). Fin qui, nessuna novità. I dati dei registranti possono (pardon, potevano) essere ottenuti consultando un servizio chiamato “WHOIS”, banche dati che contengono i dati degli intestatari dei domini.

Poi arrivò il 25 Maggio 2018 e il GDPR entrò in vigore.

Tre mesi prima, in un piccolo ufficio da qualche parte negli iunaited steits, qualcuno si svegliò e disse:

Ehi, ma i database WHOIS non sono conformi alle disposizioni del GDPR perché mostrano i nomi degli intestatari! Cosa facciamo?

La risposta arrivò circa una settimana prima, e fu brillante.

Oscuriamoli tutti.

Siccome negli ultimi paragrafi non sono diventato un esperto di visual effects, ecco come si presenta una richiesta di informazioni su un dominio attraverso il servizio WHOIS.

REDACTED FOR PRIVACY

Grazie Unione Europea, perché questa magna cacata crea un effetto volano che aiuta i propagatori di fake news che non so nemmeno da che parte iniziare con le imprecazioni.

Con la scusa della privacy, qualunque individuo che voglia creare un sito di phishing o fake news, semplicemente lo registra: tanto in Europa i suoi dati sono tutelati (perché, poverino, sai, la privacy) e non deve nemmeno esserci.

Bella mossa. Bravi.

Cosa succede quando apri un sito internet? Soprattutto quelli che diffondono fake news?

Ti appare il candido modulo di accettazione dei Cookie.

Indovina? Sì, mi sono guardato anche quello.

Siccome il 99% delle persone accetta i cookie perché “tanto cosa vuoi che succeda” oppure in preda ad un attacco isterico risponde “sì basta che mi fai andare avanti”, il telefono (o computer) viene inondato di una quantità di cookie che nemmeno un esercito degno di Tolkien di scout inferociti con i biscotti sfornati per volontariato.

In alcuni siti ho contato quasi cento (CENTO – 100) “terze” parti a cui vengono inviate informazioni e preferenze sulla navigazione dell’utente.

Avevo già detto che il GDPR e la “cookie law” fossero una sola? Non perché siano sbagliate nel contenuto. Il fatto è che chi ha scritto le direttive non ha la più pallida idea di come funzioni Internet o di quali siano i suoi reali problemi.

Per fortuna ci sono gli esperti di sicurezza informatica….

Il che mi porta al terzo problema.

Gli esperti di sicurezza informatica.

Sarà che penso di essere un tecnico “atipico”, anni fa ebbi una folgorante illuminazione (probabilmente dovuta ad un armadio di rete non messo a terra).

Forse per questo sto cercando di smettere.

Quando parli ad una persona “normale” in gergo tecnico hai due possibilità: o al posto delle tue parole sente un fortissimo fruscio tipo il rumore bianco delle trasmissioni radio (per chi non sapesse cosa fosse https://www.youtube.com/watch?v=CCnCMHNyny8 – non serve ascoltarlo per 10 ore, è tutto uguale) oppure sta per metterti le mani addosso.

Quindi quando sento colleghi che dicono che l’utente normale dovrebbe capire che le comunicazioni sono sicure solo se il protocollo è incapsulato in TLS 1.3 e che dovrebbe verificare che il sito sia attendibile guardando “banalmente” l’URL e – perché no – assicurarsi che tra i cookie che gli arrivano non ci siano delle porcherie… gliele metterei io le mani addosso.

Limitiamoci al lucchetto.

Sì perché grazie a Google, i lucchetti fanno più danni della grandine, ed è un tema che porto avanti da diversi anni.

Per intenderci, nel luglio 2018 big-G ha deciso che “i siti Internet senza supporto https sarebbero stati considerati come siti non sicuri”. Se non usavi https (alias “lucchetto”) il tuo sito Internet sarebbe stato penalizzato nelle ricerche.

Ci saranno state orde di SEO marketers che correvano nudi in strada all’idea di non apparire nei primi risultati del motore di ricerca, quindi hanno ingaggiato orde di fabbri digitali che mettessero lucchetti ai siti Internet.

Nella concezione generale, grazie a Big-G, ora abbiamo il concetto che quando è presente un lucchetto il sito è sicuro.

Rullo di tamburi…. è una cazzata.

Per meglio intenderci: il lucchetto non qualifica né certifica

IN NESSUN MODO

(nemmeno con l’uso di intelligenze artificiali che non esistono) che il sito sia affidabile, sicuro, protetto o attendibile.

Si tratta solo ed esclusivamente di un tecnicismo che si applica esclusivamente alla comunicazione telematica tra il “sito” e il dispositivo che tenete in mano.

Sempre per riportare qualche informazione, nel 2016 PayPal ha fatto richiesta di annullamento di 15.270 lucchetti. Questo perché (solo) il 96,7% dei siti “lucchettati” erano siti di phishing della piattaforma di pagamento.

Per fortuna ci sono i giornali che informano i cittadini dei pericoli che incombono sull’uso di Internet…

Già. I giornalisti.

Un giorno sbroccherò come ho sbroccato oggi e pubblicherò la lettera aperta che ho in mente da diverso tempo.

Ma un briciolo di dignità professionale ce l’avete?

Sì perché io ho la sensazione (condivisa con altri) che oggi sia più l’era della disinformazione che quella dell’informazione.

I giornali, comprese anche le testate giornalistiche di un certo livello, scrivono degli articoli che talvolta sembrano più degli spot pubblicitari di qualche lobby, che articoli di informazione.

Al di là del fatto che non vengono verificate le fonti, gli articoli sono spesso un isterico copia incolla e traduci con un traduttore online di articoli scritti da altri paesi che hanno grosso modo fatto lo stesso giro.

Una volta (sempre per farmi del male) ho cercato l’origine di una notizia pubblicata su “la Repubblica”. Il giro più o meno era questo:

  • l’articolo del quotidiano di (dis)informazione faceva riferimento ad un articolo di un portale inglese
  • l’articolo del portale inglese riportava come fonte un sito americano
  • il sito americano NON riportava la fonte ma ravanando qua e là ho scoperto che era una traduzione quasi letterale di un articolo da un sito russo
  • il sito russo era a sua volta una traduzione da un altro sito inglese

Cosa potrebbe mai andare storto.

Così niente, raccontiamo enormi inutilità al pubblico, purché si possano vendere copie o sottoscrizioni di giornali che non fanno altro che alimentare e aiutare il meccanismo della disinformazione. Dal basso della mia (mancata) laurea in psicologia e sociologia:

  • se i giornali non mi danno informazioni, le cerco online
  • tendenzialmente cercherò qualcosa che sia nelle mie “corde”
  • Cambridge Analitica

Cosa abbiamo imparato dal caso Cambridge Analitica?

Che investire in pubblicità e disinformazione è efficace per pilotare le masse verso l’autodistruzione sociale.

Vogliamo riportare un esempio?

Ve la ricordate la notizia in cui la Finlandia avrebbe introdotto la settimana lavorativa di 4 giorni?

Dilagata per l’Europa peggio della SARS, c’era gente pronta ad aizzare i rappresentanti sindacali per seguire l’esempio del paese scandinavo che – rinomato per l’elevata qualità della vita – stava introducendo una novità rivoluzionaria in campo lavorativo.

Almeno finché i canali media finlandesi non avessero alzato la mano per chiedere al resto del mondo: “ma che minchia state dicendo?” (ma con maggiore educazione)

E visto che la piattaforma di diffusione dei contenuti generati dagli utenti nel mondo “occidentale” è Facebook, vorrei riproporre una risposta che diede Mark Zuckerberg davanti al Congresso degli Stati Uniti quando gli chiesero “cosa pensasse in merito alle fake news e alle notizie false”:

  • “Senatore, io credo che le bugie non siano una cosa buona”

Dopo aver dato una risposta che sanno tutti i figli delle mie conoscenze più strette dall’età di 4 anni, ha aggiunto:

  • “Io penso che le persone abbiano il diritto di scegliere da sole cosa sia vero e cosa no”

Conclusione

Anche perché vi sarete anche un po’ rotti le palle di leggere.

La conclusione è che il meccanismo della (dis)informazione abbia preso un’inerzia tale che fermarla sarà un’impresa titanica, ma è una cosa che bisogna fare assolutamente.

Bruce Coville ha detto:

“Withholding information is the essence of tyranny. Control of the flow of information is the tool of the dictatorship.”

Ovvero “trattenere l’informazione è l’essenza della tirannia. Il controllo del flusso dell’informazione è lo strumento della dittatura”.

La domanda che resta da porsi è: vogliamo farlo?

A proposito dell'Autore o Autrice

Sebastian Zdrojewski

Sebastian Zdrojewski

Founder, (He/Him)

Ha lavorato per 25 anni nel settore IT affrontando problemi di sicurezza informatica, privacy e protezione dei dati per le aziende. Nel 2017 fonda Rights Chain, un progetto che mira a fornire risorse e strumenti per il copyright e la protezione della proprietà intellettuale per i creatori di contenuti, gli artisti e le imprese.