Cerca nel blog

2023/01/31

Dati a spasso: nomi, cognomi, firme e altri dati di soccorritori lombardi e dei loro utenti

Ultimo aggiornamento: 2023/02/01 16:05. 

Non si capisce se sia incoscienza, disinvoltura o ignoranza, ma è impressionante la quantità di organizzazioni che mette su alla bell’e meglio una pagina Web con i dati personali dei dipendenti, clienti o collaboratori “perché così è comodo e possiamo consultarli facilmente”.

Vero, è comodo, ma altrettanto facilmente può consultarli anche chiunque altro. A quanto pare non è ancora stata capita diffusamente la lezione fondamentale che non basta non dire a nessuno dove si trovano i dati e così nessuno li troverà: bisogna proteggerli attivamente. Perché ormai da anni ci sono i motori di ricerca generalisti, come Google, che permettono di trovare le pagine Web pubblicamente raggiungibili anche senza conoscerne l’indirizzo, e ci sono i motori di ricerca specializzati, come Shodan, che esplorano tutta Internet e catalogano i siti che hanno servizi troppo accessibili e quindi vulnerabili.

Ieri (30 gennaio) ho segnalato il caso di un elenco di clienti assicurativi della zona di Chieti, allegramente consultabile e modificabile da chiunque da chissà quanto tempo fino alla mia segnalazione; oggi (31 gennaio) è il turno di un servizio di soccorso sanitario della Lombardia, che pubblica su una pagina Web accessibile a Google (e a chiunque abbia un browser) nomi, cognomi, indirizzi, numeri di telefono e orari degli utenti che si avvalgono dei suoi servizi e molti altri dati, compresi i nomi e cognomi, le firme e i numeri delle carte di identità e delle patenti di numerosi soccorritori volontari o professionisti.

Il primo febbraio, per esempio, Mattea B. doveva essere trasportata da Predore a Sarnico; il 2 febbraio Mario, telefono 34879*****, doveva essere portato da Villongo all’ospedale di Iseo; il 14 febbraio la signora Teresa, telefono 32987******, verrà trasportata da Villongo alla clinica Sant’Anna di Brescia, e così via (le date sono visualizzate nel formato statunitense mese-giorno-anno). Per ciascun utente è indicata anche la situazione medica che rende necessario il trasporto.

E poi ci sono nomi, cognomi e ruoli del personale, con tanto di firma digitalizzata:

C’è anche un elenco di “personale che non timbra da più di 3 settimane”:

Tutto in HTTP; niente HTTPS, su un indirizzo IP di Telecom Italia, aperto sulle porte 443, 8045, 8445, 8545 (sulla 80 c’è una login a una VPN in HTTPS). Non ho trovato il modo di capire chi sia il responsabile di queste pagine e avvisarlo; nell’HTML non ci sono informazioni di identità e anche un reverse DNS lookup non trova nulla. Se avete idee, segnalatele nei commenti.

Già è brutto che vengano disseminati i dati sanitari degli utenti, ma c’è un problema peggiore: questi dati possono essere un appiglio perfetto per compiere truffe o raggiri ai danni delle persone coinvolte. Giusto per fare un esempio, se qualche truffatore o malintenzionato telefonasse alla signora Teresa fingendo di essere un addetto al servizio trasporto utenti e le dicesse che il suo trasporto (di cui cita tutti i dettagli) avrà un costo aggiuntivo e che passerà un incaricato a riscuoterlo, probabilmente la signora ci crederebbe e aprirebbe la porta di casa all’“incaricato”.

A un livello più sofisticato, un malvivente potrebbe approfittare del fatto che sa di questa violazione della privacy e contattare i responsabili del sito chiedendo bitcoin per non segnalare l’accaduto al Garante; se non chiedesse troppo, avrebbe buone probabilità di incassare, perché l’estorsione costerebbe meno di quello che costerebbe la sanzione del Garante più le spese legali e quelle per mettere a posto il sito.

Questi sono solo i primi due scenari che mi vengono in mente, e io non sono un criminale informatico, che sicuramente avrà più inventiva di me.

---

2023/02/01 16:05. Ho ricevuto una mail dall’Agenzia Regionale Emergenza Urgenza che mi segnala che con le informazioni che ho fornito privatamente all’AREU è stato possibile risalire all’Associazione di Soccorso e contattarne i responsabili.

---

2023/02/02 11:30. I dati non sono più accessibili via Internet.

Capelli da record nello spazio?

Credo che questa chioma batta tutti i record spaziali di capigliatura, o perlomeno dia del filo da torcere a Marsha Ivins in questa celebre foto del 2001 (grazie a Paolo Amoroso per la segnalazione). La cosmonauta Anna Kikina è a bordo della Stazione Spaziale Internazionale. Foto datata 22 gennaio 2023. Fonte: NASA su Flickr.

La foto di Ivins è la S98E5020, che per quel che ne so è disponibile solo a bassa risoluzione su Archive.org e in risoluzione leggermente migliore qui.

2023/01/30

Dati a spasso: elenco clienti assicurativi leggibile e modificabile da chiunque (aggiornamento: caso forse risolto)

Ultimo aggiornamento: 2023/01/02 10:15. L’articolo è stato riscritto per tenere conto degli aggiornamenti e per fornire un contesto più ampio.

Quasi sempre i criminali informatici vengono immaginati e rappresentati come maghi della tastiera che sanno scovare e rubare qualunque dato digitale usando tecniche di penetrazione sofisticatissime, ma spesso queste tecniche non sono affatto necessarie, perché i dati sono stati messi maldestramente a disposizione del primo che passa e sono accessibili via Internet da chiunque abbia una minima capacità informatica.

Per esempio, pochi giorni fa mi è arrivata in via confidenziale la segnalazione di un sito aperto a chiunque che contiene quello che sembra essere un elenco di dati assicurativi di clienti italiani, probabilmente della zona di Chieti. Nomi, cognomi, indirizzi, codici fiscali, dettagli delle polizze assicurative, e altro ancora.

Ma soprattutto contiene una voce dell’elenco che non è un nome e cognome di cliente ma è un avviso: “Buongiorno questo database è accessibile a chiunque via Internet”, tutto in maiuscolo. Segno che qualcuno ha già trovato questo archivio, si è accorto che è non solo leggibile da chiunque ma è anche modificabile da chiunque, e ha pensato di lasciare un cordiale ma ben visibile avviso.

Trovare queste perle non è difficile. Esistono motori di ricerca appositi, come Shodan, che ho citato tante volte qui e che fanno la stessa cosa che fa Google, ossia esplorano e catalogano tutta Internet, e prendono nota dei siti che hanno degli accessi non protetti. È sufficiente sfogliare uno di questi motori di ricerca per trovare di tutto: telecamere di sorveglianza accessibili, server leggibili e scrivibili da chiunque, e pagine Web come questa. Esattamente come con Google, è sufficiente immettere le parole chiave giuste.

E a proposito di Google, molto spesso questi siti vulnerabili sono catalogati anche da Google, appunto, anche se trovarli in questo modo richiede molta più fatica. Infatti nel caso che mi è stato segnalato, il sito contenente l’archivio di dati personali di assicurati italiani è non solo reperibile in Google ma è anche nella sua cache, ossia nella copia temporanea che Google fa di tutti i siti che visita. Questo vuol dire che i dati saranno accessibili, almeno in parte, anche per qualche tempo dopo che il sito lasciato incautamente aperto sarà stato finalmente messo in sicurezza.

Qualche giorno fa ho contattato via mail quella che credo sia la ditta responsabile, la cui identità è trovabile frugando pazientemente in dettaglio nei dati e documenti pubblicamente accessibili. Mentre attendevo la risposta, ho notato che l’archivio non risultava più pubblicamente accessibile via Internet, anche se la copia cache è tuttora presente in Google. Probabilmente l’avviso lasciato in bella vista ha attirato positivamente l’attenzione dei responsabili del sito. Non è una soluzione elegante, ma perlomeno è efficace.

Finora non ho ricevuto nessuna risposta formale dalla ditta in questione, ma mi è arrivato un messaggio Telegram di qualcuno che sembra parlare a nome di questa ditta e dice che si tratta di “una versione alfa non in produzione” che contiene “dati totalmente fittizi anche se costruiti coerentemente”. Non ho modo di verificare questa dichiarazione e posso solo sperare che la versione definitiva sia un po’ meno accessibile e disinvoltamente scrivibile di questa, perché provare un database lasciandolo aperto a tutti su Internet, in modo che possa essere riscritto, cancellato o devastato dal primo vandalo che passa, non è comunque una buona prassi di sicurezza informatica.

2023/01/27

Podcast RSI - Spam in latino, spam su YouTube, mail che sembrano spam: chi è "BSA Compliance Solutions"?

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

Le puntate del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano i testi di accompagnamento e i link alle fonti di questa puntata, sono linkati qui sotto.

Avvocato mi chiede di eliminare “prontamente” un mio articolo; rispondo, ma non si fa più vivo. Piccola storia di ordinaria vessazione

Ultimo aggiornamento: 2023/01/27 17:20.

Sono stato gentile, paziente e disponibile, e tutto quello che ne ho ricavato è una perdita di tempo. Per cui adesso lascio perdere le inutili cortesie ed espongo i fatti.

Come avevo accennato, il 21 dicembre scorso un avvocato mi ha scritto chiedendomi di rimuovere “prontamente” un mio intero articolo risalente al 2008 per ottemperare al diritto all’oblio dei suoi assistiti. O almeno così sembra, visto che chi mi ha scritto ha mandato una semplice mail (non una PEC, non una raccomandata, ma una normalissima mail) a paolo.attivissimo@gmail.com. La mail del mittente corrisponde a quella di un avvocato del Nord-Est italiano, ma essendo una normale mail non offre alcuna garanzia di autenticità.

Ma anche supponendo che la mail provenga davvero da un avvocato, resta il problema che l’articolo non contiene nessun riferimento ai suoi assistiti. L’unico riferimento agli assistiti in questione è in un commento all’articolo. E quel commento segnala la circolazione di una catena di Sant’Antonio che li riguarda. Chiedermi di rimuovere l’articolo è quindi privo di senso.

Ho risposto prontamente (il 23 dicembre scorso) all’avvocato, dalla casella di mail alla quale mi era arrivato il messaggio iniziale (paolo.attivissimo@gmail.com) e inviando la risposta alla casella indicata come mittente in quel messaggio iniziale, dicendo semplicemente quanto segue, perché ovviamente non discuto i dettagli di una questione legale tramite mail ordinaria:

Oggetto: Re: Sig.ri Cremonini esercizio diritto all'oblio

Buongiorno Avvocato,

la prego di contattarmi formalmente tramite PEC:

paolo.attivissimo@pec.net


Cordiali saluti

Paolo Attivissimo

Il giorno successivo (24 dicembre) ho inviato alla casella di mail dell’avvocato (quella dalla quale sembrava avermi scritto) una PEC con lo stesso contenuto:

Oggetto: Sua mail a me del 21/12/2022 (Cremonini)

Buongiorno Avvocato,
la prego di contattarmi formalmente tramite PEC:
paolo.attivissimo@pec.net

Cordiali saluti
Paolo Attivissimo

Questa PEC risulta accettata e inoltrata dal sistema PEC, con ricevuta datata 24/12/2022 alle ore 09:38:25. Da allora, silenzio totale. 

Dallo stile e da altri indizi, ritengo molto probabile che la mail iniziale sia davvero stata inviata dall’avvocato in questione e da qui in poi, per chiarezza di racconto, presumo che sia così.

Sembra che l’avvocato che mi chiedeva di “procedere prontamente” e di informarlo “una volta avvenuta tale cancellazione” non abbia trovato il tempo, in tutto un mese, per rispondermi in merito alla sua richiesta che dalle sue parole appariva così urgente.

E quindi quel commento che pareva essere così importante da cancellare “prontamente” è rimasto dov’è, e l’articolo pure. 

Non solo: può benissimo darsi che gli assistiti dell’avvocato abbiano diritto di chiedere l’oblio per quella vicenda di quattordici anni fa, ma ora questa vicenda diventa una notizia nuova che li riguarda.

Sì, perché se la mail proviene realmente dal loro avvocato, è decisamente notiziabile il fatto che i signori Luigi Cremonini, Vincenzo Cremonini, Claudia Cremonini, Serafino Cremonini e Augusto Cremonini chiedano tramite un avvocato, in maniera tecnicamente inetta e vessatoria, di rimuovere “prontamente” un intero articolo che nemmeno li riguarda

Oltretutto dalla mail dell’avvocato si ha l’impressione che si tratti di una richiesta fatta distrattamente e con il copiaincolla, dato che parla di “articoli” e di “eliminazione delle url sopra indicate” (plurale) ma in realtà cita un singolo URL e un solo articolo. È un esempio, interessante per l’opinione pubblica, della maniera grossolana e un tanto al chilo in cui lavora chi è chiamato a un compito importante e delicato come far valere il diritto all’oblio e per questo, presumo, riceve una parcella.

È anche un esempio di come vengono trattati i giornalisti: si manda una semplice mail, oltretutto sbagliata, si pretende che il giornalista agisca subito e “prontamente”, ma non ci si degna neppure di rispondergli per chiarire i dettagli o trovare una soluzione corretta.

L’articolo in questione, quello che mi è stato chiesto di rimuovere integralmente addirittura eliminandone l’URL, è questo:

https://attivissimo.blogspot.com/2008/07/antibufala-allarme-per-il-piombo-nei.html

Come si capisce già dall’URL, l’articolo non ha minimamente a che fare con la famiglia Cremonini (parla di un allarme-bufala per il presunto piombo nei rossetti). Il commento che li riguarda è questo. E sono disposto a rimuoverlo se ne ricevo richiesta formale. È sufficiente una PEC. Ma il mio articolo, che non c’entra nulla, non si tocca. Oltretutto, a questo punto, visto che l’avvocato ha lasciato passare tranquillamente un mese senza mandarmi neanche una riga di risposta, diventa difficile argomentare che l’eventuale danno alla famiglia derivante dal commento in questione sia grave.

Per maggiore scrupolo, il 27 gennaio 2023 ho cercato la casella PEC dell’avvocato e le ho mandato una mia PEC:

Buongiorno Avvocato,

sono Paolo Attivissimo, giornalista informatico. A dicembre 2022 ho ricevuto sulla mia casella paolo.attivissimo@gmail.com una mail, apparentemente inviata da "[omissis]", che parlava di miei "articoli" (plurale) e mi richiedeva di "procedere prontamente all'eliminazione delle url sopra indicate e di informarmi una volta avvenuta tale cancellazione."

Le URL in questione, anzi l’unico URL (e quindi l'unico articolo), era https://attivissimo.blogspot.com/2008/07/antibufala-allarme-per-il-piombo-nei.html

La richiesta era materialmente errata, perché il mio articolo non contiene alcun riferimento ai signori Cremonini.

Ho risposto prontamente, sia via Gmail sia tramite PEC, chiedendo una presa di contatto. Ormai è trascorso più di un mese, ma non ho avuto da lei nessun riscontro.


Distinti saluti
Paolo Attivissimo

La mia PEC risulta accettata e consegnata. Se anche questa comunicazione verrà ignorata, considererò chiusa la questione.

In sintesi: se l’avvocato avesse avuto semplicemente la cortesia di rispondere, i suoi assistiti avrebbero evitato un perfetto Effetto Streisand. Spero che siano contenti del servizio che ricevono.

---

2023/01/27 17:20. Oggi intorno alle 13 l’avvocato ha risposto via PEC alla mia PEC, scusandosi per il ritardo nel rispondere e ha chiesto cortesemente di eliminare i commenti privi di fondamento contenenti il nome dei suoi assistiti. Ho provveduto, lasciando una nota nel flusso di commenti dell’articolo per spiegare l’accaduto. L’articolo rimane al suo posto. Considero chiusa la questione.

2023/01/26

Spam, SpaceX, Tesla e YouTube

C’è un tipo di spam particolare che sta diventando più frequente: i video fraudolenti su YouTube. Video che vengono addirittura consigliati da YouTube ai suoi utenti.

Si tratta di video che sembrano pubblicati da aziende molto conosciute ma sono in realtà creati da truffatori che prendono immagini, nomi e marchi di queste aziende e riconfezionano il tutto in modo che lo spettatore creda di assistere a una nuova comunicazione aziendale, per esempio l’annuncio di un nuovo prodotto, mentre in realtà gli viene proposto del materiale video vecchio al quale viene aggiunto un link che porta alla truffa vera e propria.

La cosa assurda, appunto, è che questi video finiscono fra quelli consigliati allo spettatore da YouTube perché rispecchiano i suoi interessi.

Per esempio, nei video che mi vengono consigliati da YouTube mi è comparso l’avviso di un video in diretta il cui titolo parlava di SpaceX, la società spaziale di Elon Musk, e annunciava un aggiornamento da parte di Musk stesso sul lancio del razzo gigante Falcon Heavy, un argomento che effettivamente mi interessa. L’account che presentava il video aveva il marchio di Tesla, altra azienda di Musk, e si faceva chiamare Tesla Academy.

Adesso sapete quali sono i miei interessi, almeno quelli che YouTube crede che siano i miei interessi.

Facendo scorrere il video, però, mi sono accorto che non era affatto una diretta, ma era una replica di una presentazione fatta da Elon Musk tempo fa, ed è comparso in sovrimpressione un codice QR insieme all’immagine di un tweet di Elon Musk che diceva “La tua vita cambierà entro pochi minuti se scansionerai il codice QR. Non è uno scherzo.”

Inoltre nei commenti erano stati fissati alcuni messaggi che parlavano di un grande giveaway, ossia di una distribuzione di regali da parte di Musk. Addirittura veniva proposto di raddoppiare le proprie criptovalute nel giro di “3-5 minuti” se si scansionava il codice QR mostrato nel video o si seguiva un link, citato nei commenti, per partecipare a questa elargizione.

Cliccando sul link o seguendo il codice QR si veniva portati a un sito contenente un annuncio, con tanto di logo di SpaceX e ritratto di Elon Musk, che spiegava i dettagli della partecipazione. Per raddoppiare le proprie criptovalute era sufficiente inviarle al sito.

Ovviamente si trattava di una trappola: se avessi abboccato, avrei mandato dei soldi non a SpaceX o a Elon Musk ma a degli sconosciuti, che sicuramente avrebbero fatto qualunque cosa tranne rimandarmene il doppio. Ho quindi segnalato a YouTube che si trattava di spam, usando l’apposita funzione e scegliendo la sezione “Spam o ingannevole” e poi “Truffe o frodi”, e infine ho descritto le ragioni della segnalazione.


YouTube ha rimosso il video poco dopo, a dimostrazione che segnalare questi truffatori funziona, ma resta un problema di fondo: YouTube non ha fatto prevenzione e ha accettato che venisse creato un utente il cui nome era un marchio registrato e la cui icona era anch’essa un marchio registrato, e ha inserito questo video truffaldino fra i consigliati, dandogli evidenza e visibilità, senza controllare se provenisse davvero dall’account dell’azienda titolare dei marchi.

Questa promozione da parte di YouTube di un video di truffatori è quindi molto pericolosa, perché conferisce credibilità al tentativo di frode. Se incontrate altri video di questo genere, segnalateli a YouTube, e avvisate i vostri conoscenti di questo fenomeno: non ci si può fidare ciecamente dei video consigliati da YouTube.

Le mail da BSAcompliancesolutions.org sono autentiche? Sì, però attenzione

Mi sono arrivate segnalazioni di strane mail, provenienti da Bsacompliancesolutions.org, che dichiarano di rappresentare la Business Software Alliance e chiedono una presa di contatto telefonica per una “revisione sulle licenze Adobe come previsto dai termini di utilizzo dei software”.

Le mail hanno un aspetto simile al seguente:

BSA | The Software Alliance è un'associazione di punta che rappresenta gli interessi del settore mondiale del software. BSA promuove l’uso e l’adozione dei processi di garanzia della qualità dei software attraverso un sistema di gestione delle licenze e programmi di formazione in tutto il mondo.

BSA la contatta per conto del proprio membro Adobe (bsa.org/membership) nell’ambito dello speciale programma condotto per aiutare le aziende a verificare e a gestire i software utilizzati, a ridurre i rischi legati all’utilizzo di programmi non supportati e a fornire preziose informazioni relative ai prodotti software.

La preghiamo di comunicare la propria disponibilità a parlare di questa verifica entro 15 giorni.

Al fine di identificare il tempo e la data per questa chiamata, Le chiediamo gentilmente di verificare le opzioni disponibili nel sito https://calendly.com/[omissis]

Salve,

ho provato a contattarla telefonicamente ma senza successo.

Possiamo sentirci quando e’ disponibile?

Le comunico che il nostro contatto non e' una proposta commerciale, ma una revisione sulle licenze Adobe come previsto dai termini di utilizzo dei software.

Rimango in attesa di un suo riscontro.

Grazie

Ci sono ottime ragioni per essere dubbiosi di un messaggio del genere: 

  • la persona che ha inviato la mail dichiara di agire per conto della Business Software Alliance, che è una nota associazione internazionale che da tempo promuove il software proprietario dei propri membri anche perseguendo la violazione del copyright sui software da parte delle aziende. Ma il dominio Internet della Business Software Alliance è BSA.org, mentre la mail arriva da un dominio completamente differente, ossia BSAcompliancesolutions.org: uno schema tipico delle truffe online.
  • La richiesta è in italiano, ma il numero di telefono è britannico (prefisso +44, zona di Londra): come mai questa richiesta arriva dal Regno Unito? Eppure la BSA dichiara di essere operativa “in oltre 30 paesi”. E il suo quartier generale per l’Europa è a Bruxelles, non nel Regno Unito. 
  • Una ricerca nel sito della BSA non trova nessuna citazione di bsacompliancesolutions.org.
  • Il sito Bsacompliancesolutions.org mostra abbondantemente i loghi della BSA, ma anche i siti dei truffatori mostrano i marchi delle aziende che tentano di imitare, per cui questa presenza non dimostra nulla. 
  • Se si fa una ricerca in Internet si trovano pareri molto contrastanti su Bsacompliancesolutions.org: alcuni dicono che è reale ed è una emanazione di Adobe o di BSA; altri dicono che è una truffa. Il sito antitruffa Scamadviser segnala di aver ricevuto oltre 1100 richieste di informazioni su Bsacompliancesolutions.org e lo considera quasi sicuramente legittimo. Aggiunge che il nome di dominio è un redirect da www.bsassi.org, bsassi.org e bsaenforcement.org.

In altre parole, per un utente comune questa mail è impossibile da verificare e ha molti elementi sospetti. L’unico modo per sapere se è autentica o no è contattare la BSA e chiederglielo.

L’ho fatto io per voi, passando dal suo apposito indirizzo mail di contatto (media@bsa.org) e via Twitter (@BSANews) e telefonando al numero indicato nella mail sospetta, e la versione breve di questa storia è che sì, Bsacompliancesolutions.org agisce per conto della BSA: me lo ha confermato un portavoce della BSA. Ma la BSA non può garantire che una specifica mail ricevuta provenga effettivamente da Bsacompliancesolutions.org, e in ogni caso prima di rispondere a messaggi di questo genere è opportuna un po’ di prudenza.

(La versione lunga è che quando ho inviato la mail dalla mia casella di lavoro presso la RSI, ho ottenuto la risposta “Il messaggio è stato rifiutato dal server di posta elettronica del destinatario”, ma a quanto pare in realtà la mia mail è stata ricevuta nonostante il messaggio d’errore. Fra l’altro, l’indirizzo media@bsa.org viene rediretto su bsa@allisonpr.com, e a sua volta Allisonpr.com porta all’agenzia di marketing e comunicazione britannica Allison+Partners (allisonpr.co.uk). Alla mia telefonata, invece, ha risposto una segreteria telefonica; ho lasciato un messaggio ma non ho avuto risposta)

---

Infatti anche se BSAcompliancesolutions.org è effettivamente una emanazione della BSA, resta la questione delle “revisioni” (o audit) delle licenze software che vengono effettivamente chieste dalla BSA o da organizzazioni legate alla BSA. Un articolo del 2010 di Redmondmag racconta vari casi di queste richieste che sono state respinte nettamente dai responsabili software e dagli uffici legali delle aziende contattate dalla BSA o da suoi incaricati perché erano prive di basi giuridiche. La BSA è un’associazione privata, e come tale non ha il diritto di perquisire o ispezionare nulla.

Anche il portavoce della BSA mi ha confermato via mail che le revisioni sono “su base completamente volontaria”: quindi non sentitevi obbligati a rispondere o a collaborare.

La dichiarazione completa del portavoce della BSA:

BSA | The Software Alliance is a trade association based in Washington, DC that focuses on policy advocacy. We advocate on behalf of makers of enterprise software in the United States, before the European Union through our office in Brussels, and in a number of capitals worldwide. Our advocacy focuses on advancing privacy, cybersecurity, artificial intelligence, and digital trade policies that help to support digital transformation across every industry.

Like many other trade associations, BSA also operates programs, collectively under the umbrella of its Compliance Solutions division, that help to promote the overall marketplace for enterprise software. One of these programs involves outreach to end-users of certain BSA members’ products to educate them on the benefits of using fully licensed software and the cybersecurity and other risks of unlicensed software.

Our ultimate goal in engaging these end users is to work with IT decisionmakers, on a completely voluntary basis, to assess their organization’s software requirements and usage, identify gaps, and explore solutions. Because of the nature of those assessments, and so as to not prejudge any circumstances, we do not comment on our interactions or engagement with any specific organization.

Gli esperti raccomandano a chi riceve mail con richieste di revisione delle licenze software di non rispondere subito ma di esaminare prima di tutto i contratti di licenza dei propri software, specificamente le loro clausole sui controlli e sulle conformità (auditing e compliance), e di non offrire a terzi pieno accesso ai propri sistemi informatici, anche perché questo potrebbe comportare problemi di sicurezza e di conformità alle leggi sulla protezione dei dati.

Come regola generale, inoltre, è opportuno chiedere che qualunque richiesta di questo tipo venga inviata per iscritto o con e-mail certificata; una semplice mail normale non è sufficiente.

E infine, se vi state chiedendo come mai la BSA o i suoi affiliati hanno deciso di contattare proprio voi, ci possono essere due ragioni: la prima è che molti software commerciali sono in grado di segnalare alle case produttrici, via Internet, quando e dove una loro copia viene usata senza licenza, e la seconda è che la BSA offre ricompense fino a 10.000 euro per chi fa segnalazioni di presunte piraterie software.

L’intento della BSA, ossia far pagare le licenze software a tutti e contrastare la pirateria, è insomma lodevole, ma i metodi che usa o che vengono usati dai suoi rappresentanti sono poco chiari e possono causare facilmente fraintendimenti. Siate prudenti.

Cory Doctorow e la enshittification: perché i servizi online e i social network commerciali diventano tutti tossici. Metaverso compreso

Riporto qui la mia traduzione di un saggio di Cory Doctorow che spiega molto bene la dinamica che porta sistematicamente i servizi online e i social network di natura commerciale a deteriorarsi progressivamente dal punto di vista degli utenti. Lui definisce questa dinamica senza mezzi termini come enshittification, ossia grosso modo “immerdificazione”, e noterete che si applica perfettamente non solo a Tiktok ma anche all’evoluzione di Twitter di questi ultimi mesi.

2023/03/12: Sono smodatamente fiero di constatare che Licia Corbolante (@terminologia) ha definito “immerdificazione” una ”parola ben formata attraverso un processo detto formazione parasintetica”. Trovate i dettagli in coda al saggio di Doctorow.


L’immerdificazione di Tiktok

di Cory Doctorow - Link all’originale - traduzione sotto licenza Creative Commons Attribution 4.0.

Ecco come muoiono le piattaforme: dapprima trattano bene i propri utenti; poi abusano di loro per migliorare le cose per i loro clienti commerciali; e infine abusano di quei clienti per riprendersi tutto il valore e tenerselo. E poi muoiono.

Io chiamo questo processo immerdificazione (enshittification), ed è una conseguenza a quanto pare inevitabile che nasce della combinazione della facilità nel cambiare il modo in cui una piattaforma alloca valore, combinata con la natura di un “mercato a due parti”, laddove una piattaforma si piazza fra venditori e acquirenti e tiene ciascuno in ostaggio per l’altro, portandosi via una quota sempre più grande del valore che passa tra loro.

Quando una piattaforma prende il via, ha bisogno di utenti e quindi si rende preziosa per loro. Pensate ad Amazon: per molti anni ha operato in perdita, usando il suo accesso al mercato dei capitali per sovvenzionare tutto quello che compravate. Vendeva beni sottocosto e li spediva sottocosto. Gestiva un sistema di ricerca pulito e utile. Se cercavi un prodotto, Amazon faceva l’impossibile per piazzarlo in cima ai risultati di ricerca.

Questo era un ottimo affare per i clienti di Amazon. Sono arrivati a frotte, e molti rivenditori che avevano negozi fisici sono sfioriti e sono morti, rendendo difficile andare altrove. Amazon ci ha venduto e-book e audiolibri che erano vincolati permanentemente alla sua piattaforma tramite DRM, in modo che ogni dollaro che spendevamo comprando dei media era un dollaro al quale avremmo dovuto rinunciare se avessimo cancellato Amazon e le sue app. E Amazon ci ha venduto Prime, convincendoci a pagare in anticipo per un anno di spedizioni. I clienti di Prime iniziano le loro ricerche per acquisti su Amazon, e il 90% delle volte non cercano altrove.

Questo ha indotto molti clienti commerciali a entrare: venditori nel Marketplace, che hanno trasformato Amazon nel “negozio per tutto” che aveva promesso sin dall’inizio. Man mano che questi clienti entravano in massa, Amazon ha cominciato a dare sussidi ai fornitori. I creatori di Kindle e Audible ricevevano compensi generosi. I rivenditori nel Marketplace raggiungevano un pubblico enorme e Amazon prendeva da loro delle commissioni basse.

Questa strategia comportava il fatto che diventava progressivamente più difficile, per chi cercava di fare acquisti, trovare cose in qualunque altro posto diverso da Amazon, e questo voleva dire che cercava solo su Amazon, e quindi i venditori dovevano vendere su Amazon.

È stato a questo punto che Amazon ha cominciato a raccogliere le eccedenze dai propri clienti commerciali e le ha passate ai propri azionisti. Oggi i venditori del Marketplace passano ad Amazon il 45% e oltre del prezzo di vendita sotto forma di costi fittizi. Il programma “pubblicitario” da 31 miliardi di dollari dell’azienda è in realtà un sistema a payola [nel mondo del business musicale, pagamento dato da una casa discografica o simile a un DJ o direttore radiofonico per far trasmettere un suo brano, N.d.T.] che mette i venditori uno contro l’altro, costringendoli a fare offerte per la possibilità di essere in cima alla vostra ricerca.

Fare una ricerca in Amazon non produce un elenco dei prodotti che corrispondono maggiormente alla vostra ricerca: fa comparire un elenco dei prodotti i cui venditori hanno pagato di più per essere in cima a quella ricerca. Questi costi sono incorporati nel prezzo che pagate per il prodotto, e il requisito di “nazione più favorita” di Amazon significa che i venditori non possono vendere altrove a un prezzo inferiore, per cui Amazon ha dettato i prezzi di ogni venditore.

Cercate “lettini per gatti” su Amazon: tutta la prima schermata è costituita da pubblicità, compresi prodotti che Amazon ha clonato dai propri rivenditori, facendoli fallire (i venditori terzi devono pagare il 45% in costi fittizi ad Amazon, ma Amazon non applica questi costi fittizi a se stessa). In tutto, le prime cinque schermate di risultati per “lettini per gatti” sono pubblicità per il 50%.

https://pluralistic.net/2022/11/28/enshittification/#relentless-payola

Questa è l’immerdificazione: le eccedenze vengono dapprima rivolte agli utenti; poi, una volta che gli utenti sono intrappolati, le eccedenze vanno ai fornitori; poi, una volta che sono intrappolati anche loro, le eccedenze vengono passate agli azionisti, e la piattaforma diventa un’inutile montagna di letame. Dagli store di app per telefonini a Steam a Facebook a Twitter, questo è il ciclo di vita della enshittification.

Ecco perché, come ha scritto Cat Valente nel suo saggio magistrale prenatalizio, piattaforme come Prodigy si sono trasformate, da un giorno all’altro, da un posto dove andavi per i collegamenti sociali a un posto dove eri tenuto a “smettere di parlare con gli altri e cominciare a comprare cose”:

https://catvalente.substack.com/p/stop-talking-to-each-other-and-start

Questo gioco delle tre carte, giocato con le eccedenze, è quello che è successo a Facebook. All’inizio Facebook ti trattava bene: ti mostrava le cose che avevano da dire le persone che amavi e alle quali volevi bene. Questo ha creato una sorta di presa di ostaggi reciproca: una volta che su Facebook c’era una massa critica di persone alle quali tenevi, diventava in pratica impossibile andarsene, perché avresti dovuto convincere tutte queste persone ad andarsene anche loro e metterle d’accordo su dove andare. Vuoi bene ai tuoi amici, ma capita spesso di non riuscire ad accordarsi su quale film andare a vedere e dove andare a cena. Lascia perdere.

Poi Facebook ha cominciato a riempire il feed con post di account che non seguivi. All’inizio si trattava di aziende del settore dei media, che Facebook ficcava in gola ai propri utenti in modo preferenziale affinché cliccassero sugli articoli e mandassero del traffico ai giornali, alle riviste e ai blog.

Poi, una volta che quelle pubblicazioni erano diventate dipendenti da Facebook per il loro traffico, Facebook ha smorzato quel traffico. Dapprima ha messo una strozzatura nel traffico verso le pubblicazioni che usavano Facebook per pubblicare degli estratti contenenti dei link ai loro siti; lo ha fatto allo scopo di spingere le pubblicazioni a fornire dei feed di testi integrali all’interno del giardino cintato di Facebook.

Questo ha reso le pubblicazioni profondamente dipendenti da Facebook. I loro lettori non visitavano più i siti delle pubblicazioni ma ne fruivano su Facebook. Le pubblicazioni erano ostaggi di quei lettori, che erano ostaggi gli uni degli altri. Facebook ha smesso di mostrare ai lettori gli articoli pubblicati dalle pubblicazioni, ricalibrando l’algoritmo in modo da sopprimere i post provenienti dalle pubblicazioni a meno che avessero pagato per "amplificare" i loro articoli ai lettori che si erano esplicitamente abbonati ad essi e avevano chiesto a Facebook di includerli nei loro feed.

A questo punto Facebook ha cominciato a ficcare più pubblicità nel feed, mescolando la payola della gente che volevate ascoltare con la payola degli sconosciuti che volevano sequestrare la vostra attenzione. Ha offerto a quegli inserzionisti un ottimo affare, chiedendo una miseria per personalizzare le loro pubblicità sulla base dei dossier di dati personali raccattati senza consenso che avevano rubato a voi.

Anche i rivenditori erano diventati dipendenti da Facebook. Erano diventati incapaci di continuare a lavorare senza quelle inserzioni mirate. Questo è stato, per Facebook, il segnale per alzare i prezzi delle inserzioni, smettere di preoccuparsi così tanto delle frodi pubblicitarie e mettersi in combutta con Google per manipolare il mercato pubblicitario tramite un programma illegale chiamato Jedi Blue:

https://en.wikipedia.org/wiki/Jedi_Blue

Oggi Facebook è in uno stato di immerdificazione terminale; è un posto terribile dove stare, sia per gli utenti, sia per le aziende nel settore dei media, sia per gli inserzionisti pubblicitari. È un’azienda che ha intenzionalmente demolito una grossa fetta degli editori sui quali contava, frodandoli e attirandoli in una “transizione al video” che si basava su asserzioni false riguardanti la popolarità dei video fra gli utenti di Facebook. Le aziende hanno speso miliardi per questa transizione, ma gli spettatori non si sono mai presentati, e le aziende di media hanno chiuso in massa:

https://slate.com/technology/2018/10/facebook-online-video-pivot-metrics-false.html

Ma Facebook ora ha una nuova proposta. Si fa chiamare Meta, e pretende che viviamo il resto dei nostri giorni come creature da cartone animato con pochi poligoni, senza gambe, senza sesso e pesantemente sorvegliate.

Ha promesso alle aziende che fanno app per questo metaverso che non le fregherà come ha fatto con gli editori sul vecchio Facebook. Resta da vedere se troverà aziende interessate. Come ammise candidamente una volta Mark Zuckerberg a un suo coetaneo, meravigliandosi di tutti i compagni di studi a Harvard che mandavano le loro informazioni personali al suo nuovo sito Web "TheFacebook":

    Non so perché.

    Si "fidano di me"

    Cretini.

https://doctorow.medium.com/metaverse-means-pivot-to-video-adbe09319038

Una volta capito lo schema della enshittification, molti dei misteri delle piattaforme si chiariscono da soli. Pensate al mercato del SEO, o a tutto il mondo dinamico dei creatori online che trascorrono ore infinite a fare inutile cremlinologia delle piattaforme, nella speranza di identificare le trappole algoritmiche che, se ci si incappa, condannano all’oblio le opere creative nelle quali riversano i loro soldi, il loro tempo e la loro energia:

https://pluralistic.net/2022/04/11/coercion-v-cooperation/#the-machine-is-listening

Lavorare per la piattaforma può essere come lavorare per un capo che preleva soldi da ogni busta paga per tutte le regole che hai violato, ma non ti dice quali sono queste regole, perché se te le dicesse capiresti come violarle senza farti scoprire da lui e senza farti togliere soldi dalla busta paga. La moderazione dei contenuti è l’unico settore nel quale la security through obscurity [sicurezza tramite segretezza] è considerata una prassi ottimale:

https://doctorow.medium.com/como-is-infosec-307f87004563

Questa situazione è talmente grave che organizzazioni come Tracking Exposed hanno arruolato un esercito umano di volontari e un esercito robotico di browser headless per cercare di decifrare la logica che sta dietro i giudizi arbitrari, da macchina, dell’Algoritmo, sia per dare agli utenti l’opzione di affinare i suggerimenti che ricevono, sia per aiutare i creatori a evitare il furto di salario che deriva dall’essere “shadowbanned” [banditi o resi invisibili senza esserne avvisati, N.d.T.]:

https://www.eff.org/deeplinks/2022/05/tracking-exposed-demanding-gods-explain-themselves

Ma che succede se non c’è dietro nessuna logica? O più direttamente, che succede se la logica cambia a seconda delle priorità della piattaforma? Se passeggiate lungo la via principale di un luna park, vedrete qualche povero pollo che va in giro tutto il giorno portando un enorme orsacchiotto di peluche che ha vinto tirando tre palle in una cesta.

Il gioco della cesta è truccato. Il gestore può usare un interruttore nascosto per obbligare le palle a rimbalzare fuori dal cesto. Nessuno vince un orsacchiotto gigante, a meno che il gestore voglia che lo vinca. Perché il gestore ha lasciato che il pollo vincesse l’orsacchiotto? Perché così lo porterà in giro tutto il giorno e convincerà gli altri polli a pagare per avere la possibilità di vincerne uno:

https://boingboing.net/2006/08/27/rigged-carny-game.html

Il gestore ha assegnato un orsacchiotto gigante a quel povero pollo nella stessa maniera in cui le piattaforme assegnano le eccedenze a chi ha le migliori prestazioni: per farne un persuasore in una Truffa del Grande Magazzino. È un modo per irretire altri polli che creeranno contenuti per la piattaforma, ancorando ad essa se stessi e il loro pubblico.

Il che mi porta a Tiktok. Tiktok è tante cose, ed è anche un “Adobe Premiere per teenager che vivono al telefono."

https://www.garbageday.email/p/the-fragments-of-media-you-consume

Ma quello che lo ha reso inizialmente un grande successo è stato il potere del suo sistema di suggerimenti. Sin dall’inizio, Tiktok era veramente bravo a suggerire cose ai propri utenti. Inquietantemente bravo:

https://www.npr.org/transcripts/1093882880

Dando suggerimenti in buona fede su cose che pensava che sarebbero piaciute ai suoi utenti, Tiktok ha costruito un pubblico di massa, più grande di quanto molti pensassero possibile vista la pressione mortale dei suoi concorrenti, come YouTube e Instagram. Ora che Tiktok si è procurato il pubblico, sta consolidando i propri guadagni e cercando di attirare le aziende del settore dei media e i creatori che sono ancora cocciutamente legati a YouTube e Instagram.

Ieri [il 20 gennaio scorso, N.d.T.] Emily Baker-White di Forbes ha pubblicato un resoconto fantastico di come funziona questo processo all’interno di Bytedance, la società che gestisce Tiktok, citando varie fonti interne e rivelando l’esistenza di un “amplificatore“ che i dipendenti di TikTok usano per inserire i video di alcuni account selezionati nei feed di milioni di spettatori:

https://www.forbes.com/sites/emilybaker-white/2023/01/20/tiktoks-secret-heating-button-can-make-anyone-go-viral/

Questi video finiscono nei feed Per te degli utenti di Tiktok, che Tiktok descrive in modo ingannevole come popolato da video “classificati da un algoritmo che prevede i tuoi interessi in base al tuo comportamento nell’app”. In realtà, il Per te è composto solo qualche volta da video che secondo Tiktok possono aggiungere valore alla tua esperienza: per il resto è pieno di video che Tiktok ha inserito per far credere ai creatori che Tiktok sia un posto magnifico per raggiungere un pubblico.

“Le fonti hanno detto a Forbes che TikTok ha usato spesso l’amplificazione per corteggiare influencer e brand, stuzzicandoli ad avviare collaborazioni gonfiando il conteggio delle visualizzazioni dei loro video. Questo suggerisce che l’amplificazione è stata potenzialmente benefica per alcuni influencer e brand – quelli con i quali Tiktok cercava rapporti commerciali – a discapito di altri con i quali non li cercava.”

In altre parole, Tiktok sta distribuendo orsacchiotti giganti.

Ma il mestiere di Tiktok non è regalare orsacchiotti giganti. Nonostante le sue origini siano nell’economia cinese quasi-capitalista, Tiktok è semplicemente un altro organismo-colonia artificiale massimizzatore di fermagli [concetto che ho spiegato qui, N.d.T.] che tratta gli esseri umani come se fossero scomoda flora intestinale. Tiktok porterà attenzione gratuita alle persone che vuole accalappiare solo finché non le accalappia, e poi ritirerà quell’attenzione e inizierà a monetizzarla.

“Monetizzare” è una pessima parola che ammette tacitamente che non esiste nessuna “economia dell’attenzione”. Non si può usare l’attenzione come mezzo di scambio. Non la si può usare per immagazzinare valore. Non la si può usare come unità di conto. L’attenzione è come una criptovaluta: un gettone senza valore, che è prezioso solo finché riesci a convincere o obbligare qualcuno a dare in cambio della valuta “reale” (“fiat currency”). La devi “monetizzare”, ossia devi scambiare i soldi finti con soldi veri.

Nel caso delle criptovalute, la strategia principale di monetizzazione era basata sull’inganno. Gli exchange e i “progetti” distribuivano un sacco di orsacchiotti giganti, creando un esercito di capre di Giuda, credenti incrollabili, che convincevano i loro pari a dare al gestore del luna park i loro soldi e a cercare di mettere anche loro qualche palla nel cesto.

Ma l’inganno produce solo una certa quantità di garanzia di liquidità [liquidity provision]. Prima o poi i polli finiscono. Per fare in modo che tanta gente tenti il tiro delle palle serve la coercizione, non la persuasione. Pensate a come le aziende statunitensi hanno messo fine alle pensioni con benefici definiti che garantivano un pensionamento dignitoso e le hanno sostituite con pensioni tipo 401(k) che si basano sul mercato e obbligano a scommettere i propri risparmi in un casinò truccato, trasformandovi nel pollo seduto al tavolo, pronto per essere cucinato:

https://pluralistic.net/2020/07/25/derechos-humanos/#are-there-no-poorhouses

La liquidità iniziale delle criptovalute è arrivata dal ransomware. L’esistenza di un serbatoio di aziende e di persone prese dal panico e dalla disperazione, i cui dati erano stati rubati da criminali, ha creato una base di liquidità in criptovalute perché potevano riavere i loro dati soltanto scambiando soldi veri con criptovalute fittizie.

La fase successiva della coercizione sulle criptovalute è stata il Web3: convertire il Web in una serie di caselli a pagamento che si potevano valicare solo scambiando soldi veri con criptodenaro falso. Internet è una necessità, non uno sfizio; è un prerequisito per partecipare pienamente al mondo del lavoro, all’educazione, alla vita familiare, alla salute, alla politica, alle attività civiche, persino alle situazioni romantiche. Tenendo in ostaggio tutte queste cose dietro dei caselli di criptovalute, gli hodler speravano di convertire i loro gettoni in soldi reali:

https://locusmag.com/2022/09/cory-doctorow-moneylike/

Per Tiktok, distribuire orsacchiotti gratuiti “amplificando” i video postati da creatori e aziende di media scettiche è un modo per convertirli in credenti incrollabili, convincerli a mettere tutte le loro fiche sul tavolo, abbandonare i loro tentativi di crearsi un pubblico su altre piattaforme (ed è comodo che il format di Tiktok sia caratteristico, rendendo difficile riusare i video fatti per Tiktok e utilizzarli su piattaforme rivali).

Una volta che quei creatori e quelle aziende di media saranno stati presi all’amo, inizierà la seconda fase: Tiktok ritirerà l’“amplificazione” che piazza i loro video in faccia a gente che non ne ha mai sentito parlare e che non ha chiesto di vedere i loro video. Tiktok sta eseguendo un balletto delicato: c’è un limite alla enshittification che possono infliggere ai feed dei loro utenti, e Tiktok ha tanti altri creatori ai quali vuole dare orsacchiotti giganti.

Tiktok non si limiterà ad affamare i creatori privandoli dell’attenzione “gratuita” attraverso la rimozione del trattamento preferenziale nell’algoritmo, ma li punirà attivamente smettendo di inviare i video agli utenti che si sono abbonati a loro. Dopotutto, ogni volta che Tiktok ti mostra un video che avevi chiesto di vedere perde un’occasione di mostrarti invece un video che vuole che tu veda, perché la tua attenzione è un orsacchiotto gigante che può regalare a un creatore che sta corteggiando.

Questo è esattamente quello che ha fatto Twitter nell’ambito della sua marcia verso l’immerdificazione: grazie ai suoi cambiamenti di “monetizzazione”, la maggior parte della gente che ti segue non vedrà mai le cose che posti. Io ho circa 500mila follower su Twitter, e i miei thread prima avevano abitualmente centinaia di migliaia o anche milioni di letture. Oggi ne hanno centinaia, forse migliaia.

Ho appena pagato a Twitter 8 dollari per avere Twitter Blue, perché l’azienda ha indicato fortemente che mostrerà le cose che posto alle persone che hanno chiesto di vederle solo se pago un riscatto. Questa è la battaglia più recente in una delle guerre più lunghe e a fuoco lento di Internet: la lotta sull’end-to-end:

https://pluralistic.net/2022/12/10/e2e/#the-censors-pen

In principio vi erano i Bellhead, i fan della compagnia telefonica [la statunitense Bell, N.d.T.], e i Nethead, i fan della rete. I Bellhead lavoravano per le grandi compagnie telefoniche e credevano che tutto il valore della rete appartenesse doverosamente all’operatore. Se qualcuno inventava una nuova funzione, come per esempio l’identificazione del chiamante, quella funzione doveva essere realizzata solo in un modo che consentisse all’operatore di far pagare ogni mese per usarla. Era il Software-As-a-Service, versione telefonica.

I Nethead, invece, credevano che il valore dovesse spostarsi verso la periferia della rete e si dovesse spandere, in forma pluralizzata. In teoria, Compuserve avrebbe potuto “monetizzare” la propria versione dell’identificazione del chiamante facendo pagare 2,99 dollari extra per vedere la riga “Da:” nella mail prima di aprire il messaggio – facendoti pagare per sapere chi stava parlando prima che tu iniziassi ad ascoltare – ma non lo fece.

I Nethead volevano costruire reti diversificate con tante offerte, tanta concorrenza, e un passaggio facile e a basso costo fra concorrenti (grazie all’interoperabilità). Alcuni lo volevano fare perché ritenevano che la rete prima o poi sarebbe stata integrata nel mondo e non volevano vivere in un mondo di locatori affamati di riscuotere affitti. Altri credevano sinceramente nella concorrenza di mercato come fonte di innovazione. Alcuni credevano in entrambe le cose. In ogni caso, vedevano il rischio di cattura della rete, la spinta verso la monetizzazione attraverso l’inganno e la coercizione, e volevano tenerli lontani.

Concepirono il principio dell’end-to-end: l’idea che le reti dovessero essere progettate in modo che i messaggi di chi voleva farsi sentire venissero consegnati ai punti di arrivo di coloro che volevano ascoltarli, nella maniera più rapida e affidabile possibile. In altre parole, anche se un operatore di rete avesse potuto fare soldi mandandoti i dati che lui voleva che tu ricevessi, il suo dovere sarebbe stato quello di fornirti i dati che volevi vedere tu.

Oggi il principio dell’end-to-end è morto a livello di servizi. Gli utili idioti di destra sono stati ingannati, facendo loro credere che il rischio di una cattiva gestione di Twitter sarebbe stato un “woke shadowbanning” [un blocco non annunciato dei post, in base a dettami di “correttezza politica” estrema, N.d.T.], in base al quale le cose che dicevi non sarebbero arrivate alle persone che avevano chiesto di ascoltarle perché al “deep state” [“governo sommerso”, N.d.T.] di Twitter non piacevano le tue opinioni. Il rischio reale, ovviamente, era che le cose che dicevi non sarebbero arrivate alle persone che avevano chiesto di ascoltarle perché Twitter può fare più soldi immerdificando i loro feed e facendoti pagare un riscatto per il privilegio di essere incluso in quei feed.

Come dicevo all’inizio di questo saggio, l’enshittification esercita una gravità quasi irresistibile sul capitalismo delle piattaforme. È semplicemente troppo facile girare la manopola dell’immerdificazione fino al massimo. Twitter ha potuto licenziare la maggior parte del suo personale di elevata competenza e girare lo stesso la manopola fino al livello massimo, anche con una squadra ridotta all’osso di lavoratori H1B [non statunitensi che hanno il permesso di residenza in USA solo finché lavorano in settori ad alta professionalità, N.d.T.] disperati e demoralizzati, che la minaccia dell’espulsione dal paese incatena alla nave di Twitter che sta affondando.

La tentazione di immerdificare viene amplificata dai blocchi sull’interoperabilità: quando Twitter bandisce i clienti interoperabili, decide di menomare le proprie API e terrorizza periodicamente i propri utenti sospendendoli per aver incluso nelle loro bio i loro nomi su Mastodon, rende più difficile abbandonare Twitter e quindi aumenta la quantità di immerdificazione che gli utenti possono essere forzati a ingoiare senza rischiare che se ne vadano.

Twitter non diventerà un “protocollo”. Scommetto un testicolo (non uno dei miei) che progetti come Bluesky non avranno alcuna presa significativa sulla piattaforma, perché se Bluesky venisse implementato e gli utenti di Twitter potessero riordinare i propri feed per minimizzare l’enshittification e abbandonare il servizio senza sacrificare i propri social network, questo stroncherebbe la maggior parte delle strategie di “monetizzazione” di Twitter. 

Una strategia di enshittification ha successo solo se viene applicata in dosi centellinate. Anche l’utente vittima del peggior lock-in alla fine raggiunge un punto di rottura e se ne va. Gli abitanti del villaggio di Anatevka nel Violinista sul tetto tollerarono per anni le incursioni violente e i pogrom dei cosacchi, fino al momento in cui non ne poterono più e scapparono a Cracovia, New York e Chicago:

https://doctorow.medium.com/how-to-leave-dying-social-media-platforms-9fc550fe5abf

Per le aziende confuse dall’immerdificazione, quell’equilibrio è difficile da raggiungere e mantenere. I singoli product manager, direttori e azionisti attivisti preferiscono tutti i guadagni rapidi al prezzo della sostenibilità, e fanno a gara a chi riesce per primo a mangiarsi il capitale iniziale. La enshittification è durata così a lungo solo perché Internet si è devoluta in “cinque siti web giganti, ciascuno pieno di screenshot degli altri quattro”:

https://twitter.com/tveastman/status/1069674780826071040

Con un mercato controllato da un gruppo di monopolisti amiconi fra loro, non compaiono alternative migliori che ci attirino e ci portino via; se compaiono, i monopolisti non fanno altro che comprarsele e integrarle nelle strategie di immerdificazione, esattamente come quando Mark Zuckerberg ha notato un esodo di massa di utenti di Facebook che stavano passando a Instagram e così ha comprato Instagram. Come dice Zuck, “È meglio comperare che competere”.

Questa è la dinamica che si nasconde dietro l’ascesa e il declino di Amazon Smile, il programma nel quale Amazon dava una piccola cifra a enti benefici di tua scelta quando facevi acquisti su Amazon, ma solo se usavi lo strumento di ricerca di Amazon per trovare i prodotti che compravi. Questo dava ai clienti di Amazon un incentivo a usare il suo sistema di ricerca sempre più immerdificato, che poteva rimpinzare di prodotti di venditori che pagavano la payola e dei suoi prodotti-fotocopia. L’alternativa era usare Google, il cui strumento di ricerca ti mandava direttamente al prodotto che stavi cercando, e poi faceva pagare ad Amazon una commissione per averti mandato da Amazon:

https://www.reddit.com/r/technology/comments/10ft5iv/comment/j4znb8y/

La fine di Amazon Smile coincide con l’aumentata enshittification della ricerca in Google, l’unico prodotto di successo che l’azienda è riuscita a creare internamente. Tutti gli altri suoi successi sono stati comprati prendendoli da altre società: video, documenti, cloud, servizi per telefonia mobile. I suoi prodotti interni, invece, sono flop come Google Video, cloni (Gmail è un clone di Hotmail), o adattamenti di prodotti altrui, come Chrome.

La ricerca in Google Search era basata sui princìpi definiti nel paper fondamentale del 1998 dei fondatori Larry Page e Sergey Brin, “Anatomy of a Large-Scale Hypertextual Web Search Engine”, nel quale scrissero che “i motori di ricerca finanziati dalla pubblicità saranno intrinsecamente favorevoli ai pubblicitari e contrari ai bisogni dei consumatori”.

http://ilpubs.stanford.edu:8090/361/

Anche con questa comprensione fondante dell’enshittification, Google non è riuscita a resistere al proprio canto delle sirene. Oggi i risultati di Google sono un pantano sempre più inutile di link auto-preferenziali ai propri prodotti, di pubblicità di prodotti che non meritano di salire spontaneamente in cima all’elenco, e di spazzatura SEO parassitaria che cavalca tutto il resto.

L’enshittification uccide. Google ha appena licenziato 12.000 dipendenti, è in panico totale per l’ascesa dei chatbot di “intelligenza artificiale”, e sta facendo pressing a tutto campo per avere uno strumento di ricerca guidato dall’intelligenza artificiale, ossia uno strumento che non ti mostrerà quello che gli chiedi ma ti mostrerà invece quello che pensa che dovresti vedere:

https://www.theverge.com/2023/1/20/23563851/google-search-ai-chatbot-demo-chatgpt

È possibile immaginare che uno strumento del genere possa produrre suggerimenti validi, come faceva l’algoritmo di Tiktok pre-immerdificazione. Ma è difficile immaginare come Google possa riuscire a progettare un front-end di ricerca sotto forma di chatbot che non sia immerdificato, visti i potenti incentivi di product manager, direttori e azionisti a immerdificare i risultati fino all’esatta soglia alla quale gli utenti sono quasi seccati abbastanza da andarsene, ma non del tutto.

Anche se dovesse riuscirci, questo equilibrio di inusabilità quasi (ma non del tutto) totale è fragile. Qualunque shock di natura esterna, per esempio un nuovo concorrente come Tiktok che penetri i fossati e le muraglie della Big Tech, uno scandalo di privacy, una rivolta di lavoratori, può indurre oscillazioni violente:

https://pluralistic.net/2023/01/08/watch-the-surpluses/#exogenous-shocks

L’enshittification è veramente il modo in cui muoiono le piattaforme. E questo, in realtà, va benissimo. Non abbiamo bisogno di monarchi eterni di Internet. Va benissimo che emergano nuove idee e nuovi modi di lavorare. I legislatori e i responsabili delle politiche non dovrebbero concentrarsi sul preservare la senescenza crepuscolare delle piattaforme morenti. Semmai l’attenzione delle nostre politiche dovrebbe concentrarsi sul minimizzare il costo agli utenti quando queste aziende raggiungono la propria data di scadenza: stabilire per legge diritti come l’end-to-end significherebbe che per quanto autocannibale possa diventare una piattaforma-zombi, chi vuole parlare e chi vuole ascoltare possano sempre incontrarsi:

https://doctorow.medium.com/end-to-end-d6046dca366f

E chi decide le politiche dovrebbe focalizzarsi sulla libertà di uscita: il diritto di abbandonare una piattaforma che sta affondando ma continuare a restare collegati alle comunità che ci si lascia alle spalle, fruendo dei media e delle app acquistate, e preservando i dati creati:

https://www.eff.org/interoperablefacebook

I Nethead avevano ragione: l’autodeterminazione tecnologica è contraria agli imperativi naturali delle aziende tecnologiche. Guadagnano più soldi quando ci portano via la libertà: la nostra libertà di parlare, di andarcene, di collegarci.

Per molti anni, persino i critici di Tiktok hanno ammesso a malincuore che per quanto fosse sorvegliante e inquietante, era veramente abile a indovinare cosa volevi vedere. Ma Tiktok non ha potuto resistere alla tentazione di mostrarti le cose che vuole che tu veda invece delle cose che vuoi vedere tu. L’immerdificazione è cominciata, ed è improbabile che ora si fermi.

È troppo tardi per salvare Tiktok. Ora che è stato infettato dall’enshittification, non ci resta che ucciderlo dandogli fuoco [riferimento al meme “kill it with fire”, N.d.T.].

---

2023/03/12. Chi mi conosce sa che non sono un amante della volgarità e del turpiloquio, per cui ho tradotto enshittification con una certa dose di apprensione e disagio. Ma in mio soccorso è giunta Licia Corbolante (@terminologia), che approva il termine:

2023/01/25

Metaverso per ciechi e ipovedenti, pronto il video

Il video della mia recente conferenza sul metaverso per ciechi e ipovedenti (ma in generale per tutti) è ora disponibile: l’ho aggiunto all’articolo originale.

2023/01/24

FAQ: No, non ho una “newsletter”

Ogni tanto mi arriva una mail di qualche lettore che chiede se per caso ho interrotto la “newsletter” di questo blog che riceveva fino a qualche mese prima o se ci sono problemi di invio o ricezione.

Non ho nessuna newsletter: quella che gestivo tramite Peacelink, denominata IxT o Internet per tutti, l’ho chiusa nel 2009, dopo anni di stillicidio di disservizi, perché i filtri antispam e altri problemi di distribuzione la rendevano impraticabile, come ho raccontato per esempio in questo articolo.

Però esistono, o esistevano, alcuni servizi non gestiti da me che inviano via mail i miei post su questo blog: per esempio Feedburner/Feedproxy di Google. Se ricevete i miei articoli via mail, non ve li sto mandando io, ma forse uno di questi servizi: se incontrate problemi, rivolgetevi a loro, perché io non posso farci assolutamente nulla.

Per seguire questo blog consiglio di usare i feed RSS.

 

2023/01/23

Lo strano caso dello spam in latino

Diversi amici e lettori mi hanno segnalato di aver ricevuto una mail in latino che li ha sorpresi moltissimo:

Bonus dies, mi amice, quid agis?

Longissimum tempus. Gaudeo te certiorem facere de meis rebus in accipiendis pecunia illa hereditatis sub cooperatione novi e patria tua translata.

Mox in INDIA sum incepta pro obsidione cum mea portione totius summae. Interim non oblitus sum praeteritorum laborum et conatum adiuvandi me in transferendis illis pecuniarum hereditatibus, quamvis aliquo modo nobis defecerit.

Nunc secretarium meum in LOME Togo Africae occidentalis contactum, nomen eius MRS JESSE ROBERT in inscriptionem electronicam (jessyrobert1991@gmail.com) pete ut tibi summam totalis ($1,500,000.00) tibi mitteret, cuius ego decies centena millia quingenti milia civitatum unitarum. pro recompensatione tua conservata pro omnibus praeteritis laboribus et conatibus me in re gerenda adiuvandum.

Tuam operam per id tempus valde probabam. Libenter igitur senties et contactum secretarii mei MRS JESSE ROBERTI et eam instrue ubi ad te mitteret ATM CARD summae totalis ($1,500,000.00). Fac ut sciam statim a te accipias ut post omnem passionem tunc gaudeam participare possimus. In momento, hic valde occupatus sum propter incepta collocanda, quae cum novo socio meo in manibus habeo, tandem meminerim me mandavisse pro te mandasse secretario meo ut ATM CARD exciperet (1,500,000.00) sic sentire. cum ea libere attingas, quantum tibi sine ulla dilatione mittet.

Optime respicit,
D. Eugenius Albert.

Se vi state chiedendo cosa voglia dire questa strana mail, magari perché l’avete ricevuta anche voi, non è una prolissa formula magica di Harry Potter o una comunicazione del Vaticano: è spam, ma uno spam decisamente originale.

Il latino del messaggio contiene errori grossolani: a un certo punto, per esempio, parla di “civitatum unitarum” dopo aver citato un importo, ma è una traduzione maccheronica di “dollari statunitensi”, ma il suo senso è vagamente traducibile lo stesso se sapete il latino o se ne immettete il testo in un traduttore automatico.

In sintesi, un sedicente “Eugenius Albert” vi ringrazia per averlo aiutato a trasferire una fantomatica eredità da un paese a un altro e vuole ricompensarvi dandovi una altrettanto fantomatica tessera Bancomat sulla quale ci sarebbe un milione e mezzo di dollari di credito. Per riceverla dovete solo contattare il suo secretarium, che sta a Lome, in Togo, e si chiama Jesse Robert. Il signor Albert vi chiede di farlo via mail -- pardon, in inscriptionem electronicam.

È chiaramente un tentativo di truffa, ma resta il mistero del motivo per cui lo spammer/truffatore ha scelto il latino. Potrebbe trattarsi di un modo originale per tentare di eludere i filtri antispam, che sembra aver funzionato, visto che me ne sono arrivate parecchie segnalazioni. Potrebbe anche essere un modo per incuriosire il destinatario. In tal caso, lo spammer forse presume che l’uso del latino non sia un ostacolo, visto che chi è sufficientemente incuriosito probabilmente ha a disposizione un traduttore online per decifrare il contenuto del messaggio.

Le prime ipotesi arrivate:

“Ho una soluzione: il latino è percepito come "Lingua franca della Chiesa", no? Semplicemente si passa dal "principe Nigeriano" all'"ammanicato delle banche Vaticane" come esempio di grande ricchezza” (Bufale.net su Mastodon

“temo che qualcuno, nel configurare il bot, abbia invertito il parametro Latin del set di caratteri al posto del parametro italian inerente la lingua di output del traduttore automatico.” (Informapirata su Mastodon)

Sia come sia, ovviamente non è il caso di rispondere. Haec epistula electronica delenda est.

 

Illustrazione proposta da Lexica.art chiedendo “spammer reading in Latin”.

2023/01/22

Liberare spazio in una casella Gmail eliminando gli allegati ma non le mail: Unattach

Le caselle gratuite di Gmail sono capienti (circa 15 GB) e aumentarne le dimensioni pagando non è difficile. Ma se ricevete o mandate tanti allegati, noterete che riempiono molto spazio. È facile dimenticarsi che un singolo allegato da 10 MB equivale a circa 10.000 mail, in termini di spazio occupato (presumendo che una mail di solo testo occupi mediamente 1 KB).

La soluzione semplice è cancellare le mail che contengono allegati pesanti che non vi servono più: è possibile elencarle andando in Gmail e digitando nella casella di ricerca

has:attachment larger:[dimensioni] 

Per esempio,  

has:attachment larger:10M 

elenca tutte le mail che hanno un allegato di dimensioni superiori ai 10 MB. 

Questo filtro può essere affinato ulteriormente, per esempio specificando un mittente se avete qualcuno che vi manda tanti allegati che dopo qualche tempo non vi serve più avere in archivio nella mail. Per esempio,

has:attachment larger:1M from:pippo@pippo-e-pluto.com older_than:1y

elenca tutte le mail con allegato grande almeno 1 MB che avete ricevuto da pippo@pippo-e-pluto.com almeno un anno fa. L’elenco completo degli operatori di Gmail offre molte altre opzioni.

---

Questo metodo, però, ha il difetto che elimina non solo l’allegato ma anche la mail associata all’allegato. Se avete bisogno di conservare la mail, che è leggera, ma non il suo ingombrante allegato, per esempio per tenere traccia di comunicazioni di lavoro, in Gmail non c’è modo di farlo. Alcuni client, come per esempio Thunderbird, offrono quest’opzione, ma Gmail no.

Una soluzione è la web app Unattach, che consente appunto di eliminare gli allegati lasciando però intatte le mail corrispondenti; l’allegato viene sostituito da una nota, in calce alla mail, che descrive l’allegato rimosso.

Per usare Unattach, che è gratuita nella versione limitata a 30 mail/mese e costa 10 euro/dollari/franchi l’anno nella versione Basic che non ha questo limite, si va a https://unattach.app e si clicca su Get Started o su Try with our free plan, poi si clicca su Sign up with Google (oppure si crea un account con mail e password), si accetta la richiesta di collegare il proprio account Gmail a Unattach (è un permesso revocabile), si accettano le condizioni d’uso e l’informativa sulla privacy e si clicca su Start Unattach.

Fatto questo, si clicca su Sign in to Gmail per dare gli ulteriori consensi (Unattach deve poter leggere e scrivere nell’account di posta) e si può cominciare.

Nella scheda Basic search si può fare una ricerca semplice, basata sulle dimensioni degli allegati: compare un elenco delle mail che soddisfano il criterio, ordinabile per dimensioni, data, mittente e oggetto.

Nella scheda Advanced search, invece, si possono immettere gli stessi operatori che si possono usare in Gmail, e quindi per esempio si possono cercare le mail che hanno allegati e sono state inviate da uno specifico mittente prima di una certa data.

Si può scegliere di cancellare la mail, scaricare gli allegati, rimuoverli o ridurne le dimensioni se sono immagini. Fatto questo, si selezionano le mail che interessano, si clicca su Process Selected Emails, e il gioco è fatto. Nel mio caso ho 2265 mail con allegati risalenti a più di due anni fa provenienti da un singolo cliente; ho già salvato in archivio gli allegati e quindi non mi serve tenerli nella casella di mail. Eliminarli mi libererà quasi 3 GB di spazio su Gmail, dopo che avrò vuotato il Cestino di Gmail (volendo, si può automatizzare questa vuotatura andando nelle Advanced Options).

Le mail alle quali è stato rimosso l’allegato ora hanno in calce un avviso se le apro in Gmail:

Se usate (anche) un client di posta in IMAP, come me, la modifica ci metterà un po’ ad arrivare anche alla copia locale delle mail. E ovviamente l’eliminazione degli allegati riduce anche lo spazio occupato sul disco locale dalla mail.

La spiegazione del metodo usato da Unattach è fornita in questo articolo, che sottolinea che Unattach è una web app che gira localmente nel browser dell’utente e usa le API di Google per accedere alla mail dell’utente; le mail non vengono mandate agli sviluppatori di Unattach o ad altri, come descritto nell’informativa sulla privacy. Questo, però, significa che l’app non è un fulmine: eliminare qualche migliaio di allegati richiede un’oretta abbondante.

Passare alla versione a pagamento è facile: si può pagare con PayPal o con le principali carte di credito.