Un’intelligenza artificiale non legge un SMS come lo leggiamo noi. Non si fa ingannare dal logo giusto né dalla grammatica perfetta: guarda altro. E proprio per questo, a volte, prende un abbaglio dove un essere umano capirebbe al volo. Viaggio dentro il modo in cui una macchina impara a fiutare l’inganno.
Provate a immaginare due lettori davanti allo stesso messaggio: “Gentile cliente, abbiamo rilevato un accesso sospetto al suo conto. Confermi i suoi dati entro 24 ore per evitare il blocco.”
Il primo lettore è una persona. Legge le parole, riconosce il nome della banca, magari nota il logo, e in mezzo secondo decide: mi fido o no. Decide con la pancia, sull’onda di com’è fatta la sua giornata — di corsa, distratto, o giusto un po’ in ansia perché aspettava davvero una comunicazione dalla banca.
Il secondo lettore è una macchina. E la cosa sorprendente è che non legge affatto quel messaggio come lo leggiamo noi. Non “capisce” la frase nel senso in cui la capiamo noi: la scompone, la misura, la confronta con milioni di altri messaggi visti prima. Il senso, per lei, viene dopo. Prima vengono gli indizi.
Da qualche tempo, in Strategic, ci occupiamo esattamente di questo: addestrare un sistema di intelligenza artificiale a riconoscere le truffe. E il modo in cui una macchina “fiuta” l’inganno è abbastanza diverso dal nostro da meritare un racconto — anche perché, capito come ragiona lei, si impara a ragionare meglio anche noi.
Ecco, semplificando molto, le cose che una macchina guarda quando le passa davanti un messaggio sospetto.
Uno: l’orologio nascosto dentro le parole. La prima cosa che salta all’occhio di un sistema addestrato non è cosa chiede il messaggio, ma quanta fretta mette. “Entro 24 ore”, “subito”, “ultimo avviso”, “o il conto verrà bloccato”. La macchina ha imparato che l’urgenza è l’ingrediente numero uno di quasi ogni truffa, perché serve a un solo scopo: impedirti di fermarti a pensare. Un messaggio vero della tua banca, quasi sempre, non ti mette il cronometro addosso. Un truffatore sì, sempre.
Due: la destinazione, non l’etichetta. Noi guardiamo come si presenta un link — “Poste”, “la mia banca”, il nome giusto. La macchina se ne infischia dell’etichetta e guarda dove porta davvero quel link: l’indirizzo vero, nascosto sotto le parole. È lì che l’inganno si smaschera, perché il nome può essere qualsiasi, ma la destinazione no. Una banca sammarinese non ti manda a un indirizzo che finisce in modo strano, ospitato chissà dove. Per un occhio di fretta è invisibile; per una macchina è la prima cosa che controlla.
Tre: la richiesta impossibile. Ci sono cose che nessun ente vero chiederà mai via messaggio: il PIN, la password completa, il codice usa-e-getta che arriva per confermare un pagamento, il numero della carta per intero. La macchina tiene una lista mentale di queste “richieste impossibili” e, appena ne vede una, alza la bandiera. Perché una banca che ti chiede la password è come un medico che ti chiede la diagnosi: se succede, qualcosa non torna.
Quattro: il travestimento troppo perfetto. Qui arriva il punto che spiazza tutti. Per anni ci hanno insegnato a diffidare dei messaggi scritti male, con gli errori di grammatica. Oggi è il contrario: le truffe migliori sono scritte in un italiano impeccabile, perché anche i truffatori usano l’intelligenza artificiale. Così una macchina addestrata bene ha dovuto imparare la lezione più difficile: la perfezione della lingua non prova niente. Non è più un segnale di sicurezza. Anzi, un messaggio inaspettato e improvvisamente perfetto, che ti chiede qualcosa di urgente, oggi merita più sospetto, non meno.
Cinque: il contesto che non torna. Un sistema evoluto non guarda solo il singolo messaggio: guarda se ha senso. Una banca dove non hai un conto che ti scrive del “tuo conto”. Un corriere che annuncia un pacco che non aspettavi. L’ufficio pubblico che ti manda un SMS quando finora ti ha sempre mandato una lettera. È lo stridore tra il messaggio e la realtà — e spesso è l’unico indizio che resta, quando tutto il resto è fatto bene.
Fin qui sembra che la macchina sia infallibile. Non lo è, e sarebbe disonesto raccontarlo così.
Perché la stessa macchina che smaschera il link nascosto può prendere un abbaglio clamoroso dove un bambino capirebbe al volo. Non conosce San Marino come lo conosciamo noi: può non sapere che una certa comunicazione, qui, è del tutto normale. Può insospettirsi per un messaggio genuino solo perché è insolito, e — al contrario — lasciar passare una truffa nuova, mai vista prima, che non somiglia a nulla di ciò che ha imparato. La macchina è bravissima a riconoscere gli schemi che ha già visto. È l’imprevisto che la mette in difficoltà. Esattamente il contrario di noi, che sull’imprevisto a volte ci salviamo con il buonsenso, ma sugli schemi ripetuti caschiamo per distrazione.
Ed è qui la cosa più interessante che abbiamo imparato costruendo questo sistema: la macchina e la persona sbagliano in punti diversi. Dove è debole l’una, spesso è forte l’altra. La macchina non si distrae mai, non ha fretta, non prova ansia, controlla il link che noi non guardiamo mai. Noi conosciamo il contesto, la nostra vita, il nostro Paese, e su una truffa mai vista possiamo accorgerci che “c’è qualcosa che non va” anche senza saper dire cosa.
La difesa migliore, insomma, non è la macchina al posto della persona. È la macchina insieme alla persona: un secondo paio d’occhi che guarda proprio le cose che noi, presi dalla giornata, saltiamo — e che poi lascia a noi la decisione finale, quella che richiede di sapere chi siamo, cosa aspettavamo, di chi ci fidiamo.
È esattamente l’idea a cui stiamo lavorando: mettere questo “secondo paio d’occhi” a disposizione di chiunque, gratuitamente, nel modo più semplice possibile. Ma di questo, molto presto, torneremo a parlarvi con qualcosa di concreto.
Nel frattempo, la prossima volta che vi arriva un messaggio che vi mette fretta, provate a fare quello che farebbe la macchina: non guardate il nome. Guardate l’orologio nascosto dentro le parole. Se c’è, avete già la prima risposta.
Strategic.sm è una società sammarinese che si occupa di sicurezza informatica e intelligenza artificiale; l’esperimento di cui vi parliamo lo potete testare anche voi all’indirizzo https://truffometro.com/





