Una settimana fa mi sono imbattuto in due post sponsorizzati su Facebook. I video illustravano, senza troppi giri di parole, come generare deepnude – materiale a sfondo sessuale creato con l’intelligenza artificiale – attraverso un’applicazione. Sebbene la creazione privata di questi contenuti si muova in una zona grigia normativa, la loro condivisione senza consenso è reato. Ma il punto qui è un altro: come la cronaca recente ci insegna, questo materiale non nasce quasi mai con il benestare dei soggetti raffigurati. Peggio ancora: spesso i soggetti sono minori.
L’orrore nel feed: quando l’IA trasforma i minori in merce
Nelle inserzioni in questione venivano utilizzate immagini di bambine, trasformate dall’IA in video a sfondo sessuale. In sintesi: su Meta, per diverse ore, è stato distribuito materiale pedopornografico (o CSAM, Child Sexual Abuse Material) al solo scopo di pubblicizzare un’app, KokoReel. Dopo una settimana dalla segnalazione, cos’è cambiato? Nulla. Le pagine che promuovono queste inserzioni non vengono cancellate, ma al massimo vengono banditi gli annunci, che comunque possono essere rilanciati da nuove o vecchie pagine.
Spulciando la “Libreria inserzioni” di Facebook si possono trovare informazioni preziose, quando verosimili, su chi ci sta vendendo questi servizi. Quasi tutte le campagne di questo tipo, incluse quelle di origine asiatica, sfruttano tracker di terze parti come Adjust. Si tratta di una piattaforma di mobile attribution assolutamente legittima e standard nel mercato, usata per monitorare installazioni e IP, ma che in mani poco scrupolose diventa un potente strumento di profilazione.
Follow the money: 4.000 inserzioni e il ruolo dei tracker
Utilizzando proprio i parametri di Adjust come filtro per isolare questo cluster di inserzionisti, ho scoperchiato un vaso di Pandora: nel momento in cui scrivo, sono attive in Italia oltre 4.000 pubblicità riconducibili a contenuti pornografici, autentici o sintetici. Una parte inquietante di queste utilizza ancora immagini di minori associate a keyword come “Sex Toy”. Chi si nasconde dietro queste nefandezze, da cui Meta continua a incassare proventi pubblicitari?
Una delle app capofila è la già citata KokoReel. Sul Google Play Store vanta circa 10.000 download e una media sospetta di 4,8 stelle (su quasi 4.000 recensioni), numeri che spesso odorano di manipolazione tramite bot. Dietro KokoReel appare inizialmente il nome di Ayin Technology, società di Guangzhou, Cina. Ma basta leggere con attenzione le Privacy Policy per entrare in un labirinto di scatole cinesi. I documenti legali rimandano a un’entità chiamata TrueBond / Character Technologies. E qui scatta il primo campanello d’allarme tecnico: il dominio di riferimento per i documenti legali è turebond.com.
Il gioco delle tre carte: domini fantasma e società offshore
Non è un mio refuso: è scritto proprio così, con la “u” prima della “r”. Un classico esempio di typosquatting o di registrazione frettolosa, tipica di chi lancia app “usa e getta”. La homepage di questo sito mostra solo un errore server (“Welcome to nginx”), senza alcuna informazione societaria. Tuttavia, le app Android distribuite come “TrueBond” puntano proprio a questo dominio fantasma per le loro policy.
Scavando ancora, sullo store lo sviluppatore cambia nome in KeLing Technology Limited, con sede a Hong Kong in Nathan Road. Una rapida verifica rivela che quell’indirizzo è un noto “alveare” di domiciliazioni per migliaia di società offshore. La mail di contatto? Un generico indirizzo Gmail (h6032178@...), un dettaglio che nessuna azienda tecnologica seria utilizzerebbe mai.
La trappola dei Termini di Servizio: dati in ostaggio e nessuna tutela
Se l’infrastruttura è opaca, le condizioni d’uso sono una trappola di cristallo. I termini prevedono una clausola di arbitrato obbligatorio, che impedisce agli utenti di ricorrere ai tribunali ordinari o unirsi in class action. In pratica: se l’app abusa dei tuoi dati, non puoi fargli causa.
E di dati ne prendono tanti. La Privacy Policy delinea un modello di raccolta predatorio: profilazione estesa, raccolta di contenuti generati (UGC), chat testuali e vocali, fino ai dati biometrici degli avatar. Sebbene l’utente mantenga nominalmente la proprietà dei contenuti, concede a TrueBond una licenza “irrevocabile, trasferibile e perpetua” per scopi commerciali.
Il trasferimento dei dati avviene verso server globali (leggi: Cina e Hong Kong) senza le garanzie previste dal GDPR europeo. L’azienda si riserva inoltre il diritto di sospendere account a sua discrezione, mantenendo però i dati raccolti. Un paradosso finale riguarda l’età: i Termini vietano l’uso ai minori di 13 anni, la Policy parla di 17 anni, ma sugli store l’app è classificata come “Teen” o addirittura PEGI-3. Tutto questo per un servizio che promette “baci, abbracci e romanticismo AI”, ma che si pubblicizza con video di bambine svestite.
La domanda è: perché Meta non limita in modo concreto questo tipo di annunci e i suoi inserzionisti? Ah già, la risposta l’abbiamo già. Anzi, ne abbiamo 16 miliardi.
Aiutaci a crescere: lasciaci un like :)