OSINT e AI: pattern recognition o fabbrica di false evidenze?

Dall’intervento di Mirko Lapi, CEO di Proteggimi Srl, alla 14ª Cyber Crime Conference (Roma, 6-7 maggio 2026).

Un esercizio per cominciare

Mirko Lapi ha aperto l’intervento con un esercizio che ripete da circa tre anni davanti a ogni nuova platea: chiedere ai presenti di cercare, in due minuti, tutte le notizie su cyber attack pubblicate nella directory mondo del sito di Ansa. Nel 99,9% dei casi, anche davanti a una platea tecnicamente preparata, il risultato è zero.

Qualche partecipante ottiene quattro risultati perché dimentica di restringere la ricerca alla directory; molti altri si affidano a ChatGPT o a strumenti analoghi, senza considerare che non sono motori di ricerca e non restituiscono risultati paragonabili a quelli di una query ben formulata.

L’esercizio non è un trucco da palco: riproduce in scala una condizione operativa quotidiana. Sovraccarico informativo, tempi decisionali compressi, tendenza ad agire prima di aver compreso il problema. Quando l’esigenza informativa di partenza non è né chiara né accurata, affidarsi alla tecnologia diventa estremamente pericoloso. Quando invece la query viene formulata con precisione, si passa da zero risultati a diverse centinaia di occorrenze pertinenti. È il presupposto metodologico dell’intero intervento: la tecnologia non sostituisce la formulazione del problema.

Lo scenario: 40 minuti, 300 account, due alias inventati

Lapi ha quindi presentato uno scenario tratto dalla pratica operativa. Un analista, con uno strumento di intelligenza artificiale a disposizione, ricostruisce in circa 40 minuti una rete criminale di 300 account. Identifica tre alias riconducibili alla stessa persona. Il report è coerente: grafici, fonti citate, narrazione fluida. Per caso, l’analista decide di verificare. Due dei tre alias sono inventati. Non da avversari interessati a disinformare, ma dallo stesso strumento di analisi.

La mente umana, ha sottolineato Lapi, quando intercetta qualcosa di coerente difficilmente lo mette in discussione. Da qui nasce la domanda che dà il titolo all’intervento: pattern recognition o fabbrica di false evidenze? Una domanda che, secondo il relatore, dovrebbe accompagnare ogni utilizzo di qualsiasi strumento di intelligenza artificiale.

Il caso degli IT worker nordcoreani

Il primo caso analizzato riguarda l’infiltrazione di lavoratori IT nordcoreani nelle aziende statunitensi: una delle operazioni di intelligence economica più sofisticate documentate nell’era cyber, e tuttora in corso.

I numeri danno la misura del fenomeno: il Dipartimento di Stato statunitense stima circa 800 milioni di dollari di proventi nel solo 2024; il caso Chapman ha portato alla luce oltre 300 organizzazioni infiltrate; CrowdStrike, nel Threat Hunting Report presentato al Black Hat, indica un incremento del 220% dei casi fraudolenti nel 2025, con quasi un tentativo al giorno; il 90% del salario percepito dagli operatori viene canalizzato direttamente al regime nordcoreano e, nel caso Chapman, è stato verificato che i proventi confluiscono nella divisione che sviluppa i missili balistici.

Il vettore d’attacco, ha osservato Lapi, non è un exploit. È un curriculum. Una minaccia che colpisce in modo specifico chi non è sensibilizzato a questo profilo di rischio, a partire dalle funzioni HR. Roman Rozhavsky, Assistant Director della Counterintelligence Division dell’FBI, ha sintetizzato così il contesto: il Covid ha aperto il vaso di Pandora, ogni lavoro è diventato virtuale, e virtuale vuol dire accessibile.

Come l’avversario usa l’AI

Lo schema operativo si fonda su quattro elementi tecnici:

1. Face-swapping in tempo reale nei colloqui video. Il volto è in diretta, le micro-espressioni sono impercettibili, ma il soggetto è sintetico. Il video-colloquio non garantisce più l’identità.
2. Profili LinkedIn e CV generati da AI. Storie lavorative credibili, endorsement verosimili, portfolio GitHub con commit distribuiti nel tempo per simulare attività reale. Bastano pochi minuti per costruire un profilo che resta indistinguibile a occhio nudo.
3. Laptop farm più accesso remoto KVM. Facilitatori statunitensi, spesso reclutati tramite campagne mirate su persone in difficoltà economica, ricevono i device aziendali. Gli operatori nordcoreani li controllano da remoto da Cina, Russia, Nigeria o Emirati Arabi Uniti. L’IP risulta statunitense e il geofencing perde di efficacia.
4. Post-infiltrazione, data extortion. Quando vengono scoperti, gli operatori non spariscono: esfiltrano codice sorgente e dati ITAR (International Traffic in Arms Regulations), e ricattano l’azienda.

Una progressione triennale

La progressione delle attività di contrasto è significativa, ma non ha eliminato la minaccia.

Nel 2022 il primo advisory congiunto FBI–OFAC–Dipartimento del Tesoro segnala una minaccia strutturata.

Nel maggio 2024 viene arrestata in Arizona Christina Chapman, prima cittadina statunitense a finire sotto condanna: 309 organizzazioni infiltrate, 17,2 milioni di dollari di proventi illeciti accertati.

Nell’ottobre 2024 vengono perquisiti otto siti in tre Stati, con il sequestro di oltre settanta laptop dotati di dispositivi KVM e l’abbattimento di quattro domini.

Nel gennaio 2025 un Public Service Announcement dell’Internet Crime Complaint Center dell’FBI documenta pubblicamente l’escalation verso la data extortion post-scoperta.

Nel febbraio 2025 Chapman viene condannata a 102 mesi di detenzione federale (otto anni e mezzo) con tre anni di libertà condizionata.

Nel giugno 2025 un’operazione nationwide porta al sequestro di 21 laptop farm in 14 Stati, 137 laptop, 17 domini e 29 conti bancari.

Tra le organizzazioni infiltrate figurano media pubblici e aziende tecnologiche della Silicon Valley: misurare l’impatto in termini di know-how acquisito resta tuttora complesso.

Dal conflitto ucraino a quello iraniano: la guerra informativa

Lapi è passato quindi al terreno dei conflitti armati, definiti il primo laboratorio in tempo reale sull’utilizzo dell’intelligenza artificiale in scenari di guerra. Tre categorie distinte di operazioni, diffuse poi anche in altri contesti.

Deepfake offensivi di Stato. Marzo 2022: un video del presidente Zelensky che chiede alle sue truppe di arrendersi. La contro-narrativa ucraina lo smonta in poche ore, ma il contenuto è già virale su Telegram, con milioni di visualizzazioni.

Falsa geolocalizzazione tattica. Immagini e video di movimenti di truppe: alcuni reali, alcuni sintetici, alcuni semplicemente decontestualizzati.

Autenticazione inversa. È la categoria sulla quale Lapi ha invitato a soffermarsi: prove reali contestate come deepfake. Il semplice sospetto neutralizza l’evidenza. Produrre dubbio è quasi gratuito; rimuoverlo è costosissimo, in alcuni casi impossibile, anche per la rapidità con cui le notizie vengono consumate. Il problema, ha sintetizzato il relatore, non è solo rilevare cosa è falso: è mantenere la catena di custodia epistemica di ciò che è vero. Un concetto mutuato dall’ambito forense, applicato al tracciamento delle fonti primarie e allo sviluppo dello spirito critico individuale.

Il presupposto, ha sottolineato Lapi, è che non esistono fonti neutrali, in natura: ogni fonte presenta un’inclinazione ideologica, politica, sociale, economica o culturale. Vale per i media, vale per gli analisti, vale per lo stesso relatore. Se non si comprende da quale prospettiva si sta osservando un fenomeno, la strada che si potrà percorrere sarà breve.

A titolo di esempio, il relatore ha mostrato due contenuti recenti relativi al conflitto iraniano: un’immagine generata dall’AI di un bombardiere B-2 abbattuto (ovviamente mai abbattuto); e un video diffuso come prova di un attacco missilistico contro una scuola, ricondotto in fase di verifica a riprese effettuate a oltre 1.500 km di distanza e in giornate precedenti.

I limiti strutturali dell’AI nell’OSINT

Lapi ha quindi formalizzato cinque limiti strutturali che, a suo avviso, ogni analista dovrebbe interiorizzare prima di impiegare strumenti di AI in attività di Open Source Intelligence.

L’allucinazione è strutturale, non è un bug. Il modello è progettato per produrre output plausibili: quando incontra un vuoto informativo, lo colma. È la stessa logica con cui opera la mente umana, che non accetta i vuoti informativi e li riempie con ciò che ha in memoria. I Large Language Model fanno esattamente la stessa cosa.

Il bias di addestramento replica le narrative dominanti. I modelli anglofoni producono distorsioni invisibili quando vengono interrogati su reti criminali attive in contesti mediorientali, africani o est-asiatici.

La falsa evidenza ha la stessa forma e struttura di quella reale. Un report AI con grafici, fonti citate e formattazione professionale non presenta marker visivi dell’errore. E delegare la verifica a un secondo modello non risolve il problema, se quel secondo modello ne condivide i bias.

L’avversario conosce i nostri strumenti. Chi addestra un detector di deepfake specifico può vederselo aggirato da un avversario che addestra il proprio modello esattamente per eluderne le difese. Il campo è simmetrico.

La velocità è un rischio, non solo un vantaggio. Dieci minuti di AI contro dieci ore di analista umano: se in quei dieci minuti non si introduce una verifica, l’errore si propaga.

Investigatori e avversari usano gli stessi strumenti

A illustrare la simmetria, Lapi ha richiamato due categorie di casi reali. Sul fronte dell’inganno in fase di selezione: KnowBe4, a sua volta vittima di una campagna nordcoreana, ha identificato l’infiltrazione 25 minuti dopo l’assunzione; il caso Arup, dove una videoconferenza con deepfake multipli ha portato il dipendente a disporre quindici bonifici per un totale di 25 milioni di dollari.

Sul fronte della costruzione di reti coordinate: Doppelganger, con la creazione di domini molto simili a quelli di testate come Spiegel, Ansa e Bild per veicolare campagne di disinformazione; Spamouflage, descritta da Meta come una delle più grandi operazioni coperte mai documentate dalla piattaforma.

Quattro principi operativi per l’analista AI-augmented

In chiusura, Lapi ha proposto quattro principi che ritiene inderogabili.

Separare generazione e verifica. L’AI genera ipotesi e correlazioni; l’analista verifica su fonti primarie indipendenti. Il relatore ha aggiunto che, nelle organizzazioni sane, ricerca e analisi sono attività distinte, idealmente affidate a soggetti diversi, così da impedire che un bias culturale, organizzativo o cognitivo si propaghi lungo l’intera catena.

Documentare il processo, non solo l’output. Quale modello, quale prompt, quale versione, quale fonte. Un’allucinazione non verificata in un fascicolo processuale, ha osservato, è una bomba a orologeria.

Calibrare la fiducia sull’incertezza, non sulla coerenza. Un output ben formattato non è affidabile per ciò solo. La metrica corretta è la verificabilità indipendente.

Conoscere i propri strumenti come l’avversario li conosce. Chi utilizza AI generativa deve farlo in cognizione di causa, consapevole di stare delegando a un sistema statistico-probabilistico parte del proprio lavoro.

Il precedente del Tribunale di Siracusa

A sostegno del secondo principio, Lapi ha richiamato un precedente italiano recente: la sentenza n. 338 del 20 febbraio 2026 del Tribunale di Siracusa, che ha sanzionato un avvocato del Foro di Milano con circa trentamila euro. Il professionista aveva inserito in una memoria difensiva quattro precedenti della Corte di Cassazione, con virgolette e passaggi testuali, generati da un Large Language Model e mai verificati sul CED della Suprema Corte.

La sentenza fissa tre principi: la conoscenza del funzionamento statistico-probabilistico degli LLM è oggi fatto notorio, esigibile da qualsiasi professionista; l’allucinazione è un rischio prevedibile, non un imprevisto; l’uso acritico di questi strumenti, in assenza di verifica sulla fonte primaria, integra gli estremi della colpa grave.

La domanda giusta

Lapi ha concluso ribadendo che l’AI non sostituisce l’analista: lo potenzia o lo inganna. La differenza sta nel metodo. La domanda non è se possiamo permetterci di utilizzare l’intelligenza artificiale: gli avversari la stanno già usando. La domanda vera, ha ribadito, è se disponiamo di un metodo capace di distinguere ciò che l’AI ha trovato da ciò che ha inventato. Se la risposta è sì, il valore aggiunto è reale. Se la risposta è no, va detto con onestà intellettuale, sapendo che il rischio è alimentare in prima persona una fabbrica di false evidenze.