Il primo passo per condurre sforzi di propaganda online e campagne di disinformazione è quasi sempre un falso profilo sui social media. I profili falsi di persone inesistenti si insinuano nelle reti sociali di persone reali, dove possono diffondere le loro falsità. Ma né le aziende di social media né le innovazioni tecnologiche offrono modi affidabili per identificare e rimuovere i profili di social media che non rappresentano persone autentiche reali.

Potrebbe sembrare positivo che in sei mesi tra la fine del 2017 e l’inizio del 2018, Facebook abbia rilevato e sospeso circa 1,3 miliardi di account falsi. Ma si stima che dal 3 al 4 per cento degli account che rimangono, o circa 66 milioni a 88 milioni di profili, sono anche falsi ma non sono ancora stati rilevati. Allo stesso modo, le stime sono che dal 9 al 15 per cento dei 336 milioni di account di Twitter sono falsi.

I profili falsi non sono solo su Facebook e Twitter, e non stanno prendendo di mira solo le persone negli Stati Uniti. Nel dicembre 2017, i funzionari dell’intelligence tedesca hanno avvertito che gli agenti cinesi che utilizzano falsi profili LinkedIn stavano prendendo di mira più di 10.000 dipendenti del governo tedesco. E a metà agosto, l’esercito israeliano ha riferito che Hamas stava usando profili falsi su Facebook, Instagram e WhatsApp per intrappolare i soldati israeliani a scaricare software dannoso.

Anche se le aziende di social media hanno iniziato ad assumere più persone e ad utilizzare l’intelligenza artificiale per individuare i profili falsi, questo non sarà sufficiente per rivedere ogni profilo in tempo per fermare il loro uso improprio. Come la mia ricerca esplora, il problema non è in realtà che le persone – e gli algoritmi – creano profili falsi online. Ciò che è veramente sbagliato è che le altre persone ci cascano.

La mia ricerca sul perché così tanti utenti hanno difficoltà a individuare i profili falsi ha identificato alcuni modi in cui le persone potrebbero migliorare nell’identificare gli account falsi – e mette in evidenza alcuni luoghi in cui le aziende tecnologiche potrebbero aiutare.

Le persone cadono per i profili falsi

Per capire i processi di pensiero degli utenti dei social media, ho creato profili falsi su Facebook e inviato richieste di amicizia a 141 studenti di una grande università. Ognuno dei profili falsi variava in qualche modo – come avere molti o pochi amici falsi, o se c’era una foto del profilo. L’idea era quella di capire se uno o un altro tipo di profilo aveva più successo nell’essere accettato come connessione dagli utenti reali – e poi sondare le persone incappucciate per scoprire come è successo.

Ho scoperto che solo il 30% delle persone prese di mira ha rifiutato la richiesta da una persona falsa. Quando è stato intervistato due settimane dopo, il 52% degli utenti stava ancora considerando di approvare la richiesta. Quasi uno su cinque – il 18 per cento – aveva accettato subito la richiesta. Di quelli che l’hanno accettata, il 15 per cento aveva risposto alle richieste del profilo falso con informazioni personali come il loro indirizzo di casa, il loro numero di identificazione dello studente e la loro disponibilità per uno stage part-time. Un altro 40 per cento di loro stava pensando di rivelare dati privati.

Ma perché?

Quando ho intervistato le persone reali che i miei profili falsi avevano preso di mira, la cosa più importante che ho scoperto è che gli utenti credono fondamentalmente che ci sia una persona dietro ogni profilo. Le persone mi hanno detto di aver pensato che il profilo appartenesse a qualcuno che conoscevano, o forse a qualcuno che conosceva un amico. Nessuna persona ha mai sospettato che il profilo fosse una completa invenzione, creata espressamente per ingannarli. Pensare erroneamente che ogni richiesta di amicizia provenga da una persona reale può indurre le persone ad accettare richieste di amicizia semplicemente per essere educati e non ferire i sentimenti di qualcun altro – anche se non sono sicuri di conoscere la persona.

Inoltre, quasi tutti gli utenti dei social media decidono se accettare una connessione in base ad alcuni elementi chiave nel profilo del richiedente – principalmente quanti amici ha la persona e quanti collegamenti reciproci ci sono. Ho scoperto che le persone che hanno già molte connessioni sono ancora meno esigenti, approvando quasi tutte le richieste che arrivano. Quindi anche un profilo nuovo di zecca fa qualche vittima. E con ogni nuova connessione, il profilo falso appare più realistico, e ha più amici in comune con altri. Questa cascata di vittime è il modo in cui i profili falsi acquisiscono legittimità e si diffondono.

La diffusione può essere veloce perché la maggior parte dei siti di social media sono progettati per far tornare gli utenti, controllando abitualmente le notifiche e rispondendo immediatamente alle richieste di connessione. Questa tendenza è ancora più pronunciata sugli smartphone – il che potrebbe spiegare perché gli utenti che accedono ai social media su smartphone sono significativamente più propensi ad accettare richieste di profili falsi rispetto agli utenti di computer desktop o portatili.

Illusioni di sicurezza

E gli utenti possono pensare di essere più sicuri di quanto non siano in realtà, assumendo erroneamente che le impostazioni della privacy di una piattaforma li proteggano dai profili falsi. Per esempio, molti utenti mi hanno detto che credono che i controlli di Facebook per concedere un accesso diverso agli amici rispetto agli altri li proteggano anche dai falsari. Allo stesso modo, molti utenti di LinkedIn mi hanno detto che credono che, poiché pubblicano solo informazioni professionali, le conseguenze potenziali per l’accettazione di connessioni disoneste su di esso sono limitate.

Ma questo è un presupposto errato: Gli hacker possono usare qualsiasi informazione ottenuta da qualsiasi piattaforma. Per esempio, semplicemente sapendo su LinkedIn che qualcuno sta lavorando in qualche azienda li aiuta a creare email per la persona o altre persone dell’azienda. Inoltre, gli utenti che incautamente accettano richieste supponendo che i loro controlli sulla privacy li proteggano, mettono in pericolo altre connessioni che non hanno impostato i loro controlli allo stesso livello.

Cercare soluzioni

Utilizzare i social media in modo sicuro significa imparare a individuare profili falsi e utilizzare correttamente le impostazioni della privacy. Ci sono numerose fonti online per i consigli, comprese le pagine di aiuto delle piattaforme stesse. Ma troppo spesso si lascia agli utenti il compito di informarsi da soli, di solito dopo che sono già stati vittime di una truffa sui social media – che inizia sempre con l’accettazione di una richiesta falsa.

Gli adulti dovrebbero imparare – e insegnare ai bambini – come esaminare attentamente le richieste di connessione per proteggere i loro dispositivi, profili e post da occhi indiscreti, e loro stessi dall’essere malintenzionati. Ciò include la revisione delle richieste di connessione durante i periodi liberi da distrazioni del giorno e l’uso di un computer piuttosto che uno smartphone per controllare le potenziali connessioni. Si tratta anche di identificare quali dei loro amici reali tendono ad accettare quasi ogni richiesta di amicizia da chiunque, rendendoli anelli deboli nella rete sociale.

Questi sono i luoghi in cui le aziende di piattaforme di social media possono aiutare. Stanno già creando meccanismi per tracciare l’uso delle app e per mettere in pausa le notifiche, aiutando le persone ad evitare di essere inondate o di dover reagire costantemente. Questo è un buon inizio – ma potrebbero fare di più.

Per esempio, i siti di social media potrebbero mostrare agli utenti indicatori di quante delle loro connessioni sono inattive per lunghi periodi, aiutando le persone ad eliminare le loro reti di amici di tanto in tanto. Potrebbero anche mostrare quali connessioni hanno improvvisamente acquisito un gran numero di amici, e quali accettano percentuali insolitamente alte di richieste di amicizia.

Le aziende di social media devono fare di più per aiutare gli utenti a identificare e segnalare profili potenzialmente falsi, aumentando il loro personale e gli sforzi automatici. I siti di social media hanno anche bisogno di comunicare tra loro. Molti profili falsi sono riutilizzati in diversi social network. Ma se Facebook blocca un fake, Twitter potrebbe non farlo. Quando un sito blocca un profilo, dovrebbe inviare informazioni chiave – come il nome del profilo e l’indirizzo email – ad altre piattaforme in modo che possano indagare e potenzialmente bloccare la frode anche lì.