LET’S TALK & CONNECT

I robot, anche quelli senza le gambe, amano le scarpe da tennis. Più precisamente, quelle da running e da basket. Può sembrare un’affermazione curiosa, ma c’è di più. I Bot, programmi che navigano per la rete e compiono azioni in autonomia (un po’ come gli agenti AI, ma senza AI), amano anche i concerti, le collezioni limitate, i memorabilia, le merci vendute con forti sconti e tutto quello di esclusivo che può essere comprato sul Web per essere rivenduto a un prezzo più alto. Con l’avvicinarsi delle stagioni di punta per il commercio elettronico, come il Black Friday e il Natale, il fenomeno dei bot-scalper, come vengono definiti quelli specializzati nello shopping, assume dimensioni sempre più rilevanti. Il recente blog post di Akamai intitolato “Put Your Best Foot Forward: The Impact of Sneaker Bots on Holiday Shopping” punta i riflettori su questo fenomeno e spiega come i bot progettati per accaparrarsi oggetti in edizione limitata abbiano un effetto distorsivo sul mercato e, parallelamente, vadano di pari passo con campagne massive di credential stuffing.

Cosa sono i “sneaker bots” e perché rappresentano un rischio

Nel linguaggio tecnico i sneaker bots sono programmi malevoli (o comunque strumenti di abuso) ideati per automatizzare la prenotazione o l’acquisto di beni in edizione limitata. Il nome nasce dal settore delle sneaker di lusso, ma l’applicazione si estende ben oltre. Tali bot possono partecipare a lanci “flash” di prodotti, restock di merci particolarmente richieste o semplici campagne promozionali con disponibilità ristretta.

L’utilizzo di questi bot oltre a generare un danno immediato al consumatore che non riesce ad accedere alle merci in disponibilità ridotta, crea per il rivenditore diversi problemi. Si parte dalla customer experience potenzialmente disastrosa perché i sistemi rallentano sotto la pressione delle centinaia di operazioni al secondo compiute dai bot, ai costi per fronteggiare questa improvvisa richiesta di potenza elaborativa per arrivare, infine, alla perdita di fiducia da parte dei clienti in carne e ossa che etichettano il servizio come poco affidabile o addirittura “truffaldino”. In aggiunta, l’intervento dei bot favorisce la rivendita a prezzi notevolmente maggiorati (con margini che possono raggiungere anche migliaia di percentuale) acclimatando un mercato secondario fortemente speculativo.

Ma è legale tutto ciò? Da questo punto di vista, non esista un divieto generalizzato per tutti i contesti di utilizzo, Ci sono molti bot che fanno cose utili, primi tra tutti i crawler dei motori di ricerca che permettono ai siti di esser trovati facilmente dagli utenti, ma se lo scopo del bot è quello di ottenere vantaggi ingiusti o illeciti, allora si configura un reato, come andremo a vedere di seguito. Un reato molto difficile da perseguire, però.

Credential stuffing: l’altra faccia dell’abuso automatizzato

Parallelamente al fenomeno dei bot per acquisti privilegiati, un’altra pratica rilevante nell’uso dei bot è quello che viene definito credential stuffing: quell’attività in cui credenziali (username + password) già compromesse vengono riutilizzate automaticamente su altri siti, grazie alla capacità dei bot di testare migliaia di combinazioni in pochi minuti.

La ragione per la quale tale strategia risulta così efficace è la persistente abitudine degli utenti a riutilizzare le stesse credenziali su più servizi. Quando un attaccante ottiene username/password grazie a una violazioe informatica, può lanciare un attacco automatico verso altri servizi tentando l’autenticazione con le vecchie credenziali. Se va a segno, il criminale può avere accesso a conti sensibili, dati personali o sistemi di pagamento. L’automazione di questo processo – ossia l’uso dei bot – amplifica la scala dell’attacco rendendolo economicamente vantaggioso per l’attaccante.

Dal punto di vista delle aziende, tale rischio va interpretato non solo come compromissione di account, ma anche come possibile effetto collaterale su infrastrutture legacy, credenziali mal gestite, o sistemi di registrazione poco protetti.

Product scraping: come la concorrenza ci spia a spese nostre

Un altro utilizzo molto comune dei bot è quello del controllo della concorrenza. Un’azienda può creare, o pagare qualcuno per farlo, un bot che raccolga l’elenco dei prodotti della concorrenza e tenga sotto controllo i prezzi applicati per poter regolare di conseguenza i propri. Apparire nelle liste di acquisto di Google a qualche euro in meno rispetto ai concorrenti, e a volte bastano anche pochi spiccioli, garantisce un ritorno di attenzione costante e ben mirato. Inoltre, un sistema simile basato su bot permette di controbattere in tempi brevissimi alle offerte speciali dei concorrenti, limitandone l’efficacia e, anzi, sfruttando il loro marketing per guadagnare visibilità.

Cosa fare, quindi, contro questi robot in scarpe da tennis?

Abbiamo ovviamente giocato un po’ con l’immagine del robot in scarpe da tennis per parlare di questo problema ancora poco conosciuto, ma dalle implicazioni molto serie. Come abbiamo visto, le implicazioni per chi fornisce servizi o prodotti online sono molteplici e tutte comportano una componente finanziaria, diretta o indiretta, che può diventare importante: dai costi per gestire il traffico in più (si stima che oltre il 70% del traffico internet oggi sia creato dai bot), alla perdita di fiducia dei clienti fino ai casi di vero e proprio spionaggio, è ovvio che sia sensato cercare una soluzione al problema.
Il rimedio più immediato è una soluzione “anti-bot”, un sistema che riesce a distinguere gli utenti umani da quelli artificiali e che agisce di conseguenza. Un sistema anti-bot, per esempio, può lasciare campo libero ai bot leciti come quelli dei motori di ricerca e bloccare quelli sconosciuti o che compiono operazioni dannose. Per di più, una volta riconosciuto un bot “malevolo”, si può decidere di alimentarlo con informazioni false, danneggiando i piani di spionaggio del mandante, magari portandolo a compiere azioni che gli si ritorceranno contro.

Ma se queste soluzioni costano troppo? Si ricorre a piccoli accorgimenti che bisogna discutere con chi fornisce l’infrastruttura tecnologica. Si va dall’autenticazione a due fattori per combattere il credential stuffing fino all’implementazione di captcha variabili per bloccare i bot che mirano ad acquisti indiscriminati, passando per il mascheramento di prezzi e disponibilità per trarre in inganno i bot che spiano le nostre mosse. E se facessimo finta di niente? Rischiamo di perdere dei soldi. Ne vale la pena? ricerca e innovazione.