A gennaio 2026, un gruppo di ingegneri che lavorano dentro le più grandi aziende AI americane ha lanciato Poison Fountain — un’iniziativa che invita i gestori di siti web a inserire link che indirizzano i crawler AI verso dati di addestramento deliberatamente corrotti. Il manifesto del progetto cita Geoffrey Hinton e dichiara guerra aperta all’intelligenza delle macchine. Due URL, uno sul web aperto e uno sulla darknet per renderlo impossibile da censurare. Il gesto è radicale, ma la domanda che lo precede è vecchia quanto il potere stesso: quando le regole le scrive chi ti controlla, che forma prende la resistenza?
La risposta, nel 2026, arriva da un ecosistema di strumenti, pratiche e comunità che non aspettano il permesso di nessuno. Adversarial patch che ingannano le telecamere, estensioni browser che annegano i tuoi dati reali in un mare di rumore, dataset avvelenati che sabotano dall’interno i modelli linguistici più potenti del mondo. Non è fantascienza né hacking d’élite: è autodifesa digitale orizzontale, accessibile a chiunque abbia un browser e la volontà di non farsi profilare senza fiatare. Nessuno ti renderà invisibile — chi te lo promette mente. Ma gli strumenti per rendere la sorveglianza algoritmica un po’ meno automatica, un po’ meno economica, un po’ meno inevitabile esistono già. E dietro ogni strumento c’è un pensiero politico che merita di essere compreso, perché la questione non è mai solo tecnica. È sempre, inevitabilmente, una questione di potere.
L’offuscamento come arma impropria
Nel 2015, Finn Brunton e Helen Nissenbaum hanno pubblicato Obfuscation: A User’s Guide for Privacy and Protest, un libro che ha dato un nome e una teoria a qualcosa che gli attivisti praticavano già da anni. La tesi è disarmante nella sua semplicità: quando non puoi uscire dal sistema, quando non puoi rifiutare i termini di servizio senza rinunciare a esistere online, l’unica opzione rimasta è inquinare i dati che il sistema raccoglie su di te. Non scomparire — confondere. Non distruggere la macchina — renderla inaffidabile. È il principio su cui si basano strumenti come AdNauseam e TrackMeNot, creati dalla stessa Nissenbaum insieme a Daniel Howe: il primo clicca automaticamente ogni pubblicità che il tuo browser incontra, annegando il tuo vero profilo commerciale in un diluvio di falsi positivi; il secondo genera ricerche casuali sui motori di ricerca, mescolando i tuoi interessi reali con rumore statistico. Il risultato è che il sistema di profilazione pubblicitaria ti vede come un’entità incoerente, imprevedibile — in altre parole, inutile da sfruttare.
AdNauseam, nel 2026, funziona ancora su Firefox e Brave — Google, ovviamente, l’ha bannato dal Chrome Web Store anni fa, il che dovrebbe dirti tutto su chi ha paura di cosa. L’obiezione classica è che Google rileva i click automatizzati e li filtra, ma la realtà è più sfumata di così: un esperimento del MIT Technology Review ha dimostrato che i sistemi antifrode non intercettano tutti i click generati, e nel frattempo ogni click costa denaro reale agli inserzionisti. Non è sabotaggio economico in senso stretto — è resistenza per attrito. Ogni falso positivo è un granello di sabbia negli ingranaggi di un sistema che funziona solo se il tuo profilo è pulito e affidabile. Moltiplica quel granello per decine di migliaia di utenti e il rumore diventa strutturale, una spina nel fianco dell’intera industria del targeting comportamentale.
Ma l’offuscamento non si ferma al browser. La frontiera più visibile — letteralmente — è quella della moda adversarial, indumenti progettati per ingannare i sistemi di riconoscimento facciale e di tracciamento delle persone. Cap_able, uno studio di moda italiano fondato da Rachele Didero, ha brevettato un processo che genera pattern adversariali traducendoli in strutture tessili a maglia jacquard: tu vedi un maglione con un motivo geometrico interessante, la telecamera vede un’anomalia che non riesce a classificare. La ricerca accademica, intanto, non sta ferma: un paper recente su arXiv descrive tessuti con pigmenti termocromici che attivano pattern adversariali in meno di 50 secondi quando riscaldati da unità termiche flessibili integrate nel tessuto, con un tasso di successo superiore all’80% sia nello spettro visibile che nell’infrarosso. Stiamo parlando di giacche che diventano invisibili alle telecamere quando le attivi — roba che dieci anni fa era cyberpunk fiction e oggi è un prototipo funzionante testato in ambienti reali di sorveglianza. Non è una soluzione definitiva, perché gli algoritmi di riconoscimento facciale evolvono continuamente e ogni contromisura ha una data di scadenza. Ma il punto non è vincere la corsa agli armamenti: è dimostrare che la sorveglianza automatizzata non è infallibile, e che il corpo può ancora essere uno spazio di resistenza.
Il trucco anti-riconoscimento facciale — il cosiddetto CV Dazzle, ispirato al camouflage navale della Prima Guerra Mondiale — è forse la forma più poetica di questa guerriglia visiva. Pattern geometrici dipinti sul viso, tagli di capelli asimmetrici, trucco che spezza le simmetrie che gli algoritmi usano per mappare i lineamenti. Ha limiti evidenti: non puoi andare a lavorare con la faccia dipinta come un quadro cubista (o forse sì, dipende dove lavori). Ma il gesto conta. Dice: il mio volto non è un dato. Il mio corpo nello spazio pubblico non è un input per il tuo modello. E questa affermazione, in un’epoca in cui il mercato della videosorveglianza potenziata dall’AI vale quasi 4 miliardi di dollari e punta ai 12,5 miliardi entro il 2030, è un atto politico prima ancora che tecnico.
L’aspetto cruciale dell’offuscamento è che funziona come tattica di massa, non come soluzione individuale. Un singolo utente che installa AdNauseam è un fastidio statistico. Centomila utenti che lo fanno diventano un problema sistemico per l’industria del targeting pubblicitario. La stessa logica vale per le adversarial patch: un maglione Cap_able alla conferenza di turno è una curiosità accademica, ma un quartiere intero che adotta pattern adversariali sui vestiti trasforma la sorveglianza pubblica in un esercizio di frustrazione per chi la gestisce. Brunton e Nissenbaum lo spiegano con chiarezza: l’offuscamento è l’arma dei deboli, di chi non ha il potere di cambiare le regole del gioco ma può rendere il gioco stesso insostenibile. È guerriglia informativa nel senso più letterale del termine — e come ogni guerriglia, la sua forza sta nella decentralizzazione e nella replicabilità dei gesti.
Avvelenare i dati, sabotare le macchine
Se l’offuscamento agisce sugli output — confondendo ciò che il sistema vede di te — il data poisoning colpisce gli input, corrompendo i dati con cui i modelli AI vengono addestrati. È una differenza fondamentale nella strategia, anche se l’obiettivo è lo stesso. Non stai nascondendo il tuo volto alla telecamera: stai facendo in modo che la telecamera impari a riconoscere i volti in modo sbagliato. Poison Fountain, lanciato nel gennaio 2026 da ingegneri che lavorano dentro le stesse aziende che costruiscono questi modelli, è l’esempio più radicale di questa logica: il progetto distribuisce due URL — uno sul web aperto, uno sulla rete Tor — che servono ai crawler AI codice con errori logici sottili, dati testuali contraddittori, informazioni deliberatamente fuorvianti. Il sito dichiara apertamente di voler «infliggere danni ai sistemi di intelligenza delle macchine» e la scelta della darknet per uno dei due endpoint è un messaggio preciso: potete chiudere il sito, non potete chiudere la resistenza. Ad aprile 2026, un articolo su The Conversation ha inquadrato il fenomeno come una nuova forma di disobbedienza civile, ponendo una domanda che merita di essere presa sul serio: se le aziende AI operano con l’approvazione dello stato in modi che violano la privacy, il copyright e la sicurezza del lavoro, avvelenare i loro dati è vandalismo o è resistenza legittima?
I numeri danno peso alla domanda. Secondo ricerche recenti, bastano 250 documenti avvelenati in un dataset per compromettere gli output di modelli linguistici di qualsiasi dimensione — e l’avvelenamento non si ferma al pre-training: colpisce anche il fine-tuning, il retrieval-augmented generation e persino gli strumenti degli agenti AI. Detto in parole povere: non serve inquinare oceani di dati, bastano gocce ben piazzate. È una vulnerabilità strutturale dell’architettura stessa dei large language model, non un bug che verrà risolto con il prossimo aggiornamento. E qui sta la differenza rispetto alla corsa agli armamenti dell’offuscamento visivo: mentre una adversarial patch può essere neutralizzata da un modello di riconoscimento più robusto, un dataset avvelenato corrompe il modello alla radice. La bonifica è possibile ma costosa, e spesso il danno viene scoperto solo quando è troppo tardi — quando il modello ha già imparato le lezioni sbagliate e le riproduce su milioni di utenti.
Il fronte degli artisti è quello dove il data poisoning ha trovato la sua applicazione più concreta e la sua legittimità più immediata. Nightshade, sviluppato dal team di Ben Zhao all’Università di Chicago, modifica le immagini digitali in modo impercettibile all’occhio umano ma devastante per i modelli generativi: dove tu vedi una foto di una macedonia di frutta, il modello di AI vede una collezione di smalti per unghie. Glaze, dello stesso team, aggiunge perturbazioni che impediscono ai modelli di apprendere lo stile dell’artista, proteggendo il lavoro creativo dallo scraping automatizzato. A inizio 2026, Glaze è arrivato alla versione 2.2 con il supporto per le GPU Nvidia della serie 50xx, segno che lo sviluppo è attivo e reattivo — non un progetto abbandonato, ma un’infrastruttura di difesa in evoluzione continua. La guerra però è aperta: LightShed, un tool di contromisura, ha dimostrato di poter rimuovere le protezioni di Glaze con un’accuratezza del 99,98%. La risposta del team di Zhao è stata pragmatica piuttosto che disperata: l’obiettivo non è creare una difesa invulnerabile, ma alzare il costo dell’attacco finché le aziende AI non trovino più conveniente pagare gli artisti che aggirarli. È economia della resistenza, non utopia della sicurezza.
Il nocciolo della questione è chi controlla i dati. Le aziende AI hanno costruito i loro modelli aspirando miliardi di pagine web, immagini, codice sorgente e testi senza chiedere il permesso a nessuno — o peggio, nascondendo le clausole di consenso dentro termini di servizio che nessun essere umano legge davvero. Il data poisoning ribalta questa asimmetria: se tu prendi i miei dati senza il mio consenso, io ho il diritto di rendere quei dati inutilizzabili. Non è un argomento legale — la legge, come sempre, protegge chi ha i soldi per gli avvocati. È un argomento politico, ed è esattamente il tipo di ragionamento che il movimento per il software libero porta avanti da decenni: la tecnologia non è neutra, i dati non sono risorse naturali da estrarre, e chi subisce lo scraping ha il diritto — forse il dovere — di resistere con gli strumenti che ha a disposizione.
Dai cypherpunk alla difesa orizzontale
Niente di tutto questo nasce dal nulla. L’infrastruttura tecnica e politica della resistenza algoritmica ha radici che affondano negli anni Novanta, nel movimento cypherpunk — un gruppo informale di crittografi, programmatori e attivisti che ha prodotto PGP, la rete Tor e le basi teoriche di Bitcoin. Il loro manifesto, scritto da Eric Hughes nel 1993, contiene una frase che nel 2026 suona più attuale che mai: «la privacy non è segretezza — una persona privata è chi sceglie cosa rivelare di sé al mondo.» Da quel manifesto sono nati gli strumenti che oggi milioni di persone usano per comunicare senza essere intercettate: Tor per navigare, Tails per non lasciare tracce sul dispositivo, Whonix e QubesOS per compartimentare la propria vita digitale in macchine virtuali isolate. Il fatto che questi strumenti esistano, siano gratuiti e open source è il risultato diretto di trent’anni di lavoro di una comunità che ha sempre rifiutato di delegare la propria sicurezza a governi e corporazioni. Il Neo-Cypherpunk Summit, previsto per giugno 2026 a Berlino, promette di portare avanti questa eredità con un focus esplicito sull’azione: 10.000 partecipanti nel 2025, oltre 130 relatori, e una missione dichiarata di rafforzare l’attivismo cypherpunk nella pratica quotidiana.
Il Chaos Computer Club, fondato a Berlino nel 1981, rappresenta l’altra faccia della stessa resistenza — quella che unisce l’hacking tecnico alla critica politica radicale. Da oltre quarant’anni il CCC denuncia la sorveglianza biometrica di massa, pubblica perizie legali contro le leggi sulla data retention, e organizza il Chaos Communication Congress, il più grande raduno hacker d’Europa — il quarantesimo è programmato per dicembre 2026 ad Amburgo. Il CCC ha sempre insistito su un punto che molti nel mondo tech preferiscono ignorare: la sorveglianza automatizzata non è un problema di implementazione, è un problema di potere. Non esiste un modo «giusto» di fare sorveglianza di massa — esiste solo il rifiuto totale di essere osservati senza consenso. Insieme ad AlgorithmWatch, Amnesty International e la Gesellschaft für Freiheitsrechte, il CCC ha prodotto pareri legali che documentano l’illegalità della sorveglianza biometrica nelle strade europee, un lavoro che combina competenza tecnica e attivismo giuridico in modo che poche organizzazioni al mondo sanno fare. Facciamo un passo indietro: stiamo parlando di hacker che scrivono perizie per i tribunali. Se non è resistenza orizzontale questa, cos’è?
Tactical Tech, ONG internazionale con sede a Berlino, porta questa lotta su un altro piano: la formazione. A febbraio 2026 ha organizzato un training online intitolato «To AI or not to AI», dedicato a giornalisti e organizzazioni media che devono navigare l’uso dell’intelligenza artificiale generativa nelle indagini digitali. Il progetto Exposing The Invisible produce guide, toolkit, film e materiali di formazione per chi fa attivismo, giornalismo investigativo e difesa dei diritti umani — tutto rilasciato con licenze aperte, tutto pensato per essere replicato e adattato. Tactical Tech ha anche partecipato a un evento organizzato dal Security Lab di Amnesty International sulla sorveglianza digitale e su come gli stati spiano i movimenti di resistenza, un tema che nel 2026 non è paranoia ma cronaca quotidiana — dal Pegasus di NSO Group ai tool di sorveglianza venduti a regimi autoritari da aziende europee e israeliane. Alla conferenza CHI 2026, ricercatori hanno presentato studi che categorizzano la resistenza algoritmica in «quotidiana» e «organizzata»: la prima è fatta di gesti costanti — alterare il linguaggio sui social, usare messaggi cifrati, spostarsi su canali alternativi — la seconda è infrastruttura, codice, comunità. La distinzione è utile, ma nella pratica i due livelli si alimentano a vicenda: chi installa Signal oggi magari domani contribuisce a un progetto di mesh networking.
La parola chiave è orizzontale. La difesa che funziona non è quella che aspetta un governo illuminato che regoli le Big Tech — spoiler: non succederà, perché i governi sono i primi clienti della sorveglianza — e nemmeno quella che si affida a un singolo tool magico. È una pratica collettiva, distribuita, replicabile. Installi AdNauseam e lo consigli a chi conosci. Usi Tor quando il contesto lo richiede. Avveleni i dati con Nightshade se sei un artista, con Poison Fountain se gestisci un sito. Ti colleghi a una mesh network comunitaria invece di dipendere dal tuo provider che — come abbiamo raccontato — vende i tuoi metadati senza troppe remore. Partecipi a un cryptoparty, insegni a qualcuno come usare Signal, contribuisci a un progetto open source che smonta l’infrastruttura della sorveglianza pezzo per pezzo. Nessuno di questi gesti è risolutivo da solo. Tutti insieme costruiscono qualcosa che assomiglia a un’alternativa: non un sistema perfetto, ma una rete di pratiche che rende il controllo algoritmico un po’ più costoso, un po’ più fragile, un po’ meno inevitabile.
Non ci giriamo intorno: la posta in gioco è alta. Chi controlla gli algoritmi controlla cosa vedi, cosa compri, come lavori, come ti muovi nello spazio pubblico e — con la polizia predittiva — persino quali crimini «potresti» commettere. La resistenza digitale non è un hobby per smanettoni paranoici: è l’unica risposta coerente a un’automazione del potere che non ha precedenti nella storia umana. Dagli ingegneri che avvelenano i dati delle aziende per cui lavorano ai designer italiani che tessono pattern invisibili alle telecamere, dai cypherpunk degli anni Novanta ai ricercatori che studiano le strategie di evasione degli attivisti censurati sui social media, questa resistenza non è un’ideologia monolitica. È una pratica frammentata, imperfetta, in costante evoluzione. Proprio come dovrebbe essere ogni forma di autodifesa dal basso.
L’ultima domanda è sempre la stessa: da che parte stai tu? Il rumore che puoi generare conta. Il dato che puoi avvelenare conta. Il volto che puoi nascondere a una telecamera conta. Non perché questi gesti cambieranno il mondo da soli, ma perché rendono il controllo un po’ meno automatico e un po’ meno a buon mercato. In una guerra tra algoritmi e persone, ogni granello di sabbia negli ingranaggi è un atto di libertà.