Claude Opus 4.7 riesce a identificare autori da brevi estratti di testo mai pubblicati. È la fine pratica della pseudonimia per chiunque scriva online — e una bomba a orologeria sotto whistleblower, dissidenti e dipendenti scontenti. Il GDPR, da solo, non basta.
Kelsey Piper, giornalista di The Argument, ha raccontato in un articolo destinato a fare scuola un esperimento che vale più di mille white paper sull'AI: ha incollato dentro Claude Opus 4.7 — l'ultimo modello di Anthropic — 125 parole di un suo testo mai pubblicato. Il modello le ha sputato indietro il suo nome. (https://www.theargumentmag.com/p/i-can-never-talk-to-an-ai-anonymously)
Non era un trucco. Piper ha rifatto il test in incognito, su un altro computer, dall'API. Ha provato con un saggio scolastico scritto quindici anni fa, con una bozza di romanzo fantasy, con una recensione cinematografica in un genere che non ha mai pubblicato. In quasi tutti i casi, Claude l'ha riconosciuta. ChatGPT e Gemini sono arrivati al risultato in modo meno costante, ma il segnale è chiaro: i modelli più avanzati hanno appena fatto un salto qualitativo nell'attribuzione d'autore.
Il punto non è il singolo aneddoto. È che siamo entrati in un nuovo regime tecnico, e nessun cookie banner ti proteggerà.
COSA STA SUCCEDENDO DAVVERO: STILOMETRIA SU STEROIDI
La tecnica si chiama stilometria. Esiste da decenni. È stata usata per attribuire opere shakespeariane, per smascherare l'Unabomber nel 1996, per risolvere casi giudiziari (https://towardsai.net/p/l/use-stylometry-to-identify-authors). Funziona così: ogni persona, scrivendo, lascia una specie di impronta digitale linguistica fatta di lunghezze medie delle frasi, frequenza di certe congiunzioni, uso della punteggiatura, abitudini sintattiche profonde. Anche il ritmo. Anche gli errori ricorrenti.
Quello che è cambiato è la potenza dello strumento. Una ricerca pubblicata su arXiv a febbraio 2026 mostra che combinare analisi stilometrica e ragionamento da Large Language Model produce sistemi di deanonimizzazione molto più accurati dei vecchi approcci basati su LDA o su semplici similarità di embedding (https://arxiv.org/html/2602.23079v1). I sistemi commerciali di stilometric AI già oggi dichiarano accuratezze tra l'80 e il 95 per cento quando hanno abbastanza testo di riferimento (https://aicompetence.org/stylometric-ai-how-it-detects-writing-you-didnt-author/). I modelli generalisti di frontiera, addestrati su porzioni enormi del web pubblico, fanno la stessa cosa senza bisogno di essere chiamati a farla.
In pratica, qualunque persona abbia un corpus consistente di scrittura pubblica sotto il proprio vero nome può oggi essere ricollegata a un account pseudonimo se non ha attivamente lavorato, per anni, a riscrivere il proprio stile.
GLI EFFETTI A CASCATA: WHISTLEBLOWER, DIPENDENTI, DISSIDENTI
Il caso di Piper è curioso, quello di altri è grave.
Le piattaforme di whistleblowing investono da anni in protezione dei metadati: rimozione dell'IP, anonimizzazione del documento, sistemi di submission cifrati. Ma se il testo stesso tradisce l'autore, queste contromisure diventano in larga parte cosmetiche. È esattamente il punto sollevato da una rassegna di WebProNews sul tema: il modello di minaccia è scivolato dalla data leakage alla data inference (https://www.webpronews.com/the-algorithmic-detective-how-ai-is-quietly-dismantling-digital-anonymity/). Non serve più bucare un database per identificare una fonte: basta scaricare il testo pubblico, dargli in pasto a un modello, e correlare.
Una recensione anonima lasciata su Glassdoor dopo aver mollato un'azienda. Un commento polemico in una community professionale sotto pseudonimo. Una segnalazione interna inviata via canali ufficiali. Una posizione politica espressa in un forum dieci anni fa. Tutti documenti che, fino a ieri, vivevano in compartimenti stagni della propria identità digitale. Da oggi, sono potenziali nodi di ricongiungimento.
I ricercatori europei hanno preso il problema sul serio. Un lavoro presentato all'ACM nel 2024 ha mostrato che strumenti di sanitizzazione del testo basati su LLM possono ridurre l'accuratezza degli attacchi di authorship attribution dal 98,81 per cento al 31,22 per cento — ma a costo di alterare in modo significativo il contenuto (https://arxiv.org/abs/2405.01097). Tradotto: per essere davvero anonimo oggi devi smettere di sembrare te stesso. E se sei un whistleblower, è proprio la tua voce — la tua specificità — a contenere la denuncia.
PERCHÉ IL GDPR E L'AI ACT, DA SOLI, NON BASTANO
C'è chi pensa che l'Europa sia coperta. Non lo è.
Il GDPR e l'AI Act, ricorda Cyber Security 360, costruiscono un quadro robusto sui sistemi di identificazione biometrica e sui modelli ad alto rischio (https://www.cybersecurity360.it/legal/ai-act-e-gdpr-la-tutela-dei-dati-personali-nellera-dellintelligenza-artificiale/). Ma la stilometria di un LLM generalista non è — almeno non ancora, non chiaramente — un sistema di identificazione biometrica. È un sotto-prodotto emergente di un modello addestrato per altri scopi.
L'Autorità di Amburgo, in una posizione molto discussa, ha sostenuto che un LLM non "memorizza" dati personali ai sensi dell'articolo 4 del GDPR, perché i token e i loro embedding rappresentano relazioni linguistiche astratte, non informazioni su persone specifiche (https://protezionedatipersonali.it/intelligenza-artificiale-ia-e-rischi-privacy). Posizione fragile, opinabile, ma indicativa: il diritto europeo della protezione dati è stato pensato per il dato statico, non per il modello che, a inferenza, ricostruisce identità.
La CNIL francese e Agenda Digitale spingono su differential privacy, dataset sintetici, federated learning come strumenti di mitigazione (https://www.agendadigitale.eu/sicurezza/privacy/intelligenza-artificiale-ecco-come-il-gdpr-regola-la-tecnologia-di-frontiera/). Tutto giusto. Ma sono soluzioni che riguardano l'addestramento del modello, non l'uso che terzi possono farne in fase di inferenza. Un'azienda che voglia smascherare l'autore di una recensione anonima su Glassdoor non deve addestrare nulla: le basta ChatGPT Plus.
LA PROSPETTIVA GIGNUXNOTE: NON È SOLO UNA STORIA TECNICA
Qui si gioca una partita più grande, e va detta senza giri di parole.
L'anonimato online è stato per trent'anni la pelle di salvataggio dei minoritari, dei dissidenti, di chi diceva cose vere prima che diventassero accettabili. È stato anche il rifugio degli idioti, dei troll, dei propagandisti. Le due cose stanno insieme: non si può togliere lo strato anonimo solo ai cattivi e lasciarlo ai buoni. Quel layer cade per tutti.
Tre cose che secondo noi vanno dette ad alta voce.
Primo: la responsabilità non si scarica sull'utente. Non è ragionevole pretendere che ogni dipendente, ogni cittadino, ogni potenziale fonte di una redazione si faccia "riscrivere" il testo da un altro modello per cancellare la propria voce. Quella non è anonimato, è espropriazione linguistica.
Secondo: i fornitori di modelli di frontiera devono essere chiamati a rispondere su questa capability. Anthropic ha fatto un buon lavoro di trasparenza pubblicando dichiarazioni dettagliate sui propri modelli, ma la specifica capacità di authorship attribution su testi non pubblicati merita una discussione pubblica esplicita. Non un footnote. Non un thread su X. Una policy.
Terzo: serve un aggiornamento normativo europeo. L'AI Act è stato scritto pensando ai sistemi biometrici e alla classificazione del rischio. Dovrà occuparsi presto, esplicitamente, dei rischi di re-identificazione testuale e dei doveri dei fornitori di modelli generalisti quando le loro capacità inferenziali toccano dati che il diritto considera personali.
Nel frattempo, per chi vuole proteggersi: meno scrittura sotto vero nome, più igiene stilistica per ciò che resta sotto pseudonimo, consapevolezza che ogni testo lasciato online è un campione di addestramento per qualcuno. Non è un mondo allegro. È quello in cui siamo entrati.
Non saremo mai più anonimi davanti a una macchina come lo siamo davanti a uno sconosciuto in una piazza. Questo è il prezzo della frontiera. Possiamo accettarlo come dato di natura, oppure decidere che merita una risposta politica. Per quello che vale, GignuxNote pensa la seconda.
