Con una logica elementare, questi strumenti permettono di scoprire un’infinità di cose su una persona. Inserendo nel bot il nome di qualcuno, si ottengono circa 10-20 numeri di telefono collegati. Dal numero di telefono si può risalire alla foto della persona in questione, ai suoi contatti sui social network, agli annunci caricati su Avito (il più popolare sito di annunci in Russia), all’indirizzo di posta elettronica e alla targa dell’auto. Il numero di targa permette di ottenere altre informazioni: la residenza, gli estremi del passaporto e dati sull’auto, compresa la foto della vettura. In alcuni casi si arriva ad avere anche le password di posta elettronica e dei social network e perfino un dettagliato dossier in un file a parte. Grazie a questi bot, un nostro giornalista è riuscito facilmente a risalire ai suoi dati personali e alle sue password.

“Di solito i gestori di questi servizi comprano grandi quantità di dati o li ricevono gratuitamente grazie a fughe di dati da enti e compagnie”, spiega Igor Bederov, fondatore dell’azienda tecnologica Rozysk, che si occupa di sicurezza informatica. Bederov ci racconta che queste informazioni sono raccolte in un sistema per la gestione di database. Così, grazie ai dati trapelati nel 2020 da Vkontakte (l’equivalente russo di Facebook), oggi è possibile risalire a un numero di telefono dall’indirizzo di una pagina di social network, mentre la banca dati dell’ispettorato statale per la sicurezza stradale può aiutare a rintracciare informazioni su un’auto e sul suo proprietario. Queste funzioni dei bot sono usate da programmi di parsing, la raccolta di dati da fonti aperte. Il parsing dei servizi di annunci gratuiti, come Avito, permette di combinare il nome dell’oggetto di ricerca, il suo indirizzo di posta elettronica e il suo numero di telefono. Bot simili possono raccogliere anche dati di persone giuridiche che si sono connesse ai siti di sistemi informativi e analitici. In gioco ci sono anche altre funzioni offerte da Telegram, come quella lanciata nell’autunno 2020: si indica al bot un punto geografico e in tempo reale questo mostra gli account di tutti gli utenti che si trovano nel raggio di cento metri.

Di solito i bot per la ricerca di informazioni sulle persone funzionano secondo tre modelli di contratto. Si può fare un abbonamento per un periodo di tempo determinato (un giorno, un mese o un anno) entro cui si può effettuare un numero illimitato di ricerche. Il prezzo varia dai 65 ai 2.500 rubli (da 75 centesimi a 28 euro circa). Altrimenti si può acquistare un certo numero di ricerche (una come cento). Infine ci sono piani tariffari che includono un pacchetto di 500 ricerche al mese e il dossier completo di una persona. Questo servizio si rivolge alle agenzie di sicurezza, agli uffici legali, alle organizzazioni finanziarie e a quei soggetti che “per la loro indole vogliono saperne di più”, si legge nella descrizione del prodotto.

Per lanciare servizi simili non servono grandi investimenti. In primo luogo, ci spiega Bederov, è necessario un server virtuale per conservare le banche dati e le loro elaborazioni. Comprare materialmente un server non è necessario. Per funzionare, questi servizi hanno bisogno in media di 200-300 terabyte di spazio. Gli altri costi sono l’acquisto delle banche dati, spesso di pubblico dominio, l’elaborazione di programmi di parsing e gli stipendi dei collaboratori.

Per mettere in funzione un bot, quindi, basta un milione di rubli, poco più di 11mila euro. I costi per la Smart_SearchBot nel primo anno di attività, racconta un rappresentante dell’azienda, sono stati di circa 8.500 euro. Il margine di profitto potenziale si aggira sui 200 milioni di rubli all’anno, secondo Bederov.

Gli amministratori del servizio Archangel raccontano che gli investimenti iniziali sono stati recuperati nel primo mese. E, a quanto affermano, nei primi sei mesi il progetto non era pubblico, ma limitato a determinati clienti. Oggi il fatturato mensile ammonta a “non pochi milioni di rubli”.

La strategia promozionale di queste piattaforme non è molto diversa da quella dei normali canali Telegram. Secondo Andrej Kaganskij, ricercatore di Roskomsvoboda (un’ong che si occupa di supporto alle reti aperte e protezione dei diritti digitali), alla fine del 2020 il servizio Glas Boga avrebbe comprato uno spazio pubblicitario sul canale Dvač (che ha 542mila abbonati) per ampliare il suo pubblico. A quanto pare, in gran parte gli utenti di questi servizi sono coniugi gelosi o guidatori che vogliono individuare il proprietario dell’auto che gli ha appena tagliato la strada. Ci sono poi anche i proprietari di immobili curiosi di conoscere meglio i loro potenziali affittuari. Il più delle volte le persone cercano numeri di telefono, indirizzi email o account social, spiegano dalla Smart_SearchBot.

Comunque sia, il mercato è in crescita. Perché i bot, dice l’analista Aleksandr Nenachov, “offrono uno strumento di ricerca semplice a un’ampia platea di persone. Prima certi servizi andavano cercati nel dark web, non era roba per tutti. Oggi basta usare Telegram”.

Secondo Nikolaj Legkodimov, dirigente della sezione russa della società di consulenza Kpmg, a chi lavora con questi servizi e vuole ampliare il proprio giro di affari, Telegram offre un grande vantaggio: la riservatezza. Gli altri sistemi di messaggistica – per esempio WhatsApp – non ispirano altrettanta fiducia agli utenti.

Sulla legalità di questi bot e delle azioni dei clienti che se ne servono ci sono ovviamente molti dubbi. “Eventuali violazioni commesse da fornitori e utenti sono illeciti amministrativi. Nel caso di violazione delle leggi sull’uso dei dati personali, per esempio, la multa è di tremila rubli”, dice Vadim Perevalov, che insegna alla Moscow digital school. “In teoria i responsabili potrebbero anche essere perseguiti penalmente per violazione della privacy”, fa notare Alek­sandr Savelev, professore alla facoltà di legge della Scuola superiore di economia. In questo caso la multa può arrivare a 200mila rubli e si può rischiare anche una condanna a due anni di carcere.

All’atto pratico i gestori dei servizi scaricano la responsabilità sugli utenti. “I clienti devono confermare di avere l’autorizzazione scritta all’uso dei dati della persona su cui si fa la ricerca”, spiegano da Archangel. “Se poi l’autorizzazione non c’è, la colpa è del cliente”.

Tuttavia in sede processuale è praticamente impossibile punire qualcuno per l’uso di un bot. “Per la giustizia è difficile dimostrare che uno specifico individuo ha usato un bot, stabilire la sua identità e poi raccogliere le prove dei suoi illeciti”, dice Perevalov. L’unico sistema è concentrarsi sui trasferimenti di denaro sul conto dei proprietari del bot. “In questo modo si potrebbe multare chi ha effettuato i pagamenti, ma al momento non c’è un meccanismo giuridico che lo consenta”, aggiunge l’esperto.

Le autorità hanno cominciato a occuparsi dell’attività dei bot su Telegram solo all’inizio del 2021, quando su uno dei canali del servizio di messaggistica sono apparsi i dati personali dei poliziotti e dei funzionari che avevano fermato i manifestanti durante le proteste in sostegno dell’oppositore Aleksej Navalnyj. Dopo un articolo pubblicato da Kommersant, il servizio federale di vigilanza sulle comunicazioni (Roskomnadzor) ha ordinato a Telegram di interrompere la diffusione dei dati personali dei cittadini. Il 6 febbraio il fondatore di Telegram, Pavel Durov, ha annunciato il blocco dei canali che rivelavano informazioni sulle persone coinvolte nelle repressione delle proteste e sui manifestanti stessi.

Dal parlamento riconoscono che in pratica non ci sono gli strumenti per intervenire. “Dal punto di vista giuridico, queste attività si trovano in una zona grigia”, dice Anton Gorelkin, deputato di Russia unita (il partito del presidente Vladimir Putin). Poi ammette che ogni regolamentazione delle piattaforme dipende esclusivamente dalla volontà di Pavel Durov. Il quale, però, è poco propenso a confrontarsi con le autorità russe. Né lui né il portavoce di Telegram hanno accettato di rispondere alle domande di Kommersant. ◆ ab