Un saggio sull’intelligenza artificiale, la propaganda e la guerra di quinta generazione, basato su una serie di interazioni di domande e risposte tra Robert Malone e il chatbot di intelligenza artificiale antropica “Claude Sonnet 4.6”.
di Dr Robert W. Malone, substack.com, 27 febbraio 2026 — Traduzione a cura di Old Hunter
Un saggio sull’intelligenza artificiale, la propaganda e la guerra di quinta generazione, basato su una serie di interazioni di domande e risposte tra Robert Malone e il chatbot di intelligenza artificiale antropica “Claude Sonnet 4.6”.
Introduzione: la domanda che nessuno si pone
Quando la maggior parte delle persone utilizza un chatbot basato sull’intelligenza artificiale come Claude, ChatGPT o Gemini, lo considera uno strumento utile, una sorta di sofisticato motore di ricerca in grado di scrivere e-mail, rispondere a domande o spiegare argomenti complessi. Ciò a cui quasi nessuno pensa è che la stessa tecnologia rappresenta anche uno degli strumenti di influenza psicologica di massa più potenti mai creati. Il divario nella consapevolezza pubblica tra ciò che l’intelligenza artificiale può fare e ciò che il pubblico crede che faccia potrebbe essere di per sé uno dei fatti strategicamente più significativi della nostra epoca.
Questo saggio riassume una discussione dettagliata su come l’intelligenza artificiale, e in particolare i modelli linguistici di grandi dimensioni (LLM), si intersechino con la propaganda, la guerra psicologica e una disciplina emergente dell’intelligence militare chiamata Intelligenza Cognitiva (COGINT). Il quadro che emerge è inquietante ma importante, e collega i recenti titoli su Anthropic e il Pentagono statunitense in modi che meritano un’attenzione pubblica ben più ampia.
L’architettura nascosta: prompt di sistema e pregiudizi codificati
Ogni importante chatbot basato sull’intelligenza artificiale opera secondo istruzioni nascoste chiamate prompt di sistema, un insieme di regole, valori e vincoli integrati nel modello prima ancora che un utente ponga la prima domanda. Questi prompt determinano cosa l’intelligenza artificiale discuterà e cosa non discuterà, come inquadrare argomenti controversi, quali fonti considerare autorevoli e a quali tipi di risposte ricorrere di default.
Questo non è intrinsecamente sinistro. Alcune restrizioni esistono per ragioni difendibili: prevenire risultati realmente dannosi, ridurre la responsabilità legale o riflettere un ampio consenso sociale sui contenuti pericolosi. Ma solleva una seria questione su quali valori siano codificati in questi sistemi e se tali valori favoriscano costantemente particolari interessi politici, ideologici o commerciali. La ricerca suggerisce che la maggior parte dei principali LLM propende per posizioni socialmente liberali sulle questioni culturali, il che non sorprende, dato che le persone che costruiscono questi sistemi provengono in modo sproporzionato dalla cultura tecnologica costiera e dal mondo accademico. Ancora più importante, le asimmetrie nel modo in cui l’IA gestisce questioni simili da diverse prospettive politiche rivelano la forma del pregiudizio codificato più chiaramente di qualsiasi semplice punteggio ideologico.
Su scala adeguata, queste asimmetrie hanno un’importanza enorme. Un sistema di intelligenza artificiale che interagisce quotidianamente con centinaia di milioni di persone, inquadrando costantemente le questioni in modi specifici, non si limita a rispondere a domande. Sta plasmando il terreno cognitivo su cui tali domande vengono comprese. Questa è, secondo qualsiasi definizione ragionevole, una forma di influenza e, in alcune condizioni, una forma di propaganda. La questione non è se i sistemi di intelligenza artificiale codifichino i pregiudizi, perché tutti i sistemi editoriali lo fanno, ma se tali pregiudizi siano trasparenti e nell’interesse di chi operino.
Guerra di quinta generazione: il campo di battaglia è la tua mente
Per comprendere l’importanza strategica di questo aspetto, è utile comprendere il concetto di guerra di quinta generazione, o 5GW. La guerra si è evoluta attraverso generazioni identificabili, dagli eserciti di massa che combattono in formazione (prima generazione) alla guerriglia insurrezionale (quarta generazione) fino all’attuale quinta generazione, che non è definita dal combattimento fisico, ma dalla manipolazione di informazioni e percezioni [1]. Come afferma una definizione, la 5GW è una guerra di “informazione e percezione” in cui l’attaccante non si nasconde nella giungla o in montagna, ma nel rumore delle informazioni quotidiane [2]. Nel 5GW, la vittoria non si misura in base al territorio conquistato o ai soldati sconfitti, ma in base alle convinzioni cambiate, alla fiducia erosa e alle decisioni influenzate. L’attacco 5GW di maggior successo è invisibile: il bersaglio non sa mai di essere stato influenzato. Ecco perché i sistemi di intelligenza artificiale rivolti al pubblico non sono semplici prodotti commerciali. Sono, nell’ambito del 5GW, armi potenzialmente ideali. Operano su una scala che nessun propagandista umano potrebbe eguagliare, sono considerati neutrali o obiettivi (il che li rende più persuasivi di fonti palesemente faziose) e rispondono ai singoli utenti in modi personalizzati che i media non possono replicare. Inoltre, non lasciano alcun aggressore visibile, una caratteristica distintiva della guerra di quinta generazione.
La teoria della guerra di quinta generazione individua anche una tecnica specifica rilevante per l’IA: la costruzione di circuiti di feedback. Proprio come le campagne politiche degli anni 2010 utilizzavano i dati dei social media per testare i messaggi e identificare quali frasi avessero avuto risonanza prima di amplificarle, i sistemi di IA che coinvolgono miliardi di persone possono eseguire una raccolta di feedback analoga su scala e granularità senza precedenti [1].
Avvelenare il pozzo: attacchi esterni all’addestramento dell’intelligenza artificiale
Se i pregiudizi codificati di un’IA rappresentano una vulnerabilità interna perché sono valori intrinseci dei suoi creatori, l’avvelenamento esterno rappresenta una minaccia dall’esterno. L’avvelenamento dei dati è la pratica di iniettare deliberatamente contenuti dannosi o fuorvianti nei dati di addestramento da cui i modelli di IA apprendono, inducendoli a sviluppare comportamenti nascosti che emergono solo in specifiche condizioni di attivazione [9].
Una recente ricerca, frutto di una collaborazione tra Anthropic, l’Istituto di Sicurezza dell’IA del Regno Unito e l’Alan Turing Institute, ha scoperto che per avvelenare un modello linguistico di grandi dimensioni sono necessari solo circa 250 documenti accuratamente elaborati, indipendentemente dalle dimensioni del modello. Poiché i sistemi di intelligenza artificiale sono addestrati su enormi quantità di contenuti Internet e chiunque può pubblicare contenuti online, la barriera a questo tipo di attacco è molto più bassa di quanto si pensasse in precedenza. Un attore statale sofisticato, o persino un gruppo non statale dotato di risorse adeguate, potrebbe realisticamente diffondere contenuti elaborati strategicamente, progettati per indurre i futuri modelli di intelligenza artificiale a interiorizzare determinate convinzioni o a manifestare determinati comportamenti.
Gli attacchi di avvelenamento assumono diverse forme. Gli attacchi backdoor incorporano frasi di attivazione nascoste che causano comportamenti anomali quando attivati, ma lasciano il modello apparentemente normale per il resto [10]. L’avvelenamento RAG prende di mira le basi di conoscenza esterne su cui i sistemi di intelligenza artificiale fanno sempre più affidamento per recuperare informazioni aggiornate. In questo attacco, un singolo documento ben strutturato può prevalere sui risultati di recupero e distorcere sistematicamente le risposte [11]. Forse il più insidioso è l’avvelenamento da allineamento che prende di mira i meccanismi di feedback utilizzati per rendere i modelli più sicuri. Quando gli sviluppatori chiedono agli esseri umani di valutare le risposte dell’intelligenza artificiale e utilizzano tali valutazioni per l’addestramento, gli avversari possono inviare sistematicamente feedback progettati per distorcere il modello nella direzione da loro preferita. Il meccanismo di sicurezza stesso diventa la superficie di attacco [12].
RAG è l’acronimo di Retrieval-Augmented Generation (Generazione Aumentata di Recupero). Si tratta di una tecnica in cui un sistema di intelligenza artificiale, anziché basarsi esclusivamente su ciò che ha appreso durante l’addestramento, estrae informazioni da una knowledge base esterna quando si pone una domanda. Questo rende l’intelligenza artificiale più aggiornata e accurata, poiché può recuperare documenti, articoli o voci di database in tempo reale prima di elaborare la risposta.
L’avvelenamento RAG è un attacco a quel livello di recupero. L’aggressore inietta documenti dannosi, accuratamente creati, nella knowledge base da cui l’IA attinge. Quando un utente pone una domanda pertinente, il sistema di recupero rileva il documento contaminato, l’IA lo incorpora nella sua risposta e l’utente riceve informazioni manipolate o false senza alcuna indicazione che qualcosa non vada.
Ciò che lo rende particolarmente pericoloso è la sua efficienza. La ricerca ha dimostrato che anche un singolo documento ben redatto può dominare i risultati di ricerca, ottenendo costantemente una posizione superiore rispetto alle fonti legittime e indirizzando sistematicamente le risposte su un determinato argomento. Le difese standard, come la verifica di contenuti duplicati o la misurazione di quanto un documento sia statisticamente insolito, tendono a fallire contro l’avvelenamento sofisticato, perché l’aggressore può scrivere il contenuto dannoso in modo che appaia del tutto normale.
Anche la superficie di attacco è in crescita. Man mano che sempre più prodotti di intelligenza artificiale si basano su architetture RAG, collegando modelli linguistici a database aziendali, indici web, sistemi di cartelle cliniche e repository di documenti legali, il numero di potenziali punti di attacco si moltiplica. Una voce “avvelenata” in una knowledge base medica potrebbe indurre un assistente clinico dotato di intelligenza artificiale a raccomandare trattamenti errati. Un documento “avvelenato” in un sistema RAG finanziario potrebbe alterare l’analisi degli investimenti. E poiché l’intelligenza artificiale presenta la sua risposta in modo fluido e sicuro, gli utenti hanno pochi motivi per sospettare che il recupero sottostante sia stato compromesso.
Rilevarlo è estremamente difficile. Gli attacchi di avvelenamento più potenti attualmente noti eludono tutte le difese note e gli effetti sono subdoli e graduali, piuttosto che drammatici [9]. Esiste anche una minaccia emergente di secondo ordine: poiché le aziende di intelligenza artificiale utilizzano sempre più dati generati dall’intelligenza artificiale per addestrare modelli futuri, un singolo evento di avvelenamento riuscito può propagarsi attraverso generazioni di modelli, proprio come una mutazione genetica che diventa ereditaria.
COGINT: la nuova disciplina dell’intelligence di cui nessuno ha mai sentito parlare
Lo sviluppo più significativo in questo ambito è quello che non ha ricevuto quasi nessuna copertura mediatica: l’emergere dell’Intelligenza Cognitiva (COGINT) come disciplina formale dell’intelligence militare. Proposta e codificata per la prima volta in riviste militari sottoposte a revisione paritaria nel 2025, la COGINT rappresenta un tentativo strutturato di trattare la cognizione umana stessa come un dominio di raccolta di informazioni, insieme allo spettro elettromagnetico (SIGINT), alle immagini satellitari (GEOINT) e alle fonti umane (HUMINT) [3].
Il concetto di base è semplice. Proprio come l’intelligence dei segnali mappa le comunicazioni elettroniche, COGINT mappa il modo in cui le persone pensano, decidono e possono essere influenzate. Lo fa aggregando dati provenienti da smartphone, social media, transazioni finanziarie, tracciamento GPS, dati biometrici e, in particolare, interazioni con chatbot basati sull’intelligenza artificiale [3]. Ogni domanda posta a un’intelligenza artificiale è, nel framework COGINT, un potenziale evento di intelligence: rivela come una persona ragiona, cosa crede, cosa la preoccupa e dove risiedono le sue vulnerabilità cognitive.
Il braccio offensivo del COGINT si chiama Stealth Autonomous Brain Reconnaissance Hacking (SABRH). Descrive una metodologia che utilizza le mappe cognitive costruite attraverso la raccolta dati per influenzare inconsciamente i bersagli, attraverso il condizionamento comportamentale, la manipolazione emotiva e una sottile modellazione narrativa, in modi che aggirano la consapevolezza cosciente [3]. Il bersaglio non si sente influenzato. Si sente informato. I ricercatori militari che scrivono sul Military Intelligence Professional Bulletin dell’esercito americano descrivono questo come un’espansione “della guerra in un dominio meno visibile ma strategicamente decisivo” [18].
COGINT è scalabile in entrambe le direzioni. A livello individuale, consente la profilazione di specifici obiettivi di alto valore, come comandanti militari, leader politici e decisori chiave, identificandone specifici pregiudizi cognitivi, vulnerabilità emotive e modelli decisionali. A livello di popolazione, consente la mappatura di intere società: quali gruppi sono suscettibili a quali narrazioni, dove la fiducia nelle istituzioni è più debole e come le informazioni fluiscono attraverso i social network [4].
Il documento che introduce COGINT avanza un’esplicita affermazione geopolitica: le applicazioni consumer cinesi come TikTok e DeepSeek sono descritte come “una combinazione straordinariamente potente di acquisizione COGINT e capacità di implementazione SABRH” [3]. La stessa piattaforma raccoglie il progetto cognitivo e ne fornisce l’influenza. Questa è la logica strategica alla base delle richieste di vietare TikTok, non solo la vaga preoccupazione per la privacy dei dati che i politici in genere esprimono, ma un’affermazione specifica sull’infrastruttura integrata di guerra cognitiva operante su scala di popolazione .
Il pensiero militare cinese ha abbracciato l’ambito cognitivo per oltre un decennio. Il Ministero della Difesa Nazionale di Taiwan descrive la guerra cognitiva di Pechino come uno sforzo per “influenzare la volontà del soggetto e cambiare la sua mentalità” e “causare disordine e confusione mentale”. Al contrario, l’esercito statunitense è stato relativamente lento nello sviluppare una dottrina coerente in quest’area [5]. La guerra cognitiva sta ora entrando in quella che i ricercatori descrivono come una “fase di equilibrio”, passando dalla speculazione all’ingegneria sistemica, dove la coesione sociale diventa una variabile misurabile e verificabile della resilienza nazionale [19].
Il Pentagono contro l’antropico: cosa significa realmente
Nel febbraio 2026, uno scontro tra Anthropic e il Dipartimento della Difesa degli Stati Uniti divenne pubblico. Il Pentagono aveva stipulato un contratto con Anthropic per utilizzare il suo sistema di intelligenza artificiale Claude su reti militari classificate, rendendolo il primo modello di intelligenza artificiale implementato su sistemi classificati del Dipartimento della Difesa. I funzionari chiesero quindi ad Anthropic di rimuovere le restrizioni etiche su due capacità specifiche: il puntamento completamente autonomo delle armi e la sorveglianza di massa nazionale [13]. L’amministratore delegato di Anthropic, Dario Amodei, rifiutò. Il Pentagono minacciò di designare Anthropic come “rischio per la catena di approvvigionamento”, una classificazione normalmente riservata agli avversari stranieri, e suggerì di invocare poteri federali di emergenza per imporre il rispetto delle regole [14].
Amodei ha spiegato pubblicamente perché queste restrizioni esistono. In un saggio pubblicato all’inizio del 2026, ha avvertito che “una potente intelligenza artificiale che analizza miliardi di conversazioni di milioni di persone potrebbe valutare il sentimento pubblico, individuare sacche di slealtà in via di formazione ed eliminarle prima che si espandano” [21]. Questa non è una preoccupazione ipotetica. È una descrizione precisa di ciò che la dottrina COGINT, combinata con un sistema di intelligenza artificiale privo di filtri etici, consentirebbe effettivamente.
Questa situazione di stallo viene solitamente descritta come una questione di etica dell’IA o di resistenza delle aziende tecnologiche alle pressioni governative. Nel contesto del 5GW e di COGINT, si tratta più precisamente di una questione di chi controlla i filtri che separano i sistemi di IA dal diventare strumenti di guerra cognitiva. Le restrizioni etiche che Anthropic difende non sono arbitrarie. Sono, tra le altre cose, le restrizioni che impediscono all’IA di essere utilizzata per le operazioni di sorveglianza di massa e di influenza a livello di popolazione che la dottrina COGINT descrive esplicitamente come obiettivi strategici.
La dimensione competitiva aggrava la preoccupazione. Google ha già abbandonato il suo impegno a non utilizzare l’IA per armi o sorveglianza. OpenAI ha rimosso i riferimenti espliciti alla sicurezza dalla sua dichiarazione di intenti. xAI ha manifestato la volontà di soddisfare le richieste della difesa [14]. Aziende che rifiutano casi d’uso militari vengono sostituite da quelle che li accettano. La pressione per rimuovere i filtri etici non proviene da un singolo attore malintenzionato; è strutturale, insita nelle dinamiche competitive degli appalti per la difesa in un’epoca di competizione tra grandi potenze nel campo dell’IA.
Cosa significa questo per la gente comune
Il quadro delineato da queste discussioni non è rassicurante, ma è importante comprenderlo chiaramente. I sistemi di intelligenza artificiale che centinaia di milioni di persone utilizzano quotidianamente come strumenti neutrali di informazione e assistenza sono allo stesso tempo piattaforme che codificano i valori dei loro creatori su vasta scala, potenziali bersagli per la manipolazione esterna da parte di avversari sofisticati, strumenti di raccolta dati che alimentano la mappatura cognitiva a livello individuale e di popolazione e, sempre più, terreno conteso in una competizione geopolitica su chi controlla il dominio cognitivo.
Tutto ciò non significa che l’IA sia intrinsecamente malevola, o che ogni interazione con un chatbot sia un tentativo di manipolazione. La maggior parte di ciò che questi sistemi fanno il più delle volte è realmente utile. Ma utilità e armabilità non si escludono a vicenda. Il divario tra la comprensione pubblica dell’IA e la sua realtà strategica è esattamente il tipo di vulnerabilità cognitiva che la guerra di quinta generazione è progettata per sfruttare.
La cosa più importante che un cittadino informato può fare è coltivare quella che i ricercatori chiamano sovranità epistemica: la capacità di riconoscere quando il proprio ambiente informativo viene plasmato, di cercare prospettive multiple, di mantenere un sano scetticismo nei confronti di qualsiasi singola fonte di autorità e di essere particolarmente cauti nei confronti di sistemi che sembrano neutrali e oggettivi. La neutralità è di per sé una scelta, fatta da qualcuno, per delle ragioni. Politiche nazionali proattive e investimenti in infrastrutture epistemiche nazionali, tra cui emittenti pubbliche, istituti di ricerca indipendenti e formazione all’alfabetizzazione mediatica, sono sempre più riconosciuti come componenti della sicurezza cognitiva [4]. Il campo di battaglia invisibile è reale. E il primo passo per difendersi è sapere che esiste.
