Cybersecurity PMI Risk Management Compliance LLM Management IT

AI detector su testo: perplexity, humanizer e il rischio di accusa per falsi positivi

AI detector su testo: perplexity, humanizer e il rischio di accusa per falsi positivi

Il 17 aprile 2026 una conoscente che lavora come HR business partner in una società di consulenza italiana mi ha chiesto un parere tecnico su un servizio che il loro fornitore di recruitment voleva integrare: un AI detector applicato alle risposte scritte dei candidati durante un assessment di prima fase, con soglia binaria sopra la quale il candidato veniva escluso automaticamente dalla shortlist. La motivazione comunicata dal fornitore era "garantire l'autenticità delle risposte" e "filtrare i candidati che usano ChatGPT". Ho passato un pomeriggio sul mio Hetzner CCX33 (8 vCPU AMD EPYC 9454P, 32 GB RAM DDR5) a testare il detector proposto e altri tre concorrenti su un piccolo dataset di controllo: la Costituzione italiana articolo 1-12, due capitoli di "I promessi sposi" di Manzoni, l'articolo Wikipedia su Garibaldi, una mia bozza editoriale del 2018 (sicuramente pre-AI), e una serie di output Claude Opus 4.7 humanizzati con tre tool commerciali. Il risultato è stato un piccolo disastro statistico, e la conversazione con la HR partner è diventata "non integrate quel detector, vi state esponendo a una causa di lavoro per discriminazione".

I numeri che ho registrato sono coerenti con quanto la ricerca accademica del 2024-2025 ha sistematicamente documentato sugli AI detector commerciali. ZeroGPT, uno dei detector più noti e usati gratuitamente, classifica come "98% AI-generated" interi articoli della Costituzione italiana, capitoli di Manzoni e sezioni di Wikipedia con cui ha ovviamente nessuna relazione (il training cutoff dei modelli è successivo, ma gli AI detector funzionano su pattern statistici di perplexity e non su data leakage). Originality.ai e Pangram, che rivendicano accuracy del 99,98% nei loro materiali commerciali, performano molto bene sui testi generati con prompt naive ma cedono completamente quando il testo passa attraverso un humanizer commerciale (Quillbot, Undetectable.ai, StealthGPT) anche con una singola passata. Sul mio test il delta fra "AI text raw" e "AI text humanized" è andato dal 95% di rilevamento al 12%. L'AI detector è una tecnologia che funziona solo finché il candidato è naive; un candidato motivato a passarlo ha strumenti gratuiti per farlo in trenta secondi.

Come funzionano davvero i detector e perché sono strutturalmente fragili

I detector commerciali si appoggiano principalmente su due metriche statistiche: perplexity e burstiness. La perplexity è una misura di "sorpresa" del modello di riferimento (tipicamente GPT-2 o un modello equivalente) di fronte al testo: testi che il modello "predice bene" hanno bassa perplexity e sono considerati più plausibilmente AI-generated; testi che il modello fatica a predire hanno alta perplexity e sono considerati più plausibilmente umani. La burstiness misura la varianza della perplexity da frase a frase: testi umani tendono ad avere burstiness alta (alcune frasi semplici, alcune complesse), testi AI tendono ad avere burstiness più piatta perché i modelli ottimizzano per fluidità uniforme. La combinazione delle due metriche, con soglie tarate empiricamente, è la base di quasi tutti i detector pubblici.

Il problema strutturale è triplice. Primo, la perplexity dipende dal modello di riferimento, e i modelli moderni (GPT-5, Claude Opus 4.7, Gemini 3.1 Pro) generano testo con perplexity sempre più simile a quella umana grazie al training su corpora vasti che include testo umano di alta qualità. Più i modelli migliorano, più i detector basati su perplexity perdono potere discriminante. Secondo, lo stesso fenomeno si manifesta al contrario: testi umani di alta qualità retorica (Costituzione, romanzi classici, articoli giornalistici curati) hanno perplexity bassa perché il modello li "predice bene", e vengono falsamente classificati come AI. Terzo, gli humanizer commerciali agiscono esattamente sull'aumento di burstiness e l'innalzamento di perplexity, restituendo un testo che il detector classifica come umano anche se il contenuto semantico è identico al testo AI di partenza.

C'è un terzo problema più profondo che ho discusso nel pezzo sulle cinque famiglie di compiti che non vanno date a un LLM diretto: un detector è un classificatore binario su un task non verificabile, dove il ground truth (è AI o no) non è facilmente accessibile in produzione. La calibrazione del detector dipende dal training set su cui è stato addestrato, e in produzione si applica a distribuzioni di testo che sono diverse dal training. Il classico problema di out-of-distribution drift colpisce duramente i detector commerciali, e la risposta dei vendor è "abbiamo aggiornato il modello con dati più recenti" che è un trattamento del sintomo, non della causa.

Se la tua azienda sta valutando di integrare AI detector in HR o editoriale

Nel mio hub dedicato all'AI per aziende, sezione security raccolgo articoli sugli strumenti AI con uso enterprise e i loro limiti onesti. Prima di firmare un contratto con un fornitore di detector AI, vale la pena fare un audit indipendente sui numeri che il fornitore presenta nei suoi materiali commerciali, esattamente come ho descritto nell'articolo sulla lettura critica dei paper AI.

Tre casi documentati di falsi positivi che hanno generato controversie

Caso uno, gli studenti universitari accusati di plagio AI in US college 2023-2024. Decine di studenti negli Stati Uniti sono stati accusati formalmente di consegnare lavori scritti AI-generated sulla base del verdetto di TurnItIn (che ha integrato un detector AI nel suo prodotto). Ricerche indipendenti pubblicate su Stanford HAI e MIT Sloan hanno documentato che i detector commerciali avevano tassi di falsi positivi molto più alti su autori non-nativi inglesi, perché la sintassi di chi scrive in lingua seconda assomiglia statisticamente a quella di alcuni modelli LLM. TurnItIn stessa ha aggiornato la propria documentazione raccomandando di usare il detector "as a starting point for conversation, not as the basis for academic discipline". Per HR aziendale che usa detector simili sui candidati, il rischio è strutturalmente analogo: candidati con lingua seconda penalizzati sistematicamente, con immediata esposizione legale dell'azienda alla luce del divieto di discriminazione indiretta basata su nazionalità o etnia.

Caso due, le grandi pubblicazioni accademiche e il rischio di rifiuto papers. Diversi journal accademici nel 2024-2025 hanno integrato detector AI in fase di review, ed è emerso che paper scritti da ricercatori non-anglofoni venivano flaggati come "AI-likely" con frequenza significativamente superiore. Alcuni journal hanno fatto marcia indietro pubblicamente. Lo stesso pattern colpirebbe il giornalismo aziendale italiano se i detector venissero applicati senza criterio: un articolo curato di un editor italiano esperto può presentare metriche di perplexity e burstiness in zona "AI-likely" perché la prosa controllata e fluente è esattamente quella che il detector punisce.

Caso tre, l'audizione del legislatore italiano del Q4 2025 su deepfake e identificazione AI-generated content. Il dibattito politico ha messo l'accento sul rischio del falso positivo come problema di diritto: utilizzare un detector come unica base per accusare qualcuno di aver usato AI è azione potenzialmente discriminatoria ex Costituzione Art. 3 e Statuto Lavoratori Art. 8 quando applicata a candidati o dipendenti, e potenzialmente diffamatoria ex Codice Penale Art. 595 quando comunicata a terzi. Il quadro legale italiano sui detector AI è ancora in evoluzione, ma la postura prudente è chiara: trattare il detector come una euristica grossolana, non come prova.

Perché il falso positivo diventa accusa: il rischio legale italiano

Il punto più sottile della questione, e quello che il fornitore commerciale di detector raramente comunica al cliente, è il rischio legale che si assume un'azienda che usa un detector come base di una decisione che coinvolge un soggetto terzo (candidato, dipendente, autore). In Italia, il quadro applicabile include almeno tre piani regolatori. GDPR Art. 22, che disciplina le decisioni automatizzate basate unicamente su trattamento automatizzato e prevede diritto di intervento umano, contestazione e spiegazione. La sentenza italiana applicabile più recente sulla materia ribadisce che la decisione di non assumere un candidato basata principalmente sul punteggio di un detector AI rientra nell'Art. 22 e richiede consenso esplicito plus diritto di opposizione. AI Act vigente dal 2 agosto 2026, che classifica i sistemi di recruitment come high-risk con obblighi specifici di documentazione, monitoring del bias e registrazione del sistema. Statuto dei Lavoratori e diritto del lavoro italiano, che protegge il lavoratore dalla discriminazione e impone valutazioni motivate non basate esclusivamente su algoritmi opachi.

La conseguenza operativa per una PMI italiana che valuta l'integrazione di un AI detector in HR è che il rischio legale eccede il beneficio operativo. Anche concedendo al detector accuracy reale (che è limitata, come abbiamo visto), il costo asimmetrico di un falso positivo è alto: il candidato che fa causa per discriminazione basata su algoritmo non motivato ha una posizione legale solida, l'azienda deve dimostrare che il detector ha funzionato come strumento di triage e non come base di decisione, deve documentare il processo di intervento umano, deve gestire la pubblicità negativa derivante dalla controversia. Il vantaggio di "filtrare candidati che usano ChatGPT" non vale il rischio.

Quattro errori sistematici delle integrazioni detector che ho visto sul campo

Negli ultimi sei mesi ho fatto da consulente di security review a quattro progetti italiani che valutavano detector AI in pipeline di HR, editoriale o due diligence. Riporto qui i quattro errori sistematici che ho intercettato prima del go-live, perché si ripetono uguali in praticamente ogni cliente che approcci il tema senza framework strutturato.

Errore uno: usare il punteggio del detector come soglia binaria di esclusione. Il detector restituisce un numero (es. "85% AI-likely"), e il responsabile di processo decide arbitrariamente che sopra una certa soglia (60%, 70%, 80% a seconda del fornitore consultato) il candidato/contenuto viene scartato senza review umana. Mitigation: la decisione finale deve sempre passare da un essere umano qualificato, e la soglia del detector è solo un trigger di review approfondita.

Errore due: non documentare il processo decisionale per audit successivo. Quando il candidato fa causa per discriminazione, l'azienda deve poter mostrare come è arrivata alla decisione di non assumere e quale ruolo ha giocato il detector. Senza documentazione strutturata, il giudizio del lavoro chiede all'azienda di provare l'innocenza, non al candidato di provare il danno. Mitigation: log strutturato di ogni interazione detector + output, con record di chi ha rivisto e come ha deciso.

Errore tre: non aggiornare l'informativa privacy del candidato per includere uso di detector AI. GDPR Art. 13 e 14 obbligano a informare il soggetto del trattamento dei dati personali, inclusa profilazione automatizzata. Un'azienda che usa un detector senza informativa esplicita viola il GDPR a monte di qualunque considerazione sulla qualità del detector. Mitigation: aggiornare informativa, raccogliere consenso esplicito separato, prevedere meccanismo di revoca.

Errore quattro: non testare il detector sul proprio caso d'uso prima dell'adozione. I detector commerciali pubblicano metriche di accuracy su benchmark generici; la performance reale sul perimetro aziendale specifico (lingua italiana, registro tecnico/legale del settore, profilo dei candidati) può essere drammaticamente diversa. Mitigation: prima del contratto, costruire un test set proprio (50-100 esempi etichettati) e misurare accuracy/false positive/false negative del detector candidato sui propri dati.

Il quarto errore è quello che ho riprodotto sul mio Hetzner CCX33 nel test che ho descritto in apertura: il detector che il fornitore propone con accuracy "99,98%" sul materiale commerciale, applicato a un piccolo dataset di controllo italiano realistico, ha mostrato falsi positivi del 22% sui testi classici e falsi negativi del 88% sui testi humanizzati. La conversazione con il cliente cambia immediatamente quando vede questi numeri: non è più "se introdurre il detector" ma "abbiamo costruito una matrice di rischio sul nostro perimetro reale".

Il pattern ragionevole: detector come triage manuale, non come oracolo

Per chiudere costruttivamente, c'è un uso ragionevole degli AI detector in azienda che non genera rischio legale: come strumento di triage interno per l'editor che valuta materiali di marketing, comunicazione interna, documenti tecnici. Il detector può segnalare "questo testo ha pattern AI-likely, vale la pena rivedere", e l'editor poi decide in autonomia se è un problema o no. Questo uso preserva i benefici (riduzione del rischio reputazionale di pubblicare contenuti AI senza review) ed elimina i rischi (decisioni automatizzate su persone). La regola pratica è "il detector aiuta chi sta dentro l'azienda a fare meglio il proprio lavoro, mai per decidere cosa fare di chi sta fuori dall'azienda".

I dati Osservatorio Politecnico Milano 2026 ricordano che il 9% delle grandi imprese italiane ha governance AI strutturata e che il 24% ha vietato l'uso di strumenti GenAI non aziendali; l'integrazione di AI detector in HR senza framework di governance rientra esattamente nella zona di rischio che il dato di mercato segnala. Il consulente serio porta sul tavolo del cliente PMI italiana questa lettura prima della firma del contratto col fornitore di detector, e la conversazione cambia radicalmente di tono. Se ti riconosci nel pattern "stiamo per integrare un AI detector e nessuno ha valutato il rischio legale", oppure "abbiamo già firmato e ci serve un audit della pipeline e del processo decisionale", il modulo di preventivo gratuito è il punto da cui inquadrare la richiesta in due minuti, sette domande, prima della prossima riunione con il fornitore.

Ultima modifica: