L’intelligenza artificiale è diventata uno strumento quotidiano per milioni di utenti, utilizzato ormai per scrivere testi, risolvere problemi e perfino gestire attività legate alla sicurezza digitale. Proprio questa fiducia crescente, però, rischia di trasformarsi in un errore quando si parla di protezione dei dati personali. Una recente analisi nel campo della cybersecurity ha infatti sollevato dubbi concreti sull’affidabilità delle password generate automaticamente dai modelli di IA, mostrando come dietro una complessità apparente possano nascondersi schemi facilmente prevedibili.
Lo studio sulla sicurezza delle password generate dall’IA
A mettere sotto osservazione il fenomeno è stata la società di sicurezza informatica Irregular, che ha analizzato le credenziali prodotte da alcuni tra i modelli linguistici più diffusi, tra cui ChatGPT, Claude e Gemini. L’obiettivo era verificare quanto queste password fossero realmente casuali e quindi resistenti a eventuali tentativi di violazione.
I risultati hanno evidenziato un aspetto critico: anche quando le password sembrano rispettare i requisiti classici di sicurezza — combinazioni di lettere maiuscole e minuscole, numeri e simboli — tendono comunque a seguire strutture ricorrenti. In altre parole, la varietà visiva non corrisponde sempre a una reale imprevedibilità.
Il test pratico e le sequenze ripetitive emerse
L’esperimento è partito da una richiesta molto semplice rivolta ai sistemi analizzati: generare password di sei caratteri che includessero diversi tipi di simboli. Nonostante la richiesta fosse identica per tutti, i ricercatori hanno individuato pattern sorprendentemente simili.
Nel caso di Claude Opus 4.6, su cinquanta password prodotte soltanto trenta risultavano effettivamente diverse. Le altre venti erano duplicati e, in diciotto casi, la sequenza era identica. L’analisi ha mostrato inoltre che molte combinazioni iniziavano con la stessa lettera — frequentemente una “G” maiuscola — seguita spesso dal numero 7. Alcuni caratteri comparivano sistematicamente, mentre una parte consistente dell’alfabeto non veniva mai utilizzata.
Una prevedibilità di questo tipo riduce sensibilmente la difficoltà per eventuali attaccanti informatici, che possono restringere il campo delle combinazioni da testare durante un attacco automatizzato.
Risultati simili anche per altri modelli linguistici
Nemmeno gli altri sistemi analizzati hanno mostrato prestazioni migliori. ChatGPT e Gemini hanno evidenziato comportamenti analoghi, con preferenze ricorrenti per determinate lettere iniziali e simboli collocati quasi sempre nelle stesse posizioni.
Questo fenomeno diventa comprensibile osservando il funzionamento interno dei modelli linguistici. A differenza dei generatori crittografici progettati per creare numeri realmente casuali, l’intelligenza artificiale produce sequenze basate su probabilità statistiche apprese durante l’addestramento. Il sistema seleziona quindi ciò che appare più plausibile secondo i dati assimilati, non ciò che è realmente imprevedibile.
Nel contesto delle password, però, è proprio l’imprevedibilità l’elemento fondamentale per garantire la sicurezza.
Entropia e sicurezza digitale: perché la casualità conta davvero
Nel mondo della cybersecurity, la robustezza di una password viene spesso valutata attraverso il concetto di entropia, cioè il livello di casualità presente nella stringa. Più una sequenza è imprevedibile, maggiore sarà la difficoltà per un software di violarla tramite tentativi automatici.
Le password generate dall’intelligenza artificiale, secondo lo studio, presentano invece un livello di entropia relativamente basso proprio a causa delle ripetizioni strutturali individuate. Questo significa che un attaccante dotato di strumenti adeguati potrebbe individuare la combinazione corretta in tempi più brevi rispetto a quanto ci si aspetterebbe da una password apparentemente complessa.
Perché affidarsi all’IA per le password può essere rischioso
L’analisi evidenzia quindi un punto cruciale: utilizzare modelli di IA per creare password non rappresenta, almeno allo stato attuale, una scelta prudente dal punto di vista della sicurezza informatica. Sebbene queste tecnologie siano estremamente efficaci nel generare contenuti coerenti e credibili, non sono progettate per garantire casualità crittografica.
Quando si tratta di proteggere account personali, dati sensibili o accessi professionali, strumenti specifici come i password manager o i generatori crittografici restano soluzioni più affidabili. La ricerca dimostra infatti che, nel campo della sicurezza digitale, ciò che sembra complesso non è necessariamente sicuro — e che la vera protezione nasce dall’imprevedibilità, non dalla sola apparenza.
Potrebbe interessarti anche questa notizia: Svolta nelle password: ecco quante lettere servono oggi per tenere lontani gli hacker