Immagine editoriale che rappresenta segnali di identità nascosti incorporati nelle forme d'onda audio, nel contesto della frode musicale basata sull'IA.
Artificial IntelligenceMusic IndustryTechnology

Spotify ha cancellato 75 milioni di brani falsi. Il vero problema sono quelli rimasti.

Ashutosh SinghalAshutosh Singhal23 febbraio 202612 min

Qualche mese fa, ero seduto a una riunione con un distributore musicale che mi ha detto una cosa che ha riprogrammato il mio modo di pensare all'intero settore audio. Ha aperto una dashboard che mostrava la loro pipeline di acquisizione giornaliera. "Vedi questo?" ha detto, scorrendo un flusso di nuovi caricamenti. "Riceviamo circa quattromila tracce al giorno solo attraverso la nostra piattaforma. Stimerei che un terzo di esse sia stato realizzato da qualcuno che ha impiegato meno tempo a creare la traccia di quanto tu ne abbia impiegato a lavarti i denti stamattina."

Io ho riso. Lui no.

Non stava esagerando. Solo Spotify acquisisce all'incirca 100,000 nuove tracce ogni singolo giorno. Se provassi ad ascoltare solo 30 secondi di ciascuna, ti ci vorrebbero 35 giorni di riproduzione continua per esaurire i caricamenti di un solo giorno. E una quota crescente di quel diluvio non è musica in alcun senso significativo: è rumore generato algoritmicamente, progettato per sottrarre denaro alle persone che l'arte la fanno davvero.

Questo è il problema del watermarking audio su cui ho passato l'ultima fase della mia carriera a ossessionarmi in Veriprajna. Non perché il watermarking sia una tecnologia affascinante — non lo è — ma perché ogni altra soluzione su cui il settore fa affidamento ha un difetto fatale di cui nessuno vuole parlare onestamente.

Il furto da 3 miliardi di dollari nascosto nella tua playlist

Ecco la parte che dovrebbe farti arrabbiare, che tu sia un musicista, un ascoltatore o semplicemente qualcuno che paga $10.99 al mese per un abbonamento streaming.

Il modo in cui la maggior parte delle grandi piattaforme paga gli artisti si chiama modello pro-rata. Tutti i ricavi da abbonamenti e pubblicità confluiscono in un unico enorme fondo comune. Quel fondo viene diviso per il numero totale di stream sulla piattaforma. La tua tariffa per stream è una frazione del totale.

Questo significa che ogni stream falso non ruba soltanto alla piattaforma: ruba a ogni artista reale. Quando una bot farm genera un miliardo di ascolti su rumore bianco generato dall'IA, gonfia il denominatore. Il compenso per stream cala per tutti. Il tuo artista indipendente preferito, quello che ha passato sei mesi a scrivere un album nella sua cameretta, viene pagato di meno perché un giro di frodi in un altro paese ha caricato diecimila loop di suoni di pioggia e gli ha puntato addosso una botnet.

Le stime del settore quantificano il danno annuo in da 2 a 3 miliardi di dollari. Deezer ha riferito che il 70% degli ascolti su tracce generate dall'IA sulla propria piattaforma era stato segnalato come fraudolento. Spotify ha dovuto eliminare oltre 75 milioni di tracce solo nel 2024 e nel 2025 — un numero che rivaleggia con le dimensioni dell'intero catalogo storico della musica registrata.

Ogni stream fraudolento non è solo un furto ai danni di una piattaforma. È una tassa su ogni artista legittimo, pagata in modo invisibile attraverso un fondo di royalty che si assottiglia.

Ricordo la sera in cui uscirono quei numeri sull'epurazione di Spotify. Ero alla mia scrivania, e la mia prima reazione fu di sollievo: finalmente, le piattaforme stanno prendendo la cosa sul serio. La mia seconda reazione, circa dieci minuti dopo, fu di sgomento. Perché 75 milioni è il numero che sono riuscite a intercettare. E quelli che sono sfuggiti?

Perché l'audio fingerprinting fallisce contro la musica IA?

Un diagramma di confronto affiancato che mostra come l'audio fingerprinting (identificazione) fallisca contro i contenuti IA inediti, mentre il watermarking audio (autenticazione) riesca a incorporare la provenienza al momento della creazione.

Questa è la domanda che mi ha spinto a iniziare a costruire ciò che stiamo costruendo. E la risposta è ingannevolmente semplice una volta che la si coglie.

Il principale sistema di difesa dell'industria musicale è l'audio fingerprinting — la tecnologia dietro Shazam, il Content ID di YouTube e la maggior parte delle piattaforme di gestione dei diritti. Il fingerprinting funziona estraendo una firma percettiva da un frammento audio e confrontandola con un enorme database di registrazioni note.

Ecco il problema: l'IA generativa non copia. Sintetizza.

Quando un modello di diffusione genera una nuova traccia, crea una forma d'onda che non è mai esistita prima. Non c'è alcuna voce in nessun database di fingerprinting con cui confrontarla. Per il Content ID, una nuovissima traccia spam creata dall'IA appare esattamente come un nuovissimo capolavoro umano. Entrambe sono semplicemente "contenuto sconosciuto".

Lo chiamo il Paradosso dell'Originalità, ed è il motivo per cui non sono riuscito a dormire per circa una settimana dopo aver eseguito i nostri primi test. Abbiamo preso un insieme di tracce generate dall'IA — alcune chiaramente derivative di artisti esistenti, altre completamente inedite — e le abbiamo fatte passare attraverso le pipeline di fingerprinting standard. Quelle derivative ogni tanto attivavano corrispondenze parziali. Quelle inedite? Silenzio assoluto dal sistema di rilevamento. Nemmeno una segnalazione.

Il mio co-fondatore ha guardato i risultati e ha detto: "Quindi più l'IA diventa brava a essere originale, peggiore diventa il nostro rilevamento?" Sì. Esattamente. È questa la trappola.

Il fingerprinting è una tecnologia di identificazione. Ti dice cosa è una cosa. Il watermarking è una tecnologia di autenticazione. Ti dice da dove proviene una cosa. L'industria musicale ha usato lo strumento sbagliato.

Ho scritto di questa distinzione — e dell'intera architettura tecnica dietro il motivo per cui il fingerprinting si sgretola — nel nostro whitepaper interattivo. Ma la versione breve è questa: il fingerprinting è reattivo. Ha bisogno che il contenuto esista già e sia registrato. A noi serviva qualcosa di proattivo — qualcosa che incorpori la provenienza nel momento stesso della creazione.

La frode è diventata più intelligente mentre non guardavamo

Un diagramma di flusso che mostra la moderna kill chain "low and slow" della frode musicale IA, dalla generazione delle tracce IA alla distribuzione tramite botnet fino all'estrazione dal fondo delle royalty.

L'altra cosa che mi teneva sveglio era scoprire come funzionano davvero oggi le operazioni di frode. Il vecchio copione era rozzo: carichi una traccia, la bombardi con milioni di stream da un unico indirizzo IP, incassi. Le piattaforme lo hanno smascherato anni fa.

Il nuovo copione è di un'eleganza terrificante. Lo chiamano "low and slow".

Invece di una sola traccia che riceve un milione di stream falsi, un giro di frodi usa l'IA per generare diecimila tracce. Poi una botnet riproduce ogni traccia appena un centinaio di volte. Il compenso aggregato è lo stesso, ma nessuna singola traccia fa scattare un allarme da picco virale. La frode si nasconde nella coda lunga, sepolta sotto la mole di dati legittimi.

E l'infrastruttura dietro queste operazioni è diventata di livello enterprise. Parliamo di proxy residenziali che instradano il traffico attraverso dispositivi IoT compromessi, così che ogni stream sembri provenire da una casa diversa. Browser headless che eseguono script capaci di imitare il comportamento umano — movimenti del mouse, pause, salti di traccia, ricerche — per ingannare le analisi di engagement. Playlist generate dall'IA con titoli ottimizzati per la SEO come "Chill Lo-Fi for Coding" che mescolano qualche successo legittimo di artisti importanti con decine di tracce spam, camuffando la frode e talvolta persino ingannando l'algoritmo di raccomandazione della piattaforma, inducendolo a proporre le tracce false ad ascoltatori reali.

Un pomeriggio ero con il nostro team a mappare questa kill chain su una lavagna, e qualcuno ha detto: "Questa non è pirateria musicale. È frode finanziaria che si dà il caso usi file audio come veicolo." Quella riformulazione ha cambiato tutto per noi.

Cosa succede quando riproduci una canzone da un altoparlante e la ri-registri?

Un diagramma annotato che mostra come il watermark basato sull'autocorrelazione sopravviva al gap analogico — i blocchi di watermark ripetuti vengono distorti in modo identico dall'acustica dell'ambiente, preservando la loro relazione interna.

Questa è la sfida tecnica che separa il watermarking serio da tutto il resto, ed è quella per cui sono più orgoglioso del nostro team che l'ha affrontata.

Si chiama Gap Analogico — a volte chiamato Buco Analogico. Immagina che una canzone deepfake venga riprodotta dagli altoparlanti del laptop di qualcuno. Il suono viaggia nell'aria. Qualcuno la registra con il telefono. Quella registrazione viene caricata su una piattaforma.

Durante quel percorso, il segnale audio viene distrutto in modi quasi comicamente ostili alla conservazione dei dati. Il suono rimbalza su pareti, pavimenti e mobili — il microfono riceve il segnale diretto più migliaia di riflessi leggermente ritardati. Gli altoparlanti economici tagliano tutto ciò che è sotto i 300Hz e sopra i 15kHz. Il dispositivo di registrazione non sa dove "inizia" il watermark, quindi l'intero segnale è desincronizzato.

La maggior parte dei sistemi di watermarking che sopravvivono alla compressione MP3 — il gap digitale — muoiono all'istante nel gap analogico. Eppure, il gap analogico è esattamente lo scenario che conta di più per rilevare i deepfake condivisi sui social media, trasmessi alla radio o catturati durante chiamate in diretta.

Abbiamo passato settimane a fallire su questo prima di trovare l'approccio che ha funzionato. La svolta è stata capire che non avremmo dovuto affatto confrontare il segnale ricevuto con un riferimento esterno. Invece, incorporiamo uno schema ripetuto all'interno del segnale stesso e usiamo l'autocorrelazione — il segnale confronta se stesso con se stesso.

Ecco perché è ingegnoso: quando l'audio attraversa una stanza riverberante, l'intero segnale viene distorto nello stesso modo. Il Blocco A e il Blocco B del nostro watermark ripetuto vengono entrambi sfocati dalla stessa acustica dell'ambiente. La relazione tra loro sopravvive anche quando il segnale assoluto è stravolto. Il rilevatore cerca un picco periodico nell'autocorrelazione a un intervallo noto, e quel picco conferma la presenza del watermark senza aver mai bisogno di sapere come suonasse l'audio originale.

C'è stato un momento in laboratorio — e uso "laboratorio" in senso lato, era in realtà solo una sala riunioni con un laptop e un altoparlante Bluetooth comprato in un minimarket — in cui abbiamo riprodotto una traccia con watermark da quel pessimo altoparlante, l'abbiamo registrata con un telefono dall'altra parte della stanza e abbiamo eseguito il rilevatore. Quando è risultato positivo, il mio ingegnere mi ha guardato e ha detto, molto sottovoce: "Non avrebbe dovuto funzionare." Ma ha funzionato. Ed è stato allora che ho capito che avevamo qualcosa.

Gli aggressori non possono semplicemente rimuovere il watermark?

Questa è la prima obiezione che tutti sollevano, ed è quella giusta.

Gli aggressori sofisticati proveranno senza dubbio a usare l'IA per individuare e rimuovere i watermark. Sarebbe ingenuo pensare il contrario. Ecco perché la nostra pipeline di addestramento non si limita a difendersi da un elenco fisso di attacchi noti come "aggiungi rumore" o "comprimi in MP3". Usiamo un framework di addestramento avversariale — in sostanza, addestriamo una rete attaccante insieme al nostro sistema di watermarking. L'attaccante cerca di distruggere il watermark mantenendo l'audio ascoltabile. L'encoder si adatta per sopravvivere all'attacco. Giocano questa partita minimax attraverso migliaia di iterazioni finché il watermark non sopravvive ad attacchi che nemmeno esistevano quando è iniziato l'addestramento.

Il risultato: il nostro sistema raggiunge un'accuratezza di attribuzione superiore al 98% anche sotto un editing aggressivo — time-stretching, pitch-shifting, ritaglio. Anche se un truffatore riduce una clip di 30 secondi a 10 secondi, il rilevatore accumula abbastanza prove statistiche dal frammento per decodificare la firma di provenienza.

Per l'analisi tecnica completa dell'incorporamento spread-spectrum, della decomposizione SVD e dei protocolli di resistenza avversariale, consulta il nostro documento di ricerca. Ma l'intuizione chiave non riguarda una singola tecnica — è che il watermark vive nella struttura dell'audio, non sulla sua superficie. Puoi levigare via la superficie con la sabbiatrice. La struttura resiste.

L'etichetta nutrizionale per il suono

Un watermark, da solo, è un collegamento. Dice "questo audio è stato marchiato." Ma marchiato da chi? Per quale scopo? Per costruire un vero ecosistema di fiducia, devi collegare quel segnale acustico a un'identità verificabile.

È qui che ci integriamo con C2PA — la Coalition for Content Provenance and Authenticity — uno standard aperto che funziona come un'etichetta nutrizionale per i contenuti digitali. Registra crittograficamente chi ha creato un asset, come è stato creato (da un umano o dall'IA) e quali modifiche sono state apportate.

La vulnerabilità delle soluzioni basate solo sui metadati è evidente: converti un WAV firmato in un generico MP3 e l'intestazione dei metadati svanisce. Trasmettilo alla radio, e sparisce. Ma il nostro watermark sopravvive a quelle trasformazioni. Quindi usiamo il watermark come un soft binding — trasporta un identificatore univoco che punta a un manifest C2PA ospitato nel cloud. Rimuovi i metadati, converti il formato, riproducilo nell'aria e ri-registralo. Il watermark persiste. Il rilevatore estrae l'identificatore, interroga il registro e recupera l'intero record di provenienza.

La provenienza dovrebbe viaggiare con il contenuto, non stare in un'intestazione che viene rimossa nel momento in cui qualcuno clicca "Esporta come MP3."

E per chiunque sia preoccupato per la privacy — un giornalista dissidente o un artista anonimo non dovrebbero dover allegare il proprio nome legale a un file solo per dimostrarne l'autenticità. C2PA supporta rivendicazioni pseudonime e la divulgazione selettiva. Un artista può firmare una traccia come "Verified Creator #892," collegata a una credenziale emessa da una terza parte fidata, senza rivelare il proprio indirizzo di casa.

Perché non assumere semplicemente più moderatori?

Perché è economicamente impossibile. La ricerca mostra che i moderatori umani sono più accurati nel cogliere sfumature e contesto, ma costano quasi 40 volte di più dei sistemi automatizzati. E l'udito umano sta diventando biologicamente insufficiente — distinguere un clone vocale IA di alta qualità da una registrazione reale si avvicina ai limiti di ciò che le nostre orecchie sanno fare, pur rimanendo matematicamente trattabile per le macchine.

Il settore ha bisogno della sfumatura del giudizio umano alla scala e al costo del software. È questo che offre il rilevamento deterministico del watermark. Un watermark o è presente o non lo è. Non c'è alcun punteggio di confidenza da interpretare, nessuna curva di probabilità che richieda un revisore umano per sciogliere un pareggio. Questo consente un'azione completamente automatizzata — demonetizzazione, segnalazione, rimozione — con una certezza di grado legale.

Il bivio

A volte le persone mi chiedono se penso che l'IA distruggerà l'industria musicale. Non lo penso. Credo che l'industria musicale se la caverà — se smette di fingere che gli strumenti costruiti per l'era precedente funzionino in questa.

Il fingerprinting è stato costruito per un mondo in cui i contenuti erano creati dagli esseri umani e la sfida era identificare le copie. Ora viviamo in un mondo in cui i contenuti sono creati dalle macchine e la sfida è dimostrare l'origine. Sono problemi fondamentalmente diversi, e richiedono un'infrastruttura fondamentalmente diversa.

La soglia minima di 1,000 stream di Spotify per i pagamenti delle royalty è un cerotto normativo. I modelli di pagamento incentrati sull'utente sono un miglioramento strutturale. Ma nessuno dei due affronta la causa profonda: attualmente le piattaforme non sono in grado di distinguere tra una nuova traccia IA e una nuova traccia umana. Finché questo non cambia, ogni altra soluzione è a valle.

La capacità generativa è ormai una commodity. Chiunque abbia una GPU o una chiave API può inondare la pipeline. La scarsità — e quindi il valore — si è spostata sulla provenienza. Non cosa è stato creato, ma chi lo ha creato, come, e se è reale.

Il futuro della musica IA non riguarda il modello che genera la melodia migliore. Riguarda l'infrastruttura che garantisce che quella melodia sia reale, remunerata e riconosciuta.

Con l'EU AI Act e la normativa statunitense sui deepfake in arrivo, il watermarking sta passando da opzionale a obbligatorio. La domanda non è se il settore adotterà standard di provenienza. È se li adotterà prima o dopo che i fondi delle royalty saranno stati prosciugati.

So su quale lato di quella scommessa sto costruendo. Se non puoi applicarvi un watermark, non generarlo. Non è uno slogan. È l'unica realtà operativa che rende possibile un internet audio affidabile.

Ricerca correlata

Pubblicato anche su

Costruisci la tua IA con fiducia.

Collabora con un team che vanta una profonda esperienza nella creazione della prossima generazione di IA aziendale. Lascia che ti aiutiamo a progettare, sviluppare e implementare una strategia di IA di cui ti puoi fidare.

Veriprajna società di consulenza Deep Tech è specializzata nella creazione di sistemi di IA safety-critical per i settori sanitario, finanziario e regolamentato. Le nostre architetture sono validate rispetto a protocolli consolidati con una documentazione di conformità completa.