L'algoritmo della frode: così Michael Smith ha hackerato il mercato musicale rubando 10 milioni di dollari in royalty |
Il sistema di hackeraggio degli streaming musicali architettato da Michael Smith ha generato 10 milioni di dollari in royalty
Roma, 15 aprile 2026 – L'industria musicale globale si trova oggi a fare i conti con una vulnerabilità strutturale che molti sospettavano, ma che nessuno aveva mai sfruttato con la metodica precisione di Michael Smith. Il cinquantaduenne del North Carolina non ha semplicemente “truccato” qualche ascolto; ha edificato un’infrastruttura di simulazione digitale capace di generare miliardi di stream fraudolenti, drenando circa 10 milioni di dollari in royalty destinate ad artisti legittimi. Il caso, sollevato dalla Procura del Distretto Sud di New York, rappresenta il primo grande precedente penale che unisce l'uso di botnet su larga scala alla generazione di contenuti tramite intelligenza artificiale (AI).
L'architettura del sistema: 10mila account e virtualizzazione Ip
Il cuore dell'operazione di Smith non risiedeva nella qualità della musica, ma nella sofisticazione della rete di distribuzione. Per evitare i sistemi di rilevamento delle piattaforme come Spotify, Apple Music e Amazon Music, Smith ha evitato l'errore grossolano di concentrare i flussi su pochi profili. Ha invece gestito una flotta di oltre 10mila account ‘premium’ creati artificialmente. Poiché un abbonamento premium costa mediamente 9,99 o 10,99 dollari al mese, Smith ha dovuto calcolare un punto di pareggio (break-even point) estremamente preciso: il costo operativo degli abbonamenti doveva essere ampiamente coperto dai ricavi delle royalty generate. Utilizzando server proxy e reti private virtuali (Vpn) residenziali, Smith assegnava a ogni account un indirizzo Ip unico, simulando la presenza di migliaia di ascoltatori distribuiti geograficamente. Questa tecnica di “frazionamento dell'ascolto” rendeva ogni bot indistinguibile da un utente reale. Il software proprietario di Smith era programmato per non superare mai i limiti di ascolto giornalieri considerati “umani” (circa 16-18 ore al giorno), alternando pause e saltando brani per mimare un comportamento organico e non lineare.
La fabbrica dei contenuti: 600mila tracce e saturazione AI
Il secondo grande ostacolo per Smith era il catalogo. Se avesse caricato pochi brani, l'anomalia statistica di milioni di ascolti su pochi codici Isrc (International Standard Recording Code) avrebbe attivato i protocolli di sicurezza. La soluzione è stata la produzione industriale di contenuti. Collaborando con una società specializzata in musica AI, Smith ha generato un database di circa 650.000 brani unici. Questi file audio erano composizioni elementari, spesso brevi (poco più di 31-35 secondi, la soglia minima per far scattare il pagamento della royalty su molte piattaforme). Attraverso l'uso di metadati generati casualmente da algoritmi di Natural Language Processing, Smith ha popolato i servizi di streaming con migliaia di artisti fittizi. Nomi come Calvin Shorthand’ o ‘Zygotic Washdown’ erano associati a tracce dai titoli criptici, permettendo alla sua botnet di distribuire miliardi di stream su un catalogo vastissimo. In questo modo, ogni singola traccia generava pochi dollari, ma la somma di 650.000 sorgenti diverse rendeva il flusso di cassa massiccio e difficile da intercettare per i data analyst.
Il calcolo delle royalty: una sottrazione da 1,2 milioni l'anno
Per comprendere l'entità del danno, bisogna guardare al modello di pagamento ‘pro-rata’. In questo sistema, i ricavi totali vengono spartiti in base alla quota percentuale sul totale degli ascolti mondiali. Smith aveva calcolato che ogni stream fruttasse tra 0,003 e 0,005 dollari. Proiettando questo dato sulla sua rete, era arrivato a generare circa 661.000 stream giornalieri. Il calcolo matematico alla base della frode era impressionante: 661.000 stream moltiplicati per un valore medio di 0,004 dollari portavano a un incasso di circa 2.644 dollari al giorno, ovvero oltre 80.000 dollari al mese. Su base annua, questa operazione garantiva entrate superiori a 1.200.000 dollari, con margini di profitto altissimi nonostante i costi di gestione della botnet e degli abbonamenti. Tra il 2017 e il 2024, il sistema ha sottratto complessivamente 10 milioni di dollari dal fondo destinato agli artisti reali.
La fine dell'impero e le sfide giuridiche
L'inchiesta dell'Fbi ha svelato che Smith comunicava regolarmente via email per ottimizzare la “capacità di carico” del sistema, discutendo come accelerare il caricamento dei file per massimizzare il ritorno sull'investimento. Le accuse pendenti contro di lui includono frode telematica e riciclaggio di denaro, con pene che potrebbero raggiungere i 20 anni di reclusione per ciascun capo d'accusa. Il caso Smith non è solo un fatto di cronaca nera, ma una sfida tecnologica. Obbliga l'intera industria musicale a riconsiderare i propri sistemi di crittografia e tracciamento dei dati, spingendo verso l'adozione di modelli ‘user-centric’ dove il pagamento segue l'ascolto dell'utente reale e non la massa bruta degli stream. Questa vicenda rimarrà nella storia come la prima dimostrazione di come l'intelligenza artificiale possa essere trasformata in una pressa per battere moneta digitale illegale.
© Riproduzione riservata