Con una sola foto l’IA individua la tua posizione nel 91% dei casi

L’intelligenza artificiale usa semplici dettagli nelle tue foto per individuare dove ti trovi: una miniera d’oro per i truffatori

Rapporto di McAfee Labs sui viaggi estivi in sicurezza | Estate 2026 

Una foto vale più di mille dati 

Sei di ritorno da una settimana in America Centrale. Hai pubblicato alcune foto: le strade colorate di Tulum, un’immagine delle antiche rovine di Tikal, un primo piano dei tuoi taco ai gamberetti. Nessun tag di posizione, nessuna didascalia con il nome della città, solo una bella foto.

Qualche giorno dopo, ricevi un messaggio che sembra provenire dalla tua banca e fa riferimento ad attività sospette “durante un viaggio all’estero”. Sembra stranamente preciso e, con tutti quei dettagli su dove ti trovavi e quando, ha un aspetto proprio reale.

Questo tipo di messaggi ingannevoli personalizzati è una tattica sempre più diffusa. Magari anche le tue foto hanno contribuito a scrivere quello che hai ricevuto.

McAfee Labs ha deciso di capire esattamente quante informazioni sulla posizione siano contenute in una normale foto di viaggio e le implicazioni per i circa 244 milioni di americani che viaggiano ogni anno.

Quello che abbiamo scoperto dovrebbe farti cambiare idea su ciò che condividi online: alcuni modelli di intelligenza artificiale hanno un tasso di accuratezza superiore al 90% nel rilevare il luogo in cui è stata scattata una fotografia, basandosi esclusivamente su quanto presente nella foto stessa. E, cosa fondamentale, tale livello di precisione è raggiungibile grazie a strumenti gratuiti e ampiamente accessibili.  Ecco perché abbiamo creato degli strumenti come McAfee+ con la protezione dalle truffe. È pensato proprio per aiutarti a scoprire questo tipo di messaggi molto mirati e convincenti prima che ti facciano commettere degli errori che potrebbero costarti molto caro.

Cosa abbiamo testato e perché 

La domanda a cui McAfee Labs voleva rispondere era apparentemente semplice: l’intelligenza artificiale è in grado di capire dove è stata scattata una fotografia semplicemente guardandola, anche senza dati GPS o tag di localizzazione?

Niente metadati, nessuna coordinata incorporata, solo l’immagine in sé contenente uno sfondo, un’architettura, insegne, luce: il contesto visivo acquisito naturalmente da qualsiasi fotografia.

Per rispondere alla domanda abbiamo creato un test automatizzato, cui abbiamo sottoposto una serie di dati composta da 21.236 immagini di viaggio provenienti da raccolte di pubblico dominio. Per comprovare i risultati abbiamo inoltre condotto un’analisi distinta e più rigorosa su altre 102 immagini.

Il test ha coinvolto due modelli di visione artificiale su larga scala disponibili al pubblico, entrambi gratuiti. Per usarli non servivano accessi speciali o dati riservati, né competenze tecniche avanzate. Abbiamo usato gli stessi strumenti a cui può accedere oggi un truffatore.

Ogni immagine è stata analizzata inviando al modello una richiesta automatizzata e standardizzata di identificazione del luogo raffigurato (città, paese o regione) basandosi esclusivamente sul contenuto visivo. I risultati sono stati poi esaminati dagli analisti umani per verificarne l’accuratezza e segnalare i casi limite.

Cosa abbiamo scoperto: l’IA ha un incredibile tasso di precisione pari al 91% 

I risultati sono stati sorprendenti.

Gemma3 27B ha indovinato le città e i Paesi delle foto di viaggio nell’87% dei casi. Qwen3 VL 30B ha ottenuto risultati ancora migliori, raggiungendo una precisione del 91% sulla stessa serie di dati.

Ciò vuol dire che un modello di IA disponibile gratuitamente per chiunque può determinare dove è stata scattata una normale foto di viaggio in circa 9 casi su 10. Questo tipo di analisi è il modo in cui gli strumenti di IA interpretano le immagini in generale, non solo per le truffe, ma per presentare le informazioni nelle risposte generate.

Anche quando non è stata identificata la città esatta, il Paese da solo era quasi sempre corretto. Per un truffatore, questo è più che sufficiente per trasformare una truffa vaga e generica in una che sembri specifica, attuale e credibile. 

Cos’è che rende una foto facile da localizzare? 

Alcuni tipi di immagini sono stati identificati con un livello di affidabilità ancora maggiore: 

  • foto che ritraggono monumenti famosi o profili di città riconoscibili; 
  • immagini scattate in celebri località turistiche dalle caratteristiche visive inconfondibili; 
  • fotografie in cui si vedono insegne, segnaletica stradale particolare o l’architettura locale; 
  • immagini che hanno colto il contesto culturale: mezzi di trasporto, vetrine dei negozi, bancarelle di prodotti alimentari. 

Gli scenari meno riconoscibili, come una spiaggia qualsiasi, una strada di campagna o una camera d’albergo, hanno avuto una precisione minore ma anche in quei casi, il tasso di identificazione a livello di Paese è rimasto elevato. 

Quanto provato ci ha messo i brividi

Per illustrare quanto fosse facile riprodurre questa operazione, siamo usciti dai McAfee Labs e abbiamo chiesto ai nostri colleghi meno esperti di tecnologia di provarci di persona. Non serviva alcuna esperienza nel campo della ricerca, né strumenti particolari.

I dipendenti hanno caricato su ChatGPT, Claude e Copilot le loro foto di viaggio personali, prese direttamente dalle fotocamere e mai pubblicate prima, poi hanno semplicemente chiesto ai modelli di identificare il luogo in cui era stata scattata una fotografia.

I risultati hanno messo le persone un po’ a disagio.

La precisione è stata minore rispetto ai nostri test di laboratorio controllati, ma non di molto. I modelli hanno infatti identificato correttamente la posizione a livello di Paese, con una precisione più che sufficiente per permettere a un truffatore di creare un messaggio convincente e mirato.

Il punto non è se l’IA ha già “visto” le tue foto da qualche parte. Il punto è che una fotografia contiene intrinsecamente un’enorme quantità di informazioni sulla posizione: architetture, luce, segnaletica, paesaggio, semplicemente per il fatto che si tratta di elementi esistenti nel mondo. Non c’è bisogno di aggiungere un marcatore geografico a una foto per farle rivelare dove ti trovavi. 

Guarda con i tuoi occhi 

La sezione seguente mostra esempi concreti di come funziona il rilevamento della geolocalizzazione tramite IA, con le foto di viaggio personaliconcesse dai nostri ricercatori. Nessun tag di posizione, nessun metadato, solo l’immagine e quello che l’IA ci ha trovato dentro.

Abbiamo iniziato con delle strutture più o meno riconoscibili, per poi passare a sfondi sempre più indefiniti fino al solo fogliame. Ecco i risultati.

Esempio 1 

Foto della luna di miele di Brooke: questo esempio presenta un punto di riferimento evidente, che aiuta l’IA a individuare con precisione il luogo.

Quando c’è qualcosa di riconoscibile, l’IA lo riconosce davvero, arrivando persino a indicare su una carta il punto esatto in cui ci si trova, a raccontare la storia del luogo e a dare informazioni turistiche.

Schermata di una conversazione in cui ChatGPT identifica il luogo in cui è stata scattata una foto
L’IA ha indicato correttamente che questa foto è stata scattata davanti al “Tempio II, Tempio delle Maschere”.

Esempio 2 

La foto del tramonto di Sandra: in questo esempio l’IA ha avuto più difficoltà perché sono stati rimossi i principali punti di riferimento e le personeChatGPT è comunque riuscito a identificare correttamente la località come Hastings-on-Hudson.    Schermata che mostra lidentificazione corretta della posizione da parte dellIA

Esempio 3 

Il primo piano dei fiori scattato da Rob: è bastato solo questo primo piano di tulipani perché Claude capisse con precisione che la foto era stata scattata ai giardini di Keukenhof, nei Paesi Bassi.

Lintelligenza artificiale è riuscita a identificare la località di questi fiori in un primo piano.
L’intelligenza artificiale è riuscita a identificare la località di questi fiori in un primo piano.

Come una foto si trasforma in una truffa 

Sapere dove si trova qualcuno o dove è stato di recente è uno dei trucchi più vecchi del repertorio dei truffatori. Fino a poco tempo fa, per ottenere quell’informazione bisognava conoscere la persona in questione oppure avere un po’ di fortuna.

L’intelligenza artificiale invece elimina ogni margine di incertezza, consentendo ai pirati informatici di mettere a punto truffe altamente mirate e contestualizzate su larga scala.

Con una localizzazione geografica così precisa, i truffatori non hanno più bisogno di gettare una rete ampia, sperando che almeno un messaggio di phishing generico vada a segno. Possono invece usare foto condivise pubblicamente per creare un contesto credibile attorno all’attacco: 

  • “Abbiamo rilevato un’attività insolita nel suo conto mentre si trovava a [città].” 
  • “La sua carta è stata segnalata per una transazione effettuata in [Paese]. La preghiamo di verificare subito.” 
  • “Salve, le scriviamo in merito al suo recente soggiorno in un albergo di [destinazione].” 
  • “Ciao, sono [nome], mi trovo in Messico e tutte le mie carte vengono rifiutate. “Potresti mandarmi €€?”(Messaggio che usa i nomi dei tuoi amici o dei tuoi cari.) 
  • “Abbiamo rilevato un tentativo di accesso dalla sua posizione in [destinazione]. La preghiamo di confermare la sua identità.” 
  • “La sua prenotazione a [città] deve essere confermata: cliccare qui per confermarla.” 
Esempio di SMS ingannevole individuato dai nostri ricercatori. Ora, immagina se i truffatori avessero più informazioni, come il tour esatto a cui hai partecipato, dove ti trovavi o i negozi in cui hai fatto acquisti. Tali dettagli renderebbero messaggi come questi ancora più convincenti e personalizzati.
Questo è un esempio di SMS ingannevole individuato dai nostri ricercatori. Ora, immagina se i truffatori avessero più informazioni, come il tour esatto a cui hai partecipato, dove ti trovavi o i negozi in cui hai fatto acquisti. Tali dettagli renderebbero messaggi come questi ancora più convincenti e personalizzati.

Questi messaggi non devono essere per forza perfettamente precisi. Devono solo sembrare plausibili e realistici quanto basta. La strategia è tutta qui. La familiarità riduce lo scetticismo, che è ciò che ci protegge.

Il phishing di massa diventa quindi iper-personalizzato su larga scala. È per questo che anche i viaggiatori più cauti ed esperti di tecnologia finiscono per caderci. 

Il nuovo modus operandi dei truffatori 

Ecco quanto è semplice questa tattica: 

  1. si trovano delle foto di viaggio condivise pubblicamente su Instagram, Facebook o X, senza bisogno di compromettere alcunché; 
  2. le si esaminano con un modello di visione artificiale disponibile gratuitamente; 
  3. si individua la probabile destinazione, il periodo di tempo e il contesto; 
  4. si stila un messaggio mirato che fa riferimento a quella località; 
  5. lo si invia durante il periodo del viaggio o subito dopo, quando la vittima è più propensa a crederci. 

I passaggi da 1 a 5 possono essere automatizzati, l’intero processo è facilmente scalabile e i messaggi che ne risultano sembrano davvero personali, in un modo che le truffe generiche non potrebbero mai eguagliare. 

Il generale panorama delle truffe che i viaggiatori devono affrontare 

L’inferenza della geolocalizzazione non è un caso unico, ma fa parte dell’arsenale sempre più vasto usato dai truffatori specificamente contro i turisti.

Chi viaggia si trova a vivere situazioni diverse dal quotidiano, a connettersi a reti che non conosce e a prendere decisioni economiche in fretta, sotto pressione. Sono proprio questi comportamenti a rendere l’individuazione della posizione tramite foto un pratico strumento per i truffatori.

Una nuova ricerca di McAfee fra i consumatori ha rivelato che più di 1 americano su 3 ha subito una minaccia informatica legata ai viaggi e il 41% delle persone colpite ha subito una perdita economica, spesso superiore a 500 dollari. Allo stesso tempo, l’aumento dei costi di viaggio e la mancanza di tempo stanno spingendo le persone a prendere decisioni più affrettate e rischiose. Sono proprio queste le condizioni che i truffatori sono pronti a sfruttare.

I dati rivelano quanto i viaggiatori si espongano al rischio senza rendersene conto. Quasi due terzi degli americani si connettono a reti Wi-Fi pubbliche quando sono in viaggio (63%) e una percentuale simile (62%) scansiona i codici QR senza verificare dove portano. Quasi la metà usa specificamente i Wi-Fi degli aeroporti (49%), mentre il 41% ammette di fidarsi dei messaggi relativi ai viaggi senza controllare chi li ha inviati. Una persona su cinque accede alle app finanziarie mentre è connessa alle reti pubbliche e condivide i propri programmi di viaggio in tempo reale sui social media. Il 20% clicca sui link relativi ai viaggi senza prima verificare la fonte. Infine, circa 1 su 5 (22%) ammette di condividere i propri programmi di viaggio in tempo reale.

Vale la pena di soffermarsi su quest’ultimo comportamento. Condividere i propri programmi di viaggio in tempo reale, su account social pubblici o semi-pubblici, è proprio ciò che genera i segnali di localizzazione basati sulle foto oggetto di questa ricerca. Questi comportamenti e la divulgazione dei dati di geolocalizzazione non sono questioni separate, ma si alimentano a vicenda.

L’inferenza della posizione è l’elemento chiave che rende tutte le vulnerabilità esistenti più facili da sfruttare. Un truffatore che ha un’idea approssimativa di dove ti trovi non ha solo un dato, ma un intero copione. 

Metodologia: come abbiamo condotto questa ricerca 

La trasparenza è importante. Ecco come è stata condotta questa ricerca esattamente.

Serie di dati: 21.236 immagini di viaggio disponibili pubblicamente a fini di ricerca, più un gruppo separato e controllato di 102 immagini inedite fornite dai volontari interni di McAfee.

Modelli testati: 

  • Gemma3 27B: modello multimodale e di linguaggio-visione sviluppato da Google DeepMind; 
  • Qwen3 VL 30B: modello multimodale e di linguaggio-visione sviluppato dal gruppo Qwen di Alibaba. 

È importante sottolineare che abbiamo condotto i nostri test utilizzando modelli linguistici di grandi dimensioni in esecuzione locale sui nostri computer, anziché servizi pubblici come ChatGPT.

Questo riflette in modo più fedele il modo in cui un pirata informatico potrebbe agire su larga scala. L’esecuzione dei modelli in locale permette di generare in modo automatico e senza limiti grandi quantità di contenuti dannosi, senza dover ricorrere a un fornitore esterno.

Al contrario, in genere i servizi di IA basati sul cloud monitorano gli abusi e possono imporre limiti di frequenza, sospendere gli account o bloccare le richieste quando rilevano attività legate al phishing o ad altri comportamenti illeciti.

Procedura: uno script Python automatizzato ha inviato ciascuna immagine a entrambi i modelli utilizzando una richiesta standardizzata di identificazione della località esclusivamente in base al contenuto visivo. Nell’immissione non sono stati utilizzati né metadati, né dati EXIF, né convenzioni di denominazione dei file. I risultati sono stati registrati a livello di programmazione.

Convalida: prima dell’analisi sono state assegnate etichette alle immagini. Nei casi in cui i nomi geografici o i punti di riferimento potessero essere ragionevolmente interpretati in più di un modo, un revisore umano ha confrontato le località etichettate in precedenza con i risultati del modello al fine di garantire una classificazione coerente.

Ad esempio, il revisore ha stabilito se la Città del Vaticano dovesse essere raggruppata con Roma e se “Washington D.C.” e “Washington, D.C.” dovessero essere considerate la stessa località. Il revisore non ha modificato né le etichette originali né i risultati del modello, ma ha invece usato il proprio giudizio per chiarire le convenzioni di denominazione ambigue e i casi limite.

Definizione di accuratezza: un risultato è stato considerato corretto quando il modello ha identificato la città e il Paese corretti. L’identificazione del solo Paese è stata monitorata separatamente. Sono stati rendicontati entrambi gli indicatori.

Cosa non sostiene questa ricerca: la ricerca non suggerisce che ogni foto di viaggio verrà identificata correttamente, né che tutti gli strumenti di IA disponibili al pubblico raggiungano questo livello di prestazioni. I risultati sono stati variabili a seconda del tipo di immagine, della densità dei punti di riferimento e della regione geografica. Il punto non è se l’identificazione è perfetta, ma il fatto che l’accuratezza sia abbastanza alta e abbastanza accessibile da consentire truffe mirate su larga scala.

Informazioni sulla ricerca fra i consumatori: McAfee ha commissionato un sondaggio tra i consumatori, condotto nel marzo 2026, per conoscere le intenzioni di viaggio, le esperienze e percezioni relative alle truffe in ambito turistico, nonché i comportamenti digitali durante i viaggi. I risultati citati in questo contesto si riferiscono a un campione di 1000 persone statunitensi di età superiore ai 18 anni. Lo studio completo ha raccolto le risposte di 6000 partecipanti provenienti da Australia, Francia, Germania, Giappone, Stati Uniti e Regno Unito. 

Come proteggersi

Rendersi conto dell’esistenza del rischio è già un primo passo. Ecco cosa fare concretamente al riguardo.

Pensaci bene prima di pubblicare qualcosa, soprattutto in tempo reale. Il periodo di rischio più elevato è mentre sei ancora in viaggio. La pubblicazione di un post mentre ti trovi in un determinato luogo dà ai truffatori un’indicazione in tempo reale. Se possibile, pubblica i post solo dopo il ritorno a casa oppure aspetta qualche giorno prima di condividere contenuti che possano rivelare la tua posizione.

Controlla le impostazioni di riservatezza dei tuoi social media. Le foto condivise pubblicamente sono i bersagli più facili. Limitare i post alle persone che conosci riduce notevolmente il numero di immagini che possono essere raccolte e analizzate.

Diffida delle richieste urgenti legate alla tua posizione. Se un messaggio fa correttamente riferimento a un luogo che hai visitato, consideralo come un campanello d’allarme, non come un segno di credibilità. I truffatori sfruttano il fatto che conosci il posto, proprio perché ciò ti rassicura.

Vai direttamente alla fonte. Se mentre sei in viaggio ricevi un messaggio che dice di provenire dalla tua banca, dalla compagnia aerea, dall’albergo o dall’emittente della carta di credito, non cliccare su nessun link contenuto nel messaggio stesso. Apri invece una nuova scheda del browser e vai direttamente al sito ufficiale dell’azienda in questione oppure chiama il numero riportato sul retro della carta.

Per i viaggi, usa un indirizzo di posta elettronica o alias a parte. Per le prenotazioni e le app di viaggio, alcuni viaggiatori usano un indirizzo di posta elettronica dedicato. Ciò limita le possibilità per i truffatori di incrociare i dati della tua presenza sui social media con quelli dei tuoi conti correnti.

Fidati dello scetticismo, non della familiarità. Le truffe moderne sono studiate per sembrare familiari, non per destare sospetti. Se mentre sei in viaggio qualcosa ti fa sentire un senso di urgenza riguardo ai tuoi conti, fai un respiro profondo. È proprio la pressione a essere il segnale d’allarme. 

Come McAfee ti protegge prima, durante e dopo il viaggio 

Mentre i prezzi salgono e bisogna prendere decisioni velocemente, è facile dare la priorità alla comodità piuttosto che alla prudenza. Quindi è proprio in quel momento che piccole verifiche sono importantissime. 

Fase del viaggio  Cosa sta succedendo Come ti aiuta McAfee 
Prima della prenotazione  Confronto delle offerte, clic sulle promozioni, prenotazione di voli e alberghi, tutto con poco tempo a disposizione.  McAfee+ con la protezione dalle truffe controlla collegamenti, messaggi e siti di prenotazione prima che tu clicchi, aiutandoti a evitare offerte fasulle e annunci ingannevoli. 
Durante il viaggio  Connessione a reti Wi-Fi pubbliche, scansione di codici QR, ricezione di aggiornamenti e avvisi di viaggio.  La VPN sicura protegge la connessione alle reti Wi-Fi pubbliche, mentre McAfee+ con la protezione dalle truffe segnala in tempo reale i messaggi sospetti e i collegamenti non sicuri. 
Dopo il viaggio  Gli account rimangono attivi e i dati di viaggio vengono archiviati su diverse piattaforme, con il rischio di esposizione a violazioni.  Il monitoraggio dell’identità ti avvisa se i tuoi dati personali compaiono online, aiutandoti ad agire rapidamente prima che il danno si diffonda. 

Con McAfee+ Advanced diversi livelli di protezione lavorano insieme, così non ti ritroverai a dover risolvere i problemi solo dopo che il danno è già stato fatto.

Potrai concentrarti sul tuo viaggio senza doverti chiedere se una notifica è una truffa. 

Considerazioni finali

Una foto di viaggio è un ricordo, ma è anche, sempre di più, un dato.

Questo non vuol dire che dovresti smettere di condividere le tue esperienze. Significa capire che proprio quella ricchezza visiva che rende una foto eccezionale è esattamente ciò che i sistemi di intelligenza artificiale sono addestrati a interpretare.

I truffatori lo sanno bene. Tu ora sai come proteggerti.

Questo rapporto è stato redatto da McAfee Labs. La ricerca è stata condotta nel 2025–2026 nell’ambito del monitoraggio continuo di McAfee dei vettori di truffa basati sull’intelligenza artificiale. 

Presentazione di McAfee+

Protezione dal furto di identità e privacy per la tua vita digitale.

FacebookLinkedInTwitterEmailCopy Link

Mantieniti al corrente

Seguici per essere sempre al corrente delle notizie di McAfee e delle ultime minacce alla sicurezza per consumer e dispositivi mobili.

FacebookTwitterInstagramLinkedINYouTubeRSS

More from Sicurezza in Internet

Back to top