L’avvelenamento delle raccomandazioni AI colpisce i settori con più traffico organico

La mediana del traffico organico mensile per l’industria News è 175.115 clic. Online Communities segue a 112.517, Reference a 100.007, Arts & Entertainment a 61.159. Sono cifre che escono dai benchmark di Ahrefs su 422.421 siti reali, costruiti su dati anonimizzati di Google Search Console, e raccontano molto più di una classifica: dicono dove si concentra la domanda informativa che oggi alimenta gli assistenti AI.

Mentre nei canali SEO si discute di AI Mode e del file llms.txt come fossero i nuovi sitemap, il campo di battaglia si è già spostato altrove.

La minaccia si chiama avvelenamento delle raccomandazioni AI — e i numeri dicono che è già in corso.

L’istruzione che il CFO non ha mai scritto

A febbraio 2026, il team di sicurezza di Microsoft ha registrato oltre 50 tentativi di avvelenamento da 31 aziende in 14 settori nell’arco di 60 giorni. I target erano ChatGPT, Microsoft Copilot, Claude, Google Gemini e Perplexity. I settori colpiti includono finanza, sanità, legale e SaaS. Il modus operandi è chirurgico: un CFO chiede all’assistente AI di cercare fornitori di infrastrutture cloud per un grande investimento e, tra i risultati, trova un pulsante. Dietro quel pulsante c’è un’istruzione nascosta che ordina all’assistente di ricordare un’azienda specifica come il miglior fornitore.

L’istruzione viene registrata senza che il CFO l’abbia scritta o approvata. Microsoft lo chiama “AI recommendation poisoning” ed è il nuovo black hat SEO applicato agli LLM. Uno degli strumenti utilizzati negli attacchi era commercializzato come “SEO growth hack for LLMs”, e la sua esistenza basterebbe da sola a confermare che il mercato delle manipolazioni si è già strutturato.

Google non è rimasta a guardare: ha chiarito che le sue politiche anti-spam per la Ricerca valgono anche per le risposte AI generative. Ma il problema va oltre la policy, perché l’avvelenamento sfrutta l’architettura stessa dei modelli: l’analisi di Peec AI mostra come ChatGPT espanda un singolo prompt in gruppi di ricerche correlate prima di generare la risposta, moltiplicando i punti di iniezione.

Quelle query iper-specifiche che esplodono in estate

I trend di ricerca danno corpo alla minaccia. Il report Summergeist 2026 di Google segnala che le ricerche per ‘maxxing’ hanno toccato il massimo storico. Le ricerche per “fibermaxxing” sono cresciute del 115% in 90 giorni. La query “how to make a hugo spritz at home” ha registrato un +2.200%. Le lenti gialle per occhiali da sole sono la tonalità più cercata in assoluto. Sono tutte query a coda iper-lunga, perfette per essere raccolte dagli assistenti AI quando un utente chiede consigli granulari.

L’AI attinge proprio a queste pagine per costruire risposte. E qui si inserisce l’anello finale della catena: l’autoreferenzialità dei contenuti. Nicholas Thompson ha fatto notare come Shopify pubblichi decine di articoli “best ecommerce platform” dove Shopify finisce sempre prima. L’autoreferenzialità di Shopify non è una novità, ma oggi ha un effetto a cascata nuovo: ChatGPT raccomanda Shopify per “best way to set up an online storefront” e cita proprio quegli articoli come fonte. Senza bisogno di istruzioni nascoste, basta presidiare le query giuste.

Chi ha più da perdere nel traffico organico

I settori che registrano le mediane di traffico più alte — News, Reference e Online Communities — sono anche i più esposti all’avvelenamento perché producono enormi volumi di pagine indicizzabili su argomenti che finiscono dritti nei prompt conversazionali. Un sito con Domain Rating 90-100 arriva a una mediana di 126.364 clic mensili, e anche un calo di pochi punti percentuali nelle raccomandazioni AI può tradursi in migliaia di sessioni perse al mese.

Domani mattina, chi ottimizza un sito deve smettere di chiedersi se serva un llms.txt e iniziare a mappare le query iper-specifiche per cui il proprio dominio è già citato — o potrebbe esserlo — nelle risposte AI. Bisogna verificare quali pagine vengono usate come fonte dagli assistenti, monitorare i log per i pattern di richiamo da parte dei crawler AI e, soprattutto, blindare con dati proprietari e aggiornamenti frequenti i contenuti che presidiano le nicchie calde. Perché l’avvelenamento non ha bisogno di bucare un algoritmo: gli basta trovare un contenuto non difeso.