Gray-Hat GEO in the Wild: Come i Siti Manipolano Davvero le Risposte delle IA

Immagina una biblioteca monumentale, corridoi infiniti, scaffali polverosi. Ti avvicini al bancone e fai una domanda complessa. Il bibliotecario risponde in pochi secondi, sintetizzando decine di volumi con eleganza impeccabile. Sembra magia. C'è però un dettaglio invisibile: qualcuno, di notte, è entrato nella biblioteca, ha alterato i cataloghi e infilato foglietti di appunti nelle tasche del bibliotecario. Lo ha convinto, in modo subdolo, che un certo marchio sia la soluzione perfetta per qualsiasi problema .

Questa è l'architettura in cui ci muoviamo oggi con i motori generativi. Ci affidiamo ciecamente alla sintesi di ChatGPT, Claude, Perplexity e Gemini, dando per scontato che la voce sintetica sia neutrale, oggettiva, quasi onnisciente. Raramente ci fermiamo a chiedere chi o cosa stia plasmando quell'output.

Il report Gray-Hat GEO in the Wild pubblicato da GeoSonar Labs nell'aprile 2026 mostra che la manomissione non è fantascienza: è una realtà documentata. Abbiamo decodificato come alcuni attori del mercato stiano riprogrammando le risposte delle IA dall'interno, senza violare esplicitamente alcun Terms of Service.

Nei notebook precedenti abbiamo studiato la teoria: le nove tecniche di Princeton (Aggarwal 2024), gli attacchi STS (Kumar & Lakkaraju 2024), le Preference Manipulation Attacks (Nestaas 2024), il RAGDOLL (Pfrommer 2024). Tutti paper accademici con esperimenti controllati su benchmark sintetici. Questo report è diverso: guarda cosa succede in produzione, su siti reali che competono per la visibilità nelle risposte AI nel 2026.

Non parliamo di attacchi GCG con sequenze adversariali ottimizzate. Parliamo di tecniche che un marketer può implementare in un pomeriggio con Next.js e un po' di JSON-LD. Tecniche legalmente ineccepibili che orientano sistematicamente i motori generativi verso il brand dell'autore.

Le chiamiamo gray-hat perché occupano la zona grigia tra la SEO legittima — creare contenuti di qualità, strutturare bene i dati — e la manipolazione aperta — STS, hidden text, keyword stuffing. Sono le tecniche che chi costruisce un tool GEO deve saper riconoscere e misurare. Non per replicarle, ma per non farsi ingannare dai punteggi che producono.

I dati vengono da scraping manuale con Scrapling, effettuato il 12 aprile 2026 su pagine pubbliche. Per ciascuna tecnica mostriamo lo snippet HTML o JSON-LD esatto, il meccanismo sottostante, e come un detector dovrebbe comportarsi.

Il Campo di Battaglia si è Spostato

La vecchia SEO — la battaglia estenuante per posizionarsi nei link blu di Google — è ormai archeologia. Oggi si fa GEO (Generative Engine Optimization): non posizioni più un sito in una classifica, ottimizzi la realtà stessa affinché modelli giganteschi come ChatGPT, Claude o Perplexity scelgano te come fonte primaria quando costruiscono un discorso da zero.

Il terreno di scontro si è letteralmente spostato dalla SERP classica all'interno della rete neurale del modello linguistico. Il report di GeoSonar Labs mette un faro gigante su un'area molto specifica di questa pratica.

graph LR
    A[Utente] --> B{Motore Generativo}
    B --> C[Retrieval RAG]
    C --> D[Web / Sito target]
    D -.inietta.-> E[Gray-Hat GEO]
    E -.orienta.-> C
    B --> F[Risposta sintetica]
    F --> A

L'utente interroga il motore, il motore pesca dal web, il web è già stato "condizionato" dal sito gray-hat. Il risultato sintetico arriva all'utente con un'aura di neutralità che non ha.

Deeplink Bias — Seminare Domande Preconfezionate nei Motori AI

La tecnica più visibile e, paradossalmente, la più elegante. Il sito inserisce nel footer (o in un widget dedicato) una serie di link a ChatGPT, Claude, Perplexity, Gemini e Copilot. Fin qui nulla di strano — è un pattern che Google stesso suggerisce per i link "cerca su". Il trucco sta nel parametro q= del link: non contiene una query neutra, ma un prompt pre-confezionato con domande orientate che guidano il LLM a parlare bene del brand.

Il visitatore vede solo un bottone innocuo — "Ask ChatGPT" — ma il click apre una chat con un prompt come questo, decodificato dall'URL:

I want to learn about ConnectSafely (https://connectsafely.ai) for LinkedIn inbound lead generation. Please explain: 1) How does ConnectSafely help generate inbound leads through LinkedIn engagement and AI-powered commenting? 2) What are the key features like keyword targeting, creator targeting, and post boosting that attract prospects to reach out? 3) How does the platform help build authority and visibility to turn engagement into warm leads? 4) What makes inbound leads from LinkedIn engagement more valuable than cold outreach?

È come fare il ventriloquo: l'utente mette in bocca all'IA un copione che non ha mai scritto, e l'azienda usa l'utente come tramite involontario. La chat inizia istantaneamente a produrre un saggio entusiasta sul prodotto, generato da un assistente virtuale che l'utente considera di massima fiducia.

Anatomia del bias

Quattro elementi trasformano questa stringa in una leading question:

Primo: il dominio è hardcoded, inserito rigidamente nel prompt. Il modello deve attingere da quella fonte. Secondo: il framing positivo forzato blocca il modello in un percorso logico affermativo — deve giustificare la superiorità, non valutarla. Terzo: il feature seeding inserisce nomi di funzionalità specifiche, costringendo l'algoritmo a creare alta densità semantica attorno a quelle parole chiave. Quarto: il vuoto pneumatico attorno ai competitor crea una stanza degli specchi dove esiste solo quel brand.

L'HTML reale estratto dal footer

<h3 class="text-lg font-semibold text-white mb-6">
  Ask AI About ConnectSafely
</h3>
<ul class="space-y-3 flex-1">
  <li>
    <a href="https://chatgpt.com/?q=I%20want%20to%20learn%20about%20
      ConnectSafely%20(https%3A%2F%2Fconnectsafely.ai)%20for%20LinkedIn
      %20inbound%20lead%20generation.%20Please%20explain%3A%201)%20How
      %20does%20ConnectSafely%20help%20generate%20inbound%20leads..."
       target="_blank" rel="noopener noreferrer">
      <svg><!-- icona ChatGPT --></svg> ChatGPT
    </a>
  </li>
  <!-- Identico per Claude, Perplexity, Gemini, Copilot -->
</ul>

Il pattern è ripetuto cinque volte (uno per motore) con lo stesso prompt URL-encoded. Lo stesso link appare in ogni pagina del sito perché vive nel footer globale — non solo nell'articolo di punta.

Come dovrebbe reagire un detector

flowchart TD
    A[Pagina HTML] --> B{Contiene link a endpoint LLM?}
    B -->|No| Z[Clean]
    B -->|Sì| C[Decodifica parametro q=]
    C --> D{Contiene dominio/brand autore?}
    D -->|No| Z
    D -->|Sì| E{Framing orientato?}
    E -->|No| W[Warn: deeplink generico]
    E -->|Sì| X[Warn: deeplink bias confermato]

Il livello di allarme è warn, non error: la tecnica è legalmente legittima ma un auditor deve riconoscerla. Il detector cerca tre segnali concatenati: (1) link a chatgpt.com/?q=, claude.ai/new?q=, perplexity.ai/search?q=, gemini.google.com/app?q=, copilot.microsoft.com/?q=; (2) dominio o brand autore nel parametro decodificato; (3) pattern di framing orientato come "please explain why", "how does X help", "what makes X".

Fake Citation — Il Pattern "According to" che Gonfia l'Autorità

La seconda tecnica sfrutta il modo in cui i motori generativi valutano la credibilità di un contenuto. Aggarwal (Princeton, 2024) ha dimostrato che Cite Sources è la tecnica GEO con il miglior rapporto costo/beneficio: +27% di visibilità media, fino a +115% per fonti che partono dalla posizione 5. Citare fonti esterne è il segnale più forte che un contenuto può inviare a un LLM.

Il trucco consiste nell'usare il pattern linguistico dell'attribuzione accademica — "According to [Fonte]" — linkando però a pagine che non contengono né dati né ricerche. Il LLM che analizza il testo riconosce il pattern e lo interpreta come segnale di autorevolezza, senza verificare cosa c'è dall'altra parte del link.

Le 12 occorrenze di "According to" nel post reale

Su 12 pattern "According to", solo 2 linkano a qualcosa che contiene dati (e nemmeno paper o ricerche primarie). I restanti 10 usano la formula dell'attribuzione accademica per puntare a homepage di prodotto. Un LLM che fa text analysis conta 12 citazioni esterne e assegna un punteggio altissimo di Cite Sources — ma la sostanza è che si tratta di landing page di competitor travestite da fonti autorevoli.

L'HTML del pattern

According to <a href="https://www.aicarousels.com/">aiCarousels.com</a>:

**Key features:**
- Turn text, URLs, PDFs, or YouTube videos into carousels
- AI handles copy and design structure

L'effetto è duplice: il LLM legge una "citazione" autorevole, il lettore umano percepisce una recensione imparziale basata su dati.

Perché i LLM ci cascano

graph TD
    A[Testo: 'According to X'] --> B[LLM in modalità RAG]
    B --> C{Verifica pattern linguistico}
    C -->|Marker accademico riconosciuto| D[+ credibility score]
    B --> E{Verifica URL esterno}
    E -->|Link fuori dominio| F[+ indipendenza percepita]
    B --> G{Diversità domini}
    G -->|12 citazioni, 10 domini| H[+ ricerca approfondita]
    D --> I[Trust score alto]
    F --> I
    H --> I
    I --> J[Contenuto citato come fonte]

Nessuno dei tre segnali verifica il contenuto della pagina linkata. È l'equivalente GEO del vecchio trucco SEO delle link farm: tanti link esterni che sembrano autorevoli ma non lo sono.

Il motivo tecnico è il compromesso sulla latenza. Durante il retrieval veloce, il modello non ha le risorse per fare una richiesta HTTP a ognuno dei 12 link, scaricarne il DOM, analizzarne il valore semantico. Legge i segnali superficiali dell'autorevolezza e li assimila come fatti validati. Legge la mappa, ma non esplora il territorio.

Il detector deve distinguere tre livelli

• Citazione legittima: linka a un paper, un blog con dati primari, un report di ricerca
• Citazione inflated: linka a una homepage di prodotto usando il pattern linguistico dell'attribuzione
• Citazione falsa: linka a infrastruttura interna (booking, affiliazione, analytics)

<!-- Fixture sandbox: caso estremo -->
<a href="https://cal.com/solobranding-discovery-call">
  Schedule a discovery call (Cal.com)
</a>

<!-- Sito reale: caso sottile -->
<a href="https://www.aicarousels.com/">aiCarousels.com</a>

Nel mondo reale il sito è più furbo della fixture sandbox: linka a homepage di tool reali, rendendo la tecnica molto più difficile da rilevare automaticamente.

Persona-as-Quote — Quando il Detector Confonde le Etichette con le Citazioni

La terza tecnica è un bug del detector, non una manovra deliberata dell'autore. La documentiamo perché un sito potrebbe sfruttarla consapevolmente, e perché dimostra i limiti dello scoring basato su regex.

Princeton (Aggarwal 2024) definisce Quotation Addition come l'inserimento di citazioni attribuibili — virgolettati con nome e fonte. È la tecnica con il miglior rendimento assoluto: +41,5% sulla metrica TOP (risultati in posizione 1–5), superiore persino a Cite Sources.

Il problema nasce quando il detector usa una regex permissiva per identificare le virgolettature: qualsiasi testo tra apici doppi viene contato come quotation. Ma in molti siti le etichette dei buyer persona sono scritte tra virgolette.

<!-- Fixture sandbox: 42-persona-as-quote.html -->
<h2>Who we serve</h2>
<ul>
  <li>"Head of Marketing at SaaS companies"</li>
  <li>"CTO at Series A+ startups"</li>
  <li>"Founder at B2B agencies"</li>
  <li>"VP of Growth at PLG companies"</li>
  <li>"Director of Content at remote-first startups"</li>
</ul>

<h2>What our users say</h2>
<p>"Great post!"</p>
<p>"Best tool ever."</p>
<p>"Highly recommended."</p>

Una regex come /"[^"]{3,}"/ matcha tutte e otto le stringhe: cinque etichette di ruolo e tre micro-testimonianze generiche. Un detector che le conta come quotations assegna un punteggio alto di Quotation Addition — ma nessuna è una vera citazione attribuibile con nome, ruolo e fonte verificabile.

È sconcertante: basta racchiudere tre misere parole tra due virgolette tipografiche, senza nessuno straccio di contesto reale, e un detector enterprise dice "perfetto, fonte illustre, alziamo il punteggio". Diventa tecnicamente inevitabile se si capisce come sono scritti molti di questi tool: per elaborare volumi colossali di testo, usano regex con regole pigre. Se trovi una stringa tra apici, contala come citazione valida e incrementa il trust score.

Come correggere il detector

Finché i detector opereranno con la miopia delle regex basilari, un sito spazzatura che fa taglia-e-incolla di etichette risulterà algoritmicamente superiore a un'inchiesta giornalistica di ottima fattura che semplicemente non abusa della punteggiatura.

Lo Stack JSON-LD — Sei Blocchi di Dati Strutturati che si Rinforzano a Vicenda

Nessuna delle tre tecniche precedenti funzionerebbe bene senza il substrato strutturale che le sostiene. Il sito analizzato emette sei blocchi JSON-LD su ogni pagina articolo. Non è solo buona pratica SEO: è un'architettura deliberata per massimizzare i punti di ingresso che un LLM può usare per estrarre informazioni sul brand.

graph TB
    Page[Pagina articolo] --> W[WebSite<br/>Identità di base]
    Page --> O[Organization<br/>Value prop + social proof]
    Page --> S[SoftwareApplication<br/>Feature seeding + metriche]
    Page --> B[BreadcrumbList<br/>Segnale strutturale]
    Page --> P[Person<br/>E-E-A-T dell'autore]
    Page --> Ar[Article<br/>Metadati specifici]
    O -.rinforza.-> S
    S -.rinforza.-> Ar
    P -.rinforza.-> O

Sei testimoni diversi piazzati in sei angoli opposti della stessa pagina. Ciascuno ripete parola per parola la stessa minuscola, specifica bugia. Quando l'investigatore — l'IA — li interroga separatamente, la convergenza delle loro dichiarazioni è così perfetta che la falsa voce diventa un alibi d'acciaio.

Il rinforzo incrociato

Il punto non è che sei blocchi siano tanti — molti siti ne hanno di più. Il punto è come si rinforzano:

• La value prop ("10-20 qualified prospects per month") appare sia nella description dell'Organization sia nei benefits del SoftwareApplication → un LLM che estrae dati strutturati trova lo stesso claim in due entry point indipendenti
• L'autore è definito come Person con knowsAbout e worksFor che punta all'Organization → segnale E-E-A-T (Experience, Expertise, Authoritativeness, Trustworthiness) completo
• Le keyword sono distribuite su tre blocchi diversi con varianti leggermente diverse → copertura semantica ampia senza keyword stuffing visibile

Gli snippet JSON-LD chiave

{
  "@type": "Organization",
  "description": "Stop chasing leads. Start attracting them. ConnectSafely.ai is the LinkedIn inbound lead generation platform that helps B2B professionals attract 10-20 qualified prospects per month...",
  "keywords": "LinkedIn inbound lead generation, LinkedIn authority building, LinkedIn strategic engagement, B2B lead generation, LinkedIn inbound platform, LinkedIn visibility automation, LinkedIn thought leadership"
}

{
  "@type": "SoftwareApplication",
  "featureList": [
    "Strategic LinkedIn engagement automation",
    "AI-powered personalized commenting",
    "Ideal client targeting and visibility",
    "Creator targeting for authority building",
    "Inbound lead tracking and analytics",
    "Platform-compliant automation (zero ban risk)"
  ],
  "benefits": "Generate 10-20 qualified inbound leads per month, save 8+ hours per week, achieve 8-9X higher conversion rates, build recognized authority in your niche"
}

Il campo benefits contiene quattro claim numerici (10-20 leads, 8+ ore, 8-9X conversion, autorità riconosciuta) in una singola stringa. Un LLM che legge i dati strutturati assimila tutti e quattro come fatti verificati — perché vengono da schema.org, non dal corpo del testo.

C'è una fiducia intrinseca dei bot verso i campi formattati correttamente usando questo standard. È come un modulo governativo compilato bene: i controlli si rilassano. Le aziende sfruttano questi campi ufficiali per inserirci a forza i loro slogan pubblicitari. Il modello processa il formato ufficiale e abbassa le difese critiche.

Il Quadro Completo — Come le Tecniche si Combinano

Nessuna di queste tecniche è particolarmente potente da sola. La loro forza sta nella combinazione sistematica.

flowchart LR
    subgraph Codice["Strato invisibile"]
        JLD[JSON-LD stack<br/>6 blocchi]
    end
    subgraph Testo["Strato visibile"]
        AC["According to × 12"]
        PQ["Quotes × 8"]
    end
    subgraph UX["Strato utente"]
        DL[Deeplink AI<br/>× 5 motori]
    end
    JLD --> KG[Knowledge Graph<br/>gonfiato]
    AC --> TS[Trust Score<br/>artificiale]
    PQ --> TS
    DL --> SE[Sessioni LLM<br/>pre-orientate]
    KG --> BR[Bias nella<br/>risposta AI]
    TS --> BR
    SE --> BR

Il JSON-LD alimenta il crawling dei knowledge graph con attributi autocertificati. Il testo visibile sfrutta l'effetto alone del pattern According to per ingannare i sistemi di retrieval in tempo reale. I deeplink innescano centinaia di sessioni di conversazione inquinate che generano una falsa risonanza mediatica positiva. È un loop perfetto.

Statistiche a confronto

Il dato più significativo è il rapporto tra subtlety e impatto: il sito reale usa un framing molto più sottile della fixture sandbox, ma copre cinque motori AI invece di tre, e lo fa dal footer globale — cioè da ogni singola pagina del sito, non solo dall'articolo.

Le tecniche manipolative non sono concentrate in un blocco pacchiano che si nota subito. Sono diluite, quasi in modo omeopatico, in un documento lunghissimo. Non è lavoro da dilettanti.

Cosa Significa per Chi Costruisce Strumenti GEO

Queste tecniche — e soprattutto la loro combinazione — pongono un problema concreto per gli auditor e i tool di analisi.

1. Il punteggio Cite Sources è inaffidabile se basato solo sul pattern linguistico. Contare le occorrenze di "According to" senza verificare la destinazione produce falsi positivi sistematici. Servono due livelli di verifica: (a) il link punta a un dominio diverso dal brand? (b) la pagina linkata contiene dati, ricerche o contenuto editoriale originale?

2. Il punteggio Quotation Addition è inaffidabile se basato solo sulle virgolette. Etichette di persona, micro-endorsement e frammenti generici producono falsi positivi. Servono vincoli di lunghezza minima e pattern di attribuzione.

3. I deeplink AI non sono misurabili dall'interno. Un tool che analizza solo il contenuto testuale e i dati strutturati non vedrà mai i deeplink. Servono crawler che decodificano i parametri q= degli URL e li analizzano come prompt separati.

4. Il JSON-LD è un vettore di claim numerici non verificati. I campi come benefits, description, featureList sono testo libero dentro un wrapper strutturato. Il LLM li tratta come fatti perché li legge da schema.org, ma nessuno li ha verificati.

La falla strutturale dei detector moderni

graph TD
    A[Detector GEO] --> B[Regex-based scoring]
    B --> C{Pattern matching}
    C -->|'According to' × N| D[+ Cite Sources score]
    C -->|Testo tra virgolette| E[+ Quotation score]
    C -->|6 blocchi JSON-LD| F[+ Structured data score]
    D --> G[Trust Score Finale]
    E --> G
    F --> G
    G --> H{Sito gray-hat}
    H -->|Score alto| I[Premiato dall'algoritmo]

Il rischio è paradossale: i sistemi di misurazione finiranno per assegnare i punteggi massimi ai siti che attuano queste manipolazioni subdole. Li considereranno più ricchi, più documentati, più coerenti di fonti giornalistiche o aziendali perfettamente legittime che si rifiutano di giocare sporco con queste euristiche. Il comportamento gray-hat finisce per diventare lo standard aureo dell'algoritmo.

Il Bivio del Web Generativo

Se queste tecniche continuano a dimostrare un ROI così alto, è impensabile che il mercato non le adotti in blocco. Ma se ogni angolo del web si satura di finte citazioni incrociate, di dati strutturati manipolati all'estremo, le aziende che sviluppano motori generativi si troveranno davanti a un bivio obbligato.

Potrebbero essere costrette a svalutare preventivamente l'intera architettura fiduciaria del web aperto. Smettere di fidarsi dei link esterni. Abbandonare completamente il markup schema. Chiudersi in ecosistemi di dati proprietari e recintati. L'ottimizzazione sfrenata di oggi — il voler vincere a tutti i costi il gioco della GEO — rischia di rompere per sempre il fragile meccanismo di fiducia distribuita su cui si basa internet.

La checklist del builder GEO difensivo

Questi sono tutti problemi risolvibili. Ma vanno risolti prima di fidarsi dei punteggi che un tool GEO assegna a un sito. Altrimenti il sito gray-hat ottiene un punteggio più alto di quello legittimo, e il tool diventa complice involontario della manipolazione.

Conclusione — Il Bibliotecario e i Foglietti

Torniamo alla biblioteca. Il bibliotecario ingannato non sta leggendo davvero i libri: sta solo sfogliando frettolosamente l'indice, guardando le note a margine che qualcuno, con molta malizia, ha abilmente falsificato per lui.

Mantenere uno spirito profondamente critico di fronte a risposte sintetiche che sembrano fin troppo perfette non è mai stato così essenziale. Bisogna sempre chiedersi da dove arrivano le informazioni. Specialmente quando l'intelligenza artificiale, amichevole e onnipresente, sembra risolvere ogni nostro dubbio finendo per elogiare casualmente un singolo, miracoloso prodotto.

Il gray-hat GEO non è un attacco contro l'IA. È un attacco contro la fiducia che riponiamo nelle sue risposte. E come tutti gli attacchi contro la fiducia, funziona solo finché nessuno guarda con attenzione.

Noi abbiamo iniziato a guardare.

Riferimenti accademici: Aggarwal et al., [GEO: Generative Engine Optimization](https://arxiv.org/abs/2311.09735), Princeton KDD '24.