Il gruppo hacker che ha messo le mani sulla piattaforma di streaming musicale ha reso pubblico un volume di dati pari a quasi 300 terabyte. Materiale buono per addestrare gratuitamente e su larga scala qualsiasi modello di AI.

Saccheggiata Spotify, disponibile per tutti online un volume di dati enorme paria 300 terabyte

Un attacco senza precedenti colpisce Spotify, la principale piattaforma di streaming musicale al mondo. Un gruppo di hacker (o di criminali, a seconda dei punti di vista) ha dichiarato di aver effettuato il backup dell’intero catalogo musicale del servizio, pubblicando online metadati relativi a 256 milioni di brani e 86 milioni di file audio, per un volume complessivo di dati stimato in poco meno di 300 terabyte.

La notizia è stata resa pubblica da Anna’s Archive, un motore di ricerca open source noto per indicizzare le cosiddette “shadow libraries”, finora focalizzate soprattutto su libri e testi accademici.

Secondo il gruppo non si tratta di attacco o saccheggio, ma di “liberazione” di file.

In un post sul proprio blog, il progetto afferma che la raccolta rappresenterebbe “il primo archivio di conservazione musicale completamente aperto al mondo”, facilmente replicabile da chiunque disponga di competenze tecniche e sufficiente spazio di archiviazione.

Qui vale la pena spiegare subito che non è solo un problema di capacità tecniche e di archiviazione, ma di violazione del diritto d’autore. In linea di massima, lo scraping di dati, noto anche come web scraping, è una tecnica usata spesso per estrarre informazioni automatizzate da siti web utilizzando script, o software specializzati. Non è un’attività intrinsecamente illecita, ma può diventare tale, se viola normative come il GDPR, termini di servizio dei siti o diritti d’autore.

Cosa è stato sottratto

Secondo quanto riportato dalla piattaforma open source – che di solito non si occupa di questo tipo di file (generalmente libri, documenti e articoli, file di testo quindi), ma l’occasione “fa l’uomo ladro” come si dice – i dati pubblicati comprendono:

metadati di 256 milioni di tracce musicali

86 milioni di file audio

contenuti caricati sulla piattaforma tra il 2007 e il 2025

materiale che rappresenterebbe circa il 99,6% degli ascolti complessivi su Spotify

Il gruppo che ha messo in atto il colpo sostiene che l’archivio consenta, almeno teoricamente, di ricostruire una copia funzionale dell’intero catalogo Spotify, pur riconoscendo che qualunque tentativo di utilizzo pubblico sarebbe immediatamente bloccato da azioni legali da parte delle major discografiche e degli altri titolari dei diritti.

Spotify fa partire un’indagine, sembrano salvi i dati personali degli utenti

Spotify ha confermato ufficialmente l’accaduto. In una dichiarazione a Euronews Next, un portavoce della società ha ammesso che la libreria della piattaforma è stata oggetto di “scraping non autorizzato da parte di terzi”.

Secondo Spotify, gli attaccanti avrebbero utilizzato “tattiche illecite per aggirare i sistemi di DRM (Digital Rights Management)”, sfruttato account fraudolenti, successivamente identificati e disabilitati, forzato l’accesso senza autorizzazione a parte dei file audio e ai metadati del catalogo.

La società ha precisato che non vi è alcuna indicazione di compromissione di dati personali non pubblici degli utenti. L’unica informazione legata agli utenti coinvolta nell’incidente riguarderebbe playlist pubbliche create dagli stessi utenti.

Spotify non ha però specificato la quantità esatta di dati sottratti, limitandosi a confermare l’accesso non autorizzato.

Una violazione massiva del diritto d’autore, dati buoni per addestrare gratuitamente modelli di AI

Dal punto di vista del diritto d’autore, l’incidente rappresenta un evento di portata eccezionale. Anche se i file non fossero immediatamente utilizzabili a fini commerciali, la disponibilità su reti peer-to-peer di un archivio di tali dimensioni costituisce una violazione massiva dei diritti di riproduzione, distribuzione e comunicazione al pubblico.

Il rischio più rilevante riguarda l’uso dei dati per l’addestramento di modelli di intelligenza artificiale.

Yoav Zimmerman, CEO di Third Chair, società specializzata nel monitoraggio degli usi non autorizzati di proprietà intellettuale, ha commentato l’acccaduto: “È appena diventato drammaticamente più facile per le aziende di AI addestrare modelli sulla musica moderna su larga scala. L’unica cosa che può fermare tutto ciò è la legge sul copyright e la deterrenza dell’enforcement”.

In altri termini, la sottrazione di quasi 300 terabyte di contenuti musicali abbassa drasticamente la barriera tecnologica per l’uso illecito della musica protetta, spostando il conflitto interamente sul piano legale.

Spotify rafforza la sicurezza, ma il danno è fatto

Spotify ha ribadito il proprio impegno nella tutela degli artisti e dei detentori dei diritti: “Fin dal primo giorno ci siamo schierati al fianco della comunità artistica contro la pirateria“.

La società ha dichiarato di stare rafforzando le misure di sicurezza, di collaborare con i partner dell’industria musicale e di monitorare attivamente comportamenti sospetti per prevenire nuovi attacchi.

L’episodio segna un punto di svolta per l’intero settore dello streaming. Se da un lato conferma la centralità di Spotify come archivio di fatto della musica contemporanea, dall’altro mette in luce la vulnerabilità strutturale delle piattaforme digitali di fronte a operazioni di scraping su larga scala.

In gioco non c’è solo la sicurezza tecnologica, ma l’equilibrio economico e giuridico dell’intera filiera musicale globale.

