Così, per rubare le parole al Piccolo Riccardino Fuffolo. Ma bando alle ciance, ve la racconto così com’è successa.
La cronistoria
Giorno 1 (17 Febbraio 2025) – Il picco di conversioni “troppo bello per essere vero”
Inizio il lavoro in ufficio e apro le dashboard di Looker Studio per tutti i clienti che seguo in Google Ads, come faccio ogni mattina.
Tutto normale, se non fosse che su un cliente in particolare c’è un aumento di conversioni che da diversi giorni stavo monitorando che inizia a diventare davvero rilevante. Sono quasi tutte conversioni di tipo “clic sul telefono”, “clic sull’email” e “clic su mappa” ma con numeri da far sgranare gli occhi.
Prima reazione: “Wow, figata!”
Ma, memore del detto “se qualcosa sembra troppo bello per essere vero, spesso non lo è”, scrivo subito all’agenzia dicendo: “Vorrei confermare che siano conversioni buone e corrispondano effettivamente ad un aumento dei contatti e non siano dovute a un qualche tipo di attività automatizzata (bot).”
Invio anche un paio di screenshot che mostrano come queste conversioni siano impennate soprattutto in determinate regioni italiane (soprattutto dal Veneto, che vi pensavate?!).
Nel frattempo, specifico che di solito i bot (quelli cattivi) non arrivano al punto di cliccare i pulsanti sul sito, ragion per cui, se i clic fossero davvero genuini, potremmo stappare una bottiglia. Tuttavia, voglio togliermi il dubbio: chiedo all’agenzia se il cliente ha davvero ricevuto più telefonate o email, o se queste “conversioni” sono, appunto, solo numeri su uno schermo.
Il pomeriggio arriva un primo riscontro: l’agenzia ringrazia, avvisa che riferirà al cliente, ma aggiunge subito che dalle statistiche di Matomo di recente il cliente aveva già notato numerosi accessi provenienti da India e Sud-Est asiatico e mi chiedono se può dare problemi alla campagna.
Il mio pensiero immediato: se l’aumento di conversioni si concentra su regioni italiane, ma contemporaneamente si registra un’ondata di traffico dall’India, potrebbe esserci un legame non proprio limpido.
Converto subito la gioia per le “tante conversioni” in un cauto scetticismo e avviso che intendo indagare a fondo prima di festeggiare. In altre parole: “Non è che ci sono bot o clic fraudolenti in azione?”
Giorno 2 (18 Febbraio 2025) – La teoria della truffa prende forma
Il giorno dopo in ufficio il tarlo rode: “Sarà un semplice colpo di fortuna o davvero c’è un magheggio dietro queste conversioni anomale?”
Ricordo di avere anche io accesso alle statistiche e faccio un giro su Matomo.
La situa:
La forma del grafico da sola basta a confermare i miei sospetti.
E giusto per chiudere il cerchio, in Google Ads:
Allarme rosso!
Prima di tutto diamo priorità alle cose importanti: veloce sfogo in Fonderia SEO con i colleghi di SearchFoundry.
«Ma bene… cliente vittima di un truffatore indiano che ha creato un network per la click fraud.»
«Tra l’altro, network evoluto, perché non solo i bot cliccano sugli annunci… ma cliccano sul sito, sui bottoni che ho impostato come conversione!»
E, giusto per manifestare il mio sconcerto, esclamo:
«perdindirindina.»
(cioè, non esattamente, ma vabbè)
Poi proseguo:
«Network che si è accreditato come partner di ricerca, manco display.»
A questo punto interviene Andrea Scarpetta con un semplice:
«acciderbola.»
(diciamo così…)
Mando quindi un’email all’agenzia, riassumendo il mio sospetto: il picco di traffico organico dall’India non è una coincidenza, ma potrebbe essere collegato a un tentativo di truffa ai danni di Google Ads, dove il cliente diventa una vittima involontaria.
Nella mail spiego passo passo la mia ipotesi:
- Una terza parte si accredita come Partner di ricerca in Paesi dove la legislazione è più “compiacente”.
- Crea o gestisce un network di siti pieno di bot.
- Questi bot cliccano sugli annunci e, per rendere tutto più credibile, fanno anche clic sui pulsanti di contatto (telefono, email, mappa) del nostro sito, simulando interazioni “umane”.
- Tramite GPS spoofing, appaiono geolocalizzati in Italia.
A sostegno, allego i dati da Matomo che mostrano il picco di visite dall’India nello stesso periodo in cui le conversioni su Google Ads sono esplose. Un chiaro indizio che non si tratti di “amore spontaneo” del pubblico verso i servizi del cliente, ma delle conseguenze di un piano ben orchestrato.
Visto che il traffico organico dall’India di per sé non impatterebbe sulle campagne, di solito non ci preoccupiamo più di tanto; ma in questo caso le anomalie coincidono, quindi concludo che servono i file di access log: voglio gli indirizzi IP di chi ha effettivamente generato quei clic, in modo da inviare a Google una contestazione formale.
Ma prima di tutto, un bello sfogo in Fonderia SEO, perché a quel punto rosico male:
«Campagna che tra l’altro andava DA DIO. Evabbè, prima cosa da fare: levare sta schifezza. Capito come fa Google a fare soldi? Bot indiani che cliccano roba.»
(non era proprio “schifezza” ma ci siamo capiti)
«Già allertata agenzia per farmi dare i log, toccherà anche fare richiesta di rimborso per clic fraudolenti. Ma robe da matti.»
Andrea poi riflette su quanto denaro potrebbe circolare a questo punto:
«Pensa i soldi che prendono in America.»
EH.
Alle 12:13, sempre io:
«Quel furbacchione di Raghavan.»
(sì, proprio “furbacchione” eh! Che poi l’hanno promosso per licenziarlo, ma il sostituto fa le stesse cose, vabbè non divaghiamo)
Andrea fa una battuta sul clima internazionale:
«Visto il clima attuale, probabilmente bisogna scusarsi con gli indiani. Non ci possiamo inimicare Modi.»
Dopo qualche minuto mostro loro i dati:
«Questo il traffico dall’India… E questo il grafico clic/conversioni… Come dire… Ah, Google Ads dice che è tutto traffico italiano. Come no.»
Poi interviene Luca Bove:
«Mi è capitato in passato che addirittura spedissero anche mail.»
Io (alle 12:22) concludo:
«99,99% bot network coi cellulari e GPS spoofing.»
Per precauzione, a quel punto blocco i Partner di ricerca dalle campagne. È una mossa drastica, anche perché fin qui avevano funzionato bene… ma necessaria per dare un taglio immediato al traffico “sospetto”.
Faccio un follow-up all’agenzia nel pomeriggio, aggiungendo che si tratta di un problema risolvibile: Google, di norma, rimborsa quando scopre clic fraudolenti evidenziati con prove chiare. Certo, non è una passeggiata: raccogliere i dati, estrarli e mettere tutto in forma “comprensibile” a Google Ads richiede un po’ di lavoro.
L’agenzia, molto disponibile, mi conferma che si occuperà di recuperare e inviarmi i log quanto prima. A questo punto non resta che incrociare le dita, sperando di arginare la frode, e prepararmi a sezionare i file di log alla ricerca di IP e pattern anomali.
Giorno 3 (19 Febbraio 2025) – “Ok AI, tocca a te!”
Mi sveglio, apro la casella email e lo sviluppatore dell’agenzia solertemente mi ha mandato un link per scaricare i log completi del sito relativi al periodo da analizzare. Bingo: ecco il materiale che aspetto per passare dal “forse c’è una frode” a “vediamo le prove”.
A questo punto ho scatenato la mia “task force” a base di LLM e script Python, perché non avevo di certo voglia di analizzare manualmente centinaia di migliaia di righe di log. Ecco come ho operato:
1. ChatGPT per impostare la soluzione
Lì ho spiegato che mi serviva uno script per:
- accedere ad un file di log zippato
- cercare le righe con il parametro gclid (che riconduce ai clic Google Ads)
- geolocalizzare gli IP, così da separare quelli italiani dagli esteri
2. Documento “Specifiche di progetto.md”
Ho copiato brutalmente i consigli di ChatGPT, aggiungendo due righe di miei requisiti, e ho passato tutto a Cursor, che è un IDE con un’IA integrata.
3. Le iterazioni su Cursor
Ottengo una prima bozza di script (“analisi_log.py”), faccio un paio di prove, qualche correzione.
Lo faccio girare e in un paio di minuti ottengo un mega file di output con i log di click da Google Ads da utenti “non italiani”.
4. Analizza_risultati.py
Una volta che ho i dati “grezzi” con IP URL di destinazione con gclid e timestamp, voglio anche un CSV bello e pulito con colonnine su “Data”, “Paese”, “Referrer”. Quindi in Cursor chiedo un secondo script.
Altre piccole iterazioni, ed ecco comparire la mia tabella salvifica.
5. Il verdetto
Quando apro il CSV, quattro pivot e due grafici ecco la conferma: oltre 3000 clic provengono da India e Iran, tutti passati (guarda caso) dalla rete dei Partner di ricerca di Google.
In altre parole, i bot mascherati da “italiani” si sono fatti bello spuntino sul budget del cliente (dalle stime, circa 500€).
Non appena ho finito di smanettare, rimetto in ordine le priorità. Prima di tutto, le cose importanti: aggiornare i colleghi in Fonderia SEO!
«Per la cronaca, Cursor to the rescue… Scriptino fatto per estrarre tutti i log che mi interessavano. Dieci minuti di lavoro, e altri cinque per un CSV con due dati di analisi… “IN” è India, mentre “ID” è… rullo di tamburi… Iran! Fondamentalmente i due paesi antipatici sono questi.»
(sì, ho scritto proprio “antipatici”!! Che vi pensate!)
A quel punto purtroppo tocca lavorare e quindi invio all’agenzia la mail di aggiornamento con qualche screenshot e aggiungo: “Segnalo subito la cosa a Google, in genere quando gli si porta un log ben dettagliato, si muovono.”
Sostanzialmente, ho avuto la dimostrazione tecnica che il picco di conversioni non era una qualche magia dello smart bidding, ma piuttosto un giochino orchestrato da qualche Partner “poco pulito”, con la strategia di offerta di Google Ads che dal canto suo appena ha “annusato” il pubblico apparentemente interattivo ci si è buttato a pesce.
La buona notizia è che con prove chiare alla mano, Google Ads di solito ammette l’esistenza di clic fraudolenti e rimborsa le cifre sottratte.
Il tutto, peraltro, completato in tempi brevissimi proprio grazie al supporto di ChatGPT e Cursor: in altre epoche, tra dover scompattare i log e fare parsing a mano, avrei probabilmente perso mezza giornata. Ora, in pochi minuti, non solo avevo i log correttamente filtrati, ma anche un CSV con dei dati aggregati da mostrare in formato grafico.
Concludo la giornata con la soddisfazione di aver smascherato un bel network di bot. Non è la prima né l’ultima volta, ma ogni tanto fa piacere vedere quanta differenza possa fare l’AI per velocizzare l’indagine.
Conclusioni e riflessioni finali
In pochi giorni, passando da “Wow, che pacchia!” a “Aspetta, qui c’è qualcosa di strano”, abbiamo smascherato un sistema di bot piuttosto sofisticato. Punti chiave:
- Monitoraggio attivo: sono stato io ad essermi accorto del problema e non mi sono fermato al “ma guarda quante conversioni”, ma mi sono preso lo scrupolo di attivare il cliente per avere conferme.
- Incrociare i dati: Ads può dire “questi utenti sono italiani” ma Matomo (o altri analytics) e i log del server raccontano un’altra storia.
- Analisi rapida con l’AI: in un passato non troppo lontano avrei scritto manualmente uno script o fatto grep nei log, magari passandoci mezza giornata o più. Ora, con ChatGPT e Cursor, ho risparmiato parecchio tempo.
- L’importanza di un team reattivo: l’agenzia e il cliente hanno collaborato immediatamente, fornendo log e informazioni utili. Senza questa sinergia, avremmo perso giorni (o settimane) e denaro in più.
Morale della favola: se vedete conversioni schizzare alle stelle senza un’analoga esplosione di telefonate o email vere, fatevi un giro tra i log del server. Spesso il trucco sta tutto lì: i dati raw non mentono. E quando beccate un picco strano di “falsi italiani”, siete a un passo dallo smontare la frode e richiedere i soldi indietro a Google Ads (che di solito, in questi casi, collabora volentieri).
E questo, per ora, è quanto.
Magari aggiornerò il post quando avrò risposte dal team antifrode di Google Ads.
La risposta del team antifrode di Google Ads
Ci han messo un po’ e ho dovuto sollecitare, ma alla fine (oggi, 3 marzo 2025) han risposto.
Non hanno fatto troppe storie e rimborsano $261 USD. Un po’ di meno di quello che avevo stimato io, ma è anche vero che avevo fatto una stima molto spannometrica, siamo comunque nello stesso ordine di grandezza il che vuol dire che molto probabilmente ho sbagliato io a stimare.
Cliente rimborsato, caso chiuso!
