Su GitHub puoi comprare credibilità con meno di $300. E qualcuno lo fa per raccogliere milioni dagli investitori

Le stelle su GitHub erano nate come uno strumento semplice e onesto: salvi una repository perché la trovi utile o interessante, e quella stella diventa un segnale per chiunque altro arrivi dopo di te. Uno di quegli indicatori passivi che, proprio perché nessuno aveva interesse a manipolarli, erano rimasti affidabili per anni. Poi i fondi di investimento hanno iniziato a usarli come metrica di scouting. E da quel momento, il mercato ha risposto nel modo in cui i mercati rispondono sempre quando una metrica diventa un obiettivo: trovando il modo di falsificarla.

Uno studio peer-reviewed presentato alla conferenza ICSE 2026 da ricercatori della Carnegie Mellon University, della North Carolina State University e di Socket ha messo numeri precisi su quella che fino a poco fa era considerata una pratica di nicchia. Il risultato è scomodo: 6 milioni di stelle false su GitHub, distribuite su 18.617 repository, generate da circa 301.000 account bot. Un'industria parallela che vende credibilità tecnica a chi vuole raccogliere capitali da investitori che usano le stelle come segnale di validazione.

Il meccanismo è più accessibile di quanto si immagini. Non serve il dark web, non serve conoscere hacker, non serve nemmeno fare qualcosa di particolarmente complicato. Bastano una decina di siti specializzati, Fiverr, o canali Telegram dedicati. Il prezzo di una stella oscilla tra $0,03 e $0,90 a seconda del volume, della qualità degli account che la forniscono e della velocità di consegna.

Il conto è rapido. Per simulare una traction da seed round credibile — la soglia che molti VC usano come segnale di interesse iniziale — bastano tra $85 e $285. Su un round da $1-10 milioni, il ROI potenziale è teoricamente fino a 117.000x. È probabilmente il miglior ritorno sull'investimento disponibile nel panorama del marketing startup, con il piccolo dettaglio che è una frode.

I ricercatori della CMU hanno sviluppato uno strumento chiamato StarScout per identificare comportamenti di stellatura anomali su larga scala. L'analisi ha coperto 20 terabyte di metadati GitHub — 6,7 miliardi di eventi e 326 milioni di stelle tra il 2019 e il 2024. StarScout identifica due firme distinte di frode: il "low activity signature", ovvero account fantasma con zero repository e zero follower che esistono solo per distribuire stelle, e il "lockstep signature", ovvero reti di bot che stellano repository in burst coordinati e sincronizzati.

I numeri dello studio sono difficili da ignorare. A luglio 2024, il 16,66% di tutte le repository con 50 o più stelle era coinvolto in campagne di stelle false — partendo da quasi zero prima del 2022. In quattro anni, quello che era un fenomeno marginale è diventato strutturale: una repository su sei con presenza significativa su GitHub potrebbe avere la propria popolarità artificialmente gonfiata.

La categoria più colpita tra i progetti non maliciosi è quella AI/LLM, che supera anche i progetti blockchain e criptovalute in volume assoluto di stelle false — 177.000 stelle false identificate solo in questo segmento. Lo studio nota che molti di questi sono repository di paper accademici o prodotti startup legati ai modelli linguistici — esattamente la categoria in cui gli investitori cercano i prossimi progetti interessanti e in cui la pressione a dimostrare traction rapida è oggi più alta che in qualsiasi altro settore tech.

C'è una ragione strutturale per cui le stelle GitHub sono diventate un bersaglio così ghiotto. Negli ultimi anni, una generazione di fondi early-stage ha automatizzato lo scouting tecnico: scraper che monitorano le repository in crescita rapida, classifiche di trending per linguaggio, alert sulle nuove librerie che ricevono centinaia di stelle in pochi giorni. Quando un VC decide se rispondere a un'email fredda guardando prima il profilo GitHub del fondatore, il numero accanto all'icona della stella diventa una proxy della reputazione tecnica. E ogni proxy della reputazione, prima o poi, finisce per essere monetizzata da qualcuno disposto a venderla.

Il problema, dal punto di vista del fondatore disonesto, è che il rischio percepito è bassissimo. GitHub rimuove periodicamente account chiaramente fraudolenti, ma il banning è reattivo e tardivo: arriva mesi dopo, quando ormai il round è stato chiuso e le stelle hanno svolto il loro lavoro. Non esiste una regolamentazione, non esiste una sanzione legale specifica, non esiste — per ora — una pratica consolidata di due diligence che includa l'analisi forense delle stelle prima di firmare un term sheet.

Per gli investitori, la conseguenza pratica è semplice: smettere di trattare le stelle GitHub come una metrica affidabile. Non significa ignorarle del tutto, ma considerarle al massimo come un segnale debole da verificare, non come una validazione in sé. I segnali più difficili da falsificare restano gli stessi di sempre — fork attivi con commit reali, issue aperte da utenti diversi e non da account collegati, contributor esterni con storia su altri progetti, citazioni in documentazione di prodotti terzi, traffico organico verso la repository.

Per i fondatori onesti, la conseguenza è meno simpatica: il rumore di fondo creato dalla frode rende più difficile farsi notare giocando pulito. Una startup che cresce lentamente ma in modo genuino oggi compete sulla stessa pagina di trending con startup che hanno comprato 5.000 stelle in due settimane. Finché gli investitori continueranno a guardare i numeri assoluti senza verificarne la qualità, la pressione a partecipare al mercato grigio delle stelle continuerà a crescere.

Per GitHub, il problema è esistenziale a medio termine. La piattaforma deve la propria centralità nell'ecosistema open source proprio alla fiducia che sviluppatori, aziende e investitori ripongono nei suoi segnali sociali. Se quei segnali diventano sistematicamente inaffidabili, GitHub perde una parte del valore strategico che ne ha fatto l'infrastruttura di default del software mondiale. Strumenti come StarScout, sviluppati esternamente, mostrano che la rilevazione è tecnicamente possibile su larga scala. La domanda è quanto rapidamente GitHub deciderà di integrare logiche simili nella propria piattaforma — e quanto sarà disposta a essere aggressiva nel rimuovere repository e account compromessi, anche quando appartengono ad aziende grandi e visibili.

Lo studio ICSE 2026 non è il primo a documentare il fenomeno, ma è probabilmente quello che lo inquadra in modo più rigoroso e su scala più ampia. La sua pubblicazione segna il momento in cui il mercato delle stelle false smette di essere un aneddoto da Twitter e diventa un dato verificato, con metodologia replicabile e numeri condivisi. È il tipo di evidenza che cambia il modo in cui investitori, fondatori e piattaforme dovranno guardare a una metrica che hanno dato per scontata per troppo tempo.

La lezione più ampia è quella, già nota, di Goodhart: quando una misura diventa un obiettivo, smette di essere una buona misura. Le stelle GitHub funzionavano finché nessuno aveva un motivo economico per manipolarle. Nel momento in cui sono diventate moneta nella corsa al funding, era inevitabile che qualcuno aprisse una zecca. Il vero costo non è economico, è informativo: in un ecosistema in cui i segnali pubblici diventano inaffidabili, la qualità delle decisioni — di chi investe, di chi adotta una libreria, di chi sceglie su cosa lavorare — peggiora per tutti. E in un settore che si è raccontato per anni come meritocratico, scoprire quanto facilmente la meritocrazia possa essere comprata con meno di trecento dollari è un risveglio che vale la pena prendere sul serio.