Il nuovo reCAPTCHA di Google sta facendo discutere, e parecchio. Il motivo è semplice da raccontare ma meno da digerire: per superare alcuni controlli anti bot potrebbe servire uno smartphone approvato da Google o Apple. L’accusa arriva da GrapheneOS, che punta il dito contro le ultime evoluzioni del sistema usato da milioni di siti per separare gli utenti veri dai meccanismi automatizzati. Una verifica che, da semplice prova “umano o robot”, rischia di trasformarsi in un requisito hardware bello e buono.
Per oltre 20 anni i CAPTCHA hanno fatto da scudo contro spam, registrazioni finte e attività fraudolente. All’inizio bastava riconoscere lettere storte o cliccare su qualche immagine. Oggi la storia è diversa, perché i modelli di intelligenza artificiale scavalcano molte di quelle verifiche senza fatica. Stando a varie stime di settore, i bot generano ormai una fetta consistente del traffico Internet globale, e una parte crescente di questa attività sfrutta tecnologie AI sempre più raffinate. Da qui la mossa di Google, che ha cominciato a inserire nella piattaforma Cloud Fraud Defense nuove verifiche basate sulla scansione di codici QR tramite dispositivi mobili compatibili. L’idea dell’azienda è che il coinvolgimento di uno smartphone fisico offra una prova più solida della presenza umana e renda meno conveniente, sul piano economico, lanciare campagne automatizzate su larga scala.
Come funziona l’attestazione hardware introdotta da Google
Dietro quel QR code da scansionare c’è un meccanismo tutt’altro che banale. Il dispositivo mobile dialoga con l’infrastruttura Google e fornisce una forma di hardware attestation, cioè una verifica crittografica che certifica identità e integrità del device usato. Su Android la procedura si appoggia ai componenti di sicurezza integrati nei Google Play Services e alle tecnologie legate alle Play Integrity API. Sul fronte Apple, invece, Google sfrutta funzioni come App Attest e altri meccanismi presenti nelle versioni recenti di iOS e iPadOS.
Il punto delicato è proprio questo: il sistema non si limita a controllare che ci sia uno smartphone, ma cerca di accertare che quel telefono appartenga a una categoria considerata affidabile e certificata. E qui nasce la contestazione di GrapheneOS e di molti sostenitori della privacy digitale. Da chiarire una cosa: il controllo non scatta a ogni accesso. Entra in funzione quando il sistema attribuisce un livello di rischio elevato a una sessione, oppure quando è il proprietario del sito a decidere regole più restrittive.
Perché GrapheneOS parla di esclusione tecnologica
GrapheneOS è una distribuzione Android open source pensata per la sicurezza. La scelgono giornalisti, ricercatori, professionisti del settore e attivisti, proprio per ridurre la dipendenza dai servizi Google e tenere più sotto controllo i dati personali. Secondo il progetto, i nuovi controlli bloccano la verifica su parecchi dispositivi Android privi dei Google Play Services. Stesso problema possibile per altre distribuzioni derivate da AOSP, sprovviste dei componenti Google, e per qualsiasi piattaforma che non rispetti i requisiti del sistema di attestazione.
La critica vera non riguarda il controllo in sé, ma il fatto che l’accesso a una porzione importante del web finisca per dipendere da hardware e software approvati da due soli attori: Apple e Google. Gli sviluppatori parlano apertamente di misura anticoncorrenziale e sostengono che la sicurezza venga usata come giustificazione per blindare la posizione dominante dei grandi fornitori di sistemi operativi mobili.
Molti hanno collegato la vicenda a una proposta di Google del 2023, Web Environment Integrity, che prevedeva la possibilità per i siti di verificare l’affidabilità dell’ambiente software dell’utente tramite attestazione remota. Quella proposta scatenò polemiche pesanti e Google la abbandonò, ma diversi commentatori vedono somiglianze con l’approccio di Cloud Fraud Defense. Mountain View ribatte che si tratta di una piattaforma antifrode pensata per contrastare bot, account compromessi, automazioni avanzate e agenti AI autonomi.
Cos’è il quishing?
Sul piano della privacy restano interrogativi. Quando la verifica passa da un dispositivo certificato, il sistema raccoglie segnali tecnici aggiuntivi rispetto a una semplice sfida visiva. Google dice di usare procedure orientate alla protezione dei dati e dal 2026 ha introdotto un modello che dà più controllo ai clienti sull’elaborazione delle informazioni. Restano dubbi sulla quantità di metadati prodotti durante la verifica e sulla possibilità di creare identificatori persistenti nel tempo. C’è poi il tema del quishing, il phishing basato su QR code: alcuni esperti temono che abituarsi a scansionare codici per operazioni apparentemente legittime possa ampliare la superficie di attacco.
Un dettaglio di cui si parla poco riguarda chi decide davvero. Google fornisce la tecnologia, ma sono gli amministratori dei siti a stabilire quale livello di protezione applicare. Le regole di Cloud Fraud Defense permettono controlli differenziati in base al punteggio di rischio, al tipo di automazione rilevata e all’identità dell’agente che prova ad accedere. Nulla vieta a un sito di scegliere modalità meno invasive o soluzioni alternative. Resta il fatto che la diffusione enorme delle tecnologie Google rende ogni modifica a reCAPTCHA potenzialmente rilevante per una fetta gigantesca del traffico web.