Una class action depositata in California accusa Apple di aver ingannato i propri utenti sulle protezioni offerte da Hide My Email, la funzione pensata per nascondere l’indirizzo di posta reale dietro alias generati in modo casuale. A far scattare la denuncia è un cliente che sostiene di aver pagato proprio per quella promessa di riservatezza, salvo poi scoprire che dietro il servizio si nasconderebbe una falla mai davvero risolta.
Facciamo un passo indietro. Qualche giorno fa era emerso che Apple sapeva da oltre un anno di un presunto difetto capace di esporre gli indirizzi email veri collegati agli alias di Hide My Email. La funzione, per chi non la conoscesse, permette di creare indirizzi unici e randomizzati che inoltrano i messaggi alla casella personale. In pratica ci si iscrive ad app, siti e newsletter senza mai consegnare la propria mail reale. È disponibile gratis tramite Accedi con Apple, mentre una versione più completa arriva con i piani iCloud+ a partire da circa 0,99 euro al mese, con la possibilità di generare alias per servizi di ogni tipo.
Cosa contesta il querelante e cosa chiede al tribunale
Secondo quanto ricostruito, un ricercatore di sicurezza aveva segnalato il problema ad Apple a giugno del 2025. L’azienda avrebbe riconosciuto la questione circa un mese dopo, lasciandola però irrisolta. A marzo del 2026 Apple ha dichiarato di aver sistemato tutto, ma lo stesso ricercatore ha verificato che la vulnerabilità restava sfruttabile. A fine maggio è arrivata l’ennesima rassicurazione, con un intervento previsto nelle settimane successive. La frase riportata dal ricercatore è netta: non si capisce perché non sia ancora stato corretto, ma non si sentiva più a suo agio ad aspettare oltre.
Il querelante, Anthony Alvarez, sostiene un punto semplice. Apple conosce il problema da più di un anno, la falla resta lì, e nel frattempo l’azienda continua a guadagnare su Hide My Email e sulle sue promesse di privacy. Alvarez si descrive come uno dei milioni di clienti che hanno pagato per iCloud+ contando sul fatto che la funzione tenesse davvero nascosto l’indirizzo personale. Il ragionamento è che quella privacy è stata comprata, sia dagli abbonati iCloud+ tramite il sovrapprezzo dell’abbonamento, sia da tutti i clienti Apple attraverso il premio di prezzo incorporato nei prodotti venduti come dotati di protezioni avanzate.
La causa aggiunge che non sarebbe un episodio isolato, richiamando un rapporto del 2023 secondo cui la funzione di indirizzo MAC randomizzato poteva comunque rivelare gli identificatori hardware reali. Il valore complessivo delle richieste dei membri della classe supererebbe i 5 milioni di dollari, interessi e spese legali esclusi, anche se non viene spiegato come sia stato calcolato quel numero.
Alvarez ha presentato la class action per sé e per altri clienti che dice essere stati danneggiati allo stesso modo. Chiede al tribunale di certificare il caso coprendo quattro gruppi di utenti: una classe nazionale di clienti Apple che hanno usato Hide My Email, una sottoclasse californiana degli stessi, una sottoclasse nazionale di abbonati iCloud+ che hanno usato la funzione e una sottoclasse californiana di abbonati iCloud+.
La richiesta prevede un processo con giuria e, oltre a un risarcimento economico da determinare, impone ad Apple una scelta netta. O si sistema davvero Hide My Email, oppure si dichiarano in modo chiaro i suoi limiti. Al momento Apple non ha commentato la vicenda.