Quella comoda opzione Accedi con Account Google che compare praticamente ovunque, su siti, app e servizi di ogni tipo, è diventata negli anni un’abitudine per milioni di persone. Un clic e via, niente nuovi username, niente password da ricordare, niente moduli da compilare. Eppure, nel 2026, continuare a fare affidamento su questa scorciatoia potrebbe rivelarsi un errore piuttosto serio. E le ragioni sono più concrete di quanto si potrebbe pensare.
Il punto fondamentale è semplice: concentrare tutto l’accesso alla propria vita digitale sotto un unico ombrello, quello dell’account Google, significa creare un singolo punto di vulnerabilità. Se per qualche motivo quell’account diventa inaccessibile, le conseguenze sono a catena. Che si tratti di una password dimenticata, di un account rimasto inattivo troppo a lungo, di un attacco hacking, di un tentativo di phishing andato a segno, o persino di una decisione unilaterale di Google di applicare le proprie policy di ban, il risultato è lo stesso: si perde l’accesso a tutto. Non solo email, foto e documenti, ma anche la lista delle cose da fare, gli account di ChatGPT o Claude, le app per la consegna di cibo, il servizio di ride sharing, la gestione della casa intelligente, il profilo social. E nei casi peggiori anche servizi davvero critici come il fornitore di energia elettrica, la linea telefonica o il sistema di allarme domestico.
Basta fare un giro su Reddit per trovare storie di persone che hanno perso l’accesso al proprio account Google e, con esso, a tutto il resto. Non è il tipo di scommessa che vale la pena fare.
Attacchi AiTM, raccolta dati per l’intelligenza artificiale e altri rischi concreti
C’è poi una questione tecnica che rende il quadro ancora più preoccupante. Gli attacchi moderni di tipo Adversary in the Middle (AiTM) sono in grado di aggirare completamente l’autenticazione a due fattori (2FA). Funzionano così: alcuni hacker utilizzano dei “reverse proxy” per replicare in tempo reale la schermata di login di Google, mentre contemporaneamente comunicano con i server reali di Google. Quando si sceglie “Continua con Google” su una di queste pagine fasulle, la richiesta viene effettivamente inoltrata a Google, che chiede la verifica tramite codice o conferma su un altro dispositivo. Ma ecco il problema: l’attaccante intercetta il token di sessione che Google restituisce al browser. Con quel token in mano, può restare collegato all’account sulla propria macchina senza mai aver bisogno della password, rendendo di fatto obsoleta la protezione tramite codici SMS contro kit di phishing professionali.
Non tutti saranno bersaglio di attacchi così sofisticati, certo. Ma uno dei modi migliori per ridurre il rischio è semplicemente evitare di usare Accedi con Account Google come prassi predefinita. Accedere manualmente a Google.com o Gmail.com (o alle app ufficiali di Google) è molto meno rischioso rispetto a farlo attraverso un pop up di login di un’app o un sito di terze parti.
E poi c’è la questione dei dati personali. Collegare tutti i propri account tramite un unico login Google significa regalare all’azienda un’impronta digitale estremamente dettagliata delle proprie abitudini. Google non raccoglie solo nome ed email: registra quali app si usano, con quale frequenza, da dove. La documentazione ufficiale del 2026 chiarisce che i dati personali non vengono usati per addestrare i modelli di intelligenza artificiale, ma i log aggregati e “anonimizzati” dell’utilizzo di app di terze parti sono considerati utilizzabili. In pratica, collegando altri servizi al proprio account, si fornisce a Google ulteriore materiale per costruire profili e analizzare tendenze d’uso su larga scala.
La soluzione esiste, ed è più semplice di quanto sembri
La strada alternativa è creare account separati per ogni servizio. Sì, è più scomodo, richiede più tempo e obbliga a usare un password manager per tenere tutto sotto controllo. Ma è la cosa giusta da fare. Alcuni account possono usare lo stesso indirizzo Gmail, altri un indirizzo secondario, altri ancora un’email Proton. Questo approccio diversifica gli accessi e garantisce che, se qualcosa va storto con un singolo account, non si perda tutto il resto.
Di password manager validi ce ne sono parecchi: KeePass, Bitwarden, 1Password, Proton Pass e altri ancora. L’importante è sceglierne uno che supporti l’autenticazione a due fattori e attivarla ovunque possibile. Si può anche valutare l’uso delle Passkey come soluzione intermedia tra le password individuali e il login universale con Google.
