Chrome sta lavorando a un sistema che potrebbe cambiare il modo in cui i siti capiscono se dall’altra parte dello schermo c’è una persona reale o un programma automatico. Google ha messo in cantiere una funzione chiamata Email Verification Protocol, in sigla EVP, pensata per identificare gli utenti in maniera meno fastidiosa e più solida rispetto ai vecchi CAPTCHA. L’idea di fondo è semplice da capire: usare l’indirizzo email come prova di autenticità, ma senza costringere le persone a cedere i propri dati personali a ogni sito che visitano.
Il problema che spinge Google in questa direzione è concreto. La creazione automatica di account falsi, l’abuso dei servizi online e le attività fraudolente portate avanti da bot basati sull’Intelligenza Artificiale sono diventati un fenomeno sempre più diffuso. E i sistemi di controllo classici non reggono più il colpo. I modelli di AI moderni, ormai, risolvono i test visivi con una precisione altissima, rendendo quei quadratini da cliccare praticamente inutili. Senza contare che quei test sono spesso scomodi, soprattutto da smartphone o per chi ha qualche forma di disabilità.
Come funziona l’EVP al posto dei CAPTCHA
Il meccanismo dell’EVP si basa su una collaborazione a tre: browser, provider di posta elettronica e siti Web devono lavorare insieme. Quando un utente verifica il proprio indirizzo email, viene generata una credenziale crittografica che il browser può conservare e riutilizzare in seguito. Questa credenziale, definita “verificabile”, si presenta ai siti compatibili per dimostrare che dietro c’è un account email valido.
La differenza rispetto al passato sta tutta qui. Il sistema non chiede di condividere l’indirizzo email con ogni singolo servizio. Al suo posto entrano in gioco tecnologie come token anonimi e firme crittografiche, che confermano una caratteristica precisa, ad esempio l’esistenza di un account verificato, senza svelare nulla di personale. Un approccio che ricorda le soluzioni già viste nel campo dell’identità digitale, dove si condividono solo le informazioni strettamente necessarie.
Google, del resto, non parte da un foglio bianco. Chrome integra già standard come WebAuthn e le passkey, che sfruttano chiavi crittografiche salvate in locale per rendere più sicuro l’accesso. L’EVP andrebbe ad affiancarsi a questi strumenti, dando agli sviluppatori un livello extra di protezione contro gli abusi.
I limiti e le incognite del protocollo
C’è però una questione che pesa parecchio, ed è quella dell’adozione su larga scala. Perché la cosa funzioni davvero, il protocollo dovrà essere supportato non solo da Google Chrome, ma anche dagli altri browser e dalle varie piattaforme online. Da soli non si va da nessuna parte.
E poi va detto chiaramente: non è la soluzione a ogni male. Gli attaccanti hanno comunque delle scappatoie. Possono ricorrere a email temporanee oppure ad account compromessi, aggirando così il controllo. Nessun sistema, in fondo, chiude tutte le porte.
Detto questo, il progetto segna comunque un cambio di rotta interessante. In un ambiente digitale sempre più affollato di agenti automatici, Google prova a spostare il baricentro: non più verifica del comportamento, ma verifica basata su credenziali affidabili. L’obiettivo dichiarato è trovare un punto di equilibrio tra sicurezza da un lato ed esperienza d’uso dall’altro, senza sacrificare troppo né l’una né l’altra.