Google ha alzato la voce contro le nuove regole che l’Unione Europea sta preparando per limitare il suo strapotere, sostenendo che quelle norme potrebbero mettere a rischio la privacy di milioni di utenti. La Commissione Europea ha intenzione di annunciare il prossimo mese un pacchetto di regolamenti pensato per costringere l’azienda a comportarsi in modo più collaborativo con i concorrenti del mercato europeo. E qui le obiezioni di Mountain View non si sono fatte attendere, anche se l’inquadramento scelto è curioso. Non si tratta di difendere posizioni dominanti, dicono, ma di proteggere i dati delle persone.
Heather Adkins, vicepresidente della sicurezza di Google, ha spiegato che le proposte europee potrebbero generare problemi seri sul fronte della sicurezza e della riservatezza. I cambiamenti in arrivo seguono due direzioni precise. Da un lato i regolatori vogliono togliere a Gemini il ruolo di unico servizio di intelligenza artificiale integrato su Android, aprendo la porta ad altri modelli che otterrebbero lo stesso livello di accesso al sistema. Dall’altro, l’Europa chiede che vengano condivisi con altre aziende i dati di ricerca resi anonimi.
Google accusa l’UE: il nodo della sicurezza su Android
Secondo Adkins, se le regole venissero applicate così come sono state descritte, su Android si vedrebbe in poco tempo una crescita significativa delle frodi nell’area europea. Parliamo di settimane, non di mesi, dal momento in cui le modifiche entrerebbero in vigore. Il punto è che lo status speciale di Gemini sui dispositivi gli consente di accedere ai file degli utenti, ai contenuti dello schermo e alle interazioni vocali avanzate. La preoccupazione, lasciata intuire più che dichiarata apertamente, riguarda i malintenzionati che potrebbero sfruttare queste nuove aperture per installare servizi di intelligenza artificiale dannosi, capaci di rubare informazioni e manipolare l’esperienza d’uso.
Sul tema della condivisione dei dati anonimi le obiezioni di Google diventano più dettagliate. Stando alla bozza della proposta della Commissione, l’azienda dovrebbe fornire ai concorrenti dati di ricerca anonimizzati simili a quelli che vede internamente. Roba che comprende il contenuto delle ricerche, il posizionamento e i tassi di clic. Materiale che sta al cuore del prodotto di ricerca e che non è mai stato condiviso prima a questo livello di dettaglio.
L’anonimato che forse non esiste davvero
Il problema dell’anonimizzazione è complicato e richiede le persone giuste al tavolo per trovare soluzioni adeguate. Da anni si sa che è possibile risalire all’identità delle persone partendo da dati apparentemente anonimi. Anzi, Google sostiene che la diffusione di modelli di intelligenza artificiale potenti renda oggi questo lavoro più semplice che mai. I team di sicurezza interni dell’azienda sarebbero riusciti a collegare dati di ricerca anonimi a singoli utenti in appena due ore, usando i cosiddetti attacchi di collegamento.
Qui salta fuori una contraddizione interessante. Google si fida di sé stessa quando si tratta di custodire questi dati, ma di una piccola startup europea forse un po’ meno. Eppure l’azienda sfrutta abitualmente dati anonimizzati e sottolinea sempre quanto siano protetti. A volte nasconde le identità raggruppando tutti i dati di chi condivide una caratteristica, come il codice postale. Altre volte mescola diversi tipi di query per coprire i collegamenti a temi sensibili. E quando non basta, aggiunge del rumore casuale per offuscare ulteriormente le tracce.
Queste tecniche vengono applicate un po’ ovunque, dalle ricerche ai dati di posizione, dai profili pubblicitari all’uso delle app. Tutto scritto nei termini sulla privacy, con la rassicurazione costante che i dati restino abbastanza anonimi anche quando vengono condivisi con terze parti scelte dall’azienda. Strano però che diventi un problema insormontabile proprio quando a chiederlo è l’Europa per i concorrenti.
L’operazione rientra nel quadro del Digital Markets Act, la normativa che ha etichettato Google, Meta, Amazon e altri colossi come gatekeeper soggetti a regole aggiuntive. Google si è schierata apertamente contro questa legge, chiedendone una revisione. Con quote di mercato enormi in diversi settori, oltre il 90 per cento nella ricerca web, l’azienda non ha grandi motivi per gradire più controlli.
Nulla è ancora deciso comunque. Il periodo per le osservazioni si è chiuso il primo maggio e la Commissione sta valutando come far rispettare le nuove regole. La decisione finale è attesa per il 27 luglio e sarà giuridicamente vincolante per Google in quanto gatekeeper designato. La forma esatta dell’accesso all’intelligenza artificiale e dell’anonimizzazione dei dati resta quindi ancora da definire nei dettagli.