/https://www.ilsoftware.it/app/uploads/2025/04/foto-michele-nasi.jpg){kind=small}
/https://www.ilsoftware.it/app/uploads/2026/06/recaptcha-controllo-attestazione-smartphone.jpg "Google cambia reCAPTCHA: servono smartphone approvati per superare i controlli?")
Una semplice verifica anti-bot rischia di trasformarsi in un requisito tecnologico preciso: possedere uno smartphone approvato da Google o Apple. È questa l’accusa lanciata da GrapheneOS contro le più recenti evoluzioni di reCAPTCHA, il sistema utilizzato da milioni di siti web per distinguere gli utenti reali dai meccanismi automatizzati.
Per oltre 20 anni i CAPTCHA hanno rappresentato una delle principali difese contro spam, registrazioni automatiche e attività fraudolente. Prima bastava riconoscere lettere distorte o selezionare alcune immagini; oggi, però, i modelli di intelligenza artificiale riescono a superare molte di queste verifiche. Secondo diverse stime del settore, i bot generano ormai una quota significativa del traffico Internet globale e una parte crescente di queste attività sfrutta tecnologie AI sempre più sofisticate.
Per rispondere a questa evoluzione, Google ha iniziato a introdurre all’interno della sua piattaforma Cloud Fraud Defense nuove verifiche basate sulla scansione di codici QR tramite dispositivi mobili compatibili. L’azienda sostiene che il coinvolgimento di uno smartphone fisico offra una prova più affidabile della presenza umana e renda economicamente meno sostenibili le campagne automatizzate su larga scala.
Come funziona l’attestazione hardware introdotta da Google
Dietro la scansione del QR code si nasconde un meccanismo complesso: il dispositivo mobile comunica con l’infrastruttura Google e fornisce una forma di hardware attestation, cioè una verifica crittografica che attesta l’identità e l’integrità del dispositivo utilizzato.
Nel mondo Android questa procedura si appoggia ai componenti di sicurezza integrati nei Google Play Services e alle tecnologie collegate al sistema Play Integrity API. Sul versante Apple, invece, Google può fare affidamento su funzionalità come App Attest e altri meccanismi presenti nelle versioni recenti di iOS e iPadOS.
Il sistema non si limita a verificare che esista uno smartphone; cerca anche di accertare che quel dispositivo appartenga a una categoria considerata affidabile e certificata. Qui nasce la contestazione avanzata da GrapheneOS e da numerosi sostenitori della privacy nell’ambito digitale.
La novità non riguarda tutti gli accessi ai siti web: il controllo entra in funzione quando il sistema attribuisce un livello di rischio elevato a una determinata sessione o quando il proprietario del sito decide di applicare regole più restrittive.
Perché GrapheneOS parla di esclusione tecnologica
GrapheneOS è una distribuzione Android open source focalizzata sulla sicurezza. Molti giornalisti, ricercatori, professionisti della sicurezza e attivisti la scelgono proprio per ridurre la dipendenza dai servizi Google e aumentare il controllo sui dati personali.
Secondo il progetto, i nuovi controlli impediscono il completamento della verifica a numerosi dispositivi Android privi dei Google Play Services. Lo stesso problema potrebbe interessare altre distribuzioni derivate da AOSP (Android Open Source Project), sprovviste dei componenti Google e, più in generale, qualsiasi piattaforma che non soddisfi i requisiti previsti dal sistema di attestazione.
La critica principale non riguarda tanto la presenza di un controllo aggiuntivo, quanto il fatto che l’accesso a una porzione significativa del web rischi di dipendere dall’utilizzo di hardware e software approvati da due soli attori: Apple e Google.
Gli sviluppatori di GrapheneOS definiscono la misura anticoncorrenziale e sostengono che la sicurezza sia utilizzata come giustificazione per rafforzare la posizione dominante dei principali fornitori di sistemi operativi mobili.
Il precedente di Web Environment Integrity
Molti osservatori hanno collegato la vicenda a una proposta presentata da Google nel 2023 chiamata Web Environment Integrity: l’idea prevedeva la possibilità per i siti web di verificare l’affidabilità dell’ambiente software utilizzato dall’utente attraverso un sistema di attestazione remota.
La proposta generò forti polemiche: organizzazioni dedicate alla tutela dei diritti digitali, sviluppatori indipendenti e produttori di browser temevano la nascita di una rete sempre più chiusa, nella quale solo dispositivi certificati avrebbero potuto accedere a determinati servizi. Google abbandonò formalmente il progetto, ma diversi commentatori ritengono che l’approccio adottato da Cloud Fraud Defense presenti alcune somiglianze.
L’azienda di Mountain View, tuttavia, tiene a precisare che Cloud Fraud Defense è una piattaforma antifrode destinata a contrastare bot, account compromessi, automazioni avanzate e agenti AI autonomi.
Le implicazioni per privacy e sicurezza
La discussione non riguarda soltanto la concorrenza: alcuni esperti evidenziano infatti potenziali conseguenze anche sul piano della privacy.
Quando la verifica passa attraverso un dispositivo certificato, il sistema raccoglie inevitabilmente segnali tecnici aggiuntivi rispetto a quelli necessari per una semplice sfida visiva (si pensi ai tradizionali CAPTCHA).
Google afferma di utilizzare procedure orientate alla protezione dei dati e, dal 2026, ha introdotto un modello che attribuisce maggiore controllo ai clienti sull’elaborazione delle informazioni raccolte. Restano però interrogativi riguardo alla quantità di metadati generati (vi ricordate dell’approfondimento su metadati elaborati da WhatsApp?) durante il processo di verifica e alla possibilità di creare identificatori persistenti nel tempo.
C’è poi da fare anche un’altra osservazione. I criminali informatici sfruttano già da tempo il cosiddetto quishing, cioè il phishing basato su codici QR. Alcuni professionisti della sicurezza temono che l’abitudine a scansionare QR per completare operazioni apparentemente legittime possa aumentare la superficie di attacco per future campagne fraudolente.
Chi decide davvero se applicare queste verifiche
Un aspetto del quale poco si è parlato riguarda il ruolo dei gestori dei siti web. Google fornisce la tecnologia, ma spetta agli amministratori dei siti e dei servizi decidere quale livello di protezione adottare.
Le regole di Cloud Fraud Defense consentono di applicare controlli differenziati sulla base del punteggio di rischio, del tipo di automazione rilevata e dell’identità dell’agente che tenta di accedere al servizio.
Nulla impedisce a un sito di utilizzare modalità meno invasive o soluzioni alternative. Tuttavia, la vasta diffusione delle tecnologie Google rende ogni modifica a reCAPTCHA potenzialmente rilevante per una porzione enorme del traffico web.
/https://www.ilsoftware.it/app/uploads/2026/06/whatsapp-attacchi-pegasus-nso-group.jpg "WhatsApp smaschera una nuova campagna spyware: torna l'ombra di Pegasus")
/https://www.ilsoftware.it/app/uploads/2024/09/chiamate-dai-call-center-incogni-600x240.webp "Android riconoscerà chiamate truffa e imitazioni vocali")
/https://www.ilsoftware.it/app/uploads/2026/06/android-porte-rete.jpg "Google cambia Android dopo 17 anni: sbloccate le porte di rete finora proibite")
/https://www.ilsoftware.it/app/uploads/2026/05/samsung-gallery-app-addio-onedrive.jpg "Samsung Gallery e OneDrive si separano dal 30 settembre: cosa cambia per le foto")