Siediti al computer, apri il browser, provi ad accedere a un sito e ti appare un codice QR. Non un puzzle con i semafori — quelli sono preistoria. No, adesso devi prendere lo smartphone e scansionare quel codice. Ma non uno smartphone qualsiasi: deve essere un iPhone o un Android con i Google Play Services installati. Se hai scelto di usare GrapheneOS, CalyxOS o qualsiasi sistema operativo che non porta il guinzaglio di Google, sei tagliato fuori. Non perché sei un bot, non perché stai commettendo una frode: perché hai fatto una scelta di libertà che il sistema non tollera.
Questa non è fantascienza distopica. È quello che sta succedendo adesso, nel maggio 2026, con il lancio di Google Cloud Fraud Defense — la nuova evoluzione del reCAPTCHA, presentata al Google Cloud Next il 22 aprile. Dietro un’interfaccia apparentemente più comoda si nasconde il meccanismo di gatekeeping più ambizioso mai applicato al web: l’attestazione hardware, cioè la verifica crittografica che il tuo dispositivo sia “approvato” da Google o Apple. Non è una proposta accademica da discutere nei comitati di standardizzazione — è un prodotto commerciale, già in distribuzione, che sta ridisegnando i confini di chi può e chi non può usare internet. La domanda da porsi non è se funziona tecnicamente. La domanda è: chi decide chi entra e chi resta fuori?
La sicurezza come pretesto: anatomia dell’attestazione hardware
Per capire la portata di quello che sta accadendo serve un minimo di contesto tecnico. La Play Integrity API di Google — erede della vecchia SafetyNet — e la App Attest API di Apple sono sistemi che verificano crittograficamente se un dispositivo soddisfa determinati requisiti hardware e software. In parole povere, controllano se il telefono è “genuino” secondo i criteri del produttore. L’idea venduta agli sviluppatori è semplice: proteggi la tua app da dispositivi compromessi, emulatori, frodi. Il nocciolo della questione, però, è cosa significa “compromesso” nella grammatica di Google. Un telefono con GrapheneOS — unanimemente considerato il sistema operativo mobile più sicuro al mondo — non supera il controllo di integrità. Un dispositivo Android stock con dieci anni senza aggiornamenti di sicurezza, pieno di vulnerabilità note, lo supera senza problemi. Basta che abbia i Google Play Services. La sicurezza c’entra quanto il ghiaccio col Sahara.
GrapheneOS lo ha denunciato con chiarezza cristallina in un lungo post pubblicato il 10 maggio 2026 sulla propria istanza Mastodon, scatenando migliaia di reazioni nella community tech. Il progetto fondato da Daniel Micay ha messo il dito nella piaga: la Play Integrity API non misura la sicurezza reale di un dispositivo, misura il suo grado di obbedienza all’ecosistema Google. Se il bootloader è sbloccato — condizione necessaria per installare qualsiasi sistema operativo alternativo — il dispositivo viene automaticamente classificato come “non integro”, anche se il sistema installato offre protezioni di gran lunga superiori allo stock Android. È un meccanismo di esclusione commerciale travestito da feature di sicurezza. E funziona alla perfezione: le banche lo adottano, le app di pagamento lo richiedono, persino i governi lo considerano uno standard. Il fatto che nessuno si fermi a chiedersi perché un sistema più sicuro viene bloccato la dice lunga su quanto la narrativa di Google sia penetrata nel senso comune.
Il risultato pratico è un’escalation silenziosa di esclusione digitale. Le app bancarie bloccano i telefoni con ROM personalizzate: Revolut banna gli utenti GrapheneOS, diverse banche rifiutano l’accesso a chi non usa il software benedetto da Mountain View. Non stiamo parlando di una nicchia di smanettoni che vogliono giocare col telefono — stiamo parlando di persone che hanno fatto una scelta consapevole di privacy e si ritrovano tagliate fuori dai servizi finanziari. Dalla biglietteria dei concerti ai forum online, passando per i siti governativi, sempre più servizi delegano la verifica dell’identità umana a sistemi di attestazione che nella pratica significano una cosa sola: se non hai un dispositivo certificato dal duopolio, per il web moderno non esisti. La Play Integrity API prevede tre livelli — Basic, Device e Strong — e nel 2026 il livello Strong, quello che richiede aggiornamenti recenti e bootloader bloccato, è diventato lo standard de facto per qualsiasi app che gestisca denaro o identità. Il cerchio si stringe.
Cloud Fraud Defense: il fantasma del Web Environment Integrity
Chi segue le politiche tecnologiche di Google ricorderà il Web Environment Integrity (WEI), la proposta avanzata nel giugno 2023 dall’ingegnere Yoav Weiss. L’idea era semplice e terrificante: il browser avrebbe dovuto dimostrare — prima di accedere a qualsiasi contenuto web — che il dispositivo girava su hardware certificato e software non modificato. Mozilla la definì una proposta che “lavora contro gli interessi degli utenti” e avrebbe creato “un internet con cancelli controllati dai produttori di sistemi operativi”. L’Electronic Frontier Foundation la bollò come “il piano di Chrome per applicare il DRM al web”. Google ritirò tutto in tre settimane, travolto dall’indignazione. Fine della storia? No, perché quando un’azienda con duemila miliardi di capitalizzazione vuole una cosa, non si arrende. Cambia la confezione.
Tre anni dopo, al Google Cloud Next del 22-23 aprile 2026, ecco Cloud Fraud Defense — presentato come “la prossima evoluzione del reCAPTCHA”. I clienti esistenti sono stati migrati automaticamente alla nuova piattaforma, senza che fosse nemmeno necessario chiedere consenso. Il meccanismo visibile è elegante nella sua perfidia: quando un sito sospetta traffico anomalo, mostra un codice QR sullo schermo. L’utente lo scansiona col telefono. Il telefono viene autenticato tramite Play Integrity API su Android o tramite il sistema di Apple su iOS, e il sito riceve la conferma che l’utente è “verificato”. Sembra più comodo dei vecchi puzzle con gli autobus, ma il punto non è la comodità — il punto è cosa viene verificato. Non si verifica che tu sia umano. Si verifica che il tuo telefono sia certificato da uno dei due gatekeeper globali. Se usi GrapheneOS, CalyxOS, /e/OS, LineageOS o qualsiasi distribuzione Android de-googlizzata, non puoi completare la verifica. E siccome reCAPTCHA è integrato in milioni di siti web nel mondo, il messaggio è di una brutalità disarmante: o ti allinei, o una fetta crescente di internet ti viene preclusa.
Ma facciamo un passo indietro e guardiamo il risvolto della sorveglianza, perché qui la faccenda diventa ancora più torbida. Ogni verifica riuscita genera un record che lega un dispositivo certificato a un sito specifico in un momento preciso. Google accumula così un archivio di attribuzioni che attraversa sessioni, modalità di navigazione privata, VPN. È un identificatore persistente camuffato da controllo anti-bot — il sogno di qualsiasi apparato di sorveglianza, realizzato non da uno stato autoritario ma da un’azienda che vende pubblicità. Nel frattempo i bot professionisti — quelli veri, quelli che il sistema dovrebbe fermare — comprano dispositivi certificati a trenta dollari l’uno in blocco e puntano la fotocamera sullo schermo, aggirando il controllo in pochi secondi. L’ironia è così amara che quasi fa ridere: il sistema non ferma i bot, ma esclude gli esseri umani che hanno scelto la privacy. Come ha scritto l’analisi di Private Captcha, Cloud Fraud Defense è il WEI che torna dalla porta di servizio — lo stesso meccanismo di attestazione che i comitati di standardizzazione avevano bocciato, riconfezionato come prodotto commerciale e imposto ai clienti reCAPTCHA senza che la maggior parte se ne accorgesse.
GrapheneOS e la resistenza dal basso
La storia non è solo un catalogo di sopraffazioni — e qui sta il punto politico che conta davvero. GrapheneOS non si è limitato alla denuncia: ha messo in campo contromisure tecniche e strategie di lungo periodo che dimostrano come la resistenza organizzata possa tenere aperte le crepe nel muro del duopolio. Sul fronte tecnico, il progetto ha sviluppato un proprio sistema di attestazione hardware indipendente dall’infrastruttura di Google. Funziona, è verificabile, è più robusto. Questo fatto da solo smonta alla radice la narrativa del “serve la certificazione Google per la sicurezza”: se un sistema operativo open source riesce a implementare un’attestazione altrettanto solida senza dipendere da Mountain View, l’unica ragione per cui non viene accettata è commerciale. Punto e basta. Non c’è nessun argomento tecnico che tenga, solo la convenienza di chi ha costruito il recinto e non vuole che nessuno ne esca.
Sul fronte delle alleanze, il 2026 ha portato un cambio di passo significativo. Al Mobile World Congress di marzo, Motorola ha annunciato una partnership a lungo termine con la GrapheneOS Foundation. I primi smartphone Motorola con GrapheneOS preinstallato arriveranno nel 2027 — si parla di modelli di fascia alta come i successori del Signature, del razr fold e del razr ultra. È una notizia che rompe un paradigma decennale: finora GrapheneOS era confinato ai Pixel di Google, creando una dipendenza ironica — quasi beffarda — dal produttore stesso che stava cercando di marginalizzarlo. Con Motorola il progetto guadagna un partner hardware indipendente e una legittimazione commerciale che rende molto più difficile liquidarlo come giocattolo per paranoici. Chi ha cercato alternative open source ai monopoli delle big tech riconosce il pattern: la risposta dal basso funziona, ma ha bisogno di massa critica per diventare un’opzione praticabile per milioni di persone, non solo per poche migliaia di attivisti.
La comunità open source combatte anche su altri fronti, con la tenacia che la contraddistingue. Progetti come PlayIntegrityFix tentano di aggirare i controlli della Play Integrity API sulle ROM personalizzate — è una rincorsa costante, un gioco del gatto col topo in cui Google aggiorna le blacklist e la community trova nuovi workaround, finché Google non risponde con verifiche più stringenti e il ciclo ricomincia. Il valore di questa resistenza è più politico che pratico: dimostra che il sistema non è invulnerabile e che le architetture di controllo, per quanto sofisticate, possono sempre essere messe in discussione. Sul piano legale, GrapheneOS ha dichiarato di star valutando un’azione giudiziaria contro Google per le pratiche anticoncorrenziali della Play Integrity API. Se si concretizzasse, sarebbe un precedente dirompente — la prima causa in cui un progetto open source sfida direttamente il meccanismo di attestazione hardware come strumento monopolistico. Non sarebbe solo una questione tra due parti: metterebbe sul tavolo dei giudici la domanda fondamentale su chi ha il diritto di decidere quali dispositivi possono accedere a internet.
L’Europa complice: quando lo stato cementa il duopolio
Ed è qui che la storia prende la piega più amara, quella in cui i governi — che dovrebbero proteggere i cittadini dal potere concentrato — diventano complici attivi della sua espansione. L’Unione Europea a parole tuona contro i monopoli tecnologici con il Digital Markets Act e il Digital Services Act. Nei fatti, sta cementando il duopolio Apple-Google attraverso le proprie normative. Il Regolamento eIDAS 2.0, approvato nel 2024, impone agli stati membri di rendere disponibili i portafogli di identità digitale europei (EUDI Wallet) entro la fine del 2026. Il sistema richiede l’attestazione hardware come prerequisito per pagamenti digitali, verifica dell’identità e dell’età. Tradotto dal burocratese: per accedere ai servizi pubblici digitali europei servirà un dispositivo che superi i controlli di integrità. E chi definisce cosa significa “integro” e “certificato”? Google e Apple — gli unici due soggetti al mondo con attestazione hardware integrata nei sistemi operativi mobile di massa. Il regolamento consegna loro le chiavi della cittadinanza digitale europea senza nemmeno nominarli.
Il circolo vizioso è di una perfezione quasi ammirevole, se non fosse tragico. Google e Apple costruiscono i recinti tecnici. I governi li rendono obbligatori per legge. E chiunque proponga alternative — software libero, attestazione indipendente, dispositivi non certificati — si ritrova fuori dal perimetro della legalità digitale. La promessa era un’identità digitale “sovrana”, sotto il controllo del cittadino. La realtà che si profila è un sistema che rafforza la dipendenza da due corporation californiane che investono centinaia di milioni in lobbying a Bruxelles. Il Digital Markets Act dovrebbe limitare i gatekeeper, ma l’attestazione hardware opera a un livello così profondo — nel silicio, nelle chiavi crittografiche impiantate in fabbrica — che le regolazioni antitrust tradizionali non riescono nemmeno a vederla. È come cercare di regolamentare l’acqua potabile senza poter analizzare le tubature.
In Italia il quadro è, se possibile, ancora più desolante. Le app bancarie italiane adottano in massa la Play Integrity API, e chi sceglie un sistema operativo alternativo si ritrova tagliato fuori dai servizi finanziari — quelli che, almeno in teoria, dovrebbero essere accessibili a tutti. SPID e CIE digitale dipendono da applicazioni che richiedono dispositivi certificati. Lo Stato italiano — lo stesso che con Piracy Shield ha dimostrato tutta la sua incomprensione di come funziona internet — delega l’accesso ai servizi pubblici a un’azienda privata californiana che decide, unilateralmente, quali dispositivi sono degni e quali no. È come se per ritirare un certificato all’anagrafe dovessi presentarti con scarpe di una marca precisa, non perché siano più comode o più sicure, ma perché il produttore ha un accordo con il Comune. La tecnologia cambia, la logica del potere resta identica: chi controlla l’infrastruttura controlla l’accesso, e chi controlla l’accesso controlla le persone.
Domande frequenti sull’attestazione hardware
Cos’è l’attestazione hardware e come funziona?
L’attestazione hardware è un sistema crittografico integrato nei processori dei dispositivi mobili che permette di verificare se il dispositivo soddisfa i requisiti stabiliti dal produttore. Google la implementa attraverso la Play Integrity API, Apple attraverso App Attest. Entrambi i sistemi controllano che il sistema operativo sia “originale” e certificato, escludendo automaticamente le ROM personalizzate e i sistemi operativi alternativi come GrapheneOS, CalyxOS e /e/OS — anche quando questi offrono un livello di sicurezza superiore.
Perché GrapheneOS viene bloccato dalla Play Integrity API se è più sicuro?
Perché la Play Integrity API non misura la sicurezza reale del dispositivo, ma la sua conformità alle licenze commerciali di Google. GrapheneOS richiede un bootloader sbloccato per l’installazione, condizione che lo classifica automaticamente come “non integro” indipendentemente dal livello di protezione effettivo. Un dispositivo con dieci anni senza aggiornamenti di sicurezza passa il controllo, GrapheneOS no. Il criterio è commerciale, non tecnico.
Cos’è Google Cloud Fraud Defense e perché è problematico?
È la nuova evoluzione del reCAPTCHA lanciata ad aprile 2026 al Google Cloud Next. Sostituisce i puzzle con immagini con un codice QR da scansionare con uno smartphone certificato da Google o Apple. Il sistema esclude gli utenti di sistemi operativi alternativi dall’accesso a milioni di siti web e genera dati di tracciamento che collegano dispositivi specifici a siti visitati, creando un identificatore persistente mascherato da controllo anti-bot.
Esistono alternative all’attestazione hardware di Google e Apple?
GrapheneOS ha sviluppato un proprio sistema di attestazione indipendente, verificabile e open source. Progetti comunitari come PlayIntegrityFix tentano di aggirare i controlli sulle ROM personalizzate. La partnership tra GrapheneOS e Motorola, annunciata al MWC 2026, punta a creare un ecosistema hardware-software che non dipenda dal duopolio. Esistono anche approcci alternativi alla verifica umana, come i sistemi proof-of-work, che non richiedono attestazione hardware.
L’eIDAS 2.0 renderà obbligatoria l’attestazione hardware in Europa?
Il regolamento eIDAS 2.0 impone agli stati membri di offrire portafogli di identità digitale (EUDI Wallet) entro fine 2026, con requisiti di sicurezza che nella pratica includono l’attestazione hardware per pagamenti, verifica dell’identità e dell’età. Poiché Google e Apple sono gli unici fornitori di piattaforme con attestazione integrata nei sistemi mobile di massa, questo rischia di cementare il duopolio a livello normativo europeo.
L’attestazione hardware non è una questione tecnica riservata agli addetti ai lavori. È una questione di potere — chi lo detiene, chi lo subisce, chi stabilisce le regole di accesso alla vita digitale. Google e Apple stanno costruendo un sistema in cui possedere un dispositivo non basta più: devi possedere il loro dispositivo, quello che loro hanno certificato, con il loro software dentro. E quando i governi trasformano questo requisito in legge, il cerchio si chiude con uno scatto metallico che ha il suono inconfondibile di un lucchetto. La buona notizia è che la resistenza esiste e prende forme concrete — GrapheneOS, la comunità open source, la partnership con Motorola, le battaglie legali annunciate. La cattiva notizia è che il tempo per agire non è infinito. Ogni servizio che adotta la Play Integrity, ogni normativa che richiede l’attestazione, ogni sito che implementa Cloud Fraud Defense aggiunge un mattone al muro. La scelta è semplice: o ci organizziamo per tenerlo aperto, o ci abituiamo al recinto. E chi scrive queste righe non ha nessuna intenzione di abituarsi.