Immaginate di voler entrare in un club esclusivo e, invece di mostrare il pass, vi venga chiesto di scansionare un QR code con uno smartphone specifico, certificato e tracciabile, per dimostrare che non siete un bot. Sembra una gag di un film distopico, ma è esattamente quello che Google sta cercando di venderci con il nuovo «Google Cloud Fraud Defense«.
Per chi mastica un po’ di codice e segue le news del settore, il déjà vu è fortissimo. Nel 2023, Google ha tentato il colpo grosso con la proposta WEI (Web Environment Integrity), che voleva far certificare l’hardware del browser per evitare lo scraping. La comunità ha urlato allo scandalo (giustamente), parlando di DRM per il web e gabbie dorate, e Google si è ritirato con la grazia di un server che va in kernel panic. Ma non si sono arresi. Hanno solo cambiato packaging.
Il meccanismo è questo: trovi un challenge, scansioni un QR code col tuo smartphone e — boom — il sistema verifica tramite le API di Play Integrity che il tuo dispositivo è ‘legittimo’. E quando dico legittimo, intendo un dispositivo Android moderno con i Google Play Services installati. Se usi una custom ROM figa come GrapheneOS o LineageOS per proteggere la tua privacy, sei fuori dai giochi. Se usi Firefox per Android, sei un sospetto. È il classico caso di vendor lock-in travestito da sicurezza.
Ma veniamo alla parte tecnica, quella che ci fa venire voglia di smontare tutto. Come maker e hacker, sappiamo che non esiste un muro che un bot non possa scavalcare. Se un operatore di bot farm può comprare un Android da 30 dollari da Walmart e puntare una telecamera automatizzata su uno schermo, il sistema è già morto in partenza. È una soluzione che non risolve il problema alla radice, ma aggiunge solo uno strato di complessità e frustrazione per l’utente comune.
E poi c’è il vero problema, quello che non legge nei comunicati stampa pieni di hype: il tracking. Ogni volta che scansionate quel codice, state inviando a Google un segnale che dice: «Ehi, questo specifico hardware certificato ha appena visitato questo sito». È un sistema di attribuzione perfetto. Non è più solo difesa dalle frodi, è una rete di sorveglianza granulare che trasforma il vostro hardware in un identificatore persistente.
Per noi che amiamo l’open web, l’automazione trasparente e la libertà di far girare il software che vogliamo su hardware che abbiamo scelto noi, questa è una regressione. Esistono alternative come i sistemi basati su Proof-of-Work (tipo Private Captcha) che richiedono sforzo computazionale senza bisogno di sapere chi siamo o che telefono usiamo. Ma ehi, la privacy non vende abbonamenti Cloud, vero?
In breve: non fatevi incantare dal QR code colorato. Sotto la superficie c’è lo stesso vecchio tentativo di chiudere il web in un ecosistema certificato e tracciabile. Restiamo pronti a trovare il workaround, perché se c’è una cosa che sappiamo fare, è rompere le gabbie.