GrapheneOS accusa Google e Apple: i vostri sistemi di sicurezza ci escludono dal web

Un'app bancaria che rifiuta il vostro telefono perché non è "certificato". Un sito web che vi chiede di scansionare un QR code con uno smartphone approvato per provare che siete umani. Scenari che sembrano marginali, ma secondo GrapheneOS rappresentano una strategia sistematica di Google e Apple per controllare quali dispositivi e sistemi operativi possono accedere ai servizi online.

Il progetto, noto per aver sviluppato un'alternativa ad Android focalizzata sulla privacy e la sicurezza, ha lanciato un'accusa pubblica contro le due aziende: utilizzano strumenti come Play Integrity API di Google e App Attest di Apple non come semplici controlli di sicurezza, ma come meccanismi di esclusione verso i competitor.

Chi è GrapheneOS

GrapheneOS è un sistema operativo Android modificato, sviluppato da un team indipendente con l'obiettivo di offrire privacy e sicurezza superiori rispetto alla versione standard di Google. Non è un progetto mainstream: gli utenti sono principalmente persone consapevoli dei rischi legati al tracciamento e alla raccolta dati. Proprio per questo profilo tecnico, il team ha visibilità e credibilità quando parla di architetture di sicurezza.

Cosa è successo

GrapheneOS ha pubblicato un lungo thread su X (ex Twitter) in cui denuncia che Google e Apple stanno espandendo l'uso di sistemi di attestazione hardware — meccanismi che verificano se un dispositivo è "autentico" e sta eseguendo software approvato — non solo nelle app, ma anche sul web.

La denuncia tocca tre strumenti specifici:

• Play Integrity API: Google la spinge agli sviluppatori di app Android come controllo di sicurezza. In realtà, blocca dispositivi rooted e versioni modificate di Android, incluso GrapheneOS, anche se quest'ultimo è più sicuro di molti telefoni certificati.
• App Attest: l'equivalente di Apple per iOS, che funziona con lo stesso principio.
• reCAPTCHA aggiornato: Google ha modificato il suo sistema di verifica CAPTCHA per richiedere, in certi contesti, di scansionare un QR code con uno smartphone approvato. Se usate un PC, un Mac non certificato, o un telefono con un OS alternativo, potreste trovarvi esclusi.

Secondo Digital Trends, il nuovo reCAPTCHA rappresenta il primo passo verso l'attestazione hardware sul web pubblico — un territorio finora rimasto fuori dal controllo diretto delle aziende.

GrapheneOS ha sottolineato un paradosso: "Google's Play Integrity API bans using GrapheneOS despite it being far more secure than anything they permit". In altre parole, il sistema blocca un'alternativa più sicura mentre approva telefoni Android che non ricevono patch di sicurezza da anni.

Perché è importante

Il problema non è puramente tecnico. Se sempre più app e siti web richiedono l'attestazione hardware, gli utenti che scelgono sistemi operativi alternativi — per privacy, sicurezza, o semplicemente libertà di scelta — si troverebbero progressivamente esclusi dai servizi essenziali: banche, governo, e-commerce.

Google e Apple presentano questi sistemi come protezioni contro frodi e malware. È vero che servono a quello scopo. Ma il risultato pratico è un meccanismo di lock-in: se volete accedere a certi servizi, dovete usare hardware e software approvati da loro. Non è una novità che le due aziende controllino i propri ecosistemi, ma l'espansione verso il web — territorio tradizionalmente aperto — rappresenta un cambio di scala.

Per gli utenti europei, la questione si intreccia anche con le normative antitrust. L'Unione Europea ha già multato Google e Apple per pratiche anticoncorrenziali. Questa denuncia di GrapheneOS potrebbe alimentare ulteriori indagini, soprattutto se si dimostra che i sistemi di attestazione sono usati primariamente per escludere competitor piuttosto che per proteggere la sicurezza.

Cosa aspettarsi

Nel breve termine, osservate se altri sviluppatori di sistemi operativi alternativi (come LineageOS o /e/OS) si uniranno alla denuncia. Monitorate anche le reazioni di regolatori europei e americani: il Department of Justice statunitense sta già scrutinando le pratiche di Google nel mobile.

Sul fronte tecnico, prestate attenzione al rollout del nuovo reCAPTCHA: se davvero richiederà uno smartphone approvato per accedere a siti web, sarà il primo segnale concreto che l'attestazione hardware sta migrando dal mobile al web.

Google e Apple probabilmente risponderanno che questi sistemi sono necessari per combattere frodi e bot. È un argomento plausibile, ma il vero test sarà se offriranno alternative aperte per i dispositivi non certificati — ad esempio, permettendo a GrapheneOS di passare i controlli Play Integrity, o accettando altri metodi di verifica sul web.

Per ora, la denuncia di GrapheneOS rimane una voce critica in un settore dove le due aziende dominano. Ma se la pratica si diffonde — e i numeri suggeriscono che sta accadendo — il conflitto tra sicurezza e libertà di scelta diventerà sempre più visibile agli utenti comuni.