Un file da 4 GB compare sul disco di chi usa Chrome. Nessuna notifica, nessuna richiesta. La risposta ufficiale di Google ("si può disattivare") è la falsa soluzione che impedisce di vedere il problema reale: chi decide cosa finisce sul tuo dispositivo.
Il file da 4 GB che nessuno ha chiesto
Il 4 maggio 2026, Alexander Hanff ha pubblicato sul proprio blog ThatPrivacyGuy una ricostruzione tecnica circostanziata: Google Chrome scarica automaticamente un file chiamato `weights.bin`, di circa 4 GB, contenente i pesi di Gemini Nano. Il file finisce nella cartella `OptGuideOnDeviceModel` dentro il profilo utente. Nessuna notifica, nessuna richiesta di autorizzazione, nessuna comunicazione visibile all'utente nel momento in cui il download avviene.
Hanff non è un blogger improvvisato: è co-fondatore e CEO di Think Privacy, consulente di Commissione europea, Parlamento europeo ed European Data Protection Board, e ha contribuito al dibattito che ha portato al GDPR e all'ePrivacy Directive. Il suo test è documentato passo per passo: profilo Chrome 147 creato il 23 aprile 2026 su un Mac Apple Silicon, nessun input umano nelle 24 ore successive. Il 24 aprile alle 16:38:54 CEST il browser ha iniziato a scrivere su disco. Alle 16:53:22 il file da 4 GB era completo. Quattordici minuti e ventotto secondi, senza che nessuno avesse chiesto nulla.
Chi cancella il file manualmente lo ritrova al riavvio successivo. Chrome lo riscarica in automatico, sovrascrivendo una decisione esplicita dell'utente con uno stato che l'utente aveva scelto di rimuovere.
La falsa soluzione: "Basta disattivarlo nelle impostazioni"
La risposta ufficiale di Google, riportata da Punto Informatico e altre testate, ha la struttura di una soluzione. Non lo è.
"Il modello è presente dal 2024": vero. Gemini Nano è stato annunciato al Google I/O del 14 maggio 2024 e distribuito a partire dal canale beta di Chrome 127 nell'estate 2024. Ma due anni di distribuzione senza opt-in non sono una prova di trasparenza. Sono spazio temporale della condotta che viene contestata.
"È documentato": vero. Esiste documentazione tecnica per sviluppatori sull'API Prompt for Gemini Nano. Una pagina developer-oriented però non equivale a informare l'utente nel momento in cui 4 GB di dati vengono scritti sul suo disco. La documentazione tecnica copre lo sviluppatore, non l'utente finale.
"L'utente può disattivarlo": parzialmente vero. Oggi Google documenta una pagina ufficiale per gestire i modelli AI on-device da `Impostazioni > Sistema`. Il toggle però è stato aggiunto solo a febbraio 2026, come ha ricostruito Wired, venti mesi dopo l'inizio della distribuzione. Per gli ambienti enterprise esiste la Group Policy `GenAILocalFoundationalModelSettings`, ma richiede una build recente di Windows 11 Pro o Enterprise e resta una soluzione da amministratore, non un consenso chiaro per l'utente comune. Chi non sa di doverlo cercare non lo cerca e l'opt-out come architettura di consenso funziona così: chi non agisce, accetta.
Perché "on-device" non significa "sotto il tuo controllo"
Il marketing dell'AI locale vende una promessa precisa: i dati restano sul dispositivo, la privacy è protetta. Gemini Nano dovrebbe incarnare questa promessa.
Secondo DDay.it, le funzioni AI più visibili di Chrome 147, come la "AI Mode" nella barra degli indirizzi, continuano a inviare le query ai server di Google anche quando il modello locale è installato. Gemini Nano alimenta funzionalità secondarie: suggerimenti di testo, sintesi di pagina, raggruppamento automatico delle schede. Il file da 4 GB serve a funzioni che l'utente potrebbe non aver mai attivato, mentre quelle AI principali passano comunque dal cloud.
"On-device" descrive dove sta il file, non chi lo controlla. Il file arriva senza consenso, si reinstalla se rimosso, e il fornitore del browser decide quando, come e per quali scopi attivarlo. Il dispositivo resta dell'utente solo nel senso fisico del termine. La sovranità sul proprio hardware è un'altra cosa.
Il nodo giuridico: Art. 5(3) ePrivacy e il consenso mancante
Hanff sostiene che il download silenzioso possa configurare una violazione di tre disposizioni precise: l'Art. 5(3) della Direttiva ePrivacy 2002/58/CE, l'Art. 5(1) GDPR sui principi di liceità e trasparenza, e l'Art. 25 GDPR sulla protezione dei dati by design. Al momento non risultano sanzioni formali emesse: la tesi è giuridicamente coerente con le Linee guida EDPB ma non è una violazione accertata da un'autorità.
L'Art. 5(3) è netto: memorizzare informazioni sul terminale di un utente o accedervi richiede consenso preventivo informato, salvo che l'operazione sia strettamente necessaria per il servizio esplicitamente richiesto. Le Linee guida 2/2023 dell'EDPB, nella versione finale pubblicata il 16 ottobre 2024, hanno chiarito che il perimetro dell'articolo copre qualsiasi memorizzazione sul terminale, non solo i cookie: include pixel di tracciamento, fingerprinting del dispositivo, meccanismi di storage locale e tecnologie analoghe. Un file di 4 GB contenente i pesi di un modello AI che l'utente non ha richiesto e che serve funzioni che l'utente non ha attivato, ricade in quel perimetro salvo che si dimostri la stretta necessità tecnica per un servizio realmente richiesto.
Il punto debole della difesa Google è proprio "è dal 2024": non sana il vizio originario, lo peggiora. Una distribuzione senza consenso esplicito non diventa lecita per il fatto di durare da due anni.
Persistenza forzata: il confronto che pesa
Vale la pena fare un confronto, come analogia non come classificazione. Un software che si installa senza consenso esplicito, resiste alla rimozione manuale e si riscarica dopo la cancellazione corrisponde a diversi criteri che il settore antivirus usa di solito per valutare un Potentially Unwanted Program: installazione opaca, default invasivo, opt-out nascosto, capacità di ripristinarsi.
Anche Malwarebytes ha coperto la vicenda, in un post del 6 maggio 2026 che descrive il comportamento Chrome senza giri di parole: il download avviene "automaticamente quando Chrome determina che il dispositivo soddisfa i requisiti hardware. Non chiede consenso e non manda nessuna notifica". Malwarebytes non applica formalmente l'etichetta PUP a Chrome e questo è un punto da discutere. Un produttore meno noto che adottasse lo stesso comportamento sarebbe probabilmente valutato con molta più severità dai prodotti di sicurezza. Cambia il vendor, non il comportamento.
Il costo che non finisce sulla bolletta di Google
Hanff ha stimato l'impatto del push globale tra 6.000 e 60.000 tonnellate di CO₂ equivalente, a seconda di quanti dispositivi ricevono il download. Il calcolo parte da un'intensità energetica di 0,06 kWh per GB di traffico di rete, valore mid-band tratto da Aslan et al. 2018 sul Journal of Industrial Ecology, e da un fattore di emissione di 0,25 kg CO₂e per kWh, media composita UE-27 (fonti EEA/IEA, 2024).
Il numero va preso con cautela: Aslan usa dati 2015, mentre stime UK Gov 2024 scendono intorno a 0,001 kWh per GB. Il calcolo Hanff può quindi sovrastimare fino a 40 volte, ma l'ordine di grandezza resta significativo e il principio è chiaro: il costo di una scelta unilaterale lo paga l'utente, in banda, elettricità e usura SSD. Chi paga il conto è chi non sapeva di averlo aperto.
Come disattivare Gemini Nano oggi
Per chi vuole agire subito sul proprio dispositivo:
- Chrome stable recente: aprire `chrome://settings/ai`, cercare la voce relativa al modello on-device e disattivarla. Se la voce non compare nella build installata, passare ai flag.
- Via flag: aprire `chrome://flags`, cercare `#optimization-guide-on-device-model` e `#prompt-api-for-gemini-nano`, impostare entrambi su Disabled, riavviare Chrome, eliminare manualmente la cartella `OptGuideOnDeviceModel`.
- Su macOS la trovi in `~/Library/Application Support/Google/Chrome/OptGuideOnDeviceModel/` - Su Windows in `%LOCALAPPDATA%\Google\Chrome\User Data\OptGuideOnDeviceModel\`
- Ambienti aziendali (Windows 11 Pro/Enterprise): impostare la Group Policy `GenAILocalFoundationalModelSettings` su Disallowed (valore 1) nel registro, percorso `HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome`. La policy richiede il cumulative update KB5053598 di marzo 2025 o successivo.
Disattivare una funzione che non si è mai attivata, tramite un'interfaccia che non si è mai vista, per rimuovere un file di cui non si conosceva l'esistenza, non è controllo dell'utente sul proprio dispositivo. È gestione del danno.
La scelta strutturale è a monte del toggle
La falsa soluzione dice: cerca il flag, disattivalo, problema risolto. La scelta vera è un'altra. Un browser che scrive 4 GB sul disco di chi lo usa senza chiederlo, li riscarica se rimossi e nasconde il controllo in parametri tecnici non è un browser che rispetta chi lo usa: è un browser che tratta il dispositivo come un'estensione della propria infrastruttura.
Chi vuole ridurre la dipendenza dall'ecosistema Google ha alternative concrete. Firefox e Brave, allo stato delle informazioni disponibili su questa vicenda, non risultano coinvolti nello stesso meccanismo di distribuzione automatica di Gemini Nano contestato a Chrome. Mozilla integra modelli AI locali in Firefox per funzioni specifiche come la traduzione, ma in un perimetro dichiarato e attivabile. Nessun browser va però trattato come automaticamente "sovrano": vanno verificati impostazioni, telemetria, sincronizzazione, AI integrate. La scelta ha comunque un prezzo: meno integrazione con l'ecosistema Google, ricostruzione di sincronizzazione e password, qualche estensione da reimpiantare. È un costo reale ma è un costo che l'utente sceglie di pagare, invece di subirne uno imposto senza preavviso.
Vale la pena notare che Chrome non è un'anomalia isolata. Anche Microsoft Edge distribuisce silenziosamente un modello locale, Phi-4-mini da 3,8 miliardi di parametri, attraverso lo stesso meccanismo, e la policy enterprise di blocco esiste per entrambi i browser (GenAILocalFoundationalModelSettings, in due rami diversi del registro per Chrome e per Edge). Microsoft documenta la sua policy in modo più esplicito di Google, ma lo schema di prodotto è lo stesso: AI on-device come default, opt-out come parametro tecnico. Stiamo guardando l'avanguardia di una tendenza di settore, non un episodio.
Il punto non è l'AI on-device in sé, che ha applicazioni legittime. Il punto è il metodo con cui è stata distribuita. Un prodotto utile fornito senza chiedere non diventa accettabile per il fatto di essere utile. E un consenso che il fornitore non chiede oggi, sull'AI locale, è il consenso che non chiederà domani sulle prossime distribuzioni.
Fonti
- Hanff, A., Google Chrome silently installs a 4 GB AI model on your device without consent, ThatPrivacyGuy, 4 maggio 2026
- Proven, L., Chrome silently installs a 4 GB local LLM on your computer, The Register, 7 maggio 2026
- Redazione, Chrome scarica 4 GB del modello IA Gemini Nano sul disco degli utenti senza chiederlo, DDay.it, 5 maggio 2026
- Redazione, Chrome e modello AI da 4 GB: Google chiarisce, ma non convince, Punto Informatico, 7 maggio 2026
- EDPB, Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive, versione finale, 16 ottobre 2024
- Google, Gestione dei modelli AI on-device generativi in Chrome, supporto Chrome
- Chrome Enterprise, GenAILocalFoundationalModelSettings, documentazione policy
- Aslan, J. et al., Electricity Intensity of Internet Data Transmission, Journal of Industrial Ecology, 2018
- Malwarebytes Labs, Google Chrome's silent 4GB AI download problem, 6 maggio 2026
Commenti
Solo gli iscritti possono commentare. Iscriviti gratis o accedi con la tua email.