Ci hanno abituati a trattarle come piccole seccature: la casella da spuntare, l'app che si rifiuta di partire, la verifica che gira a vuoto. Gesti talmente minuti che non li guardiamo nemmeno. Ma è proprio lì, nel decimo di secondo in cui qualcosa decide se lasciarti entrare, che vale la pena fermarsi a guardare.
Affianco al telefono di tutti i giorni un Pixel con GrapheneOS, una versione di Android senza i servizi Google di serie: meno comodità, più controllo, a ragion veduta. E per le app esigenti, comprese quelle bancarie, i servizi Google si installano sandboxati, confinati e senza privilegi di sistema. E funziona tutto, o quasi. C'è qualcosa che continua a rifiutarmi: una casella «Non sono un robot» che gira a vuoto, un'app che si blocca dicendo che il dispositivo non è sicuro. Stessa rete, stesse mani, stessa pagina che sull'altro telefono si apre senza un intoppo. L'unica differenza è che Google questo sistema non l'ha certificato, benché sul piano della sicurezza reale sia più robusto, non meno. Non è un guasto: è il punto da cui partire.
reCAPTCHA v3: il test che non testa quello che dice
Per anni reCAPTCHA ci è stato raccontato come un buttafuori che separa gli esseri umani dai bot automatici: riconosci i semafori, spunta le strisce pedonali, dimostra di avere un paio d'occhi. Dalla versione 3, arrivata nel 2018, di quel teatrino non resta quasi niente. Il sistema lavora in silenzio e assegna a chi visita un punteggio di affidabilità prima ancora che tocchi qualcosa. Google non pubblica la lista completa dei segnali che lo determinano, ma a pesare sono con ogni probabilità il modo in cui ci si muove nella pagina, il browser, l'essere o meno collegati a un account Google, la scia di dati che quell'ambiente si porta dietro. Un telefono pulito, senza account e senza quella storia, parte già perdente: il punteggio è a terra e la casella gira a vuoto.
Sul versante delle app native, quelle della banca o dell'identità digitale, il controllo è più diretto e ha un nome proprio: prima SafetyNet, oggi la Play Integrity API. Qui non si stima un comportamento, si interroga la macchina e si pretende un timbro che solo Google rilascia. L'API risponde su più livelli, dal più permissivo al più severo, e i gradini alti si appoggiano a segnali reali: l'attestazione hardware del telefono, le patch di sicurezza installate. Il punto è un altro: un sistema come GrapheneOS può montare i servizi Google sandboxati ed essere, sul piano tecnico, più sicuro dell'Android di serie. Ai gradini più bassi dell'attestazione passa ma sui livelli alti, quelli che molte app di banca e identità pretendono, viene respinto, perché non rientra fra i sistemi operativi che Google ha certificato. Non si misura solo quanto è sicuro il dispositivo: si misura, e in modo spesso decisivo, se Google lo riconosce. Sono strumenti diversi, reCAPTCHA e Play Integrity, ma fanno la stessa cosa: prima ancora di chiedere chi sei, controllano a quale ecosistema appartiene la macchina che tieni in mano. Ed è quella domanda, non chi sei ma a chi appartieni, a spostare il potere da chi lo strumento lo usa a chi lo certifica.
SafetyNet, Play Integrity e le due parole dentro «sicurezza»
Sotto la parola «sicurezza» convivono due significati che non coincidono e l'ambiguità fa molto comodo a chi la sfrutta.
Il primo è protezione. Difendere chi usa lo strumento: dai furti di dati, dalle frodi, dal malware, dall'account rubato. Qui la sicurezza lavora per te, è un servizio reso a chi sta davanti allo schermo, e quando funziona te ne accorgi perché qualcosa di brutto non è successo.
Il secondo è attestazione. Certificare che il dispositivo sia conforme: che monti il sistema operativo previsto, che non sia stato modificato, che esegua i servizi attesi, che si comporti come la piattaforma pretende. Questa seconda sicurezza non difende te. Stabilisce se la macchina che hai in mano è considerata legittima dall'infrastruttura che la interroga, e quando i due criteri divergono è il secondo a vincere: le interessa soprattutto se il tuo telefono è approvato da chi controlla il varco.
Le due cose portano lo stesso nome e tirano in direzioni opposte. Nel primo caso il potere resta con chi usa lo strumento; nel secondo passa a chi lo certifica. È la ragione per cui un dispositivo più sicuro può essere respinto e uno meno sicuro, ma «di serie», passare senza un intoppo: a volte non basta la robustezza, serve l'iscrizione. Quando un controllo chiude la porta a uno smartphone più protetto della media in nome della sicurezza, sta facendo la dogana.
Anti-bot e mobile banking: lo stesso schema
Il caso del reCAPTCHA che gira a vuoto non è un'eccezione, è il modello in scala ridotta.
La stessa logica si è diffusa come standard implicito su più fronti: i sistemi anti-bot di nuova generazione che soppesano la «fiducia» del dispositivo prima ancora di mostrare un contenuto, le app di mobile banking che si rifiutano di girare su sistemi che Google non riconosce, le funzioni che si spengono quando fiutano un sistema operativo non certificato. Ogni implementazione arriva con la stessa giustificazione, sempre ragionevole, sempre vestita da difesa dell'utente. Bot, frodi, manomissioni, rischi.
Si dirà che è solo un reCAPTCHA, una seccatura da niente, e per il singolo caso è vero. Ma nessuno di questi controlli si annuncia per quello che è: si presentano come servizi, come tutele, mai come una regola su chi può entrare. Non c'è bisogno di vietare l'accesso, quando basta renderlo silenziosamente impraticabile sui dispositivi sbagliati. La somma di questi varchi disegna una recinzione e a tracciarla è chi scrive il punteggio.
C'è una linea e passa tra la seccatura e il diritto
Fin qui, però, parliamo del web aperto, dove un varco che si chiude è soprattutto una seccatura: cambi browser, prendi l'altro telefono, rinunci a quel sito. Fastidioso, non grave. C'è una soglia, però, oltre la quale lo stesso meccanismo cambia natura. Quando il varco non protegge l'ingresso a un negozio ma l'esercizio di un diritto, accedere alla propria sanità, alla propria identità, al proprio conto, la stessa identica logica smette di essere una scocciatura e diventa una questione di chi tiene le chiavi di casa tua. E quelle chiavi, oggi, le tiene un privato. Per giunta straniero.
La cittadinanza digitale come competenza personale
Su tutto questo esiste un discorso pubblico ufficiale, e racconta una storia che con i fatti c'entra poco.
Nei materiali italiani sulla cittadinanza digitale la sicurezza è una competenza personale, qualcosa che il cittadino impara e gestisce. Il quadro delle competenze digitali per i cittadini curato da AgID lo elenca tra le abilità che ognuno dovrebbe acquisire: «Proteggere i dispositivi e i contenuti digitali e comprendere i rischi e le minacce presenti negli ambienti digitali. Conoscere le misure di sicurezza e protezione e tenere in debita considerazione l'affidabilità e la privacy». I curricula scolastici parlano di imparare «a creare password sicure, impostare correttamente la privacy e riconoscere i rischi della Rete». Le guide divulgative ripetono la formula: attiva l'autenticazione a due fattori, controlla le impostazioni, sorveglia le minacce. Europe Direct Roma Tre definisce la cittadinanza digitale come «uso responsabile ed etico delle tecnologie digitali», con al centro «l'importanza della sicurezza online» e «la protezione dei dati personali».
Il messaggio è coerente e rassicurante: la tua sicurezza è nelle tue mani, dipende dalle tue scelte, si impara a scuola.
Poi c'è l'infrastruttura, e dice un'altra cosa. Puoi avere la password più robusta del mondo, l'autenticazione a due fattori su ogni account, la privacy configurata alla perfezione, perfino un sistema operativo più sicuro della media: se il dispositivo non supera l'attestazione, non entri lo stesso. La competenza che ti hanno insegnato a coltivare si ferma esattamente dove comincia un punteggio deciso da altri.
SPID, da semplificazione a diritto (2017→2022)
Il fenomeno non riguarda solo le piattaforme private. Lo stesso linguaggio è entrato nel modo in cui lo Stato pensa l'accesso ai propri servizi, e qui mettere due date a confronto aiuta.
Nel 2017 le prime linee guida SPID presentavano l'identità digitale come strumento di semplificazione amministrativa, una comodità nel rapporto fra cittadino e pubblica amministrazione. Una scorciatoia burocratica, niente di più.
Nel 2022 il registro è cambiato. La Guida dei diritti di cittadinanza digitale di AGID scrive che «il Sistema Pubblico di Identità Digitale (SPID) è la chiave per accedere ai servizi pubblici online, in qualsiasi momento e con ogni strumento digitale», e aggiunge che «chiunque ha il diritto di accedere ai servizi online offerti dalle pubbliche amministrazioni […] tramite la propria identità digitale (SPID, CIE, CNS), in maniera semplice e sicura». In pochi anni SPID è passato da scorciatoia a fondamento dei diritti di cittadinanza: l'accesso ai diritti viene legato al possesso di una credenziale gestita da provider accreditati.
La formula è generosa, un diritto per chiunque, da qualsiasi dispositivo. Ma «da qualsiasi dispositivo» vale finché quel dispositivo supera l'attestazione che le app di identità pretendono. Il diritto è dichiarato universale; la sua esecuzione passa per uno strato tecnico che lo Stato non controlla e che gira, in buona parte, dentro ecosistemi privati, e per giunta governati da una giurisdizione extra-europea.
E non è un'ipotesi. PosteID, una delle app più usate per entrare con SPID, si appoggia ai controlli di Play Integrity: su un Pixel con GrapheneOS si blocca su una schermata di errore e non va oltre. L'identità digitale c'è, le credenziali sono valide, il diritto è scritto nero su bianco, ma il dispositivo da cui provi a esercitarlo non porta il timbro giusto, e tanto basta a lasciarti fuori. Sulla carta il cittadino ha diritto di entrare; il varco, però, lo tiene qualcun altro.
Il Garante Privacy e la «rifondazione del diritto» (2020)
Anche chi dovrebbe vigilare ha cambiato tono, e di nuovo basta accostare due momenti.
Nel 2017 il Garante per la protezione dei dati personali parlava soprattutto di adempimenti, di conformità al nuovo regolamento europeo, di Codice Privacy. Linguaggio da ufficio compliance.
Nel 2020 il registro è un altro. In un intervento intitolato «Come rifondare il diritto nella nuova realtà digitale», la vicepresidente del Garante Ginevra Cerrina Feroni parte da una constatazione netta, «di fronte allo strapotere dei big tech, occorre prendere atto della realtà», e invoca non l'adeguamento alle norme esistenti, ma una loro rifondazione. La parola pesa, e arriva da un'autorità pubblica. Sulla stessa linea, un'analisi di ICT Security Magazine sulla «nuova geopolitica dei dati» osserva come le grandi piattaforme siano ormai attori capaci di incidere sulla sicurezza nazionale e sui diritti fondamentali, attraverso il controllo delle infrastrutture.
Il controllo delle infrastrutture: è lì che si decide tutto. Chi tiene l'infrastruttura tiene il punteggio, e chi tiene il punteggio decide chi passa.
E quel punteggio risponde a una legge che non è la nostra
Resta da dire la cosa più importante e rilevante, quella che il discorso pubblico sulla cittadinanza digitale non sfiora mai. Il soggetto che tiene il varco dei servizi essenziali italiani non è soltanto privato: è americano, e risponde alla legge degli Stati Uniti. Vuol dire che i criteri con cui un cittadino italiano accede alla propria identità digitale o al proprio conto sono scritti, e modificabili in qualunque momento, da un'azienda che nessun parlamento europeo può convocare, che nessun nostro regolatore può obbligare a rendere conto dei propri parametri, che nessun giudice italiano può costringere a riaprire una porta decisa chiusa. Quando PosteID si blocca su un dispositivo legittimo non esiste un appello: il criterio è altrove, in un'altra giurisdizione, e il cittadino non è nemmeno parte in causa. Lo Stato ha delegato la chiave d'accesso ai diritti a un'infrastruttura che non controlla, non può ispezionare e non potrebbe nemmeno sostituire in tempi brevi. Non è un dettaglio tecnico: è un pezzo di sovranità uscito dalla porta sul retro, senza che nessuno l'abbia mai deciso ad alta voce.
Bot, frodi e DDoS: l'obiezione presa sul serio
A questo punto va dato all'altra posizione tutto quello che ha di vero, perché ha molto.
I sistemi automatici contro i bot servono davvero. Senza un filtro alla porta, i servizi pubblici e privati verrebbero travolti: account creati a milioni da script, frodi industrializzate, attacchi DDoS che saturano le risorse fino a buttare giù tutto. Chiunque abbia gestito un sito esposto in rete lo ha visto succedere. Quel filtro è manutenzione ordinaria della salute della rete, non un capriccio.
Le alternative decentralizzate, quelle che non affidano la fiducia a una sola piattaforma, sul piano operativo oggi non reggono ancora il confronto: sono più lente, più costose da mantenere, meno efficaci nel fermare gli abusi su larga scala. Sostenere il contrario sarebbe propaganda. E va aggiunto che la maggior parte delle persone non ha né le competenze né il tempo per gestire da sé la propria sicurezza: delegarla a un sistema che funziona è una scelta razionale, non una resa.
Tutto questo resta in piedi, e non scalfisce la domanda di fondo, che è un'altra: chi decide i criteri del filtro, con quanta trasparenza, e rispondendo a chi. Perché un conto è fermare un bot; un altro è respingere un dispositivo legittimo e più sicuro solo perché non porta il timbro giusto.
GrapheneOS e il prezzo dell'autonomia
Anche la posizione da cui scrivo ha un prezzo e va detto chiaramente.
C'è anzitutto un'idea a cui rinunciare: che la sicurezza informatica sia neutrale. Non lo è mai stata. Ogni criterio di attestazione stabilisce chi sta dentro e chi sta fuori, e una decisione del genere è politica prima ancora che tecnica.
Poi c'è il baratto, ed è la parte che pesa di più. Comodità e autonomia abitano di rado lo stesso dispositivo. Il telefono che passa ogni controllo senza problemi è anche quello su cui hai meno potere; quello su cui hai più potere, il Pixel con GrapheneOS da cui sono partito, fa girare quasi tutto, ma su qualche porta resta fuori, e nessuna configurazione lo cambia del tutto. Puoi installare i servizi sandboxati, scegliere le app giuste, aggirare un blocco qua e là: il dilemma di fondo resta, e l'unica cosa onesta è contrattarlo a occhi aperti.
E infine costa lavoro, di un tipo che a scuola non si insegna ancora: leggere ogni controllo per quello che fa davvero, e restare lucidi mentre ognuno si presenta con il sorriso di una cortesia.
reCAPTCHA, SPID e la lente che resta
Alla fine la lente è una sola, e una volta montata non si toglie più. Davanti a un controllo di sicurezza la domanda non è più «è sicuro?», ma: questa sicurezza protegge me o certifica che il mio dispositivo è gradito a chi mi sta interrogando? Protezione o attestazione, stessa faccia e logiche opposte; saperle distinguere è l'unica difesa contro un recinto che si costruisce un pezzo per volta.
Ma la lente serve a vedere, non a risolvere, e qui la distinzione che conta è una sola. Sul web aperto delegare il filtro a chi lo sa fare è una scelta razionale, e finché le alternative aperte non reggono il confronto operativo non c'è scandalo: è il prezzo accettabile di una comodità. Sui servizi essenziali la regola non può essere la stessa. L'accesso a un diritto non è un servizio concesso a discrezione: o è esigibile da chiunque, a condizioni pubbliche e contestabili, o non è un diritto. E non lo è, se la chiave la tiene un privato fuori giurisdizione, con criteri che nessuno qui può vedere né cambiare. Per questi servizi lo standard non è la fiducia in un ecosistema chiuso, ma un'infrastruttura aperta, verificabile e soggetta al diritto europeo, anche quando costa di più e rende di meno. Non perché l'open source sia virtuoso di per sé, ma perché un diritto che si esercita solo alle condizioni dettate da altri, e altrove, ha già smesso di essere tale: è una concessione, revocabile a piacere di chi la rilascia.
La casella che gira a vuoto sul mio Pixel ripulito non è un guasto. È una decisione presa al posto mio, e per ora silenziosa. Darle un nome è il primo modo per toglierle potere; pretendere che, almeno dove c'è in gioco un diritto, quella decisione torni a chi deve renderne conto, è il secondo.
Fonti
- Documentazione reCAPTCHA v3, Google for Developers
- Play Integrity API — Overview, Android Developers
- Attestation compatibility guide e FAQ, GrapheneOS
- PosteID (provider SPID) su GrapheneOS, forum GrapheneOS
- Agenzia per l'Italia Digitale (AGID), Guida dei diritti di cittadinanza digitale (2022)
- Garante per la protezione dei dati personali (Ginevra Cerrina Feroni), Big tech, Garante Privacy: "Come rifondare il diritto nella nuova realtà digitale" (2020)
- Europe Direct Roma Tre, Promuovere l'educazione alla cittadinanza digitale nelle scuole, Università Roma Tre – Europe Direct
- Agenzia per l'Italia Digitale (AGID), DigComp 2.1 — Il quadro di riferimento per le competenze digitali dei cittadini
- Redazione ICT Security Magazine, Governance dei Dati nell'era digitale: analisi delle dinamiche tra Big Tech, Privacy e Sicurezza Nazionale (2025), ICT Security Magazine
- Redazione ICTEDMagazine, Curricoli Digitali: educare alla cittadinanza digitale ed alla sicurezza online. L'uso delle password (2020), ICTEDMagazine
- Malwarebytes, Cos'è la cittadinanza digitale? Come praticarla e perché è importante (2023), Malwarebytes Labs
- Vittorio Bertola, La sovranità digitale europea e le big tech (2021), YouTube
Commenti
Solo gli iscritti possono commentare. Iscriviti gratis o accedi con la tua email.