Google abbandona il CAPTCHA: arriva Cloud Fraud Defense con verifica QR code via Android

Google ha avviato il rollout di Cloud Fraud Defense, il nuovo sistema di verifica antifrode che prende il posto dei tradizionali puzzle CAPTCHA sui siti web che lo supportano. Al posto di immagini con semafori e autobus, agli utenti viene mostrato un QR code da scansionare con uno smartphone Android dotato di Google Play Services: il sistema verifica che il dispositivo sia considerato affidabile prima di concedere l'accesso.

Da reCAPTCHA a piattaforma antifrode

Annunciato al Google Cloud Next '26 lo scorso aprile come "il successore di reCAPTCHA", Cloud Fraud Defense non è un semplice aggiornamento estetico. Google ha allargato l'ambito di intervento: non si tratta più solo di distinguere umani da bot, ma di analizzare l'intero percorso di quello che può essere un utente o un agente AI autonomo, e di identificare eventuali attività sospette. La piattaforma analizza miliardi di interazioni giornaliere su milioni di siti protetti e dichiara una riduzione del 51% dei casi di account takeover e del 37% degli attacchi bot.

Il cambio di paradigma è sostanziale: si passa dal "dimostra di essere umano" al "dimostra che il tuo dispositivo è affidabile". Tra le novità introdotte figurano una dashboard per il monitoraggio delle attività degli agenti, un policy engine per il controllo granulare del traffico umano e automatizzato, e la nuova sfida QR contro l'AI. I clienti reCAPTCHA esistenti vengono migrati automaticamente, senza necessità di intervento. Google stessa sottolinea che Cloud Fraud Defense protegge già il 50% delle aziende Fortune 100 e oltre 14 milioni di domini.

La motivazione tecnica alla base della transizione è chiara: i modelli AI e i bot più avanzati sono ormai in grado di risolvere i puzzle visivi con precisione superiore a quella umana, fino a rendere inevitabilmente il CAPTCHA classico obsoleto come barriera. Il sistema è già attivo su diversi siti web supportati, con un rollout che secondo le prime evidenze è iniziato silenziosamente già da ottobre 2025, mesi prima dell'annuncio ufficiale.

Play Integrity API e il nodo privacy

Il meccanismo tecnico che alimenta Cloud Fraud Defense è la Play Integrity API, che certifica se un dispositivo Android è non modificato e approvato da Google. Questo approccio ha sollevato critiche importanti: si tratta sostanzialmente della stessa infrastruttura alla base di Web Environment Integrity (WEI), la proposta che Google aveva ritirato nel 2023 dopo forti resistenze da parte della comunità open web. Lanciato questa volta come prodotto commerciale diretto senza revisione pubblica, il sistema bypassa il dibattito che aveva portato all'abbandono del progetto originale.

Le conseguenze pratiche si stanno già manifestando per gli utenti che non usano Google sullo smartphone o sul dispositivo con cui accedono ai siti web: chi usa distribuzioni come GrapheneOS, CalyxOS o /e/OS che rimuovono intenzionalmente i Google Services rischia di essere bloccato dai siti che hanno adottato Cloud Fraud Defense, poiché il dispositivo non supera i controlli di attestazione. Questi sistemi nascono proprio per offrire un ambiente Android senza dipendenza dai servizi Google, un obiettivo che ora entra in diretta collisione con i requisiti di Cloud Fraud Defense.

Ancora più problematico è il fatto che chi naviga da un computer con Windows, Linux o macOS e si trova davanti alla nuova schermata di verifica deve necessariamente avere uno smartphone a portata di mano. Non esistono alternative lato desktop, perché il QR code non è un semplice link: avvia un processo di device attestation che richiede la firma crittografica di un Android con Google Play Services o di un iPhone con iOS 16.4 e superiori. Senza uno di questi due ambienti certificati, la verifica non si completa.

L'efficacia del sistema contro le frodi professionali è poi tutta da dimostrare. Le bot farm possono aggirare l'intera architettura con l'acquisto di dispositivi Android certificati a circa 30 dollari l'uno, un costo fisso irrisorio per chi opera a quella scala con rack di telefoni già usati per comprare follower e generare click fraudolenti. Il paradosso è evidente: il sistema blocca più facilmente l'utente attento alla privacy che non il bot ben finanziato.

A questo si aggiunge un problema di sicurezza strutturale: abituare gli utenti a scansionare QR code mostrati da pagine web durante procedure di verifica è esattamente il comportamento che le campagne di phishing cercano di indurre. Una pagina malevola che replica graficamente la schermata reCAPTCHA con un codice QR fraudolento per rubare credenziali o avviare transazioni potrebbe diventare un vettore d'attacco credibile, e non particolarmente sofisticato da costruire.