I QR code non sono un'evoluzione, piuttosto un passo indietro
Il nuovo meccanismo di sfida di Google impacchetta nuovamente la verifica del dispositivo, un concetto ampiamente respinto nel 2023 con il nome di Integrità dell'ambiente web.
Google Cloud Fraud Defense blocca gli esseri umani
Gli utenti che utilizzano GrapheneOS, LineageOS, CalyxOS o Firefox sul modello Android non superano automaticamente la verifica, non perché siano bot, ma perché non utilizzano il software di Google.
Sicurezza a costo della privacy dei dati
Ogni sfida di Fraud Defense indirizza la verifica tramite l'infrastruttura di Google, sollevando interrogativi irrisolti sulla raccolta dati e sulla conformità alla privacy.
Friendly Captcha non richiede codici QR
La verifica proof-of-work viene eseguita interamente nel browser, senza certificazioni del dispositivo, senza dipendenza da Google e senza utenti esclusi. Prova ora ›
Cos'è Google Cloud Fraud Defense?
In occasione dell'evento Google Cloud Next del 22 aprile 2026, Google ha annunciato Google Cloud Fraud Defense, presentandola come la nuova generazione della sua tecnologia reCAPTCHA.
L'obiettivo dichiarato dell'evoluzione di reCAPTCHA è ben noto: distinguere gli esseri umani dai bot. Cloud Fraud è progettato per proteggere i siti web dagli attacchi automatizzati e ridurre le frodi in quello che Google definisce “il web agentico sicuro”, un ambiente in cui agenti di IA autonomi interagiscono sempre più spesso con i servizi digitali a fianco degli utenti umani.
Il cambiamento più evidente è il meccanismo di sfida CAPTCHA. Google si allontana dal tradizionale reCAPTCHA v2 o v3 puzzle di riconoscimento di immagini. Invece di chiedere agli utenti di identificare attraversamenti pedonali o idranti, Google Cloud Fraud Defense introduce una sfida con codice QR. L'utente lo scansiona con il telefono. Il telefono conferma la presenza umana. L'accesso viene concesso.
Sembra un miglioramento pulito rispetto ai puzzle con immagini per gli utenti legittimi. Ma il vero meccanismo non è il codice QR, è ciò che succede quando il telefono lo scansiona. I critici hanno già risposto.
Come Funziona – La Realtà Tecnica
Quando un utente scansiona il codice QR di Google Cloud Fraud Defense, il suo dispositivo comunica con l'infrastruttura di Google per verificare la presenza umana. Secondo Requisiti di Google, il sistema funziona su:
Dispositivi Android di ultima generazione con Google Play Services preinstallato
iPhone o iPad recenti con versione iOS 16.4 o successive
Il percorso iOS non richiede alcun software aggiuntivo. Il percorso Android richiede Google Play Services, il livello software closed-source di Google in esecuzione sui dispositivi certificati Android.
È a quel singolo requisito che iniziano i problemi.
Chi viene escluso
Qualsiasi dispositivo Android privo di Google Play Services non supera la verifica di Google Cloud Fraud Defense. Ciò include:
GrapheneOS: il fork Android con sicurezza rafforzata raccomandato dall'Electronic Frontier Foundation, utilizzato da giornalisti, avvocati e attivisti in contesti ad alto rischio
CalyxOS e LineageOS: distribuzioni Android orientate alla privacy utilizzate da milioni di utenti in tutto il mondo
Firefox per Androidche non appare nell'elenco di browser supportati dichiarato da Google per Fraud Defense
Questi non sono casi limite. Rappresentano gli utenti che hanno più probabilità di interessarsi a come un sito web gestisce i propri dati, e meno probabilità di presentare un reale rischio di frode. Come riportato da PrivacySavvy e documentato dettagliatamente sui forum di XDA, l'introduzione ha già suscitato notevole preoccupazione tra le comunità Android attente alla privacy.
Per gli operatori di siti web, la implicazione commerciale è semplice: ogni utente che ha consapevolmente scelto di non aderire all'ecosistema di Google viene automaticamente trattato come sospetto. Questo non è puramente un risultato di sicurezza. È anche un risultato dell'ecosistema.
I critici tracciano paralleli con l'integrità dell'ambiente web
I sostenitori della privacy e i ricercatori di sicurezza hanno tracciato paralleli diretti tra Google Cloud Fraud Defense e una proposta che Google aveva fatto – e poi ritirato – tre anni prima.
Nel giugno 2023, Google ha proposto Integrità dell'Ambiente WebSalute) al progetto Chromium: un meccanismo che avrebbe consentito ai siti web di verificare se l'hardware del browser e del dispositivo di un utente fosse certificato da Google. Gli organismi di standardizzazione, Mozilla e la Electronic Frontier Foundation lo hanno respinto rapidamente. Mozilla ha dichiarato la proposta “va contro gli interessi degli utenti’ e ”crea un Internet chiuso controllato dai produttori di sistemi operativi e dispositivi“. L'EFF lo ha definito ”Il piano di Chrome per applicare il DRM al Web“. Google ha ritirato la proposta nel giro di poche settimane.
I critici ora sostengono che Google Cloud Fraud Defense ottiene risultati strutturalmente simili – condizionare l'accesso al web alla certificazione del dispositivo – questa volta come prodotto commerciale piuttosto che come proposta di standard pubblici. Google stessa non ha riconosciuto alcun collegamento tra Fraud Defense e WEI e inquadra il prodotto esclusivamente come una piattaforma di prevenzione delle frodi.
Domande sulla raccolta e la privacy dei dati
Google afferma che Google Cloud Fraud Defense utilizza “elaborazione dati rispettosa della privacy”e descrive la sua transizione al modello di Data Processor a partire dal 2 aprile 2026, conferendo agli operatori di siti web il “controllo diretto sui dati degli utenti”. Google descrive anche la raccolta di “telemetria anonima” attraverso miliardi di interazioni per alimentare i propri modelli di rilevamento.
Tuttavia, i sostenitori della privacy sollevano alcune domande alle quali la documentazione pubblica di Google non risponde in modo esauriente: quali dati relativi al dispositivo vengono raccolti durante una verifica di Google Cloud Fraud Defense, per quanto tempo vengono conservati e se potrebbero essere utilizzati per creare identificatori persistenti tra siti diversi. Dato che la verifica è legata all'hardware del dispositivo certificato piuttosto che a una sessione cookie, i critici sostengono che questa architettura solleva interrogativi sulla possibilità di un'attribuzione duratura, anche se questo non è lo scopo dichiarato di Google.
Per gli operatori di siti web soggetti a GDPR, questo crea una pratica domanda di conformità: comprendere esattamente quali dati fluiscono attraverso Google Cloud Fraud Defense, su quale base giuridica e come documentarlo in un'informativa sulla privacy.
Ferma davvero i bot?
La sicurezza del meccanismo di sfida QR di Google Cloud Fraud Defense merita un esame su due fronti.
Bypass automatico: I ricercatori di sicurezza hanno osservato che un codice QR visualizzato su uno schermo può essere scansionato da una fotocamera puntata su quello schermo, un'automazione semplice ottenibile con hardware di comune reperibilità. Secondo un discussione su Hacker News A seguito del lancio, un commentatore ha stimato che un dispositivo conforme da Android in grado di superare la verifica possa essere acquistato a circa $30, rendendo l'attestazione basata su hardware un costo fisso sostenibile per le operazioni professionali con bot su larga scala.
Rischio comportamentale dell'utente: Un professionista della risposta agli incidenti nello stesso Thread Hacker News ha sollevato una preoccupazione separata: Fraud Defense addestra gli utenti a scansionare i codici QR per accedere ai siti web. Le campagne di phishing sfruttano regolarmente i comportamenti degli utenti addestrati. La stessa abitudine che aiuta un utente a superare una sfida legittima di Google Cloud Fraud Defense potrebbe renderlo più suscettibile a un codice QR dannoso presentato nello stesso contesto.
Cosa significa questo per gli operatori di siti web
Gli operatori che considerano la difesa dalle frodi si trovano di fronte a una serie di domande pratiche:
Obblighi di conformità
Integrare la difesa dalle frodi significa instradare la verifica dei tuoi utenti attraverso l'infrastruttura di Google. La comprensione della base giuridica per tale elaborazione dei dati, la sua accurata documentazione nella tua informativa sulla privacy e la garanzia della sua conformità ai requisiti del GDPR rimangono una tua responsabilità. La transizione di Google a un modello di Data Processor è un passo avanti, ma il quadro di conformità richiede ancora un lavoro attivo da parte degli operatori.
Rischio di conversione
Ogni utente che non riesce a completare la verifica è un'interazione persa, e nell'e-commerce questo costo si accumula rapidamente. Gli attacchi bot come incidono sulla conversione e-commerce e ricavi.
Gli utenti attenti alla privacy, coloro che utilizzano ROM personalizzate per il modello Android e gli utenti di Firefox per Android non supereranno il controllo in modo silenzioso – non perché siano bot, ma perché utilizzano software che non fa parte dell'architettura di certificazione di Google.
Dipendenza dal fornitore
Fraud Defense collega la protezione del tuo bot direttamente all'infrastruttura di Google e ai suoi requisiti di certificazione. Le modifiche ai prezzi di Google, all'elenco dei dispositivi supportati o alle policy influiscono sul tuo livello di protezione senza il tuo intervento.
Struttura dei costi
Il servizio "Fraud Defense" è gratuito fino a 10.000 valutazioni (Essentials), passa a $8.00 per 1.000 valutazioni con il piano Premium e richiede un impegno di 12 mesi al livello Enterprise. Come si colloca rispetto a Prezzi reCAPTCHA?
Un approccio diverso: Proof-of-Work senza certificazione del dispositivo
L'alternativa alla verifica basata sui dispositivi non è una sicurezza più debole. È un modello di sicurezza completamente diverso.
sistemi proof-of-work come Friendly Captcha emettere sfide crittografiche che richiedono uno sforzo computazionale direttamente nel browser dell'utente. Un singolo umano che risolve una sfida sostiene un costo trascurabile. Un farm di bot che esegue sessioni concorrenti affronta costi di elaborazione esponenzialmente crescenti con ogni tentativo aggiuntivo. Gli agenti AI, che consumano cicli di GPU per operare, affrontano la stessa struttura di costi indipendentemente dalla loro sofisticazione.
Nessun identificatore hardware o scansione di codici QR è coinvolto. Nessuno strato di certificazione determina chi può partecipare. Gli utenti su GrapheneOS, Firefox o qualsiasi altro browser e dispositivo completano la verifica senza attriti, perché il meccanismo non chiede mai quale dispositivo stanno utilizzando in primo luogo.
Friendly Captcha elabora solo i dati necessari al rilevamento dei bot, applica procedure automatiche di anonimizzazione e cancellazione entro 30 giorni e conserva tutti i dati all'interno di infrastrutture situate nell'UE. La conformità al GDPR è integrata nell'architettura stessa, senza che gli operatori debbano provvedervi in un secondo momento.
Conclusione
Google Cloud Fraud Defense si presenta come un'evoluzione significativa di reCAPTCHA, progettata appositamente per un web sempre più frequentato sia da utenti umani che da agenti IA autonomi. La sua intelligenza antifrode su scala Google e la protezione unificata del percorso utente sono funzionalità di grande valore.
Allo stesso tempo, il prodotto solleva interrogativi legittimi che gli operatori di siti web dovrebbero considerare prima di integrarlo: quali utenti sono strutturalmente esclusi, quali dati fluiscono a Google durante la verifica e come vengono documentati gli obblighi di conformità. I critici tracciano una linea che va da Fraud Defense a Web Environment Integrity, un'interpretazione che Google respinge, ma che riflette un dibattito più ampio su chi controlla l'accesso al web aperto.
La protezione contro i bot non richiede di sapere quale hardware possiedono gli utenti. Friendly Captcha lo dimostra ogni giorno: senza escludere nessuno, senza dipendere dall'infrastruttura di certificazione di un singolo fornitore e con procedure di gestione dei dati chiare e verificabili che rendono la conformità un processo semplice, anziché qualcosa da ricostruire a posteriori.
FAQ
Sì. Google ha confermato che gli attuali clienti del piano reCAPTCHA sono automaticamente clienti di Fraud Defense, senza che sia necessaria alcuna migrazione. Le chiavi di sito e le integrazioni esistenti rimangono esattamente come sono: non è richiesta alcuna azione e i prezzi non subiscono variazioni.
No. Quando il sistema decide di mettere in discussione una sessione, richiede un telefono Android con Google Play Services versione 25.41.30 o superiore installato. Ciò significa che Google Cloud Fraud Defense costringerà gli utenti che utilizzano dispositivi senza Google – come GrapheneOS, CalyxOS o LineageOS – a fallire automaticamente la verifica, anche se si tratta di utenti legittimi.
Google presenta Fraud Defense come la nuova evoluzione di reCAPTCHA, che va oltre il rilevamento dei bot per diventare una piattaforma di fiducia più ampia. Oltre alla protezione dai bot, Fraud Defense include il rilevamento dei tentativi di appropriazione indebita degli account, la prevenzione degli SMS toll fraud, la protezione delle transazioni e strumenti progettati specificamente per il web agentico. reCAPTCHA rimane il livello di difesa dai bot all'interno della più ampia piattaforma Fraud Defense.
Google ha introdotto un modello Data Processor per Fraud Defense a partire dal 2 aprile 2026, che conferisce agli operatori di siti web un maggiore controllo diretto sui dati degli utenti. Tuttavia, la conformità non è automatica: gli operatori rimangono responsabili della documentazione dei flussi di dati, dell'istituzione di una base giuridica e dell'aggiornamento delle loro informative sulla privacy. Le domande senza risposta relative alla raccolta di segnali a livello di dispositivo e alla conservazione dei dati implicano che gli operatori, non Google, si facciano carico dell'onere della conformità.
English 
German 
French 
Spanish 
Italian 
Portuguese