Negli ultimi giorni diversi utenti di GrapheneOS e di altri Android privi dei servizi Google stanno segnalando lo stesso problema: alcuni siti protetti da un reCAPTCHA che non si riesce a superare. Al posto del consueto esercizio con semafori e strisce pedonali compare una nuova schermata, chiamata reCAPTCHA Mobile Verification, che impone di completare il test usando uno smartphone “compatibile”.

Compatibile, nel lessico di Google, significa una cosa precisa. La pagina di supporto ufficiale elenca i requisiti: su Android serve Google Play Services in versione 25.41.30 o successiva; su iOS la 16.4 o successiva (al di sotto della 16.4 occorre installare un’apposita app dall’App Store). Chi naviga da computer, Windows o Linux che sia, vedrà un QR code da scansionare con un telefono che rispetti quelle condizioni. Altrimenti non si passa.

// affiliato ▸ Infomaniak Hosting · Hosting web svizzero per chi tiene alla privacy · Inizia ora →

Come funziona davvero

Il meccanismo fa parte della suite Cloud Fraud Defense, e secondo Cybersecurity News è stato presentato il 22 aprile al Google Cloud Next 2026. Non compare a tutti: scatta quando reCAPTCHA classifica il traffico come sospetto. Per la maggior parte degli utenti il flusso resta invariato, ma chi finisce nel sottoinsieme “da verificare con il telefono” si trova davanti a due sole opzioni: Play Services oppure un iPhone aggiornato. L’unica via di fuga al momento, segnalata dagli stessi utenti, è cliccare sulla sfida audio quando disponibile.

Il punto critico è che la verifica non avviene risolvendo un puzzle ma chiedendo al telefono di attestare sé stesso. Su Android tutto passa per Play Services, su iOS per un’App Clip di Google che viene scaricata automaticamente sul dispositivo. In entrambi i casi è un componente proprietario di Google o Apple a decidere se chi sta davanti allo schermo merita di accedere al sito.

La lettura di GrapheneOS

Il progetto GrapheneOS ha pubblicato una lunga analisi sul proprio forum sostenendo che la copertura mediatica ha sottovalutato la portata della scelta. Secondo gli sviluppatori, il vero significato di reCAPTCHA Mobile Verification è l’estensione dell’attestazione hardware al web desktop: lo stesso meccanismo che Play Integrity API e App Attest impongono ai dispositivi mobili, ora applicato anche a chi naviga da PC, semplicemente passando per il telefono. Una direzione molto vicina a quella della famigerata Web Environment Integrity, la proposta che Google fu costretta a ritirare nel 2023 dopo le proteste.

Sempre secondo GrapheneOS, la giustificazione di sicurezza non regge: Play Integrity certifica come integri anche dispositivi Android privi di patch da dieci anni, mentre vieta il superamento del controllo a sistemi operativi più sicuri come GrapheneOS stesso. La motivazione vera, sostengono, è la licenza Google Mobile Services, che vincola contrattualmente i produttori a installare un pacchetto di app Google e a comportarsi secondo regole già giudicate anticoncorrenziali in Corea del Sud e altrove.

Va precisato che, allo stato attuale, GrapheneOS con i Play Services sandboxed installati sembra superare comunque il test, come riconosciuto dal progetto stesso. Il problema non è oggi quel sistema specifico ma la direzione complessiva, e nel frattempo chi usa Linux su mobile, telefoni con ROM senza microG come /e/OS in configurazione minimale, o naviga da un computer senza uno smartphone certificato a portata, si trova davanti a un muro.

Cosa c’è di reale e cosa no

Proviamo anche a separare i fatti dalle paure. È reale che il sistema escluda gli Android privi di Play Services e i computer non affiancati da un telefono “approvato”. È reale che venga mostrato solo a una parte del traffico, quella classificata come sospetta. È documentato che l’App Clip iOS condivida con Apple alcune statistiche di utilizzo, e che resti installato fino a trenta giorni di non utilizzo.

Non è invece (ancora?) dimostrato che il sistema venga usato per profilazione massiva oltre alle finalità antifrode dichiarate. Il problema vero non è nemmeno reCAPTCHA in sé: alternative open source esistono e i gestori di siti possono adottarle, hCaptcha (a cui Cloudflare passò anni fa), Anubis e Cap sono fra le più diffuse. Il problema è cosa succede quando a richiedere l’attestazione hardware sono banche, app governative, sistemi di identità digitale, pagamenti, verifica dell’età. Lì non si può “scegliere un altro fornitore”: o si ha un dispositivo certificato da Google o Apple o si resta fuori dal servizio. E questo, come ricorda lo stesso progetto GrapheneOS, sta già accadendo in diversi paesi europei.