Un caso giudiziario negli Stati Uniti ha portato alla luce un utilizzo insolito dei cookie di tracciamento: non per vendere pubblicità, ma per smascherare l’identità di un sospettato.
Ad agosto 2025, qualcuno ha chiamato il tribunale della contea di Hamilton, in Ohio, annunciando la presenza di una bomba nell’edificio. Falso allarme, come accertato dopo una perquisizione con cani addestrati. Gli investigatori sono risaliti alla minaccia a un account Gmail anonimo, ma a quel punto si sono trovati di fronte a un vicolo cieco classico: un’identità fittizia, nessun dato reale.
// affiliato ▸ Webdock · VPS ultra-veloci scontate del 20% · Vedi i piani →
La mossa insolita è stata chiedere a Google i dati dei cookie associati a quell’account. I cookie, quei piccoli file di testo che i siti depositano sui dispositivi e che reggono l’intero sistema pubblicitario online, registrano anche quali dispositivi accedono a quali account. Dall’analisi è emerso che lo stesso iPhone usato per accedere all’account anonimo era stato usato anche per un secondo account Google, registrato con nome e cognome reale. Il sospettato, Don’tavius Conley, è stato identificato e accusato di falsa minaccia. Ha dichiarato la propria innocenza.
Cosa dice questo caso a chi usa più account Google
Il punto non è la colpevolezza o meno del sospettato, ma il meccanismo sottostante: i cookie di Google collegano tra loro tutti gli account usati sullo stesso dispositivo. Non è una vulnerabilità tecnica, è esattamente come il sistema è progettato per funzionare, nell’interesse della pubblicità comportamentale. Usare un account “anonimo” sullo stesso telefono su cui si usa il proprio account principale lascia una traccia che li collega entrambi, a prescindere da qualsiasi precauzione presa su nome utente o password.
Come nota Jennifer Lynch dell’Electronic Frontier Foundation, sentita da Forbes, questa tecnica investigativa non è comune, ma non è nuova in linea di principio. Ed è ragionevole pensare che sia già stata usata in altri casi senza diventare di pubblico dominio.
Vale la pena ricordare che nessun servizio di posta è immune da richieste legali. Proton Mail, negli anni, ha consegnato metadati alle autorità svizzere in più occasioni, incluso un caso del 2026 che ha coinvolto l’FBI. Tuta (ex Tutanota), basata in Germania, ha resistito con più determinazione a certi ordini, ma un tribunale di Colonia l’ha costretta a monitorare un account specifico in un caso di estorsione. Entrambe lo comunicano con trasparenza nei rispettivi rapporti, e in entrambi i casi il contenuto dei messaggi crittografati è rimasto inaccessibile. Ma i metadati, i dati di pagamento, gli indirizzi IP sono un’altra storia.
Per chi vuole davvero separare identità digitali diverse, la risposta non è solo scegliere il provider giusto. Serve separare i dispositivi, o almeno gli ambienti, tenendo ben distinte le identità che si vogliono tenere separate.


Mastodon
Telegram
Bluesky
Lascia un commento