- Google ha legato il nuovo reCAPTCHA ai Google Play Services (v25.41.30+): chi usa Android de-Googled o ROM custom come GrapheneOS non supera la verifica.
- Su iOS la stessa verifica funziona senza software aggiuntivo, il che rivela un'asimmetria di ecosistema più che una motivazione legata alla sicurezza.
- La dipendenza era documentata già da ottobre 2025, ma è rimasta inosservata per mesi prima di emergere su Reddit e raggiungere la stampa tech.
Il nuovo sistema reCAPTCHA blocca le versioni di Android de-Googled: chi ha scelto uno smartphone senza i servizi proprietari di Google non riesce più a superare le verifiche di sicurezza su milioni di siti web. Il motivo è tecnico, ma le implicazioni vanno ben oltre la gestione dei bot.
Come funziona il nuovo sistema reCAPTCHA su Android
Google ha ridisegnato il flusso di verifica per Android introducendo un meccanismo basato sulla scansione di un codice QR al posto dei tradizionali puzzle con immagini. Il problema è la dipendenza infrastrutturale che questo introduce: la scansione richiede che i Google Play Services siano attivi in background, nella versione 25.41.30 o superiore, e che comunichino in tempo reale con i server di Google. Se i Play Services non sono presenti o sono stati rimossi, la verifica fallisce automaticamente, indipendentemente dal comportamento dell’utente.
Questo significa che chi utilizza GrapheneOS, CalyxOS o qualsiasi altra distribuzione Android che rimuove il software proprietario di Google viene classificato come sospetto per impostazione predefinita. Non esiste un percorso alternativo di verifica: il sistema non distingue tra un bot e un utente che ha semplicemente deciso di non installare i Play Services.
Google Cloud Fraud Defense e il contesto più ampio
Il 23 aprile Google ha annunciato al Cloud Next la piattaforma Google Cloud Fraud Defense, presentata come soluzione per gestire sia i bot tradizionali sia gli agenti AI autonomi. Il sistema reCAPTCHA di nuova generazione ne è uno dei componenti. Nella comunicazione ufficiale Google non ha menzionato esplicitamente la dipendenza dai Play Services, né il fatto che questa dipendenza rendesse inutilizzabile la verifica per un segmento specifico di utenti Android.
Un’analisi dell’Internet Archive rivela che la pagina di supporto relativa ai requisiti del nuovo sistema reCAPTCHA citava già il vincolo ai Play Services nella versione 25.39.30 a partire dall’ottobre 2025. La dipendenza era quindi documentata almeno sette mesi prima che un utente su Reddit la segnalasse pubblicamente, portando la notizia all’attenzione di testate come PiunikaWeb e Android Authority.
Il confronto con iOS e l’asimmetria di ecosistema
Il dato più rilevante per valutare le intenzioni del sistema è il comportamento su iOS. I dispositivi Apple con iOS 16.4 o versioni successive completano la stessa verifica reCAPTCHA senza richiedere l’installazione di alcuna app o framework aggiuntivo di Google. Non esiste un requisito analogo che coinvolga software proprietario Apple. La verifica funziona e basta.
Su Android, invece, l’assenza dei Play Services è sufficiente a bloccare l’accesso. L’asimmetria è difficile da spiegare con argomenti legati alla sicurezza. Un sistema progettato per distinguere umani da bot non ha motivo strutturale di trattare iOS e Android in modo così differente sul piano dei requisiti software. Il risultato pratico è che reCAPTCHA blocca Android de-Googled mentre lascia passare tutti gli utenti Apple senza condizioni.
Impatto per gli utenti e per gli sviluppatori web
reCAPTCHA è integrato in milioni di siti web. Ogni implementazione del nuovo sistema trasforma implicitamente i Play Services in un requisito di accesso al web. Gli utenti che hanno scelto configurazioni Android prive di Google lo hanno fatto sulla base di una valutazione informata delle pratiche di raccolta dati dei Play Services. Il nuovo meccanismo di verifica punisce questa scelta trattando l’assenza del software proprietario come un segnale di rischio.
Per gli sviluppatori che adottano questo reCAPTCHA la questione è concreta: implementarlo significa comunicare a tutti gli utenti Android de-Googled che non possono accedere al sito. Si tratta di un segmento numericamente ridotto, ma è anche il segmento statisticamente più attento alle politiche sulla privacy e meno disponibile a compromessi su questo fronte. Chi sceglie GrapheneOS non lo fa per caso.
Il precedente che Google sta costruendo è quello di un web in cui l’accesso ai contenuti ordinari richiede l’esecuzione di software proprietario e la trasmissione di dati a server di terze parti. Non è una novità assoluta nel panorama tech, ma raramente si era vista una dipendenza di questo tipo applicata a uno strumento così pervasivo come un sistema antibot.
