La Commissione europea prepara nuove misure su Google che toccherebbero due snodi usati ogni giorno anche dalle imprese italiane: Android e la ricerca online. Per chi sviluppa app, integra assistenti IA o compra traffico da motori di ricerca, il punto non è solo antitrust: secondo l’approfondimento pubblicato da Ars Technica, Mountain View sostiene che l’apertura imposta da Bruxelles potrebbe aumentare frodi e rischi sui dati degli utenti europei.
Il dossier rientra nel perimetro del Digital Markets Act, il regolamento UE che impone obblighi specifici alle grandi piattaforme designate come gatekeeper. Google, controllata da Alphabet, si muove da una posizione di mercato che Ars Technica quantifica in oltre il 90% della ricerca web; per il mercato italiano, dove molte PMI dipendono da visibilità organica, advertising e distribuzione Android, eventuali obblighi su interoperabilità e condivisione dati entrerebbero direttamente nei piani digitali e di compliance.
Android apre il fronte degli assistenti
Secondo la ricostruzione di Ars Technica, le proposte europee avrebbero due componenti. La prima riguarda Android: i regolatori vorrebbero che Gemini non restasse l’unico servizio IA integrato nel sistema operativo mobile di Google. L’obiettivo sarebbe consentire agli utenti di integrare altri modelli IA e concedere loro un accesso di sistema paragonabile a quello oggi riservato al servizio di Google.
Heather Adkins, vicepresidente della security engineering di Google, ha dichiarato a Wired che una misura di questo tipo, se attuata nella forma descritta oggi, potrebbe produrre un aumento significativo delle frodi nell’Unione europea in un arco di poche settimane. La manager collega il rischio alla possibilità che attori malevoli sfruttino nuove opzioni di integrazione per spingere servizi IA dannosi sui dispositivi Android.
Il punto tecnico è il livello di accesso. Stando alla fonte, lo status speciale di Gemini su Android consente di interagire con file dell’utente, contenuto dello schermo e interazioni vocali avanzate. Se capacità simili venissero aperte ad altri fornitori, la qualità dei controlli su identità del fornitore, permessi concessi e aggiornamenti software diventerebbe centrale per aziende che gestiscono flotte mobili, app di lavoro e dati aziendali sui telefoni dei dipendenti.
Il nodo dei dati di ricerca
La seconda componente riguarda i dati di ricerca anonimizzati. La bozza citata da Ars Technica prevedrebbe che Google fornisca ai concorrenti dati simili a quelli disponibili internamente, ma privati degli identificativi personali. Non si tratterebbe quindi di una semplice statistica aggregata di mercato: la fonte parla di un livello di dettaglio mai messo a disposizione prima da Google con questa granularità.
Tra gli elementi indicati compaiono contenuto delle ricerche, ranking e tassi di clic. Sono informazioni alla base di Google Search, perché descrivono non solo cosa cercano gli utenti, ma anche come reagiscono ai risultati proposti. Per operatori europei della ricerca, del comparison shopping, dell’adtech o dell’ottimizzazione SEO, l’accesso a dati di questo tipo potrebbe cambiare il modo in cui si misurano intenti, qualità dei risultati e concorrenza sui servizi digitali.
Google contesta però la sicurezza dell’impianto. Nell’articolo pubblicato da Wired, Adkins afferma che anonimizzare è difficile e che servono competenze tecniche adeguate al tavolo. La posizione dell’azienda è che la disponibilità ampia di modelli IA potenti renda più semplice collegare grandi insiemi di dati apparentemente anonimi a persone reali.
Ars Technica riporta inoltre che team interni di sicurezza di Google sarebbero riusciti a ricollegare dati anonimi di ricerca a singoli utenti in appena due ore tramite linkage attacks, cioè attacchi che combinano più segnali per ricostruire un’identità. La fonte presenta questo punto come una delle obiezioni più concrete di Mountain View alla condivisione obbligatoria dei dati.
Anonimizzare non chiude il rischio
La posizione di Google contiene anche una critica ai potenziali destinatari dei dati. Secondo quanto riferito ad Ars Technica, alcuni dipendenti dell’azienda ritengono che imprese europee più piccole, chiamate a ricevere set di dati sensibili per effetto della norma, possano diventare bersagli più esposti. L’argomento non è che la concorrenza sia illegittima, ma che la sicurezza del dato dipenderebbe anche dalla capacità operativa di chi lo conserva.
Il confronto tra Bruxelles e Google sposta il DMA su dati e accesso di sistema: più concorrenza, ma controlli tecnici più severi per chi userà quelle aperture.
La stessa Google usa tecniche di anonimizzazione in diversi servizi. Ars Technica cita esempi come l’aggregazione di dati per gruppi con una caratteristica comune, la combinazione di query di natura diversa per nascondere collegamenti con temi sensibili e l’aggiunta di rumore casuale ai dati. Le regole privacy di Google descrivono l’uso di cancellazione o anonimizzazione per alcune categorie di informazioni dopo determinati periodi.
Questa doppia dimensione rende il confronto più complesso per le imprese. Da un lato, Google difende un’infrastruttura proprietaria che alimenta il proprio vantaggio competitivo. Dall’altro, la anonimizzazione non elimina automaticamente la possibilità di re-identificazione quando i dati sono molto granulari, soprattutto se combinati con altre fonti. Per chi lavora con analytics, advertising e data partnership, il caso segnala un punto operativo: il dato anonimo non va trattato come dato privo di rischio senza valutare contesto, granularità e controlli di accesso.
Per l’Italia cambia la due diligence
Nel mercato Italia, le ricadute pratiche toccherebbero almeno tre gruppi di operatori. Il primo è formato da software house e sviluppatori mobile che potrebbero integrare assistenti IA alternativi su Android. Per questi soggetti, l’accesso a funzioni profonde del dispositivo richiederebbe procedure più solide su permessi, consenso, logging, sicurezza degli aggiornamenti e verifica dei fornitori IA coinvolti.
Il secondo gruppo comprende PMI e system integrator che gestiscono dispositivi aziendali. Se l’apertura dell’assistente IA di sistema diventasse effettiva, le policy MDM, le liste di applicazioni consentite e le verifiche sui servizi che leggono schermo, file o input vocali dovrebbero entrare nei controlli ordinari. La distinzione tra app consumer e strumento aziendale diventerebbe meno netta quando l’assistente ha accesso al contesto operativo del telefono.
Il terzo gruppo riguarda chi potrebbe ricevere o usare dati di ricerca anonimizzati: motori verticali, piattaforme di comparazione, agenzie SEO, società adtech e vendor di analisi. La possibilità di lavorare su dati più vicini a quelli interni di Google sarebbe accompagnata da obblighi pratici di sicurezza: segregazione degli accessi, tracciamento delle interrogazioni, limitazione delle esportazioni, audit sui partner e valutazione del rischio di re-identificazione prima di costruire nuovi prodotti.
Bruxelles misura apertura e sicurezza
Il quadro normativo parte dal DMA. Nella pagina ufficiale sul DMA, la Commissione descrive il regolamento come un insieme di obblighi e divieti per le piattaforme che fungono da passaggio essenziale tra imprese e consumatori. Nell’elenco ufficiale dei gatekeeper, Bruxelles indica che il 6 settembre 2023 sono stati designati per la prima volta Alphabet, Amazon, Apple, ByteDance, Meta e Microsoft.
Per Alphabet, la Commissione ha già incluso servizi come Google Search, Android, Google Play, Google Maps, Google Shopping, YouTube, l’advertising online di Alphabet e Chrome tra quelli soggetti agli obblighi del DMA. Google ha contestato pubblicamente l’impianto della norma e, secondo Ars Technica, ha chiesto una revisione della legge. La società ha un incentivo evidente a preservare la propria posizione, ma le obiezioni tecniche su frodi e de-anonimizzazione non possono essere liquidate senza un’analisi di sicurezza.
La Commissione dovrà quindi definire condizioni applicabili senza trasformare l’interoperabilità in un canale di attacco. Per le aziende italiane, la parte da seguire non è solo la decisione formale su Google: contano le specifiche tecniche, i requisiti per accedere ai dati, le modalità di certificazione dei soggetti terzi e le responsabilità in caso di fuga o ricostruzione di identità a partire da dati dichiarati anonimi.
Fino alla pubblicazione delle regole definitive, nulla è fissato. Le imprese che operano su Android, ricerca, advertising e IA dovrebbero però preparare una mappa dei servizi dipendenti da Google, identificare i dati che potrebbero transitare verso nuovi fornitori e aggiornare le checklist di vendor risk. L’apertura dei mercati digitali europei, nel caso Google, passa da dettagli tecnici che incidono su sicurezza, privacy e concorrenza nello stesso momento.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Alessandro Conti
Source link
