Quando si cerca qualcosa su Google, si lascia una traccia. Non necessariamente un nome, non necessariamente un indirizzo. Ma una serie di domande, nel tempo, in una certa zona geografica, con un certo ritmo, può dire molto di una persona — abbastanza, in alcuni casi, da identificarla. È esattamente questo il nodo tecnico attorno a cui si sta stringendo uno dei confronti più delicati tra la Commissione europea e il colosso di Mountain View, in applicazione del Regolamento sui mercati digitali, il cosiddetto Digital Markets Act (Dma).
La Commissione ha avanzato una proposta, ai sensi dell’articolo 6, comma 11 del regolamento, che obbligherebbe Google a condividere con terze parti i dati delle ricerche degli utenti, opportunamente anonimizzati. L’obiettivo dichiarato è favorire la concorrenza: se i concorrenti di Google Search potessero accedere a quei dati, potrebbero migliorare i propri algoritmi e competere su basi più eque. In teoria, i dati sarebbero privati dei riferimenti identificativi. In pratica, sostiene Google, non lo sarebbero affatto.
Che cos’è l’anonimizzazione, e perché è difficile
L’anonimizzazione è il processo con cui si rimuovono da un insieme di dati tutte le informazioni che permettono di risalire all’identità di una persona. Il principio è semplice; l’applicazione, assai meno. La difficoltà nasce dal fatto che i dati, anche quando sembrano generici, tendono a diventare identificativi se combinati tra loro o con informazioni di contesto.
Nel caso delle query di ricerca, Sergei Vassilvitski, senior research director di Google, ha portato alcuni esempi concreti nel corso di un briefing organizzato da Google e a cui Linkiesta ha partecipato. Alcune persone aprono le loro ricerche scrivendo direttamente il proprio nome: «Mi chiamo [Nome Cognome] e voglio sapere…». Un comportamento meno raro di quanto si pensi. Altri usano Google come strumento di traduzione per comunicare con qualcuno che parla una lingua diversa, generando sequenze di domande che ricostruiscono una conversazione privata. Prese singolarmente, queste query sembrano innocue. Messe in fila, rivelano una persona specifica.
L’identificazione diventa ancora più precisa quando si aggiunge la localizzazione geografica.Vassilvitski ha citato il caso di qualcuno che cerca informazioni su una malattia cronica e sugli orari compatibili con il proprio lavoro, qualificandosi come parrucchiera in un’area rurale. In una piccola zona con pochi saloni, i candidati possibili si riducono a una manciata di persone. Senza bisogno di nome e cognome, l’identità emerge.
Su questo terreno si è mosso anche Łukasz Olejnik, ricercatore indipendente affiliato al King’s College di Londra, che in un’analisi pubblicata ad aprile ha definito la proposta della Commissione uno dei maggiori rischi per la riservatezza e la sicurezza nazionale in Europa degli ultimi decenni. Il criterio di soglia previsto – più di 50.000 utenti registrati nell’arco di tredici mesi – è talmente basso, ha scritto, da lasciare passare una quantità enorme di termini sensibili: sintomi medici, nomi locali, farmaci. Filtrerebbe solo ciò che è assolutamente unico.
Non è una questione di tempo
Google non chiede semplicemente più tempo. Il punto, come ha spiegato Vassilvitski nel briefing, è di metodo: le misure preliminari della Commissione sono uscite intorno alla metà di aprile, il periodo di consultazione pubblica è durato due sole settimane, e la decisione finale è attesa entro la fine di luglio. Un calendario stretto per problemi che sono, come ha detto lo stesso esperto, «al limite della ricerca attuale». Quello che si chiede è un confronto aperto, con esperti di anonimizzazione e riservatezza esterni all’industria, capaci di raggiungere un consenso condiviso su cosa significhi davvero rendere anonimi questi dati. Molti di questi esperti, ha aggiunto, non sapevano nemmeno che il procedimento fosse in corso, e quando lo hanno scoperto avevano già pochissimo tempo per rispondere.
Non è una posizione isolata. Il think tank ECIPE e l’Information Technology and Innovation Foundation hanno entrambi prodotto analisi critiche delle misure proposte. La fondazione, in un commento formale alla Commissione dello scorso maggio, ha sostenuto che le misure vanno ben al di là di quanto necessario, con effetti negativi sulla riservatezza degli utenti, sugli incentivi all’innovazione e sulla praticabilità commerciale dell’intero sistema.
L’altro fronte: Android e gli assistenti artificiali
Le divergenze con la Commissione non si esauriscono sulla ricerca. Un secondo procedimento, ai sensi dell’articolo 6, comma 7 del Dma, riguarda Android e impone a Google di garantire agli assistenti di intelligenza artificiale di terze parti lo stesso accesso alle funzionalità di sistema di cui gode Gemini, il proprio assistente. In concreto: accesso al microfono, alla fotocamera, al contenuto dello schermo, ai comandi vocali, ai sensori, alle impostazioni del dispositivo, all’esecuzione in background.
Dal punto di vista ingegneristico, spiega Google, si tratta di un livello di integrazione profondissimo, sviluppato con anni di lavoro e test di sicurezza specifici. Un agente di intelligenza artificiale che opera a livello di sistema non funziona come un normale assistente testuale: deve interpretare lo schermo in tempo reale, eseguire comandi, operare in ambienti variabili. Aprire queste interfacce indiscriminatamente, senza una validazione rigorosa, aumenta la superficie di attacco. L’esempio che circola nel dibattito è quello di Samsung, che ha integrato Perplexity su alcuni suoi dispositivi Android dopo un lungo lavoro di ingegneria della sicurezza dedicato: la prova che si può fare, ma non per decreto e non in poche settimane.
La revisione del Dma e le tensioni con le grandi piattaforme
Il Dma è entrato in vigore nel maggio del 2023 e si applica a un gruppo ristretto di grandi operatori digitali – Google, Apple, Meta, Amazon, ByteDance – classificati come gatekeeper, cioè controllori di infrastrutture digitali essenziali. La prima revisione formale del regolamento, pubblicata dalla Commissione lo scorso aprile aprile, lo ha dichiarato ancora valido nei suoi obiettivi. I risultati concreti per i cittadini ci sono – schermate di scelta per i browser, possibilità di installare app da fonti alternative, maggiore controllo sui dati – ma l’enforcement è stato lento e politicamente complicato.
L’anno scorso Apple è stata multata per 500 milioni di euro e Meta per 200 milioni, entrambe per violazioni del Dka. Molti osservatori hanno giudicato le cifre troppo basse, e si è diffusa l’ipotesi che Bruxelles stesse calibrando le sanzioni per non inasprire le tensioni commerciali con Washington, dove l’amministrazione Trump aveva minacciato ritorsioni contro le aziende europee che colpissero i colossi tecnologici americani. La Commissione ha smentito ogni condizionamento.
Ora tocca a Google. Secondo quanto riportato dal quotidiano tedesco Handelsblatt, citando fonti interne alla Commissione, è in arrivo una sanzione nell’ordine delle centinaia di milioni di euro per il caso di auto-preferenziamento nei risultati di ricerca. Sarebbe la multa più alta mai inflitta sotto il Dma. Google si è già difesa in anticipo: le modifiche apportate alla ricerca in ossequio al regolamento europeo rappresentano, secondo un suo portavoce, «il peggioramento più grave nella storia del prodotto».
La dimensione geopolitica
Sullo sfondo di questa vicenda si staglia una tensione più ampia, che va oltre il diritto della concorrenza. Il Dma era stato concepito come uno strumento veloce, capace di imporre compliance rapida senza i tempi biblici dell’antitrust tradizionale. In parte lo è stato. Ma la sovrapposizione tra regolazione digitale europea e guerra commerciale transatlantica ha cambiato il contesto: ogni multa è diventata un potenziale casus belli, ogni procedimento un terreno su cui si misurano i rapporti di forza tra Bruxelles e Washington.
In questo scenario, Google critica la Commissione europea di non ascoltare. A niente è servito, dicono, inviare alcuni esperti di sicurezza Android per presentare all’esecutivo prove concrete di come certi obblighi possano consentire l’uso di spyware, registrazione audio e furto di foto. Il tutto, aggiungono, mentre il Parlamento europeo discute pubblicamente su come difendersi da sofisticati rischi informatici potenziati dall’intelligenza artificiale (come Mythos di Anthropic), e il ramo normativo della Commissione europea che si occupa esclusivamente di concorrenza a Bruxelles (Dg Comp) sembra intenzionata a smantellare attivamente la sicurezza di base destinata a fermarli. La decisione finale è attesa per fine luglio.
L'articolo Che cos’è l’anonimizzazione e perché è al centro dello scontro tra Google e l’Europa proviene da Linkiesta.it.
Login
