La password doppia non basta più: Google corre ai ripari contro il phishing che sa tutto di te
Google richiede verifica identità per sviluppatori Android dopo l'aumento del phishing avanzato come Tycoon 2FA che bypassa il 2FA.
Il kit Tycoon 2FA ha rappresentato l’89% del phishing-as-a-service monitorato un anno fa
Immagina di ricevere un SMS dalla tua banca. Il testo è perfetto, il logo è quello giusto, il link porta a una pagina identica a quella che conosci. Inserisci le credenziali, arriva il codice sul telefono, lo digiti. Fatto. Pochi minuti dopo, il tuo conto è vuoto. La tua autenticazione a due fattori? Bypassata in tempo reale, mentre tu stavi ancora aspettando la schermata di conferma. Benvenuto nel mondo di Tycoon 2FA — non un malware da installare, non un hacker che ti conosce di persona, ma un servizio in abbonamento che chiunque può comprare senza sapere scrivere una riga di codice.
La truffa che sapeva di vera
Tycoon 2FA non è il classico phishing raffazzonato con errori di grammatica. È un kit costruito su un approccio chiamato adversary-in-the-middle: il sito falso non si limita a raccogliere la tua password, ma fa da ponte in tempo reale tra te e il sito vero, intercettando anche i cookie di sessione — quei piccoli file che tengono aperta la tua sessione autenticata. Risultato: il kit di phishing riesce a intercettare credenziali e cookie di sessione bypassando i controlli di autenticazione multifattore. In altre parole, il tuo secondo fattore viene rubato nel preciso momento in cui lo usi. Il tutto con un servizio in abbonamento che, stando ai ricercatori di Barracuda, richiedeva poca o nessuna competenza per essere messo in funzione. Un anno fa, questa piattaforma rappresentava l’89% di tutta l’attività di phishing-as-a-service monitorata dagli analisti di Barracuda. Numeri che fanno capire quanto sia diventato industriale questo tipo di crimine.
La domanda che rimane aperta è scomoda: se il 2FA non basta più, cosa può fare davvero la differenza?
La risposta di Google: identità, non solo password
Ecco perché ieri Google ha alzato l’asticella in modo concreto. Il nuovo requisito di verifica dell’identità per gli sviluppatori di app su dispositivi Android certificati — nome, indirizzo, documento d’identità — cambia la logica alla base della distribuzione delle app. Fino a ieri chiunque poteva caricare un’app sullo store con un account anonimo; da oggi chi vuole che la propria app giri su un dispositivo Android certificato deve dimostrare di essere una persona reale, o un’azienda reale. È come chiedere a chi affitta un appartamento di mostrare un documento: non elimina le truffe, ma alza enormemente il costo di farle.
Il contesto in cui si inserisce questa mossa è pesante. Le perdite globali per frode sono stimate a quasi 580 miliardi di dollari per il 2025 — una cifra che da sola spiega perché Google stia investendo così tanto. Solo nel settore mobile, nei dodici mesi precedenti all’ottobre 2025, i truffatori avevano già sottratto oltre 400 miliardi di dollari a livello globale, sfruttando strumenti di intelligenza artificiale per rendere le loro campagne sempre più convincenti. Android nel frattempo blocca oltre 10 miliardi di chiamate e messaggi sospetti ogni mese — un numero che dà il senso della scala del problema. La verifica degli sviluppatori è un tassello di una strategia più ampia, non una soluzione isolata. Ma è un tassello che mancava.
Cosa ci aspetta: la fine del phishing?
Questa è solo una battaglia in una guerra più lunga. A marzo 2026, Europol e altre organizzazioni hanno condotto un’operazione coordinata che ha sequestrato oltre 300 domini legati all’infrastruttura di Tycoon 2FA, smantellando i servizi backend che sostenevano le sue campagne di phishing su larga scala. Una vittoria reale. Ma il modello del phishing-as-a-service non scomparirà con un’operazione di polizia: dove cade un servizio, ne nascono altri, spesso più raffinati e più difficili da individuare. Google lo sa bene — da più di un decennio usa progressi nell’intelligenza artificiale per proteggere gli utenti dalle truffe online, e la direzione è chiara: più AI, più analisi comportamentale, più cooperazione internazionale.
Google ha fatto un passo importante. Ma la vera protezione inizia prima di qualsiasi tecnologia, con un riflesso semplice e difficile da automatizzare: quel link è davvero della tua banca? Fermati un secondo prima di cliccare. Quel secondo vale più di qualsiasi aggiornamento di sicurezza.
