Google ha annunciato 7 novità nel June Android Drop 2026, ma la più importante per la sicurezza riguarda le chiamate deepfake Android: una funzione per Android 12+ che avvisa l’utente quando una chiamata sembra arrivare dal numero di un contatto, ma non dal suo vero dispositivo.
Il punto non è solo bloccare una truffa telefonica in più. Il cambiamento è più profondo: Google sta portando nella chiamata vocale una forma di verifica dell’identità che fino a ieri il telefono lasciava quasi interamente all’intuito dell’utente. Se il display dice “Mamma”, “Banca” o “Capo”, non significa più che la chiamata arrivi davvero da quella persona.
Nel pacchetto Android Drop di giugno ci sono anche il supporto più esteso tra Quick Share e AirDrop, nuove funzioni AI per Google Photos, Circle to Search, Play Books e strumenti di sicurezza per minori. Ma la difesa contro le chiamate impersonate è la novità che cambia di più il rapporto tra AI generativa, frodi vocali e sicurezza quotidiana.
Come funzionano le chiamate deepfake Android
La nuova funzione di Google non prova semplicemente ad “ascoltare” la voce per capire se è falsa. Il meccanismo è diverso e più interessante: Phone by Google verifica se la chiamata proviene davvero dal dispositivo del contatto salvato in rubrica.
Google descrive il sistema come una sorta di stretta di mano digitale tra dispositivi. Quando un contatto vi chiama e entrambi usate Phone by Google, il dispositivo del chiamante invia in tempo reale un segnale silenzioso di conferma al vostro telefono. Questo segnale usa RCS, cioè Rich Communication Services, lo standard di messaggistica evoluta che consente comunicazioni più ricche rispetto agli SMS tradizionali e può supportare crittografia end-to-end.
“Android is introducing fake call detection, an industry-first protection…” — Google Security Blog
Se un truffatore usa spoofing, cioè falsifica il numero visualizzato, il segnale iniziale manca. A quel punto il telefono controlla con il dispositivo reale del contatto. Se quel dispositivo risponde che non sta effettuando nessuna chiamata, Android mostra un avviso e consiglia di riagganciare.
Questo dettaglio è centrale: il sistema non deve stabilire se una voce clonata “suona falsa”. Deve capire se la chiamata arriva dal dispositivo giusto. È una difesa più strutturale contro i deepfake vocali, perché riduce il peso della percezione umana in un contesto in cui una voce sintetica può già imitare tono, ritmo e urgenza emotiva.
La domanda scomoda è questa: Google sta davvero riconoscendo le chiamate deepfake, o sta costruendo una nuova infrastruttura in cui il numero di telefono non basta più come prova di identità?
I limiti della nuova protezione
La funzione non è universale. Google specifica che il rilevamento arriva globalmente questo mese su Android 12+ con Phone by Google, partendo dai dispositivi Pixel. Per funzionare richiede Phone by Google, Google Contacts, Google Messages, capacità RCS e l’uso di Phone by Google da entrambe le parti della chiamata.
Questo significa che la protezione è utile, ma non copre automaticamente ogni scenario. Se il chiamante usa un’app diversa, se il dispositivo non supporta RCS, se il contatto non usa Phone by Google o se la chiamata arriva da un numero aziendale non verificato, il sistema può non offrire lo stesso livello di controllo.
C’è poi un limite comunicativo: chiamarla “fake call detection” può far pensare a un riconoscimento diretto della voce falsa. In realtà, la parte più solida della funzione è la verifica del dispositivo. È una distinzione tecnica importante, perché evita di attribuire all’AI una capacità quasi magica di smascherare ogni audio sintetico.
Perché Google interviene ora
La scelta arriva in un momento in cui le frodi di impersonificazione stanno diventando più industrializzate. La FTC ha indicato le truffe in cui qualcuno si finge un’azienda o un ente pubblico tra le frodi più segnalate negli Stati Uniti, con perdite pari a 2,95 miliardi di dollari nel 2024.
INTERPOL, nel Global Financial Fraud Threat Assessment 2026, ha segnalato che le frodi potenziate dall’AI sono 4,5 volte più redditizie dei metodi tradizionali e che dal 2024 le Notices e Diffusions legate alle frodi sono aumentate del 54%.
Il motivo è semplice: l’AI generativa abbassa il costo dell’inganno credibile. Un attacco non deve più limitarsi a un SMS scritto male o a una voce anonima. Può combinare numero falsificato, voce clonata, urgenza emotiva e dati personali raccolti online. In questo scenario, la verifica dell’identità non può restare affidata solo al buon senso dell’utente.
Cosa cambia per utenti e aziende italiane
Una chiamata da un numero familiare non va più trattata come prova sufficiente. Se viene richiesta una somma di denaro, un codice, un bonifico o una conferma urgente, serve un secondo canale di verifica: messaggio separato, richiamata manuale, contatto diretto su un numero già noto.
Reparti amministrativi, studi professionali, PMI e team HR dovrebbero aggiornare le procedure interne: nessun pagamento, cambio IBAN o autorizzazione sensibile dovrebbe dipendere da una sola chiamata vocale, anche se il numero sembra corretto.
Google non sta solo aggiungendo una funzione anti-truffa. Sta indicando una direzione più ampia del panorama AI: quando la voce può essere sintetica e il numero può essere falsificato, la sicurezza si sposta dalla fiducia percettiva alla verifica crittografica e contestuale. Per chi usa Android in Italia, la novità concreta è questa: il telefono inizia a trattare l’identità del chiamante come qualcosa da dimostrare, non da presumere.
Fonti citate
- What’s New in Android Security and Privacy in 2026 , Google Security Blog, 12 maggio 2026.