Nel febbraio 2026, Google ha consegnato segretamente all'Immigration and Customs Enforcement (ICE) i numeri di conto bancario, i dati delle carte di credito e le informazioni personali del giornalista studentesco e attivista Amandla Thomas-Johnson - senza mai notificarglielo, in diretta violazione di una politica pubblica che l'azienda rispetta dal 2015.
Cosa è successo: una citazione segreta, nessun preavviso
L'ICE ha notificato a Google una citazione amministrativa richiedendo dati su Thomas-Johnson, che aveva seguito le operazioni di contrasto all'immigrazione come giornalista studentesco. Google ha ottemperato, consegnando documenti finanziari inclusi numeri di conto bancario e dati di carte di credito, senza avvisare Thomas-Johnson né dargli la possibilità di contestare la richiesta in tribunale.
Le citazioni amministrative sono emesse direttamente dalle agenzie federali, senza supervisione giudiziaria né mandato firmato da un giudice. A differenza degli ordini giudiziari, non richiedono alcuna approvazione preventiva, rendendole uno strumento privilegiato per agenzie come l'ICE. Thomas-Johnson ha scoperto solo dopo i fatti che Google aveva ottemperato alla citazione, quando The Intercept ha pubblicato la notizia. A quel punto era già fuggito in Svizzera per evitare la detenzione.
Thomas-Johnson ha poi scritto sui social media: "Quindi @Google ha consegnato all'ICE i numeri delle mie carte di credito e conti bancari mentre cercavano di rintracciarmi e trattenermi. Sono fuggito in Svizzera prima che potessero farlo." La divulgazione non era un attacco informatico - era Google che consegnava volontariamente i suoi dati finanziari a un'agenzia federale senza informarlo.
La promessa tradita di Google: una politica abbandonata in silenzio
Almeno dal 2015, Google aveva mantenuto un chiaro impegno pubblico: quando l'azienda riceve una richiesta governativa di dati utente, notificherà l'utente interessato prima di adempiervi, a meno che non sia legalmente vietato farlo. Questa politica esiste proprio perché gli utenti possano ingaggiare un avvocato e contestare gli abusi in tribunale prima che le loro informazioni vengano consegnate alle autorità.
Nel caso di Thomas-Johnson, Google ha silenziosamente tradito quella promessa senza offrire alcuna spiegazione. L'Electronic Frontier Foundation (EFF), che ha preso in carico il caso, ha descritto la situazione senza mezzi termini in un post del blog di aprile 2026: "Google ha tradito la sua promessa nei miei confronti. Ora l'ICE ha i miei dati."
L'EFF ha anche scritto formalmente al Procuratore Generale della California, citando il mancato rispetto da parte di Google della legge californiana sugli obblighi di notifica in caso di determinate richieste governamentali di dati.
Le citazioni amministrative: la zona grigia legale
Il caso Thomas-Johnson mette in luce un problema crescente: le citazioni amministrative consentono alle agenzie governative di aggirare completamente la magistratura. A differenza dei mandati di perquisizione, non richiedono la firma di un giudice, nessuna causa probabile e nessun preavviso alla persona presa di mira. Vengono emesse autonomamente da agenzie come ICE, DEA e IRS, e le aziende tecnologiche spesso vi ottemperano senza contestazioni.
Secondo i rapporti di trasparenza di Google stessa, l'azienda riceve ogni anno migliaia di richieste di dati governativi dalle autorità statunitensi. La grande maggioranza porta alla divulgazione di alcune informazioni. Il caso Thomas-Johnson è allarmante non solo per ciò che è stato divulgato, ma per come è avvenuto - in silenzio e in apparente violazione dei propri principi dichiarati.
L'EFF chiede una legislazione
La risposta dell'EFF va oltre la critica a Google. L'organizzazione sta ora spingendo per una legislazione federale e statale che obblighi legalmente le aziende tecnologiche a notificare gli utenti prima di ottemperare alle richieste governamentali di dati.
L'avvocata dell'EFF Saira Hussain ha definito il caso un "modello di abuso", notando che i giornalisti studenteschi, gli attivisti per i diritti degli immigranti e le persone comuni senza alcun legame con attività criminali sono sempre più presi di mira attraverso citazioni amministrative semplicemente perché esercitano il loro diritto alla libertà di espressione online.
I difensori della privacy sostengono che le politiche aziendali volontarie non costituiscono una protezione sufficiente. Come dimostra il caso Thomas-Johnson, le politiche possono essere abbandonate senza preavviso, senza spiegazioni e senza ricorso, lasciando gli utenti esposti proprio quando la protezione legale conta di più.
Le implicazioni più ampie per la privacy digitale
Questo caso ha implicazioni ben al di là dell'esperienza di un singolo attivista. Se Google, un'azienda con un decennio di impegno pubblico verso la notifica agli utenti, consegna silenziosamente dati finanziari alle autorità di immigrazione senza preavviso, gli utenti hanno pochi motivi per fidarsi che le politiche di privacy aziendali volontarie offrano una vera protezione.
I dati che Google ha divulgato non erano password o messaggi privati: erano numeri di conto bancario e registrazioni di carte di credito, il tipo di dati finanziari che possono essere usati per tracciare movimenti, associazioni e reti di supporto di una persona. Per un giornalista che si occupa di immigrazione, queste informazioni non sono solo personali: sono potenzialmente pericolose per fonti e contatti.
Casi come questo ci ricordano che ogni dato archiviato presso un servizio di terze parti è potenzialmente raggiungibile dalle agenzie governative con minime barriere legali. Ridurre al minimo i dati condivisi con le grandi piattaforme e utilizzare strumenti che offrono maggiore controllo sull'impronta digitale è diventata una necessità pratica per giornalisti, attivisti e utenti attenti alla privacy.
