Leggi in app
La verifica online dell’età degli utenti rappresenta un argomento attuale e delicato a cui le autorità nazionali e internazionali stanno dedicando sempre più attenzione. A conferma di ciò, è stato annunciato il lancio di un’app europea che è stata sperimentata in cinque Stati membri – tra cui l’Italia – e che, secondo il presidente della Commissione europea Ursula von der Leyen, avrà un ruolo cruciale nella sicurezza digitale dei minori.
Tuttavia, al di là delle buone intenzioni, le soluzioni proposte e annunciate dalle autorità potrebbero non rivelarsi così efficaci come auspicato.
Conciliare la verifica dell’età con le necessità di privacy e sicurezza, promosse dal GDPR e dal Digital Service Act, si rivela più complesso di quanto possa apparire.
L’app europea per la verifica dell’età è vulnerabile agli attacchi informatici
Numerosi esperti, incluso il fondatore dell’app di messaggistica Telegram, Pavel Durov, affermano che l’intera architettura della soluzione europea presenta gravi lacune.
Infatti, l’app utilizza un sistema denominato age token, il cui funzionamento può essere sintetizzato come segue: l’utente presenta un documento, l’app verifica l’età e genera un token anonimo che si limita a confermare la maggiore età. Questo token viene poi utilizzato per accedere a siti – social o piattaforme per adulti – senza rivelare l’identità dell’utente.
Fino a questo punto, tutto sembra funzionare e rispettare le normative europee.
Tuttavia, secondo Durov, la generazione del token è vulnerabile, poiché non è protetta da un sistema di crittografia adeguato. Ciò comporta la possibilità che un utente non maggiorenne possa apparire come tale e anche la possibilità di estrarre informazioni che non dovrebbero essere accessibili.
Se il token non è sicuro, l’intero sistema di sicurezza e privacy crolla. Questa possibilità contrasta con la sicurezza proclamata da enti e governi e, non da ultimo, potrebbe trasformare la verifica dell’età in uno strumento di sorveglianza di massa.
Le critiche sollevate da Pavel Durov si basano su una ricerca più approfondita condotta dall’esperto di sicurezza Paul Moore, che afferma di essere riuscito ad aggirare le protezioni dell’app in meno di due minuti.
Un sistema imperfetto
Secondo Moore, l’app è una fortezza di carta.
Per chiarire meglio le vulnerabilità dell’intero sistema, è utile considerare il Pin che l’utente crea al momento della configurazione dell’applicazione.
Il Pin deve rimanere segreto e deve essere inserito dall’utente quando apre l’app per dimostrare la propria età durante l’accesso a una risorsa online.
Tuttavia, Moore sottolinea che è memorizzato sullo smartphone ed è modificabile manipolando i file di configurazione.
La situazione si complica ulteriormente se si considera che, una volta creato un nuovo Pin, l’app rivela tutti i dati precedentemente caricati, come documenti d’identità o informazioni personali.
Questo implica che un malintenzionato potrebbe ottenere dati sensibili oppure, senza dover ricorrere a scenari estremi, un minore potrebbe facilmente accedere a qualsiasi sito utilizzando lo smartphone di un adulto. In sostanza, afferma Moore, il Pin non protegge i dati conservati nell’app.
Più che una fortezza inespugnabile, l’app si presenta come una cassaforte che può essere aperta cambiando la serratura.
Infatti, prosegue Moore, le app entrano in modalità di blocco se, dopo 3 o 5 tentativi, il Pin inserito non è corretto. Nel caso dell’app europea, il contatore dei tentativi può essere resettato e si può continuare a inserire il Pin fino a trovare quello giusto.
In aggiunta, l’accesso all’app tramite impronta digitale o riconoscimento facciale può essere disattivato manipolando i file di configurazione.
La soluzione più efficace
A partire dal 2013, sia Apple che Google hanno implementato nei rispettivi sistemi operativi chip separati progettati per gestire dati sensibili e chiavi crittografiche, affinché gli utenti non possano leggerli o modificarli.
L’app europea non utilizza né Secure enclave di Apple né TEE o StrongBox di Android, il che rende potenzialmente vulnerabili i dati sensibili.
Altri metodi attualmente in uso
Diverse piattaforme verificano l’età degli utenti attraverso tecniche di inferenza che permettono di derivare nuove informazioni dai dati già in possesso. In questo modo, vengono considerati l’anzianità dell’account di un utente, la cronologia delle ricerche e le interazioni sociali.
Instagram, ad esempio, può identificare un minorenne se dai messaggi pubblicati si può dedurre la sua età, YouTube analizza i video cercati dall’utente e Discord intende incrociare i dati del dispositivo con non meglio specificati “modelli aggregati di alto livello” derivati dagli scambi tra le persone sulla piattaforma.
Si tratta però di stime per lo più probabilistiche e inaffidabili, pensate per tutelare la privacy degli utenti evitando loro di fornire dati sensibili o documenti d’identità che però diventerebbero essenziali nel caso in cui, per errore, venissero classificati come minorenni. Un rimedio più che una soluzione definitiva.
L’inferenza dell’età sembra rappresentare una soluzione più fluida per l’esperienza degli utenti, sebbene imprecisa.
C’è poi il modello australiano che, a partire dal mese di dicembre del 2025, ha progressivamente introdotto l’Online Safety Amendment Act, una legge che vieta l’accesso ai social ai minori di 16 anni e ai contenuti per adulti a chi non ha compiuto 18 anni.
Non è un caso, come evidenziato da Reuters, che l’uso di VPN in Australia è aumentato notevolmente grazie alla possibilità di eludere i controlli facendo apparire le connessioni come provenienti da altri Paesi.
Gli strumenti offerti dalle piattaforme
Mentre il dibattito sulla verifica dell’età degli utenti infuria quasi ovunque, le piattaforme introducono strumenti progettati per ridurre l’esposizione prolungata degli adolescenti ai contenuti. Iniziative di benessere digitale che sono per lo più risposte alle numerose accuse secondo cui le piattaforme digitali creano dipendenza. YouTube, in modo simile a Instagram e TikTok, interviene sul tempo di utilizzo e sul comportamento degli algoritmi di raccomandazione.
Le piattaforme sovrappongono livelli di controllo che imponendo restrizioni per gli account dei minorenni, attraverso filtri che attenuano la tendenza degli algoritmi a proporre contenuti particolarmente sensibili e promemoria che segnalano l’uso eccessivo.
Parallelamente, vengono offerti strumenti di supervisione che consentono ai genitori di monitorare le attività dei minori sulle piattaforme, insieme a meccanismi progettati per interrompere lo scrolling infinito.
Il dibattito in Italia
Esistono quattro proposte di legge italiane per limitare la dipendenza dai social e il potere degli algoritmi.
Soluzioni che mirano a vietare l’accesso ai social ai minori di 13 anni, l’autoplay e lo scrolling infinito. E che intendono imporre sistemi rigorosi di verifica dell’età e controlli parentali obbligatori. L’atteggiamento politico nei confronti dei prodotti potenzialmente dannosi delle Big tech sta cambiando.
Tuttavia, si è ancora lontani dal porre al centro del dibattito gli algoritmi, l’educazione all’uso dei social e del web in generale, nonché l’opportuna cultura digitale che fa da collante.
I commenti sono chiusi.