Torre d’avorioLe leggi per la verifica dell’età online sono un’arma a doppio taglio

Sempre più governi si impegnano per evitare l’esposizione alla pornografia su internet dei minori varando norme per la verifica dell’età, ma spesso senza rendersi conto dei rischi che queste comportano per la tutela della privacy

Unsplash

Nelle scorse settimane tre Stati americani – Kansas, Florida e Idaho – hanno approvato nuove norme che richiedono ai siti web per adulti di verificare l’età dei visitatori prima dell’accesso. La decisione ha a che fare con una tendenza sempre più diffusa: in tutto il mondo si assiste a una spinta legislativa in favore di misure concrete legate alla verifica anagrafica online.

Negli Usa, altri cinque Stati hanno già approvato leggi simili e in altri ancora queste sono in fase di valutazione. Dopo l’entrata in vigore del Digital Service Act, anche l’Unione Europea punta alla verifica dell’età per almeno tre dei maggiori siti pornografici del mondo. Pornhub, XVideos e Stripchat sono stati classificati infatti come «piattaforme online di grandi dimensioni», in quanto superano ciascuno 45 milioni di utenti medi mensili. E per questo, ai sensi della legge sui servizi digitali, dovranno essere soggetti a controlli più severi (Pornhub ha presentato ricorso al Tribunale dell’Ue a Lussemburgo per contestare l’iniziativa di Bruxelles). Nel frattempo, Francia, Germania e Regno Unito hanno già agito a livello nazionale.

A marzo, l’Autorità italiana per le garanzie nelle Comunicazioni (Agcom) ha avviato una consultazione pubblica sulle modalità di verifica dell’età, che dovranno essere implementate dai gestori di siti web e dalle piattaforme di condivisione video. La consultazione servirà a individuare il sistema più funzionale e sicuro tra quelli disponibili sul mercato.

L’obiettivo comune di queste iniziative è tenere i minori al sicuro dai pericoli della rete, pornografia in primis. A oggi, infatti, i sistemi di controllo dell’età in rete si basano esclusivamente su un’auto-dichiarazione e per questo risultano inutili. I metodi di verifica più efficaci, tuttavia, prevedono che gli utenti condividano con società terze informazioni sensibili quali carte d’identità, dati bancari o scansioni facciali. I detrattori sottolineano come le leggi possano mettere in discussione l’anonimato digitale degli adulti e come un’applicazione su larga scala possa portare a gravi ripercussioni in termini di privacy: una profilazione ancora più forte dell’utente sulla base di informazioni che riguardano le preferenze sessuali non è certo un’idea allettante. Inoltre, la storia recente della cybersecurity ci insegna che la creazione di liste e database non è mai una buona idea.

Tra le soluzioni più in voga attualmente c’è la scansione di un documento d’identità, adottata soprattutto dai siti di scommesse. Oltre che essere un facile bersaglio sul fronte hacking, è abbastanza semplice aggirare questo genere di sistemi, per esempio scaricando le foto di altri documenti reperibili su Internet. Un’altra pratica diffusa è quella di chiedere agli utenti di effettuare una transazione di zero euro, in modo da dimostrare di avere un account abilitato a pagare sul web. Oggi però diversi servizi bancari consentono di aprire conti digitali anche a individui con meno di diciotto anni. Il riconoscimento facciale, infine, prevede la memorizzazione di dati biometrici e per questo rappresenta la soluzione più pericolosa: i dataset biometrici sono bombe a orologeria che, una volta esplose, forniscono una via d’accesso a una moltitudine di ecosistemi collegati all’utente.

Esistono però delle alternative. Olivier Blazy, informatico e professore all’École Polytechnique di Palaiseau, ha sviluppato un sistema che al momento è in fase di sperimentazione a livello nazionale in Francia. Questo metodo aggiunge un intermediario digitale tra un sito web privato e un servizio di verifica dell’età, impedendo al sito di “vedere” informazioni che potrebbero identificare l’utente. Nel frattempo, il verificatore dell’età di terze parti non è in grado di individuare il sito visitato. «Ci sono ancora rischi per la privacy – ha spiegato Blazy in un’intervista a Scientific American – ma non sono peggiori dei rischi base che tutti accettano quando vanno su Internet con il proprio computer».

Nel 2023 Azione, con il supporto di alcuni parlamentari di Italia Viva, ha riaperto la discussione relativa all’inefficacia dei meccanismi di tutela dei social network depositando una proposta di legge per stabilire il divieto di accesso alle piattaforme social per i minori di tredici anni e la richiesta di un consenso parentale tra i tredici e i quindici anni. La proposta presentava diverse lacune, ma si caratterizzava per la volontà di individuare un sistema di verifica dell’età standard che fosse efficace per tutti.

Strizzando l’occhio alla strategia Better Internet for Kids della Commissione Europea, la legge suggeriva che la verifica si appoggiasse sull’identità elettronica contenuta nello European Digital Identity Wallet (Eudi), il portafoglio europeo che permetterà di accedere a un sistema di riconoscimento affidabile e interoperabile. In Italia la questione era stata discussa anche prima e si era parlato di autenticazione tramite Spid come passepartout per l’iscrizione ai social.

Ma non basta. Qualunque meccanismo di identificazione digitale sarebbe facilmente aggirabile attraverso l’utilizzo di una Vpn (Virtual Private Network), strumento di facile accesso e ormai alla portata di chiunque, anche dei più giovani. La corsa forsennata all’applicazione di sistemi di verifica dell’età deve tener conto di questo aspetto: senza le dovute misure, si assisterebbe semplicemente a un exploit del mercato delle Vpn tra i minorenni. È una prospettiva tutt’altro che irrealistica, tenendo conto che negli ultimi anni l’utilizzo di questi strumenti è aumentato notevolmente: secondo uno studio di NorthVPN, infatti, ad oggi più del venticinque per cento degli italiani utilizza una Vpn.

X