Il 15 aprile, la presidente della Commissione europea Ursula von der Leyen ha presentato con enfasi la nuova applicazione per la verifica dell’età online, uno strumento pensato per limitare l’accesso dei minori a contenuti sensibili, in particolare quelli per adulti. L’obiettivo dichiarato è ambizioso: combinare tutela dei minori e protezione della privacy, evitando la raccolta di dati personali sensibili.
Secondo la Commissione, il sistema consente agli utenti di dimostrare la maggiore età utilizzando documenti ufficiali come carta d’identità o passaporto, senza però memorizzare informazioni personali. In teoria, un perfetto equilibrio tra sicurezza e riservatezza, in linea con l’approccio europeo alla regolazione digitale.
Tuttavia, come spesso accade quando la tecnologia incontra la regolazione pubblica, la distanza tra intenzioni e implementazione si è rivelata significativa. Nel giro di poche ore dal lancio, esperti di cybersicurezza e ricercatori indipendenti hanno iniziato a sollevare dubbi sulla reale robustezza del sistema.
Le vulnerabilità: quando la sicurezza è solo sulla carta
Il primo campanello d’allarme è arrivato dal ricercatore di sicurezza Paul Moore, che ha dimostrato pubblicamente come aggirare le protezioni dell’app in pochi minuti. Il problema principale riguarda il sistema di autenticazione: l’app consente di impostare un PIN, ma senza criteri sufficientemente rigorosi.
In pratica, gli utenti possono scegliere codici estremamente semplici, facilmente intuibili. Ancora più problematico è il fatto che, nelle prime versioni, il PIN risultava salvato in chiaro sul dispositivo, rendendolo accessibile a chiunque avesse accesso fisico allo smartphone. Questo tipo di vulnerabilità è considerato basilare nel mondo della sicurezza informatica, e sorprende trovarlo in un’app promossa come benchmark globale di privacy.
Le criticità non si fermano qui. Il ricercatore Baptiste Robert ha evidenziato la possibilità di bypassare completamente il sistema di autenticazione, mentre Olivier Blazy ha sottolineato un rischio ancora più concreto: l’uso improprio dell’app da parte di minori su dispositivi di adulti già verificati.
Il risultato è paradossale. Uno strumento pensato per impedire l’accesso ai minori potrebbe essere facilmente aggirato proprio dai soggetti che dovrebbe bloccare.
Patch e aggiornamenti: una risposta insufficiente
Di fronte alle critiche, la Commissione europea ha reagito rapidamente, rilasciando aggiornamenti correttivi. Tra le principali modifiche introdotte vi sono la crittografia dei dati, controlli sull’integrità del dispositivo (per evitare utilizzi su smartphone con jailbreak o root) e requisiti più stringenti per la scelta del PIN.
Sulla carta, interventi sensati. Nella pratica, però, insufficienti. Lo stesso Moore, dopo aver testato le versioni aggiornate, ha dichiarato che molte delle vulnerabilità persistono o sono state corrette solo superficialmente.
Un sistema ancora acerbo, tra ambizioni politiche e realtà tecnica
Al netto delle dichiarazioni iniziali della Commissione, i fatti emersi nelle ore e nei giorni successivi al lancio raccontano una storia diversa. Le vulnerabilità individuate da diversi ricercatori indipendenti, dimostrate pubblicamente e in tempi rapidissimi, indicano che l’applicazione non era pronta per un utilizzo su larga scala. Non si tratta di criticità marginali, ma di problemi strutturali che incidono direttamente sulla funzione principale dello strumento. Gli aggiornamenti rilasciati in seguito hanno introdotto miglioramenti, ma non hanno risolto in modo definitivo le falle più evidenti, come confermato da ulteriori test condotti dagli stessi esperti. In questo contesto, il rischio è che l’app finisca per essere percepita più come un segnale politico che come una soluzione tecnologica realmente efficace.
