Shopping Cart

L’app europea per la verifica dell’età è già un disastro: privacy, falle di sicurezza e rischio “shitcoin di Stato”

Tempo di lettura: 9 minuti

Perché l’Europa vuole verificare la tua età online 👶➡️🔞

La domanda è semplice: cosa si può mostrare a un minorenne online? E, soprattutto, come fai a impedirgli l’accesso a contenuti per adulti senza trasformare internet in un luogo totalmente sorvegliato? 🤔

Negli ultimi anni l’Unione Europea ha deciso di intervenire in modo pesante su questo tema con il Digital Services Act (DSA), una legge che, tra le altre cose, dice chiaramente alle piattaforme online: “Dovete proteggere i minori”. Questo significa che per:

  • siti per adulti,
  • piattaforme di gioco d’azzardo,
  • e-commerce che vendono alcolici o prodotti riservati ai maggiorenni,

non basta più la solita finestrella “Hai più di 18 anni?” con due bottoni, sì/no, che chiunque può cliccare. Troppo facile, troppo aggirabile. 🧒💻

Serve una vera verifica dell’età. Ma qui nasce il problema: come fai a dimostrare che hai più di 18 anni senza regalare ogni volta a qualsiasi sito web la scansione della tua carta d’identità, nome, cognome, indirizzo, foto? È esattamente il nodo che Bruxelles ha provato a sciogliere… nel modo peggiore possibile. 😅

L’idea (teoricamente) geniale: un’app di Stato con zero-knowledge proof 🔐

Per rispettare il DSA e allo stesso tempo tutelare la privacy, la Commissione Europea ha proposto una soluzione che sulla carta suona benissimo: una app ufficiale di verifica dell’età, basata su crittografia avanzata e, in particolare, sulle famose zero-knowledge proof (ZKP). ✨

Le zero-knowledge proof sono tecniche crittografiche che permettono di dimostrare che una certa affermazione è vera senza rivelare i dati sottostanti. Nel nostro caso: dimostrare che hai più di 18 anni senza dover dire chi sei. Un’idea molto apprezzata anche nel mondo delle criptovalute e della privacy digitale. 🔏

Il sistema europeo, semplificando, prevede tre attori:

  • Tu, con la tua app sullo smartphone.
  • L’emittente: il server governativo che controlla i tuoi documenti e genera il certificato.
  • Il verificatore: il sito web per adulti, il casinò online, la piattaforma di scommesse ecc.

Il flusso pensato è questo:

  1. Scansioni passaporto o carta d’identità con l’app sul telefono.
  2. L’app invia i dati al server governativo (l’emittente).
  3. Lo Stato verifica i documenti e ti rilascia un token digitale firmato, una sorta di “gettone” crittografico.
  4. Quando entri su un sito per adulti, il sito chiede alla tua app solo: “Maggiorenne: vero o falso?”.
  5. L’app risponde usando quel token: “Età >= 18: vero”. Niente nome, niente indirizzo, niente data di nascita.

Risultato promesso: minori protetti e privacy salva. Almeno sulla carta. 📜

“Completamente open source”… ma solo a metà 😑

In un tweet trionfale, la Presidente della Commissione europea ha rivendicato che questa nuova app di verifica dell’età è:

  • sicura,
  • con i più alti standard di privacy al mondo,
  • compatibile con ogni dispositivo,
  • e soprattutto completamente open source.

Parole importanti, che in teoria significano: chiunque può leggere il codice, controllare come funziona, scovare bug e malfunzionamenti. Un passo avanti enorme rispetto ai soliti software governativi chiusi e opachi. 👏

Il problema? L’open source è solo a valle. Il codice dell’app che gira sul telefono è pubblico, ma i server nazionali – quelli che ricevono la scansione del tuo passaporto, processano la tua faccia e generano i token – restano completamente chiusi. Sono vere e proprie scatole nere:

  • non sappiamo quali dati tengano,
  • non sappiamo per quanto tempo,
  • non sappiamo con chi li condividano (altre agenzie, forze dell’ordine, partner privati…).

Risultato: open source sull’interfaccia, ma closed source nel cuore del sistema. Per la privacy non è esattamente una garanzia. ⚠️

Il disastro: un ricercatore buca l’app in poche ore 💣

Il 15 aprile (2026 nello scenario descritto), viene pubblicato il codice sorgente dell’app. Passano meno di 12 ore e un ricercatore indipendente, Paul Moore, pubblica un video che mostra quanto sia facile violare la sicurezza dell’applicazione. In seguito, sviluppatori di tutto il mondo confermano: l’app è un colabrodo. 🔓

Non si tratta di vulnerabilità super sofisticate da film di spionaggio. Parliamo di errori banali, roba che in un’app governativa che gestisce identità digitali non dovrebbe nemmeno esistere. Vediamo i cinque livelli di follia individuati. 🧨

1. Dati sensibili salvati in chiaro sul telefono 📂

Gli smartphone moderni hanno una sorta di cassaforte hardware – su Android spesso chiamata StrongBox – un chip separato e super protetto in cui salvare chiavi crittografiche e dati segreti. È lo standard mondiale per proteggere informazioni delicate. 🔐

Indovina dove l’app europea salva i dati sensibili? Non nella cassaforte. Ma in un file di testo in chiaro, dentro una cartella normale del telefono. È come avere un caveau d’acciaio in casa e poi scrivere la combinazione su un post-it attaccato alla porta di ingresso. 😬

Se qualcuno ha accesso al tuo telefono – fisicamente o tramite malware – aprire quel file e rubare o modificare i dati è un gioco da ragazzi. E infatti…

2. PIN e biometria disattivabili con una riga di testo 🔓

Quando apri l’app, ti viene chiesto di inserire un PIN di sicurezza. Sembra una misura seria, finché i ricercatori non scoprono che quel PIN è memorizzato… nello stesso file di testo. 😑

Hanno dimostrato che basta:

  1. aprire il file di testo,
  2. cancellare la riga che contiene il PIN,
  3. riavviare l’app.

A quel punto l’app ti saluta: “Benvenuto, non trovo nessun PIN, vuoi impostarne uno nuovo?”. Tu imposti 1234 e hai pieno accesso a un’identità già verificata. Nessun controllo aggiuntivo. 🤯

Stessa storia per l’autenticazione biometrica (impronta digitale o riconoscimento facciale). L’app decide se chiederla o meno in base a una semplice parola all’interno del file: use_biometry = true. Cambiando true in false, l’app smette di chiedere qualsiasi verifica biometrica. Tutto pilotato da un flag in chiaro. Imbarazzante. 🤦‍♂️

3. “Queste preferenze sono crittografate”… con una password fissa 🤡

Nel codice sorgente dell’app compare un commento degli sviluppatori: “Queste preferenze sono crittografate”. Peccato che la password usata per crittografare questi dati sia:

  • una sequenza di numeri fissa,
  • scritta in chiaro nel codice,
  • uguale per tutti.

Quindi, chiunque legga il sorgente ha immediatamente la “chiave” per sbloccare i dati “protetti”. È come chiudere la porta e lasciare la chiave attaccata alla serratura. 🔑

4. L’app firma a tuo nome senza chiederti nulla ✍️

Per dire a un sito che sei maggiorenne, l’app usa una chiave digitale. Normalmente, quando un’app usa una chiave così importante, il sistema operativo ti chiede conferma: “Vuoi davvero usare questa chiave? Metti l’impronta” o qualcosa di simile. Serve a impedire che app malevole la usino di nascosto. 🛡️

In questa app, però, gli sviluppatori hanno impostato il parametro user authentication required = false. Tradotto: “Non chiedere conferma all’utente”. Ciò significa che qualsiasi altro software sul tuo telefono, se riesce a parlare con l’app, potrebbe fare firme digitali a tuo nome, senza che tu te ne accorga. Un incubo per la sicurezza. 😱

5. Manuale ufficiale: ecco come disattivare la sicurezza di rete 🧨

Nei documenti ufficiali rilasciati dall’Europa per guidare gli sviluppatori, era presente addirittura il codice di esempio per disattivare i controlli di sicurezza della rete. Letteralmente, viene mostrato come dire all’app: “Fidati di qualsiasi server, anche se è falso”. 😳

Nel commento, gli autori specificano che serve solo per i test. Ma, come spesso accade, qualcuno ha fatto copia-incolla in produzione, lasciando attivo un comportamento che apre la strada ad attacchi di tipo man-in-the-middle e a server malevoli. È la dimostrazione concreta di quanto la burocrazia e lo sviluppo poco rigoroso possano generare software estremamente fragili, soprattutto quando sono coinvolti governi e consorzi di fornitori. 🧱

La falla strutturale che non si può correggere 🧩

Tutti i cinque errori descritti sopra, per quanto gravi, sono bug locali. In teoria si possono correggere con aggiornamenti, patch, riscritture parziali del codice. Ma c’è un problema molto più profondo, strutturale, che riguarda proprio il modo in cui è stato pensato il sistema di verifica dell’età. Ed è qui che Paul Moore ha fatto il passo successivo. 🔍

La domanda che si è posto è: “Se l’età è solo un interruttore vero/falso firmato, mi serve davvero il telefono?”. La risposta, purtroppo, è no. E da qui è nato l’attacco più devastante. 💥

L’estensione per browser che inganna i server europei 🧩➡️🌐

In poche ore Moore realizza una estensione per Google Chrome che sfrutta proprio l’architettura ideata dall’Europa.
Funziona così:

  1. Installi l’estensione sul browser (operazione banale, alla portata di chiunque).
  2. Una volta sola, usi un passaporto valido per registrarti con l’app ufficiale e ottenere le tue chiavi (magari neppure il tuo passaporto…).
  3. Estrai le chiavi e il token emessi dall’infrastruttura europea.
  4. Inserisci questi dati nell’estensione di Chrome.

Da quel momento, ogni volta che visiti un sito che chiede: “Sei maggiorenne?”, l’estensione intercetta la richiesta, risponde con la firma originale e il sito la accetta senza problemi. Per il verificatore, crittograficamente, è tutto in regola: il token è autentico, firmato da un emittente ufficiale. ✅

L’infrastruttura, infatti, non controlla:

  • se chi sta usando il token è la stessa persona che ha scansionato il documento mesi prima,
  • se la richiesta arriva davvero da uno smartphone sicuro o da un browser manipolato su un PC qualunque.

Una volta rubata o esportata, la chiave diventa portatile e clonabile. E questo ha conseguenze enormi. 🌍

Verso un mercato nero delle identità “maggiorenni” 🕵️‍♂️💸

Se puoi prendere le chiavi di un maggiorenne, inserirle in un’estensione del browser e distribuire quell’estensione a milioni di persone, è facile prevedere cosa succederà:

  • ragazzini di 14–15 anni che si installano estensioni craccate,
  • siti che li fanno entrare perché la firma è valida,
  • token di “maggiorenne” venduti in massa nei canali Telegram o nel dark web.

Immagina un messaggio tipo: “Vuoi accedere a casinò e siti per adulti anche se hai 15 anni? Paghi 5€ e ti mandiamo l’estensione già pronta con un token verificato”. È la nascita di un gigantesco mercato nero di identità. 🔥

Questi token, per come sono strutturati oggi, rischiano di comportarsi come una vera e propria shitcoin di Stato: un asset digitale scambiato negli angoli bui del web, con un prezzo, una domanda e un’offerta. Il paradosso è che la Commissione Europea, nel tentativo di iper-regolamentare internet, potrebbe finire per creare a proprie spese la più grande moneta finta usata solo per aggirare le sue stesse leggi. Una ironica lezione su cosa succede quando si centralizza il potere sui dati digitali. 💱

Il vicolo cieco: o sorveglianza di massa, o sistema inutile 🚧

Con l’architettura attuale, se l’Europa vuole davvero evitare hack, estensioni craccate e mercato nero, ha una sola strada tecnica: legare indissolubilmente la chiave alla persona ad ogni singola transazione. Cosa significa, in pratica? Che ogni volta che entri in un sito dovresti:

  • inviare tutti i tuoi dati identificativi,
  • far sapere esattamente chi sei,
  • associare ogni accesso (anche a contenuti sensibili) alla tua identità reale.

Addio anonimato. Ogni clic diventa una traccia permanente in qualche server pubblico o semi-pubblico. Questo spinge l’intero sistema verso una forma evidente di sorveglianza di massa. 🛰️

Quindi il bivio è chiaro:

  • Lasci il sistema com’è per difendere (un po’) la privacy, ma allora chiunque può copiare i token e il sistema diventa quasi inutile.
  • Rafforzi i controlli e allora rompi la promessa di anonimato, entrando in rotta di collisione con lo stesso spirito del GDPR, la normativa europea sulla protezione dei dati.

Un vicolo cieco regolatorio: qualsiasi direzione prendi, perdi qualcosa di fondamentale. ⚖️

Dipendenza da Google e discriminazione di chi tutela la propria privacy 📱➡️🏢

Come se non bastasse, per stabilire se uno smartphone è “abbastanza sicuro” per usare l’app, l’Europa ha deciso di appoggiarsi alle Google Play Integrity API. In pratica:

  • per usare l’app europea di verifica dell’età,
  • il tuo telefono deve essere approvato da Google, azienda privata americana.

Questo crea una dipendenza tecnologica e politica evidente: un’infrastruttura europea che chiede a una big tech extra-UE il permesso di funzionare sui dispositivi dei cittadini europei. 🇪🇺➡️🇺🇸

C’è di più: se sei una persona attenta alla privacy, magari hai installato un sistema operativo libero e degooglizzato (come GrapheneOS o soluzioni simili), orientato alla sicurezza e al controllo locale dei dati. In questo scenario:

  • il tuo telefono è più sicuro,
  • ma non è riconosciuto dalle API di Google,
  • risultato: vieni escluso dall’app ufficiale di identità europea.

Paradossale: chi si protegge di più viene penalizzato. Chi accetta di vivere dentro l’ecosistema delle big tech, invece, viene premiato con l’accesso ai servizi pubblici digitali. 🤨

Non è “solo per i siti per adulti”: è il banco di prova dell’identità digitale europea 🧱

La cosa più preoccupante non è questa singola app legata ai contenuti per adulti. Quello è solo il campo di test. Lo stesso codice, la stessa architettura, le stesse librerie crittografiche sono infatti alla base dell’EUDI Wallet, il wallet di identità digitale europea che tutti gli Stati membri dovranno implementare entro fine 2026. 🗂️

Dentro questo portafoglio digitale finiranno:

  • patente di guida,
  • tessera sanitaria,
  • documenti d’identità,
  • accesso ai servizi pubblici,
  • apertura di conti in banca,
  • firma di contratti, richieste di mutui e molto altro.

Se il “giocattolo” sperimentale per verificare l’età è già così pieno di falle, cosa può succedere quando lo stesso impianto viene esteso per gestire tutta la nostra vita digitale? Il rischio di concentrare troppo potere e troppi dati in un’unica infrastruttura vulnerabile è enorme. 🌐

Di fronte alle critiche, la Commissione Europea ha cercato di ridimensionare il caso parlando di “demo per trovare bug”. Ma dopo una figuraccia così plateale, la fiducia nell’intero progetto di identità digitale centralizzata ne esce inevitabilmente compromessa. E, come sempre, una volta costruita l’infrastruttura, sarà difficilissimo tornare indietro. 🧨

Cosa ci insegna tutto questo (e perché serve diffidare delle identità centralizzate) 🧠

La storia della nuova app europea per la verifica dell’età è molto più di un caso tecnico. È un campanello d’allarme potente su come vengono progettati oggi i sistemi digitali che pretendono di gestire:

  • la nostra identità,
  • la nostra privacy,
  • i nostri diritti online.

Da un lato c’è l’obiettivo condivisibile di proteggere i minori. Dall’altro, però, ci sono strumenti che rischiano di trasformarsi in macchine di sorveglianza, vulnerabili a bug, abusi e mercati neri. ⚖️

Affidare a un’unica infrastruttura centralizzata – controllata da governi, appaltata a grandi aziende tecnologiche e dipendente da colossi stranieri – i “codici d’accesso” alla nostra vita digitale è una scelta estremamente pericolosa. In assenza di architetture realmente decentralizzate e resistenti alla censura, ogni falla diventa un rischio sistemico, non solo un incidente isolato. 🕳️

L’episodio dell’app per la verifica dell’età mostra con chiarezza cosa succede quando potere, burocrazia e tecnologia mal progettata si incontrano: sistemi fragili, facilmente aggirabili, e potenzialmente dannosi proprio per i diritti che dicono di voler difendere. Ed è solo l’inizio, se questo modello verrà esteso a tutto ciò che riguarda la nostra identità digitale nei prossimi anni.

Leggi anche