Mentre i governi di tutto il mondo cercano di rendere internet più sicuro per i minori, un’idea sta prendendo piede: invece di costringere i siti web a tenere lontani i minori, perché non lasciare che sia il loro dispositivo a farlo?

Negli Stati Uniti, la California ha approvato una legge che impone ai sistemi operativi di raccogliere informazioni sull’età e di fornire alle app un segnale che indichi se un utente è minorenne o maggiorenne. Anche i legislatori del Colorado(nuova finestra) e dell’Illinois(nuova finestra) stanno valutando una legislazione simile.

Nel Regno Unito, Apple ha già iniziato a richiedere ad alcuni utenti di iPhone di verificare la propria età a livello di sistema operativo per accedere a determinate funzionalità.

Si tratta di un cambiamento importante nel modo in cui l’identità funziona online. Quando i controlli dell’identità si spostano dai siti web ai sistemi operativi, diventano parte dell’infrastruttura di internet. Le decisioni prese a questo livello possono influenzare il modo in cui miliardi di persone accedono alle informazioni, comunicano e partecipano online.

«Creano barriere inutili e incostituzionali(nuova finestra) che impediscono ad adulti e giovani di accedere alle informazioni e di esprimersi online», avverte l’Electronic Frontier Foundation, soprattutto quando in una famiglia persone di età diverse condividono gli stessi dispositivi.

Dai controlli sui siti web ai segnali a livello di dispositivo

Storicamente, le restrizioni di età su internet sono state gestite da singole app e siti web. Se un’app o un sito web ospita contenuti destinati agli adulti, può chiedere agli utenti di confermare la propria età prima di consentire loro di scaricare l’app o accedere al sito web. Il nuovo approccio trasferisce questa responsabilità al sistema operativo che fa funzionare il tuo dispositivo, come Windows, Mac o Linux.

In base al Digital Age Assurance Act della California(nuova finestra), i sistemi operativi devono raccogliere l’età di un utente durante la configurazione dell’account e classificare gli utenti in fasce d’età: sotto i 13 anni, da 13 a 15, da 16 a 17 oppure 18 anni e oltre. Invece di chiedere a ogni sito web di verificare l’età di un utente, il sistema operativo in esecuzione sul tuo computer determina una sola volta la fascia d’età dell’utente e poi condivide questa informazione con le app quando richiesto — a tempo indeterminato.

Spostare la verifica dell’età nei sistemi operativi non semplifica solo la conformità normativa. Cambia anche chi controlla l’identità online.

Oggi la maggior parte dei dispositivi mobili usa sistemi operativi controllati da Apple e Google. Se la verifica dell’età diventa un requisito a livello di OS, queste aziende diventano di fatto i guardiani dei segnali relativi all’età usati da milioni di app.

Gli sviluppatori non deciderebbero più come verificare gli utenti. Sarebbero invece obbligati ad affidarsi alla classificazione del sistema operativo. In pratica, questo significa dover confidare nell’infrastruttura di Apple o Google — e nella loro interpretazione dei requisiti normativi — per stabilire chi può accedere a cosa.

Questo ha implicazioni che vanno oltre la privacy. Rafforza il potere degli attuali ecosistemi degli app store, dove entrambe le aziende controllano già la distribuzione e l’applicazione delle policy. Aggiungere la verifica dell’identità a questo livello consolida ulteriormente la loro posizione, vincolando gli sviluppatori ai loro ecosistemi e limitando la capacità dei concorrenti di creare piattaforme o sistemi di identità alternativi.

Solleva inoltre interrogativi su come questa infrastruttura potrebbe essere usata oltre il suo scopo originale. Una volta che i sistemi operativi possono verificare e trasmettere attributi come l’età, lo stesso meccanismo potrebbe essere esteso in altri paesi per imporre controlli più ampi.

Governi come quelli di Cina e Russia hanno già mostrato la volontà di imporre alle aziende di limitare l’accesso alle app e ai contenuti. I sistemi creati per la verifica dell’età potrebbero diventare la base per forme di controllo più ampie.

I sostenitori affermano che questo potrebbe semplificare la conformità normativa e ridurre la necessità per le piattaforme di raccogliere autonomamente i dati sull’età. I critici sostengono invece che rischi di trasformare il dispositivo stesso in un posto di controllo permanente dell’identità. In base alla nuova legge, ogni sistema operativo dovrà verificare l’età dell’utente durante la configurazione(nuova finestra) e potrà inviare questi dati tramite API agli sviluppatori di app senza il consenso esplicito dell’utente.

I rischi per la privacy dei controlli centralizzati dell’età

I sistemi di verifica dell’età variano molto nel loro funzionamento.

Caricare documenti di identità può esporre gli utenti al rischio di violazioni dei dati, come si è visto con piattaforme come Discord, dove gli aggressori hanno ottenuto l’accesso a migliaia di documenti d’identità rilasciati dal governo tramite sistemi di verifica dell’età.

I sistemi biometrici sollevano preoccupazioni riguardo all’accuratezza e alle distorsioni. Le scansioni facciali, per esempio, non possono determinare l’età esatta di una persona e possono portare a risultati imprecisi.

Centralizzare i segnali relativi all’età a livello di sistema operativo introduce un rischio diverso. Se gli attributi dell’identità vengono incorporati nel software che fa funzionare un dispositivo, queste informazioni potrebbero influenzare il modo in cui gli utenti interagiscono con l’intero ecosistema digitale.

Per esempio, nelle abitazioni condivise in cui molte persone usano lo stesso dispositivo, le app potrebbero limitare per errore l’accesso ai contenuti in base al segnale relativo all’età che ricevono dal sistema operativo, anche quando l’utente è maggiorenne. Allo stesso modo, se è un adulto a registrare il sistema operativo, i minori che usano il dispositivo possono facilmente aggirare il segnale relativo all’età inviato dall’OS. In alcuni casi, gli sviluppatori potrebbero dover affrontare responsabilità legali se non applicano correttamente le restrizioni di età.

Progettare sistemi che rispettano la privacy

Proteggere i minori online è un obiettivo importante. Genitori, educatori e responsabili politici hanno preoccupazioni legittime riguardo ai contenuti dannosi, alle pressioni dei social media e alle pratiche di progettazione manipolative. Ma progettare tutele per internet non riguarda solo gli obiettivi di policy. Riguarda anche l’architettura tecnica.

Un sistema pensato per proteggere i minori non dovrebbe costringere tutti a cedere informazioni personali sensibili per usare i servizi online di tutti i giorni.

Al contrario, leggi complete sulla privacy possono aiutare a proteggere i minori(nuova finestra) preservando al tempo stesso privacy, sicurezza e accesso alle informazioni per tutti.

Mentre le policy sulla verifica dell’età continuano a evolversi, i sistemi che le applicano contribuiranno a determinare che aspetto avrà internet per la prossima generazione. Ciò che conta di più è chi controlla i sistemi che prendono queste decisioni.