Fai una donazione

Questo sito è autofinanziato. L'aumento dei costi ci costringe a chiedere un piccolo aiuto ai lettori. CHI NON HA O NON VUOLE USARE UNA CARTA DI CREDITO può comunque cliccare su "donate" e nella pagina successiva è presente (in alto) l'IBAN per un bonifico diretto________________________________

Amount
Details
Hits: 136
Print Friendly, PDF & Email

ilpetulante.png

L'app per la verifica dell'età e il Wallet digitale

di Martino Dettori

È stata lanciata l'app per la verifica dell'età, e la UE vuole che gli Stati membri la implementino subito, magari dentro il cosiddetto portafoglio digitale (wallet)

La notizia è di qualche giorno fa. L’Unione Europea lancia la sua app per la verifica dell’età per accedere ai social e in generale ai contenuti digitali. La ragione sbandierata è la tutela dei minori. Ufficialmente si vuole impedire che i minori possano accedere liberamente ai social e ai siti per adulti. Intento di per sé nobile se non fosse che si tratta, appunto, di una scusa bell’e buona, perché fondamentalmente all’Unione Europea interessa relativamente il benessere dei minori (v. un esempio qui).

E’ mia opinione invece che la tutela dei minori sia il pretesto per strutturare un (ancor seppur ipotetico e futuristico) controllo sociale digitale dei cittadini UE. Se l’app venisse adottata dagli Stati membri e diventasse il sistema obbligatorio per accedere ai social e ai contenuti web, di fatto si verrebbe a creare un germinale sistema di identificazione di ogni utente che utilizza internet. Certo, secondo la documentazione ufficiale, l’app oggi garantisce completamente la privacy, nel senso che non identifica chi la utilizza e nessun dato identificativo viene inviato a un server centrale. Infatti, viene implementata con la tecnologia crittografica avanzata chiamata Zero-Knowledge Proof (ZKP). L’app in locale identifica l’età del soggetto e poi comunica al sito web solo un SI o un NO.

Ma c’è un ma. Per quanto sia vero tutto questo, è chiaro che la strada è tracciata. Una volta che l’app diventerà parte del nostro quotidiano e diventerà la chiave per accedere ai contenuti web, nessuno potrà impedire a un futuro governo nazionale o europeo di rendere identificabile chi la utilizza, magari in un contesto emergenziale (le emergenze sono un’ottima scusa per ridurre gli ambiti di libertà dei cittadini — Covid docet).

Chiamasi finestra di Overton. Si apre un piccolo spiraglio, un buco nel muro per vedere cosa accade, come le persone reagiscono a determinati provvedimenti, e a seconda della reazione, si apre la proverbiale finestra, e poi, se tutto va come deve, si sfonda direttamente il muro, e ciò che prima era impossibile diventa non solo possibile, ma addirittura la norma.

Leggiucchiando un po’ in giro, non tutti sono convinti della bontà dell’app di verifica dell’età o del fatto che essa non possa costituire una piattaforma per un potenziale controllo sociale, ovvero che sia del tutto immune ai cyber attacchi che possono rubare i dati sensibili degli utenti.

Le perplessità tecniche principali riguardano la sicurezza dell’implementazione locale e la logica di fiducia del sistema. Vediamole in sintesi:

1. Vulnerabilità nel Controllo d’Accesso

Il ricercatore di sicurezza Paul Moore ha dimostrato come sia possibile bypassare le protezioni dell’app in meno di due minuti. Si può resettare il PIN e può essere attuata la disabilitazione biometrica con i cosiddetti permessi di root.

2. Gestione Insicura dei Dati sul Dispositivo

Nonostante le promesse di massima privacy, l’analisi tecnica ha evidenziato che alcuni dati sensibili non sono protetti adeguatamente: foto in chiaro e selfie residue presenti nell’app dopo la verifica.

3. Il Problema del “Trust Boundary” (Confine di Fiducia)

Esperti come Dibran Mulder (CTO di Caesar Groep) sollevano un dubbio strutturale: il sistema si fida ciecamente di ciò che lo smartphone riporta. Ciononostante, è possibile manipolare l’output, senza contare che l’app certifica l’identità del proprietario del telefono, ma non può garantire in tempo reale chi stia effettivamente impugnando il dispositivo al momento dell’accesso al sito web.

4. Rischio di Sorveglianza e “Over-Identification”

Questo — direi — è l’aspetto più importante. Organizzazioni come EDRi (European Digital Rights) temono che l’infrastruttura eIDAS 2.0 (così è tecnicamente chiamata), pur usando ZKP (v. su), possa facilitare un tracciamento indiretto. Infatti, sempre secondo EDRi, se l’uso del wallet diventasse obbligatorio per troppi servizi (banche, trasporti, social), si creerebbe un ecosistema dove l’anonimato online scompare del tutto, poiché ogni interazione richiederebbe comunque l’emissione di una “prova” digitale legata a un’identità reale.

E indovinate cosa risponde la Commissione Europea davanti a tutte queste critiche e rilievi? Semplicemente che l’attuale app è una versione demo migliorabile, sicché la versione definitiva risolverà queste falle prima del rilascio ufficiale. Peccato però che già oggi la Commissione stia premendo perché gli Stati membri la implementino il prima possibile. Non solo, la Commissione suggerisce agli Stati di utilizzare il "blueprint" tecnico fornito dalla stessa Commissione per creare soluzioni nazionali che siano poi integrabili nei futuri European Digital Identity Wallets, cioè il wallet digitale che dovrebbe contenere (ma guarda un po’!) tutti i nostri documenti di riconoscimento in forma digitale: carta di identità, passaporto, codice fiscale, ricette mediche, metodi di pagamento e chi più ne ha più ne metta.

Non sentite anche voi quel forte odore di controllo sociale digitale? Del resto, perché una Commissione di burocrati è così fortemente interessata a che i cittadini mettano in un unico portafoglio digitale i documenti di riconoscimento, i metodi di pagamento e l’identificazione dell’età per accedere al web? Quale vantaggio ne trarrebbe, e quale vantaggio ne trarrebbero i cittadini? Fatevi la domanda e datevi una risposta.

fCondividi
Pin It
Whatsapp

Add comment

Submit