Recentemente è tornata a far parlare di sé la proposta di Azione di limitare l’accesso ai social ai minori di 15 anni senza consenso esplicito dei genitori e persino di vietarlo ai minori di 13.
Devo fare una premessa importante: ho una figlia interessata da questa legge, la quale per il momento e per un ancora indeterminato futuro, non ha disponibilità di device proprio né accesso ai social. Occupandomi professionalmente, tra le altre cose, di informatica forense, ho coscienza dei pericoli della rete per i minori, forse anche troppa a dir la verità, e pertanto non mi si può tacciare certo di essere eccessivamente tollerante su questo tema.
Un corretto inquadramento del problema
Innanzitutto, partiamo dal problema, e chiediamoci se esso sia stato correttamente inquadrato.
Nella proposta, pubblicizzata su Twitter e di cui alcuni promotori si sono gentilmente prestati a rispondere ad alcune domande degli utenti, viene menzionato come esempio Instagram. È doveroso chiedersi se sia opportuno prendere come esempio le abitudini degli adulti e applicarle ai minori. La risposta è no, i minori hanno abitudini relazionali online e strumenti completamente diversi.
Diverse statistiche indicano come i social network tradizionali (Facebook, Instagram, TikTok, Twitter, eccetera) sono per lo più ripartiti in cluster d’età, e che minori e “appena maggiorenni” hanno una predilezione per TikTok ad esempio, mentre Facebook per la generazione Z è considerato un social “da vecchi”.
Cosa fanno davvero i minori sui social
Ciò che queste statistiche però si perdono, è che i minori preferiscono di gran lunga attività sociali più dirette, ossia chat e giochi online. E tali “luoghi virtuali” sono anche quelli meno controllati e dove si annidano le attività più pericolose, ove girano i contenuti più disturbanti, equivoci, inadatti. E tali luoghi ove l’interazione è sincrona, il controllo è sostanzialmente impossibile, trattandosi di un consumo immediato.
Quindi il problema dell’accesso ai social andrebbe in verità maggiormente contestualizzato, identificando con tale termine una categoria di applicazioni e piattaforme molto più ampia, comprendente in particolare le chat e i giochi online. E tali piattaforme sono molto, molto più numerose delle cosiddette “piattaforme social” cui la proposta di legge è indirizzata, comprendendo, tra l’altro, anche piccoli server privati che viaggiano ben al di sotto della “quota radar”. Server per i quali, magari, la modalità di accesso viaggia per passa parola e che non aderirebbero al nuovo protocollo proposto, né ad altri simili, perché troppo piccoli e localizzati in regioni del mondo magari al di fuori della giurisdizione europea.
La fattibilità tecnica della proposta
Passiamo ora alla proposta e alla fattibilità tecnica.
La proposta, così come descritta dai promotori, riguarda il controllo sia dell’età che dell’autorizzazione preventiva da parte di un genitore. Insomma, qualcosa di simile al controllo dell’età per la vendita degli alcolici e tabacchi.
Ora, il controllo della vendita di alcol e tabacchi funziona benino a livello del mondo fisico in quanto esiste sia un sistema di autenticazione abbastanza robusto, ossia quello del documento con foto, sia una evidente delimitazione fisica della giurisdizione del controllo: per acquistare alcolici un utente si deve fisicamente recare in un negozio che è localizzato in un punto specifico del territorio.
Resta il cosiddetto problema del proxy: nulla vieta, e difatti così puntualmente avviene, che un utente che non avrebbe diritto a usufruire del servizio per limite d’età, utilizzi un proxy, ossia un’altra persona autorizzata come intermediario per l’acquisto in sua vece. Tolta questa eventualità, rimane il problema dell’autenticazione in quei contesti in cui non è evidentemente possibile, per limiti tecnici, verificare l’identità tramite documento. È il problema dell’uso del documento in prestito: una macchina automatica non può verificare che chi inserisce il documento sia il suo possessore. In questo caso il documento semplicemente perde la sua funzione di identificare chi lo utilizza.
Il problema della giurisdizione
Inoltre, online c’è il problema della giurisdizione. Sebbene sia possibile tramite georeferenziazione discriminare la parte di territorio da cui proviene la richiesta di accesso al servizio, non è possibile stabilire che tale luogo sia il luogo in cui effettivamente risiede l’utente. Significa che posso imporre che le richieste provenienti dal territorio italiano o europeo passino attraverso il sistema di autorizzazione, ma se l’utente utilizza un sistema di triangolazione, ad esempio una VPN o un server proxy locato al di fuori di tale territorio, ad esso tale autorizzazione non viene applicata.
Per capire la vastità del problema, si deve tener presente che neppure le piattaforme di streaming o di acquisto online sono in grado di impedire perfettamente che un contenuto non disponibile per gli utenti di una certa regione non venga servito attraverso VPN, o addirittura, che un utente non possa acquistare l’abbonamento a prezzo scontatissimo semplicemente acquistando da una zona del mondo in cui i prezzi, al netto del cambio, sono notevolmente più favorevoli. Pensate per esempio ai prezzi degli abbonamenti in lire turche.
I rilievi privacy
Poi c’è il rilievo privacy. Si è detto che da una parte, il sistema richiederà l’autenticazione solo al primo accesso, dall’altra che il procedimento si baserà su un sistema Zero Knowledge Proof, un sistema cioè che impedirà al terzo certificatore di sapere quale social ha richiesto l’autorizzazione, e al social di avere alcuna informazione, se non la conferma della maggiore età e del consenso genitoriale. Il che è in palese contraddizione con l’affermazione relativa al primo accesso, in quanto in questo modo l’autorizzazione del genitore sarebbe irrevocabile e altresì il social non sarebbe in grado di capire quando l’età dell’utente è cambiata.
Qualora anche la verifica fosse fatta solo al primo accesso, resta il problema del proxy: cosa impedirebbe ad un minore che volesse accedere ai social contro la volontà del proprio genitore, di acquistare un account già aperto e autorizzato, o persino “da maggiorenne”, da qualcun altro, magari attraverso canali poco chiari, esponendosi a ricatti o a compravendite non necessariamente monetarie, o all’installazione di applicazioni malware?
L’accesso di utenti stranieri dal territorio italiano
Non bastasse il problema della giurisdizione, ci sono punti ancora da dirimere. Posto che la verifica all’apertura dell’account è debolissima, come gestiremmo l’accesso di utenti stranieri dal territorio italiano? Obblighiamo loro ad aprirsi un account SPID?
Per quanto riguarda le piattaforme, esse dovranno adeguarsi al nuovo sistema, geolocalizzare gli accessi e applicare il nuovo paradigma di accesso. Ma solo i social o anche tutte le migliaia di server, pubblici e privati, che offrono attività sociali come chat e gioco online? E col fediverso, con la frammentazione dei server e delle responsabilità?
Conclusioni
Al di là dei dettagli tecnici, che sono in fase di discussione, dicono i promotori, fa sollevare un sopracciglio che la proposta di legge menzioni genericamente degli “strumenti tecnici”, quando tali strumenti sono palesemente, per limiti oggettivi del problema, inadeguati. Il punto è, secondo me, che in politica è difficile digerire un “non si può fare”, difficile rassegnarsi che un certo problema, piccolo o grande che sia, possa non avere una soluzione tecnica efficace. Ma è dovere degli ingegneri dirlo chiaramente, e questo è uno di questi casi.
PS: personalmente credo che il problema non sia tecnico. Ho iniziato a parlare a mia figlia dei pericoli della rete a 6 anni. A 11 usa i miei device sotto il mio stretto controllo. Sa che ho il dovere di controllarla e che lo faccio per proteggerla. Ho cercato di instaurare un rapporto di fiducia con lei e di educarla. Non so se funzionerà, me lo auguro, ma, da tecnico, è l’unico strumento efficace che ho.
