La legge sulla sicurezza online dei minori mette a rischio l’architettura di internet e la privacy degli utenti, con Apple in prima linea contro una norma che trasformerebbe i dispositivi in strumenti di sorveglianza biometrica.
Vedere Tim Cook aggirarsi per i corridoi di Capitol Hill non è un evento che accade ogni giorno.
Quando il CEO di Apple decide di spendere personalmente il proprio capitale politico in incontri a porte chiuse con i legislatori di Washington, significa che c’è qualcosa di più grosso di una semplice multa o di una disputa sui brevetti in ballo.
In gioco, questa volta, c’è l’architettura stessa di internet per come l’abbiamo conosciuta negli ultimi quindici anni.
Al centro della contesa c’è l’App Store Accountability Act, un pezzo del più ampio puzzle legislativo americano sulla sicurezza online dei minori. Sulla carta, l’obiettivo è nobile e inattaccabile: proteggere i bambini dai predatori online, dai contenuti dannosi e dalle dipendenze digitali.
Ma come spesso accade quando la politica cerca di normare la tecnologia senza comprenderne appieno i meccanismi sottostanti, il diavolo si nasconde nei dettagli implementativi. E i dettagli, in questo caso, richiedono una modifica strutturale al modo in cui i sistemi operativi gestiscono l’identità degli utenti.
Non si tratta solo di “pensare ai bambini”.
Si tratta di capire se siamo disposti a trasformare i dispositivi che portiamo in tasca in strumenti di sorveglianza biometrica costante per soddisfare un requisito di conformità. La posizione di Cupertino è chiara: l’approccio proposto dal Congresso non solo è tecnicamente inelegante, ma rischia di demolire decenni di progressi nella crittografia consumer.
L’architettura della sorveglianza involontaria
Per comprendere perché gli ingegneri di Apple Park sono in allarme rosso, bisogna guardare oltre il linguaggio burocratico della legge e analizzare cosa comporta tecnicamente l’obbligo di “verifica dell’età” (age verification) imposto agli store di applicazioni.
La proposta non chiede semplicemente di spuntare una casella “Ho più di 18 anni”. Richiede una prova verificabile.
In termini ingegneristici, questo sposta il problema dall’autocertificazione all’autenticazione forte dell’identità. Oggi, Apple (così come Google) sa molto di voi, ma il suo modello di business e la sua architettura software, specialmente negli ultimi anni, si sono orientati verso la minimizzazione dei dati o l’elaborazione on-device. I dati biometrici del FaceID, ad esempio, rimangono confinati nel Secure Enclave del processore e non vengono mai inviati ai server di Apple.
La nuova legge, tuttavia, spinge verso una direzione opposta: la centralizzazione. Per verificare l’età di ogni singolo utente con certezza legale, un intermediario deve raccogliere documenti di identità, analizzarli, incrociarli con database esistenti e conservare i log di questa verifica.
Tim Cook ha esposto personalmente ai legislatori le preoccupazioni dell’azienda, sostenendo che l’attuale stesura della legge indebolirebbe le protezioni della privacy e la sicurezza di tutti gli utenti, inclusi i bambini che si intende proteggere.
Il problema tecnico qui è la creazione di quello che in gergo chiamiamo “honeypot”: un database centralizzato di identità reali collegate alle abitudini digitali. È il sogno di ogni hacker statale o criminale informatico. Se Apple o un fornitore di terze parti fossero costretti a conservare questi dati per dimostrare la conformità alla legge, avremmo creato un singolo punto di fallimento catastrofico.
Le disposizioni che richiedono la verifica dell’età e un ampio monitoraggio dell’attività online dei minori rischiano di creare nuovi database di informazioni personali altamente sensibili — database che sarebbero bersagli attraenti per gli hacker e potrebbero essere utilizzati in modo improprio da governi o attori privati.
— Tim Cook, CEO di Apple
È una critica che risuona fortemente nella comunità della sicurezza informatica. Costruire sistemi sicuri significa, prima di tutto, non raccogliere dati che non sono strettamente necessari. La legge, paradossalmente, impone la raccolta di dati tossici (documenti, identità reali) per prevenire l’esposizione a contenuti tossici.
È una soluzione “brute force” a un problema sfumato, che ignora completamente le moderne tecniche di Zero Knowledge Proof (prove a conoscenza zero), che permetterebbero di verificare un attributo (l’essere maggiorenne) senza rivelare l’identità sottostante. Ma spiegare la crittografia avanzata a un sottocomitato del Senato è, storicamente, una battaglia persa.
Il paradosso del “gatekeeper”
C’è un’ironia di fondo in questa vicenda che non sfugge a chi segue le dinamiche della Silicon Valley da tempo. Solo pochi anni fa, nel 2020, Apple veniva messa sotto accusa proprio dalle stesse istituzioni per essere un “gatekeeper” troppo potente, un guardiano che esercitava troppo controllo su cosa poteva o non poteva essere installato su un iPhone.
Oggi, la politica chiede a Apple di esercitare ancora più controllo, trasformandosi da gestore di un negozio a poliziotto dell’identità.
Questo cortocircuito logico rivela una mancanza di visione sistemica. Se si delega ai gestori degli App Store il compito di verificare l’età, si crea un collo di bottiglia infrastrutturale. Ogni download, ogni aggiornamento, ogni transazione in-app diventa un evento che richiede una “validazione di cittadinanza”.
Inoltre, il passato di Apple non è privo di macchie in questo ambito. Tra il 2018 e il 2019, l’azienda ha rimosso o limitato molte app di controllo parentale di terze parti poco dopo aver lanciato la propria funzione “Tempo di utilizzo” (Screen Time). All’epoca, la mossa fu vista come anticoncorrenziale.
Oggi, quella stessa centralizzazione degli strumenti di controllo parentale viene usata da Apple come scudo: “Abbiamo già gli strumenti nel sistema operativo, lasciate che siano i genitori a usarli, non costringeteci a schedare gli utenti”.
Tuttavia, la proposta di legge attuale (App Store Accountability Act) non si fida più dell’autoregolamentazione. Vuole imporre un livello di linking (collegamento) tra l’account del minore e quello del genitore che sia verificabile esternamente. Tecnicamente, questo richiede la creazione di un grafo sociale persistente e tracciabile.
Non si tratta più di un genitore che imposta un PIN sul telefono del figlio in salotto; si tratta di un genitore che deve accreditarsi digitalmente presso Apple (o Google) per “sbloccare” i diritti digitali del figlio.
Se implementato male — e la fretta legislativa porta quasi sempre a cattive implementazioni — questo sistema potrebbe costringere Apple a scansionare i contenuti sui dispositivi per determinare l’età o il contesto d’uso, una linea rossa che l’azienda aveva già rischiato di valicare con il controverso (e poi ritirato) sistema di scansione CSAM.
Siamo particolarmente preoccupati per qualsiasi requisito che indebolisca la crittografia end-to-end o imponga la scansione lato client, perché tali misure renderebbero più difficile per noi proteggere gli utenti da criminali e attori statali ostili.
— Tim Cook, CEO di Apple
Un database che non dovrebbe esistere
La resistenza di Cook non è solo ideologica, è pragmatica. Se il mandato federale passasse nella sua forma attuale, costringerebbe le big tech a sviluppare infrastrutture di sorveglianza che, una volta attive, sarebbero impossibili da smantellare e facilissime da riutilizzare per altri scopi (il cosiddetto function creep).
Pensiamo alle implicazioni per gli sviluppatori indipendenti. Se l’onere della verifica ricade sullo store, l’ecosistema ne beneficia in termini di semplicità (non devo implementare io la verifica nella mia piccola app). Ma il prezzo è che Apple diventa l’unico detentore della verità sull’identità dell’utente. Questo consolida ulteriormente il suo monopolio, l’esatto opposto di ciò che le leggi antitrust vorrebbero ottenere.
Inoltre, c’è il problema della fallibilità tecnica. I sistemi di stima dell’età basati sull’AI (facial age estimation) hanno margini di errore, bias razziali e sono aggirabili. I sistemi basati su ID governativi sono costosi e intrusivi. Non esiste, ad oggi, uno standard tecnico aperto e sicuro per la verifica dell’età che non comprometta l’anonimato o la pseudonimia che sono essenziali per la sicurezza online di molte categorie vulnerabili.
Le critiche non arrivano solo dai giganti del tech. Organizzazioni come l’EPIC (Electronic Privacy Information Center) hanno sottolineato come qualsiasi approccio che condizioni l’accesso ai servizi online a schemi invasivi di verifica dell’età danneggerà sproporzionatamente la privacy. La preoccupazione è che per proteggere i minori si finisca per trattare ogni adulto come un sospetto, costringendolo a esibire i documenti per entrare in una “libreria” digitale.
Siamo di fronte a un bivio fondamentale.
Da una parte c’è la soluzione tecnicamente complessa ma etica: educazione digitale, controlli parentali on-device migliorati, standard aperti per la segnalazione di contenuti e un approccio decentralizzato. Dall’altra c’è la soluzione burocraticamente semplice ma tecnicamente disastrosa: centralizzare il controllo, schedare gli utenti e sperare che il database non venga mai bucato.
Il fatto che Apple, un’azienda che ha costruito un impero chiuso e proprietario, si trovi ora a difendere i principi di una rete meno sorvegliata è paradossale, ma indicativo della gravità della situazione. Non lo fanno per bontà d’animo, ma perché il loro modello di business (vendere hardware premium che promette privacy) è incompatibile con il diventare l’ufficio anagrafe di internet.
La domanda che dovremmo porci non è se vogliamo proteggere i bambini online — la risposta è ovviamente sì — ma se siamo disposti ad accettare che l’unico modo per farlo sia costruire l’infrastruttura perfetta per uno stato di polizia digitale, impacchettarla in un’interfaccia utente elegante e sperare che nessuno, mai, decida di usarla contro di noi.
