Vulnerabilità dei sistemi di Age verification

Vulnerabilità dei sistemi di Age verification
Negli ultimi anni, l'aumento dell'accesso dei giovani ai contenuti online ha sollevato preoccupazioni sulla facilità con cui possono eludere i sistemi di verifica dell'età. Questi meccanismi, progettati per proteggere i minori dall'accesso a contenuti inappropriati, spesso presentano vulnerabilità che possono essere sfruttate dai giovani per aggirarli.

Sempre con maggiore facilità i minori entrano a contatto con i servizi messi a disposizione dalle piattaforme internet. I rischi connessi ad un accesso facilitato alla rete per i più piccoli sono molteplici e, per tale ragione, le istituzioni si sono mobilitate per imporre ai siti web e alle piattaforme l’introduzione di sistemi di Age verification.

In Gran Bretagna, l’Information Commissioner’s Office (ICO), cosciente che la rete non sia pensata e progettata per i minori, ha introdotto tra le priorità del biennio 2024-2025 la protezione dei dati personali dei bambini online. La strategia, volta a valorizzare il Children’s code adottato nel 2021, individua quattro principali obiettivi: i) impostazioni predefinite per la privacy e geolocalizzazione disabilitata automaticamente; ii) la profilazione dei bambini sarà generalmente disabilitata per impostazione predefinita; iii) evitare che l’algoritmo esponga i minori a contenuti dannosi, che incoraggino la permanenza sulla piattaforma o che li spingano a fornire ulteriori informazioni personali; iv) disciplinare come i servizi potranno ottenere il consenso dei genitori per raccogliere informazioni dei minori di anni tredici.

Occorre altresì ricordare come il Children’s code è il primo nel suo genere ma riflette, tuttavia, tendenze proprie anche della dottrina statunitense e degli obiettivi del legislatore europeo. Infatti, anche se ad oggi l’Unione europea non si è ancora dotata di una normativa ad hoc rivolta all’accesso e al trattamento dei dati degli utenti più giovani, l’importanza attribuita a questo tema viene sottolineata già dal Regolamento UE 2016/679 (GDPR). Quest’ultimo limita, ai sensi dell’art. 8, il trattamento dei dati ai soggetti maggiori di 16 anni ma, tuttavia, tale disposizione può essere oggetto di deroga delle normative nazionali. Infatti, gli Stati membri possono abbassare la soglia d’età in cui è ammesso il trattamento dei dati dei minori fino a massimo 13 anni. In Italia, per esempio, il Codice Privacy fissa come soglia del consenso digitale del minore i 14 anni. A livello comunitario, ulteriori prescrizioni sono state introdotte dal Digital Service Act, entrato in vigore lo scorso 17 febbraio, che mira a creare uno spazio digitale più sicuro in cui è rivolta speciale attenzione ai minori. In particolare, il nuovo regolamento impone alle piattaforme online di progettare interfacce che mirino a tutelare il più possibile i giovani utenti dai contenuti nocivi.

L’iniziativa promossa dall’ICO non rappresenta, tuttavia, un unicum nel panorama europeo. Infatti, si rileva che con il c.d. “decreto Caivano” è stato previsto che l’AGCOM stabilisca, con proprio provvedimento, sentito il Garante per la protezione dei dati personali, le modalità tecniche e di processo che i gestori di siti web e i fornitori delle piattaforme di condivisione video, che diffondono in Italia immagini e video a carattere pornografico, sono tenuti ad adottare per l'accertamento della maggiore età degli utenti.

A tal proposito, AGCOM, con apposita delibera pubblicata lo scorso 25.3.2024, ha avviato una consultazione pubblica volta a raccogliere osservazioni e contributi rispetto ad un ampio documento – Allegato B della delibera – riepilogativo delle analisi e delle valutazioni assunte dall’Autorità in merito ai requisiti dei sistemi di verifica dell’età degli utenti.

Mediante tale documento, dopo aver riepilogato le iniziative in materia già assunte al livello nazionale ed internazionale, l’Autorità evidenzia come ritenga ragionevole seguire un approccio che sia tecnologicamente neutrale, che lasci ai soggetti tenuti alla realizzazione dei processi di age assurance una ragionevole libertà di valutazione e scelta, stabilendo tuttavia i principi e requisiti che devono essere soddisfatti dai sistemi messi in campo.

In particolare, l’Autorità ritiene che un sistema funzionale per l’“assicurazione dell’età” debba rispettare i requisiti generali di seguito descritti:

1) Proporzionalità: il soggetto tenuto, ai sensi della legge, a realizzare il sistema di controllo dell’età per l’accesso ai contenuti, mediante age assurance, deve utilizzare uno strumento per quanto possibile non invasivo per raggiungere l'obiettivo prefissato;

2) Protezione dei dati personali: il sistema deve essere conforme alle norme e principi di protezione dei dati stabiliti dal GDPR (in particolare, rispettoso del principio di minimizzazione dei dati (art. 5 del GDPR) e dei principi di data protection by design e by default (art. 25 del GDPR);

3) Intervento di soggetti terzi indipendenti: l’Autorità ritiene opportuno che i siti e le piattaforme soggette all’obbligo di verifica dell’età non effettuino personalmente operazioni di verifica dell'età, ma si affidino piuttosto a soluzioni di terzi verificate in modo indipendente, garantendo la compartimentazione degli attori ossia tra utente, fornitore del contenuto e soggetto che certifica la maggiore età;

4) Sicurezza: il sistema di age assurance deve tener conto di possibili attacchi informatici rispetto ai quali deve prevedere misure di sicurezza informatica sufficienti a mitigare i rischi e a evitare i tentativi di elusione;

5) Facilità d'uso e non ostacolo all’accesso ai contenuti in Internet: i sistemi di assicurazione dell’età dovrebbero essere facili da usare e basati sulle capacità e caratteristiche dei minori. La verifica dell'età non dovrebbe limitare l’accesso a Internet ma piuttosto favorirlo, non determinando inutili ostacoli alla fruizione dei servizi e dei contenuti;

6) Inclusività e non discriminazione: Le differenze tra i bambini in termini di lingua, abilità, status socioeconomico, ecc. dovrebbero essere prese in considerazione durante il processo di assicurazione dell'età;

7) Gestione dei reclami: il fornitore dei servizi di age assurance deve prevedere un canale per acquisire e gestire, tempestivamente, i reclami in caso di errate decisioni sull’età.

L’Autorità ritiene opportuno valutare, nell’ambito della consultazione pubblica di cui si dispone l’avvio, se il sistema di verifica dell’età delineato nel documento posto in consultazione mediante l’indicazione di requisiti generali e di indicatori di performance sia efficace, idoneo e funzionale a trovare applicazione, anche con riferimento ad ulteriori tipologie di contenuti che potrebbero nuocere allo sviluppo fisico, mentale o morale dei minori.

Avv. Pietro Maria Mascolo e Dott.ssa Alice Dal Bello

Newsletter

Iscriviti per ricevere i nostri aggiornamenti

* campi obbligatori