I controlli di verifica dell’età sui siti Web stanno diventando un obiettivo primario per gli hacker, creando un rischio significativo per la privacy e la sicurezza degli utenti. I metodi utilizzati per verificare l’età – compresa l’analisi AI delle foto, le richieste di documenti d’identità con foto (patenti di guida, passaporti) e i controlli delle carte di credito – generano una ricchezza di dati personali sempre più vulnerabili alle violazioni. I recenti incidenti sottolineano la gravità del problema, sollevando interrogativi sull’efficacia delle normative e dell’applicazione attuali.
L’ondata crescente di violazioni
Nell’ottobre 2025, Discord, una popolare piattaforma di social media, ha subito un attacco informatico che ha potenzialmente esposto i documenti d’identità con foto di 70.000 utenti. La violazione è avvenuta attraverso un fornitore di servizi di terze parti, evidenziando una debolezza sistemica nel modo in cui viene implementata la verifica dell’età. Allo stesso modo, nel luglio 2025, anche l’app Tea, che richiede agli utenti di inviare un documento d’identità con foto e selfie, è stata violata, rivelando dati sensibili degli utenti. Questi incidenti dimostrano che anche le piattaforme conformi alla nuova legislazione, come l’Online Safety Act del Regno Unito, non sono immuni da violazioni.
Conformità normativa e sicurezza nel mondo reale
La spinta per una verifica dell’età più rigorosa è guidata da leggi come l’Online Safety Act del Regno Unito, la legge sullo spazio digitale francese e il Digital Services Act dell’UE. Queste leggi ritengono insufficienti i controlli dell’età autodichiarati e impongono metodi più robusti, come la corrispondenza dei documenti d’identità con foto o la verifica della carta di credito. Tuttavia, la realtà è che molte piattaforme si affidano a fornitori terzi per gestire questi dati, creando un anello debole nella catena della sicurezza. L’affermazione di Discord secondo cui non archivia in modo permanente i documenti di identità è indebolita dal fatto che il suo fornitore di terze parti è stato violato, esponendo comunque i dati degli utenti.
Le conseguenze della fuga di dati
Il danno potenziale derivante dai selfie e dai documenti di identità con foto trapelati è sostanziale. Gli utenti si trovano ad affrontare furti di identità, frodi e crimini informatici sempre più sofisticati resi possibili dalla tecnologia deepfake e dall’intelligenza artificiale generativa. La disponibilità di tali dati personali amplifica il rischio di attacchi mirati e manipolazioni dannose. Inoltre, il fatto che i fornitori di terze parti siano spesso ubicati al di fuori di rigide giurisdizioni normative (come l’UE o il Regno Unito) rende quasi impossibile l’applicazione della cancellazione dei dati e degli standard di sicurezza.
La necessità di una supervisione più rigorosa
Nonostante le indicazioni di autorità di regolamentazione come l’Ufficio del Commissario per le informazioni del Regno Unito e Ofcom, le violazioni di Tea e Discord dimostrano che le misure attuali sono inefficaci nel prevenire la conservazione dei dati o imporne la cancellazione. Il Dipartimento di Scienza, Innovazione e Tecnologia del Regno Unito ha tentato di affrontare queste preoccupazioni, ribadendo le regole del GDPR che richiedono la minimizzazione dei dati. Tuttavia, la realtà è che le piattaforme sono spesso incentivate a conservare i dati per scopi commerciali, anche se ciò viola le norme sulla privacy.
Il percorso da seguire
Per salvaguardare la privacy degli utenti, sono essenziali una supervisione e un’applicazione più rigorosa. Le autorità di regolamentazione devono andare oltre la semplice guida e imporre requisiti vincolanti alle piattaforme e ai fornitori di terze parti. Ciò include politiche obbligatorie di cancellazione dei dati, controlli di sicurezza regolari e sanzioni severe in caso di non conformità. L’approccio attuale, che si basa sull’autoregolamentazione volontaria, si è rivelato inadeguato. Senza veri poteri di controllo, la verifica dell’età online continuerà a essere una miniera d’oro per gli hacker di dati
