Podcast RSI – Legge UK “salvabambini”, modello da studiare. Per evitarlo
Questo è il testo della puntata dell’11 agosto 2025 del podcast Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto. Il testo include anche i link alle fonti di questa puntata.
Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, YouTube Music, Spotify e feed RSS. Il mio archivio delle puntate è presso Attivissimo.me/disi.
[CLIP: audio da “Death Stranding”, tratto da questo video]
Ogni tanto, nella storia di Internet, arriva qualcuno che reclama che si deve fare qualcosa per impedire ai minori di vedere i contenuti non adatti alla loro età che si possono trovare facilmente online. Raccoglie firme, promuove petizioni, trova agevolmente qualche politico che sposa la sua causa perché proteggere i bambini piace molto a qualunque elettore ed elettrice, e la richiesta finisce per diventare una proposta di legge.
A questo punto, di solito, vengono convocati i tecnici, quelli che sanno come funziona realmente Internet, scuotono la testa come hanno già fatto altre volte in passato e avvisano che la proposta è nobile ma non è tecnicamente fattibile e provarci avrebbe delle conseguenze catastrofiche sulla sicurezza, sulla privacy di tutti i cittadini, sui minori stessi e sui servizi di sostegno a quei minori, diventerebbe una censura di massa di qualunque idea politicamente sgradita e comunque soprattutto non funzionerebbe, perché qualunque misura tecnica per identificare e distinguere fra minori e adulti quando accedono a un sito sarebbe facilmente aggirabile.
Il politico di solito rimane perplesso ma accetta il parere esperto dei tecnici e lascia perdere. Il 25 luglio scorso, invece, un intero paese europeo ha deciso di ignorare fieramente gli esperti e di provare lo stesso a proteggere i bambini approvando una legge che è l’equivalente informatico di vietare al vento di soffiare. Quel paese è il Regno Unito, e questa è la storia di un disastro annunciato, da ricordare la prossima volta che qualche altro politico, in qualche altro paese, si farà venire la stessa idea.*
* Tipo la Francia, ma in modi meno draconiani di quello britannico [Twobirds; Techinformed]; Danimarca, Grecia, Italia e Spagna stanno testando un’app di verifica dell’età [Lepoint; Liberation].
Perché tutto il costoso sistema di controllo online dell’età tramite riconoscimento facciale messo in piedi nel Regno Unito, usando le più sofisticate tecnologie, è crollato (come ampiamente previsto) nel giro di pochi giorni grazie a un videogioco, Death Stranding, di cui avete sentito uno spezzone in apertura. I suoi giocatori, infatti, hanno scoperto che per farsi identificare come adulti bastava mostrare alla telecamera uno dei personaggi del gioco, Sam Bridges, che può essere comandato per fargli fare tutti i movimenti e le espressioni richieste dai controlli. E ovviamente le vendite di VPN sono schizzate alle stelle. Ma soprattutto ci si è resi conto che questo sistema strangola le piccole comunità online e lascia invece il campo libero ai soliti grandi nomi stramiliardari dei social network.
Benvenuti alla puntata dell’11 agosto 2025 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica; questa è l’unica puntata di questo mese. La prossima verrà pubblicata il primo settembre. Io sono Paolo Attivissimo.
[SIGLA di apertura]
L’Online Safety Act è una legge del Regno Unito concepita nel 2023 per impedire alle persone che hanno meno di diciotto anni di accedere alla pornografia e ai contenuti legati all’autolesionismo, ai disturbi dell’alimentazione e al suicidio. I suoi controlli online sono entrati in vigore il 25 luglio scorso. In pratica, i gestori dei siti che possono trovarsi a ospitare contenuti di questo tipo* sono obbligati ad attivare delle verifiche dell’età dei loro visitatori, gestite da aziende specializzate.
* Notare il “possono”. Questa legge non riguarda solo i siti pornografici. Ci torno dopo, ma è importante chiarirlo subito.
Queste verifiche possono richiedere per esempio di dare le coordinate di una carta di credito, perché si presume che chi ha accesso a una carta di credito sia maggiorenne. In alternativa, l’utente può dare le coordinate di un proprio documento d’identità insieme a una propria foto scattata sul momento e il software controllerà se corrispondono e se si riferiscono a un maggiorenne oppure no.
Uno dei metodi di controllo alternativi più originali proposti da questa nuova legge britannica è la verifica tramite email. L’utente fornisce il proprio indirizzo di mail a un servizio apposito, che interroga i fornitori di servizi bancari o di utenze domestiche del paese, come luce, telefono, gas o Internet, per sapere se quell’indirizzo è stato usato per fare transazioni o gestire utenze, nel qual caso si presume che l’utente sia maggiorenne. Ovviamente questo significa che i gestori di questi controlli devono ficcare il naso nelle attività personali di questi utenti.
Poi c’è il riconoscimento facciale, o meglio, la stima dell’età tramite analisi del volto. L’utente si fa un selfie o mostra il viso in diretta alla telecamera del computer o del telefonino e un’azienda specializzata usa l’intelligenza artificiale per decidere se ha una faccia da maggiorenne o da minorenne.
L’utente può anche dare il permesso a una società specializzata di verificare se il suo numero di telefonino è intestato a un minorenne o un adulto, oppure può affidarle le sue coordinate bancarie e la società di verifica interrogherà la banca per sapere se l’utente ha più o meno di 18 anni.
Sono tutte misure piuttosto invasive, che hanno tre punti deboli molto importanti.
Il primo è che raccolgono i dati personali di milioni di persone e li mettono in mano ad aziende private, creando quindi potenzialmente un archivio centrale che farà gola ai criminali informatici, come è già successo per esempio con AU10TIX, la società israeliana usata da TikTok, Uber, LinkedIn, PayPal e altri grandi nomi [404 Media].
Il secondo punto debole è che l’utente britannico può eludere tutte queste complicazioni semplicemente installando un’app VPN, in modo da simulare di trovarsi al di fuori del Regno Unito e quindi non essere soggetto a tutti questi controlli. E infatti tre giorni dopo l’entrata in vigore di questa legge le app VPN sono diventate le più scaricate in assoluto nell’App Store di Apple nel paese. L’app svizzera Proton VPN, per esempio, ha avuto un picco del 1800% nelle attivazioni provenienti dal Regno Unito.
Il colmo dell’ironia involontaria in questa situazione arriva dalla BBC, che in un articolo sul proprio sito riferisce che le autorità vietano alle piattaforme online di ospitare contenuti che incoraggino l’uso delle VPN per eludere i controlli sull’età e subito dopo, sulla propria piattaforma, offre una pratica infografica che spiega esattamente come usare una VPN per eludere i controlli sull’età.
Come nota il sito Techdirt.com, “quando la tua legge ‘salvabambini’ ha come risultato principale insegnare ai bambini come usare le VPN per aggirarla, forse hai sbagliato leggermente il tuo obiettivo”.
Il terzo punto debole è che la stima dell’età tramite riconoscimento facciale può essere beffata appunto usando il volto di Sam Porter Bridges, il protagonista del popolare videogioco Death Stranding. Questo controllo infatti chiede all’utente di mostrare alcune espressioni facciali, tipo aprire o chiudere la bocca, e in questo gioco è possibile comandare questo personaggio in modo che faccia proprio queste espressioni.
La notizia di questo trucco si è diffusa immediatamente nei social network, nei siti di gaming e in quelli dedicati alle notizie informatiche, spesso accompagnato da un coro di “ve l’avevamo detto”. È una falla imbarazzantissima, che solleva una domanda importante: se le aziende che realizzano questi controlli sono talmente inette che basta un videogioco per beffarle, perché mai dovremmo credere che siano capaci invece di custodire perfettamente i nostri dati sensibili?
Anche se molti utenti eluderanno questi controlli, anche se sarà necessario rinunciare a un po’ di anonimato online, almeno qualche bambino verrà protetto dalle grinfie dei pornografi, giusto? No, perché la strada dell’inferno, come si suol dire, è lastricata di buone intenzioni, anche in informatica.
Infatti una delle conseguenze di questa nuova legge britannica è che le comunità online e le associazioni per la tutela dei minori adesso non sono più facilmente accessibili ai minori che vorrebbero proteggere. Per esempio, una vittima minorenne di abusi sessuali deve ora presentare un documento di un adulto per poter interagire con i servizi che la possono aiutare.
E non è tutto: molti siti e forum gestiti da privati si trovano costretti a chiudere, perché non hanno i fondi necessari per pagare le aziende private deputate a questi controlli obbligatori, che possono costare circa 2700 euro l’anno, e non hanno le risorse umane per mettersi in regola con le nuove disposizioni. Non si tratta solo di siti che parlano di tematiche sensibili riguardanti i minori: queste regole toccano tutti i siti britannici, su qualunque tema.* Persino un’associazione di ciclisti o un forum dedicato al golf o alle birre artigianali o ai criceti.
* Questa legge è stata presentata come “anti-porno”, ma non è affatto così. L’OSA non riguarda solo i siti pornografici. Tocca qualunque sito nel quale gli utenti possano pubblicare contenuti o interagire tra loro. In pratica, qualunque forum e qualunque sito di associazione.
“The Act’s duties apply to search services and services that allow users to post content online or to interact with each other. This includes a range of websites, apps and other services, including social media services, consumer file cloud storage and sharing sites, video-sharing platforms, online forums, dating services, and online instant messaging services.” [Gov.uk]
Inoltre questa legge tocca principalmente i siti britannici, ma si estende anche ai siti esteri in alcuni casi: “The Act applies to services even if the companies providing them are outside the UK should they have links to the UK. This includes if the service has a significant number of UK users, if the UK is a target market, or it is capable of being accessed by UK users and there is a material risk of significant harm to such users. [...] The Act gives Ofcom the powers they need to take appropriate action against all companies in scope, no matter where they are based, where services have relevant links with the UK. This means services with a significant number of UK users or where UK users are a target market, as well as other services which have in-scope content that presents a risk of significant harm to people in the UK.” [Gov.uk]
Persino Wikipedia. L’enciclopedia online, infatti, rischia di essere equiparata ai social network come Facebook o TikTok e ai grandi siti di pornografia che erano nella mente del legislatore quando ha concepito l’Online Safety Act. Gli avvocati della Wikimedia Foundation sono andati in tribunale per contestare la nuova legge, che obbligherebbe Wikipedia a mettere un tetto al numero di britannici che la consultano, perché se dovessero superare i sette milioni l’enciclopedia verrebbe classificata come un cosiddetto “servizio di categoria 1” e sarebbe soggetta quindi alle restrizioni massime previste da questa legge [Wikimedia Foundation]. Dovrebbe per esempio verificare le identità dei circa 260.000 utenti che contribuiscono volontariamente alla sua manutenzione e sottostare a mille altri obblighi che la renderebbero in sostanza ingestibile [The Telegraph; copia su Archive.is].
Insomma, quella che è stata presentata come una legge contro la pornografia sta diventando un bavaglio che tocca moltissimi settori.* Persino Spotify adesso deve chiedere agli utenti di farsi controllare l’età per poter accedere a certi suoi video musicali nel Regno Unito. Numerosi utenti segnalano che le notizie di guerra, soprattutto quelle riguardanti la Palestina, sono bloccate sui social network e per leggerle bisogna presentare un documento d’identità o farsi verificare l’età. Sono soggetti a controlli persino i forum di Reddit dedicati al cinema o ai labubu [Dazed].
* L’ambito intenzionale di questa legge è vastissimo: altro che “anti-porno”. I temi specificamente protetti non sono solo gli abusi sessuali su minori, la violenza sessuale estrema, gli abusi tramite immagini intime, lo sfruttamente sessuale e la pornografia estrema, ma le frodi, i reati contro l’ordine pubblico con aggravanti razziali o religiose, l’istigazione alla violenza, l’immigrazione illegale e il traffico di esseri umani, la promozione o la facilitazione del suicidio, la vendita di sostanze o armi illegali e il terrorismo. [Gov.uk]
I social network e i grandi siti per adulti, invece, prosperano indisturbati. A differenza delle piccole comunità online di volontari, hanno le risorse economiche e tecniche necessarie per implementare questi controlli di fatto inutili. Se si cerca di regolamentare Internet pensando che Internet sia solo Facebook e Google e poco altro, alla fine sopravvivono solo questi colossi, che sono gli unici che ricevono benefici da una legge come questa.
Chi prima gestiva un forum amatoriale indipendente, infatti, si troverà costretto a trasferire la propria comunità di utenti su un social network come Instagram o Discord o Facebook, dove i post dei membri saranno inframmezzati da inserzioni pubblicitarie che faranno diventare ancora più ricchi e potenti questi social e i loro proprietari, e dove quello che scrivono sarà soggetto agli umori e alle censure del momento [The New Statesman], come sa bene chiunque abbia perso di colpo il proprio profilo Instagram perché a quanto pare avrebbe violato qualche “standard della comunità” e non ha modo di reclamare e nemmeno di sapere quale di questi standard non avrebbe rispettato.
I cittadini britannici hanno criticato gli effetti di questa legge, depositando centinaia di migliaia di firme in pochi giorni presso il sito governativo apposito per le petizioni. Peter Kyle, segretario di stato per le tecnologie del governo del paese, ha risposto scrivendo su X/Twitter che chi vuole sopprimere questa legge sta dalla parte dei predatori di minori [X], equiparando insomma i critici ai criminali.
Visto che la tentazione di adottare leggi come quella britannica farà inevitabilmente capolino ancora, riassumo per chiarezza quali sono i veri effetti di qualunque legge che imponga la verifica delle identità o dell’età per accedere a contenuti online:
- Per gli adulti diventa più difficile accedere alle informazioni e ai servizi perfettamente legali e utili.
- I cittadini vengono obbligati a creare un tracciamento dettagliato delle loro attività online legato alle proprie identità e vengono spinti verso piattaforme meno sicure.
- Le piccole comunità online che non possono permettersi gli oneri di conformità alla legge vengono distrutte.
- E a un’intera generazione viene insegnato che eludere la sorveglianza governativa è una competenza di base della vita [TechDirt].
I danni che queste leggi affermano di voler eliminare, invece, proseguono indisturbati. I predatori non fanno altro che trasferirsi su altre piattaforme, usano la messaggistica con crittografia oppure ricorrono alle VPN. Si crea, insomma, l’illusione della sicurezza, ma in realtà si aumenta l’insicurezza di tutti. E i social network, i cui algoritmi creano spirali cognitive tossiche e causano tutti questi danni, vengono premiati invece di essere puniti.
Quello che è successo nel Regno Unito dovrebbe essere un monito per qualunque democrazia alle prese con la regolamentazione di Internet. Se i politici preferiscono atteggiarsi a uomini forti e decisionisti, se privilegiano l’apparenza di aver fatto qualcosa, qualunque cosa, alla sostanza di aver capito il problema e di aver agito ascoltando gli esperti, adottando soluzioni sociali a lungo termine e varando norme come l’interoperabilità che tolgano ai social network il loro strapotere di ghetti inghirlandati, il risultato è che nessun bambino viene salvato.
E l’unica cosa buona che viene fuori da questa legge britannica è che adesso quei pericoli per la democrazia che venivano ipotizzati dagli esperti non sono più teoria, ma sono pratica concreta, tangibile e reale, da studiare per capire che cosa non fare.
Fonti
Reddit and Discord’s UK age verification can be defeated by Death Stranding’s photo mode, The Verge (2025) [copia su Archive.is]
The UK’s new age-gating rules are easy to bypass, The Verge (2025) [copia su Archive.is]
Istruzioni di bypass di Kevin Beaumont su Mastodon (2025)
UK VPN demand soars after debut of Online Safety Act, The Register (2025)
VPNs top download charts as age verification law kicks in, BBC (2025)
Didn’t Take Long To Reveal The UK’s Online Safety Act Is Exactly The Privacy-Crushing Failure Everyone Warned About, Techdirt (2025)
The UK’s new online safety laws are already a disaster, Dazed (2025)
Death Of A Forum: How The UK’s Online Safety Act Is Killing Communities, Techdirt (2025)
