L’Unione Europea sta lavorando a un’applicazione open source per la verifica dell’età rispettosa della privacy, pensata per armonizzare l’accesso ai servizi digitali secondo i dettami del Digital Services Act e delle normative sulla protezione dei minori. Tuttavia, la scelta di integrare la Play Integrity API di Google rischia di compromettere i principi di neutralità tecnologica e sovranità digitale che dovrebbero guidare l’intero progetto.
Un’app open source per proteggere i minori
L’app in questione, denominata Age Verification (AV), punta a fornire un sistema di verifica dell’età senza la raccolta di dati personali. L’obiettivo è semplice: un’autorità verifica l’età dell’utente e rilascia una credenziale digitale verificabile, utilizzabile per accedere a servizi online che richiedono limiti d’età ,come siti per adulti, piattaforme social o negozi digitali, senza mai rivelare l’identità della persona.
Il progetto è disponibile pubblicamente su GitHub e sarà personalizzabile dai singoli Stati membri, che potranno adattarlo alle proprie esigenze legislative.
Il nodo critico: l’integrazione con Play Integrity
Nonostante la natura open source del progetto, un elemento chiave desta preoccupazione tra i sostenitori della libertà digitale: l’app implementa un meccanismo di “remote attestation” tramite la Play Integrity API di Google. Questo sistema consente ai server di verifica di accertarsi che l’app sia installata su un dispositivo considerato “genuino”, ovvero:
- Che utilizzi una versione certificata di Android con licenza Google;
- Che l’app sia stata scaricata dal Play Store (quindi richieda un account Google);
- Che il sistema operativo non sia stato alterato con firmware personalizzati.
In pratica, tutto ciò esclude a priori i dispositivi che utilizzano ROM alternative, anche se più sicure, e non certificati da Google.
L’esclusione dei sistemi alternativi
L’uso della Play Integrity API ha conseguenze dirette sulla compatibilità dell’app. Vengono esclusi, ad esempio:
- GrapheneOS, un sistema orientato alla sicurezza e alla privacy;
- CalyxOS, una distribuzione Android che punta all’equilibrio tra sicurezza e usabilità;
- Tutti i dispositivi con firmware personalizzati o privi dei Google Play Services — compresi quelli utilizzati nel settore pubblico o militare.
Nonostante l’app sia tecnicamente ricompilabile e installabile anche fuori dal Play Store, i server ufficiali di verifica rifiuteranno qualunque attestazione non proveniente dal canale Google ufficiale. Questo vincolo rende la libertà open source puramente teorica, poiché l’app funziona solo se scaricata dal Play Store.
Neutralità tecnologica in discussione
Il problema è stato sollevato anche nella sezione Issues del repository GitHub ufficiale del progetto, dove alcuni sviluppatori hanno fatto notare come l’utilizzo della Play Integrity API violi i principi di interoperabilità e neutralità tecnologica. Finora, tuttavia, nessun membro del team di sviluppo ha fornito risposte ufficiali né sono stati registrati cambiamenti nella roadmap.
A rendere ancora più controversa la situazione è la centralizzazione del controllo: un’app pensata per tutta l’Unione Europea, ma che richiede strumenti proprietari di un’azienda statunitense come Google, solleva interrogativi sulla reale volontà dell’UE di perseguire l’autonomia digitale.
Chi utilizza ROM alternative per ragioni di privacy, sicurezza o indipendenza — così come eventuali enti pubblici che volessero usare versioni approvate a livello nazionale — verrebbero automaticamente esclusi dal sistema di verifica.
Quali alternative sono possibili?
Per affrontare questa criticità, sarebbe necessaria una presa di posizione ufficiale da parte della Commissione Europea. In particolare, andrebbe chiarito se l’integrazione con Play Integrity sia obbligatoria o se saranno previste modalità alternative di attestazione.
Alcune soluzioni tecniche possibili includono:
- L’uso dell’Android Keystore Attestation, che consente una verifica crittografica dell’integrità del dispositivo senza dipendere da Google;
- Il sideloading certificato, con l’app distribuita tramite canali alternativi ma firmata digitalmente e riconosciuta dai server ufficiali;
- L’autorizzazione di versioni statali certificate, che permettano l’uso dell’app anche su store alternativi o sistemi operativi personalizzati.
Conclusioni
Il progetto europeo sull’app di verifica dell’età rappresenta un importante passo avanti per la privacy digitale e la protezione dei minori online. Tuttavia, l’attuale dipendenza da tecnologie proprietarie di Google ne compromette la coerenza con gli obiettivi dichiarati di sovranità tecnologica europea.
Se l’Unione Europea vuole davvero creare strumenti digitali equi, interoperabili e rispettosi della privacy, è necessario un cambiamento di rotta, che consenta l’uso anche su dispositivi e sistemi non legati all’ecosistema Google.
A proposito di tecnologia, il Wi-Fi 8 è già in sviluppo!
Vuoi restare sempre aggiornato sul mondo della tecnologia? Seguici anche fuori dal blog: ricevi le notizie in tempo reale sul nostro Gruppo Telegram o sul canale WhatsApp, oppure entra nella nostra community su Reddit per discutere, fare domande e condividere esperienze con altri appassionati. #ètempoditecnologia
