Le leggi sulla verifica dell’età stanno cambiando bersaglio. Non puntano più solo a social network, siti per adulti o app store: ora vogliono arrivare al livello più basso del dispositivo, cioè il sistema operativo. La legge californiana AB 1043, nota come Digital Age Assurance Act, e la proposta federale statunitense H.R. 8250, chiamata Parents Decide Act, seguono esattamente questa logica. L’obiettivo dichiarato è proteggere i minori, ma il problema è che i testi giuridici non riguardano solo Apple, Google e Microsoft. Coinvolgono anche Linux, BSD, distribuzioni mantenute da volontari e sistemi pensati per funzionare senza account online. E qui la faccenda si complica parecchio.
Fino a oggi, le normative sulla verifica dell’età hanno colpito soprattutto piattaforme di contenuti e store digitali. AB 1043 e Parents Decide Act spostano invece la responsabilità verso chi sviluppa o controlla il sistema operativo. Per Windows, macOS, Android e iOS è una complicazione enorme ma gestibile. Per Fedora, Debian, Arch Linux, Linux Mint, Gentoo, NixOS o GrapheneOS il discorso cambia radicalmente. Parliamo di progetti che spesso non hanno un reparto legale, non vendono licenze, non raccolgono dati personali e non gestiscono account centralizzati.
Viene da chiedersi perché l’Europa dovrebbe guardare agli Stati Uniti. La ragione è semplice: la protezione dei minori online è diventata una priorità globale e le soluzioni adottate sulle due sponde dell’Atlantico tendono a influenzarsi. La Germania, ad esempio, ha già anticipato un modello in parte analogo con la riforma del trattato JMStV, che introduce l’obbligo di integrare sistemi di protezione dei minori direttamente nei dispositivi e nei software. L’Unione Europea, dal canto suo, ha sviluppato una soluzione basata su un’app di verifica dell’età integrata nel futuro portafoglio di identità digitale europeo, con tecniche crittografiche come le prove “a conoscenza zero”. In teoria un compromesso più rispettoso della privacy, anche se sono già emerse criticità: il sistema può essere aggirato facilmente, ad esempio sfruttando lo smartphone di un maggiorenne nello stesso ambiente familiare.
Cosa impongono davvero AB 1043 e Parents Decide Act
AB 1043 è stata firmata dal governatore Gavin Newsom il 13 ottobre 2025 ed entrerà in vigore il 1° gennaio 2027. Il sistema operativo deve raccogliere un’informazione sull’età durante la configurazione dell’account e metterla a disposizione delle applicazioni, classificando l’utente in fasce: sotto i 13 anni, da 13 a meno di 16, da 16 a meno di 18, e 18 anni o più. Il punto tecnico più delicato è l’interfaccia verso le app: la legge chiede che le applicazioni possano ottenere un segnale d’età in tempo reale. Il sistema operativo si trasforma così in un fornitore di informazioni anagrafiche.
Il Parents Decide Act è più ampio e più aggressivo. Richiede che ogni utente fornisca la data di nascita per configurare un account sul sistema operativo e per usare il sistema operativo stesso. Se l’utente ha meno di 18 anni, un genitore o tutore legale deve verificare la data indicata. La clausola centrale parla di “any information as is necessary”, una formula molto larga che potrebbe aprire la strada a dati più invasivi. Le violazioni sarebbero trattate dalla Federal Trade Commission come pratica sleale o ingannevole.
La parola chiave è “operating system provider”. Nel mondo commerciale sembra un’espressione semplice. Ma Linux non funziona così. Il kernel è mantenuto da una comunità globale; le distribuzioni assemblano kernel, pacchetti, installer, desktop environment e repository. I legislatori pensano ai grandi vendor, ma la definizione finisce per includere centinaia di progetti. MidnightBSD, ad esempio, ha indicato che potrebbe escludere gli utenti californiani piuttosto che implementare una conformità costosa e incerta.
Account locali, privacy e il rischio concreto per le distribuzioni
Linux può funzionare interamente con account locali. Chi installa Debian crea un nome utente, imposta una password e usa il sistema senza comunicare nulla a un server centrale. Le nuove leggi fanno a cazzotti proprio con questa caratteristica: se una distribuzione deve raccogliere la data di nascita e renderla disponibile alle app, deve creare un archivio persistente. Se deve verificare un minore tramite un genitore, deve introdurre una relazione tra identità. Se deve consentire agli sviluppatori di app di accedere a informazioni anagrafiche, deve definire permessi, API, logging, limiti d’accesso e protezioni contro abusi. Una distribuzione nata per funzionare offline dovrebbe diventare un sistema con funzioni di identità digitale.
Nel dibattito sulle possibili implementazioni è emersa la proposta di usare D-Bus per esporre un’interfaccia chiamata org.freedesktop.AgeVerification1, avanzata dallo sviluppatore Ubuntu Aaron Rainbolt nel marzo 2026. Ma Canonical ha chiarito che quella discussione non rappresentava un annuncio ufficiale, e senza una regia unica ogni distribuzione potrebbe prendere strade diverse. Linux distribuisce software tramite repository, pacchetti DEB e RPM, Flatpak, Snap, AppImage, compilazione sorgente, container e archivi tarball. Non esiste un unico cancello, e questo frammenta l’intero modello normativo.
Carl Richell, CEO di System76 e sviluppatore di Pop!OS, ha criticato l’efficacia dei nuovi obblighi con un argomento semplice: chi installa il sistema ed è chiamato a dichiarare la propria età può comunque mentire. La norma impone raccolta dati e infrastruttura, ma non risolve il comportamento più banale.
AB 1043 prevede sanzioni fino a circa 2.300 euro per minore interessato in caso di violazione negligente e circa 6.900 euro per violazione intenzionale. Per Apple o Microsoft sono cifre gestibili. Per una piccola distribuzione o un progetto volontario sono importi potenzialmente distruttivi. Dire che queste leggi rendono Linux “illegale” è una semplificazione, ma rende bene l’idea: un obbligo impossibile da rispettare può produrre effetti simili a un divieto. Le distribuzioni più grandi potrebbero adattarsi grazie alle aziende che le sostengono. Ma Arch Linux, Gentoo, Void Linux, Alpine Linux e decine di progetti comunitari non hanno la stessa capacità. Il rischio è una selezione normativa: restano disponibili i sistemi mantenuti da aziende ricche, mentre quelli comunitari si ritirano, bloccano utenti o ignorano la norma sperando di non finire nel mirino.
