La questione delle VPN e della responsabilità dei siti Web è tornata prepotentemente sotto i riflettori, questa volta per una legge approvata nello Utah che sta facendo discutere parecchio. Il motivo è presto detto: la norma scarica direttamente sui gestori dei siti l’obbligo di identificare gli utenti che navigano mascherando la propria posizione geografica tramite una VPN. Una pretesa che, a guardarla dal punto di vista tecnico, ha qualcosa di surreale.
La legge, operativa dal 6 maggio prossimo, nasce con un obiettivo in apparenza ragionevole: rafforzare i sistemi di verifica dell’età per proteggere i minori online. Lo Utah stabilisce che un utente va considerato fisicamente presente nello Stato anche se usa strumenti per camuffare la propria posizione. Tradotto in termini pratici, i siti Web dovrebbero riuscire a capire dove si trova davvero una persona, anche quando quella persona sta usando una VPN proprio per non farlo sapere. Il cortocircuito è evidente. La rete funziona con meccanismi di identificazione indiretti, e l’indirizzo IP resta uno dei pochi segnali disponibili lato server. Chiedere ai gestori di andare oltre significa pretendere qualcosa che, oggi, non è tecnicamente verificabile con certezza. La norma vieta inoltre la pubblicazione di istruzioni per aggirare i controlli tramite VPN, introducendo così una forma di responsabilità editoriale estesa: non basta impedire l’accesso, bisogna anche evitare di spiegare come eludere il sistema.
Perché rilevare una VPN è tutt’altro che semplice
Chi lavora con le infrastrutture Web sa bene quanto sia complicato distinguere traffico legittimo da traffico proveniente da una VPN. Esistono database di reputazione IP, come MaxMind o IP2Proxy, che identificano indirizzi associati a datacenter, ma la loro efficacia resta parziale. I provider VPN commerciali ruotano costantemente gli IP pubblici, rendendo queste liste sempre un passo indietro. Un approccio più sofisticato prevede l’analisi degli Autonomous System Number, utile per individuare reti note di hosting. Basta però configurare un tunnel personale, ad esempio con WireGuard su un VPS cloud, per aggirare facilmente questo tipo di filtro. Dal punto di vista operativo, quel traffico appare identico a quello di qualsiasi altro server ospitato nello stesso provider.
L’unico metodo davvero efficace per identificare i pattern tipici dei protocolli VPN è la Deep Packet Inspection (DPI). Qui però si entra in un altro livello: la DPI richiede accesso all’infrastruttura di rete, tipicamente a livello di provider Internet. Sistemi come il Great Firewall cinese operano proprio in questo modo. Un sito Web, invece, non ha visibilità sui pacchetti a quel livello: vede solo connessioni già stabilite, senza possibilità di analisi approfondita del traffico cifrato. Insomma, la legge impone di identificare utenti che utilizzano strumenti progettati esattamente per non essere identificati. Una vera e propria trappola di responsabilità in cui il rispetto delle regole diventa irrealizzabile nella pratica.
Effetti concreti sugli utenti e sulle libertà digitali
Le possibili contromisure non sono prive di conseguenze. Un sito potrebbe bloccare interi intervalli di indirizzi IP associati a reti VPN note, ma finirebbe per escludere anche utenti del tutto legittimi. In alternativa, potrebbe imporre la verifica dell’età a tutti gli accessi, indipendentemente dalla provenienza. Una scelta che aumenterebbe i costi, creerebbe attriti nell’esperienza utente e solleverebbe ulteriori problemi di privacy, soprattutto nel caso di sistemi basati su identificazione documentale o biometrica.
La cosa paradossale è che gli utenti più esperti possono aggirare le restrizioni creando infrastrutture VPN personalizzate in pochi minuti. Chi invece usa servizi commerciali standard, come giornalisti, attivisti o persone in contesti sensibili, rischia di essere penalizzato senza avere gli strumenti per adattarsi rapidamente. La norma finisce così per ridurre l’accesso agli strumenti a tutela della privacy per una fascia di utenti legittimi, senza incidere in modo significativo su chi possiede competenze tecniche avanzate. Un effetto già osservato in altri ambiti: quando il controllo si basa su segnali superficiali, colpisce soprattutto chi segue percorsi standard.
Lo Utah non rappresenta nemmeno un caso isolato. Nel Regno Unito si discute un divieto simile per i minori, mentre in Francia emergono posizioni politiche favorevoli a interventi sulle VPN. Negli USA altri Stati hanno valutato misure analoghe, salvo poi ritirarle dopo le critiche ricevute. E i dati raccontano un fenomeno eloquente: quando entrano in vigore sistemi di verifica dell’età, l’uso delle VPN cresce rapidamente, con aumenti superiori al 1400% nel giro di pochi giorni.
