Le VPN sono finite nel mirino delle autorità europee, che le considerano ormai un punto debole nel sistema di protezione dei minori online. Un rapporto del Servizio di Ricerca del Parlamento Europeo ha messo nero su bianco quello che molti sospettavano da tempo: l’utilizzo delle reti private virtuali per aggirare i controlli sull’età è diventato un problema troppo grande per essere ancora ignorato dai legislatori.
Il punto è che le VPN nascono con uno scopo sacrosanto, cioè proteggere la privacy e la sicurezza dei dati criptando il traffico internet. Nessuno lo mette in discussione. Il problema, però, è che nella pratica questi strumenti vengono usati anche per scavalcare con estrema facilità i blocchi regionali e le verifiche sull’identità. E i numeri parlano chiaro: ogni volta che un paese introduce leggi più severe sulla sicurezza dei minori, come successo nel Regno Unito o in diversi stati americani, il download di app VPN registra un’impennata praticamente istantanea. Non è un caso isolato, è uno schema che si ripete con regolarità preoccupante.
Verifica dell’età per le VPN: la proposta che divide
La direzione verso cui si sta muovendo il dibattito è piuttosto chiara, anche se tutt’altro che semplice da attuare. Si parla di richiedere la verifica dell’età anche solo per poter sottoscrivere un abbonamento a una VPN. In Inghilterra il Garante per l’infanzia ha già chiesto esplicitamente che questi servizi siano riservati esclusivamente agli adulti. Una posizione netta, che però apre un problema enorme: obbligare chiunque voglia proteggere la propria navigazione a identificarsi significherebbe demolire alla base quell’anonimato che le VPN promettono di garantire.
E non è solo una questione di principio. La tecnologia stessa per la verifica dell’età non è esattamente a prova di bomba. Solo il mese scorso, l’app ufficiale della Commissione Europea pensata proprio per il controllo dell’età è stata travolta dalle critiche dopo che alcuni ricercatori hanno scoperto falle di sicurezza piuttosto gravi, con immagini biometriche salvate senza alcuna crittografia. Non esattamente il miglior biglietto da visita per chi vorrebbe imporre controlli più stringenti.
Chi si è già mosso: gli esempi fuori dall’Europa
Mentre l’Europa ragiona su come aggiornare la propria normativa sulla cybersicurezza per arginare il fenomeno, altrove qualcuno è già passato ai fatti. Lo Utah è stato il primo stato a varare una legge che di fatto ignora l’indirizzo IP fornito dalla VPN, cercando invece di determinare la posizione fisica reale dell’utente. Un approccio aggressivo, che punta a rendere inutile il mascheramento offerto da questi servizi.
In Francia si sta lavorando a una soluzione diversa, più sfumata. L’idea è quella di un sistema in cui il sito web riceve solo una conferma anonima sull’età, senza conoscere l’identità dell’utente, mentre il fornitore del servizio di verifica non sa quale portale si stia visitando. Una specie di compromesso che prova a tenere insieme la protezione dei minori e il diritto alla privacy, anche se resta da capire quanto possa funzionare davvero nella pratica.
L’Europa, dal canto suo, sta ancora cercando la propria strada tra queste due opzioni, consapevole che qualsiasi intervento sulle VPN tocca un nervo scoperto: quello del difficile equilibrio tra sicurezza dei più giovani e libertà digitale degli adulti.
