La proposta di legge californiana sulla verifica dell’età online ha scatenato un vero terremoto nel mondo open source, e ora arriva una correzione importante: Linux potrebbe essere escluso dagli obblighi previsti dalla normativa. Dopo settimane di proteste da parte di sviluppatori, associazioni per la privacy digitale e membri attivi della comunità open source, il legislatore che ha firmato il testo originario ha presentato un emendamento pensato proprio per togliere di mezzo le distribuzioni Linux dai requisiti più controversi.
Tutto nasce dalla SB 976, una proposta pensata per limitare l’accesso dei minori a contenuti ritenuti dannosi. Il problema è che nella sua versione iniziale, la legge attribuiva ai produttori di sistemi operativi un ruolo centrale nella raccolta e trasmissione dei dati anagrafici degli utenti. E qui si è creato il cortocircuito, perché la definizione di “sistema operativo” era talmente ampia da includere anche le distribuzioni Linux desktop e le piattaforme open source in generale.
Perché Linux non può funzionare con questi obblighi
Il punto è semplice, ma fondamentale: Linux non funziona come un sistema operativo commerciale controllato da una singola azienda. Il kernel Linux e la stragrande maggioranza delle distribuzioni vengono sviluppati da comunità decentralizzate, composte da volontari, fondazioni e maintainer indipendenti. Pretendere che progetti come Debian, Fedora o Arch Linux mettano in piedi infrastrutture per la raccolta di documenti governativi, la validazione biometrica o la gestione di token crittografici significava chiedere qualcosa di tecnicamente e legalmente quasi impossibile. In molti casi, non esiste nemmeno un soggetto giuridico centrale in grado di garantire la compliance normativa richiesta.
La reazione della comunità è stata durissima. Diversi esperti hanno fatto notare come il modello proposto dalla SB 976 andasse in rotta di collisione con i principi storici dell’open source: decentralizzazione, trasparenza, minimizzazione della raccolta dati. Alcuni sviluppatori hanno persino ventilato la possibilità di bloccare direttamente gli utenti californiani, pur di non rischiare conseguenze legali. Una situazione paradossale, che avrebbe finito per penalizzare proprio chi utilizza Linux quotidianamente.
L’emendamento e i nodi ancora da sciogliere
Dopo le proteste, è arrivato l’emendamento. Il nuovo testo restringe in modo significativo l’ambito della legge: i sistemi operativi open source e le piattaforme prive di controllo commerciale centralizzato verrebbero esclusi dai requisiti di verifica dell’età. Questo rappresenta senza dubbio un passo avanti, ma restano parecchie questioni aperte.
Prima fra tutte, la definizione esatta di chi rientra nell’esenzione. Perché il mondo Linux è incredibilmente vasto: comprende il kernel, le distribuzioni desktop, i sistemi embedded, gli ambienti enterprise e una quantità enorme di fork indipendenti. Se la formulazione rimane troppo vaga, il rischio è di generare ancora più incertezza normativa di prima.
C’è poi il caso Android, che utilizza il kernel Linux come base tecnica. Le future versioni della legge dovranno chiarire se l’esenzione riguarda soltanto le distribuzioni open source tradizionali oppure anche le piattaforme commerciali costruite sopra componenti Linux. Una distinzione tutt’altro che banale.
Dal punto di vista della sicurezza informatica, molti esperti continuano a considerare problematica l’idea stessa di integrare la verifica anagrafica a livello di sistema operativo. La conservazione di dati sensibili come documenti d’identità, date di nascita e credenziali trasformerebbe gli OS in bersagli molto più appetibili per i cybercriminali, esponendo potenzialmente milioni di utenti a rischi enormi.
