Intervenendo a una conferenza tecnologica ad Austin, in Texas, il CTO di Signal Ehren Kret, ha criticato i legislatori per aver imposto la verifica dell’età per le piattaforme tecnologiche senza accompagnare la tutela della privacy.
I governi di Stati Uniti, Europa e altre regioni stanno portando avanti la legislazione che richiede alle piattaforme online di verificare l’età degli utenti, dopo anni di politiche volte a limitare la raccolta dei dati e rafforzare la tutela della privacy.
Il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea, emanato nel 2018, ha imposto requisiti rigorosi alle aziende per ridurre al minimo la raccolta dei dati, migliorare le pratiche di archiviazione e soddisfare le richieste di cancellazione degli utenti. La legge richiedeva notevoli sforzi di conformità in tutto il settore tecnologico.
I legislatori stanno ora perseguendo misure volte a limitare l’accesso dei minori alle piattaforme online, con la verifica obbligatoria dell’età che emerge come componente centrale. Queste proposte richiederebbero che le piattaforme raccolgano ed elaborino dati relativi all’identità per confermare che gli utenti soddisfino i requisiti di età.
Ehren Kret, CTO di Signal, una piattaforma di messaggistica crittografata nota per la sua architettura che massimizza la privacy, sostiene che questi nuovi requisiti di verifica dell’età contraddicono direttamente le precedenti richieste delle autorità di regolamentazione per proteggere la privacy.
“La cosa più importante che i politici stanno perdendo in questo momento”, ha detto Kret, “e lo avete visto con alcune delle fughe di documenti d’identità che si sono già verificate, è che in realtà non richiedono alle persone [to] identificazione separata dalla verifica.”
Kret ha espresso i suoi commenti a “Don’t Be Evil”, una conferenza tecnologica annuale ospitato dalla società FUTO con sede ad Austin, specializzata in software open source self-hosted progettato per offrire ai consumatori l’opportunità di ospitare i propri dati anziché cederli ai server di una società terza.
“Se hai intenzione di costruire questo [age verification] In primo luogo, “ha detto Kret,” dovresti almeno richiedere anche che sia privato per le persone, perché altrimenti ne richiederai solo la metà senza l’altra metà.
Più di una dozzina di paesi hanno approvato o stanno prendendo in considerazione leggi che imporrebbero requisiti di verifica dell’età sulle piattaforme di social media. Negli Stati Uniti, diversi stati hanno introdotto leggi, tra cui la AB 1043 della California, che propone la verifica dell’età a livello di sistema operativo.
Le aziende tecnologiche stanno già costruendo l’infrastruttura per soddisfare tali richieste: Apple ha già implementato la verifica a livello di sistema operativo nel Regno Unito.
Molte delle proposte non specificano come dovrebbero funzionare i sistemi di verifica o quali garanzie dovrebbero essere applicate ai dati raccolti. Kret ha affermato che gli approcci attuali potrebbero portare a sistemi che collegano l’identità dell’utente direttamente all’attività online.
Kret ha indicato i metodi crittografici esistenti, comprese le prove a conoscenza zero, come un modo per confermare l’idoneità senza esporre ulteriori dati personali.
“Perché dovresti richiedere un sistema e poi non richiedere anche che tuteli la privacy come può essere?” ha detto. “Perché non è così difficile da costruire.”
Le prove a conoscenza zero consentono a una parte di verificare un’affermazione, ad esempio se un utente ha superato una certa età, senza rivelare le informazioni sull’identità sottostante. Kret ha affermato che tali sistemi potrebbero essere implementati utilizzando tecniche consolidate.
“È possibile costruire un sistema Zero Knowledge Proof ed è relativamente semplice”, ha affermato Kret. “A questo punto è sufficiente leggere alcuni articoli che esistono da 40 anni.”
Kret ha anche citato l’infrastruttura di donazione di Signal come esempio di separazione dell’identità dalla verifica, descrivendo un sistema in cui gli utenti possono dimostrare la partecipazione senza rivelare quale individuo ha effettuato un pagamento.
“Tutto ciò che mostra è una ricevuta che dimostra che eri una delle persone che hanno pagato, ma non dà idea di quale”, ha detto Kret.
L’espansione dei requisiti di verifica dell’età ha sollevato domande più ampie sull’anonimato online. Se la verifica dell’identità diventasse un prerequisito per l’accesso ai servizi digitali, la partecipazione anonima potrebbe essere ridotta.
Sono state evidenziate anche le preoccupazioni relative alla sicurezza dei dati. In un caso recente, una violazione che ha coinvolto un fornitore di servizi di verifica di terze parti ha esposto i documenti di identità governativi di circa 70.000 utenti a seguito dell’implementazione della verifica dell’età da parte di Discord.
I legislatori hanno enfatizzato la protezione dei minori online, mentre le proposte continuano a concentrarsi sulla richiesta di sistemi di verifica, con meno dettagli sugli standard di implementazione o sulla tutela della privacy.
Notano gli esperti che, una volta ampiamente diffusi, i sistemi di verifica basati sull’identità potrebbero essere difficili da modificare o invertire a causa della portata delle infrastrutture coinvolte e del volume dei dati raccolti. Il potenziale di fughe di notizie come la violazione di Discord, nel frattempo, minaccia l’esposizione permanente delle informazioni personali delle persone sul web oscuro.
Lucas Nolan è un reporter di Breitbart News che si occupa di questioni di libertà di parola e censura online.
