Le nuove leggi di verifica dell’era adottate dai governi di tutto il mondo stanno spingendo molti utenti a installare reti private virtuali gratuite per bypassare i controlli d’identità, secondo una recente analisi. Le normative richiedono alle piattaforme di verificare l’età degli utenti tramite metodi come il caricamento di documenti o le scansioni facciali, con molti siti web che obbligano gli utenti a conformarsi prima di concedere l’accesso. Sebbene l’intento sia proteggere i minori da contenuti dannosi, le regole potrebbero incoraggiare sia adulti che giovani a utilizzare servizi VPN gratuiti non regolamentati che comportano rischi significativi sui dati personali.
Con l’entrata in vigore dei requisiti di verifica dell’età, i download di VPN sono aumentati vertiginosamente nelle giurisdizioni interessate, in particolare tra i servizi gratuiti. Sull’Apple App Store, ad esempio, diverse delle principali app VPN gratuite si sono classificate in alto nelle regioni che implementano queste regole. I ricercatori hanno scoperto che molti di questi fornitori VPN gratuiti non rivelano i paesi in cui sono registrati, mantengono politiche di privacy poco chiare e possono instradare il traffico degli utenti attraverso canali non sicuri o monetizzati per pubblicità. Il fascino di bypassare i controlli di verifica può quindi comportarsi a costo di una maggiore esposizione al tracciamento, alla raccolta dati e al malware.
I servizi VPN gratuiti spesso rispondono alla domanda degli utenti monetizzando i dati di navigazione o inserendo script pubblicitari. Alcuni sono stati già dimostrati che reindirizzano attività di e-commerce, espongono gli utenti a reti pubblicitarie aggressive o operano da giurisdizioni con deboli tutele sulla privacy degli utenti. Poiché gli utenti che le adottano spesso si fidano di ottenere maggiore privacy, la discrepanza crea un falso senso di sicurezza. Sebbene le leggi sulla verifica tentino di ridurre il rischio per la privacy riducendo l’accesso ai minori, la conseguenza non intenzionale potrebbe spingere gli utenti verso servizi che mancano di responsabilità o protezione solida.
Governi e osservatori del settore affermano che la transizione verso l’accesso online a restrizioni d’età è complessa. Leggi su larga scala come l’Online Safety Act del Regno Unito o mandati simili in Francia, Australia e in diversi stati degli Stati Uniti richiedono alle piattaforme di implementare controlli di età “altamente efficaci”. Questi controlli possono includere il caricamento di fotografie o documenti d’identità, stima biometrica o controlli degli abbonati di rete. Molti utenti resistono al livello di informazioni personali richieste e considerano i prompt di verifica come invasivi. Di conseguenza, alcuni utenti si rivolgono a VPN che li fanno sembrare di essere in una giurisdizione senza tali controlli.
Gli esperti di privacy avvertono che l’uso di una VPN non rende invisibile un utente. Le VPN gratuite possono comunque registrare il comportamento degli utenti, esporre metadati, far fuggire indirizzi IP o consentire il tracciamento da parte di terze parti. Un utente che cerca di evitare di fornire un ID potrebbe finire per consegnare i propri dati a un altro servizio non affidabile. Al contrario, i servizi ufficiali di verifica dell’età devono rispettare le regole locali di protezione dei dati e spesso forniscono audit trace o meccanismi di supervisione. Il calcolo del rischio cambia quindi quando gli utenti scambiano un tipo di controllo di conformità con un altro insieme di vulnerabilità sulla privacy.
Per chi si trova ad affrontare richieste di verifica, esistono diverse strategie più sicure. Un’opzione è utilizzare un servizio VPN a pagamento affidabile che pubblichi una chiara politica di no-logs, sia basato in una giurisdizione rispettosa della privacy e sia stato sottoposto a audit indipendenti. Un’altra è valutare se la piattaforma richiede davvero un documento d’identità o se esiste una via alternativa, come dimostrare l’età tramite una transazione con carta di credito o una cronologia del conto nota. Gli utenti dovrebbero anche valutare se si fidano delle pratiche di privacy del fornitore di verifica e se la minimizzazione dei dati viene applicata. Se un utente sceglie di inviare informazioni personali, dovrebbe rivedere l’informativa sulla privacy, verificare i limiti di conservazione dei dati e utilizzare l’autenticazione a due fattori sull’account.
I regolatori stanno anche iniziando a ispezionare l’industria della verifica dell’età per eventuali rischi. Alcuni governi hanno annunciato revisioni delle aziende che forniscono servizi di verifica dell’identità, e le agenzie di applicazione stanno esaminando se i dati biometrici o ID degli utenti siano conservati in modo sicuro o condivisi con entità non correlate. Con l’espansione della verifica dell’età, gli organismi di controllo sottolineano che le tutele della privacy devono rimanere in vigore e che tattiche di evasione come l’uso delle VPN possono segnalare che il sistema è eccessivamente gravoso. La progettazione futura delle politiche potrebbe richiedere metodi meno invasivi, come la stima anonima dell’età o soluzioni con dati minimi.
Sebbene le leggi sulla verifica dell’età mirino a ridurre l’esposizione a contenuti inappropriati per i minori, l’effetto secondario potrebbe essere la crescita di un ecosistema di servizi VPN gratuiti meno trasparenti e meno sicuri. Gli utenti che vogliono evitare i controlli d’identità dovrebbero riconoscere che l’evasione non è intrinsecamente più sicura e può portare a una maggiore esposizione a un uso improprio dei dati. La sfida più ampia sarà bilanciare gli obiettivi di protezione dei minori con i diritti alla privacy degli adulti e garantire che i sistemi di verifica non spostino il rischio invece di mitigarlo.