Latest issue
by Paolo De Rosa

Age verification, protezione dei minori e potere economico

Perché il dibattito europeo sulla verifica dell'età online ha bisogno di una critica più incisiva

Age verification, protezione dei minori e potere economico
Photo by Wong cn / Unsplash

Il problema e la ragione di questo intervento

Mi occupo di identità digitale per lavoro e seguo da vicino il dibattito europeo sui sistemi digitali di verifica dell’etá. Lavorando in prima linea con la Commissione Europea per supportare soluzioni che preservino la privacy e garantiscano standard elevati di protezione dei minori, osservo quotidianamente la distanza tra la complessità tecnica e regolatoria del tema e la qualità della discussione pubblica che lo circonda. Con questo contributo mi propongo allora di provare a ridurre questa distanza. Le informazioni e le opinioni espresse in queste pagine sono ovviamente personali e non riflettono necessariamente la posizione ufficiale delle istituzioni europee.

Il dibattito contemporaneo sui sistemi digitali di verifica dell'etá sconta a mio avviso di un limite ricorrente: tende a ridursi ad una contrapposizione tra “protezione dei minori” e “libertà della rete”, senza quasi mai entrare nel merito delle architetture tecniche, delle alternative regolatorie e soprattutto dei rapporti di potere economico che strutturano davvero l’ambiente digitale. Il problema viene così sistematicamente spostato dal terreno materiale delle infrastrutture e dei modelli di business,  cioè dal luogo in cui si esercita realmente il potere economico nell’ambiente digitale, al piano teorico  - per certi versi più “comodo” -  della sola interferenza esterna (di questi meccanismi digitali di controllo) sul soggetto individuale.

 È precisamente questo il limite che vorrei mettere a fuoco: scambiare la libertà formale dell’utente isolato per emancipazione reale, mentre si lascia intatto il dominio sostanziale esercitato dalle piattaforme e dai loro gestori nel cyberspazio. Si critica, cioè, il possibile controllo pubblico o regolatorio introdotto con sistemi digitali di verifica dell’età diretti alla tutela dei minori, ma si naturalizza il controllo privato già esistente, incorporato nelle architetture delle piattaforme, negli algoritmi, nei meccanismi di cattura dell’attenzione e nella subordinazione dell’esperienza online alla produzione di profitto.

C’è anche un elemento personale che mi spinge ad approfondire la tematica. Da genitore, mi è sempre più evidente che il tema non è astratto. L’esposizione dei minori a certi meccanismi digitali è reale e quotidiana. Proprio per questo credo che serva una lettura politica  che rimetta ordine nella discussione: non per negare i rischi della sorveglianza, ma per collocarli all’interno del problema più ampio dei rapporti di potere e delle infrastrutture che oggi plasmano Internet.

Di cosa parliamo quando parliamo di verifica dell'età online

La verifica dell'età online è il problema, tecnico, giuridico e politico, di accertare che chi accede ad un determinato servizio digitale abbia l'età richiesta per farlo. Per decenni, l'accesso a qualsiasi servizio si è basato sull'autodichiarazione: un clic su "ho più di 18 anni", una data di nascita inventata ed il gioco era fatto. Il risultato è stato che i minori sono stati  esposti senza filtro o cautela alcuna ad un ambiente digitale progettato per massimizzare il coinvolgimento e l'estrazione di dati di chiunque vi acceda, indipendentemente dall'età. Secondo la Commissione europea, il 97% dei giovani nell'UE usa Internet quotidianamente e più di uno su dieci mostra segni di comportamento problematico nell'uso delle piattaforme.

A man sitting down looking at a cell phone
Photo by Sankalp Mudaliar / Unsplash

La pressione politica per intervenire è oggi fortissima: Australia, Francia, Spagna, Regno Unito e diversi altri paesi hanno introdotto o stanno introducendo restrizioni all'accesso dei minori ai social network. In Italia sono in discussione proposte di legge bipartisan. Il Parlamento europeo ha votato una risoluzione che propone un'età minima di 16 anni. Ma il nodo resta invariato: come si verifica l'età senza schedare gli utenti di Internet? Le alternative più intrusive richiedono documenti d'identità o dati biometrici, creando banche dati vulnerabili. L'Unione Europea sta lavorando a un approccio diverso: un sistema che genera un token contenente solo l'attestazione della maggiore età, con l'obiettivo di integrare prove crittografiche a conoscenza zero (zero-knowledge proofs) come spiegato nell'ultima sezione. La fase di test è in corso in cinque paesi.

È questa soluzione, le sue architetture, le sue implicazioni politiche e i rapporti di potere economico che la circondano, l'oggetto di questo articolo.

Le critiche al sistema di verifica dell'etá europeo e il loro limite 

Negli ultimi mesi sono circolati interventi critici rispetto  ai sistemi digitali di verifica dell'etá ed in particolare a quello europeo. Vale la pena confrontarsi con i più seri, perché colgono problemi reali, anche quando le conclusioni cui pervengono non consentono di individuare delle soluzioni soddisfacenti.

blue flag on top of building during daytime
Photo by Christian Lue / Unsplash

Un primo filone critico sostiene che la protezione dei minori non debba trasformarsi in un sistema di controllo dell’accesso. Il problema, si argomenta, non sarebbe tanto “chi entra” (cioè accede a determinati contenuti digitali) quanto “cosa accade una volta entrati”: recommendation systems, dark patterns - cioè quelle tecniche di progettazione delle interfacce studiate per manipolare le scelte dell'utente, spingendolo verso azioni che non avrebbe compiuto spontaneamente: accettare condizioni sfavorevoli, cedere dati personali, restare connesso più a lungo, effettuare acquisti non voluti -, design compulsivo, modelli di business costruiti sull’estrazione dell’attenzione. Un secondo filone, più sofisticato, sostiene che i sistemi digitali di verifica dell'etá stiano progressivamente re-architettando il web verso un modello in cui l’identità diventa parte dell’infrastruttura stessa e l’accesso alla rete non è più neutro ma mediato da nuovi livelli di verifica. Questo è il caso, ad esempio, degli articoli di Horkan e Dyne pubblicati a marzo 2026, che rappresentano bene questi due approcci critici. 

Entrambe le posizioni colgono un aspetto importante: il tema non riguarda solo la tutela dei minori, ma il futuro dell'architettura di Internet. Organizzazioni come la Electronic Frontier Foundation (EFF) hanno sollevato preoccupazioni concrete sul rischio che la soluzione europea escluda rifugiati, persone senza documenti o senza fissa dimora (si veda in particolare la seconda parte della loro serie sulla verifica dell'età in Europa). EDRi ha sostenuto che la soluzione proposta dalla Commissione non offre garanzie di privacy sufficienti e che la verifica dell'età nel suo complesso è una forma di esclusione, non di emancipazione dei soggetti che intende proteggere. Il Chaos Computer Club ha chiesto al governo tedesco di rifiutare ogni forma di sorveglianza di massa e di ridurre la dipendenza dai giganti tecnologici.

Vale la pena soffermarsi sulla critica di EFF riguardo all’esclusione dei gruppi marginalizzati, perché è quella che più facilmente viene accolta senza esame. L’argomento è che il blueprint (cioè le specifiche tecniche della soluzione europea), richiedendo un documento d’identità per l’attivazione, taglierebbe fuori rifugiati, persone senza fissa dimora e minori non accompagnati, poiché - appunto - sprovvisti di documenti. È una preoccupazione legittima, ma che presenta due debolezze significative.

In primo luogo, l’argomento confonde il perimetro attuale della soluzione europea con un’applicazione generalizzata che allo stato non esiste. La proposta europea si concentra per il momento sull’accesso a contenuti riservati agli adulti. In questo ambito, il requisito di un documento non è diverso da quanto già richiesto offline per comprare alcolici, entrare in un casinò o accedere a una slot machine. EFF non ha mai sostenuto che la richiesta di un documento per acquistare alcolici sia discriminatoria verso i rifugiati.

In secondo luogo, e questo è il punto decisivo, la critica EFF non offre alcuna soluzione alternativa concreta. La posizione dell'organizzazione, esplicitata nella terza parte della sua serie sulla verifica dell'età in Europa, è che la verifica dell'età non andrebbe fatta affatto. Questo, tuttavia, non può essere considerato  un argomento a favore dell’inclusione dei rifugiati: è piuttosto un argomento a sostegno dell’abolizione dei sistemi digitali di verifica dell'etá  che utilizza i rifugiati come leva retorica. Se la preoccupazione fosse davvero l’accessibilità per i gruppi marginalizzati, la risposta coerente dovrebbe essere quella di chiedere percorsi di utilizzo più inclusivi,  non l’eliminazione di qualsiasi protezione tout court. Proporre l’inazione strutturale in nome dell’inclusione, mentre le piattaforme continuano a esporre i minori,  inclusi quelli più vulnerabili e appartenenti a gruppi marginalizzati,  ad un ecosistema predatorio, non è una posizione inclusiva. È una rinuncia politica travestita da principio.

Le critiche sollevate sono serie, dunque meritano risposte altrettanto serie. Tuttavia, il loro limite comune emerge quando si passa all’analisi politica: finiscono per trattare la libertà quasi esclusivamente come assenza di ostacoli immediati. La libertà predicata consisterebbe in un  “accesso senza checkpoint, senza verifiche, senza mediazioni”. È una concezione intuitiva, persino seducente. Ma confonde la libertà formale di entrare in uno spazio con la libertà sostanziale di non essere dominati al suo interno. E soprattutto, difendendo l’“apertura” della rete senza interrogarsi sulla proprietà delle infrastrutture, sulla concentrazione dei mercati digitali e sul ruolo delle piattaforme nel governare visibilità e attenzione, si finisce per opporsi ai nuovi livelli di controllo pubblico lasciando intatto il potere economico che già struttura lo spazio digitale.

Lo stesso limite si manifesta, in forma più sottile, anche nella richiesta,  avanzata ad esempio dal Chaos Computer Club, di ridurre la dipendenza dai giganti tecnologici. La critica consisterebbe, in questo caso, nel fatto che qualsiasi meccanismo di verifica dell’età si fonda su mobile device messi a disposizione proprio da quei giganti tecnologici. È una richiesta legittima e necessaria, ma che rischia di restare altrettanto astratta  se non viene ancorata a un’analisi dei rapporti di forza economici che producono quella dipendenza.

Chiedere meno dipendenza dalle grandi piattaforme senza interrogarsi su cosa rende strutturalmente inevitabile quella dipendenza equivale a criticare un effetto senza toccare la causa. Ne ho parlato in termini di politica industriale in un altro articolo sulla sovranitá digitale.

In questo quadro, la richiesta di “non dipendere dalle piattaforme” resta insufficiente se si limita a invocare soluzioni tecniche alternative,  decentralizzazione, open source, interoperabilità,  senza affrontare la struttura economica che riproduce la concentrazione. Un protocollo aperto in un mercato monopolistico verrà o assorbito o marginalizzato. Una soluzione open source senza una politica industriale che ne sostenga l’adozione resterà un esperimento di nicchia. La decentralizzazione tecnica, da sola, non produce decentralizzazione del potere economico: può anzi mascherarla, offrendo un’illusione di autonomia mentre le dinamiche di valorizzazione restano intatte. L’utente digitale è formalmente libero di scegliere la propria piattaforma, ma materialmente vincolato a infrastrutture che controllano l’accesso, la visibilità e le condizioni stesse dell’interazione sociale.

Il problema, quindi, non è solo tecnico ma politico-economico. Una critica che si fermi alla richiesta di indipendenza tecnologica senza mettere in discussione i rapporti di proprietà, i meccanismi di estrazione del valore e la struttura oligopolistica dei mercati digitali riproduce, paradossalmente, lo stesso schema che denuncia: propone soluzioni individuali o di comunità a problemi generati da rapporti di forza sistemici. È la stessa logica della privatizzazione della responsabilità, applicata questa volta non per trasferire responsabilità sociali dalla sfera pubblica alla famiglia o alla scuola, ma alla comunità tecnica o al movimento per il software libero.

Il nodo economico che il dibattito elude

Un Internet senza sistemi digitali di verifica dell'etá  non è affatto un Internet senza controllo. È semplicemente un Internet in cui il controllo è già operativo, ma in forma privata, opaca e diffusa. Non si esercita all’ingresso, ma dopo l’ingresso. Non si presenta come un gate visibile, ma come una trama continua di incentivi, catture, gerarchie di visibilità e meccanismi di dipendenza.

person in black sleeveless dress covered by paper bag
Photo by Debora Bacheschi / Unsplash

Il controllo passa per le architetture proprietarie delle piattaforme, per i ranking algoritmici, per i sistemi di raccomandazione, per il design persuasivo, per la profilazione comportamentale. Passa soprattutto per un modello economico preciso: l’attenzione come materia prima da estrarre, organizzare e monetizzare. Se i minori sono particolarmente vulnerabili, non è per un accidente: l’ambiente in cui si muovono è strutturato per sfruttare vulnerabilità cognitive, emotive e relazionali.

C’è però un punto che va precisato, perché la formulazione ormai corrente dell’“economia dell’attenzione” rischia di oscurare la reale natura del problema. In termini rigorosi, la materia prima delle piattaforme non è l’attenzione: è il comportamento umano ridotto a dato. L’attenzione è il meccanismo di cattura, non l’oggetto della valorizzazione. Ciò che viene estratto, organizzato e venduto è l’attività sociale degli utenti,  le loro interazioni, preferenze, relazioni, ritmi quotidiani,  che vengono trasformati in profili predittivi commerciabili. La differenza non è accademica. Cambia completamente il tipo di intervento necessario: se il problema fosse l’attenzione, basterebbe limitare il tempo di esposizione; se il problema è la trasformazione sistematica del comportamento in merce, la soluzione richiede un intervento sulla struttura stessa dell’estrazione e della proprietà dei dati.

Le piattaforme, inoltre, non si limitano a vendere un servizio in un mercato competitivo. Occupano una posizione strutturalmente analoga a quella del proprietario fondiario nell’economia classica: estraggono rendita non perché producano valore in proporzione ai loro profitti, ma perché controllano l’accesso a un’infrastruttura diventata condizione necessaria della partecipazione sociale, economica e persino politica. Chi vuole comunicare, informarsi, vendere, organizzarsi, cercare lavoro o semplicemente esistere nello spazio pubblico contemporaneo deve passare attraverso infrastrutture proprietarie che impongono le proprie condizioni. È una rendita di posizione, non un profitto da innovazione. E come ogni rendita, più una piattaforma diventa infrastruttura indispensabile, più il suo potere di estrazione cresce indipendentemente dalla qualità del servizio offerto.

Questo spiega perché la semplice regolazione dei comportamenti delle piattaforme (come ad es. limitare i dark patterns, rendere trasparenti gli algoritmi, vietare la pubblicità comportamentale verso i minori, etc.), è necessaria ma strutturalmente fragile. La rendita infrastrutturale genera le risorse economiche e il potere lobbistico per erodere, aggirare o catturare qualsiasi regolazione, esattamente come è avvenuto con la regolazione finanziaria dopo il 2008. Il che non è un argomento contro la regolazione, ma un argomento per non illudersi che la regolazione sia sufficiente.

Chi dice “il problema non è l’accesso, ma ciò che avviene dentro le piattaforme” predica una verità importante, ma la semplice asserzione risulta insufficiente se non ne trae una conseguenza strutturale. Se il danno è prodotto da modelli di business estrattivi e architetture manipolative, il problema non può essere risolto scaricando l’adozione di adeguate misure di tutela sulla famiglia, sulla scuola o sul singolo utente. Le famiglie dovrebbero essere in grado di compensare ciò che le piattaforme progettano. Gli insegnanti dovrebbero riuscire ad arginare ciò che i mercati incentivano. I singoli utenti dovrebbero difendersi “privatamente” da infrastrutture costruite per neutralizzare la loro capacità di scelta. È il passaggio ideologico classico: il problema è sistemico, ma la responsabilità viene trasferita dalla sfera pubblica a quella privata.

Il rischio reale: controllo privato e sorveglianza pubblica

Sarebbe però un errore speculare liquidare frettolosamente ogni critica ai sistemi digitali di verifica dell'etá. Il rischio che la tutela dei minori venga usata come cavallo di Troia per normalizzare nuove forme di tracciamento è reale. Le architetture contano. Gli standard contano. I livelli dello stack in cui una soluzione viene collocata contano. E contano gli attori che ne controllano l’implementazione.

assorted-color security cameras
Photo by Lianhao Qu / Unsplash

EFF ed EDRi hanno ragione quando insistono su questi punti. Il Chaos Computer Club ha ragione quando chiede che queste infrastrutture non alimentino nuove dipendenze dai giganti tecnologici. Queste critiche diventano problematiche solo quando si fermano qui, perché denunciare il rischio della sorveglianza pubblica senza affrontare il dominio privato già esistente significa proporre una libertà puramente nominale.

Il nodo non può essere ridotto alla domanda “sistemi digitali di verifica dell'etá  sì o no?”. La vera domanda è: quale tipo di verifica, con quale minimizzazione dei dati, sotto quale governance, con quali limiti funzionali e con quali effetti sulla struttura del mercato? Il rischio è duplice: da un lato, lasciare i minori esposti a un ecosistema predatorio in nome di una libertà astratta; dall’altro, costruire infrastrutture intrusive che trasformino il controllo dell’età in un sistema generale di tracciamento.

Da dove partire: quattro elementi per una proposta seria

Una posizione politica seria sul punto dovrebbe sapersi sottrarre a questa falsa alternativa. Si tratta di affrontare il problema sotto una prospettiva completamente diversa: la verifica dell’età, quando necessaria, deve essere ridotta a una prova minimale e non trasformarsi mai in identificazione della persona. Il sistema deve “dire il meno possibile”: non chi sei, non dove vai, non cosa fai, ma solo se superi una certa soglia di età. Questa prova non deve essere riusabile come identità generale e non deve generare tracciabilità tra servizi diversi. 

a very tall building with some very tall pillars
Photo by Sanket Gupta / Unsplash

La protezione dei minori non può diventare la via surrettizia per imporre meccanismi generalizzati di tracciamento.

Ma la minimizzazione tecnica, da sola, non basta. Anche la migliore soluzione privacy-preserving sarebbe insufficiente se venisse usata come alibi per non intervenire sul vero motore economico del problema. Verificare l’età senza toccare recommendation systems, dark patterns e monetizzazione dell’attenzione significa aggiungere una barriera all’ingresso senza trasformare l’ambiente che produce il danno.

Per questo una proposta seria deve tenere insieme almeno quattro elementi.

  • Primo: una verifica dell’età strettamente minimizzata, non identificante, non tracciabile e interoperabile, progettata come prova di soglia e non come credenziale generale.
  • Secondo: una regolazione più aggressiva delle piattaforme,  che contempli obblighi di safety by design, limiti ai dark patterns, trasparenza sui sistemi di raccomandazione, vincoli più forti alla profilazione e alla pubblicità comportamentale verso i minori.
  • Terzo: una governance che impedisca sia la centralizzazione pubblica indiscriminata sia la privatizzazione oligopolistica di questa infrastruttura. La verifica dell’età non deve diventare né un registro generalizzato né una nuova rendita infrastrutturale per big tech, browser vendor, app store o grandi intermediari dell’identità.
  • Quarto: il rifiuto della privatizzazione della responsabilità sociale. Famiglia e scuola hanno un ruolo importante, ma non possono essere l’ultima diga chiamata a contenere problemi prodotti su larga scala da apparati industriali. La protezione dei minori deve tornare a essere una responsabilità collettiva, sostenuta da regole pubbliche e da una politica regolatoria capace di incidere sui modelli di business.

Questi quattro elementi operano tutti dentro il quadro esistente dei rapporti di proprietà. Non mettono in discussione la proprietà privata delle infrastrutture digitali, né la legittimità dell’estrazione di rendita da parte delle piattaforme, né la struttura monopolistica del mercato in quanto tale. È una proposta riformista, e conviene dirlo apertamente. Interviene sugli effetti senza modificare i rapporti di proprietà che li producono.

La domanda che resta sullo sfondo,  e a cui questo articolo non pretende di rispondere,  è allora se sia possibile proteggere davvero i minori senza intervenire sulla struttura proprietaria delle piattaforme, o se qualsiasi regolazione, per quanto sofisticata, verrà progressivamente erosa dai soggetti che si propone  di regolare. Non porre questa domanda significherebbe cadere nello stesso errore che l’articolo contesta: trattare i rapporti di potere economico come un dato naturale anziché come il terreno su cui si gioca il conflitto. Porla esplicitamente, riconoscendo che i quattro elementi sopra individuati devono essere compresenti in un intervento necessario ma che potrebbe non essere sufficiente, è l’unico modo per tenere aperto l’orizzonte politico senza rinunciare all’efficacia dell’azione concreta nel presente.

La proposta europea: un inizio imperfetto nella direzione giusta

La Commissione europea ha pubblicato il 14 luglio 2025 le specifiche ed il codice open source che implementa una soluzione per la verifica dell'etá. La soluzione è open source, privacy-preserving e interoperabile con i futuri EUDI Wallets. Cinque paesi,  Danimarca, Francia, Grecia, Italia e Spagna,  partecipano alla fase pilota. La seconda versione ha introdotto l’attivazione tramite passaporto e carta d’identità. La soluzione  consente all’utente di provare di avere più di 18 anni senza rivelare altre informazioni personali, con processi di emissione e presentazione gestiti da entità separate.

two candles are lit in the shape of numbers
Photo by Bernd 📷 Dittrich / Unsplash

La Commissione collega esplicitamente il blueprint alle linee guida DSA sulla protezione dei minori, pubblicate anch’esse nel luglio 2025. Queste linee guida affrontano addictive design, controllo delle raccomandazioni, account privati di default, limiti ai dark patterns e pratiche commerciali manipolative verso i minori. Non si tratta quindi di una soluzione per la verifica dell'età isolata, ma di un pacchetto regolatorio che tiene insieme verifica dell’età e trasformazione dell’ambiente digitale, esattamente secondo l’approccio che questo articolo sostiene. 

Con una avvertenza già esplicitata: questo pacchetto opera dentro un campo di forze in cui i soggetti regolati dispongono delle risorse economiche e del potere lobbistico per eroderne progressivamente l’efficacia. Il che non è un argomento per rinunciare alla regolazione, ma per non trattarla come un risultato acquisito: è un terreno di conflitto permanente, non una soluzione stabile.

Sarebbe tuttavia poco serio trattare l’iniziativa della Commissione come un atto puramente protettivo, senza interrogarsi sulle ragioni strutturali che l’hanno resa possibile. Il blueprint per sistemi digitali di verifica dell'etá  non nasce nel vuoto: nasce all’interno della strategia europea di costruzione dell’EUDI Wallet, che a sua volta risponde all’esigenza geopolitica dell’UE di dotarsi di un’infrastruttura di identità digitale non dipendente dalle grandi piattaforme. 

La verifica dell'età è, tra i possibili casi d’uso dell’identità digitale europea, quello politicamente più “spendibile”,  la protezione dei minori genera consenso trasversale e riduce le resistenze all’adozione di una nuova infrastruttura. Questo non significa che la tutela dei minori sia un pretesto. Significa che è anche il veicolo attraverso cui si legittima e si accelera un progetto infrastrutturale più ampio, con le proprie logiche di potere e di competizione tra blocchi economici. Riconoscere questa doppia natura non indebolisce la proposta: la rende più lucida. Chi lavora su queste architetture,  e io sono tra questi, deve essere consapevole di operare dentro un campo di forze che eccede la tutela dei minori, e deve vigilare affinché la protezione dei minori resti il fine reale e non diventi la giustificazione residuale di un’infrastruttura che si espande per ragioni proprie.

Bisogna però essere onesti sui limiti. Le linee guida DSA non sono vincolanti: costituiscono un benchmark per la valutazione della conformità, ma non impongono obblighi diretti. L’adozione effettiva dipende dagli Stati membri e dalla volontà politica dei Digital Services Coordinators nazionali. La soluzione europea non è definitiva.

È però un inizio utile. 

Ed è per questo che ritengo centrale che il dibattito intorno a questa soluzione abbandoni gli slogan sulla “fine dell'Internet aperto” e si concentri su una critica più seria del potere economico che governa lo spazio digitale e, allo stesso tempo, offra contributi tecnici e politici capaci di migliorare le soluzioni concretamente implementate. 

Se il confronto pubblico resta fermo alla denuncia astratta della sorveglianza non si andrà molto lontano. Se invece prova a misurarsi con architetture, standard, governance e rapporti di forza, può ancora aiutare a costruire una protezione reale dei minori senza normalizzare il tracciamento.

Approfondimento: come funziona la verifica dell'età e perché servono le zero-knowledge proofs

In questa sezione mi propongo infine di addentrarmi in un’analisi più tecnica del sistema europeo di verifica dell’età, ma i concetti di base richiamati sono accessibili e la loro comprensione è essenziale per valutare la solidità della proposta europea. Il percorso parte dal funzionamento concreto del sistema, passa per il problema tecnico che lo rende vulnerabile, e arriva alla soluzione crittografica che lo risolve.

a multicolored cell phone is flying through the air
Photo by gomi / Unsplash

Come funziona un sistema di verifica dell'età

La soluzione europea si articola in tre fasi distinte, gestite da entità separate per garantire la privacy.

Nella prima fase, l'onboarding, l'utente scarica l'app di verifica dell'età e richiede una prova di età. Il sistema prevede diversi canali: eID nazionali, passaporti e carte d'identità (con lettura NFC), app che già contengono informazioni sull'età dell'utente (come app bancarie), oppure attivazione offline presso terze parti come un ufficio postale. Un'entità denominata Attestation Provider verifica l'età dell'utente utilizzando i dati personali completi (ad esempio la data di nascita) e genera un'attestazione di età, un documento digitale firmato crittograficamente che certifica solo il superamento di una soglia (ad esempio "età superiore a 18 anni"), senza contenere altre informazioni personali.

Nella seconda fase, l'emissione, l'app riceve dall'Attestation Provider un lotto di attestazioni di età pre-generate (il cosiddetto batch issuance). Dopo questa emissione, il collegamento tra l'utente e l'Attestation Provider viene reciso: l'Attestation Provider non sa dove e quando le attestazioni verranno utilizzate. Ogni attestazione è monouso, viene presentata una sola volta e poi scartata, per impedire il tracciamento tra servizi diversi.

Nella terza fase, la presentazione, quando l'utente accede a un servizio che richiede la verifica dell'età, il servizio invia una richiesta all'app. L'app presenta una delle attestazioni disponibili. Il servizio online (il Relying Party) verifica la validità crittografica dell'attestazione e, se valida, concede l'accesso. Il Relying Party apprende solo che l'utente supera la soglia di età, nient'altro. L'Attestation Provider non viene informato dell'avvenuta presentazione.

Questo schema, onboarding, emissione in lotti, presentazione monouso, è già un progresso significativo rispetto a qualsiasi sistema basato sulla trasmissione di documenti d'identità. Ma ha un punto debole strutturale.

Il problema dell'unlinkability: perché il sistema non basta senza crittografia avanzata

La proprietà più critica di qualsiasi sistema di verifica dell'età è l'unlinkability: la garanzia che nessun soggetto possa correlare due presentazioni diverse allo stesso utente. Senza unlinkability, anche un sistema che non rivela l'identità diventa uno strumento di tracciamento, perché permette di costruire un profilo di navigazione basato sulle verifiche successive.

Le credenziali digitali oggi più diffuse, basate sugli standard ISO 18013-5 (per i documenti d'identità mobili) e SD-JWT (per le attestazioni verificabili), implementano la divulgazione selettiva degli attributi attraverso un meccanismo detto salted hash. Il principio è semplice: ogni attributo dell'attestazione viene combinato con un valore casuale (il salt) e trasformato in un'impronta digitale (l'hash) che nasconde il dato originale. Per rivelare un singolo attributo, l'utente fornisce al verificatore il salt e l'attributo in chiaro, permettendogli di ricalcolare l'hash e verificarne la corrispondenza con la firma dell'emittente. Gli attributi non rivelati restano nascosti.

Questo meccanismo consente la divulgazione selettiva, l'utente può rivelare solo l'attributo "età superiore a 18" senza mostrare nome, indirizzo o data di nascita. Ma non risolve il problema dell'unlinkability. La ragione è strutturale: la firma digitale dell'emittente, che l'utente deve presentare al verificatore perché questi possa fidarsi dell'attestazione, resta identica ad ogni presentazione. È un'impronta crittografica statica. Due verificatori diversi, o lo stesso verificatore in due momenti diversi, che ricevono attestazioni con la stessa firma possono concludere che si tratta dello stesso utente. In uno scenario di collusione tra verificatori, o di violazione dei dati di un verificatore, questa firma diventa un identificatore persistente che consente la ricostruzione dell'intera cronologia delle verifiche.

Le specifiche tecniche del blueprint europeo riconoscono esplicitamente questo limite: la linkabilità da parte dell'Attestation Provider non può essere completamente eliminata quando si utilizzano formati di attestazione basati su salted hash; l'unica mitigazione efficace è adottare le zero-knowledge proofs come meccanismo di verifica.

Il batch issuance, l'emissione di lotti di attestazioni, ciascuna con una firma distinta, è la soluzione transitoria adottata dal blueprint. Ma ha limiti intrinseci: il numero di attestazioni nel lotto è finito, la gestione dei lotti introduce complessità operativa, e l'Attestation Provider conosce comunque l'insieme delle firme emesse per un dato utente, il che significa che, in caso di collusione con un verificatore, l'unlinkability viene compromessa.

Serve qualcosa di diverso. Serve una tecnologia che permetta all'utente di dimostrare di possedere un'attestazione valida senza mai rivelare la firma che la rende verificabile.

Le zero-knowledge proofs: cosa sono e come risolvono il problema

Una zero-knowledge proof (ZKP) è una tecnica crittografica che consente a una parte, il prover, di dimostrare a un'altra parte, il verifier, che un'affermazione è vera, senza rivelare alcuna informazione aggiuntiva oltre alla validità dell'affermazione stessa. Il nome "zero-knowledge" indica esattamente questo: il verifier apprende che l'affermazione è vera, ma acquisisce conoscenza zero su qualsiasi altro dato.

Nella verifica dell'età, questo si traduce in un meccanismo preciso: l'utente può dimostrare di avere più di 18 anni senza rivelare la propria data di nascita, il proprio nome, il proprio indirizzo, né alcun altro dato personale. Il servizio online riceve una prova crittografica che dice, in sostanza, "questo utente supera la soglia di età richiesta", e nient'altro. Non è una dichiarazione di fiducia: è una prova matematica verificabile.

Ma la proprietà decisiva delle ZKP nel contesto della verifica dell'età non è solo la minimizzazione dei dati, è la soluzione strutturale al problema dell'unlinkability. In un sistema ZKP, l'utente non presenta la firma dell'emittente al verificatore. L'app genera invece una prova crittografica, diversa ogni volta grazie all'uso di valori casuali, che dimostra tre cose: che l'utente possiede un'attestazione con una firma valida di un emittente autorizzato; che l'attributo "età superiore alla soglia" è vero; e che l'attestazione è nel suo periodo di validità. Il verificatore può convincersi di tutto questo senza mai vedere la firma originale, né alcun dato che consenta di collegare la prova a presentazioni precedenti o future.

La differenza con il salted hash è radicale: nel salted hash, la firma dell'emittente viene rivelata e costituisce un identificatore statico; nelle ZKP, la firma resta segreta e la prova è un oggetto crittografico usa-e-getta, computazionalmente impossibile da correlare con altre prove dello stesso utente. Questo vale anche in scenari di collusione tra verificatori e persino tra verificatori e Attestation Provider, la cosiddetta full unlinkability, la proprietà di privacy più forte prevista dal documento ETSI TR 119 476.

Il vincolo dell'hardware: perché la soluzione deve funzionare con ECDSA

Stabilito che le ZKP sono necessarie, resta il problema di come implementarle nel mondo reale. La sfida non è costruire una ZKP in astratto, la letteratura crittografica offre numerosi schemi. La sfida è costruire una ZKP che funzioni con le infrastrutture di identità esistenti, senza richiedere che emittenti di documenti, governi e sistemi nazionali di eID modifichino i propri protocolli. Le credenziali digitali oggi esistenti, documenti d'identità elettronici, passaporti, attestazioni bancarie, utilizzano quasi universalmente firme ECDSA (Elliptic Curve Digital Signature Algorithm) basate sulla curva P-256. Qualsiasi soluzione che richieda un formato di credenziale diverso imporrebbe una modifica a monte dell'intera catena di emissione, rendendo l'adozione lenta o impossibile.

C'è un aspetto, tuttavia, ancora più rilevante, spesso sottovalutato nel dibattito: la scelta di ECDSA sulla curva P-256 non risponde solo a un requisito di compatibilità con le credenziali esistenti, risponde a un vincolo hardware. I dispositivi mobili moderni integrano chip di sicurezza dedicati, secure element e hardware security module, che proteggono le chiavi private dell'utente in memoria hardware inaccessibile al sistema operativo e alle applicazioni. Questi chip mettono a disposizione un insieme limitato e certificato di schemi di firma e ECDSA P-256 è storicamente il più supportato e il più performante tra quelli disponibili. Schemi crittografici più recenti, per quanto teoricamente superiori, semplicemente non sono implementati nell'hardware certificato attualmente in commercio. Costruire le ZKP sopra ECDSA P-256 significa poter utilizzare immediatamente l'hardware sicuro già presente in centinaia di milioni di dispositivi, senza attendere nuove generazioni di chip o lunghi e complessi processi di certificazione. 

La soluzione: ECDSA Anonymous Credentials e longfellow-zk

Lo schema "ECDSA Anonymous Credentials" proposto da A. Shelat e M.Frigo nel 2024, e implementato nella libreria open source longfellow-zk, risolve precisamente questo problema. Si tratta di un sistema di credenziali anonime costruito sopra le firme ECDSA esistenti, senza richiedere modifiche al processo di emissione. L'emittente della credenziale (un governo, una banca, un ufficio postale) continua a firmare l'attestazione di età con il proprio protocollo ECDSA standard. L'innovazione sta nel lato dell'utente: l'app di verifica dell'età prende questa attestazione firmata e la trasforma in una zero-knowledge proof attraverso un circuito aritmetico che verifica, senza rivelarli, quattro elementi: che l'attestazione contenga una firma valida dell'emittente; che l'attributo "età superiore alla soglia" sia vero; che l'utente controlli la chiave privata associata all'attestazione; e che l'attestazione sia ancora nel suo periodo di validità.

Il risultato è una prova compatta che il servizio online può verificare istantaneamente, sapendo solo che l'utente supera la soglia di età, senza apprendere nulla sull'identità dell'utente, sull'emittente specifico della credenziale, né sulle altre attestazioni che l'utente potrebbe possedere.

Lo schema si basa sul protocollo Ligero (Ames, Hazay, Ishai, Venkitasubramaniam, 2017), un sistema di prove a conoscenza zero leggero e sublineare che non richiede una fase di trusted setup. Questo aspetto è politicamente rilevante, non solo tecnicamente. Un trusted setup è una cerimonia crittografica in cui vengono generati parametri iniziali che, se compromessi, invaliderebbero la sicurezza dell'intero sistema. La sua assenza significa che non esiste un singolo punto di fiducia da cui dipende la sicurezza del protocollo, un requisito essenziale per un'infrastruttura pubblica.

Nell’ambito della proposta europea sono stati valutati cinque schemi ZKP: BBS+, BBS+ con supporto per proof of possession ECDSA, BBS+ senza pairing, ECDSA Anonymous Credentials e Crescent. ECDSA Anonymous Credentials è risultato l'approccio più promettente perché soddisfa tutti i requisiti richiesti.

Revisioni di sicurezza, resistenza post-quantistica e limiti

Longfellow-zk è stata sottoposta a tre revisioni di sicurezza indipendenti, tutte documentate pubblicamente. Trail of Bits ha condotto un audit completo, identificando tra l'altro un check under-constrained nel circuito mdoc, classificato come high-severity e poi risolto. David Cook di ISRG ha individuato un ulteriore difetto nel circuito MDOC, un problema di vincoli insufficienti sulle variabili witness, anche questo risolto. Infine, un panel di quattro esperti accademici in zero-knowledge e interactive oracle protocols, assemblato da Ligero, ha prodotto un'analisi formale che stabilisce teoremi di sicurezza con garanzie concrete per il protocollo. Ad oggi tutte le vulnerabilità identificate sono state risolte e nessuna criticità residua risulta aperta.

Un'obiezione ricorrente alle soluzioni basate su ECDSA riguarda la loro vulnerabilità futura a computer quantistici sufficientemente potenti: l'algoritmo di Shor è in grado di rompere le firme basate su curve ellittiche. Per quanto questa minaccia non sia immediata, le stime più accreditate collocano i computer quantistici crittograficamente rilevanti tra il 2030 e il 2045, la strategia "harvest now, decrypt later" rende urgente prepararsi oggi per la transizione post-quantistica. Alla conferenza RSAC 2026, Abhi Shelat ha annunciato l'implementazione in longfellow-zk del supporto per lo schema di firma post-quantistico ML-DSA-44 (FIPS 204), standardizzato dal NIST. ML-DSA è basato sulla difficoltà computazionale di problemi su reticoli modulari, resistenti sia ad attacchi classici sia quantistici. La variante ML-DSA-44, con un livello di sicurezza equivalente ad AES-128, è particolarmente adatta a dispositivi mobili, esattamente il caso d'uso della verifica dell'età. Questo sviluppo rende longfellow-zk quantum-ready: la soluzione può oggi operare con le firme ECDSA supportate dall'hardware esistente e, quando le infrastrutture di identità inizieranno la transizione verso credenziali post-quantistiche, sarà già in grado di gestirle.

Le ZKP non sono tuttavia una panacea. La crittografia da sola non risolve i problemi di metadata collection, device fingerprinting e politiche di conservazione dei dati. Un servizio online può raccogliere l'indirizzo IP, le caratteristiche del browser e altri metadati anche senza conoscere l'identità dell'utente. L'unlinkability crittografica è necessaria ma non sufficiente: deve essere accompagnata da politiche di minimizzazione dei metadati, limiti alla conservazione e design architetturale che riduca la superficie di tracciamento al di là della prova di età.