Funziona il blocco dei siti porno ai minori? Ecco il parere degli esperti di cybersecurity
È in vigore dal 12 novembre la norma Agcom che obbliga alla verifica dell’età minima applicabile per tutti i siti e le piattaforme che diffondono contenuti pornografici. Il controllo è eludibile? Sebbene il modello di funzionamento ideale sia teorico, esistano accorgimenti tecnologici e furbizie procedurali di raggiro, ma la valutazione effettiva sull’efficacia dei controlli dipenderà dall’implementazione tecnica materiale e dai test di sicurezza. Ne abbiamo parlato con 2 esperti: Giorgio Giacinto, professore presso l’Università di Cagliari e coordinatore dello spoke 3 della Fondazione SERICS dedicato ad “attacco e difesa” e Alessandro Armando, professore dell’Università di Genova, direttore del laboratorio nazionale di cybersecurity del CINI e Coordinatore dello spoke 4 SERICS dedicato alla sicurezza dei sistemi operativi e virtualizzazione.
Le possibili elusioni del controllo età
Giorgio Giacinto descrive alcune delle possibili modalità di tecniche di raggiro dei controlli. «Primariamente si possono sfruttare i collegamenti con servizi di Reti Virtuali Private (VPN) o sistemi proxy, capaci di mascherare la provenienza della richiesta di accesso, da paese extraeuropeo o non italiano. Il controllo dell’età, in questi casi, potrebbe non essere richiesto». Nel caso d’uso di un’app che identifichi l’utente, ma che rilasci solo una prova di maggiore età verso il sito pornografico, la possibile elusione può dipendere da molti fattori: «un’app è sicura in linea teorica – chiarisce il docente – ma solo accurati test di sicurezza possono dare certezze sull’assenza di vulnerabilità sfruttabili del codice». Il riferimento è relativo alle potenziali manomissioni di app che non sono realizzate seguendo le misure OWASP sulla sicurezza mobile. Manomissioni capaci di alterare il funzionamento lecito dell’app, con conseguente autenticazione interrotta e manipolazione della configurazione, che possono causare il furto di identità (di un maggiorenne): esiste il Jailbreak del mobile, che consentirebbe una elusione diretta di fatto; l’escalation dei privilegi a livello dell’app per accedere alla modalità sviluppatore; Ma ad esempio, senza la crittografia nelle trasmissioni di dati, l’attacco ‘Man-in-the-middle’ consentirebbe di alterare l’attributo dell’età. Se invece, la verifica età avvenisse mediante immagine da videocamera, il docente osserva che, “i moderni motori di AI possono fare ‘morphing’ di identità mediante filtri avanzati, mistificando la morfologia del viso e in caso di scarsa accuratezza dell’immagine/video, basterebbero pochi ‘ritocchi’ del filtro per ottenere un’alterazione del riconoscimento”. In ultimo, esistono modalità procedurali di elusione dei controlli: «la complicità di un amico maggiorenne che presta il suo viso per l’accesso al servizio, può comportare la visione dei contenuti vietati per il minore che si trova davanti al monitor». Oppure «se un genitore che fa uso di servizi pornografici con il dispositivo già configurato per l’accesso, lasciasse il proprio dispositivo incustodito, per un minore curioso potrebbe configurarsi una situazione di elusione dei controlli; ma qui – precisa il docente – dipende anche da come è configurato l’inattività/stand by della sessione di collegamento al servizio».
Esistono dunque diversi raggiri possibili, ma per prevenire quelli tecnologici è essenziale stabilire in anticipo i controlli tecnici del codice, sia nella progettazione del sistema, nell’analisi del flusso dati, e nella scelta dei protocolli. “Il tasso di successo effettivo di queste pratiche elusive potrà essere misurato con precisione solo con i test specifici di vulnerabilità sul software che implementa i controlli d’età nei sistemi web e nelle piattaforme fra i soggetti gestori/fornitori di servizi pornografici e i soggetti terzi verificatori/certificatori”, conferma il prof. A.Armando.
Requisiti del modello di age verification
Le regole tecniche Agcom prevedono il ‘doppio anonimato’, per cui il soggetto che verifica l’età (o la certifica) non deve sapere per quale servizio eroga tale controllo o se tali controlli siano ripetuti. In sostanza, è un processo di controllo dell’età senza memoria. Il controllo è articolato in un modello teorico e procedurale a tre fasi, su due casistiche: sistemi di verifica dell’età via browser on line o mediante l’uso di applicativi installati sul dispositivo utente. L’Agcom, interpellata in proposito, ha confermato il modello proposto, basato sul principio teorico senza che esistesse un prototipo pregresso ispiratore e che l’Agcom è stata scelta dalla Commissione europea, in un gruppo ristretto di Digital Services Coordinators, per la sperimentazione di un prototipo di app di verifica dell’età. Prototipo che, se validato, potrà essere adottato in pratica dai fornitori di servizi per adulti. Qualunque sarà la soluzione finale scelta da ogni soggetto, l’Agcom conferma l’impegno alle verifiche puntuali sul doppio anonimato e sulla sicurezza.
La norma Agcom
Il regolamento Agcom del cd Decreto Caivano ha introdotto il divieto di accesso a contenuti pornografici per i minori. La norma ha effetto dal 12 novembre sui fornitori di servizi per adulti chiamati a implementare sistemi di controllo dell’età, rispettando in parallelo la raccolta minima dei dati personali per questa finalità e garantendo livelli di sicurezza digitale adeguata ai rischi. La violazione accertata porta ad una diffida per venti giorni e successivamente al blocco del sito/piattaforma, fino a che il criterio di controllo non è implementato correttamente. Una prima lista di soggetti interessati dalle linee guida è stata pubblicata da Agcom il 31 ottobre.
Fonte: Il Sole 24 Ore
