I siti web ora fanno molto affidamento sui processi di verifica dell’età per garantire la sicurezza degli utenti e la conformità alle normative. Questi controlli mirano a impedire ai minori di accedere a contenuti inappropriati o di intraprendere attività online rischiose. Sebbene l’intento sia nobile, i metodi utilizzati spesso creano un rischio significativo per la sicurezza degli utenti: un tesoro di informazioni personali pronto per lo sfruttamento da parte degli hacker.
La verifica dell’età può assumere diverse forme: analisi AI delle foto caricate per stimare l’età, invio di documenti d’identità con foto come patenti di guida o passaporti e persino dettagli verificati della carta di credito. Sebbene questi metodi possano sembrare rigorosi, espongono inavvertitamente gli individui a sostanziali violazioni della privacy.
Questo rischio è diventato dolorosamente evidente nei recenti casi di alto profilo. Nell’ottobre 2025, Discord, una piattaforma popolare tra i giocatori, ha subito una violazione della sicurezza che ha esposto i dati personali di 70.000 utenti a livello globale. Gli hacker sono riusciti ad accedere tramite un fornitore di servizi di terze parti utilizzato per la verifica dell’età, anche se il metodo preciso rimane poco chiaro.
Allo stesso modo, nel luglio 2025, anche Tea, un’app progettata per aiutare le donne a condividere in modo anonimo informazioni sulla sicurezza degli appuntamenti, è stata violata. Questa violazione ha esposto non solo i selfie e gli ID con foto degli utenti, ma anche i loro messaggi privati e i contenuti condivisi. Questi incidenti illustrano una tendenza preoccupante: le pratiche di verifica dell’età, spesso affidate a terzi, stanno diventando sempre più vulnerabili agli attacchi informatici.
Le ripercussioni di queste violazioni possono essere devastanti. Selfie e documenti d’identità trapelati possono alimentare furti di identità, frodi e crimini ancora più insidiosi facilitati dalla tecnologia deepfake e da strumenti avanzati di intelligenza artificiale. Proprio i dati raccolti per la sicurezza diventano l’arma usata contro gli utenti.
Sebbene normative come l’Online Safety Act del Regno Unito mirano a migliorare la protezione degli utenti imponendo metodi robusti di verifica dell’età, si trovano ad affrontare una scappatoia critica: l’applicazione delle pratiche di cancellazione dei dati. Il sito web di Discord aveva precedentemente affermato che non avrebbe archiviato in modo permanente documenti di identità o video selfie dopo la conferma dell’età, ma queste assicurazioni suonano vuote alla luce degli eventi recenti.
Il Dipartimento di Scienza, Innovazione e Tecnologia del Regno Unito ha pubblicato linee guida che sottolineano la necessità che le piattaforme riducano al minimo la raccolta di dati durante i processi di verifica dell’età, allineandosi alle normative GDPR dell’UE. Tuttavia, incidenti come quelli che hanno coinvolto Tea e Discord dimostrano che semplici linee guida non sono sufficienti.
Questo problema richiede un approccio più proattivo. Le autorità di regolamentazione devono rafforzare i meccanismi di applicazione, garantendo che i fornitori terzi aderiscano a rigorosi protocolli di sicurezza e cancellazione dei dati, soprattutto quando questi fornitori operano al di fuori della giurisdizione del Regno Unito. Solo attraverso una supervisione più rigorosa e un’azione dimostrabile la verifica dell’età può davvero proteggere gli utenti invece di esporli inavvertitamente a danni maggiori.
