Un gruppo di informatici ha analizzato il codice di Persona, il sistema biometrico di verifica anagrafica impiegato da piattaforme come Discord e Roblox, ma raccomandato anche da OpenAI. Ciò che hanno trovato suggerisce un impianto molto più invasivo di quanto dichiarato ufficialmente: dai file esaminati emerge infatti un’architettura che, più che limitarsi a proteggere i minori, sembra costruita per alimentare flussi informativi verso apparati governativi, integrando controlli multipli, incroci di dati e funzioni tipiche della sorveglianza istituzionale. Il risultato è un sistema che appare progettato per interagire con una mappatura capillare delle identità digitali, con implicazioni nefaste nei confronti di privacy, discriminazione e potenziali abusi.
Accedendo a informazioni rimaste sorprendentemente esposte al pubblico, tre esperti di sicurezza informatica hanno potuto consultare una libreria di 2.456 file che mostrerebbe come il sistema di Persona sia collegato a una rete di segnalazioni verso agenzie federali statunitensi. Secondo la loro analisi [1], durante la procedura di verifica dell’età il servizio sottopone il selfie dell’utente a 269 controlli distinti, alcuni dei quali incrociano il volto con liste governative legate a traffico di droga, frodi finanziarie, riciclaggio, terrorismo e pedopornografia, generando per ciascun individuo un punteggio di rischio basato sul grado di somiglianza con soggetti già attenzionati.
A seguito della segnalazione dei ricercatori, Persona ha immediatamente reso privato l’archivio che aveva lasciato esposto, mentre il CEO Rick Song ha assicurato [2] che non si è trattato di un attacco informatico, ma solo della diffusione accidentale di un riassuntivo che rendeva leggibile i nomi delle funzioni. Sul tema cardine – la possibile integrazione del sistema in una rete di sorveglianza governativa – l’azienda non ha però fornito chiarimenti immediati, limitandosi piuttosto a elaborare qualche risposta ironica in cui il dirigente nega di aver mai condiviso dati con Palantir, la controversa società [3] di analisi fondata da Peter Thiel. Un sospetto lecito, considerando che il Founders Fund, il fondo di venture capital guidato dallo stesso Thiel, ha investito [4]almeno 350 milioni di dollari proprio in Persona.
L’esposizione del codice mostra però che Persona operi anche in una variante destinata al programma FedRAMP, il sistema federale che certifica la sicurezza dei servizi cloud utilizzati dalle agenzie statunitensi. Questa versione, secondo i ricercatori, non si limita alla verifica dell’età, ma integra funzioni di monitoraggio del comportamento, analisi dei dati biometrici e valutazione di informazioni finanziarie, elementi che suggeriscono un’infrastruttura pensata per esigenze di conformità e controllo molto più ampie. Nel materiale analizzato compaiono inoltre riferimenti che fanno pensare a un possibile collegamento con Fivecast ONYX, una piattaforma di sorveglianza che utilizza sistemi di intelligenza artificiale per rastrellare social network e dark web, costruire profili digitali degli utenti e attribuire punteggi di rischio legati a potenziali comportamenti violenti.
Vale la pena ricordare che le operazioni dei tre ricercatori siano state stimolate dal fatto che, il 9 febbraio, Discord ha annunciato [5]l’introduzione obbligatoria della verifica anagrafica per i propri utenti: una misura globale che, almeno nelle intenzioni ufficiali, dovrebbe impedire ai minori di mentire sulla propria età per accedere a servizi loro vietati. La scelta si inserisce in un clima di crescente panico morale attorno all’uso dei social da parte dei giovani, con governi di diverse aree del mondo che sostengono la necessità di limitarne drasticamente l’accesso, invocando un’applicazione più rigida delle normative esistenti o l’adozione di nuove leggi pensate formalmente per proteggere l’infanzia.
La spinta politica a introdurre controlli dell’età su larga scala riflette una tendenza ormai evidente: dal britannico Online Safety Act, al progetto europeo di Chat Control, fino al decreto Caivano in Italia, diversi governi stanno convergendo sull’idea che l’anonimato online debba essere intaccato al fine di proteggere i minori. Questa convinzione, però, appare sempre più come un pretesto politico, più che come una risposta efficace a un problema reale. I primi risultati [6]provenienti dall’Australia – dove misure simili sono in vigore da un paio di mesi – mostrano infatti un quadro in cui queste soluzioni, oltre a essere invasive, si rivelano anche inefficienti, incapaci di produrre benefici concreti per la tutela dei più giovani.
Molti osservatori sottolineano come, invece di chiamare le grandi piattaforme a rispondere dei contenuti che ospitano e degli algoritmi che impiegano, si preferisca scaricare sugli utenti finali l’onere di procedure di controllo e identificazione frammentate e confuse. Altri ritengono che la battaglia per la verifica anagrafica sia invece un mero pretesto per estendere il controllo su ciò che viene detto e fatto online, sintomo delle spinte autoritarie che stanno sbocciando in ogni dove. Episodi come quello di Persona non contribuiranno certo a rassicurare chi teme che le istituzioni stiano lavorando alla costruzione di un panopticon digitale capace di monitorare in profondità la vita privata di ogni persona che si azzarda ad avere una presenza su internet.
