App di verifica dell'età UE bucata in 2 minuti: falle nel PIN, biometria e architettura

Un'app di verifica dell'età promossa dall'Unione Europea come soluzione ad «altissimi standard di privacy» si è rivelata un colabrodo. Bastano meno di due minuti per aggirarne le protezioni. La Commissione Europea, che solo pochi giorni fa la presentava come «tecnicamente pronta», ha dovuto fare marcia indietro ammettendo che si tratta ancora di una demo. La vicenda tocca da vicino chiunque usi internet in Europa - e soprattutto chi tiene alla propria privacy.

Promesse solenni, codice fragile

La storia inizia nel luglio 2025, quando l'UE pubblica un prototipo della sua app di verifica dell'età. Nell'aprile 2026 la presidente della Commissione Europea Ursula von der Leyen la annuncia ufficialmente come «tecnicamente pronta», definendola una «soluzione open source ad alta tutela della privacy» per proteggere i minori online. Il paragone scelto per l'occasione è ambizioso: il certificato digitale COVID dell'UE. Von der Leyen esorta i paesi membri ad adottarla rapidamente, con l'obiettivo di integrarla nei portafogli di identità digitale nazionali entro la fine del 2026.

Il repository GitHub dell'app racconta però una storia diversa. Il readme la etichetta come «versione di sviluppo iniziale», avverte esplicitamente che «gli standard di sicurezza e privacy sono inferiori a quelli delle versioni finali» e sconsiglia l'uso in produzione. Una contraddizione frontale con le dichiarazioni ufficiali - scritta nel codice stesso.

Due minuti per smontare tutto

Il codice è rimasto online meno di un giorno prima che gli esperti di sicurezza iniziassero a smontarlo pezzo per pezzo. Paul Moore, consulente di sicurezza britannico, ha pubblicato su X una registrazione video in cui aggira le protezioni dell'app in meno di due minuti. Il video ha superato 2,6 milioni di visualizzazioni.

Le vulnerabilità scoperte da Moore non sono sottigliezze accademiche. Sono errori elementari che qualsiasi sviluppatore mobile esperto riconoscerebbe al primo sguardo.

Le falle tecniche: un catalogo imbarazzante

Durante la configurazione l'app crea un PIN a sei cifre e lo salva in forma cifrata in un file chiamato shared_prefs (precisamente eudi-wallet.xml) sul dispositivo. I valori cifrati sono etichettati PinEnc e PinIV. Fin qui nulla di anomalo - se non fosse che il PIN cifrato non è legato crittograficamente al deposito di identità dell'utente. Cancellando i valori PinEnc e PinIV dal file di configurazione, riavviando l'app e impostando un nuovo PIN, le credenziali del vecchio profilo vengono presentate come valide sotto il nuovo PIN. In pratica si eredita l'identità verificata di qualcun altro.

C'è di peggio. La protezione contro i tentativi di forza bruta sul PIN - il cosiddetto rate limiting - è gestita da un semplice contatore nello stesso file di configurazione modificabile dall'utente. Basta azzerarlo per ottenere tentativi illimitati. L'autenticazione biometrica è controllata da un singolo valore booleano (UseBiometricAuth): cambiandolo da true a false il controllo biometrico viene saltato del tutto.

Moore ha descritto l'affidamento a dati di configurazione locali e modificabili per l'applicazione delle misure di sicurezza come «un anti-pattern ben noto nello sviluppo di applicazioni mobile». La comunità di sviluppatori si è chiesta perché l'app non utilizzi il secure enclave disponibile sugli smartphone moderni - un componente hardware progettato esattamente per proteggere dati sensibili come chiavi crittografiche e credenziali biometriche. La risposta, leggendo il codice, non è rassicurante.

Dati biometrici allo scoperto

Le scoperte non si fermano al PIN. Le immagini facciali estratte dai documenti d'identità vengono salvate come file non cifrati sul dispositivo. Se il processo di verifica fallisce, questi file possono restare memorizzati. Le immagini selfie usate per la verifica vengono conservate e mai cancellate - il tutto in contraddizione diretta con la dichiarazione dell'app secondo cui non vengono conservati dati personali.

I dati biometrici rientrano nella categoria dei dati altamente sensibili secondo il GDPR. La loro conservazione in chiaro su un dispositivo mobile solleva questioni serie di conformità normativa, proprio per un'app che dovrebbe essere il fiore all'occhiello della strategia digitale europea.

Un problema architetturale, non solo implementativo

Un'analisi di sicurezza separata, risalente a marzo 2026, ha identificato un problema ancora più profondo. Il componente emittente del sistema non ha modo di confermare che la verifica del passaporto sia effettivamente avvenuta sul dispositivo. Non è un bug da correggere con una patch: è una falla architetturale.

Il paradosso è che colmare questa lacuna richiederebbe probabilmente l'invio dei dati crittografici completi del passaporto a un server - il che vanificherebbe le garanzie di privacy che l'app dovrebbe offrire. Una tensione irrisolvibile tra sicurezza e riservatezza che, secondo gli esperti, impone una riprogettazione completa dell'architettura per quanto riguarda il legame con l'identità, l'archiviazione sicura e la logica di autenticazione. Moore ha reso il problema ancora più tangibile ricreando la logica di verifica dell'app sotto forma di estensione per browser, generando risposte di verifica fasulle che le piattaforme avrebbero accettato come prove d'età valide.

«Sarà il catalizzatore di una violazione enorme»

Le parole di Moore non lasciano margini di ambiguità: «Seriamente, Von der Leyen - questo prodotto sarà il catalizzatore di una violazione enorme a un certo punto. È solo questione di tempo».

Il fondatore di Telegram Pavel Durov ha sostenuto che l'app è «insicura per progettazione» perché si affida completamente al dispositivo dell'utente, aggiungendo un'osservazione più inquietante: l'UE potrebbe usare la violazione come pretesto per rimuovere le funzionalità di privacy e trasformare lo strumento in un sistema di sorveglianza più ampio per i social media.

Alcuni commentatori hanno obiettato che l'accesso fisico a un telefono con permessi di root compromette quasi qualsiasi applicazione. Tecnicamente corretto - ma irrilevante. Un'app governativa di verifica dell'identità dovrebbe essere progettata per resistere esattamente a questo scenario, usando gli strumenti crittografici che ogni smartphone moderno mette a disposizione. Affidarsi a un file XML editabile è un'altra cosa. Altri sviluppatori hanno sollevato questioni di progettazione più generali: perché gli utenti hanno un numero limitato di verifiche dell'età? Perché le credenziali di prova d'età hanno una data di scadenza? Una volta compiuti 18 anni non si ringiovanisce.

Il contesto normativo: multe miliardarie e procedimenti in corso

L'app si inserisce nel quadro del Digital Services Act (DSA), la normativa europea che impone alle piattaforme online la verifica dell'età. Le violazioni comportano sanzioni fino al 6% del fatturato annuo globale. A marzo 2026 la Commissione Europea ha avviato procedimenti formali contro Pornhub, Stripchat, XNXX e XVideos per mancata protezione dei minori.

L'ironia è difficile da ignorare: l'UE chiede alle piattaforme di implementare la verifica dell'età - minacciando sanzioni pesantissime - e allo stesso tempo propone come soluzione ufficiale un'app che un singolo ricercatore riesce a violare in meno di due minuti. Il messaggio che arriva alle piattaforme e ai cittadini europei è quantomeno contraddittorio.

Presentare pubblicamente come «tecnicamente pronta» un'applicazione il cui stesso codice sorgente avverte di non usarla in produzione non è un errore di comunicazione. È una scelta. E nel campo della sicurezza informatica e della protezione dei dati personali le scelte hanno conseguenze concrete - per tutti gli europei che a quello strumento dovrebbero affidare la propria identità.

Fonti: cybernews.com, sqmagazine.co.uk, cyberpress.org