Verifica dell'età obbligatoria: GrapheneOS non ci sta

GrapheneOS ha tracciato una linea netta. Il sistema operativo basato su Android, sviluppato da un'organizzazione non-profit e orientato alla sicurezza e alla privacy, ha dichiarato pubblicamente che non si conformerà alle leggi emergenti sulla verifica dell'età a livello di sistema operativo. Il messaggio è diretto: piuttosto che raccogliere dati anagrafici degli utenti, il progetto è disposto a rinunciare alla vendita dei propri dispositivi nei mercati che lo richiedono.

La legge californiana e il contesto normativo

Il catalizzatore principale è il Digital Age Assurance Act della California, la cui entrata in vigore è fissata al 1° gennaio 2027. La legge impone ai fornitori di sistemi operativi di richiedere l'inserimento dell'età o dell'anno di nascita durante la configurazione iniziale del dispositivo. Un dettaglio non trascurabile: la legge richiede l'inserimento del dato, ma non la sua verifica effettiva.

Il secondo aspetto è più insidioso. La normativa prevede anche un'API che gli sviluppatori di app possono interrogare per conoscere la fascia d'età dell'utente. In pratica, il sistema operativo diventerebbe un intermediario permanente tra l'utente e ogni applicazione installata, comunicando dati personali a terzi su richiesta. Anche senza una verifica rigorosa dell'identità, è un'infrastruttura di sorveglianza anagrafica integrata nel cuore del dispositivo.

La California non è sola. Texas e Utah hanno approvato leggi simili, entrambe già oggetto di cause legali per potenziali violazioni costituzionali. La direzione è chiara: spostare la responsabilità della verifica dell'età dall'applicazione al sistema operativo stesso.

Chi si adegua, chi resiste, chi temporeggia

Le risposte dell'industria sono un mosaico. Apple ha già implementato la cosiddetta "Declared Range API" per iOS e macOS, conformandosi alle normative di diversi stati e paesi, e ha persino pubblicato una sezione FAQ per guidare gli sviluppatori nell'adeguamento. Nessuna sorpresa: Apple gestisce un ecosistema chiuso con un'infrastruttura di account centralizzata. Aggiungere un campo "fascia d'età" è tecnicamente banale per Cupertino.

Sul versante Linux la situazione è più frammentata. Canonical ha dichiarato di stare "esaminando la questione internamente con il proprio ufficio legale", senza piani concreti su come - o persino se - Ubuntu cambierà in risposta. Fedora sta esplorando implementazioni che non richiederebbero servizi esterni, basate dunque su un'API esclusivamente locale.

Per sensibilizzare il pubblico sulla questione c'è Ageless Linux, sito apertamente sovversivo che mantiene una pagina web nella quale vengono catalogate le posizioni delle varie distribuzioni. Fornisce inoltre una serie di comandi per strappare le funzionalità di verifica dell'età dal sistema.

Ad ogni modo: il problema è strutturale. Le distribuzioni Linux in genere non dispongono di sistemi di account online che possano tracciare l'età dell'utente. Come si applica una legge sulla verifica dell'età a un sistema operativo che non sa nemmeno chi lo sta usando? Non è una domanda retorica: è un buco normativo che i legislatori sembrano non aver considerato, o hanno scelto di ignorare.

Il nodo Motorola e le conseguenze pratiche

La posizione della software house acquisisce peso specifico alla luce della partnership annunciata con Motorola per la commercializzazione di dispositivi con GrapheneOS preinstallato nativamente.

Finché GrapheneOS era un progetto di nicchia, che gli utenti potevano installare manualmente sui dispositivi originariamente dotati di altri sistemi operativi, la questione della conformità normativa restava tangenziale. Ma con dispositivi dotati nativamente di GrapheneOS e destinati alla vendita al grande pubblico, il quadro cambia radicalmente.

Se la California - o qualsiasi altra giurisdizione con leggi analoghe - applica la normativa ai dispositivi venduti sul proprio territorio, quei telefoni Motorola con GrapheneOS non potranno essere commercializzati lì. Il progetto lo sa e lo accetta esplicitamente.

Per gli utenti più determinati resta una via d'uscita: installare manualmente GrapheneOS su dispositivi compatibili, aggirando le restrizioni sulla vendita dei prodotti preinstallati. Ma questo richiede comunque competenze tecniche e la disponibilità di un dispositivo compatibile (non tutti gli smartphone lo sono).

Privacy contro conformità: una tensione destinata a crescere

La scelta di GrapheneOS non è solo una questione di principio. È un test pratico di come i sistemi operativi alternativi - quelli che esistono proprio perché rifiutano i compromessi dei prodotti mainstream - possano sopravvivere in un panorama normativo costruito attorno a ecosistemi centralizzati e controllabili.

Le leggi sulla verifica dell'età partono da un presupposto architetturale preciso: che il sistema operativo sia gestito da un'entità commerciale con un rapporto di account con l'utente. Apple e Google rientrano perfettamente in questo schema. GrapheneOS, le distribuzioni Linux, qualsiasi progetto open source che non richieda un account per funzionare: no. La normativa non li ha previsti, o li ha ignorati deliberatamente.

Il rischio concreto è che leggi pensate per regolamentare i giganti della tecnologia finiscano per rendere illegali - o quantomeno invendibili - le alternative che offrono maggiore tutela della privacy.

Un esito paradossale: nel tentativo di proteggere i minori, si eliminerebbe dal mercato il software che protegge tutti gli utenti dalla raccolta indiscriminata di dati personali.

GrapheneOS ha scelto la coerenza rispetto alla convenienza commerciale. Non è una posizione che ogni progetto può permettersi. Il precedente è posto, e il messaggio è inequivocabile: esistono limiti oltre i quali un sistema operativo costruito sulla privacy non può piegarsi senza tradire la propria ragion d'essere.

Fonti: Techradar, Tomshardware, Privacyguides