L'UE vieterà le VPN?

Veniva utilizzata dai dipendenti per accedere ai sistemi aziendali, dai giornalisti per proteggere le proprie fonti, dai viaggiatori per usare le reti pubbliche in modo più sicuro e dagli utenti che non volevano che ogni sito web vedesse immediatamente il loro indirizzo IP. Ora, però, lo stesso strumento si trova in un contesto politico ben diverso. Nelle discussioni sulla verifica dell'età online, le VPN sono sempre più viste come un problema, non come una protezione.

Al momento, un divieto totale delle VPN non è all'ordine del giorno come proposta di legge europea, ma è chiaro che in Europa si sta aprendo un dibattito sulla possibilità di limitarne l'uso per accedere a contenuti per i quali è prevista la verifica dell'età.

Il cambiamento più significativo non è che Bruxelles eliminerà le app VPN dagli store da un giorno all'altro. Più preoccupante è il modo in cui i responsabili politici dell'UE hanno iniziato a descrivere le VPN: come un ostacolo alla protezione dei minori.

Perché le VPN sono improvvisamente diventate un argomento politico?

Il nocciolo della questione non è la pirateria o l'occultamento della posizione per abbonamenti più economici. Questa volta, il motivo scatenante è la protezione dei minori online. Nell'ambito del Digital Services Act, la Commissione europea ha elaborato linee guida per la tutela dei minori e un prototipo di applicazione per la verifica dell'età. L'obiettivo è consentire agli utenti di dimostrare di avere più di 18 anni, ad esempio quando accedono a contenuti per adulti, senza dover rivelare la propria identità completa o l'età esatta. La Commissione sottolinea che la soluzione deve tutelare la privacy, dare agli utenti il controllo sui propri dati personali e impedire che i contenuti che visitano vengano tracciati.

Sulla carta, questo è un obiettivo razionale. Nessuno sosterrebbe seriamente che ai minori debba essere consentito l'accesso a siti pornografici, piattaforme di scommesse o altri servizi per i quali la legge richiede il raggiungimento della maggiore età. Il problema sorge nella fase di implementazione. Se un sito web verifica l'età di un utente in base al paese da cui si connette, una VPN può rapidamente cambiare la situazione. L'utente può connettersi tramite un server al di fuori dell'UE o di un paese con normative più severe e il sistema non lo considera più un utente locale. Il Servizio di ricerca del Parlamento europeo ha quindi rilevato che l'uso delle VPN è aumentato notevolmente nei paesi in cui sono stati introdotti sistemi legali di verifica dell'età e ha osservato che alcuni sostengono la necessità di limitare l'accesso ai servizi VPN agli utenti che superano una certa età digitale.

Con questa mentalità, le cose possono complicarsi. Una VPN non serve solo a eludere le normative. Una VPN è anche un livello di sicurezza. Se l'autorità di regolamentazione considera l'elusione come l'obiettivo principale, la sicurezza diventa rapidamente un danno collaterale.

Cosa dice l'Unione Europea?

Molti titoli di giornale lasciano intendere che l'UE si stia già preparando a vietare le VPN. Si tratta di un'esagerazione. È più corretto affermare che le istituzioni e i politici europei riconoscono le VPN come un ostacolo all'attuazione delle restrizioni di età. Il Servizio di ricerca del Parlamento europeo, in un documento sulle VPN e la protezione dei minori, ha osservato che le VPN vengono utilizzate per eludere i metodi di verifica dell'età online e ha evidenziato il dibattito sull'opportunità di limitare l'accesso ai servizi VPN agli utenti che abbiano raggiunto la maggiore età digitale. Non si tratta di una legge, né di un divieto, né di un ordine diretto agli Stati membri, ma è un segnale della direzione che sta prendendo il pensiero.

A mio avviso, questo cambiamento sembra più importante della parola "divieto". Un divieto è legalmente chiaro, politicamente esplosivo e tecnicamente difficile da attuare. La restrizione, d'altro canto, è più sfuggente.

Potrebbe significare la verifica dell'età prima di utilizzare una VPN. Potrebbe significare obblighi per i fornitori di servizi VPN. Potrebbe significare bloccare l'accesso a determinati siti da parte di server VPN noti. Potrebbe significare esercitare pressioni sugli app store. Potrebbe significare richiedere alle piattaforme di implementare "misure ragionevoli" contro l'elusione, senza una chiara definizione di cosa sia ragionevole e cosa sia eccessivo.

Perché mai qualcuno dovrebbe voler limitare l'utilizzo di una VPN?

Se un Paese impone la verifica dell'età e poi ogni adolescente la aggira con un'app VPN gratuita, la legge perde credibilità. Le restrizioni sull'età funzionano solo se sono difficili da eludere. Altrimenti, l'intera normativa si trasforma in uno spettacolo per adulti e i ragazzi imparano in fretta quale app installare.

Il dibattito sulle VPN è in corso anche nel Regno Unito, che ha già implementato sistemi di verifica dell'età, e nello stato americano dello Utah. Entrambi hanno registrato un enorme aumento nell'utilizzo delle VPN dall'introduzione della verifica dell'età.

L'UE avrà molta difficoltà a trovare una soluzione che soddisfi le esigenze degli adulti, metta a tacere gli utenti che sono principalmente preoccupati per la privacy online e, allo stesso tempo, renda la stessa soluzione inattaccabile per i minori.

La verifica dell'età presenta un problema di affidabilità

La Commissione europea descrive la sua soluzione come rispettosa della privacy. Permetterebbe agli utenti di dimostrare di avere più di 18 anni senza rivelare dati personali in misura superiore al necessario. La soluzione sarebbe interoperabile con i futuri portafogli digitali europei e gli Stati membri potrebbero adattarla alle proprie esigenze senza modificarne le garanzie in materia di privacy.

Questo è un obiettivo valido, ma non elimina tutte le preoccupazioni. La verifica dell'età non riguarda solo ciò che il sistema promette, ma anche chi lo gestisce, come viene verificata la sua sicurezza, quali fornitori sono coinvolti, per quanto tempo vengono conservati i dati, se esistono registri di accesso e cosa succede in caso di uso improprio. Con le tecnologie di identificazione, gli errori raramente sono di poco conto. Se un utente si affida a un sistema per dimostrare la propria età e in seguito questo sistema diventa un lasciapassare più ampio per accedere a Internet, la natura stessa della navigazione anonima cambia.

Pertanto, il dibattito sulle VPN è in realtà un dibattito su quanta identità sarà necessaria per il normale utilizzo del web in futuro.

Un divieto totale sarebbe problematico sia dal punto di vista tecnico che politico.

Vietare le VPN nell'UE sarebbe estremamente difficile da attuare. Innanzitutto, perché le VPN non sono un prodotto unico. Esistono applicazioni commerciali, sistemi VPN aziendali, server privati, soluzioni di rete aziendali, funzionalità di sicurezza del browser e protocolli che non sono facilmente distinguibili dal traffico crittografato legittimo. Bloccare gli indirizzi VPN noti è possibile, ma i provider possono modificarli. La scansione approfondita del traffico solleva nuove problematiche in termini di privacy e sicurezza. Vietare le app dagli store non impedisce le installazioni da altre fonti, ma colpisce maggiormente gli utenti comuni rispetto agli esperti di tecnologia.

Dal punto di vista politico, un divieto totale sarebbe ancora più difficile da attuare. L'Unione Europea ama presentarsi come un luogo di diritti fondamentali, protezione dei dati e privacy digitale. Le VPN vengono spesso utilizzate proprio per tutelare questi valori. Se l'UE optasse per un divieto generalizzato, sarebbe difficile spiegare la differenza tra la protezione dei minori e la limitazione generale degli strumenti per la tutela della privacy.

"VPN sì o no?" è la domanda sbagliata

Il dibattito viene spesso impostato in modo troppo semplicistico. Da una parte ci sono coloro che vogliono proteggere i bambini, dall'altra coloro che difendono le VPN. Questa è una prospettiva errata. Proteggere i bambini è un compito legittimo. Anche la privacy è un diritto legittimo. La questione non è quale valore debba prevalere sull'altro, ma se sia possibile costruire un sistema che non smantelli l'intero ecosistema della sicurezza a causa di un singolo problema.

Se dovessi scegliere la domanda giusta, la formulerei diversamente: come possiamo impedire ai minori di accedere a contenuti non adatti alla loro età senza creare un'infrastruttura per la verifica di massa dell'identità e limitare gli strumenti di tutela della privacy? Questa domanda è più difficile, ma anche più onesta.

L'UE per ora non vieta le VPN. Ma il dibattito su di esse non è più marginale. Quando le VPN emergono nei dibattiti ufficiali come una "scappatoia" da chiudere, gli utenti giustamente diventano diffidenti. Non perché tutte le app VPN saranno vietate domani, ma perché internet può cambiare a più livelli. Prima, la verifica dell'età per i contenuti per adulti. Poi i requisiti contro l'elusione. Poi le restrizioni sugli strumenti che consentono tali elusioni. Infine, nuove aree in cui è necessario dimostrare qualcosa di diverso dall'età.

Spero che l'Europa trovi una strada che non conduca al totalitarismo digitale, ma i segnali attuali sono tutt'altro che incoraggianti.