L’App UE per la verifica dell’età: open source, ma legata mani e piedi a Google

L’Unione Europea sta sviluppando un’applicazione per la verifica dell’età rispettosa della privacy, da personalizzare nei prossimi mesi a livello nazionale dagli Stati membri. Il progetto è disponibile in modalità open source su GitHub. Tuttavia, l’implementazione della funzione di “remote attestation” (attestazione remota dell’integrità dell’app e del sistema operativo) rischia di vanificare i principi di apertura e sovranità digitale sui quali l’iniziativa dovrebbe basarsi.

Cosa fa l’app Age Verification (AV) e perché è rilevante?

L’app si propone di fornire un sistema di verifica dell’età senza raccogliere dati personali, da integrare nei servizi digitali secondo le richieste normative, come quelle previste dal Digital Services Act o da normative nazionali sulla protezione dei minori.

La logica è semplice: un ente verifica la tua età e rilascia una credenziale verificabile che può essere mostrata a servizi terzi (come siti o app), senza rivelare chi sei.

Il problema di fondo: la “remote attestation” con Play Integrity

Secondo il README ufficiale del progetto, l’app intende utilizzare la Play Integrity API di Google per garantire che l’app sia eseguita su un sistema “genuino”. Nel contesto di Android, questo significa che:

• Il sistema operativo è sotto licenza Google.
• L’app è scaricata dal Play Store (quindi serve un account Google).
• Il dispositivo ha superato i controlli di integrità definiti da Google.

Esclusione dei sistemi Android alternativi e sovrani

L’utilizzo della Play Integrity API esclude automaticamente tutti i dispositivi Android non certificati da Google. Ad esempio:

• GrapheneOS, un sistema operativo incentrato sulla sicurezza e privacy.
• CalyxOS, una versione che punta sull’equilibrio tra usabilità e sicurezza.
• Dispositivi sprovvisti dei servizi Google oppure facenti uso di firmware personalizzati (ad esempio quelli usati nel settore pubblico o militare).

In un altro articolo ci chiediamo se sia sicuro aggiornare il dispositivo Android con una ROM personalizzata.

Nel caso dell’app Age Verification (AV) voluta dalla Commissione Europea, sebbene essa sia open source e ricompilabile, non potrà essere utilizzata se non scaricata dal Play Store, perché i server di verifica dell’età rifiuteranno l’attestazione.

Questione già sollevata, ma ancora nessuna risposta

Il problema è già emerso, come testimonia una discussione avviata su GitHub: “l’uso della Play Integrity API viola i principi di interoperabilità e neutralità tecnologica nonché impedisce l’uso su sistemi più sicuri ma non certificati da Google“, si legge. Tuttavia, ad oggi nessun membro del team ha risposto, e non risultano cambiamenti nella roadmap né nella documentazione.

Come rilevato in precedenza, il codice dell’app Android è sì libero, ma il controllo è centralizzato: non potendo usare versioni compilate localmente o provenienti da store alternativi, la libertà è puramente teorica. E molti osservatori sono concordi: uno strumento pensato per l’intera Unione Europea che richiede servizi Google (Play Store, Google Account, API proprietarie) non è coerente con l’autonomia tecnologica europea.

Chi vuole usare una ROM personalizzata per motivi di privacy o sicurezza è automaticamente escluso dai giochi. Anche eventuali versioni statali che volessero evitare la dipendenza dai servizi dell’azienda di Mountain View non potranno certificare l’app se non si conformano ai requisiti Google.

Cosa si potrebbe fare

Innanzi tutto, urge una presa di posizione ufficiale che chiarisca se ci sarà flessibilità nell’uso del meccanismo di attestazione descritto in precedenza.

Le soluzioni applicabili possono poi essere diverse: sostituire Play Integrity con Android Keystore attestation, che consente un’attestazione crittografica dell’integrità del sistema senza legarsi a Google; permettere il sideloading certificato dell’app (ad esempio, tramite firme digitali riconosciute); consentire versioni approvate dalle autorità statali, anche fuori dallo store Google.