Linux illegale: dove succede e perché il tempo per reagire sta finendo

I sistemi di verifica dell’età stanno uscendo dai siti Web e dalle app per arrivare al livello più basso del dispositivo: il sistema operativo. La legge californiana AB 1043, conosciuta come Digital Age Assurance Act, e la proposta federale H.R. 8250, chiamata Parents Decide Act, seguono proprio questa logica: non chiedere più a ogni singola piattaforma di valutare l’età dell’utente, ma obbligare il sistema operativo a raccogliere un segnale anagrafico e renderlo disponibile ad applicazioni e siti Web.

L’obiettivo dichiarato è proteggere i minori; il problema è che il testo giuridico non riguarda solo Apple, Google e Microsoft. Coinvolge anche Linux, BSD, progetti indipendenti, distribuzioni mantenute da volontari e sistemi pensati per funzionare senza account online.

Fino a oggi, le normative sulla verifica dell’età online hanno colpito soprattutto social network, siti pornografici, app store e piattaforme di contenuti. AB 1043 e Parents Decide Act cambiano bersaglio: spostano la responsabilità verso chi sviluppa, fornisce in licenza o controlla il sistema operativo. Per Windows, macOS, Android e iOS è una complicazione enorme, ma gestibile. Per Fedora, Debian, Arch Linux, Linux Mint, Gentoo, NixOS, MidnightBSD o GrapheneOS, il discorso cambia radicalmente.

Perché le leggi USA sono importanti anche per l’Europa?

Viene da chiedersi perché l’Europa dovrebbe guardare agli Stati Uniti se ha completa indipendenza giurisdizionale.

La ragione è semplice: la protezione dei minori online è diventata una priorità globale e le soluzioni adottate sulle due sponde dell’Atlantico tendono in qualche modo a influenzarsi reciprocamente, soprattutto quando coinvolgono grandi piattaforme o standard tecnologici condivisi.

Un esempio concreto arriva dalla Germania, che ha già anticipato un modello in parte analogo a quello USA. La riforma del trattato JMStV introduce l’obbligo di integrare sistemi di protezione dei minori direttamente nei dispositivi e nei software, compresi sistemi operativi, browser e applicazioni. Il meccanismo prevede modalità dedicate per minori, filtri automatici e classificazione dei contenuti, con l’obbligo per i produttori di software – inclusi quelli open source – di adeguarsi di conseguenza.

Il parallelismo con AB 1043 è evidente: entrambe le impostazioni puntano a trasformare il sistema operativo in un punto centrale di controllo. Tuttavia, la Germania adotta un approccio più orientato al parental control integrato e al filtraggio, mentre la normativa statunitense insiste maggiormente su un segnale d’età interrogabile dalle applicazioni. Due modelli diversi, ma con una conseguenza comune: l’accrescimento della complessità tecnica per chi sviluppa software di base.

Orientamento dell’Unione Europea

L’Unione Europea, nel suo complesso, ha scelto una strada ancora diversa. La Commissione europea ha sviluppato una soluzione basata su un’app di verifica dell’età integrata nel futuro portafoglio di identità digitale europeo. Il sistema utilizza tecniche crittografiche come le prove “a conoscenza zero”, che permettono di dimostrare, ad esempio, di essere maggiorenni senza rivelare la data di nascita o altri dati personali.

In teoria, questo modello rappresenta un compromesso più rispettoso della privacy. In pratica, però, emergono già criticità. Il sistema di verifica dell’età, pur dichiarato “pronto” dalla Commissaria von der Leyen ha mostrato limiti evidenti: può essere aggirato facilmente, ad esempio sfruttando lo smartphone di un maggiorenne nello stesso ambiente familiare.

AB 1043: cosa impone davvero la legge californiana

AB 1043 è una legge della California firmata dal governatore Gavin Newsom il 13 ottobre 2025. Il riferimento preciso è il Digital Age Assurance Act, che entrerà in vigore il 1° gennaio 2027. Come accennato in precedenza, il testo riguarda i fornitori di sistemi operativi e introduce un modello basato su age verification signal: durante la configurazione dell’account, il sistema deve raccogliere un’informazione sull’età dell’utente e metterla a disposizione delle applicazioni.

La norma distingue tra account holder e user: il titolare dell’account può essere un genitore o tutore, mentre l’utilizzatore effettivo può essere un minore.

Il sistema operativo deve classificare l’utente in fasce d’età: sotto i 13 anni, da 13 a meno di 16, da 16 a meno di 18, e 18 anni o più.

Il punto tecnico più delicato è l’interfaccia verso le app: AB 1043 non si limita a prescrivere la raccolta della data di nascita bensì chiede che le applicazioni possano ottenere un segnale d’età in tempo reale. Il sistema operativo, qualunque esso sia, si trasforma improvvisamente in un fornitore di informazioni anagrafiche.

Parents Decide Act: la proposta federale che amplia il modello

Il Parents Decide Act è una proposta di legge federale presentata alla Camera degli Stati Uniti con l’identificativo H.R. 8250. I soggetti politici citati sono Josh Gottheimer, rappresentante democratico del New Jersey, ed Elise Stefanik, rappresentante repubblicana di New York, indicata come co-sponsor. Il comunicato di Gottheimer del 2 aprile 2026 presenta la proposta come una misura per dare ai genitori maggiore controllo su ciò che i figli possono vedere su telefoni, tablet e altri dispositivi.

La formulazione disponibile del disegno di legge è più ampia e più aggressiva rispetto alla norma californiana. Il Parents Decide Act richiede che ogni utente fornisca la data di nascita per configurare un account sul sistema operativo e per usare il sistema operativo stesso.

Se l’utente ha meno di 18 anni, un genitore o tutore legale deve verificare la data indicata. Inoltre, il provider del sistema operativo deve sviluppare un sistema che consenta agli sviluppatori di app di accedere alle informazioni necessarie per verificare la data di nascita dell’utente.

La clausola centrale del provvedimento è quella che parla di “any information as is necessary“, cioè qualunque informazione necessaria alla verifica della data di nascita. È una formula molto larga: potrebbe significare una semplice fascia d’età, ma potrebbe anche aprire la strada a dati più invasivi se la Federal Trade Commission (FTC), incaricata di scrivere le regole applicative entro 180 giorni dall’eventuale approvazione, interpretasse il requisito in modo esteso.

Differenze tra AB 1043 e Parents Decide Act

AB 1043 e Parents Decide Act hanno lo stesso bersaglio tecnico, ma non sono la stessa cosa. La legge californiana è già stata firmata e ha una data di entrata in vigore; il Parents Decide Act, invece, è una proposta federale: deve superare l’iter del Congresso e potrebbe cambiare prima di un’eventuale approvazione.

AB 1043 vale in California e può spingere alcuni progetti software a bloccare o porre limiti sull’uso da parte degli utenti californiani. Il Parents Decide Act, di contro, varrebbe invece in tutti gli Stati Uniti; quindi eliminerebbe la possibilità, almeno per i soggetti statunitensi, di trattare il problema come una questione locale.

La terza differenza riguarda la verifica. AB 1043 lavora soprattutto su fasce d’età e segnali che le app possono interrogare. Il Parents Decide Act, invece, pretende esplicitamente la verifica della data di nascita per i minori da parte di un genitore o tutore. È un modello più vicino all’identità digitale: relazione genitore-figlio, autorizzazioni, account collegati, prova dell’età dell’adulto e protezione dei dati raccolti.

La quarta differenza riguarda il regolatore. AB 1043 si inserisce nel quadro californiano e prevede enforcement a livello statale. Il Parents Decide Act coinvolge la FTC: una violazione verrebbe trattata come pratica sleale o ingannevole ai sensi del Federal Trade Commission Act. Non è un dettaglio secondario: significa multe, ordini correttivi e azioni che interessano il perimetro federale.

Perché Linux potrebbe diventare illegale

La parola chiave è “operating system provider“. Nel mondo commerciale sembra un’espressione semplice: Apple sviluppa iOS e macOS, Google sviluppa Android e ChromeOS, Microsoft sviluppa Windows. Ma Linux non funziona così. Il kernel Linux è mantenuto da una comunità globale; le distribuzioni assemblano kernel, pacchetti, installer, desktop environment e repository.

Debian ha una struttura comunitaria, Fedora è legata a Red Hat, Ubuntu a Canonical, Linux Mint a un progetto più piccolo, Arch Linux a una comunità tecnica molto snella. Gentoo, NixOS, Alpine Linux e molte altre distribuzioni hanno modelli ancora diversi.

Il fatto è che i legislatori pensano ai grandi vendor, ma la definizione finisce per includere centinaia di progetti. Il riferimento a Fedora, Linux Mint, Arch, Debian e Gentoo serve a mostrare la varietà reale del mondo Linux.

Non sono prodotti equivalenti a Windows o macOS; spesso non hanno un reparto legale, non vendono licenze, non raccolgono dati personali e non gestiscono account centralizzati.

Prendiamo MidnightBSD: si tratta di un sistema operativo libero basato su BSD (Berkeley Software Distribution, una famiglia di sistemi Unix-like), sviluppato come progetto indipendente dalla comunità e non da una grande azienda multinazionale. Il progetto ha indicato che potrebbe escludere gli utenti californiani piuttosto che implementare una conformità costosa e incerta. Il riferimento non riguarda una scelta commerciale aggressiva, ma una semplice valutazione di sostenibilità.

La questione degli account locali e Linux

Windows 11 spinge sempre di più verso l‘account Microsoft; macOS usa Apple ID per molti servizi; Android richiede spesso un account Google per l’esperienza completa.

Linux, invece, può funzionare interamente con account locali. Un utente che installa Debian, ad esempio, crea un nome utente, imposta una password e usa il sistema senza comunicare nulla a un server centrale.

AB 1043 e Parents Decide Act fanno a cazzotti proprio con questa caratteristica: se una distribuzione Linux deve raccogliere la data di nascita e renderla disponibile alle app, deve creare un archivio persistente. Se deve verificare un minore tramite un genitore, deve introdurre una relazione tra identità. Se deve consentire agli sviluppatori di app di accedere a informazioni anagrafiche, deve definire permessi, API, logging, limiti d’accesso e protezioni contro abusi.

In pratica, una distribuzione nata per funzionare offline dovrebbe diventare un sistema con funzioni di identità digitale. È una modifica pesantissima che tocca installer, account manager, desktop environment, servizi di sistema, documentazione, sicurezza e responsabilità legale, minando alla base i “fondamentali” che hanno permesso alle distro di imporsi e di essere così apprezzate dagli utenti finali, a ogni livello.

D-Bus, AccountsService e la proposta org.freedesktop.AgeVerification1

Nel dibattito intorno alle possibili implementazioni su Linux utili a mettersi in regola, è emersa una proposta tecnica precisa: usare D-Bus, il sistema di comunicazione interprocesso adottato da molte distribuzioni desktop, per esporre un’interfaccia chiamata org.freedesktop.AgeVerification1. Il riferimento è alla discussione avviata da Aaron Rainbolt, sviluppatore Ubuntu, sulla mailing list ubuntu-devel nel marzo 2026 e rilanciata anche sulla lista xdg di freedesktop.org.

L’idea è comprensibile: D-Bus già collega componenti del desktop, servizi di sistema e applicazioni. AccountsService, presente in molte distribuzioni, gestisce informazioni sugli account locali. Un’interfaccia standard potrebbe permettere alle applicazioni di chiedere al sistema una fascia d’età senza inventare soluzioni diverse per ogni distribuzione.

Ma qui iniziano i problemi. Canonical, l’azienda dietro Ubuntu, ha chiarito che quella discussione non rappresentava un annuncio ufficiale di prodotto mentre Danielle Foré, fondatrice di elementary OS, è intervenuta nel thread per discutere le difficoltà e le implicazioni per i progetti desktop. Non c’è (ed è difficile possa esservi) una regia unica.

Se Ubuntu implementa una certa API, Fedora potrebbe sceglierne un’altra; Arch potrebbe rifiutare l’integrazione; Debian potrebbe avviare una discussione pluriennale sull’argomento. Gestori di pacchetti come Flatpak e Snap avrebbero poi bisogno di regole proprie per l’accesso al dato: senza uno standard riconosciuto, i package manager non potranno fare affidamento su alcun componente software.

Flatpak, Snap, AppImage e repository: perché il controllo sulle app non è centralizzato

Apple controlla App Store; Google controlla Google Play, anche se Android consente store alternativi. Microsoft ha Microsoft Store, ma Windows resta più aperto.

Linux distribuisce software tramite repository, pacchetti DEB e RPM, Flatpak, Snap, AppImage, compilazione sorgente, script, container e archivi tarball. Non esiste un unico cancello.

È un’impostazione che fragile l’intero modello normativo: anche se il sistema operativo espone una API d’età, chi garantisce che un’app la usi correttamente? Chi certifica il comportamento di un AppImage scaricato da GitHub? Chi controlla un binario distribuito fuori dai repository? Chi decide se un’app CLI deve chiedere l’età?

Il riferimento a Flatpak, Snap e AppImage serve esattamente a questo: mostrare che Linux non replica il modello degli app store commerciali. Una legge pensata intorno ad app store mobili rischia di non funzionare su sistemi aperti e modulari.

Utenti umani, root e account di servizio

Linux usa molti account che non rappresentano persone. root è l’amministratore del sistema; Utenti come www-data, nobody, systemd-network, polkitd, avahi o libvirt-qemu servono a isolare servizi e ridurre i privilegi. Container, macchine virtuali e sandbox possono generare altri utenti tecnici.

AB 1043 e Parents Decide Act parlano di utenti, ma non chiariscono sempre come distinguere l’utente umano dagli account di servizio.

Per un legislatore la parola “utente” sembra ovvia; per un amministratore di sistema non lo è. Un server domestico con Debian può avere decine di account tecnici e nessun desktop. Un sistema live USB può non salvare nulla; un laboratorio scolastico può avere account condivisi; un dispositivo embedded può usare Linux senza alcuna interfaccia grafica.

Il Parents Decide Act prova ad affrontare almeno in parte il problema dei dispositivi condivisi, chiedendo alla FTC di scrivere regole per sistemi usati da persone di età diverse. Ma rimanda proprio al regolatore il punto più difficile. La legge dice cosa vuole ottenere; non spiega davvero come realizzarlo.

System76, Pop!_OS e il problema dell’autocertificazione

System76 è un soggetto importante perché si trova a metà strada tra grande azienda e comunità open source. Vende computer, sviluppa la nota e apprezzata distribuzione Linux Pop!_OS e impiega ingegneri, ma non ha la scala di Microsoft o Apple. Il CEO Carl Richell ha criticato l’efficacia dei nuovi obblighi di verifica dell’età con un argomento semplice: chi installa il sistema ed è chiamato a dichiarare la propria età, può comunque mentire.

Anche aziende Linux con prodotti reali come System76 vedono una contraddizione: la norma impone raccolta dati e infrastruttura, ma non risolve il comportamento più banale, cioè l’utente che inserisce una data di nascita falsa.

Se invece si passa alla verifica forte, la complessità cresce. Documento d’identità, carta di credito, controllo biometrico, provider terzo, verifica del genitore: ogni opzione introduce costi, esclusioni e rischi privacy. Non è più un semplice campo da aggiungere alla routine di installazione.

EFF, Software Freedom Conservancy e fondazioni open source

A questo punto, urge la necessità di una risposta coordinata attraverso organizzazioni come Electronic Frontier Foundation (EFF), Linux Foundation e Software Freedom Conservancy: sono tutti soggetti che possono intervenire su fronti diversi: analisi legale, patrocini, standard tecnici, difesa della libertà di sviluppo e dialogo con i legislatori.

EFF ha una lunga storia nelle battaglie su privacy, libertà di espressione e sorveglianza digitale. Software Freedom Conservancy lavora sulla tutela del software libero e delle comunità che lo sviluppano. Linux Foundation può rappresentare interessi industriali e tecnici più ampi.

Senza un coordinamento di questo tipo, ogni distribuzione Linux finirà per rispondere da sola, con risultati frammentati.

Privacy: il sistema operativo come registro anagrafico

La critica più forte riguarda la privacy. Un sistema operativo, di norma, non ha bisogno di sapere quanti anni abbia l’utente per avviare il kernel, gestire il filesystem, eseguire un browser o aprire un editor di testo. AB 1043 e Parents Decide Act introducono invece un dato anagrafico persistente nel cuore del dispositivo.

Pensiamo al principio di minimizzazione previsto nel GDPR europeo: la normativa prescrive di raccogliere solo i dati necessari per una finalità specifica. Anche se il GDPR è europeo e non disciplina direttamente una legge californiana o federale statunitense, il principio tecnico resta valido. Meno dati sensibili raccogli, meno dati puoi perdere, esporre o usare male.

Una API legata all’età crea inoltre una nuova superficie d’attacco: le app potrebbero abusare del segnale, gli sviluppatori potrebbero richiedere più informazioni del necessario, i broker pubblicitari, quegli stessi soggetti la cui attività la California vuole ridurre, potrebbero considerare la fascia d’età un dato prezioso, malware e spyware potrebbero tentare di intercettarlo.

Sanzioni e rischio economico

AB 1043 prevede sanzioni che possono arrivare a 2.500 dollari per minore interessato in caso di violazione negligente e 7.500 dollari per violazione intenzionale. Per Apple o Microsoft sono cifre da valutare nel quadro di un rischio legale ampio. Per una piccola distribuzione o un progetto volontario sono importi potenzialmente distruttivi.

Il Parents Decide Act si appoggia invece alla FTC: come osservato in precedenza, le violazioni sarebbero trattate come pratica sleale o ingannevole. Anche qui il problema non è solo la multa finale, ma il costo di arrivare preparati: consulenza legale, audit, documentazione, sicurezza, gestione incidenti, risposta a richieste regolatorie.

Arrivare a una conformità richiede persone, procedure, strumenti, revisione continua e responsabilità definite: non tutto può risolversi con una modifica software. Molti progetti open source non hanno nulla di tutto questo, non per negligenza, ma perché sono nati per scrivere e distribuire software, non per gestire identità legali.

Il rischio reale per Linux

Dire che AB 1043 o il Parents Decide Act rendono Linux “illegale” è una semplificazione che però rende bene l’idea: provvedimenti del genere possono rendere rischiosa o economicamente insostenibile la distribuzione di alcuni sistemi, soprattutto per i progetti sprovvisti di una struttura legale. Nessun testo dice: Linux è vietato. Ma un obbligo impossibile da rispettare può produrre effetti simili a un divieto.

Le distribuzioni più grandi potrebbero adattarsi: Ubuntu conta su Canonical; Fedora ha il supporto di Red Hat; SteamOS è legata a Valve e alla Steam Deck; ChromeOS e Android sono controllati da Google. Ma Arch Linux, Gentoo, Void Linux, Alpine Linux, MidnightBSD, progetti derivati e distribuzioni personali non hanno la stessa capacità.

Il rischio è una selezione normativa: restano disponibili i sistemi mantenuti da aziende ricche, mentre quelli comunitari si ritirano, bloccano utenti o ignorano la norma sperando di non finire nel mirino. Non è un buon risultato per la libertà di scelta, né per la sicurezza. Spesso i progetti piccoli sperimentano soluzioni che poi migliorano tutto il settore.

In definitiva, norme pensate per proteggere i minori non possono ignorare l’architettura dei sistemi che pretendono di regolare. Senza esenzioni per progetti non commerciali, definizioni più strette, limiti chiari sull’accesso ai dati e standard tecnici condivisi, il rischio è creare un’infrastruttura di tracciamento anagrafico senza rendere davvero più sicuri i minori.