Come Linux evita il blocco: la verifica sull'età deve escludere l'open source

Nuove normative che mirano a introdurre controlli sull’accesso ai contenuti digitali da parte dei minori nascono come funghi. L’Europa ha pronta la sua app per la verifica dell’età, capace – sulla carta – di garantire il cosiddetto “doppio anonimato”, se non che la stessa è stata violata in appena 2 minuti. La Germania, come altri Paesi, puntano invece a rendere obbligatoria la verifica dell’età a livello di sistema operativo. La stessa impostazione sembra convincere gli USA che sono orientati a una soluzione simile, sia per iniziativa dei singoli Stati, sia sul piano federale.

Abbiamo già visto perché Linux potrebbe diventare illegale e dove si concentrano le criticità più importanti. Oltre alla legge californiana AB 1043, conosciuta come Digital Age Assurance Act e alla proposta federale H.R. 8250, chiamata Parents Decide Act, novità arrivano anche dal disegno di legge SB26-051 in Colorado. Quanto accaduto nelle scorse ore, tuttavia, accende un faro di speranza per Linux e per il software libero in generale.

Quando iniziative normative incontrano l’architettura del software libero, emergono infatti attriti tecnico-giuridici molto difficili da risolvere: il problema è che il perimetro fissato dal legislatore tende ad allargarsi fino a includere anche tecnologie che non funzionano affatto secondo il modello preso come riferimento.

Il tema della verifica dell’età nei sistemi operativi

Meccanismi che richiedono ai dispositivi di verificare o attestare l’età dell’utente prima di consentire l’accesso a determinati contenuti o servizi possono essere integrati, negli ambienti centralizzati – ad esempio piattaforme social o servizi SaaS -, mediante l’uso di account, autenticazione e database proprietari. Ma il punto è che un sistema operativo open source non dispone di un’autorità centrale che gestisca identità e credenziali.

Distribuzioni Linux come Debian, Fedora o Arch Linux sono sviluppate e mantenute da comunità distribuite: non esiste un soggetto giuridico unico che possa integrare obblighi di conformità o gestire flussi di dati personali.

Imporre un sistema di verifica dell’età significherebbe richiedere modifiche profonde a livello di kernel, package manager e librerie di sistema, introducendo dipendenze da servizi esterni per l’identità digitale.

Una soluzione del genere non solo è tecnicamente complessa, ma entra in conflitto diretto con principi come la trasparenza del codice e la minimizzazione dei dati.

Il ruolo di System76 con l’esclusione di Linux e del software open source

Un passaggio decisivo nella revisione del disegno di legge del Colorado è arrivato grazie all’intervento di System76, azienda statunitense che produce hardware ottimizzato per Linux. Il CEO Carl Richell ha incontrato direttamente il senatore Matt Ball, co-autore della proposta: non si è trattato di una semplice presa di posizione pubblica. Il confronto tra i due ha infatti fortunatamente portato a una revisione del testo normativo.

Le modifiche in discussione prevedono l’esclusione esplicita del software open source dagli obblighi di age verification. Ciò include sia i sistemi operativi, come Linux, sia le applicazioni distribuite con licenze libere (i.e. software libero).

In sostanza, si riconosce che l’assenza di un “provider” centrale dal quale il software dipende rende impossibile applicare gli stessi requisiti previsti per aziende strutturate.

Va detto però che la correzione in fase di implementazione non nasce da una comprensione diffusa del problema, ma da un intervento mirato: senza quel confronto diretto, fortemente voluto da Richell, il rischio di un’applicazione indiscriminata della norma sarebbe rimasto.

Una luce in fondo al tunnel per Linux e i progetti aperti

Nell’articolo provocatoriamente intitolato “Linux illegale“, avevamo osservato che una delle maggiori difficoltà per il mondo Linux è proprio organizzare una risposta corale alle nuove minacce normative.

Avevamo ipotizzato che un fronte comune potesse essere tenuto da organizzazioni come Electronic Frontier Foundation (EFF), Linux Foundation e Software Freedom Conservancy, citando proprio anche System76 come possibile soggetto in grado di “premere i tasti giusti”.

E in Colorado l’azione di System76 sembra aver dato subito i suoi frutti: a questo punto l’auspicio è che l’esenzione di Linux e dei software open source in generale dagli adempimenti legati alla verifica dell’età possa essere ugualmente adottata su scala globale.

D’altra parte, il modello normativo presuppone l’esistenza di un soggetto responsabile, definito come operating system provider, incaricato di raccogliere e trasmettere segnali sull’età dell’utente. Nel software proprietario, questo ruolo coincide con l’azienda che sviluppa e distribuisce il prodotto; nel mondo open source, invece, tale figura non esiste.

Un progetto come il kernel Linux è mantenuto da migliaia di contributori; le distribuzioni aggregano pacchetti provenienti da fonti diverse; il codice è replicato e modificato liberamente. Chi dovrebbe implementare un sistema di verifica? E soprattutto: chi dovrebbe essere sanzionato in caso di mancata conformità? Il punto è che la struttura decentralizzata dell’open source rende impraticabile qualsiasi obbligo che richieda controllo centralizzato o gestione diretta dei dati degli utenti.

Inoltre, l’introduzione di controlli sull’età implicherebbe inevitabilmente la raccolta di informazioni personali: ciò contrasta con molte licenze e con le pratiche consolidate nella comunità, dove la privacy viene spesso considerata un requisito di base, non un optional.