Eludere le misure di verifica dell’età sui social media è un gioco da ragazzi
Le misure impiegate dalle più diffuse applicazioni di social media per verificare l’età dell’utente durante il processo di iscrizione sono fondamentalmente inefficaci. Secondo una ricerca sostenuta dai progetti CyberSec4Europe e ASAP, finanziati dall’UE, i bambini di tutte le età possono eludere completamente tali meccanismi semplicemente mentendo sul proprio anno di nascita. Lo studio in questione è stato svolto presso Lero, il Centro di ricerca per il software della Science Foundation Ireland. I ricercatori hanno cercato di stabilire in che modo venissero applicati limiti d’età dalle dieci principali applicazioni social e di comunicazione usate dai bambini. Analizzando le procedure di verifica dell’età di Discord, Facebook, Houseparty, Instagram, Messenger, Skype, Snapchat, TikTok, Viber e WhatsApp, hanno scoperto che tutte queste applicazioni permettono a un utente di creare un account se afferma di avere 16 anni al momento della registrazione.
Una verifica dell’età inefficace e le sue implicazioni
Il gruppo di ricerca del progetto ha valutato la solidità delle misure di verifica dell’età di queste applicazioni. «Il nostro studio ha scoperto che… alcune applicazioni disabilitavano la registrazione se l’utente inseriva un’età inferiore ai 13 anni. Tuttavia, se al momento della registrazione si affermava di avere 16 anni, nessuna delle applicazioni successivamente richiedeva di provare la propria età», ha affermato la dott.ssa Liliana Pasquale dell’University College di Dublino, autrice principale dello studio, in un articolo pubblicato sul sito web «EurekAlert!». Tuttavia, l’utilizzo di applicazioni per le quali non avrebbero l’età giusta può avere conseguenze gravi per i bambini. «Questo lascia i bambini esposti a minacce per la privacy e per la sicurezza, come il bullismo e l’adescamento di minorenni online, o a contenuti potenzialmente inappropriati per la loro età», ha osservato la dott.ssa Pasquale. Il gruppo di ricerca del progetto ha preso in esame alcune possibili soluzioni al problema, che tuttavia presentano delle limitazioni. Ad esempio, la verifica dell’età attraverso il riconoscimento vocale potrebbe essere facilmente elusa utilizzando registrazioni vocali. Inoltre, anche i regolamenti vigenti sulla protezione dei dati si sono rivelati inefficaci, come ha riferito la dott.ssa Pasquale secondo l’articolo. «Nella realtà, l’applicazione di sanzioni pecuniarie sostanziose è stato il principale fattore a spingere i fornitori di applicazioni a introdurre meccanismi di verifica dell’età più efficaci», ha aggiunto la ricercatrice. Sulla base dei risultati del loro studio e della loro analisi delle tecniche di riconoscimento dell’età basate su dati biometrici, la dott.ssa Pasquale e il suo gruppo hanno consigliato una serie di misure ai fornitori e agli sviluppatori di applicazioni. In primo luogo, ritengono che le applicazioni dovrebbero fornire un riassunto, che sia chiaro e adatto ai più giovani, dei passaggi dei termini di utilizzo dell’applicazione relativi agli utenti di età inferiore ai 18 anni che intendono registrarsi. In secondo luogo, le impostazioni per la privacy più stringenti dovrebbero essere applicate come opzione predefinita per chi dichiara di non avere ancora diciott’anni. Infine, gli utenti dovrebbero essere incentivati a non mentire sulla propria età. Come dichiarato nell’articolo, «fornire meccanismi che scoraggino gli utenti a installare un’applicazione su un dispositivo sul quale precedentemente hanno dichiarato di essere minorenni rappresenta al momento la soluzione più ragionevole e la più difficile da eludere». L’ultima raccomandazione, ma non meno importante, è che i requisiti sull’età minima siano rinforzati da solidi meccanismi di verifica. I risultati dello studio, sostenuto dai progetti CyberSec4Europe (Cyber Security Network of Competence Centres for Europe) e ASAP (Adaptive Security and Privacy), sono stati pubblicati sulla rivista «IEEE Software». Il progetto ASAP è terminato nel 2018, mentre CyberSec4Europe si concluderà a luglio 2022. Per ulteriori informazioni, consultare: sito web del progetto CyberSec4Europe sito web del progetto ASAP
Parole chiave
CyberSec4Europe, ASAP, social media, applicazione, verifica dell’età, bambini