Il 15 aprile 2026 la Commissione europea ha dichiarato che la sua nuova app di verifica dell'eta digitale era tecnicamente pronta per il deployment. La presidente della Commissione Ursula von der Leyen l'ha presentata personalmente, affermando che soddisfa "i piu elevati standard di privacy." Lo strumento e concepito per proteggere i minori dai contenuti dannosi sulle piattaforme social.
Il design tecnico sembrava convincente: scansione del passaporto o della carta d'identita, verifica biometrica tramite video-selfie, elaborazione interamente sul dispositivo dell'utente senza trasmissione di dati a server esterni. Codice sorgente aperto, compatibilita con il futuro portafoglio di identita digitale europeo (EUDI). La promessa: dimostrare la maggiore eta senza rivelare dati personali.
Aggirata in meno di 2 minuti
Poche ore dopo l'annuncio ufficiale, il consulente di sicurezza britannico Paul Moore ha pubblicato una dimostrazione completa di come aggirare l'autenticazione. Tempo necessario: meno di due minuti.
Il metodo era allarmante nella sua semplicita. Il contatore di protezione contro il brute-force del PIN e memorizzato come un semplice intero in un file di configurazione in testo normale - puo essere azzerato manualmente. La verifica biometrica e implementata come un flag booleano nello stesso file - impostandolo su false l'intero passaggio viene saltato. Eliminare due valori (PinEnc e PinIV) e riavviare l'app consente di accedere al profilo di identita di un altro utente.
Nessuno strumento specializzato, nessun exploit zero-day - solo un editor di testo. Un audit di sicurezza del marzo 2026 aveva gia rilevato che il componente emittente dell'app non puo verificare che la verifica del passaporto sia avvenuta realmente sul dispositivo dell'utente.
Durov: hackerabile per design
Il fondatore di Telegram Pavel Durov ha commentato la situazione nel suo canale. La sua analisi: l'app era hackerabile per architettura, non per caso. Fare affidamento ciecamente sul dispositivo locale e memorizzare parametri di sicurezza critici in file di testo modificabili rende qualsiasi garanzia di sicurezza illusoria.
Durov ha sollevato una preoccupazione piu grave: il clamoroso fallimento potrebbe fornire alle autorita UE un comodo pretesto per ridisegnare l'app verso la verifica centralizzata, creando un'infrastruttura in cui ogni visita a un sito con restrizioni di eta verrebbe registrata su server governativi. Quello che era nato come strumento di protezione dei minori potrebbe trasformarsi silenziosamente in un meccanismo di sorveglianza di massa dell'attivita online dei cittadini.
Durov aveva gia criticato i piani spagnoli di verifica obbligatoria dell'eta sui social network, definendoli un passo verso uno "stato di sorveglianza," e si e opposto ripetutamente al progetto Chat Control dell'UE.
Il contesto piu ampio
L'app di verifica dell'eta fa parte della piu ampia agenda digitale dell'UE. In base al regolamento eIDAS 2.0, tutti gli Stati membri devono implementare versioni nazionali del portafoglio di identita digitale europeo entro la fine del 2026. L'app era concepita come il primo passo pubblico verso un sistema di identita digitale unificato per i cittadini europei.
I critici avevano a lungo avvertito che qualsiasi sistema che richieda la conferma dell'identita per accedere ai contenuti crea inevitabilmente un'infrastruttura di sorveglianza, indipendentemente dalle intenzioni degli sviluppatori. L'hack in due minuti ha confermato che l'esecuzione tecnica e ben al di sotto delle ambizioni dichiarate.
Al momento della pubblicazione, la Commissione europea non aveva rilasciato alcuna risposta ufficiale ne pubblicato aggiornamenti di sicurezza.
Ulteriori vulnerabilita e preoccupazioni GDPR
Ulteriori analisi hanno rivelato altri problemi. Le foto del volto dai documenti di identita vengono memorizzate sul dispositivo come file PNG non crittografati. I selfie di verifica vengono scritti nell'archiviazione esterna e non vengono mai eliminati. Il ricercatore Moore ha anche dimostrato che un'estensione del browser puo generare risposte di verifica valide false, aggirando completamente l'app. Questo contraddice direttamente la dichiarazione ufficiale che "non vengono memorizzati dati personali" e solleva seri interrogativi sulla conformita al GDPR riguardo ai dati biometrici.
Un dettaglio significativo: il repository GitHub ufficiale dell'app contiene un avviso che si tratta di software in "fase di sviluppo iniziale" con standard di sicurezza ridotti e sconsiglia l'uso in produzione. Quell'avviso era presente durante l'annuncio ufficiale di Ursula von der Leyen.
Fonti: Post Telegram di Durov, Cybernews, CyberSecurityNews, PiunikaWeb, CyberInsider, Biometric Update
