Un disegno di legge bipartisan presentato alla Camera dei Rappresentanti degli USA il 13 aprile 2026 obbligherebbe Apple, Google e tutti gli altri fornitori di sistemi operativi a raccogliere la data di nascita di ogni utente - adulto o minore - come condizione per configurare un dispositivo. H.R. 8250, il Parents Decide Act, sposta la responsabilità della verifica dell'età dalle singole app al livello del sistema operativo, creando quello che i ricercatori di privacy descrivono come un registro d'identità permanente a livello di dispositivo che seguirebbe gli utenti attraverso ogni applicazione che installano.
Cosa prevede effettivamente il disegno di legge
Presentato dal Rep. Josh Gottheimer (D-NJ) e copatrocinato dalla Rep. Elise Stefanik (R-NY), il Parents Decide Act impone a qualsiasi fornitore di un sistema operativo a uso generale - che copre smartphone, tablet, computer, smart TV, console di gioco, e-reader e dispositivi embedded - di richiedere a tutti gli utenti di inserire la propria data di nascita prima di completare la configurazione del dispositivo. Se un utente ha meno di 18 anni, un genitore o tutore legale deve fornire una verifica aggiuntiva. La Federal Trade Commission sarebbe tenuta a emanare regolamenti di attuazione entro 180 giorni dall'entrata in vigore e a riferire al Congresso sulla conformità entro 18 mesi.
Il Rep. Gottheimer ha inquadrato il disegno di legge come un ripristino del controllo genitoriale: "I genitori devono decidere quali app possono scaricare i loro figli, quali contenuti possono vedere e come interagiscono online - non gli algoritmi o le aziende tecnologiche." Il disegno di legge crea anche un porto sicuro per i fornitori di SO che si conformano in buona fede ed entra in vigore un anno dopo la firma.
Il problema della privacy: ogni app ottiene la tua data di nascita
L'elemento più controverso della legislazione non è il meccanismo di controllo genitoriale, ma l'interfaccia programmatica obbligatoria che il disegno di legge creerebbe. Ai sensi di H.R. 8250, i sistemi operativi sarebbero tenuti a esporre i dati sull'età raccolti tramite un'API accessibile a qualsiasi applicazione installata sul dispositivo. I ricercatori di privacy notano che questo significa che ogni sito web, ogni gioco, ogni utilità e ogni rete pubblicitaria potrebbe interrogare il SO sulla data di nascita dell'utente semplicemente effettuando la chiamata API.
La US Internet Privacy Society ha descritto questo come costringere di fatto ogni dispositivo a trasmettere la data di nascita del proprietario a qualsiasi applicazione che lo richieda - senza possibilità di opt-out per gli adulti. La preoccupazione non è ipotetica: le ricerche hanno dimostrato che solo tre informazioni - data di nascita, codice postale e sesso - sono sufficienti per identificare in modo univoco l'87 per cento degli americani. Una volta esposta tramite un'API obbligatoria a livello di SO, quella data di nascita diventa un identificatore permanente di tracciamento cross-site, consentendo ai broker di dati di correlarla con nomi, indirizzi, profili comportamentali e cronologie degli acquisti nell'intero ecosistema pubblicitario.
Portata: ogni utente, ogni dispositivo, nessuna eccezione
A differenza delle precedenti proposte di verifica dell'età che puntavano a piattaforme o categorie di contenuti specifiche, H.R. 8250 si applica universalmente. Il requisito della data di nascita riguarda tutti gli utenti, non solo i minorenni. Un adulto che acquista un nuovo laptop, smartphone o smart TV sarebbe tenuto a fornire la propria data di nascita prima di poter completare la configurazione. La portata del disegno di legge sui "dispositivi informatici a uso generale" è abbastanza ampia da comprendere non solo computer e telefoni tradizionali, ma anche console di gioco, televisori connessi e un'ampia gamma di elettronica di consumo integrata.
Il disegno di legge si trova attualmente nella prima fase del processo legislativo, rinviato al Comitato per l'Energia e il Commercio della Camera senza che sia ancora stata fissata alcuna udienza. Dovrebbe superare il comitato, essere approvato dalla Camera e dal Senato e firmato dal Presidente prima di diventare legge - un percorso con notevole incertezza. Ma la direzione che segnala è chiara: un crescente appetito nel Congresso per la verifica dell'identità a livello infrastrutturale della tecnologia di consumo.
Cosa significa per gli utenti VPN
Una VPN instrada il traffico di rete attraverso un tunnel crittografato e maschera gli identificatori basati su IP - ma opera a livello di rete. H.R. 8250 opera a livello di dispositivo, completamente al di sotto dello stack di rete. Se promulgato, il requisito di verifica dell'età si applicherebbe durante la configurazione del dispositivo, prima che venga generato qualsiasi traffico di rete. Il vostro fornitore VPN, il vostro resolver DNS e la vostra estensione del browser per bloccare le impronte digitali non avrebbero alcuna visibilità sull'invio dell'età a livello di SO - e nessuna capacità di impedirlo.
Ciò che differenzia questo dalla maggior parte dei framework di sorveglianza che le VPN sono progettate per contrastare è l'endpoint: la raccolta dei dati avviene sul dispositivo stesso, al momento della configurazione. Il legame risultante tra data di nascita e dispositivo persisterebbe indipendentemente da quale VPN, browser o rete l'utente impieghi successivamente.
Copertura correlata su vpnlab.io
Articoli precedenti sulla legislazione di verifica dell'età e le sue conseguenze per la privacy:
- App di verifica dell'eta UE hackerata in 2 minuti - Durov avverte del rischio di sorveglianza - cosa succede quando l'infrastruttura obbligatoria di verifica dell'età diventa essa stessa la superficie di attacco.
- Internet con passaporto in Australia: come Google e Bing verificano ora l'eta degli utenti - come i controlli dell'età adiacenti al SO funzionano già in Australia.
- Dopo i controlli dell'eta nel Regno Unito sui siti per adulti, l'uso di VPN schizza alle stelle - la risposta documentata in termini di privacy quando la verifica dell'età raggiunge gli utenti finali.
