È in vigore dal 12 novembre la norma Agcom che obbliga alla verifica dell’età minima applicabile per tutti i siti e le piattaforme che diffondono contenuti pornografici. Il controllo è eludibile? Sebbene il modello di funzionamento ideale sia teorico, esistano accorgimenti tecnologici e furbizie procedurali di raggiro, ma la valutazione effettiva sull’efficacia dei controlli dipenderà dall’implementazione tecnica materiale e dai test di sicurezza. Ne abbiamo parlato con 2 esperti: Giorgio Giacinto, professore presso l’Università di Cagliari e coordinatore dello spoke 3 della Fondazione SERICS dedicato ad “attacco e difesa” e Alessandro Armando, professore dell’Università di Genova, direttore del laboratorio nazionale di cybersecurity del CINI e Coordinatore dello spoke 4 SERICS dedicato alla sicurezza dei sistemi operativi e virtualizzazione.
Le possibili elusioni del controllo età
Giorgio Giacinto descrive alcune delle possibili modalità di tecniche di raggiro dei controlli. «Primariamente si possono sfruttare i collegamenti con servizi di Reti Virtuali Private (VPN) o sistemi proxy, capaci di mascherare la provenienza della richiesta di accesso, da paese extraeuropeo o non italiano. Il controllo dell’età, in questi casi, potrebbe non essere richiesto». Nel caso d’uso di un’app che identifichi l’utente, ma che rilasci solo una prova di maggiore età verso il sito pornografico, la possibile elusione può dipendere da molti fattori: «un’app è sicura in linea teorica - chiarisce il docente - ma solo accurati test di sicurezza possono dare certezze sull’assenza di vulnerabilità sfruttabili del codice». Il riferimento è relativo alle potenziali manomissioni di app che non sono realizzate seguendo le misure OWASP sulla sicurezza mobile. Manomissioni capaci di alterare il funzionamento lecito dell’app, con conseguente autenticazione interrotta e manipolazione della configurazione, che possono causare il furto di identità (di un maggiorenne): esiste il Jailbreak del mobile, che consentirebbe una elusione diretta di fatto; l’escalation dei privilegi a livello dell’app per accedere alla modalità sviluppatore; Ma ad esempio, senza la crittografia nelle trasmissioni di dati, l’attacco ‘Man-in-the-middle’ consentirebbe di alterare l’attributo dell’età. Se invece, la verifica età avvenisse mediante immagine da videocamera, il docente osserva che, “i moderni motori di AI possono fare ‘morphing’ di identità mediante filtri avanzati, mistificando la morfologia del viso e in caso di scarsa accuratezza dell’immagine/video, basterebbero pochi ‘ritocchi’ del filtro per ottenere un’alterazione del riconoscimento”. In ultimo, esistono modalità procedurali di elusione dei controlli: «la complicità di un amico maggiorenne che presta il suo viso per l’accesso al servizio, può comportare la visione dei contenuti vietati per il minore che si trova davanti al monitor». Oppure «se un genitore che fa uso di servizi pornografici con il dispositivo già configurato per l’accesso, lasciasse il proprio dispositivo incustodito, per un minore curioso potrebbe configurarsi una situazione di elusione dei controlli; ma qui - precisa il docente - dipende anche da come è configurato l’inattività/stand by della sessione di collegamento al servizio».
