L’App di verifica dell’età dell’UE è finita sotto accusa poche ore dopo la sua presentazione ufficiale, con esperti di cybersicurezza che sostengono di averne violato le difese in meno di due minuti. Mentre la presidente Ursula von der Leyen ha descritto il software come un modello di trasparenza e privacy, il ricercatore Paul Moore ha evidenziato falle strutturali preoccupanti che potrebbero esporre i dati sensibili di milioni di cittadini.
Il sistema, progettato per consentire l’accesso ai servizi online senza condividere documenti d’identità con le piattaforme, presenterebbe dei difetti logici che rendono l’aggiramento dei controlli un’operazione estremamente semplice anche per utenti non particolarmente esperti.
Le critiche tecniche si concentrano sulla gestione locale delle credenziali, poiché l’App di verifica dell’età dell’UE non sfrutterebbe correttamente l’architettura di sicurezza dei moderni smartphone, come il sistema “secure enclave” utilizzato dai dispositivi Apple.
Moore ha dimostrato che è possibile resettare il codice PIN e superare i blocchi biometrici modificando dei semplici file di configurazione all’interno dell’applicazione.
Persino i limiti di tentativi falliti, solitamente impiegati per prevenire attacchi di forza bruta, risulterebbero facilmente manipolabili attraverso la modifica di un contatore numerico. Questa mancanza di protezione dei dati di autenticazione solleva seri dubbi sull’effettiva capacità del software di proteggere l’anonimato degli utenti in un contesto digitale sempre più ostile.
Hacking the #EU #AgeVerification app in under 2 minutes.
— Paul Moore – Security Consultant (@Paul_Reviews) April 16, 2026
During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.
1. It shouldn't be encrypted at all – that's a really poor design.
2. It's not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ
Il dibattito sulla sicurezza dell’App di verifica dell’età dell’UE si inserisce in una tendenza globale che vede governi come quelli di Australia e Regno Unito imporre restrizioni sempre più severe sui contenuti per adulti e sui social media.
Sebbene queste normative mirino a proteggere i minori, molti esperti avvertono che la creazione di enormi database centralizzati possa attirare attacchi informatici massicci, creando dei veri e propri “punti di raccolta” per i dati personali.
Il caso di Discord, che ha dovuto posticipare il rilascio di funzioni simili proprio per timori legati alla privacy, dimostra quanto sia difficile bilanciare la necessità di controllo con la protezione dell’identità digitale.
In questo scenario, le falle riscontrate nel prototipo europeo potrebbero spingere molti cittadini verso l’uso di reti VPN non sicure, finendo per vanificare gli sforzi legislativi messi in campo finora.
Grazie Jacopo per la segnalazione – via
