Ursula von der Leyen (Presidente della Commissione europea) ha annunciato ieri che l’app per la verifica dell’età è pronta. Durante un incontro con vari esperti in materia di protezione dei minori online è stato comunicato che gli Stati membri possono iniziare a personalizzare l’app (in Italia sarà disponibile tramite IT-Wallet). Un ricercatore di sicurezza ha scoperto che l’app può essere “hackerata” in due minuti.
App poco sicura e violazione della privacy
L’app per la verifica dell’età sarà disponibile per Android e iOS, quindi richiede un account Google e Apple. Gli utenti Android possono già installare una versione preliminare tramite sideloading. Sul sito dedicato sono elencati i passi per la configurazione iniziale.
L’utente deve scegliere un PIN di sei cifre per accedere all’app. Opzionalmente è possibile attivare l’autenticazione biometrica (impronta digitale o riconoscimento facciale). Il codice sorgente è open source, quindi può essere verificato da tutti. È proprio quello che ha fatto un esperto di sicurezza (Paul Moore), scoprendo diverse vulnerabilità.
Il PIN viene cifrato e salvato sullo smartphone, ma non è associato all’identità dell’utente. Cancellando alcuni valori dal file di configurazione dell’app è possibile creare un nuovo PIN che consente di accedere all’app usando le credenziali del precedente profilo. Il ricercatore ha trovato anche altri due problemi.
L’accesso all’app viene bloccato dopo un certo numero di PIN sbagliati. Questo contatore viene salvato nello stesso file di configurazione e può essere azzerato. L’uso dell’autenticazione biometrica viene indicata da un semplice valore booleano (vero o falso). È sufficiente impostarlo a falso nel suddetto file per aggirare la protezione.
L’app conserva inoltre sul dispositivo i dati biometrici e i selfie anche dopo l’elaborazione. Ciò rappresenta una violazione del GDPR (Regolamento generale sulla protezione dei dati). Infine, un altro esperto ha evidenziato due stranezze progettuali. L’app prevede un numero massimo di verifiche dell’età e una scadenza per la verifica. Quest’ultima non ha senso perché un maggiorenne rimane maggiorenne.
App per la sorveglianza di massa
Le vulnerabilità dell’app sono state commentate da Pavel Durov. Secondo il CEO di Telegram, l’Unione europea avrebbe intenzionalmente sviluppato un’app vulnerabile. I bug verranno successivamente risolti rimuovendo il rispetto della privacy. L’app diventerà quindi uno strumento per la sorveglianza dei cittadini europei.
Aggiornamento (18/04/2026): altri ricercatori ha confermato le vulnerabilità. Un portavoce della Commissione europea ha dichiarato che l’app è ancora una demo. Prima del rilascio ai cittadini, il codice verrà aggiornato e migliorato.
Ti potrebbe interessare
17 apr 2026