Prima di procedere
L'applicazione di verifica dell'età presentata dalla Commissione Europea è stata compromessa durante una dimostrazione pubblica, sollevando seri dubbi sulla sicurezza dei dati promessa. Contrariamente alle affermazioni di protezione assoluta, il sistema si è rivelato vulnerabile a tecniche di elusione di base.
I ricercatori hanno dimostrato come sia possibile disabilitare la verifica biometrica, resettare il meccanismo di blocco e aggirare il PIN di protezione delle credenziali. L'applicazione ha continuato a emettere conferme di età validata anche dopo la disattivazione di tutti i livelli di sicurezza. La facilità con cui è stata violata suggerisce che le difese erano intrinsecamente deboli, smentendo le rassicurazioni della Commissione Europea sulla prontezza e sicurezza del sistema.
Ulteriori analisi hanno evidenziato criticità nella gestione dei dati biometrici durante la scansione di documenti e selfie. Durante la scansione NFC, l'applicazione salvava l'immagine del volto come file PNG, eliminato solo al termine del processo. In caso di errori, il file rimaneva vulnerabile. Con i selfie, la situazione era ancora più grave: le foto venivano salvate in un'area di memoria esterna in formato non compresso e spesso non eliminate, creando un rischio significativo per la privacy degli utenti.
La discrepanza tra le promesse e i risultati effettivi solleva interrogativi, soprattutto considerando che Ursula von der Leyen, capo della Commissione Europea, aveva presentato l'applicazione come un prodotto finito e pronto all'uso, e non come un prototipo o una versione preliminare in fase di sviluppo. Questa divergenza tra la presunta prontezza dell'app e le sue reali vulnerabilità desta particolare preoccupazione, dato che lo strumento era stato promosso come misura di protezione per i minori.
La facilità con cui l'app è stata violata mette in discussione l'efficacia delle misure di sicurezza implementate e solleva dubbi sulla capacità della Commissione Europea di garantire la protezione dei dati sensibili degli utenti. È fondamentale che vengano condotte indagini approfondite per comprendere le cause di queste vulnerabilità e implementare correzioni efficaci per evitare abusi e proteggere la privacy dei cittadini europei. L'incidente evidenzia la necessità di test di sicurezza rigorosi e trasparenti prima del lancio di applicazioni che gestiscono dati biometrici, soprattutto quando sono presentate come soluzioni per la protezione dei minori.
Le implicazioni di questa violazione vanno oltre il semplice fallimento tecnico. Mette in discussione la fiducia del pubblico nelle istituzioni europee e nella loro capacità di proteggere i dati personali nell'era digitale. È essenziale che la Commissione Europea adotti un approccio più cauto e trasparente nello sviluppo e nella distribuzione di tecnologie che trattano dati sensibili, coinvolgendo esperti di sicurezza e garantendo che i sistemi siano adeguatamente testati e protetti prima di essere resi disponibili al pubblico.
