App UE verifica età hackerata in 2 minuti: il gap tra promesse e realtà

Scopri anche

• Exploit su LMDeploy CVE-2026-33626: attacco SSRF immediato dopo disclosure
• UNC6692: nuova minaccia Teams colpisce decisori aziendali
• Sorveglianza globale: Citizen Lab svela exploit reti, Italia coinvolta
• Backdoor FIRESTARTER: CISA aggiorna la direttiva dopo violazione federale
• Zero-Day SharePoint: perché il CVSS 6.5 è ingannevole
• Bitwarden CLI compromesso: attacco supply chain viola npm Trusted Publishing
• Ransomware The Gentlemen: 1.570 reti violate nell'ombra
• BlueHammer zero-day Windows: analisi tecnica e rischi
• Malware Lotus wiper: analisi della minaccia cyber in Venezuela
• iOS 26.4.2: Apple corregge falla sfruttata dall'FBI per Signal
• BRIDGE:BREAK: 22 vulnerabilità critiche scoperte in convertitori Serial-to-IP Lantronix e Silex
• Apache ActiveMQ: zero-day sfruttato attivamente, patch urgente
• Retrospettiva NGate: il malware Android che ha aperto la strada al relay NFC
• Cyberattacco ANTS: violazione dati in Francia, 19 milioni a rischio
• CISA: sito non gestito per fondi, advisory attiva su minacce iraniane
• Scattered Spider: hacker Buchanan si dichiara colpevole, rischia 22 anni
• CISA: banner funding lapse visibile, pubblicato advisory su minacce Iran
• Verifica biometrica Tinder: impatto privacy e analisi del sistema World
• Anthropic Mythos e il dibattito sulla sicurezza informatica: capacità, rischi e scetticismo
• NIST limita il NVD: solo i bug critici verranno analizzati

App UE verifica età hackerata in 2 minuti: il gap tra promesse e realtà

Il 15 aprile 2026 la Presidente della Commissione europea Ursula von der Leyen ha annunciato con enfasi la nuova app europea per la verifica dell'età online, presentandola come soluzione definitiva per proteggere i minori. Pochi giorni dopo, test condotti da esperti di cybersicurezza hanno dimostrato che il sistema può essere aggirato in soli due minuti, esponendo un divario significativo tra le promesse istituzionali e la realtà tecnica.

L'annuncio della Commissione europea: «Non ci sono più scuse»

In conferenza stampa il 15 aprile 2026, Ursula von der Leyen ha presentato l'app come uno strumento maturo e pronto per l'uso. «Le piattaforme online possono facilmente fare affidamento sulla nostra app per la verifica dell'età, quindi non ci sono più scuse», ha dichiarato la Presidente, sottolineando come l'Unione Europea offra finalmente una soluzione standardizzata per contrastare l'accesso dei minori a contenuti dannosi.

Cinque Paesi membri dell'UE hanno testato l'app prima del lancio, inclusa l'Italia. Si tratta di una soluzione gratuita e open source, progettata per funzionare su smartphone, tablet e computer. Secondo la Commissione, il sistema rispetta gli standard più rigidi della privacy e non memorizza informazioni personali sensibili come nome, data di nascita o numero del documento.

«L'Europa offre una soluzione gratuita e facile da usare che può proteggere i nostri bambini da contenuti dannosi e illegali», ha aggiunto Von der Leyen. Il messaggio intendeva porre fine al dibattito sulle responsabilità delle piattaforme digitali nella verifica dell'età degli utenti.

Come funziona il sistema di verifica

L'app si configura attraverso la presentazione di documenti ufficiali: passaporto, carta d'identità o identità elettronica, con verifica biometrica a garanzia della legittimità della richiesta. Una volta completato il processo di identificazione, il software conserva esclusivamente l'informazione che l'utente ha superato una determinata soglia di età, senza archiviare i dati del documento.

Per accedere a siti con contenuti riservati da computer, l'utente deve scansionare un codice QR tramite l'app sul proprio smartphone. Quando invece l'accesso avviene direttamente da smartphone, il sistema invia automaticamente la prova di età richiesta. Le soglie di verifica includono i 13 anni, limite minimo per l'accesso ai social network in diverse giurisdizioni europee.

Secondo la Commissione, il codice sorgente è open source: accessibile a chiunque per verifiche, modifiche e miglioramenti, con l'obiettivo dichiarato di permettere la correzione collaborativa di eventuali bug e garantire trasparenza sul funzionamento del sistema.

Le vulnerabilità emerse: un paradosso tecnico

La pubblicazione del codice sorgente ha permesso agli sviluppatori di analizzare nel dettaglio l'architettura dell'app. I risultati hanno evidenziato problemi di crittografia e design che rendono il software vulnerabile ad attacchi locali. Secondo i test degli informatici riportati dal Corriere della Sera, «si può hackerare in 2 minuti».

Esperti di sicurezza hanno condotto analisi approfondite del codice, scoprendo diverse vulnerabilità. Tra queste, il PIN di sblocco viene cifrato e salvato localmente sullo smartphone, ma non è associato all'identità dell'utente. Questa caratteristica, pensata per proteggere la privacy, crea in realtà un punto debole sfruttabile per aggirare i controlli.

Le falle individuate consentono di bypassare i sistemi di protezione del software con interventi minimi. La natura open source del progetto, pur garantendo trasparenza, ha esposto rapidamente le debolezze del sistema a chiunque possiede competenze tecniche basilari.

Le critiche da Pavel Durov e dalla comunità tech

Pavel Durov, fondatore di Telegram, è tra i critici che hanno evidenziato i problemi di sicurezza dell'app. La sua voce si unisce a quella di numerosi esperti di cybersicurezza che hanno sollevato dubbi sull'affidabilità del sistema prima ancora del suo rilascio su larga scala.

Le critiche si concentrano su un punto centrale: la difficoltà tecnica di conciliare la verifica dell'età con i requisiti del GDPR e del Digital Service Act. Le normative europee impongono standard rigorosi per la protezione dei dati personali, ma contemporaneamente richiedono meccanismi efficaci per impedire l'accesso dei minori a contenuti inappropriati.

Il paradosso emerge con chiarezza: un sistema progettato per rispettare la privacy non memorizzando dati personali diventa vulnerabile perché non può verificare effettivamente l'identità di chi lo utilizza. Dall'altro lato, un sistema che verificasse in modo più stringente l'identità solleverebbe preoccupazioni sulla conservazione dei dati sensibili.

Le conseguenze per la sicurezza digitale europea

A seguito delle criticità segnalate, rimane aperto il dibattito sulle misure correttive necessarie. Il caso rischia di rallentare, o quantomeno complicare, il percorso verso l'adozione di sistemi di verifica dell'età su scala europea.

Non sono ancora arrivate risposte definitive sulle vulnerabilità specifiche segnalate dagli esperti. La tensione tra sicurezza informatica e protezione della privacy rimane irrisolta: le soluzioni tecniche devono bilanciare due esigenze apparentemente contraddittorie, garantendo l'efficacia della verifica senza trasformare l'app in uno strumento di sorveglianza digitale.

Domande frequenti

L'app UE per la verifica dell'età memorizza i dati personali?

No, secondo la Commissione europea l'app conserva solo l'informazione che l'utente ha superato una certa soglia di età, senza archiviare nome, data di nascita o numero del documento.

Quali documenti servono per configurare l'app?

L'app accetta passaporto, carta d'identità o identità elettronica, con verifica biometrica per confermare la legittimità della richiesta.

Perché l'app è stata definita hackerabile in 2 minuti?

Gli esperti di sicurezza hanno individuato vulnerabilità nel design e nella crittografia del sistema, che permettono di aggirare i controlli tramite attacchi locali sul dispositivo.

Cosa significa che l'app è open source?

Il codice sorgente è pubblico e accessibile a chiunque, permettendo verifiche indipendenti, modifiche, miglioramenti e la correzione collaborativa di eventuali bug.

Quali sono le soglie di età previste per l'accesso ai contenuti?

Tra le soglie previste figura quella dei 13 anni, limite minimo per l'accesso ai social network in diverse giurisdizioni europee.

Questo articolo è una sintesi basata esclusivamente sulle fonti elencate.

Approfondimenti correlati

• Exploit su LMDeploy CVE-2026-33626: attacco SSRF immediato dopo disclosure
• Backdoor FIRESTARTER: CISA aggiorna la direttiva dopo violazione federale
• BRIDGE:BREAK: 22 vulnerabilità critiche scoperte in convertitori Serial-to-IP Lantronix e Silex

Fonti

• https://prothect.it/cybersecurity/app-ue-per-verifica-eta-violata-in-2-minuti-vulnerabilita-critiche/
• https://www.punto-informatico.it/app-ue-verifica-eta-hack-due-minuti/
• https://www.corriere.it/tecnologia/26_aprile_20/l-app-dell-ue-per-la-verifica-dell-eta-e-davvero-pronta-i-test-degli-informatici-si-puo-hackerare-in-2-minuti-bf09294d-9bbf-47dc-928e-432bf8e72xlk.shtml
• https://www.ansa.it/canale_tecnologia/notizie/software_app/2026/04/20/app-ue-per-la-verifica-delleta-hackerata-la-commissione-corre-ai-riparinbsp_c2bd36ad-44cd-4746-a355-799acc54a89c.html
• https://www.federprivacy.org/informazione/societa/la-commissione-ue-presenta-l-app-ufficiale-per-la-verifica-online-dell-eta-ma-un-esperto-di-cybersecurity-riesce-ad-hackerarla-in-appena-2-minuti