Dal 2027 il sistema operativo sa quanti anni hai: perché è la scelta sbagliata

La California ha appena firmato una legge che trasforma ogni sistema operativo in un registro anagrafico. L'obiettivo è proteggere i minori. Il paradosso è che Google e Meta l'hanno appoggiata con entusiasmo, mentre nessuna organizzazione del software libero era nemmeno in aula.

Partiamo dalla California. Il 13 ottobre 2025 il governatore Gavin Newsom ha firmato la legge AB 1043, nota come Digital Age Assurance Act. Dal 1° gennaio 2027 qualunque fornitore di sistema operativo dovrà raccogliere l'età dell'utente durante la configurazione dell'account e mettere quella informazione a disposizione di qualunque applicazione che la richieda in tempo reale. Quattro fasce: sotto i 13 anni, tra 13 e 16, tra 16 e 18, sopra i 18. Non si tratta di una norma che coinvolge solo Apple, Google e Microsoft. La legge usa la formula "develops, licenses, or controls the operating system software on a computer, mobile device, or any other general purpose computing device". Tradotto: riguarda chiunque sviluppi, licenzi o controlli un sistema operativo. Compresi Debian, Fedora, Arch Linux, MidnightBSD e qualunque altro progetto comunitario del pianeta.

A questa si aggiunge la proposta federale H.R. 8250, il Parents Decide Act, che chiede qualcosa di ancora più ampio: non solo fasce d'età, ma la verifica della data di nascita, con un genitore o tutore che la confermi per ogni utente minorenne. E prevede che le app possano accedere a "qualunque informazione necessaria" a quella verifica. Una formula molto larga, il cui perimetro reale dipenderà da come la Federal Trade Commission deciderà di interpretarla nei mesi successivi all'eventuale approvazione.

L'obiettivo dichiarato di entrambe le norme è proteggere i minori. Questo, ritengo, sia un obiettivo del tutto legittimo e urgente. Il problema non è l'obiettivo. È lo strumento scelto per raggiungerlo.

Linux come cartina di tornasole

Il mio test preferito per valutare se una legge tecnologica è ben scritta è chiedermi: funziona anche nei casi limite? Linux è il caso limite perfetto. Non è un prodotto. Non è venduto da un'azienda. Il kernel è mantenuto da migliaia di sviluppatori nel mondo. Le distribuzioni, cioè i sistemi operativi completi che ci si costruisce sopra, sono assemblate da comunità, fondazioni, aziende di dimensioni molto diverse, o singoli individui. Debian ha struttura comunitaria. Arch Linux è mantenuta da un gruppo di volontari tecnici. MidnightBSD è un progetto indipendente basato su BSD, sviluppato senza risorse commerciali. Per conformarsi ad AB 1043, ciascuno di questi progetti dovrebbe costruire un'infrastruttura di raccolta dati anagrafici, una API in tempo reale per le applicazioni, un sistema di classificazione per fasce d'età, e probabilmente un meccanismo di relazione genitore-figlio per il Parents Decide Act. MidnightBSD ha già risposto nel modo più diretto possibile: ha modificato la propria licenza per escludere gli utenti californiani. Non è una scelta commerciale. È una valutazione di sostenibilità.

Una norma che rende tecnicamente e giuridicamente impossibile la distribuzione di software libero non è una norma mal applicata. È una norma mal scritta.

Il paradosso: chi ha sostenuto la legge

Qui viene il paradosso che trovo più interessante. AB 1043 ha attraversato il Parlamento californiano con un voto di 76 a 0 in Assemblea e 38 a 0 al Senato. Chi ha sostenuto attivamente la legge? Google e Meta. Chi non era in aula? Nessuna organizzazione del software libero: non la Free Software Foundation, non la Software Freedom Conservancy, non la Linux Foundation. La legge è stata inquadrata come tutela dei minori contro il Big Tech, ma il Big Tech l'ha appoggiata con entusiasmo. Probabilmente perché un obbligo che Apple e Google rispettano con un singolo aggiornamento software, e che invece distrugge i progetti comunitari, non è una misura contro i monopoli digitali. È una misura che li consolida.

Il deja-vu italiano

Questo schema non è esclusivo degli Stati Uniti. Ho già scritto delle misure italiane sulla verifica dell'età per i siti per adulti: il meccanismo AGCOM del doppio anonimato ha una logica tecnica difendibile, ma introduce un intermediario che gestisce log di accesso, e un log può essere violato, comprato o richiesto coattivamente. La domanda su chi controlla i dati non scompare perché la norma prevede misure tecniche di protezione.

In Italia il tema dell'identificazione obbligatoria online non è nuovo. Nel 2021 l'allora ministra per l'Innovazione Paola Pisano propose di fornire agli under 13 uno SPID per minori, con i genitori come garanti dell'identità, per accedere ai social network. La proposta non andò in porto, ma il ragionamento di fondo, cioè che identificarsi risolva il problema, è rimasto in circolazione. Più di recente, nel 2025, una proposta bipartisan in Parlamento ha ripreso la logica: verifica obbligatoria dell'età tramite SPID per l'accesso alle piattaforme social, con l'onere della verifica a carico dei gestori. Stesso schema di AB 1043, applicato un livello più in alto, alle piattaforme invece che al sistema operativo. E con gli stessi problemi di fondo.

Il problema dell'autocertificazione

Il punto che spesso viene ignorato nel dibattito è questo: l'autocertificazione dell'età non funziona. Chiunque può inserire una data di nascita falsa. Carl Richell, CEO di System76 che sviluppa la distribuzione Linux Pop!_OS, lo ha osservato con un argomento semplice: l'intera architettura normativa si regge sull'ipotesi che l'utente dica la verità. Se invece si vuole una verifica autentica, bisogna introdurre documenti d'identità, biometria o provider terzi. Con tutti i costi in termini di privacy, esclusione digitale e nuove superfici di attacco che ne conseguono.

L'Unione Europea sta provando una strada tecnicamente più raffinata con l'EUDI Wallet e le prove a conoscenza zero, che permettono di dimostrare di essere maggiorenni senza rivelare la data di nascita. Come ho già discusso analizzando le misure delle piattaforme sui profili teen, però, ogni sistema di accesso condizionato ha due problemi pratici: chi ha il dispositivo di un adulto in casa può usarlo, e i ragazzi trovano soluzioni di aggiramento molto più velocemente di quanto le normative vengano aggiornate. Anche il sistema europeo è già stato aggirato nella fase di test.

La domanda che non viene posta: perché non l'educazione?

A mio avviso, c'è una domanda che dovremmo porci prima di decidere quali strumenti usare: cosa riesce a fare esattamente l'identificazione che l'educazione non può fare? I rischi online per i minori, dalla dipendenza ai contenuti inappropriati agli effetti psicologici documentati dei social media, non scompaiono perché il sistema operativo sa quanti anni hai. Rimangono. E in alcuni casi peggiorano, se i ragazzi vengono spinti verso piattaforme non conformi e strutturalmente meno sicure. L'educazione digitale, invece, costruisce qualcosa che nessun sistema di identificazione può costruire: la capacità di riconoscere un rischio quando lo si incontra, indipendentemente dalla piattaforma.

Non sto dicendo che le norme non servano. Sto dicendo che una norma che non capisce il sistema che pretende di regolare, che consolida i gatekeeper invece di limitarli e che tratta l'identificazione come soluzione invece che come strumento, probabilmente non sta proteggendo nessuno. Soprattutto non i minori.

Il software libero, come ha mostrato l'evoluzione degli standard aperti in Europa, è un bene collettivo che si deteriora molto più in fretta di quanto si costruisca. Una legge che lo rende economicamente insostenibile non è un costo accettabile per raggiungere un obiettivo che quella stessa legge probabilmente non raggiunge.