VPN nel mirino: gli esperti avvertono, la politica va avanti

Partiamo dai fatti concreti, perché il dibattito ha già preso una direzione e vale la pena capire quale.

Il 6 maggio 2026 lo Utah è diventato il primo stato americano ad approvare una legge che rende le aziende legalmente responsabili per gli utenti che usano una VPN per aggirare i controlli sull'età. Paesi come Russia e Cina limitano le VPN da anni, ma si tratta di regimi autoritari che le usano per ragioni di controllo politico; questa è la prima volta che uno stato democratico occidentale affronta il problema con uno strumento legislativo diretto. Il Senate Bill 73 stabilisce che un utente si considera fisicamente nello Utah indipendentemente da quale indirizzo IP mostri: se è lì fisicamente, il sito web è responsabile comunque. La stessa legge proibisce alle piattaforme di fornire qualsiasi informazione su come funzionano le VPN agli utenti.

Qualche giorno prima, da Bruxelles, la vicepresidente esecutiva della Commissione europea per la sovranità tecnologica ha dichiarato ai giornalisti che le VPN sono "all'ordine del giorno". Alla domanda su come impedire ai minori di aggirare i controlli sull'età, la risposta è stata secca: è una parte importante dei prossimi passi assicurarsi che non possa essere aggirata.

Due eventi separati geograficamente, ma con la stessa struttura narrativa.

L'argomento tecnico è una trappola

Una precisazione su cui mi fermo: l'obiezione tecnica più ovvia è che bloccare le VPN è praticamente impossibile. I provider VPN aggiungono continuamente nuovi indirizzi IP, esistono proxy residenziali indistinguibili dal normale traffico domestico, e chi è motivato abbastanza troverà una soluzione alternativa entro ore dall'entrata in vigore di qualsiasi blocco. NordVPN ha definito la legge dello Utah "un paradosso di compliance irrisolvibile". L'Electronic Frontier Foundation ha parlato di "whack-a-mole tecnico che probabilmente nessuna azienda può vincere".

Queste obiezioni tecniche sono fondate. Ma secondo me non sono il punto. Anzi, puntare sull'impossibilità tecnica come argomento principale è una trappola.

Perché la risposta a quell'argomento è ovvia: se le VPN commerciali sono un ostacolo, si vietano le VPN commerciali. Lo strumento usato da giornalisti per proteggere le fonti, da avvocati per tutelare la riservatezza delle comunicazioni, da aziende per proteggere le reti aziendali, e da chiunque voglia semplicemente impedire al proprio provider Internet di registrare ogni sito che visita diventa illegale, o inutilizzabile, in nome di un obiettivo che peraltro la norma stessa non raggiunge.

Un episodio di un pattern più articolato

Questo non è un fatto isolato. È l'ultimo capitolo di una storia con una logica interna molto precisa e un pattern più articolato di quanto sembri.

Ho già scritto di come la verifica dell'età tramite SPID per i siti adulti abbia creato un sistema di accesso identificato a contenuti perfettamente legali e di come il problema reale non fosse il meccanismo tecnico ma il precedente normativo che crea. Poi la California ha firmato una legge che trasforma ogni sistema operativo in un registro anagrafico, e i grandi operatori tecnologici l'hanno appoggiata con entusiasmo, il che non sorprende a chi segue la materia. E ora Bruxelles sta costruendo un'infrastruttura di verifica dell'età a livello continentale, con un'app ufficiale che i ricercatori di sicurezza hanno violato in pochi minuti dalla pubblicazione del codice sorgente, un episodio che si inserisce in un quadro di problemi strutturali che ho già analizzato parlando dei rischi reali della verifica dell'età online.

Ogni pezzo di questa storia ha la stessa architettura: l'obiettivo dichiarato è la protezione dei minori, lo strumento è la verifica dell'identità, e la resistenza, che sia tecnica, culturale o politica, viene sistematicamente interpretata come un ostacolo da rimuovere piuttosto che come un segnale che l'approccio vale la pena di ripensare.

Come ho già avuto occasione di argomentare parlando di sorveglianza e protezione digitale dei minori, sorvegliare non è proteggere. Sono due operazioni diverse, e spesso si escludono a vicenda. Non perché la protezione dei minori non sia un obiettivo serio, ma perché costruire database di identità per ogni attività online non garantisce la protezione: garantisce la tracciabilità. Sono due cose molto diverse.

La domanda che non viene fatta

Chat Control, verifica dell'età obbligatoria, VPN nel mirino: c'è un filo che collega tutto questo. E quello che trovo più rilevante non è il contenuto delle singole proposte, ma la loro tenuta rispetto al consenso popolare.

I cittadini europei si sono opposti massicciamente a Chat Control quando i dettagli sono diventati pubblici. Le proposte di verifica dell'età obbligatoria incontrano resistenza ogni volta che vengono discusse apertamente. L'idea di limitare o vietare le VPN non ha un consenso rilevabile in nessun paese democratico. Nel frattempo, in Australia, dove il divieto ai social per i minori di 16 anni è già in vigore, due terzi dei ragazzi a cui era stato "vietato" l'accesso continuano ad averlo tramite account familiari o VPN. Le politiche non raggiungono l'obiettivo, e i cittadini non le sostengono. Eppure avanzano.

A mio avviso, questa è la domanda che merita di essere posta con più chiarezza: come mai le norme digitali che trovano l'opposizione più compatta tra chi se ne intende continuano ad avanzare senza incontrare resistenza politica significativa?

La risposta non è complottistica, è abbastanza banale: "proteggere i bambini" è una delle poche giustificazioni politicamente inattaccabili che esistano. Chi vota queste norme lo fa sapendo che opporsi pubblicamente equivale a uno svantaggio elettorale, qualunque siano le obiezioni tecniche o giuridiche sul tavolo. Non è che i rappresentanti non sappiano cosa dicono gli esperti. È che il calcolo politico non richiede di dargli retta, almeno finché il pubblico generalista non si forma un'opinione propria sull'argomento. Ho già argomentato altrove perché sorvegliare non è proteggere, e perché la tutela dei minori online merita strumenti più calibrati di un sistema di identificazione universale. Qui il punto è diverso.

Il punto è che le politiche vengono votate democraticamente, ma in un contesto in cui il dibattito pubblico è asimmetrico: da una parte chi ha le competenze per valutarle, dall'altra una giustificazione emotivamente potente che rende difficile anche solo chiedere di rallentare. Il risultato non è una cospirazione. È qualcosa di più ordinario e, in un certo senso, più preoccupante: norme tecnicamente contestate che avanzano perché il costo politico di fermarle è percepito come troppo alto.

Il dato sull'app

C'è un ultimo dettaglio che trovo rivelatore, non tanto per quello che dice della tecnologia ma per quello che dice del metodo. La Commissione europea ha presentato la sua app di verifica dell'età come "tecnicamente pronta" e "pronta per il deployment", ha pubblicato il codice sorgente, e alcuni consulenti di sicurezza l'hanno violata in pochi minuti. La Commissione ha poi fatto marcia indietro sulla formulazione.

Nel frattempo, il gruppo di esperti della stessa Commissione sui limiti di età nei social media non avrà le sue conclusioni prima dell'estate. Si agisce prima che l'analisi sia completa, perché gli stati membri "si stanno già muovendo" e la pressione politica è più forte del calendario dell'istruttoria tecnica.

Costruire l'infrastruttura prima che la valutazione sia finita, presentarla come standard europeo prima che sia dimostrata sicura e trattare gli strumenti di privacy come scappatoie da chiudere piuttosto che come diritti da bilanciare: ritengo che questo modo di fare politica digitale meriti molta più attenzione pubblica di quella che riceve. Non come questione tecnica. Come questione di come vengono prese le decisioni, e nell'interesse di chi.