LA FINE DELL’ANONIMATO

privacy e identità

---

La fine della privacy e identità: C’è un momento preciso in cui smetti di essere nessuno.

Arriva attraverso l’accumulo di decisioni che sembrano ragionevoli prese singolarmente. Una legge per proteggere i minori, un sistema di accesso sicuro, un requisito di verifica — e poi, senza che nessuno lo dichiari, la possibilità di esistere online senza dichiarare chi sei diventa sospetta, poi un’anomalia tecnica, poi impossibile.

Questo è nuovo. Nel mondo fisico, non ci siamo mai mossi nello spazio con la nostra identità permanentemente esposta, lasciando una traccia rintracciabile di ogni interazione. La privacy era la condizione predefinita della presenza umana — non un privilegio, ma la baseline. Quando internet è emersa, ha ereditato quella condizione per design.

Prima delle piattaforme, la rete funzionava su assunti diversi. I BBS (Bulletin Board System) erano costruiti attorno al libero flusso di informazioni. Le prime comunità online erano MUD (Multi-User Dungeon) — ambienti di gioco di ruolo dove le persone interagivano in discontinuità esplicita con le loro identità fisiche. Lo pseudonimo, l’account anonimo, la ricerca senza traccia permanente estendevano nello spazio digitale qualcosa che avevamo sempre dato per scontato offline.

Mentre la vita migrava online, lo abbiamo ceduto gradualmente. Senza accorgercene. Un terms-of-service agreement alla volta.

Ora quattro giurisdizioni stanno costruendo l’architettura della sua sostituzione. E la stanno costruendo insieme, con strumenti diversi che convergono verso lo stesso punto.

---

II. L’ASSE UK-EU

PRIVACY E IDENTITÀ

Il Regno Unito ha approvato l’Online Safety Act nel 2023. L’Unione Europea negozia dal 2022 il regolamento CSA — ribattezzato “Chat Control” dai critici. Sulla carta, obiettivi diversi e meccanismi distinti. Nella pratica, due metà della stessa architettura.

Il cuore tecnico di entrambe le normative è il Client-Side Scanning: software che analizza ogni messaggio sul dispositivo dell’utente, prima che venga crittografato, confrontandolo con database di contenuti illeciti. La crittografia end-to-end rimane tecnicamente intatta — i messaggi viaggiano ancora crittografati. Ma la protezione diventa illusoria, perché il contenuto viene esaminato prima della crittografia.

Nel Regno Unito, la Clause 122 dell’OSA conferisce a Ofcom il potere di imporre questa tecnologia ai provider di messaggistica. Le linee guida tecniche sono previste per la primavera 2026, ma a ottobre 2025 il regolatore aveva già lanciato cinque programmi di enforcement e aperto ventuno indagini. L’Investigatory Powers Amendment Act 2024 completa il quadro: le aziende devono notificare preventivamente al governo qualsiasi modifica ai propri servizi che potrebbe influire sull’efficacia delle intercettazioni. Se vogliono implementare una crittografia più forte, devono chiedere il permesso e aspettare fino a 180 giorni. La vulnerabilità deve essere preservata per legge.

In Europa, il Consiglio EU ha approvato nel novembre 2025 una versione modificata di Chat Control. La scansione obbligatoria è stata rinviata, ma il testo include una clausola di revisione che impone alla Commissione di valutare “la necessità e fattibilità di includere obblighi di rilevamento” entro tre anni. Nel frattempo, Google, Meta e altre piattaforme possono continuare a scansionare volontariamente tutti i messaggi non crittografati. Il pattern è riconoscibile: si introduce il principio, si normalizza la pratica, si espande il mandato.

Il Ministro della Giustizia danese Peter Hummelgaard, principale architetto della proposta, ha dichiarato: “Dobbiamo rompere con la percezione totalmente errata che sia una libertà civile di tutti comunicare su servizi di messaggistica crittografata.” Una frase che rivela la posta in gioco: non la sicurezza dei minori, ma la ridefinizione di cosa costituisce un diritto.

Ma la scansione è solo metà dell’architettura europea. L’altra metà è l’identità digitale.

Nel 2024, l’UE ha adottato eIDAS 2.0 — il regolamento che impone agli Stati membri di offrire ai cittadini un “EU Digital Identity Wallet” entro la fine del 2026. La Commissione presenta il sistema come “privacy-preserving”: dimostri solo l’età, non l’identità completa. Ma per generare una prova di età, devi prima verificare la tua identità con un documento governativo. Il sistema sa chi sei. Promette solo di non dirlo a terzi.

E le promesse possono cambiare. Il 26 novembre 2025, il Parlamento Europeo ha votato 483 a 92 per limiti di età sui social media con “vera verifica dell’identità”. Danimarca, Francia, Grecia, Italia e Spagna stanno già testando il sistema. Oggi il wallet verifica l’età per siti pornografici. Domani potrebbe essere richiesto per qualsiasi servizio online.

III. I LABORATORI PARALLELI: AUSTRALIA E STATI UNITI

web, privacy e identità

L’Australia è il laboratorio più avanzato. Nel dicembre 2025, è entrata in vigore la prima legge al mondo che vieta l’accesso ai social media per gli under 16. Meta ha iniziato a rimuovere account di adolescenti da Instagram e Facebook già dal 4 dicembre.

Ma l’Australia aveva aperto la strada già nel 2018, con il TOLA Act — legge che conferisce alle autorità poteri senza precedenti per accedere alle comunicazioni crittografate, incluso l’obbligo per le aziende di costruire nuove funzionalità di accesso su richiesta. I risultati sono eloquenti: secondo l’Australian Federal Police, circa il 96% del contenuto legalmente intercettato è inintelligibile a causa della crittografia. Le autorità citano questo dato come giustificazione per interventi più aggressivi. Ma può essere letto anche come evidenza dell’efficacia della crittografia nel proteggere le comunicazioni.

Negli Stati Uniti, il percorso passa attraverso KOSA (Kids Online Safety Act) e EARN IT Act — leggi che erodono la crittografia end-to-end attraverso la responsabilità delle piattaforme. Se un provider può essere citato in giudizio per contenuti che non ha potuto vedere perché crittografati, la pressione economica a indebolire la crittografia diventa irresistibile. Nel frattempo, Texas, Utah e Louisiana hanno approvato leggi che obbligano Apple e Google a verificare l’età di ogni utente prima di scaricare un’app.

Governi con tradizioni politiche incompatibili che arrivano a soluzioni tecniche identiche, simultaneamente, senza coordinamento dichiarato. Quando questo accade, vale la pena chiedersi quale forza li stia orientando nella stessa direzione.

Una risposta è economica: il mercato della verifica dell’identità è proiettato a raddoppiare fino a 35 miliardi di dollari entro il 2030. Altre risposte sono più difficili da nominare ma più facili da riconoscere — estrazione di dati, governance algoritmica, predizione comportamentale, la pressione competitiva di stati che hanno già costruito l’infrastruttura e dimostrato cosa permette.

IV. LA PROVA EMPIRICA: SALT TYPHOON – Privacy e identità

Che le backdoor governative siano una vulnerabilità strutturale non è teoria accademica. È cronaca.

Nel settembre 2024, analisti di sicurezza americani hanno scoperto che un gruppo di hacker affiliati all’intelligence cinese — nome in codice Salt Typhoon — era dentro le reti di nove compagnie telefoniche americane. Per un periodo stimato tra uno e due anni.

Il bersaglio primario non erano dati commerciali. Erano i sistemi di “lawful intercept” — le infrastrutture di intercettazione legale che le compagnie telefoniche sono obbligate a mantenere per legge dal 1994, quando il Communications Assistance for Law Enforcement Act impose ai provider di progettare le proprie reti per facilitare le intercettazioni autorizzate.

Trent’anni dopo, quelle backdoor sono diventate il vettore d’attacco per lo spionaggio cinese.

Salt Typhoon ha rubato metadati di milioni di utenti, geolocalizzato individui a piacimento, intercettato comunicazioni di circa cento persone coinvolte in attività governative — inclusi Donald Trump, JD Vance, e staff della campagna di Kamala Harris. Ma il danno più grave è stato l’accesso ai sistemi di intercettazione stessi: Salt Typhoon poteva vedere chi il governo americano stava sorvegliando.

Nell’agosto 2025, l’FBI ha confermato che il gruppo ha compromesso almeno 200 aziende in 80 paesi. È ancora attivo.

L’Electronic Frontier Foundation ha sintetizzato la lezione: “Quando gli ingegneri inseriscono backdoor legali nei sistemi di comunicazione — anche con le migliori intenzioni — creano aperture dove non dovrebbero esserci.”

Non esistono backdoor “solo per i buoni”. E mentre Salt Typhoon dimostrava empiricamente il fallimento di questo modello, Regno Unito e Unione Europea stavano costruendo sistemi analoghi — applicati non alle chiamate telefoniche, ma a ogni messaggio privato dei loro cittadini.

V. IL FALLIMENTO TECNICO – Privacy e identità

La tecnologia dominante per il Client-Side Scanning è il “perceptual hashing” — algoritmi che generano impronte digitali delle immagini, progettati per produrre firme simili per immagini visivamente analoghe anche se leggermente modificate.

Le ricerche accademiche hanno documentato vulnerabilità strutturali. Un utente malintenzionato può applicare perturbazioni impercettibili a un’immagine illegale, modificando l’hash senza alterare il contenuto visivo: tassi di evasione superiori al 99%. Al contrario, è possibile modificare immagini completamente legittime per farle corrispondere a contenuti nel database illecito, generando falsi positivi su innocenti.

I dati empirici confermano queste criticità. In Irlanda, dove sistemi di segnalazione automatica sono già operativi, su 4.192 segnalazioni ricevute dalle forze di polizia solo il 20% si è rivelato effettivo materiale illecito. L’11% erano falsi positivi — persone innocenti erroneamente segnalate.

Su scala globale — miliardi di messaggi al giorno — questo significa centinaia di migliaia di innocenti segnalati ogni anno. E i veri criminali? Chi conosce il sistema può aggirarlo con modifiche impercettibili. Il sistema cattura chi non sa difendersi e lascia passare chi ha competenze tecniche minime.

VI. LE BIG TECH – web, privacy e identità

Meta, Apple e Google sono in conflitto — ma non per difendere gli utenti. Per decidere chi paga il conto della verifica.

Meta sostiene che gli app store dovrebbero verificare l’età, come un negozio di alcolici che controlla i documenti. Apple e Google ribattono che la verifica deve avvenire a livello di singola app. Mentre litigano pubblicamente, tutte e tre stanno costruendo l’infrastruttura: Apple ha introdotto la “Declared Age Range API”, Google la “Play Age Signals API”.

Il dibattito è su chi implementa. Nessuno sta mettendo in discussione se implementare.

VII. LA RESISTENZA- web, privacy e identità

Nel 2023, sette aziende concorrenti — WhatsApp, Signal, Threema, Viber, Wire, Element, Session — hanno firmato insieme una lettera aperta al governo britannico, avvertendo dei rischi dell’Online Safety Act per la privacy di tutti. Meta ha dichiarato che preferirebbe vedere WhatsApp bloccato nel Regno Unito piuttosto che indebolire la crittografia.

Una petizione per l’abrogazione dell’OSA ha superato 500.000 firme. Il governo ha confermato l’intenzione di procedere. L’implementazione della verifica dell’età ha provocato un aumento del 1.400% delle iscrizioni VPN.

La resistenza tecnica funziona — per chi ha le competenze. Ma questo crea una biforcazione: chi ha risorse tecniche aggira il sistema; chi non le ha subisce la sorveglianza. Come ogni forma di controllo sociale, colpisce in modo diseguale.

VIII. IL DANNO INVISIBILE – Privacy e identità

Il danno più sottile è biologico.

La biologia dello sviluppo chiama il periodo adolescenziale di identità provvisoria un “moratorium” — ruoli provati, errori commessi, contraddizioni tenute senza conseguenze permanenti. Quella instabilità non è un difetto del processo. È il processo. L’anonimato era quello spazio in forma digitale.

La verifica universale non sorveglia soltanto: congela. Ogni ricerca, ogni dubbio, ogni esperimento diventa permanentemente attribuibile a un nome legale. L’adolescente che esplora la propria sessualità, lo studente che cerca informazioni su sostanze per curiosità, il giovane che flirta con idee radicali prima di trovare equilibrio — ogni esplorazione lascia una traccia collegata a un’identità.

Il danno non apparirà nei dataset. Apparirà tra vent’anni, nella conformità di chi non ha mai avuto spazio per essere provvisorio.

Nel 1791, Bentham progettò il Panopticon — una prigione dove il controllo derivava dalla possibilità permanente di essere osservati. I detenuti non sapevano quando erano guardati, quindi si comportavano come se lo fossero sempre.

Il sistema che sta emergendo — scansione universale, verifica dell’identità obbligatoria, fine dell’anonimato — è un Panopticon digitale. Non più mura e torrette, ma codice e algoritmi. Non più celle e detenuti, ma dispositivi e cittadini.

La differenza è che dal Panopticon fisico non si usciva perché le porte erano chiuse dall’esterno.

Dal Panopticon digitale non si esce perché le porte non esistono più. Per comunicare, lavorare, partecipare alla vita sociale contemporanea, bisogna attraversare checkpoint di identità. Ogni messaggio può essere letto. Ogni azione tracciata. Ogni relazione mappata.

Una volta costruita l’infrastruttura, non importa chi l’ha voluta o perché.

Importa solo chi controlla le chiavi.

Restare umani. Decodificare il digitale. Resistere.

FOLLOWTHEALGORITHM