IDENTITÀ
DIGITALE
A PEDAGGIO

Il 16 febbraio 2026 un gruppo di ricercatori che si firma vmfunc ha pubblicato un’analisi che nelle settimane successive ha raggiunto Fortune, Malwarebytes, l’Electronic Frontier Foundation e decine di testate specializzate. L’accesso al materiale era avvenuto senza alcuna violazione tecnica: una configurazione di sviluppo rimasta attiva su un server di produzione autorizzato a livello federale americano aveva lasciato una directory pubblica senza protezione. I ricercatori l’avevano trovata con una ricerca ordinaria. Dentro c’erano 53 megabyte di codice sorgente di Persona.

Persona è una delle principali infrastrutture private di verifica dell’identità digitale. Fondata nel 2018 a San Francisco, gestisce l’onboarding di utenti per OpenAI, Reddit, Roblox e LinkedIn. Nell’aprile 2025 aveva annunciato un round da 200 milioni di dollari — valutazione due miliardi — con il supporto di Founders Fund, il fondo associato a Peter Thiel, cofondatore di Palantir.

La piattaforma esegue, per ogni utente sottoposto a verifica, 269 controlli distinti. Alcuni sono attesi: conferma del documento, corrispondenza col selfie. Poi cominciano gli altri.

Il codice conteneva un sistema che contrassegna i volti come “sospetti” senza che alcun criterio pubblico definisca cosa renda sospetto un volto. Un confronto biometrico del selfie con foto di politici e figure pubbliche, con restituzione di un punteggio di similarità numerico. Screening contro 14 categorie di media avversi. E la capacità di inviare segnalazioni di attività sospette direttamente a FinCEN — l’unità di analisi dei crimini finanziari del Tesoro americano — con codename hardcodati nei menu a tendina.

L’infrastruttura di screening dedicata a OpenAI era operativa da novembre 2023, diciotto mesi prima che OpenAI comunicasse pubblicamente di aver introdotto requisiti di verifica dell’identità digitale. La piattaforma governativa e quella commerciale condividono la stessa codebase — i commit hash corrispondenti tra i due deployment lo confermano — e quella corrispondenza dissolve il confine che le comunicazioni aziendali avevano tenuto in piedi tra verifica civile e infrastruttura di sorveglianza federale.

Il mercato dell’identità digitale ha già risposto

Nel luglio 2025 il UK Online Safety Act è entrato in vigore, imponendo la verifica dell’età su piattaforme e social media. Il giorno stesso, l’uso di VPN nel Regno Unito è salito del 1.400%. Metà delle dieci app più scaricate nel paese erano VPN o applicazioni di verifica identità. La protezione dei minori — obiettivo in sé legittimo — aveva generato la più grande campagna di evasione civile della storia dell’internet britannico.

Negli Stati Uniti, venticinque stati richiedono oggi la verifica dell’identità digitale per accedere a contenuti per adulti online; nove hanno approvato le leggi nel solo 2025. In Europa, eIDAS 2.0 impone a ogni stato membro di rendere disponibile un EU Digital Identity Wallet entro fine 2026; la Commissione Europea sta pilotando un blueprint di age verification in cinque paesi, tra cui l’Italia, e ha proposto di includere una foto biometrica obbligatoria nel dataset minimo di ogni wallet.

A questa domanda regolamentare, il mercato risponde nel modo più prevedibile: si organizza, si concentra, si finanzia. Il settore della verifica dell’identità digitale vale oggi circa 18 miliardi di dollari e crescerà fino a 80 miliardi entro il 2035. I profitti si concentrano al livello infrastrutturale che integra e coordina tutti i controlli — chi possiede questo strato decide in tempo reale chi passa e chi viene fermato.

A marzo 2026 la Spagna ha multato Yoti — presentata fino a poco fa come il modello della verifica rispettosa della privacy — per 950.000 euro, tre violazioni GDPR distinte. L’autorità regolatoria spagnola ha rigettato esplicitamente la difesa aziendale secondo cui il sistema “si limitava a verificare l’età.” La distinzione tra autenticare e identificare, davanti al regolatore, non ha retto.

Chi controlla l’accesso controlla l’identità digitale

Quello che il quadro complessivo produce è una biforcazione della vita digitale che opera su una logica mai dichiarata esplicitamente. Chi si verifica entra: nei servizi, nell’informazione, nella partecipazione alle piattaforme dove si forma l’opinione pubblica, si trovano opportunità lavorative, si accede a contenuti formativi e culturali. Ma entra anche come nodo di un grafo — un’identità digitale correlata, punteggiata, classificabile e riclassificabile in qualsiasi momento da un cambio di soglia algoritmica o regolamentare.

Chi non si verifica resta fuori, con una progressione che assomiglia alla coercizione senza esserlo formalmente. Reddit nel Regno Unito degrada l’esperienza degli utenti non verificati. OpenAI richiede documento per le funzionalità avanzate. Discord stava costruendo un sistema che avrebbe reso la verifica condizione di accesso all’intera piattaforma, prima di fare marcia indietro sotto la pressione pubblica. La struttura di incentivi rimane intatta: il costo dell’uscita viene progettato per essere più alto del costo dell’ingresso.

Il punto di frizione più profondo riguarda la permanenza del dato. Una password si cambia, una carta di credito si blocca, un indirizzo email si sostituisce. La biometria ha una proprietà che nessun altro dato personale condivide: è definitiva. Quando Discord ha subito la violazione che ha esposto i documenti d’identità governativi di 70.000 utenti nell’ottobre 2025, quei dati erano diventati irrecuperabili in un senso che va oltre la perdita tecnica: nessuno di quegli utenti potrà mai riavere il volto che aveva consegnato. Ogni breach biometrico è per definizione permanente.

Click here to accept Marketing cookies and load this content

Biometria, identità digitale e controllo sociale