Qual è la principale preoccupazione sollevata dal TBOTE Project riguardo alle leggi sulla verifica dell'età?

Il TBOTE Project sostiene che l'infrastruttura costruita per conformarsi alle leggi sulla verifica dell'età funziona come un sistema di sorveglianza biometrica transfrontaliera, e non semplicemente come uno strumento per proteggere i minori. L'indagine documenta processori di dati non divulgati, autenticazione telefonica silenziosa e moduli di segnalazione governativa incorporati nel codice.

Qual è il collegamento tra Peter Thiel e la raccolta di dati descritta nell'indagine?

Peter Thiel ha co-fondato Palantir, che vende analisi di sorveglianza ai governi, mentre la sua società di venture capital Founders Fund è il principale investitore in Persona, una società di verifica dell'identità che raccoglie dati biometrici. L'indagine descrive questo come un nesso di "raccolta e analisi" in cui lo stesso soggetto finanziario beneficia di entrambi i lati della pipeline dei dati.

Quali vulnerabilità di sicurezza sono state riscontrate nell'SDK di Persona?

Gli investigatori hanno scoperto una chiave di crittografia AES hardcoded nell'SDK di Persona, che è stata ruotata dopo la divulgazione della scoperta nella versione 1.15.3. L'SDK era inoltre privo di certificate pinning, una misura di sicurezza standard che impedisce l'intercettazione man-in-the-middle dei dati in transito.

Gli utenti venivano informati dell'autenticazione telefonica che avveniva durante le sessioni di verifica di Persona?

No, l'indagine ha rilevato che Telesign eseguiva un'autenticazione di rete silenziosa senza notifica all'utente, e che la verifica telefonica a livello di operatore avveniva tramite Vonage senza esplicita consapevolezza da parte dell'utente.

Quali capacità di segnalazione governativa sono state trovate nel codice sorgente trapelato di Persona?

Il codice sorgente trapelato di Persona conterrebbe secondo quanto riportato moduli di segnalazione governativa sviluppati specificamente per FinCEN e FINTRAC, le unità di intelligence finanziaria rispettivamente degli Stati Uniti e del Canada.

Le leggi sulla verifica dell'età stanno costruendo una rete di sorveglianza globale

Le leggi sulla verifica dell'età si stanno diffondendo negli Stati Uniti, nel Regno Unito e in Brasile con l'obiettivo dichiarato di proteggere i minori online. Ma un'indagine tecnica dettagliata condotta dal TBOTE Project sostiene che l'infrastruttura assemblata per conformarsi a queste leggi funziona come qualcosa di molto più ampio: un sistema di sorveglianza biometrica transfrontaliera con processori di dati non divulgati, autenticazione telefonica silenziosa e moduli di segnalazione governativa integrati direttamente nel codice.

L'indagine, aggiornata nell'aprile 2026, si basa su analisi DNS, decompilazione di SDK, registri di trasparenza dei certificati, documenti dei registri societari e fascicoli SEC EDGAR. Tutte le fonti citate sono pubbliche.

Il nesso Thiel: un unico investitore, due lati della pipeline dei dati

Uno dei principali risultati strutturali dell'indagine riguarda Peter Thiel. Thiel ha co-fondato Palantir Technologies, un'azienda che vende analisi di sorveglianza a governi e aziende di tutto il mondo. Il suo veicolo di venture capital, Founders Fund, è anche il principale investitore in Persona, una società di verifica dell'identità il cui SDK è integrato in piattaforme che vanno da Roblox a Robinhood.

Il TBOTE Project descrive questo come un nesso di "raccolta e analisi": lo stesso soggetto finanziario beneficia sia della raccolta di dati biometrici identitari sia delle analisi effettuate a valle su quei dati. L'indagine non ipotizza un coordinamento tra Persona e Palantir a livello di prodotto, ma documenta la struttura di proprietà condivisa come un fatto rilevante che non viene divulgato agli utenti che interagiscono con i flussi di verifica di Persona.

Il codice sorgente trapelato di Persona, esaminato nell'ambito dell'indagine, conterrebbe secondo quanto riportato 269 controlli di verifica, 43 tipi di verifica e moduli di segnalazione governativa sviluppati per FinCEN e FINTRAC, le unità di intelligence finanziaria rispettivamente degli Stati Uniti e del Canada.

Cosa ha rilevato l'analisi tecnica

La parte dell'indagine relativa alla decompilazione dell'SDK ha prodotto diversi risultati specifici che vanno oltre le preoccupazioni standard in materia di privacy.

Nell'SDK di Persona è stata scoperta una chiave di crittografia AES hardcoded. La chiave è stata ruotata nella versione 1.15.3 dopo la divulgazione della scoperta, il che suggerisce che il problema è stato confermato e risolto. L'SDK era inoltre privo di certificate pinning, una misura di sicurezza standard che impedisce l'intercettazione man-in-the-middle dei dati in transito.

Durante una sessione di verifica standard sono stati rilevati sette servizi di analisi in esecuzione simultanea. Telesign, una società a maggioranza di proprietà di Proximus, l'operatore di telecomunicazioni belga di proprietà statale, è stata identificata come responsabile dell'esecuzione di un'autenticazione di rete silenziosa senza notifica all'utente. È stata inoltre rilevata la verifica telefonica a livello di operatore tramite Vonage, senza esplicita consapevolezza da parte dell'utente.

Il componente di riconoscimento facciale del sistema di Persona è alimentato da Paravision, un'azienda classificata al primo posto in una valutazione di accuratezza biometrica del Dipartimento per la Sicurezza Interna degli Stati Uniti. Paravision non risulta nella pagina dei sub-responsabili del trattamento pubblicamente divulgati da Persona, secondo quanto riportato dall'indagine. Il TBOTE Project ha identificato 12 processori di dati che definisce non divulgati.

L'enumerazione dei sottodomini di withpersona.com ha rivelato 197 sottodomini, tra cui 65 ambienti di staging che esponevano servizi interni di machine learning, un database a grafo identificato come TigerGraph e un gateway verso l'AAMVA, l'American Association of Motor Vehicle Administrators, che gestisce i dati delle patenti di guida negli stati degli Stati Uniti.

L'indagine documenta inoltre che LinkedIn gestisce simultaneamente quattro distinti fornitori di verifica dell'identità, insieme a quello che viene descritto come un parallelo sistema di sorveglianza cinese nello stesso APK Android, inclusa l'integrazione del sistema di punteggio sociale Sesame Credit, l'autenticazione dell'operatore ShanYan e identificatori di dispositivo governativi.

Roblox, una piattaforma con una vasta utenza di minori, è risultata incorporare l'intero SDK di Persona, inclusa la funzionalità di lettura del passaporto tramite NFC, all'interno di un flusso di verifica che gli utenti secondo quanto riportato non possono abbandonare senza completarlo.

Cosa significa tutto questo per te

L'indagine del TBOTE Project non sostiene che la verifica dell'età in sé sia illegittima. La sua argomentazione è più specifica: l'infrastruttura costruita per implementare la verifica dell'età possiede capacità tecniche e strutture proprietarie che si estendono ben oltre qualsiasi singolo caso d'uso di controllo dell'accesso per età.

Per i comuni utenti di internet, questo significa che conformarsi a una richiesta di verifica dell'età su una piattaforma di gioco, un social network o un sito di contenuti per adulti può comportare il trattamento dei dati biometrici da parte di molteplici terze parti non divulgate, l'autenticazione a livello di operatore senza notifica visibile e il flusso dei dati verso sistemi con funzioni di segnalazione governativa.

I mandati legislativi in più di 25 stati degli Stati Uniti, in Brasile e nel Regno Unito stanno creando quello che l'indagine chiama un "mercato obbligatorio" per questi servizi. Il rapporto rileva che Meta ha speso 26,3 milioni di dollari in attività di lobbying in connessione con questa legislazione. Il database Serpro del Brasile, che contiene dati su circa 220 milioni di cittadini brasiliani, è identificato come parte dell'ambiente infrastrutturale in cui operano questi sistemi di verifica.

La convergenza tra la verifica dell'identità e l'infrastruttura degli agenti di intelligenza artificiale è segnalata come una preoccupazione emergente. L'indagine suggerisce che la verifica dell'identità si stia posizionando come prerequisito per la partecipazione alle transazioni internet automatizzate in senso più ampio, non solo per i contenuti con restrizioni di età.

Cosa puoi fare concretamente

I lettori che desiderano comprendere la propria esposizione a questa infrastruttura possono adottare alcune misure pratiche.

In primo luogo, esamina le politiche sulla privacy e le informative sui sub-responsabili del trattamento di qualsiasi piattaforma che ti abbia chiesto di completare una verifica dell'identità. Verifica se i fornitori di riconoscimento facciale e i servizi di autenticazione tramite operatore sono elencati.

In secondo luogo, tieni presente che la "verifica dell'età" su una piattaforma non significa che i tuoi dati rimangano su quella piattaforma. La verifica basata su SDK instrada i dati attraverso sistemi di identità di terze parti, ciascuno con le proprie pratiche di conservazione e condivisione dei dati.

In terzo luogo, segui gli sviluppi legislativi nella tua giurisdizione. Le leggi che richiedono la verifica dell'età creano obblighi legali per le piattaforme, che a loro volta guidano l'adozione dell'infrastruttura descritta in questa indagine. Capire cosa il tuo stato o paese sta rendendo obbligatorio è rilevante per comprendere quali dati potresti essere tenuto a fornire per utilizzare determinati servizi online.

L'indagine completa del TBOTE Project, inclusa la metodologia e i documenti di origine, è disponibile pubblicamente. I risultati rappresentano una delle analisi pubbliche tecnicamente più dettagliate del settore della verifica dell'età fino ad oggi, e le domande che solleva in merito alla divulgazione, ai flussi di dati e ai conflitti di interesse strutturali sono destinate a continuare a essere esaminate da regolatori, giornalisti e ricercatori della privacy.