Ecco come funziona: al momento del login, viene visualizzato un messaggio che richiede la scansione di un QR Code attraverso lo smartphone. Il codice conduce al sito di Yoti, dove è possibile eseguire la verifica dell’età con due metodi diversi.
Il primo prevede l’invio della foto o della scansione di un documento d’identità, mentre il secondo sfrutta un sistema di riconoscimento dell’età basato sull’intelligenza artificiale. Una volta completata la procedura sul telefono, l’accesso sul PC viene immediatamente attivato.
Sul sito di Yoti, una volta eseguita la prima verifica, è possibile anche scegliere di memorizzare sul proprio smartphone una passkey (chiamata AgeKey) che permette di avere il via libera più velocemente. Dal secondo accesso, quindi, le opzioni diventano tre: controllo di un documento, riconoscimento facciale con l’AI o AgeKey.
Cosa non convince della procedura
Screenshot
Le prime perplessità nascono dalla verifica dell’età. Yoti non chiede alcuna informazione personale e l’unico collegamento con l’utente è il dispositivo che usa. Nel corso della procedura viene inoltre specificato che le foto verranno cancellate immediatamente dopo la verifica. Ottimo per la privacy, ma sul rigore della verifica qualche dubbio sorge.
Prima di tutto perché la stima dell’età tramite AI non può certo essere considerata affidabile al 100%. In secondo luogo perché, una volta fatta la prima verifica, l’accesso con AgeKey consente di saltare qualsiasi controllo. Com’è possibile avere la certezza che un utente non abbia semplicemente chiesto a qualcun altro di “metterci la faccia” la prima volta?
In realtà, nelle condizioni d’uso è prevista la possibilità che la verifica dell’età possa essere richiesta periodicamente, in base a quanto previsto dalla legislazione nazionale. In Italia, però, non esistono ancora regole precise da rispettare e la fantomatica “certificazione” citata da Agcom nel suo provvedimento rimane ancora un oggetto misterioso.
Lo scorso 5 novembre Wired Italia ha contattato l’ufficio stampa dell’authority chiedendo informazioni riguardo la procedura di certificazione o la documentazione relativa. La risposta è stata laconica: “la richiesta di informazioni in oggetto inerisce informazioni di dettaglio allo stato attuale non disponibili”.
Quale anonimato?
Un ulteriore problema riguarda la soddisfazione dei requisiti fissati da Agcom, che prevedono il “doppio anonimato”. Il sito dell’authority lo descrive così: “Tale sistema assicura un livello di sicurezza adeguato al rischio e il rispetto della minimizzazione dei dati personali raccolti. Il meccanismo di ‘doppio anonimato’ non consente infatti ai fornitori di verifica dell’età di sapere per quale servizio viene emessa la prova dell’età. Allo stesso tempo, la prova fornita al sito web o alla piattaforma non contiene dati identificativi dell’utente”.
Screenshot
In sintesi: chi fornisce la certificazione dell’età non deve sapere che sito stiamo visitando, il sito che visitiamo non deve sapere chi siamo ma avere solo la conferma del fatto che siamo maggiorenni.
Guardando alla procedura di OnlyFans non sembra che le cose vadano proprio così. Quando abbiamo provato a inquadrare un QR Code “vecchio”, la pagina di Yoti ha visualizzato un messaggio segnalando che la nostra sessione era scaduta e ha reindirizzato lo smartphone al sito di OnlyFans. Visto che l’accesso era stato richiesto tramite PC, sorge il (forte) dubbio che Yoti sappia esattamente da quale servizio arriva la richiesta.
