Dalle VPN allo scambio di volti: come le lacune nella verifica dell’età riflettono il più ampio problema delle frodi

Il divieto di accesso ai social media per i minori di 16 anni previsto dal governo britannico ha riportato alla ribalta il tema della verifica dell'età.

Quando, il 25 luglio 2025, sono entrati in vigore i requisiti relativi alla verifica dell’età previsti dall’Online Safety Act, l’intento era chiaro e giustificabile: i minori dovevano essere protetti in modo più efficace da esperienze online dannose.

Ma l'introduzione di questa misura ha anche messo in luce una sfida che ora è al centro della questione della fiducia nel digitale: quando vengono introdotti i controlli sull'età, inevitabilmente si troveranno modi per aggirarli.

Proton VPN ha registrato un picco delle iscrizioni nel Regno Unito pari a circa il 1.400% con l'entrata in vigore delle nuove norme; NordVPN ha registrato un aumento di circa il 1.000%. I dati dell’Ofcom hanno mostrato che l’utilizzo giornaliero delle VPN nel Regno Unito è più che raddoppiato, raggiungendo 1,4 milioni di utenti, prima di stabilizzarsi intorno ai 900.000, un livello di riferimento significativamente più elevato.

L'utilizzo di Tor ha mostrato un andamento simile in altri mercati in cui la verifica dell'età ha acquisito maggiore rilevanza nell'agenda politica; i dati australiani relativi ai requisiti di verifica dell'età sui social media ne sono un esempio:

Per essere chiari, le norme stanno funzionando: l’Ofcom ha segnalato un forte calo delle visite nel Regno Unito ai principali siti per adulti dopo l’entrata in vigore delle misure, e i sondaggi indicano che la maggior parte dei britannici sostiene lo spirito della legge. Il problema non è che la verifica dell’età non possa funzionare. È che, quando i controlli sono legati a segnali che gli utenti possono mascherare, la stessa misura può sia garantire il rispetto della normativa sia favorire l’elusione.

Leggi simili nel Regno Unito, in Australia e in diversi stati degli Stati Uniti hanno messo in luce la stessa sfida fondamentale.

La questione non è se debbano esistere leggi sulla verifica dell’età; la questione è se gli attuali approcci alla verifica dell’età stiano mettendo in luce una debolezza più ampia nella fiducia nel mondo digitale.

Le VPN non aggirano la verifica, ma aggirano il meccanismo di attivazione

La maggior parte dei sistemi di verifica dell'età si basa sulla geolocalizzazione dell'IP per decidere se richiedere o meno all'utente di effettuare la verifica. Se un sito rileva un indirizzo IP del Regno Unito, avvia una verifica dell'età. Se l'IP sembra provenire da fuori dalla giurisdizione soggetta a regolamentazione, ad esempio perché l'utente è connesso tramite una VPN, il processo di verifica non viene mai avviato.

Le VPN non aggirano i controlli sull'età. Aggirano invece la condizione in base alla quale tali controlli sono richiesti.

Non si tratta di un fallimento della tecnologia di verifica dell'identità. È piuttosto un promemoria del fatto che il fattore scatenante è importante tanto quanto il controllo stesso. Se una procedura di verifica non viene mai attivata, né la verifica biometrica avanzata, né i controlli dei documenti, né il rilevamento della vitalità avranno mai la possibilità di svolgere il proprio compito.

C'è un secondo aspetto da considerare in questo ambito: non tutti i metodi di verifica dell'età offrono lo stesso livello di certezza. Molte soluzioni implementate per soddisfare le normative in materia di verifica dell'età sono in realtà strumenti di stima dell'età, che hanno un carattere probabilistico e potrebbero non garantire il livello di certezza richiesto in contesti di conformità o applicazione della legge ad alto rischio. Per saperne di più, consulta il nostro blog dedicato alla verifica dell'età rispetto alla stima dell'età.

Il governo britannico ha citato i dati dell’AVPA, secondo cui dopo l’introduzione del sistema sono stati effettuati 5 milioni di controlli di età in più al giorno: una prova concreta che, per gli utenti coinvolti, il sistema sta funzionando. Ciò che questi numeri non riescono a cogliere sono tutte quelle persone che non sono mai state sottoposte a un controllo, poiché l’uso di una VPN le ha poste al di fuori del campo di applicazione del sistema.

Ecco il nocciolo della questione in una sola frase: nemmeno la verifica più rigorosa al mondo può proteggere un flusso che non ha mai avuto inizio.

Perché è importante al di là dei limiti di età

Quando qualcuno utilizza una VPN o Tor per accedere a contenuti soggetti a restrizioni, sta utilizzando strumenti su cui fanno affidamento le organizzazioni criminali specializzate in frodi per:

• Nascondere la propria ubicazione al momento dell'apertura di conti bancari fraudolenti
• Aggirare i controlli di geofencing sugli exchange di criptovalute
• Eludere le sanzioni fingendo di essere clienti provenienti da regioni non soggette a restrizioni
• Eseguire la creazione in massa di account da un'unica sede fisica
• Verifica le credenziali rubate su più servizi senza attivare i controlli di velocità

L'intento è diverso. Un adolescente che cerca di accedere a una piattaforma non è la stessa cosa di un criminale che apre conti fittizi. Ma lo schema di fondo è lo stesso: nascondere il segnale, eludere il meccanismo di attivazione, aggirare il controllo.

È proprio questa sovrapposizione il motivo per cui i controlli sull’età sono importanti al di là della sicurezza dei minori. Rendono visibile al grande pubblico un problema di prevenzione delle frodi. Non tutti coloro che scaricano una VPN diventano truffatori. Ovviamente no. Ma ciò ci ricorda con quanta facilità le persone ricorrano a strumenti di elusione — VPN, proxy, localizzazioni falsificate — nel momento in cui un controllo viene percepito come un ostacolo. Il kit di strumenti si sovrappone a quello su cui fanno affidamento le operazioni di frode su larga scala, anche quando l’intento è completamente diverso.

Dalle VPN allo scambio di volti: un ventaglio di tecniche per eludere l’identità

Se le VPN nascondono dove ti trovi, lo scambio di volti e i deepfake nascondono chi sei. Le VPN mostrano cosa succede quando gli utenti riescono a eludere i controlli. Lo scambio di volti mostra cosa succede quando gli utenti vengono sottoposti ai controlli e cercano di spacciarsi per qualcun altro.

Un personaggio immaginario di un videogioco ha superato un vero controllo dell’età. Quando Discord ha introdotto la verifica dell’età tramite riconoscimento facciale, gli utenti hanno scoperto che la modalità foto di Death Stranding permetteva loro di manipolare il volto di un personaggio durante la fase “apri e chiudi la bocca” per superare il controllo (PC Gamer). La lezione che si cela dietro questa battuta: i controlli di presenza basati su azioni prevedibili e ripetibili possono essere vulnerabili alla riproduzione o all’imitazione. La presenza autentica dipende da una sfida che non può essere anticipata né riutilizzata.

Quella stessa traiettoria va ben oltre una semplice soluzione alternativa alla modalità di gioco:

• I dati di intelligence sulle minacce di iProov hanno evidenziato un aumento del 1.151% degli attacchi di tipo “injection” su iOS nella seconda metà del 2025.
• Deloitte prevede che le perdite dovute alle frodi commesse negli Stati Uniti con l'ausilio dell'intelligenza artificiale generativa passeranno da 12,3 miliardi di dollari nel 2023 a 40 miliardi di dollari entro il 2027.

Non si tratta di problemi isolati. Sono diverse manifestazioni della stessa logica fraudolenta: se un servizio digitale deve fidarsi di qualcosa, gli hacker cercheranno di falsificarla. La posizione può essere mascherata. I dispositivi possono essere manipolati. I documenti possono essere falsificati. I volti possono essere sostituiti. I flussi video possono essere manomessi.

Questo è lo spettro dell’elusione dell’identità.

L'unico punto di riferimento affidabile: la presenza umana autentica

Se tutti quei segnali di fiducia possono essere falsati, cosa rimane?

La risposta è la presenza umana autentica, verificata dal vivo, in quel preciso momento.

Tecnologie come Dynamic Liveness di iProov verificano la presenza effettiva rispondendo a una domanda apparentemente semplice: si tratta di una persona reale, della persona giusta, presente in questo momento? Un solido sistema di rilevamento biometrico della presenza aiuta a neutralizzare minacce quali registrazioni, deepfake, sostituzioni di volti e attacchi di tipo “injection”.

Nella maggior parte dei scenari di verifica dell'identità, l'apertura di un conto bancario, l'accesso ai servizi pubblici e il completare la procedura KYC per le piattaforme finanziarie, il fattore scatenante non dipende dalla posizione di rete. Che ci si connetta da Londra o da Lagos, tramite VPN o meno, il sistema richiede comunque di verificare la propria identità con credenziali legittime, come un documento rilasciato dalle autorità. In questi casi, la verifica biometrica della vitalità fornisce un solido punto di riferimento di fiducia che né le VPN né Tor possono aggirare.

La verifica dell’età è un caso a sé stante. Quando il criterio di attivazione dipende interamente dalla geolocalizzazione basata sull’IP — ovvero “ti trovi in una giurisdizione soggetta a regolamentazione?” — le VPN e Tor aggirano il sistema prima ancora che possa avere inizio una vera e propria verifica della presenza. Non si tratta di un fallimento della tecnologia biometrica, ma di un promemoria del fatto che il criterio di attivazione è importante tanto quanto il controllo stesso.

Il percorso da seguire

Il divieto di accesso ai social media per i minori di 16 anni nel Regno Unito è un caso di studio molto attuale, ma non rappresenta l’intero quadro della situazione. Si tratta di un esempio di una tendenza molto più ampia volta a verificare l’età, l’identità e i diritti degli utenti online.

Mettiamo le cose in chiaro: le VPN e Tor svolgono funzioni fondamentali. Bloccare questi strumenti in modo indiscriminato sarebbe sia tecnicamente impossibile sia eticamente discutibile. Il problema non è l’esistenza di infrastrutture per la tutela della privacy, bensì il ricorso a meccanismi di applicazione che tali strumenti sono in grado di aggirare.

Questo indica la direzione che deve prendere la verifica dell’età. Un controllo troppo legato a un segnale IP facilmente falsificabile rischia di diventare l’anello più debole, quindi il meccanismo di verifica deve avvicinarsi all’utente, non alla sua posizione apparente. Ciò significa segnali di età a livello di dispositivo e di sistema operativo, credenziali verificate riutilizzabili e metodi che tutelino la privacy, consentendo a una persona di dimostrare la propria età o identità una sola volta, senza dover ripetere un controllo che la posizione geografica può aggirare. È lo stesso principio alla base della iniziativa dell’UE verso i portafogli di identità digitale: la fiducia ancorata a una credenziale verificata, non a un segnale di rete.

Laddove la verifica è già obbligatoria e non subordinata alla posizione geografica — come nel settore bancario, per le procedure KYC, nei servizi pubblici, nel recupero degli account e nel lavoro da remoto — la presenza fisica costituisce oggi il punto di riferimento più solido. La verifica dell’età non fa altro che dimostrare il principio per negazione: l’efficacia di un controllo dipende esclusivamente dal fattore che lo fa scattare.

Per garantire prestazioni ottimali, i sistemi futuri dovranno:

• Allontanare il trigger dai segnali di rete facilmente falsificabili
• Privilegiare una progettazione incentrata sulla privacy, con credenziali che ne garantiscano la tutela, affinché la verifica non si trasformi in una trappola per i dati
• Basare la verifica dei casi ad alto rischio sulla presenza umana effettiva
• Strutturare i controlli di sicurezza in modo tale che la neutralizzazione di un singolo segnale non provochi il collasso dell'intero sistema
• Ridurre al minimo gli ostacoli per gli utenti, in modo da diminuire l'incentivo a eludere le restrizioni
• Progettare fin dall'inizio tenendo conto dei comportamenti ostili

Partiamo dal presupposto che il sistema verrà messo alla prova. Non perché tutti gli utenti siano malintenzionati, ma perché alcuni saranno curiosi, altri frustrati, altri ancora seguiranno i tutorial e altri infine saranno criminali.

Il punto fondamentale è che i servizi digitali hanno sempre più bisogno di instaurare un rapporto di fiducia senza una presenza fisica. Devono verificare se una persona ha l’età minima richiesta per accedere a un servizio, se un cliente o un lavoratore da remoto è chi dice di essere, se chi apre un conto è una persona reale o un profilo fittizio e se il volto che appare sullo schermo è in tempo reale o generato.

Le falle nel sistema di verifica dell’età rispecchiano il più ampio problema delle frodi, poiché entrambe mettono in luce la stessa vulnerabilità: troppi sistemi digitali continuano a fare affidamento su segnali che possono essere falsificati, elusi o creati ad arte.

Il futuro della fiducia digitale dipende dalla capacità di dimostrare ciò che conta di più: che una persona reale sia effettivamente presente, in quel preciso momento, e autorizzata ad agire.

• La fiducia nel digitale sta cambiando rapidamente. Per saperne di più su come viene messa alla prova e ricostruita, iscriviti a Biometric Beat.
• Prenota qui una demo illustrativa di iProov.