La verifica sull’età imposta da alcuni stati USA è un problema per le distribuzioni Linux e l’open-source

Raoul Scarazzini

All’inizio di questo mese di marzo è arrivata una notizia dagli Stati Uniti che, visto il complicato momento storico, avrebbe tranquillamente potuto passare inosservata, ma che in realtà ha scatenato una vera e propria mobilitazione nelle community open-source e specificamente presso quanti si occupano di distribuzioni Linux.

La questione è ben riassunta da questo articolo di The Register, dal titolo “US state laws push age checks into the operating system“, che fa riferimento a una proposta dello stato statunitense della California che recita in breve:

This bill, beginning January 1, 2027, would require, among other things related to age verification with respect to software applications, an operating system provider, as defined, to provide an accessible interface at account setup that requires an account holder, as defined, to indicate the birth date, age, or both, of the user of that device…

A partire dal 1° gennaio 2027, questo disegno di legge richiederà, tra le altre cose relative alla verifica dell’età per quanto riguarda le applicazioni software, che un fornitore di sistemi operativi, come definito, fornisca un’interfaccia accessibile in fase di configurazione dell’account che richieda al titolare dell’account, come definito, di indicare la data di nascita, l’età, o entrambe, dell’utente di quel dispositivo…

Ora, tralasciando per il momento le questioni morali relative ad una scelta simile, per quanto concerne il tema di questo blog la questione è molto semplice: se per i sistemi operativi di casa Microsoft e Apple il problema non si pone, poiché già da tempo prevedono che associata ad una installazione vi sia la configurazione di un account (e quindi la raccolta dei dati personali, comprensivi di data di nascita), si fa in fretta a capire come per le distribuzioni Linux la questione sia totalmente differente.

Se ne sono accorti subito presso System76, l’azienda che produce PC montando Linux come sistema operativo predefinito, il cui CEO Carl Richell, riporta sempre The Register, si è impegnato in prima persona per cercare di dirimere la questione:

Today, I met with Colorado Senator Matt Ball, co-author of Colorado OS Age Attestation Bill SB26-051.

Sen. Ball suggested excluding open source software from the bill. This appears to be a real possibility.

Amendments are expected for the CA age attestation bill. It’s my hope we can move fast enough to influence excluding open source in the CA bill amendments.

No illusions, it’s an uphill battle, but we have an open door to advocate for the open source community.

Oggi ho incontrato il senatore del Colorado Matt Ball, co-autore del disegno di legge del Colorado sull’attestazione dell’età per i sistemi operativi, SB26-051.
Il senatore Ball ha suggerito di escludere il software open source dal disegno di legge. Questa sembra essere una possibilità concreta.
Sono previsti emendamenti per il disegno di legge californiano sull’attestazione dell’età. La mia speranza è che possiamo muoverci abbastanza rapidamente da influenzare l’esclusione dell’open source negli emendamenti del disegno di legge californiano.
Non mi faccio illusioni, è una battaglia in salita, ma abbiamo una porta aperta per difendere gli interessi della comunità open source.

Ma la voce di Richell non è certamente la sola del mondo open-source a ritenere che questa sia una cattiva, cattiva idea.

Il blog 9to5Linux ha affrontato la questione citando una patch proposta al sistema DBUS di Linux che includa la verifica dell’età, proposta dallo sviluppatore Aaron Rainbolt sulla Ubuntu mailing list a cui Canonical ha risposto con le parole di Jon Seager, VP Engineering:

Canonical is aware of the legislation and is reviewing it internally with legal counsel, but there are currently no concrete plans on how, or even whether, Ubuntu will change in response, the recent mailing list post is an informal conversation among Ubuntu community members, not an announcement. While the discussion contains potentially useful ideas, none have been adopted or committed to by Canonical.

Canonical è a conoscenza della legislazione e la sta esaminando internamente con i propri consulenti legali, ma al momento non ci sono piani concreti su come, o addirittura se, Ubuntu cambierà in risposta a ciò. Il recente post sulla mailing list è una conversazione informale tra i membri della comunità di Ubuntu, non un annuncio ufficiale. Sebbene la discussione contenga idee potenzialmente utili, nessuna è stata adottata o approvata da Canonical.

Ed ovviamente discussioni similari sono in corso nelle community di Fedora e di Linux Mint e non solo. C’è chi, come gli sviluppatori del sistema operativo MidnightBSD hanno deciso, esplicitandolo nella licenza, di vietare l’uso del loro sistema nello stato californiano.

E non finisce qui, Hayley Tsukayama, il Director of State Affairs della Electronic Frontier Foundation (EFF) oltre a segnalare come da tempo la fondazione si sia schierata contro i controlli sull’età in generale su internet, fornisce anche un punto di vista tecnologico sulla problematica, dicendo che al momento molte delle tecnologie richieste per la verifica nemmeno esistono:

Such poorly thought-out mandates, in truth, cannot achieve the purported goal of age verification. Often, they are easy to circumvent and many also expose consumers to real data breach risk.

These burdens fall particularly heavily on developers who aren’t at large, well-resourced companies, such as those developing open-source software. Not recognizing the diversity of software development when thinking about liability in these proposals effectively limits software choices — and at a time when computational power is being rapidly concentrated in the hands of the few. That harms users’ and developers’ right to free expression, their digital liberties, privacy, and ability to create and use open platforms…

Rather than creating age gates, a well-crafted privacy law that empowers all of us — young people and adults alike — to control how our data is collected and used would be a crucial step in the right direction.

Tali imposizioni, concepite in modo poco ponderato, in realtà non possono raggiungere il presunto obiettivo della verifica dell’età. Spesso sono facili da aggirare e molte espongono anche i consumatori a un rischio concreto di violazione dei dati.
Questi oneri ricadono in modo particolarmente pesante sugli sviluppatori che non fanno parte di grandi aziende con molte risorse, come ad esempio coloro che sviluppano software open-source. Non riconoscere la diversità dello sviluppo software quando si considera la responsabilità in queste proposte, di fatto limita le scelte software — e in un momento in cui la potenza di calcolo si sta concentrando rapidamente nelle mani di pochi. Ciò danneggia il diritto alla libera espressione degli utenti e degli sviluppatori, le loro libertà digitali, la privacy e la capacità di creare e utilizzare piattaforme aperte…
Piuttosto che creare barriere per l’età, una legge ben formulata sulla privacy che dia a tutti noi — giovani e adulti — il potere di controllare come i nostri dati vengono raccolti e utilizzati sarebbe un passo cruciale nella giusta direzione.

Insomma, è una vera e propria bomba che rischia di esplodere sulle teste di quanti sviluppano open-source, in particolare le distribuzioni Linux.

Ma la verifica dell’età sarà imposta sempre più anche in altri contesti.

In Italia ad esempio avrebbe dovuto essere obbligatorio dal 2026 dichiarare la propria età per accedere ai siti per adulti, ma la cosa pare essere stata adottata solo da alcuni, e non paiono esserci obblighi o punizioni in merito. Che dire poi a proposito di quanto scrive la Free Software Foundation relativamente a Discord, che adotta questa misura poco apprezzata (eufemismo), per garantire sicurezza nella fruizione dei contenuti raccogliendo però quintalate di dati personali?

Il 2027 è praticamente domani, ed il dubbio che ci stia andando ad infilare in un’era fatta di pseudo controlli che fanno stare tranquilli i governanti, ma non risolvono i problemi per cui sono stati pensati è decisamente persistente.

La speranza, in questo caso che la saggezza trionfi, è l’ultima a morire, ma l’orizzonte non pare molto sereno al momento.

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

, , , , , , ,

10 risposte a “La verifica sull’età imposta da alcuni stati USA è un problema per le distribuzioni Linux e l’open-source”

  1. Avatar xte
    xte

    Onestamente non vedo il problema in questi termini: le distro che non han sede legale negli Stati dove questa norma pirata, creata per forzare login a tutti, una scusa alla volta, login che un domani saranno solo in mani III, beh, queste distro non han nulla da fare "ho sede legale altrove, i miei repo sono altrove, le vostre norme non mi tangono". Sarebbe come se in Italia si applicasse una norma Canadese. Se l'azienda è italiana non ha da rispettare la norma Canadese, se poi la distro è un progetto FLOSS, costituito senza alcuna struttura commerciale la norma proprio non si applica perché i contributors sono all'estero.

    Ai margini la legge vuole la verifica dell'età? Ok: si mette un parametro opzionale "vuoi attivare al boot la verifica perché vivi in un paese in cui esiste questa norma?" e nel caso la schermata di login chiederà "dichiarati maggiorenne" e "salva l'informazione per questo username", il politicante di turno non avrà molto da dire.

    Suggerisco https://github.com/upper-up/meta-lobbying-and-other-findings ovvero https://web.archive.org/web/20260313162210/https://github.com/upper-up/meta-lobbying-and-other-findings per capire dove si va e la NECESSITÀ ed OPPORTUNITÀ di iniziare a DISCONOSCERE (amami, odiami, ma non essermi indifferente) l'autorità di coloro che non rispettano la volontà popolare in Democrazie solo formali. Avete fatto una legge? Si, beh, ok, non mi interessa, voi non avete legittimazione per questo. Non siete d'accordo? Bene, i repo sono sparsi per il mondo su Radicle e la gente fa ciò che vuole, prendete tutti uno per uno, non avete abbastanza FF.OO. e sapete bene che a un certo punto la gente si rivolterà.

    I più han problemi a comprendere il concetto di proprietà privata digitale, lo comprendono nel mondo fisico, se un'auto o una forchetta sono loro gli è chiaro, ma in digitale no "lo vedo sul mio schermo", "il computer è il mio schermo", questo ha da cambiare al volo per non finire MOLTO male. Qualcuno deve pur cominciare. Resuscitare ZeroNet, usare Radicle e propagandarlo, self-hostarsi XMPP o con dubbi Matrix per comunicare, magari metter Lemmy al posto di Reddit o usare Nostr. Non abbiamo così tanto, ma abbiamo abbastanza se lo usiamo e usandolo gli sviluppatori aumentano. È tempo che il FLOSS faccia politica, seria.

  2. Avatar mimmus
    mimmus

    tutto è politica, si diceva negli anni 70.
    e condivido

  3. Avatar xte
    xte

    Yep ma solo come esempio aneddotico: quanto è entrata in vigore la DSP/PSD2 (norma bancaria) che lega il III fattore (OTP, in genere, purtroppo) di ogni transazione all’importo della stessa, una definizione ben vaga: https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32018R0389 Unicredit ha risposto e lo ha tutt’ora ad anni di distanza inserendo un “secondo finto OTP”, una sorta di CAPTCHA, alla conferma d’ogni transazione, semplicemente ti fan vedere una stringa numerica e ti dicono di riscriverla sotto.

    Al netto della vaga norma, rispettano la norma così. Nessuno gli ha detto nulla.

    Beh non vedo perché le distro non possano far lo stesso se vogliono “accettare” questa norma, e magari nel farlo ci aggiungano anche chi queste norme sta spingendo e dove si pensa dall’alto delle proprie conoscenze tecniche, che si stia andando un’evoluzione normativa alla volta, un colpo di censura alla volta. La gente oramai comincia a sentirlo anche se non ha ancora granché capito, gente che s’è bruciata le dita con gli account online di Microsoft, OneDrive, gente che s’è vista censurare da Reddit, … la stampa inizia a parlarne, dai casi Wikileaks/Albanese/* con C/C bloccati senza alcuna base legale per bloccarli, senza processo né condanna in avanti, gente che s’è bruciata le dita con lettori di ebook e libri non davvero comprati e poi scomparsi, gente coi tapis peloton in abbonamento, gente con il robottino connesso ed i di lui filmati buttati online, … la lista è lunghissima, se si comincia a collegare i puntini anche il bipede medio capisce. Nell’interim l’ignoranza politica rende nelle fasi iniziali facile aggirare certe norme se le si accetta.

    Anche cominciare a dire “comprate un nome a dominio, è meno di 10€/anno”, offrire soluzioni precotte stile Start9/Umbrel/Uninvention ecc per dar anche all’aspirante self-hoster che quasi nulla sa, qualcosa che gli permetta di far da se, oramai con l’FTTH coturn in casa per parlare, audio e video, via XMPP/Matrix possiamo averlo in tantissimi, e così si costruisce non la copia dei gafam nostrana ma un altro IT di cui abbiam bisogno. Se restiamo fermi siamo finiti.

  4. Avatar Giacomo Perin
    Giacomo Perin

    Sembra che Facebook abbia speso decine di milioni di euro in lobbying per fare passare la norma. In questo modo dovrebbe fare ricadere la verifica dell'età sul sistema operativo e poter raccogliere tutti i dati indiscriminatamente senza ripercussioni legali dovute alla legge sulla protezione dei minori. Quindi si ottiene l'effetto opposto dell'intenzione della legge

  5. Avatar xte
    xte

    Qui trovi dettagli https://github.com/upper-up/meta-lobbying-and-other-findings alcuni utenti si son divertiti a seguire i soldi meglio che han potuto.

    Comunque onestamente è ingenuo pensare che i dati non siano già massicciamente raccolti dagli OS proprietari, questa mossa serve più che altro a imporre il login per tutto, così da abituare gli utenti a non esser liberi, ma dipendenti da piattaforme che decidono cosa possono o non possono fare quando vogliono.

    Anche per questo è stra-importante il FLOSS e far uscire quanta più gente si può dal modello commerciale. Siamo già messi male, saremo ben peggio nel prossimo futuro. Hai pensato al caro ram, seguito del caro schede video, a sua volta seguito dal caro NVME? Qual'è il vero risultato? Per me quello che i più non daranno più computer ai ragazzi, troppo cari, quindi questi non impareranno ad usare desktop FLOSS quando da studenti sono nel momento migliore per farlo, non faranno homeserver e via dicendo, saranno schiavi della piattaforma di turno, proprio a tempo quando la censura e i limiti e problemi dell'offerta commerciale stavan portando tanti verso il self-hosting. Curiosa no la tempistica…

  6. Avatar far5893
    far5893

    Guarda che la privacy moderna e' tutta una buffonata, una volta la privacy partiva dall impedire a banche e assicurazioni di profilare la clientela creando discriminazioni, oggi e' una barriera per l'individuo per sapere cosa fanno gli altri individui intorno a lui con cui deve interagire, insomma un individualismo forzato con sopra le grandi organizzazioni che fanno quello che gli pare.

  7. Avatar far5893
    far5893

    Manca l'IPv6 per poter essere veramente selfhosted .

  8. Avatar xte
    xte

    Beh oramai quello, almeno dalle mie parti, inizia finalmente ad esser abbastanza diffuso, a volte con artifici strambi per limitare la libertà dei clienti ma in genere un global per host riesci ad averlo. Però dalla defunta ZeroNet a Radicle passando per SyncThing e la vecchia rete KAD soluzioni per bypassare il NAT entro certi limiti ne abbiamo, è un gran ostacolo, ma diciamo che un po’ si può gestire comunque.

  9. Avatar Anna
    Anna

    Secondo me il problema, non è come fare. Bisogna NON fare, cioè bisogna opporsi a certe porcate che stanno approvando anche in Italia. Se io uso Linux lo uso perchè è un sistema operativo libero, se voglio farmi controllare uso Winzoz o le porcherie apple e google.
    BISOGNA OPPORSI AL CONTROLLO TOTALE, iniziano con la verifica dell’ età e poi non si finisce più.

  10. Avatar Autodelta85
    Autodelta85

    Aspettavo questo Raoul anzi mi stupisco non arrivasse tale articolo.

    A me francamente delle idiozie di Newsom…..interessa poco ma in generale facciano quello che vogliono i Governatori fuori dal mondo e dominati da una ideologia becera e da attività di lobbying ben chiare e note a tutti.

    Mi preoccupa di più un effetto "contagio" a livello mondiale (anche il Brasile va in questa direzione) e allora li sarebbe un guaio a meno di non avere server alle Isole Salomone o Tristan da Cunha

    Tutto sommato l'Europa con il suo immobilismo, il non decidere, il continuare a negoziare su tutto tra 27 Stati mi fa stare un pelo più sereno che certe idiozie possano essere evitate o per lo meno mitigate.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

GitHub
KPA
Kubelab
Articoli
Saturday’s Talks
The Security Corner

Categories

Articoli (68) Notizie (3381) Saturday's Talks (56) The Security Corner (5)

Tag cloud

ai (95) AlmaLinux (36) Android (36) Bug (83) Canonical (92) CentOS (49) Cloud (64) container (53) Controversia (51) Debian (110) desktop (36) docker (66) Fedora (65) Firefox (39) GitHub (81) Gnome (36) Google (90) IBM (57) Intel (58) KDE (43) Kernel (284) Kubernetes (102) Linux (815) LTS (37) Malware (70) Microsoft (198) MicrosoftLovesLinux (37) Mozilla (40) open-source (466) Openstack (58) Oracle (37) Patch (36) Red Hat (180) Release (70) RHEL (44) Rust (44) SaturdaysTalks (54) Sicurezza (132) Software (43) SUSE (44) systemd (80) Torvalds (102) Ubuntu (189) Vulnerabilità (70) Windows (88)