Un nuovo rapporto allarmante dell'Ofcom, l'autorità di regolamentazione delle comunicazioni del Regno Unito, ha emesso un verdetto severo: i feed di contenuti YouTubeTikTok e YouTube«non sono abbastanza sicuri» per i bambini. Non si tratta semplicemente dell'ennesima bacchettata sulle mani da parte delle autorità di regolamentazione. L'Ofcom lancia un monito a chiunque operi nei settori della sicurezza informatica, dell'intelligence sulle minacce e della sicurezza online.
Come afferma la stessa organizzazione:
«In particolare, TikTok e YouTube impegnati ad apportare modifiche significative per ridurre la diffusione di contenuti dannosi rivolti ai bambini, sostenendo che i loro feed sono già sicuri per i più piccoli.»
Tra gli aspetti positivi, Snap, Meta e Roblox hanno concordato di adottare ulteriori misure di sicurezza per proteggere i minori dall'adescamento online e dal «pericolo rappresentato dagli sconosciuti».
La BBC riferisce che, secondo un sondaggio condotto dall’Ofcom, l’84% dei bambini di età compresa tra gli 8 e i 12 anni continuava a utilizzare almeno un servizio importante il cui limite minimo di età era fissato a 13 anni. In precedenza avevamo segnalato quanto fosse facile aggirare alcuni dei metodi di verifica dell’età. I ricercatori che hanno utilizzato account di utenti di età inferiore ai 13 anni hanno inoltre riferito di essersi imbattuti in contenuti a carattere sessuale e linguaggio offensivo poco dopo aver acceduto a specifici giochi su Roblox.
A proposito di Roblox, secondo quanto riporta The Guardian, alcune associazioni statunitensi hanno presentato una richiesta formale alla Federal Trade Commission (FTC) affinché indaghi su Roblox per quelle che definiscono pratiche «sleali e ingannevoli». La denuncia verte in particolare su:
- Gli acquisti in-game spingono i bambini a spendere soldi
- Funzionalità di chat che espone i minori a estranei
- Funzionalità pensate per massimizzare il coinvolgimento, che secondo i critici potrebbero creare dipendenza
Drew Benvie, amministratore delegato di Battenhall e fondatore dell'organizzazione no profit Raise, che si occupa della sicurezza dei giovani, ha osservato:
«Sebbene Roblox stia adottando nuove misure di sicurezza basate sull'età, i giovani giocatori sono abili nell'aggirare tali protezioni.»
Il punto di vista della sicurezza informatica
Ciò che tiene svegli la notte i ricercatori nel campo della sicurezza informatica è un altro aspetto di questo problema. Molte delle soluzioni proposte per la verifica dell'età richiedono agli utenti di fornire documenti d'identità ufficiali o dati biometrici ricavati da selfie. Ne abbiamo già parlato nel nostro blog, "Verifica dell'età: tutela dei minori o rischio per la privacy?".
I sistemi di verifica dell'età offrono enormi opportunità di raccolta dati che diventano obiettivi primari per:
- Violazioni dei dati che comportano la divulgazione di informazioni sensibili di identificazione personale (PII)
- Identity facilitato dalle banche dati centralizzate delle identità
- Il furto di dati biometrici, che non possono essere modificati come le password
- Malware e truffe che prendono di mira gli utenti su piattaforme meno sicure
Quando le restrizioni spingono i giovani utenti verso siti più piccoli o meno sicuri, questi si trovano di fronte a:
- Assenza di misure di sicurezza di base
- Maggiore esposizione al malware
- Aumento dei rischi legati al phishing e alle truffe
- Contenuti dannosi non moderati
È esattamente ciò che osserviamo nell'ambito dell'intelligence sulle minacce: non appena i difensori mettono in sicurezza un vettore, i criminali informatici si adattano e si spostano altrove.
I sistemi più sicuri sono più efficaci dei limiti di età più rigidi
La tutela dei minori dovrebbe concentrarsi sulla creazione di esperienze digitali complessivamente più sicure. Questa è l'unica strada percorribile perché:
- Una moderazione più rigorosa elimina effettivamente i contenuti dannosi, anziché limitarsi a bloccarne l'accesso
- I sistemi di raccomandazione più sicuri impediscono l'amplificazione algoritmica dei contenuti dannosi
- Una maggiore responsabilità delle piattaforme implica che le aziende non possano anteporre il coinvolgimento alla sicurezza
- Evitare la raccolta invasiva di dati impedisce la creazione di enormi esche per gli hacker
In qualità di esperto che analizza quotidianamente malware e minacce, posso dirvi che la sicurezza basata sull'oscurità (limiti di età) non funziona. La sicurezza basata su una solida progettazione dei sistemi (moderazione, algoritmi più sicuri, responsabilità) invece sì.
I truffatori non hanno bisogno di hackerarti. Basta che tu faccia clic una sola volta.
Malwarebytes Identity Theft individua le attività sospette prima che diventino un problema.
