Aggiornamento del 13 marzo 2026
Persona ci ha contattato per chiarire che:
- L'ambiente di test esposto è stato isolato dai sistemi di produzione.
- Non sono stati divulgati dati personali.
- Nessun cliente Persona utilizza tutti i 269 controlli disponibili.
- Persona non collabora con alcuna agenzia federale.
- Persona si limita a trattare i dati, mentre sono i clienti a decidere in merito al loro trattamento e alla loro cancellazione da parte di Persona.
Puoi leggere la spiegazione fornita da Persona in merito alla questione e la loro risposta in questa analisi post-incidente.
Che cosa è successo?
I ricercatori che stanno indagando sui controlli di verifica dell'età di Discord affermano di aver scoperto un frontend esposto appartenente a Persona, il fornitore di servizi di verifica dell'identità utilizzato da Discord. Esso ha rivelato un sistema di sorveglianza e di intelligence finanziaria molto più esteso rispetto a un semplice strumento di "sicurezza per adolescenti".
Poco tempo fa abbiamo riportato che Discord limiterà i profili alla modalità adatta agli adolescenti fino a quando non si verificherà la propria età. Ciò significa che chiunque desideri continuare a utilizzare Discord come prima dovrà sottoporsi alla scansione del proprio volto, e Internet non ne è affatto felice.
Per analizzare queste scansioni, Discord utilizza la start-up di verifica dell'identità biometrica Persona Identities, Inc., un'impresa che offre soluzioni Know Your Customer (KYC) e Anti-Money Laundering (AML) che si basano su controlli di identità biometrici per stimare l'età di un utente.
Per dimostrare le implicazioni relative alla privacy, i ricercatori hanno esaminato più da vicino la questione e hanno trovato un frontend Persona esposto pubblicamente su un server autorizzato dal governo degli Stati Uniti, con 2.456 file accessibili.
Avete letto bene. Secondo la ricercatrice «Celeste», il codice reso pubblico, che nel frattempo è stato rimosso, si trovava su un endpoint autorizzato dal governo statunitense che sembra essere stato isolato dal suo normale ambiente di lavoro. Tuttavia, Persona ha poi chiarito in un post sul blog che «l'intero dominio non ha mai avuto clienti federali e non contiene alcun dato relativo ai clienti».
In quei file, i ricercatori hanno trovato informazioni dettagliate sulle ampie capacità di sorveglianza del software Persona. Oltre a verificare l’età degli utenti, il software è in grado di eseguire 269 controlli di verifica distinti, effettuare il riconoscimento facciale confrontando i dati con liste di persone ricercate e con quelle di persone politicamente esposte, vagliare i “contenuti mediatici negativi” in 14 categorie (tra cui terrorismo e spionaggio) e assegnare punteggi di rischio e di somiglianza.
Persona raccoglie — e può conservare per un massimo di tre anni — indirizzi IP, impronte digitali del browser e del dispositivo, numeri di identificazione governativi, numeri di telefono, nomi, volti, oltre a una serie di analisi dei “selfie” quali il rilevamento di entità sospette, il rilevamento di pose ripetute e i controlli di incongruenza dell’età. Dopo che "Celeste" ha pubblicato i propri risultati online, il CEO di Persona, Rick Song, ha dichiarato sulla piattaforma social X: "Verifichiamo la tua identità in modo sicuro, la conserviamo solo per il tempo necessario per conto del cliente e poi la cancelliamo non appena possibile."
In un momento in cui la verifica dell'età è un argomento molto dibattuto, questa non è certo la notizia che convincerà i sostenitori della privacy che la verifica dell'età è nel nostro interesse. L'invio dei dati ottenuti durante i controlli di verifica dell'età a broker di dati e governi stranieri (secondo quanto riferito, Persona è stato testato da Discord nel Regno Unito) non instaurerà il livello di fiducia necessario affinché gli utenti si sentano a proprio agio nel sottoporsi a questo tipo di controllo.
Ciò avviene in un contesto più ampio in cui ci si chiede se la verifica dell'età stia effettivamente funzionando come dovrebbe. Euronews ha esaminato l'effetto del divieto australiano, primo al mondo, di accedere ai social media per i minori di 16 anni. Le nuove norme australiane sono in vigore solo da sei settimane, ma mentre l'autorità di regolamentazione di Internet del Paese afferma di aver chiuso circa 4,7 milioni di account di minori di 16 anni su piattaforme come TikTok, Instagram, Snapchat, YouTube, X, Twitch, Reddit e Threads, i bambini e i genitori descrivono una realtà molto diversa. Le interviste con adolescenti, genitori e ricercatori indicano che molti bambini continuano ad accedere alle app vietate attraverso semplici soluzioni alternative.
Secondo The Rage, Discord ha dichiarato che non continuerà a utilizzare Persona per la verifica dell'età. Tuttavia, altre piattaforme che utilizzano Persona includono:
- Roblox: utilizza la stima dell'età facciale e la verifica dell'identità di Persona come base del suo sistema di "controllo dell'età per chattare".
- OpenAI / ChatGPT: Il centro assistenza di OpenAI spiega che, se è necessario verificare di avere più di 18 anni, "Persona è una società terza di fiducia che utilizziamo per aiutare a verificare l'età" e che Persona potrebbe richiedere un selfie dal vivo e/o un documento d'identità ufficiale.
- Lime: Il servizio di ride sharing utilizza flussi personalizzati di verifica dell'età con Persona per soddisfare i requisiti specifici di ciascuna regione.
I truffatori non hanno bisogno di hackerarti. Basta che tu faccia clic una sola volta.
Malwarebytes Identity Theft individua le attività sospette prima che diventino un problema.
