TRASPARENZA: Questo articolo contiene link di affiliazione. Se acquisti tramite questi link potremmo ricevere una piccola commissione senza costi aggiuntivi per te. Questo ci aiuta a mantenere il sito gratuito e indipendente. Le nostre opinioni rimangono imparziali.
Alla fine Discord ha fatto un passo indietro, almeno per ora. La piattaforma ha annunciato ufficialmente che il piano di verifica dell’età globale è rinviato al secondo semestre del 2026, ammettendo di aver gestito male la comunicazione e di aver lasciato intendere a molti utenti che selfie e documenti d’identità sarebbero diventati obbligatori per tutti. Non è un ritiro definitivo: Discord intende comunque procedere con il sistema una volta rivisto l’approccio. Nel frattempo, la verifica resta attiva solo dove la legge la impone, ovvero Regno Unito e Australia, con il Brasile che dovrebbe aggiungersi a breve.
Al centro delle polemiche c’è Persona, la società di verifica dell’identità utilizzata da Discord per un test nel Regno Unito. Persona è una startup specializzata in soluzioni KYC (Know Your Customer) e antiriciclaggio che si basa su controlli biometrici, ed è usata anche da Reddit, Roblox e OpenAI. Il problema è emerso quando gli utenti hanno scoperto, su una pagina di supporto poi rimossa da Discord attorno al 15 febbraio, che i dati di verifica potevano essere elaborati da Persona e conservati fino a sette giorni. Non proprio in linea con le rassicurazioni sull’elaborazione locale dei dati.
A peggiorare il quadro ci ha pensato un’indagine pubblicata dalla testata indipendente The Rage. Tre ricercatori di sicurezza hanno individuato il codice del frontend di Persona accessibile pubblicamente su un endpoint autorizzato dal governo statunitense, con circa 2.500 file che mostravano un’interfaccia capace di incrociare il riconoscimento facciale con segnalazioni finanziarie. Secondo i ricercatori, il sistema di Persona eseguirebbe 269 controlli di verifica distinti, compreso lo screening su liste di persone politicamente esposte e media relativi a terrorismo e spionaggio. Il tutto senza bisogno di alcun exploit: il codice era semplicemente esposto. Il CEO di Persona, Rick Song, ha dichiarato ad Ars Technica che la società non ha contratti con agenzie governative statunitensi, e che i dati raccolti durante il test con Discord sono stati cancellati subito dopo la verifica.
Il precedente del 2025
Le proteste non arrivano dal nulla. Nell’autunno del 2025 Discord aveva già subito una violazione dei dati che aveva esposto circa 70.000 immagini di documenti d’identità, a causa della compromissione di un fornitore terzo (5CA) utilizzato per il supporto clienti. Un precedente che ha reso gli utenti particolarmente diffidenti verso qualsiasi sistema che richieda l’invio di documenti personali alla piattaforma.
La Electronic Frontier Foundation ha criticato apertamente la scelta di Discord, sottolineando che la verifica dell’età obbligatoria va oltre quanto richiesto dalla legge nella maggior parte delle giurisdizioni e rappresenta, secondo l’organizzazione, un rischio sia per la privacy che per la libertà di espressione. Anche diversi creatori di contenuti con milioni di follower, come riportato dalla BBC, hanno dichiarato pubblicamente di non fidarsi del sistema e di non voler consegnare i propri documenti a Discord.
Cosa cambia adesso
Discord ha confermato di aver chiuso il test con Persona nel Regno Unito e di non voler proseguire la collaborazione. Come fornitore principale per la verifica dell’età verrà utilizzato k-ID, con un vincolo preciso: la stima dell’età facciale dovrà funzionare interamente sul dispositivo dell’utente, senza alcuna elaborazione biometrica nel cloud. L’azienda ha inoltre precisato che la “grande maggioranza” degli utenti non dovrà affrontare alcun controllo: un sistema interno stimerà l’età in base a fattori come l’anzianità dell’account, il dispositivo utilizzato e il comportamento sulla piattaforma. Solo chi non viene riconosciuto automaticamente come adulto dovrà procedere con selfie o documenti.
Tra le novità in programma, Discord prevede di aggiungere metodi di verifica alternativi come il controllo tramite carta di credito, anche se le leggi locali in Regno Unito, Australia e Brasile potrebbero limitarne la disponibilità. La piattaforma ha anche annunciato l’introduzione di canali “spoiler” come alternativa ai canali con restrizioni d’età, e la pubblicazione di documentazione tecnica, dettagli sul funzionamento della stima dell’età e metriche di trasparenza sui metodi utilizzati.
Resta il fatto che un dettaglio è passato piuttosto inosservato tra le varie rassicurazioni: Persona è finanziata anche da un fondo co-fondato da Peter Thiel, co-fondatore di Palantir, società nota per i suoi contratti nel settore dell’intelligence e della sorveglianza. Un particolare che, nel contesto di un sistema di verifica dell’identità destinato a centinaia di milioni di utenti, non ha certo contribuito a rassicurare chi nutre dubbi sulla destinazione finale dei propri dati.
Chi cerca strumenti più rispettosi della privacy per le proprie comunicazioni può valutare alternative come Proton Mail o Tuta, che offrono posta crittografata senza richiedere la cessione di dati biometrici per funzionare. Per la navigazione, un servizio DNS come NextDNS può aiutare a ridurre il tracciamento senza dover consegnare un selfie a nessuno.
