L’app che la Commissione europea aveva dichiarato pronta per la distribuzione in tutti gli Stati membri è finita sotto accusa nel giro di poche ore dalla presentazione ufficiale. Il 15 aprile 2026, Ursula von der Leyen aveva annunciato con toni solenni che la EU Age Verification App era tecnicamente matura per il deployment, descrivendola come uno strumento conforme ai più alti standard di privacy disponibili al mondo e citandone la natura open source come garanzia di trasparenza e affidabilità. Il giorno successivo, Paul Moore, consulente britannico di sicurezza informatica, ha pubblicato su X un video in cui mostra come aggirare l’intera architettura di protezione dell’app in meno di due minuti, usando nient’altro che un file explorer su un dispositivo Android. Il video ha superato i 2,6 milioni di visualizzazioni in poche ore, alimentando un dibattito che ha coinvolto ricercatori, istituzioni e, tra gli altri, Pavel Durov, fondatore di Telegram.
Il meccanismo sfruttato da Moore è accessibile anche a chi dispone di competenze tecniche di base, il che ha reso la dimostrazione particolarmente dirompente sul piano della comunicazione pubblica.
Hacking the #EU #AgeVerification app in under 2 minutes.
— Paul Moore – Security Consultant (@Paul_Reviews) April 16, 2026
During setup, the app asks you to create a PIN. After entry, the app *encrypts* it and saves it in the shared_prefs directory.
1. It shouldn't be encrypted at all – that's a really poor design.
2. It's not… https://t.co/z39qBdclC2 pic.twitter.com/FGRvWtWzaZ
Falle architetturali e risposta della Commissione europea
Durante la configurazione, l’app chiede di creare un PIN a sei cifre, che viene cifrato e salvato localmente in una directory denominata shared_prefs, all’interno del file eudi-wallet.xml.
La falla strutturale individuata da Moore sta nel fatto che quel PIN cifrato non è crittograficamente legato al vault dell’identità, ossia alla sezione protetta in cui risiedono le credenziali di verifica. Cancellando i valori PinEnc e PinIV dal file, riavviando l’app e impostando un nuovo codice di accesso, l’applicazione accetta il cambio senza invalidare le credenziali preesistenti: chiunque abbia accesso fisico al dispositivo può utilizzare l’identità verificata di un altro utente senza innescare alcun alert. Lo stesso file di configurazione espone altri due punti deboli. Il contatore che governa la protezione anti-brute force è un numero progressivo azzerabile manualmente in qualsiasi momento, mentre l’autenticazione biometrica è controllata da un valore booleano: portarlo da “true” a “false” disattiva completamente il riconoscimento dell’impronta digitale o del volto. Moore aveva già definito pubblicamente questo schema di archiviazione locale un anti-pattern ampiamente noto nello sviluppo mobile, sottolineando come affidare controlli di sicurezza critici a file di configurazione modificabili sia una scelta progettuale sconsigliata da anni dalla letteratura tecnica. Ricercatori indipendenti avevano segnalato a marzo 2026 una vulnerabilità separata: il sistema non dispone di meccanismi per verificare che la validazione del documento d’identità sia effettivamente avvenuta sul dispositivo dell’utente. Sei Stati membri, tra cui Francia, Spagna e Danimarca, si trovano attualmente in fase pilota con l’applicazione, che in Italia sarà integrata nell’IT-Wallet.
Bruxelles ha risposto con un comunicato inviato a Euractiv, precisando che la dimostrazione di Moore riguardava una versione demo resa disponibile in precedenza e non la release ufficiale presentata il 15 aprile. La vulnerabilità era già stata identificata internamente e corretta prima del lancio pubblico. Il repository GitHub della versione demo riportava avvisi espliciti sulla natura sperimentale del build, con la raccomandazione di non utilizzarla in ambienti di produzione.
Pavel Durov ha scelto una lettura più radicale: secondo il fondatore di Telegram, la falla potrebbe non essere casuale, ma funzionale a fornire alla Commissione un pretesto per rimuovere in futuro le funzioni di privacy e trasformare l’app in uno strumento di controllo allargato sugli utenti europei. L’Electronic Frontier Foundation aveva già segnalato nel 2025 che un’infrastruttura di questo tipo, una volta operativa per la verifica dell’età, crea le condizioni tecniche per un’estensione ad altre forme di identificazione senza richiedere una ricostruzione da zero, ma soltanto una decisione di policy.
