Nessun testo di legge dice esplicitamente che Linux è vietato. Eppure la legge californiana AB 1043 — il Digital Age Assurance Act, firmata dal governatore Gavin Newsom il 13 ottobre 2025 ed in vigore dal 1° gennaio 2027 — potrebbe produrre esattamente quell’effetto su centinaia di distribuzioni, progetti indipendenti e sistemi open source. La norma sposta la verifica dell’età dai singoli siti web e dalle app al livello più basso del dispositivo: il sistema operativo. Un’idea apparentemente logica, che però non distingue tra Apple, Google e Microsoft da un lato, e la galassia frammentata di distribuzioni Linux mantenute da volontari dall’altro.
Cosa impone AB 1043: il sistema operativo come registro anagrafico
Il Digital Age Assurance Act introduce un modello basato su age verification signal: durante la configurazione dell’account, il sistema operativo deve raccogliere un’informazione sull’età dell’utente e renderla disponibile alle applicazioni che ne fanno richiesta. Il sistema deve classificare gli utenti in quattro fasce: sotto i 13 anni, da 13 a meno di 16, da 16 a meno di 18, e 18 anni o più. La norma distingue tra il titolare dell’account — che può essere un genitore — e l’utilizzatore effettivo, che può essere un minore. Le applicazioni potranno interrogare il sistema in tempo reale per ottenere il segnale d’età: in pratica, il sistema operativo diventa un fornitore di dati anagrafici.
Per Windows, macOS, Android e iOS la complicazione è enorme ma gestibile: queste piattaforme hanno strutture legali, reparti compliance, account centralizzati e risorse per adattarsi. Per Fedora, Debian, Arch Linux, Linux Mint, Gentoo, NixOS, MidnightBSD il discorso è radicalmente diverso. Molti di questi progetti non hanno un reparto legale, non vendono licenze, non raccolgono dati personali e non gestiscono account centralizzati. Alcuni funzionano interamente offline, con account locali che non comunicano nulla a nessun server.
Il flusso di verifica dell’età nel sistema operativo secondo il Digital Age Assurance Act californiano prevede le quattro fasce anagrafiche
Il Parents Decide Act: la proposta federale che alza la posta
Mentre AB 1043 vale solo in California, la proposta di legge federale H.R. 8250 — chiamata Parents Decide Act e presentata il 2 aprile 2026 — estenderebbe obblighi analoghi a tutti gli Stati Uniti. Il testo è più aggressivo: richiede che ogni utente fornisca la data di nascita per configurare un account sul sistema operativo, e che i genitori verifichino quella data se l’utente ha meno di 18 anni. Le violazioni verrebbero trattate dalla FTC come pratiche sleali o ingannevoli, con sanzioni potenzialmente devastanti per progetti privi di struttura legale. AB 1043 prevede già 2.500 dollari per violazione negligente e 7.500 per violazione intenzionale per ogni minore coinvolto — cifre gestibili per Apple o Microsoft, potenzialmente distruttive per un gruppo di sviluppatori volontari.
Il nodo Linux: account locali, distribuzioni frammentate e nessuna API condivisa
Linux può funzionare interamente con account locali. Chi installa Debian crea un nome utente, imposta una password e usa il sistema senza comunicare nulla a un server centrale. AB 1043 e Parents Decide Act entrano in collisione diretta con questa caratteristica: imporre la raccolta della data di nascita significa introdurre un archivio persistente, definire permessi e API, gestire relazioni tra identità genitore-figlio, aggiungere logging e protezioni contro abusi. È una modifica strutturale che tocca installer, account manager, desktop environment e servizi di sistema — e mina alla base i fondamentali che hanno reso Linux così apprezzato.
Nel dibattito tecnico è emersa una proposta: usare D-Bus per esporre un’interfaccia chiamata org.freedesktop.AgeVerification1, discussa sulla mailing list di Ubuntu-devel nel marzo 2026. Ma Canonical ha precisato che non si trattava di un annuncio ufficiale, e elementary OS ha evidenziato difficoltà concrete. Senza uno standard riconosciuto da tutte le distribuzioni, il problema rimane irrisolto: Ubuntu potrebbe implementare una certa API, Fedora un’altra, Arch potrebbe rifiutare del tutto l’integrazione. E package manager come Flatpak, Snap e AppImage — che distribuiscono software al di fuori di qualsiasi app store centralizzato — non avrebbero comunque un punto di controllo univoco.
Il caso MidnightBSD e System76: chi rischia davvero
MidnightBSD, sistema operativo libero basato su BSD mantenuto da una comunità indipendente, ha già anticipato che potrebbe semplicemente escludere gli utenti californiani piuttosto che sostenere i costi di una conformità incerta. Carl Richell, CEO di System76 — l’azienda che sviluppa la distribuzione Pop!_OS e vende computer Linux — ha sollevato una critica diretta: chi installa il sistema può mentire sulla data di nascita, rendendo l’intero sistema facilmente aggirabile senza alcun beneficio reale per i minori. Se invece si passa alla verifica forte — documento d’identità, provider terzo, verifica biometrica — i costi e i rischi privacy esplodono.
Privacy e nuove superfici d’attacco
La critica più strutturale riguarda la privacy. Un sistema operativo non ha bisogno di conoscere l’età dell’utente per avviare il kernel, gestire il filesystem o eseguire un browser. AB 1043 e Parents Decide Act introducono un dato anagrafico persistente in un contesto dove non era mai stato richiesto. Il principio di minimizzazione del GDPR europeo — che prescrive di raccogliere solo i dati strettamente necessari — segnala quanto questa logica sia in controtendenza rispetto alle migliori pratiche di protezione dei dati. Una API legata all’età crea inoltre una nuova superficie d’attacco: le applicazioni potrebbero abusare del segnale, i data broker pubblicitari potrebbero considerare la fascia d’età un dato prezioso, malware e spyware potrebbero tentare di intercettarla.
Il rischio finale: selezione normativa a danno dell’open source
Il rischio concreto non è che Linux venga dichiarato fuorilegge con una norma esplicita, ma che norme impossibili da rispettare per i progetti più piccoli producano effetti equivalenti a un divieto. Le distribuzioni con aziende alle spalle — Ubuntu con Canonical, Fedora con Red Hat, SteamOS con Valve, ChromeOS con Google — potrebbero adattarsi. Arch Linux, Gentoo, Void Linux, Alpine Linux, i progetti derivati e le distribuzioni personali non hanno la stessa capacità. Il risultato sarebbe una selezione normativa che favorisce i sistemi controllati da grandi aziende e marginalizza quelli comunitari — con danni alla libertà di scelta e, paradossalmente, alla sicurezza, dato che i progetti più piccoli spesso sperimentano soluzioni che migliorano poi tutto il settore.
