I governi e la società civile di tutto il mondo sembrano avere un obiettivo comune: proteggere bambini e giovani dai pericoli della navigazione sul web, dall’uso non supervisionato dei social media, da contenuti pornografici, violenti o pericolosi. La virata globale verso un Internet dove è necessario verificare la propria età ha però una serie di criticità, legate alle soluzioni che si stanno adottando e ai problemi che esse pongono in termini di privacy e sorveglianza.
Alcune misure sono arrivate tramite leggi statali, come nel caso dell’Australia e del Regno Unito. Altre sono iniziative delle stesse piattaforme, come nel caso di Discord, che ha annunciato e poi ritirato una policy nota come teen by default (cioè che dà per scontato che tutti gli utenti siano minorenni). Nonostante il quadro frammentato, è chiaro che ci si stia spostando verso un modello di Internet in cui sarà sempre più spesso richiesto di identificarsi per dimostrare di essere adulti. Questo potrebbe radicalmente cambiare il modo in cui vivremo la rete in futuro.
I metodi tecnici di verifica dell’età
Esistono diversi approcci tecnologici per verificare l’età di un utente nel momento in cui entra o si iscrive a una piattaforma. Il primo è la stima dell’età sulla base di dati biometrici. Un software analizza un video o un selfie, dando un’indicazione di un’età presumibile. Un altro metodo prevede il confronto automatico tra una foto scattata live e la foto di un documento ufficiale. I siti possono inoltre richiedere una verifica dei dati bancari, o una piccola transazione da una carta di credito, per verificare che la persona intestataria sia maggiorenne. I controlli possono essere effettuati anche tramite l’operatore della rete mobile, che certifica che il numero da cui si sta effettuando una connessione sia associato a una persona adulta.
I metodi biometrici e quelli che richiedono di caricare le foto dei documenti presentano però evidenti problemi di privacy, dal momento che richiedono agli utenti di condividere informazioni estremamente sensibili con aziende private.
I problemi di discriminazione
Gli attivisti per i diritti digitali nutrono grande scetticismo nei confronti di queste soluzioni. Martin Sas e Jan Tobias Mühlberg, due ricercatori belga autori di un paper commissionato dai Verdi Europei, hanno scritto: “Questo requisito [di provare la propria età, ndr], oltre a costituire un’ingerenza nella privacy delle persone, può potenzialmente limitare la loro capacità di esprimersi liberamente e di interagire con gli altri, a meno che non forniscano i propri dati personali e siano in grado di completare una procedura di verifica dell’età”.
Secondo l’Electronic Frontier Foundation, gli obblighi di verifica dell’età comportano una serie di possibili discriminazioni nei confronti di alcune categorie di persone già marginalizzate. Chi per esempio non dispone di documenti governativi validi e riconosciuti, come è il caso di alcune persone migranti, potrebbe trovarsi tagliato fuori da una buona fetta di servizi online. Negli Stati Uniti, riporta l’EFF, anche tanti adulti, soprattutto neri e ispanici, non hanno a disposizione documenti aggiornati con il nome o l’indirizzo corretto. La stessa cosa vale per le persone che stanno intraprendendo percorsi di affermazione o transizione di genere, che hanno meno probabilità di avere documenti aggiornati o foto ufficiali che corrispondono ai loro tratti somatici.
L’analisi dell’EFF è incentrata sugli Stati Uniti, ma è indicativa di un problema più ampio: “Il 43% degli americani transgender non dispone di documenti d’identità che riflettano correttamente il nome o genere. Per loro, la verifica dell’età pone una scelta impossibile: fornire documenti con nomi precedenti e indicatori di genere errati, rischiando così di essere costretti a un coming out, oppure perdere del tutto l’accesso alle piattaforme online”. Il metodo del riconoscimento facciale espone invece ai consueti bias algoritmici: i sistemi di intelligenza artificiale sono testati e funzionano soprattutto su persone bianche, sono però meno efficaci in caso di minoranze razziali ed etniche (ma anche, per esempio, di persone con disabilità).
Le alternative privacy first
Esistono però alternative più solide dal punto di vista della privacy. In Germania, per esempio, è in vigore un sistema di identità digitale che permette lo scambio di informazioni tra il server di un sito e un microprocessore contenuto nella carta d’identità elettronica nazionale. Tramite una chiave crittografica, il microprocessore dimostra di appartenere a una eID (una carta d’identità elettronica) rilasciata dal governo tramite una chiave crittografica, condivisa con altre 9.999 eID. “Ciò significa che l’unica informazione che la piattaforma ottiene è che una persona su 10mila si è registrata” hanno scritto Marten Risius e Johannes Sedlmeir su The Conversation.
Successivamente, il servizio e il microprocessore si scambiano la data corrente e l’età minima richiesta, mentre il microprocessore invia la data di nascita dell’utente. A quel punto, l’autenticazione avviene esclusivamente sulla base di queste informazioni, senza che ulteriori dati siano condivisi con il sito web. Altri sistemi, come l’European Digital Identity Wallet (di cui parleremo più avanti) o il Google o Apple Wallet (che da qualche anno permettono di custodire documenti d’identità digitali sul telefono e di utilizzarli come prova dell’età), funzionano in modo leggermente diverso: non si basano su microprocessori integrati in carte fisiche, bensì su componenti hardware presenti nei telefoni cellulari.
Queste soluzioni si avvalgono di un sistema crittografico che comunica alla piattaforma che una persona è in possesso di un documento digitale che attesta la sua maggiore età, senza tuttavia rivelare ulteriori dettagli. Il principio tecnico sottostante a entrambi questi esempi è la selective disclosure. Sempre Risius e Sedlmeir concludono: “Com’è evidente, i sistemi di verifica dell’età possono essere progettati ponendo al centro il principio della non tracciabilità. Ciò significa che né l’autorità né la piattaforma possono monitorare le attività di un utente, pur essendo in grado di verificare con precisione l’età”.
Le leggi statali
Una delle leggi più solide tra quelle in vigore è l’Online Safety Act del Regno Unito, che di fatto obbliga le piattaforme, i siti pornografici e i grandi motori di ricerca a impedire ai minori l’accesso a contenuti dannosi. Questi comprendono anche l’istigazione al suicidio, all’autolesionismo e la celebrazione dei disordini alimentari. Le regole sono in vigore dal luglio 2025. “In qualità di autorità di regolamentazione, non valuteremo i singoli contenuti né chiederemo ai servizi online di rimuovere materiale legale” si legge sul sito dell’Ofcom, l’autorità delle comunicazioni britannica (l’equivalente della nostra AGCOM) “Il nostro ruolo non è quello di impedire agli adulti di accedere a materiale pornografico legale, ma a partire dal 25 luglio saranno necessari controlli più rigorosi e, cosa fondamentale, non sarà più sufficiente spuntare una casella per dichiarare di avere più di 18 anni”. La legge, è fondamentale specificarlo, non obbliga tutte le piattaforme a verificare in modo diretto l’età di un utente, ma solo quelle che pubblicano materiale pornografico. Tutti gli altri siti devono comunque sottostare all’obbligo generale di impedire che i minori vengano in contatto con contenuti non appropriati.
In Unione Europea molti paesi stanno considerando di adottare legislazioni per il controllo dell’età, che si concretizzano in particolare nel divieto per le persone al di sotto di un’età specifica di iscriversi e utilizzare piattaforme social. Nelle ultime settimane, la Grecia ha annunciato che dal 2027 proibirà l’accesso alle piattaforme social ai minori di 15 anni. In Germania il partito di governo ha dichiarato che proporrà un divieto per i minori di 14 anni. In Danimarca si è raggiunto un accordo politico per impedire l’accesso sotto i 15 anni. E poi c’è la Francia, dove all’inizio di aprile il Senato ha approvato un disegno di legge che prevede un sistema a due livelli: alcune piattaforme saranno del tutto proibite ai minori, mentre altre richiederanno l’approvazione di almeno un genitore per l’iscrizione. La legge deve ora tornare in discussione alla Camera, ma vale la pena segnalare come il presidente della Repubblica Emmanuel Macron sia un grande sostenitore del social media ban.
Nel resto del mondo il dibattito segue direttrici simili. In Australia una legge considerata “storica” ha imposto alle principali piattaforme social di impedire l’accesso ai minori di 16 anni a partire da dicembre 2025, con sanzioni anche milionarie. In Brasile una legge entrata in vigore lo scorso marzo fa sì che i minorenni possano iscriversi alle piattaforme social solo se il loro account è collegato a quello di un supervisore adulto.
Il quadro nel diritto dell’Unione Europea
La legge di riferimento in Europa è invece il Digital Services Act (DSA). Il DSA non impone esplicitamente la verifica dell’età come requisito per operare sul territorio dell’Unione. Per le piattaforme online con più di 45 milioni di utenti mensili (VLOP, acronimo di very large online platforms), la Commissione si aspetta però che vengano adottate misure concrete per mitigare i rischi sistemici, ovvero i rischi che gli ecosistemi online pongono al resto della società. La tutela dei minori assume quindi un ruolo di primo piano.
“La questione della competenza in materia di verifica dell’età nei servizi digitali si colloca in una zona di intersezione tra il diritto dell’Unione e le prerogative nazionali, e può essere compresa correttamente solo se si abbandona una logica dicotomica per adottare una prospettiva di competenza mista, nella quale, tuttavia, il ruolo operativo degli Stati membri resta oggi decisivo”, spiega a Guerre di Rete Giovanni Ziccardi, professore di Informatica Giuridica presso l’Università di Milano.
Il Digital Services Act adotta infatti un modello “risk based”, basato cioè sulla valutazione dei rischi, lasciando aperto un ventaglio di soluzioni adottabili. L’obbligo non è quello di adottare una soluzione unica, ma di dimostrare che il sistema scelto protegge effettivamente i minori dai rischi per la loro sicurezza e incolumità. “Questa impostazione, tuttavia, apre uno spazio normativo significativo per l’intervento degli Stati membri. In assenza di una armonizzazione piena a livello europeo, infatti, sono gli ordinamenti nazionali a mantenere la competenza sulle modalità concrete attraverso cui tale obiettivo deve essere perseguito. Ciò riguarda, in primo luogo, la definizione delle tecniche di verifica dell’età – che possono spaziare da sistemi documentali a soluzioni basate su intermediari certificati o su modelli di anonimizzazione – e, in secondo luogo, la determinazione dei limiti di accesso a determinati contenuti, soprattutto quando si tratta di materiali sensibili come quelli pornografici”, prosegue Ziccardi.
Le autorità europee hanno recentemente fatto alcuni passi per attuare nel concreto le indicazioni del DSA. Dopo un’investigazione, terminata lo scorso marzo, è stato concluso che quattro siti pornografici (PornHub, Stripchat, XNXX e XVideos) non stanno mettendo in atto le protezioni sufficienti per evitare che i minorenni entrino in contatto con i loro contenuti (che sono, ovviamente, a sfondo sessuale). “La Commissione ha constatato, in via preliminare, che Pornhub, Stripchat, XNXX e XVideos non hanno adottato misure efficaci per impedire ai minori di accedere ai propri servizi, venendo così meno al proprio dovere di tutelare i diritti e il benessere dei minori. Sebbene nei loro Termini di servizio sia specificato che i servizi sono riservati esclusivamente agli adulti, tutte e quattro le piattaforme consentono ai minori di accedervi con un semplice clic, con cui confermano di avere più di 18 anni”, si legge nel comunicato stampa ufficiale. Un clic per confermare l’età non può più bastare. Se le conclusioni della Commissione dovessero essere confermate, le società rischiano sanzioni fino al 6% del loro fatturato annuo globale.
Le soluzioni tecniche proposte dall’Europa
“Accanto alla dimensione dell’enforcement si sviluppa, in parallelo, una seconda direttrice di natura tecnico-infrastrutturale, che riguarda la costruzione di standard europei comuni. L’Unione sta infatti lavorando alla definizione di soluzioni interoperabili di verifica dell’età, anche attraverso progetti pilota basati su applicazioni dedicate e, soprattutto, in prospettiva, mediante l’integrazione con il EU Digital Identity Wallet. L’obiettivo è duplice: da un lato, evitare la frammentazione derivante dalla proliferazione di modelli nazionali eterogenei; dall’altro, garantire che i sistemi adottati rispettino principi fondamentali, come la protezione dei dati personali e la minimizzazione delle informazioni trattate”, prosegue Ziccardi.
Il regolamento quadro che introduce l’EU Digital Identity Wallet è entrato in vigore nel maggio del 2024 e gli stati membri saranno obbligati ad adottare la tecnologia entro la fine del 2026. “In questo contesto, assume particolare rilievo il paradigma della privacy by design, che si traduce nella ricerca di soluzioni capaci di attestare un requisito (per esempio, il superamento di una soglia di età) senza rivelare l’identità dell’utente”, prosegue Ziccardi. “Alcuni modelli già sperimentati, come quello della cosiddetta ‘doppia anonimizzazione’, prevedono la separazione tra il soggetto che verifica l’età e il servizio che eroga il contenuto, in modo da evitare la concentrazione di informazioni sensibili in un unico punto del sistema. Si tratta di un terreno nel quale diritto e tecnologia si influenzano reciprocamente: le esigenze di tutela giuridica orientano le soluzioni tecniche, mentre queste ultime ridefiniscono le possibilità concrete di regolazione”. La soluzione proposta dall’Europa si inserisce nel filone delle soluzioni privacy first e decentralizzate, che potrebbero costituire una modalità sicura e rispettosa della riservatezza per verificare l’età.
Nel 2025, l’AGCOM ha imposto ai siti per adulti di controllare che gli utenti siano maggiorenni. L’applicazione della direttiva è stata frammentata e ben presto il TAR del Lazio ha messo un freno alle disposizioni. Il problema principale risiede nella natura transfrontaliera dei servizi digitali. “Una parte significativa dei siti interessati, infatti, è stabilita in altri Stati membri dell’Unione, con la conseguente applicazione del principio del paese d’origine, che costituisce uno degli assi portanti del Digital Services Act. Questo principio limita fortemente la possibilità per un’autorità nazionale di imporre direttamente obblighi a operatori stabiliti altrove, imponendo invece il ricorso a meccanismi di cooperazione tra autorità competenti” spiega Giovanni Ziccardi. Il caso italiano rappresenta bene la frizione che può crearsi in un contesto di governance a più livelli (statale e sovranazionale).
I rischi che permangono e le prospettive future
Rimane uno scarto tra le questioni tecniche e la realtà sociale del problema. Le soluzioni come l’identità digitale europea o il Google Wallet sono create per limitare la quantità di informazioni che il sito può raccogliere sull’utente. Ma non prendono in considerazione lo scenario più banale: quello di un minore che utilizza il telefono, le credenziali o il documento di un adulto. In altre parole, il sistema può anche contribuire a non esporre una quantità significativa di dati personali, ma non elimina del tutto il rischio di un raggiro.
Lo scorso aprile, l’esperto di cybersicurezza Paul Moore ha affermato di essere riuscito a bypassare la crittografia del portafoglio digitale europeo in soli due minuti. Altri esperti hanno fatto eco a queste preoccupazioni: “Più dati raccolgono questi sistemi, più diventano appetibili per gli hacker”, ha dichiarato Hanna Bözakov, fondatrice del servizio di crittografia Tuta. Se si guarda infine al mercato delle VPN, si nota come siano diventate molto popolari nei contesti in cui si è introdotto l’obbligo di verifica dell’età.
Le direttrici di rischio sono diverse. Oltre ai dubbi tecnici, emergono anche alcune questioni politiche e culturali sulla natura della rete. Molti sostengono, per esempio, che d’ora in poi sarà impossibile navigare sul web in modo anonimo. C’è anche chi ritiene che gli obblighi tecnici e legali di verifica siano un modo per sollevare le Big Tech dalle proprie responsabilità rispetto alla moderazione dei contenuti. Tra quest’ultimi c’è Eva Simon, direttrice del programma su Tecnologia e Diritti della Civil Liberties Union in Europa: “Ci stiamo concentrando sull’accesso, ma il vero problema è il modo in cui le piattaforme catturano l’attenzione e promuovono i contenuti. È da lì che derivano i danni”.
Ma la verifica dell’età è ormai un orizzonte concreto, in Europa e nel mondo. “In questa cornice, la chiave interpretativa più convincente è forse quella che coglie una tensione tra forma e sostanza”, conclude Ziccardi. “L’obbligo di verifica dell’età non è ancora formalizzato in modo uniforme a livello europeo, ma si sta progressivamente imponendo come necessità sistemica. Il DSA richiede una protezione effettiva dei minori e, allo stato delle tecnologie e dei modelli organizzativi disponibili, la verifica dell’età rappresenta lo strumento più credibile per realizzarla. La questione centrale non riguarda più, dunque, la presenza o meno dell’obbligo, ma il modo in cui lo si impone: chi è legittimato a imporlo, attraverso quali strumenti tecnici deve essere attuato e, soprattutto, con quali garanzie in termini di tutela dei diritti fondamentali e della riservatezza degli utenti”.
Accedi
