AGCOM approva le regole per la age verification degli utenti online

Con il comunicato del 18 aprile 2025, l’Autorità per le garanzie nelle comunicazioni (AGCOM) ha annunciato l’emanazione delle le regole per la verifica della maggiore età degli utenti online cui dovranno adeguarsi, – entro 6 mesi (quindi, dall’ottobre 2025) – le piattaforme di video sharing e i siti web che propongono contenuti non adatti ai minori.

Le regole sono state adottate con delibera 96/25/CONS in attuazione della legge 13 novembre 2023, n.159 (noto anche come Decreto Caivano recante “Misure urgenti di contrasto al disagio giovanile, alla povertà educativa e alla criminalità minorile, nonché per la sicurezza dei minori in ambito digitale”) che prevede fino a 250.000 euro di sanzione coloro per coloro non si adeguano ai suoi dettami.

La linea tracciata dall’AGCOM si basa su un approccio tecnologicamente neutrale; vale a dire che le piattaforme interessate potranno scegliere liberamente le soluzioni tecnologiche per raggiungere l’obiettivo. Ma, nel farlo, dovranno tener conto di alcuni requisiti inderogabili. Infatti l’Autorità – anche in ossequio alle osservazioni rese in merito dal Garante Privacy e dalla Commissione Europea appositamente interpellate – impone che il sistema di verifica sia caratterizzato da:

• un processo basato sui due passaggi, logicamente separati, della identificazione e autenticazione della persona identificata;
• l’intervento di soggetti terzi indipendenti certificati e autorizzati alla gestione di identità digitali (ad esempio, i provider SPID, l’app IO, il sistema CIE o altri) quali soggetti deputati a fornire l’identificazione e, dunque, prova dell’età;
• un meccanismo di “doppio anonimato” che non consenta ai fornitori di verifica dell’età di conoscere per quale servizio web viene emessa la prova dell’età. Allo stesso tempo, la prova fornita al sito web o alla piattaforma non potrà contenere i dati identificativi dell’utente.

L’ACGOM enuclea anche i principi che devono essere soddisfatti dai sistemi che saranno introdotti, tra i quali:

• proporzionalità (intesa come equilibrio tra i mezzi utilizzati per la verifica dell’età ed impatto sulla limitazione dei diritti delle persone);
• protezione dei dati personali;
• sicurezza informatica;
• precisione ed efficacia (il sistema di age assurance deve essere efficace in termini di contenimento dell’errore nella determinazione dell’età);
• accessibilità e facilità d’uso;
• inclusività e non discriminazione;
• formazione e informazione degli utenti;
• gestione efficace dei reclami degli utenti.

Parte dunque, per i player coinvolti, un conto alla rovescia per approntare sistemi di verifica conformi. Il testo della delibera AGCOM non è ancora stato pubblicato, sorgono tuttavia alcuni dubbi in merito all’efficacia o – qualcuno direbbe – all’utilità del provvedimento.

In primis, c’è un tema di coordinamento con le iniziative assunte sul medesimo tema al livello UE. Come è noto, la Commissione Europea ha da tempo adottato una roadmap che mira alla realizzazione nel 2026 della EU Digital Identity (eID) Wallet. E nell’ampio spettro contemplato dallo EU Digital Identity Framework vi è, ovviamente, un progetto (con sviluppo affidato a Deutsche Telekom e alla svedese Scytáles) per l’introduzione di un sistema unico continentale per la verifica dell’età rispetto ai servizi online vietati ai minorenni. Il timore è che gli sforzi che dovranno essere profusi nei prossimi mesi per adeguarsi alla delibera dell’Autorità possano essere rapidamente vanificati da un diverso approccio tecnico e metodologico che l’Unione ritenga di imporre in un successivo breve arco temporale. La chiosa stessa del comunicato dell’AGCOM sembra contemplare tale ipotesi: “I sistemi di verifica dell’età dovranno, comunque, essere conformi agli orientamenti di prossima adozione dalla Commissione europea, con la possibilità, laddove necessario, di modifiche e adeguamenti del provvedimento adottato”.

In secondo luogo, una volta che i sistemi saranno dispiegati occorrerà verificare la reazione dell’utenza. In 19 Stati degli USA (a partire dalla Louisiana nel 2023 e, da ultimo, Florida nel gennaio scorso) sono state promulgate leggi che obbligano i siti per adulti ad adottare sistemi di age verification. Ebbene, in tali Stati si è registrato un picco di richieste di sottoscrizioni ai servizi di Virtual Private Network (VPN) e il ricorso al loro utilizzo è salito in alcuni casi di oltre il 1000%. Questo perché i minori che desiderano accedere in barba alla loro età, così come gli adulti che temono di essere in qualche modo identificati in sede di verifica, ricorrendo ad un collegamento VPN possono camuffare il proprio IP e bypassare i meccanismi di blocco legati al suo posizionamento geografico: in pratica, grazie alla VPN ci si può collegare ad una versione del sito per adulti disponibile per utenti localizzati in uno stato dove le restrizioni di age verification non esistono. Sennonché non tutte le VPN sono un buon strumento per proteggere la privacy della propria navigazione, anzi. Come noto, un servizio VPN gratuito/economico e poco affidabile – cui, nella smania di guadagnare rapido accesso a contenuti divenuti limitati, potrebbe rivolgersi un minore o un utente poco avveduto – potrebbe raccogliere deliberatamente informazioni personali (email, user e password, etc.) e altre tracce automatizzate (GPS, cookie, mobile ad IDs, pixel di tracciamento, digital fingerprint e altro ancora). Molte delle VPN pubblicizzate sul web pongono seri problemi di cybersecurity e hanno finito per esporre dati personali di utenti che pensavano di navigare nel totale anonimato finendo per esporli a furti di identità, frodi finanziarie e altre minacce online. Insomma, sussiste il rischio che per proteggere i minori da contenuti inadeguati si spinga una buona fetta dell’utenza verso territori forse più pericolosi.