Salta al contenuto principale

Verifica dell'età online: come l'Europa e l'Italia stanno costruendo un internet sorvegliato (in nome dei minori)

Inviato da enzo de simone il
verifica

Negli ultimi mesi qualcosa è cambiato per chiunque navighi da un indirizzo IP europeo. Sempre più siti chiedono di "dimostrare" la propria età prima di mostrare un contenuto: un documento d'identità, una scansione del volto, un passaggio attraverso un'app di terze parti. È l'onda lunga di un fenomeno globale che l'Electronic Frontier Foundation (EFF) denuncia da anni: le leggi di age verification, presentate come strumenti di protezione dei minori, ma che nella pratica costruiscono nuove infrastrutture di sorveglianza, censura ed esclusione digitale.

L'Europa, e l'Italia in particolare, sono oggi uno dei laboratori più avanzati (e controversi) di questa trasformazione.

Il problema di fondo: non esiste una "verifica dell'età" innocua

Qualunque sia la tecnologia scelta — controllo del documento d'identità, scansione biometrica del volto, stima dell'età tramite intelligenza artificiale, identità digitale — il meccanismo di base è sempre lo stesso: l'utente deve consegnare informazioni personali sensibili e immutabili, collegando così la propria identità offline alla propria attività online. Una volta raccolti, questi dati diventano un bersaglio: la storia recente è piena di fornitori di verifica dell'età vittime di violazioni e fughe di dati, spesso con conseguenze molto più gravi di un semplice "accesso negato" a un minore.

A questo si aggiunge un problema tecnico: i sistemi di stima dell'età basati su intelligenza artificiale sono spesso imprecisi, e i controlli documentali o biometrici sono per loro natura invasivi. Il risultato non è un internet più sicuro per i ragazzi, ma un internet più opaco e più sorvegliato per tutti — adulti compresi.

L'Europa accelera: dal Digital Services Act al "blueprint" della Commissione

A livello europeo, il fondamento normativo è l'articolo 28 del Digital Services Act (DSA), che impone alle piattaforme accessibili ai minori di adottare misure adeguate a garantirne la protezione. Per le piattaforme di dimensioni molto grandi, il DSA richiede anche una valutazione dei rischi sistemici legati al benessere psicologico e fisico dei minori.

Su questa base, il 26 marzo 2026 la Commissione europea ha contestato in via preliminare a Pornhub, Stripchat, XNXX e XVideos violazioni del DSA per non aver impedito adeguatamente l'accesso ai minori ai propri contenuti; lo stesso giorno un procedimento analogo è stato aperto nei confronti di Snapchat. Un segnale chiaro: dopo la fase normativa, l'Unione europea è entrata nella fase di enforcement.

Sul piano tecnico, la Commissione ha pubblicato un primo "blueprint" per la verifica dell'età il 14 luglio 2025 e un secondo il 10 ottobre 2025, con l'obiettivo dichiarato di renderlo compatibile con il futuro portafoglio europeo di identità digitale (EU Digital Identity Wallet), previsto entro la fine del 2026. Nelle comunicazioni ufficiali, Bruxelles insiste sul concetto di verifica "privacy-preserving": dimostrare che un utente è maggiorenne senza trasferire alla piattaforma più dati del necessario. Un'app pilota basata su questo modello è già in fase di test in cinque Paesi europei, Italia compresa, anche se la sua adozione procede a rilento.

È importante non confondere le intenzioni dichiarate con la realtà pratica: anche un sistema "a doppio anonimato" resta un'infrastruttura di identificazione obbligatoria per accedere a contenuti legali, con tutti i rischi di funzionamento, esclusione e futura estensione ad altri ambiti (social network, videogiochi, forum, contenuti "sensibili" più in generale) che l'EFF segnala da tempo.

L'Italia: dal Decreto Caivano ai primi oscuramenti DNS

In Italia il percorso è più avanzato che altrove. Il Decreto Caivano (decreto legge 123/2023, convertito nella legge 159/2023), con il suo articolo 13-bis, e la delibera AGCOM 96/25/CONS hanno introdotto l'obbligo di verifica dell'età per i siti e le piattaforme che diffondono contenuti pornografici in Italia. Le tappe principali:

  • 12 novembre 2025: obbligo in vigore per i gestori stabiliti in Italia e per quelli con sede fuori dall'Unione europea.
  • 1° febbraio 2026: obbligo esteso ai gestori stabiliti in altri Paesi UE diversi dall'Italia.

Il meccanismo previsto è quello del "doppio anonimato": l'utente viene bloccato prima di vedere qualunque contenuto e reindirizzato verso una terza parte certificata e indipendente (un'app di identità digitale o un wallet), che verifica la maggiore età e genera un codice anonimo valido per la singola sessione. Il sito riceve solo quel codice, senza nome, documento o altro dato identificativo — e la procedura va ripetuta a ogni visita. Va notato che AGCOM ha escluso SPID e CIE da questo scopo proprio per ragioni legate all'anonimato degli utenti, favorendo invece app di terze parti certificate.

L'elenco dei soggetti tenuti ad adeguarsi, aggiornato al 17 marzo 2026, comprende 72 servizi, tra cui nomi noti come Pornhub, YouPorn, RedTube, Stripchat, XNXX, XVideos, xHamster, OnlyFans e diverse piattaforme di live cam. Il 18 marzo 2026 sono arrivati i primi provvedimenti concreti: AGCOM ha disposto l'oscuramento via DNS di due siti italiani inadempienti, giochipremium.com e hentai-ita.net. Un passaggio dal valore soprattutto simbolico, che segna l'inizio della fase di enforcement anche in Italia, in parallelo con quella europea.

Le sanzioni previste per gli inadempienti possono arrivare fino a 250.000 euro, con diffida a adeguarsi entro 20 giorni prima dell'eventuale blocco. Nel frattempo, alcune vicende giudiziarie (come la sentenza del TAR Lazio che ha temporaneamente escluso Pornhub e YouPorn da specifici obblighi) mostrano quanto il quadro sia ancora instabile e soggetto a contenziosi.

Un modello che si sta diffondendo in tutta Europa

L'Italia non è sola. La Francia, ad esempio, applica dal luglio 2025 un obbligo analogo a qualsiasi sito pornografico accessibile dal territorio francese, indipendentemente da dove sia ospitato, con un meccanismo strutturalmente simile a quello italiano — nessun contenuto visibile prima della verifica, terza parte indipendente, doppia anonimia — ma con una differenza pratica non secondaria: in fase iniziale la Francia ammette anche la verifica tramite carta di credito con autenticazione forte come proxy di maggiore età.

Il quadro che emerge è quello di un continente che si muove rapidamente verso un internet "age-gated", spesso partendo dai contenuti pornografici ma con una logica facilmente estendibile ad altri tipi di contenuto — esattamente il rischio di scivolamento (mission creep) che l'EFF segnala da tempo: una volta costruita l'infrastruttura tecnica e normativa per bloccare l'accesso in base all'età, nulla impedisce che venga riutilizzata per limitare l'accesso a informazioni su salute sessuale, orientamento di genere, contenuti politici "sensibili" o comunità online per adolescenti LGBTQ+, che in molti contesti sono già tra i più colpiti da normative simili fuori dall'Europa.

Perché questo dovrebbe interessarci, non solo se si visitano siti per adulti

Il punto sollevato dall'EFF resta valido anche nel contesto europeo: questi sistemi non riguardano solo chi accede a un tipo specifico di contenuto. Riguardano il principio stesso di un accesso a internet libero e senza necessità di identificarsi. Ogni nuovo obbligo di verifica:

  • aumenta la superficie di rischio per violazioni e furti di dati, perché crea nuovi database di informazioni sensibili collegate all'identità reale delle persone;
  • produce un effetto raffreddante (chilling effect) sull'accesso a informazioni legittime, perché molte persone rinunciano a cercare contenuti — anche legali e utili — piuttosto che identificarsi;
  • esclude chi non ha documenti o strumenti digitali adeguati (persone senza identità digitale, minoranze, persone in condizioni di marginalità);
  • normalizza l'idea che l'accesso a internet debba passare da un controllo d'identità, aprendo la strada a estensioni future ben oltre i contenuti per adulti.

L'obiettivo dichiarato — proteggere i minori online — è legittimo e condiviso. Ma, come ricorda l'EFF, il modo in cui lo si persegue conta quanto l'obiettivo stesso: strumenti invasivi e centralizzati rischiano di produrre più danni (per adulti e minori) di quanti ne prevengano, mentre soluzioni più decentralizzate — controllo lato dispositivo, strumenti educativi, maggiore trasparenza degli algoritmi delle piattaforme — restano largamente sotto-utilizzate nel dibattito pubblico europeo.

Cosa possiamo fare

Anche in Europa e in Italia, gli utenti non sono spettatori passivi di questo cambiamento. È possibile:

  • informarsi sulle modalità tecniche con cui i singoli sistemi di verifica trattano i dati, prima di utilizzarli;
  • segnalare pratiche non conformi ai requisiti di minimizzazione dei dati (in Italia, anche direttamente ad AGCOM o al Garante Privacy);
  • seguire il lavoro delle organizzazioni per i diritti digitali attive a livello europeo (come EDRi) e internazionale (come l'EFF, che dedica all'argomento un intero hub di risorse su eff.org/issues/age-verification);
  • partecipare alle consultazioni pubbliche quando l'UE o le autorità nazionali aprono spazi di confronto su questi temi, per far sentire una voce diversa da quella "sicurezza a ogni costo".

La battaglia per un internet libero e allo stesso tempo sicuro per i minori non si vince scegliendo tra i due obiettivi, ma continuando a chiedere — con insistenza, anche in Europa — che le soluzioni tecniche scelte rispettino davvero la privacy e i diritti di tutti, non solo sulla carta.


Fonti principali: Electronic Frontier Foundation (eff.org/issues/age-verification); AGCOM, delibera 96/25/CONS e comunicati stampa (agcom.it); Ansa; Agenda Digitale; Altroconsumo.