Il contesto: verso il “divieto dei social”
Il dibattito sull’accesso dei minori alla rete ha conosciuto negli ultimi mesi una forte accelerazione. Al centro della discussione c’è il cosiddetto “social media ban”: sempre più Paesi stanno valutando o introducendo restrizioni rigide per l’accesso alle piattaforme digitali da parte dei minori di 15 o 16 anni.
L’Australia, a dicembre 2025, è stata la prima nazione al mondo a vietare l’accesso ai social ai minori di 16 anni. Anche il Regno Unito sta sperimentando misure simili: nella fase iniziale del progetto saranno coinvolti 150 ragazzi tra i 13 e i 15 anni, suddivisi in gruppi sottoposti a condizioni differenti. Alcuni avranno un divieto totale di utilizzo dei social media, altri un limite massimo di un’ora al giorno, mentre un terzo gruppo sarà soggetto a un coprifuoco digitale nelle ore notturne. Per ciascun gruppo verranno monitorati parametri come qualità del sonno, umore e livello di attività fisica.
L’obiettivo è raccogliere evidenze concrete sull’efficacia delle varie misure prima di un’eventuale traduzione in norme di legge. La consultazione pubblica resterà aperta fino al 26 maggio e servirà a valutare strumenti come il “coprifuoco digitale” o i tetti massimi di utilizzo giornaliero.
Nel resto d’Europa il dibattito è altrettanto acceso: la Spagna sta valutando l’introduzione di un divieto per gli under 16, mentre in Italia sono attualmente depositati in Parlamento almeno due disegni di legge sul tema.
La responsabilità delle piattaforme
Questa evoluzione normativa nasce da una consapevolezza sempre più diffusa: l’accesso dei minori alla rete – soprattutto a dinamiche progettate per catturare l’attenzione – non può più essere affidato esclusivamente alla responsabilità individuale delle famiglie o a strumenti di parental control. A rafforzare questo cambio di prospettiva sono arrivate anche alcune pronunce giudiziarie di portata storica..
Emblematica è la sentenza del 25 marzo del Tribunale di Los Angeles, nella causa collettiva JCCP 5255, che ha segnato un punto di svolta nel dibattito globale. Protagonista del caso è una giovane donna di 20 anni che ha citato in giudizio Meta e Google per i gravi danni psicologici subiti durante l’infanzia e l’adolescenza: ansia, dismorfismo corporeo e comportamenti di autolesionismo, che la giuria ha ritenuto direttamente collegati all’uso precoce e prolungato di Instagram e YouTube, iniziato rispettivamente a nove e sei anni.
Dopo nove giorni di processo e oltre quaranta ore di camera di consiglio, i dodici giurati hanno deliberato all’unanimità la condanna delle due aziende a un risarcimento complessivo di tre milioni di dollari. TikTok e Snapchat avevano preferito un accordo extragiudiziale per evitare un precedente potenzialmente sfavorevole; Meta e Google, invece, hanno scelto il giudizio, confidando in un esito positivo che non è arrivato.
Per la prima volta, un tribunale ha riconosciuto un nesso causale diretto tra il funzionamento degli algoritmi (scroll infinito, autoplay e profilazione) e i danni alla salute mentale dei minori.
Secondo la giuria, siamo di fronte a architetture digitali progettate in modo deliberato per massimizzare il tempo di permanenza degli utenti. Si tratta di un meccanismo ormai noto: i social media sfruttano indirettamente i c.d. neurodati attraverso scelte di design che agiscono sui circuiti di ricompensa del cervello. Ricompense variabili guidate dalla dopamina, come “mi piace”, commenti e notifiche, sono elementi centrali di queste piattaforme e favoriscono comportamenti compulsivi1.
Documentazione emersa anche in altri procedimenti giudiziari ha inoltre dimostrato che i fornitori di servizi erano consapevoli della relazione tra progettazione tecnologica e funzionamento cognitivo e hanno intenzionalmente modellato i social network per produrre effetti specifici sugli utenti.2
In questo scenario, come già ricostruito nel nostro approfondimento “I minori nella società digitale: cosa sta succedendo in Europa”, la tutela dei minori online sta attraversando un passaggio decisivo: dal modello dell’autodichiarazione formale dell’età a un sistema fondato sulla responsabilità tecnica delle piattaforme. Un cambiamento che non è più solo politico o regolatorio, ma ormai anche giudiziario.
La soluzione europea: l’Age verification Solution
In questo scenario si inserisce il progetto dell’Unione europea per una soluzione di verifica dell’età standardizzata, pensata come applicazione dedicata e destinata, in prospettiva, a confluire nel futuro portafoglio di identità digitale europeo (EUDI Wallet).
L’Age Verification Solution è attualmente in fase di sperimentazione da parte di un gruppo di Stati membri: Francia, Danimarca, Grecia, Italia, Spagna, Cipro e Irlanda. Questi Paesi stanno testando l’integrazione dell’app nei rispettivi portafogli digitali nazionali EUDI, anticipando il modello europeo.
La documentazione ufficiale pubblicata sul portale del progetto chiarisce che la verifica dell’età dovrebbe diventare una funzionalità nativa dell’EUDI Wallet, il portafoglio digitale europeo (analogo all’IT Wallet italiano) pensato per conservare documenti e attestazioni ufficiali. Tuttavia, secondo la Commissione europea, il rilascio dell’EUDI Wallet non è previsto prima della fine del 2026. Per questo motivo, l’Age Verification Solution nasce come soluzione-ponte: un’applicazione autonoma, destinata a essere successivamente integrata nel portafoglio europeo una volta completata la sua implementazione.
I progressi dello sviluppo sono pubblici e consultabili sul portale European Age Verification Solution. Il codice è open source e può essere liberamente analizzato. Il modello si fonda sulla tecnologia delle Zero-Knowledge Proof, che consente di dimostrare il possesso di un requisito – in questo caso l’età – senza rivelare ulteriori dati personali.
Il flusso previsto è standardizzato: l’utente accede a un sito o servizio con vincoli di età, viene presentato un form identico per tutti i portali, riceve una notifica sull’app dove sono stati caricati in precedenza i documenti (es. passaporto) oppure, se utilizza un computer, inquadra con lo smartphone un QR code generato dal sito. Una volta confermata l’età, l’accesso viene sbloccato.
Proprio la natura open source dell’Age Verification Solution, pensata per garantire trasparenza, ha consentito a ricercatori ed esperti di cybersecurity di analizzare rapidamente l’applicazione. Tra questi, Paul Moore ha dichiarato di essere riuscito a comprometterne il funzionamento in pochi minuti.
Criticità tecniche e rischi di sicurezza
Le problematiche individuate non riguardano una singola vulnerabilità isolata, ma scelte progettuali che incidono sull’affidabilità complessiva del sistema. In particolare, l’app memorizza localmente un PIN cifrato, senza un collegamento crittograficamente robusto al vault identitario che contiene le credenziali di verifica3. Questo approccio apre la strada a manipolazioni relativamente semplici: modificando alcuni file di configurazione e riavviando l’applicazione, è possibile reimpostare il PIN mantenendo l’accesso alle credenziali già generate, riutilizzando di fatto dati di identità sotto un nuovo controllo di accesso. Il sistema finisce così per accettare credenziali preesistenti senza una reale validazione del contesto.
Altre criticità riguardano i meccanismi di difesa contro attacchi più aggressivi. Il rate limiting, fondamentale per prevenire tentativi ripetuti di accesso, è implementato come un semplice contatore salvato nello stesso file di configurazione modificabile: azzerandolo manualmente, l’app “dimentica” i tentativi precedenti, rendendo praticabili attacchi di forza bruta.
Anche l’autenticazione biometrica risulta debole: la sua attivazione è gestita tramite un flag booleano4 che può essere disabilitato, bypassando uno dei livelli di sicurezza più rilevanti.
In altri termini, alcune misure di sicurezza risultano “resettable” dall’utente stesso, compromettendo il modello di fiducia su cui si basa l’intera soluzione. Un elemento critico, soprattutto se si considera che l’app è destinata a diventare uno standard europeo per la protezione dei minori online.
Oltre alle vulnerabilità legate ai meccanismi di autenticazione, emergono criticità rilevanti anche nella gestione delle immagini biometriche, uno degli aspetti più delicati di qualsiasi sistema di verifica dell’età.
Secondo l’analisi di Paul Moore, durante la lettura del documento elettronico tramite NFC l’app estrae la fotografia del volto contenuta nel chip del documento e la salva temporaneamente sul dispositivo come file immagine ad alta qualità. Questa immagine verrebbe cancellata solo nel caso in cui la procedura si concluda correttamente. In tutti gli altri casi – errore di sistema, interruzione della scansione, annullamento da parte dell’utente o crash dell’app – il file potrebbe rimanere memorizzato sul dispositivo, senza che l’utente ne sia informato.
La situazione apparirebbe ancora più problematica per quanto riguarda i selfie scattati durante il processo di verifica. In questo caso, le immagini non verrebbero salvate nello spazio protetto dell’applicazione, ma in una memoria del dispositivo più facilmente accessibile, e non risulterebbero automaticamente eliminate al termine della procedura. Ne deriverebbe una conservazione prolungata di dati biometrici.
Sorveglianza e protezione dei dati
Le preoccupazioni non riguardano solo la sicurezza tecnica, ma anche il rischio di una deriva verso forme di sorveglianza pervasiva. In questo quadro si inseriscono le polemiche legate a sistemi biometrici come Persona, già utilizzati da piattaforme come Discord e Roblox e raccomandati anche da OpenAI, di cui abbiamo parlato in un precedente approfondimento.
Il rischio concreto è che strumenti nati per proteggere i minori si trasformino in infrastrutture di monitoraggio di massa.
Conclusioni
L’age verification non è soltanto una sfida tecnologica, ma una questione culturale, giuridica e sociale. Le soluzioni tecniche, da sole, non sono sufficienti: un approccio realmente efficace deve integrare educazione digitale, responsabilità delle piattaforme e tutela dei diritti fondamentali. I divieti normativi possono al massimo rinviare l’ingresso dei minori negli ambienti digitali, ma non eliminano le dinamiche di dipendenza, esposizione e manipolazione che caratterizzano molte piattaforme.
In questo quadro, è essenziale che i sistemi di verifica dell’età rispettino principi irrinunciabili come minimizzazione dei dati, proporzionalità e sicurezza by design, evitando la costruzione di infrastrutture di controllo che, nel lungo periodo, rischiano di essere incompatibili con una società democratica. Strumenti nati per proteggere i minori non possono trasformarsi in meccanismi di identificazione o sorveglianza generalizzata.
Resta infine centrale il ruolo degli adulti. Nessuna tecnologia potrà mai compensare l’assenza di una consapevolezza condivisa: spesso sono gli stessi genitori a creare profili social per i figli o a permettere un accesso precoce e non mediato alla rete. Senza un’educazione digitale diffusa e una responsabilità collettiva, anche le soluzioni più avanzate rischiano di rivelarsi inefficaci.
La vera sfida, dunque, non è soltanto verificare l’età, ma ripensare il rapporto tra minori, piattaforme e diritti, mettendo al centro l’individuo.
- Cfr. ad esempio MAZA, M.T. et al.: «Association of Habitual Checking Behaviors on Social Media With Longitudinal Functional Brain Development» in JAMA Pediatrics, vol. 177, n. 2, 2023, pagg. 160 e segg., disponibile all’indirizzo https://doi.org/10.1001/jamapediatrics.2022.4924; LINDSTRÖM, B. et al.: «A Computational Reward Learning Account of Social Media Engagement» in Nature Communications, vol. 12, n. 1, 2021, disponibile all’indirizzo https://doi.org/10.1038/s41467-020-19607-x. ↩︎
- Si vedano anche le seguenti prove presentate contro Tik Tok: «Anche i consulenti esterni assunti da TikTok hanno confermato questa realtà: un gruppo di ricerca comportamentale ingaggiato da TikTok ha avvertito che l’esperienza di dipendenza non era casuale, ma era stata intenzionalmente progettata»; «Un’analisi interna del 2021 condotta dal team Trust & Safety di TikTok è andata ancora oltre. Ha esplicitamente riconosciuto che “il principale deterrente all’uso da parte dei nostri utenti è che ritengono che la piattaforma crei dipendenza” e che “l’uso compulsivo è correlato a una serie di effetti mentali negativi, come la perdita delle capacità analitiche, della formazione della memoria, del pensiero contestuale, della profondità conversazionale, dell’empatia e un aumento dell’ansia.” ; «I documenti interni di TikTok chiariscono anche che l’attrattiva che crea dipendenza della piattaforma è stata progettata, non è casuale. La ricerca comportamentale di TikTok ha confermato che le caratteristiche stesse che stimolavano il coinvolgimento producevano la dipendenza cognitiva descritta dagli utenti come “dipendenza”.. I ricercatori hanno osservato che la struttura di ricompensa variabile della piattaforma condizionava gli utenti a cercare ricompense intermittenti di dopamina attraverso lo scorrimento infinito, rispecchiando i modelli di rinforzo comportamentale che si riscontrano nel gioco d’azzardo..”; “Analisi interne e feedback di esperti hanno collegato direttamente l’uso di TikTok all’autolesionismo e al suicidio. In un rapporto del 2021, i ricercatori sulla sicurezza di TikTok hanno concluso che il rischio che gli utenti vengano spinti in bolle di filtro che coinvolgono il suicidio e l’autolesionismo. ↩︎
- In particolare, l’app memorizza localmente un PIN cifrato, senza un collegamento crittograficamente solido alla “cassaforte digitale” (vault) che contiene le credenziali di verifica, rendendo più fragile la protezione complessiva dei dati. ↩︎
- Un flag booleano è una variabile che serve a dire “sì” o “no” al sistema. Viene usata per attivare o disattivare una funzione e può assumere solo due valori: true (abilitato) o false (disabilitato).
↩︎
Potrebbe interessarti anche
Chatcontrol 1.0: cosa cambia dopo il voto europeo?
I minori nella società digitale: cosa sta succedendo in Europa?
Pratiche, alfabetizzazione e divari nell’AI generativa
Nordio, i “trojan diabolici” e le intercettazioni
Comunicato ufficiale sulla Riforma GDPR e Digital Omnibus
Perché rompere la crittografia è un rischio
Approvata la 1° legge italiana sull’Intelligenza Artificiale
“Pay or OK”: le nostre osservazioni per il Garante
