I minori nella società digitale: cosa sta succedendo in Europa?

30 Marzo 2026

La protezione dei minori online rappresenta oggi una delle sfide più complesse della società digitale. Il nodo centrale riguarda la possibilità di verificare in modo effettivo l’età degli utenti senza compromettere diritti fondamentali come la privacy, la libertà di accesso alla rete e la non discriminazione. Il dibattito si è intensificato soprattutto in relazione alla facile accessibilità, da parte dei minori, a contenuti pornografici, violenti o comunque inadatti, spingendo diversi Paesi europei a introdurre sistemi obbligatori di age verification.

Italia: la Delibera AGCOM 96/25/CONS

In Italia, il quadro normativo prende le mosse dalla Legge n. 93/2023 (c.d. “Caivano”), che ha attribuito all’AGCOM (“Autorità”) il compito di definire misure concrete per garantire una fruizione sicura dei servizi digitali da parte dei minori. Tale mandato si è tradotto nella Delibera AGCOM n. 96/25/CONS (“Delibera”), che segna un passaggio significativo dalla logica meramente informativa a una vera e propria responsabilizzazione tecnica delle piattaforme che condividono immagini e video a carattere pornografico.

Il cuore della delibera è rappresentato dall’obbligo di adottare sistemi di verifica dell’età efficaci, che non si limitino all’autodichiarazione dell’utente. Le soluzioni adottate devono rispettare i principi di proporzionalità, minimizzazione dei dati e sicurezza, in linea con il GDPR. Per i contenuti destinati esclusivamente a un pubblico adulto, è espressamente richiesta una verifica rafforzata e a più fattori, superando il semplice avviso “18+”.

L’Autorità evidenzia che le piattaforme e le terze parti coinvolte nel processo di age assurance e nei processi correlati (es. manutenzione dei sistemi, gestione o fatturazione del servizio, etc.) non devono effettuare alcuna profilazione degli utenti e, in particolare, i meccanismi di garanzia dell’età implementati non devono consentire ai soggetti interessati di raccogliere l’identità, l’età, la data di nascita o altre informazioni di carattere personale degli utenti.

Il modello delineato da AGCOM si fonda sull’intervento di soggetti terzi indipendenti (giuridicamente e tecnicamente dal fornitore di contenuti) e certificati, incaricati di attestare la maggiore età dell’utente. Escludendo, quindi, quei sistemi che si basano su: i) raccolta diretta di documenti di identità da parte dell’editore del sito pornografico; ii) stima dell’età basata sulla cronologia di navigazione dell’utente Internet sul web; iii) trattamento di dati biometrici al fine di identificare o autenticare una persona fisica (ad esempio, confrontando, tramite tecnologia di riconoscimento facciale, una fotografia riportata su un documento di identità con un autoritratto o un selfie).

Nella Delibera assume un ruolo centrale il principio del “doppio anonimato”: il fornitore del servizio non conosce l’identità dell’utente, mentre il soggetto che verifica l’età non sa a quale servizio l’utente intenda accedere. In quest’ottica l’Autorità esclude – in questa prima fase di attuazione della Delibera – l’utilizzo del sistema SPID. Infatti, nel momento in cui la richiesta di autenticazione del Service Provider viene inoltrata all’Identity Provider, risulta visibile il nome a dominio del sito visitato. Ciò comporta che l’Identity Provider possa venire a conoscenza della specifica piattaforma o del sito cui l’utente accede, con la conseguenza che tale informazione potrebbe essere anche memorizzata nei sistemi dell’Identity Provider stesso. Resta comunque aperta la possibilità di utilizzare sistemi pubblici, a condizione che sia pienamente rispettato il principio del doppio anonimato.

Il processo di verifica dell’età può avvenire mediante sistemi di verifica dell’età non basati su applicativi installati nel terminale dell’utente oppure sistemi di age assurance fondati sull’uso di applicativi (es. APP del portafoglio di identità digitale, oppure APP per la gestione dell’identità digitale, etc.).

Un passaggio importante dell’Autorità riguarda i sistemi di verifica dell’età più invasivi, ritenuti non conformi alla disciplina privacy. Tra questi rientrano quelli che prevedono la raccolta diretta di documenti d’identità da parte dell’editore del sito, la stima dell’età attraverso la navigazione online dell’utente o il trattamento di dati biometrici per identificare o autenticare la persona, ad esempio confrontando un documento con un selfie mediante tecnologie di riconoscimento facciale.

Sul tema degli obblighi di verifica dell’età si inserisce anche il recente intervento del TAR del Lazio che, con l’ordinanza 28–30 gennaio 2026 n. 1851, ha accolto l’istanza cautelare presentata da Aylo Freesites Ltd (la società che gestisce Pornhub, YouPorn e RedTube). I giudici non hanno sospeso i provvedimenti dell’AGCOM, ma hanno fissato la discussione nel merito per il prossimo mese di marzo.

Nel frattempo, proprio oggi AGCOM ha emanato i primi ordini di blocco nei confronti di siti pornografici italiani che non si sono adeguati agli obblighi relativi alla tutela dei minori e alla verifica dell’età¹.

In sintesi, il quadro regolatorio si sta rapidamente consolidando: da un lato l’Autorità chiarisce che i sistemi eccessivamente invasivi non sono ammessi, dall’altro intensifica i controlli e avvia i primi blocchi verso i siti non conformi. Questa fase sarà decisiva per definire un modello di verifica dell’età rispettoso della privacy ma efficace nella protezione dei minori.

Regno Unito: l’Online Safety Act

Parlando di effetti e ripercussioni di normative simili, l’esperienza britannica rappresenta un riferimento particolarmente significativo. L’Online Safety Act (OSA), approvato nel 2023 e pienamente operativo dall’estate del 2025, ha adottato un’impostazione diversa ma altrettanto rigorosa, con l’obiettivo di impedire che i minori entrino in contatto con contenuti pornografici o comunque dannosi. La legge mira infatti a rafforzare in modo sostanziale le tutele contro l’esposizione dei bambini a pornografia, contenuti che promuovono il suicidio, l’autolesionismo o i disturbi alimentari, introducendo una logica di “tolleranza zero” nella protezione dei minori online.

L’OSA impone ai servizi che ospitano o consentono la diffusione di contenuti pornografici standard elevati in materia di verifica o stima dell’età e introduce nuove forme di responsabilità diretta per le aziende tecnologiche e, in alcuni casi, per i dirigenti, chiamati a garantire la sicurezza dei minori sulle piattaforme. La normativa attribuisce alle imprese un preciso obbligo legale di prevenire e rimuovere rapidamente i contenuti illegali, come il terrorismo e la pornografia, nonché di impedire ai minori l’accesso a materiale potenzialmente dannoso.

I primi effetti dell’attuazione della legge mostrano una significativa riduzione degli accessi ai siti per adulti, accompagnata tuttavia da un aumento del ricorso a strumenti di elusione, come le VPN². L’Ofcom, l’autorità di regolazione, ha scelto di non imporre una singola tecnologia di verifica dell’età, ma di adottare un approccio flessibile fondato su una pluralità di strumenti suscettibili di evoluzione nel tempo. Tra questi figurano, a titolo esemplificativo, l’uso di servizi bancari (open banking) per confermare la maggiore età senza condividere la data di nascita completa, la verifica tramite documenti di identità con foto abbinata a un’immagine dell’utente, la stima dell’età basata sulle caratteristiche del volto, i controlli effettuati dagli operatori di rete mobile, le verifiche tramite carte di credito e l’impiego di portafogli di identità digitale contenenti attestazioni d’ età.

Parallelamente, le linee guida Ofcom individuano anche pratiche espressamente considerate non conformi, come l’autodichiarazione dell’età, l’uso di strumenti di pagamento che non presuppongono il raggiungimento della maggiore età o il semplice ricorso a avvertenze e clausole di esclusione di responsabilità. Le piattaforme, inoltre, non devono ospitare né favorire contenuti che incoraggino i minori ad aggirare i controlli sull’età.

Spetta alle piattaforme dimostrare, attraverso valutazioni del rischio e dati concreti, che le misure adottate riducono in modo significativo l’esposizione dei minori. I sistemi di verifica possono essere sviluppati internamente o forniti da soggetti terzi e, pur operando secondo modalità diverse, sono destinati a evolversi nel tempo. Proprio per questa ragione, Ofcom ha scelto di non fornire un elenco esaustivo di tecnologie ammesse, ma di indicare esempi di soluzioni ritenute efficaci, in un’ottica di neutralità tecnologica e di “future-proofing” delle linee guida.

Il dibattito sulla tutela dei minori online ha inoltre conosciuto una forte accelerazione all’inizio del 2026. Nei giorni scorsi, il Primo Ministro Keir Starmer ha dichiarato, intervenendo su Substack, che il governo è pronto ad adottare “azioni decise”, precisando che nessuna opzione è esclusa. Tra le misure allo studio figurano l’introduzione di un’età minima per l’accesso alle piattaforme social e la possibile limitazione di funzionalità ritenute particolarmente impattanti sul benessere dei più giovani, come lo scrolling infinito. In questo contesto, il 20 gennaio 2026 il Dipartimento per la Scienza, l’Innovazione e la Tecnologia (DSIT) ha avviato una consultazione pubblica che ipotizza un divieto di accesso ai social per gli under 16, sul modello di quanto già sperimentato in Australia.

Alcune nostre considerazioni

La verifica dell’età (age verification) sta assumendo un ruolo sempre più centrale nella protezione dei minori negli ambienti digitali. La sua reale efficacia, tuttavia, dipenderà dalla capacità di trovare un equilibrio tra le esigenze di sicurezza e controllo e la tutela dei diritti fondamentali degli utenti, in particolare la privacy e l’accesso inclusivo alla rete. In questa prospettiva, gli approcci più avanzati sono quelli che mantengono distinta l’identità dell’utente dall’accesso ai contenuti, riducono al minimo il trattamento dei dati personali e promuovono soluzioni interoperabili su scala europea.

Un primo elemento cruciale riguarda l’adeguamento continuo del quadro normativo all’evoluzione tecnologica. È necessario introdurre obblighi chiari e standard condivisi per la verifica dell’età, applicabili a tutte le piattaforme ampiamente frequentate da minori. Le soluzioni introdotte in via sperimentale – come il modello promosso da AGCOM basato sul principio del doppio anonimato – costituiscono una base e potrebbero essere estese anche ai social network e ai servizi di streaming. In tal senso, l’adozione di sistemi di age assurance certificati permetterebbe di distinguere in modo affidabile tra minori e adulti, senza incidere negativamente sulla privacy.

Un ulteriore profilo meritevole di attenzione è quello della trasparenza algoritmica, tema che nell’esperienza italiana risulta ancora poco esplorato. Il coinvolgimento di esperti indipendenti e l’istituzione di comitati etici multidisciplinari potrebbero contribuire a individuare bias, discriminazioni o effetti sproporzionati dei sistemi automatizzati sugli utenti minorenni, rafforzando la fiducia e la legittimità delle soluzioni adottate.

Come più volte sottolineato anche dalla nostra associazione, tuttavia, l’introduzione di strumenti tecnologici, se non accompagnata da un adeguato investimento culturale ed educativo, non è sufficiente a garantire una protezione effettiva dei minori. È indispensabile sviluppare programmi strutturati di alfabetizzazione digitale che coinvolgano non solo i minori, ma anche genitori, insegnanti e adulti di riferimento. La scuola è chiamata a rafforzare il ruolo dell’educazione civica digitale, riconoscendole una funzione centrale e valutabile nei percorsi formativi, mentre iniziative di peer education possono rendere più incisivi i messaggi legati a un uso consapevole e responsabile della rete. In ambito familiare, dovrebbero essere promossi percorsi formativi dedicati ai genitori, campagne informative mirate e strumenti pratici che facilitino l’adozione di misure di protezione e favoriscano un dialogo aperto e continuo con i figli.

Il caso Persona: un campanello d’allarme da non ignorare

In questo contesto, destano notevoli preoccupazioni le recenti vicende legate a Persona³, il sistema biometrico di verifica anagrafica utilizzato da piattaforme come Discord e Roblox e raccomandato anche da OpenAI. L’analisi condotta da un gruppo di ricercatori informatici ha infatti evidenziato come l’architettura del sistema sembrerebbe includere funzionalità molto più invasive di quanto dichiarato pubblicamente, con possibili collegamenti a reti di segnalazione verso agenzie governative, incroci di dati biometrici e meccanismi di profilazione basati su liste di rischio.

Il fatto che tali informazioni siano state reperibili in un archivio rimasto accidentalmente accessibile al pubblico, e che il materiale esaminato lasci intendere potenziali integrazioni con programmi federali come FedRAMP o con sistemi di sorveglianza avanzata quali Fivecast ONYX (piattaforma che utilizza sistemi di AI per rastrellare social network e dark web), solleva interrogativi profondi sulla direzione che il mercato dell’age verification sta prendendo a livello globale.

Questi elementi non solo minano la fiducia degli utenti, ma pongono in evidenza un rischio strutturale: quello che strumenti presentati come soluzioni per la protezione dei minori possano, nella realtà, trasformarsi in infrastrutture di sorveglianza pervasiva, con impatti rilevanti sulla privacy.

Alla luce di tali sviluppi, appare chiaro che il tema dell’age verification non può essere affrontato esclusivamente come questione tecnica o regolatoria. È necessario monitorare con attenzione ogni tecnologia proposta, assicurare solidi meccanismi di accountability e garantire che qualsiasi sistema adottato rispetti rigorosamente i principi di proporzionalità e minimizzazione.

Solo un approccio integrato – normativo, tecnologico, educativo e culturale – potrà realmente conciliare la necessità di proteggere i minori con la salvaguardia dei diritti fondamentali di tutti gli utenti, evitando derive verso modelli di controllo incompatibili con una società democratica.