Verifica età online e privacy minori: il paradosso delle leggi che moltiplicano i dati

Esiste un paradosso al centro del più ambizioso tentativo di regolamentare la rete per proteggere i minori: per tutelare la privacy dei più giovani, le leggi stanno imponendo la raccolta di una quantità di dati personali senza precedenti. Documenti d'identità, scansioni facciali, credenziali bancarie — informazioni estremamente sensibili che, paradossalmente, proprio le normative sulla privacy dovrebbero contribuire a salvaguardare. È il cortocircuito giuridico e tecnologico che dagli Stati Uniti all'Europa, passando per l'Italia, sta ridefinendo l'architettura dell'accesso a Internet. Un cortocircuito che interessa non solo i legislatori, ma ogni azienda che offre servizi online e ogni famiglia con figli che navigano in rete.

Cosa sta succedendo negli Stati Uniti: COPPA 2.0 e la verifica dell'età

Negli Stati Uniti, il Children and Teens' Online Privacy Protection Act — noto come COPPA 2.0 — rappresenta uno dei disegni di legge federali più rilevanti in materia di protezione dei minori online. La proposta estende le tutele già esistenti per i bambini sotto i 13 anni agli adolescenti fino a 16 o 17 anni, imponendo alle piattaforme obblighi stringenti di verifica dell'età e limitazioni alla raccolta dati.

Come riportato da govtech.com, Linnette Attai, project director al Consortium for School Networking (CoSN), ha evidenziato il nodo centrale del problema: la verifica dell'età richiede la raccolta di dati altamente sensibili — documenti d'identità governativi, dati biometrici, informazioni bancarie — creando una situazione in cui una legge pensata per proteggere la privacy dei minori costringe a raccogliere più informazioni personali che mai. Il Center for Democracy & Technology (CDT) ha sottolineato che le piattaforme devono identificare i minori, monitorare il loro comportamento e conservare dati per dimostrare la conformità — trasformando di fatto la protezione in sorveglianza.

Parallelamente, il Kids Online Safety Act (KOSA) introduce un "dovere di diligenza" per piattaforme, videogiochi, servizi di messaggistica e streaming utilizzati da minori. A febbraio 2026, quaranta procuratori generali statunitensi hanno chiesto al Congresso di approvare la versione del Senato del KOSA, che prevede uno studio — condotto dal Dipartimento del Commercio insieme alla FCC e alla FTC — su come computer, smartphone e sistemi operativi possano verificare l'età degli utenti. Il rapporto dovrà essere consegnato entro un anno. Per il gruppo per la privacy Reclaim The Net, questa misura rischia di trasformarsi in "un passo decisivo verso un'identità digitale obbligatoria per accedere a Internet", come riportato da La Discussione.

Il contesto europeo: DSA e l'architettura di verifica dell'età

L'Europa non è spettatrice. Il Digital Services Act (DSA), pienamente applicabile dal 17 febbraio 2024, impone all'articolo 28 misure concrete per la protezione dei minori online. La Commissione Europea ha pubblicato linee guida che definiscono i requisiti per i sistemi di verifica dell'età: devono essere precisi, robusti, non intrusivi e non discriminatori. Come chiarito da Diritto dell'Informazione, le linee guida non sono formalmente vincolanti ma costituiscono il parametro di valutazione per le autorità competenti: le piattaforme possono adottare soluzioni alternative, purché dimostrino efficacia e rispetto dei requisiti di privacy equivalenti.

La Commissione ha anche sviluppato un'architettura tecnica di riferimento, rilasciata come white label app open source su GitHub per Android e iOS. L'ecosistema si basa su quattro soggetti: l'utente, l'Age Verification App Provider (AVAP), l'Attestation Provider (AP) — ente pubblico o privato accreditato che verifica identità ed età — e il Relying Party (RP), cioè la piattaforma che richiede la verifica prima di consentire l'accesso. Come spiegato da DDay.it, la soluzione attuale è considerata temporanea: quando nel 2026 l'EUDI Wallet — il portafoglio europeo dell'identità digitale — sarà operativo e largamente adottato, integrerà nativamente la gestione delle attestazioni di età. La fase pilota, avviata a luglio 2025, coinvolge già Danimarca, Francia, Grecia, Italia e Spagna, come documentato dalla Commissione Europea.

Come funziona il processo tecnico

Il flusso, descritto nel dettaglio dalla stessa Commissione Europea, prevede due fasi. Nell'attivazione, l'utente scarica l'app e richiede l'attestazione di maggior età tramite scansione della Carta d'Identità Elettronica, passaporto elettronico o procedure bancarie. L'Attestation Provider verifica l'identità e rilascia l'attestazione, memorizzata solo localmente sul dispositivo. Nell'utilizzo, quando l'utente accede a un servizio con restrizioni, il Relying Party chiede la prova di maggior età. L'utente autorizza la trasmissione della sola attestazione ("maggiorenne sì/no"), senza rivelare altri dati anagrafici — il collegamento tra utente e fornitore della prova viene tagliato dopo il rilascio dell'attestazione.

Tuttavia, le specifiche tecniche prevedono anche una verifica memorizzata: l'esito può essere associato a un account utente, evitando la ripetizione della procedura. Questo meccanismo, pensato per la comodità, rischia di incentivare la creazione sistematica di account anche dove oggi non è previsto. Le piattaforme potrebbero spingere gli utenti a registrarsi per non dover ripetere la verifica, aumentando la raccolta di dati e riducendo l'anonimato. Come osserva DDay.it, non si può escludere che un minore con accesso al dispositivo di un adulto possa aggirare il blocco semplicemente utilizzando l'account già verificato del genitore.

La situazione italiana: AGCOM, il doppio anonimato e il TAR Lazio

L'Italia è tra i Paesi in prima fila nell'implementazione. L'Autorità per le Garanzie nelle Comunicazioni (AGCOM), con la delibera n. 96/25/CONS dell'8 aprile 2025, ha definito le modalità tecniche di verifica dell'età basandosi sul principio del doppio anonimato. Come illustrato da Juranet, il sistema prevede l'intervento di soggetti terzi indipendenti: il gestore della piattaforma riceve solo una conferma tecnica (token) della maggiore età, senza conoscere l'identità dell'utente, mentre il soggetto verificatore non sa quale contenuto specifico l'utente sta consultando. L'obiettivo è conciliare efficacia della verifica con la minimizzazione dei dati personali richiesta dal GDPR.

La normativa nazionale di riferimento è l'art. 13-bis del d.l. 123/2023 (il cosiddetto "decreto Caivano"), convertito in legge n. 159/2023, che vieta ai minori l'accesso a contenuti pornografici e impone ai gestori di piattaforme l'obbligo di verificare la maggiore età. La disciplina è stata oggetto di contenzioso: con ordinanza n. 1851/2026 del 30 gennaio 2026, il TAR Lazio ha accolto la domanda cautelare proposta da Aylo Freesites Ltd, società titolare di piattaforme come Pornhub, contro lo stesso AGCOM, segnalando le tensioni ancora aperte tra obblighi normativi e implementazione pratica.

È presumibile che il ponte tecnico per la verifica dell'età venga affidato all'app IO, già utilizzata per l'IT-Wallet con la Carta d'Identità Elettronica. Tuttavia, il sistema solleva interrogativi sulla proporzionalità: un conto è autenticarsi per un servizio della Pubblica Amministrazione, un altro è doverlo fare per navigare su un social network o una piattaforma di streaming. Qualunque meccanismo di identificazione digitale sarebbe inoltre aggirabile tramite VPN. Secondo uno studio di NordVPN, oltre il 25% degli italiani utilizza già una VPN — una percentuale destinata a crescere se l'accesso ai contenuti venisse subordinato alla verifica dell'identità. Per un approfondimento su questo tema, si veda la guida decisionale sulle VPN in Italia.

Il paradosso centrale: proteggere la privacy raccogliendo più dati

Il cuore della contraddizione è questo: per determinare se un utente ha meno di 18 anni, il sistema deve sapere chi è. Non esiste, al momento, un metodo di verifica dell'età che sia al contempo affidabile e completamente anonimo. Ogni soluzione disponibile comporta un trade-off tra efficacia e riservatezza.

La scansione di un documento d'identità è il metodo più diffuso — adottato ad esempio dai siti di scommesse — ma presenta vulnerabilità significative: è un bersaglio per attacchi informatici ed è relativamente semplice da aggirare, per esempio utilizzando foto di documenti reperibili online. La verifica tramite transazione bancaria (una transazione di zero euro per dimostrare di possedere un conto) perde efficacia con la diffusione di conti digitali per minorenni. Il riconoscimento facciale, infine, comporta la memorizzazione di dati biometrici che, come osserva IlSoftware.it, trasformano gli archivi in "superfici di attacco significative" che introducono nuovi rischi di data breach.

La falla GDPR dell'app europea

A rendere ancora più concreto il paradosso è una scoperta recente. Il ricercatore di sicurezza Paul Moore, esaminando il repository open source della white label app europea, ha scoperto che nella verifica biometrica tramite selfie, il file immagine temporaneo viene cancellato solo in caso di esito positivo, ma non nei rami di fallimento o eccezione. In pratica, se il match facciale con il documento fallisce, la foto dell'utente resta memorizzata nello storage persistente dell'app. Come riportato da DDay.it, l'EDPB (European Data Protection Board) ha stabilito che i template biometrici intermedi dovrebbero essere cancellati immediatamente dopo l'operazione, indipendentemente dall'esito. Una non conformità che appare in stridente contrasto con le dichiarazioni della Commissione su un'app rispettosa dei più alti standard di privacy.

Criteri decisionali: cosa devono sapere le PMI italiane

Per le piccole e medie imprese italiane che offrono servizi online — e-commerce, piattaforme edtech, app di gaming, social network — il quadro normativo impone scelte strategiche. Non tutte le aziende sono soggette agli stessi obblighi: il DSA distingue tra piattaforme di grandi dimensioni (oltre 45 milioni di utenti medi mensili nell'UE) e servizi più piccoli, ma il principio di responsabilità si applica a tutti.

Ecco i criteri fondamentali per orientarsi:

1. Valutare se il servizio è accessibile ai minori. Se la risposta è sì, scatta l'obbligo di adottare misure proporzionate. Un e-commerce che vende prodotti per adulti ha esigenze diverse da una piattaforma educativa.
2. Scegliere il metodo di verifica in base al rischio. Per rischi bassi può bastare un'autodichiarazione con controlli a campione; per rischi alti (contenuti per adulti, gioco d'azzardo) servono sistemi più robusti. La proporzionalità è un principio cardine del GDPR.
3. Minimizzare i dati raccolti. Ogni informazione in più è una potenziale vulnerabilità. Il principio di data minimization del GDPR impone di raccogliere solo ciò che è strettamente necessario. Per un approfondimento sulle best practice di sicurezza, si veda la guida alla cybersecurity per PMI.
4. Non costruire database di identità non necessari. Se si adotta la verifica memorizzata, è essenziale separare il dato "maggiorenne sì/no" da qualsiasi altra informazione identificativa. La pseudonimizzazione è il minimo indispensabile.
5. Prepararsi all'EUDI Wallet. Quando il portafoglio digitale europeo sarà operativo, diventerà lo standard di riferimento. Integrarlo fin dalle prime fasi di progettazione eviterà costosi adattamenti successivi.

Alternative e limiti: quando la verifica dell'età non conviene

Esistono approcci alternativi che meritano attenzione, ciascuno con i propri limiti.

Filtri locali e controllo parentale sul dispositivo. Browser, sistemi operativi e app di parental control permettono di configurare regole di accesso senza richiedere identificazione centrale. Il vantaggio è che la decisione resta nel contesto familiare, adattabile ai valori educativi di ciascuna famiglia. Il limite è che richiede competenza tecnica e coinvolgimento attivo dei genitori — risorse non sempre disponibili.

Sistemi a conoscenza zero (Zero-Knowledge Proofs). L'architettura europea prevede l'implementazione di ZKP, tecniche crittografiche che consentono di dimostrare un requisito ("sono maggiorenne") senza rivelare l'identità. La Commissione Europea ha annunciato che la tecnologia a prova di conoscenza zero sarà inclusa entro la fine del 2025. Lo schema attualmente in sviluppo utilizza "Anonymous credentials from ECDSA", che però non ha ancora una certificazione formale, come la stessa Commissione ha fatto notare. È una direzione promettente ma non ancora matura per l'adozione su larga scala.

Classificazione dei contenuti invece della verifica dell'identità. Un'altra strada è intervenire sulla moderazione dei contenuti anziché sull'identificazione degli utenti: sistemi di raccomandazione responsabili, limiti alla pubblicità comportamentale verso i minori, rimozione dei meccanismi che amplificano contenuti dannosi. Questo approccio colpisce le cause del danno senza imporre un'infrastruttura di sorveglianza, ma richiede un cambiamento profondo nei modelli di business delle piattaforme.

Metodo	Vantaggi	Limiti	Più adatto per
Autodichiarazione	Nessun dato sensibile raccolto	Facilmente falsificabile	Servizi a basso rischio
Scansione documento	Verifica robusta	Dati sensibili esposti, aggirabile	Scommesse, alcool online
Verifica biometrica	Difficile da falsificare	Rischio dataset biometrici, costi elevati	Piattaforme ad alto rischio
Transazione bancaria	Basso attrito per l'utente	Conti minorenni in crescita	E-commerce con prodotti per adulti
Filtri locali/dispositivo	Nessuna identificazione centrale	Richiede competenza genitoriale	Famiglie, scuole
Zero-Knowledge Proofs	Privacy preservata, prova senza identità	Non ancora certificato	Futuro standard europeo

Impatto su scuole e famiglie italiane

Per le scuole, il problema è duplice. Da un lato, gli istituti che utilizzano piattaforme edtech devono garantire che i fornitori rispettino gli obblighi di verifica dell'età e protezione dei dati — un onere che ricade sui dirigenti scolastici e sui responsabili della protezione dati (DPO). Dall'altro, emerge una questione educativa: se la rete diventa un ambiente ad accesso condizionato, chi non possiede documenti validi o smartphone compatibili rischia l'esclusione digitale. Per approfondire il tema delle infrastrutture digitali scolastiche, si rimanda alla guida alla connettività scolastica 2026.

Per le famiglie, il paradosso si traduce in una domanda pratica: fino a che punto è accettabile cedere dati sensibili per proteggere i propri figli? La risposta non è univoca. Un approccio pragmatico suggerisce di:

• Non delegare tutto alla tecnologia. Nessun sistema di verifica sostituisce il dialogo e l'educazione digitale in famiglia.
• Usare strumenti di controllo parentale locali (come firewall domestici e configurazioni DNS sicure) che operano sul dispositivo senza inviare dati a terzi.
• Limitare la creazione di account su piattaforme che richiedono verifica dell'età con dati reali. Dove possibile, preferire servizi che offrono accesso senza registrazione.
• Verificare le informative privacy dei servizi utilizzati dai minori: chi raccoglie i dati, per quanto tempo, con quale base giuridica.

Il rischio strutturale: infrastrutture di controllo che sopravvivono al loro scopo

C'è un aspetto spesso sottovalutato nel dibattito: le architetture di controllo tendono a sopravvivere al loro scopo iniziale. Una volta costruita, un'infrastruttura di verifica dell'età può essere estesa ad altri attributi — cittadinanza, localizzazione, appartenenza a categorie autorizzate. Come evidenziato da IlSoftware.it, il controllo dell'identità non sarebbe più distribuito tra i servizi ma concentrato in pochi attori tecnologici che gestiscono sistemi operativi e store applicativi, creando "meccanismi centralizzati difficili da sottoporre a verifiche e potenzialmente incompatibili con modelli software distribuiti".

Non è un'allarmismo infondato. L'Electronic Frontier Foundation mette in guardia da anni contro gli obblighi di verifica dell'età, e l'avvocato Greg Glaser, citato da La Discussione, parla apertamente di "punto di controllo dell'identità digitale" integrato nell'uso quotidiano del web. Il confine tra verifica dell'età e verifica dell'identità è sottilissimo, e la storia delle tecnologie di sorveglianza insegna che le misure temporanee tendono a diventare permanenti.

Verso un equilibrio possibile

La protezione dei minori online è un obiettivo legittimo e urgente. I dati disponibili giustificano la preoccupazione: secondo l'ISTAT, l'età media del primo accesso a Internet in Italia continua a diminuire, e l'esposizione a contenuti inappropriati, cyberbullismo e meccanismi di dipendenza digitale è un rischio documentato da numerosi studi internazionali.

Tuttavia, la risposta non può essere la costruzione di un'infrastruttura di sorveglianza universale mascherata da tutela. Le soluzioni più promettenti sono quelle che separano la verifica del requisito dall'identificazione della persona: le Zero-Knowledge Proofs, se adeguatamente certificate e implementate, potrebbero offrire un punto di equilibrio tra efficacia e privacy. La stessa Commissione Europea riconosce questa direzione, avendo annunciato l'integrazione della tecnologia entro il 2025. Nel frattempo, il principio guida per aziende e famiglie deve restare la proporzionalità: raccogliere solo i dati indispensabili, conservarli solo per il tempo necessario, e non costruire architetture che sopravvivano al loro scopo dichiarato.

La vera sfida non è tecnica, ma culturale: accettare che la protezione dei minori non può essere delegata interamente a un algoritmo, e che il ruolo di genitori, insegnanti e comunità educative resta insostituibile — anche, e soprattutto, nell'era digitale.