Sicurezza online: inizia l’era della verifica dell’età

L’entrata in vigore delle nuove regole AGCOM per la verifica dell’età è soltanto l’ultima novità europea in materia di protezione dei minori sul web. Sotto la spinta del Digital Services Act, l’accesso ai contenuti per adulti è diventato oggetto di regolamenti sempre più stringenti, che prevedono soluzioni tecnologiche avanzate capaci di certificare la maggiore età degli utenti senza comprometterne l'anonimato. I vecchi sistemi di autodichiarazione, in sostanza, devono lasciare il posto a “barriere digitali” sicure e rispettose della privacy degli utenti.

Verifica dell’età per i siti web: le nuove regole in Italia

A partire dallo scorso ottobre, i siti web che diffondono contenuti per adulti in Italia sono tenuti a dotarsi di sistemi di "age assurance". Devono cioè essere in grado di verificare l’età degli utenti che richiedono l’accesso a contenuti pornografici, legati al gioco d’azzardo o che promuovono pratiche violente.

Le nuove regole, approvate con la delibera AGCOM 96/25/CONS dell’8 aprile 2025, giungono in attuazione della Legge 159/2023, il cosiddetto “Decreto Caivano”, che all’articolo 13 bis introduce norme specifiche per l’accesso dei minori ai contenuti pornografici sul web.

“I gestori di siti web e i fornitori delle piattaforme di condivisione video che diffondono in Italia immagini e video a carattere pornografico”, si legge al comma 2, “sono tenuti a verificare la maggiore età degli utenti, al fine di evitare l’accesso a contenuti pornografici da parte di minori degli anni diciotto”.

Entro ottobre 2025, quindi, gestori e piattaforme hanno l’obbligo di dotarsi di efficaci sistemi di verifica della maggiore età che devono essere conformi alle regole stabilite nell’apposito provvedimento dell’AGCOM - che è anche l’Autorità chiamata a vigilare sull’applicazione delle norme e a contestare eventuali violazioni, punibili con sanzioni che vanno da 10mila a 250mila euro.

AGCOM: verifica dell’età e tutela dei dati personali

La delibera AGCOM 96/25/CONS stabilisce le caratteristiche tecniche dei sistemi di verifica dell’età richiesti per la diffusione di contenuti web pornografici in Italia. 

Tali sistemi devono essere innanzitutto conformi al GDPR, perciò devono essere rispettosi del principio di minimizzazione dei dati (art. 5 del GDPR) e dei principi di data protection by design e by default (art. 25 del GDPR).

Ciò significa che i sistemi di age verification non devono effettuare alcuna profilazione degli utenti e “non devono consentire ai soggetti interessati di raccogliere l'identità, l'età, la data di nascita o altre informazioni di carattere personale degli utenti”.

La protezione dei dati personali, si legge nell’Allegato A, si realizza grazie alla “compartimentazione degli attori ossia tra utente, fornitore del contenuto e soggetto che certifica la maggiore età“. Ne consegue che i siti web e le piattaforme di video sharing che diffondono in italia contenuti pornografici sono tenuti ad affidarsi a soggetti terzi - indipendenti giuridicamente e tecnicamente dal fornitore dei contenuti - per i servizi di age assurance e verification.

Verifica dell’età: i metodi esclusi dalla Delibera AGCOM

In base alle nuove regole stabilite dall’AGCOM, è necessario abbandonare alcuni metodi usati in passato per la verifica dell’età, tra cui:

• Autodichiarazione tramite spunta;
• Inserimento della data di nascita;
• Stima dell’età tramite email o attività sui social media, che non sono necessariamente collegati all’utente;
• Caricamento del documento d’identità sul sito del fornitore di contenuti;
• Controlli delle carte di credito e dei dispositivi mobili, che possono però essere usati come controlli secondari;
• Accesso al sito web tramite SPID o CIE.

Il sistema di verifica dell’età, infatti, deve essere conforme al principio del doppio anonimato: da un lato il sito web non deve poter accedere ai dati personali dell’utente né riconoscere un utente che ha già utilizzato il sistema, dall’altro il fornitore dei servizi di age assurance non deve poter risalire ai contenuti richiesti dall’utente.

Come funziona la verifica dell’età AGCOM?

Come specificato dall’Autorità, ogni sessione deve essere sottoposta a verifica dell’età: per evitare la visione di contenuti pornografici senza ulteriore verifica (nel caso di un dispositivo condiviso tra un adulto e un minore), è necessario che la verifica dell’età venga ripetuta ogniqualvolta l’utente esca dal servizio o comunque “dopo un periodo di 45 minuti di

effettiva inattività“.

Affinché siano efficaci e non ostacolino l’accesso ai contenuti web, i sistemi di garanzia dell’età devono essere “facili da usare e basati sulle capacità e caratteristiche dei minori”. Per lo stesso motivo, è bene offrire all’utente la possibilità di scegliere tra diversi sistemi. 

L’AGCOM fornisce anche un esempio del processo di verifica, così riassunto:

• Nel momento in cui l’utente richiede l’accesso a determinati contenuti, il sito o piattaforma gli richiede di verificare la propria età, inviando un file o una stringa per la richiesta che non contiene alcun riferimento al sito web;
• L’utente richiede al soggetto terzo, che conosce la sua identità ma non il sito o servizio web consultato, di fornire la prova dell’età, una sorta di certificazione anonima che contiene esclusivamente la prova dell’età e che viene consegnata allo stesso utente tramite app per l’identificazione o altri sistemi software;
• L’utente invia la prova dell’età al sito a cui vuole accedere, che è tenuto a verificare la validità del contenuto dell’oggetto inviato e a effettuare i relativi controlli;
• La piattaforma concede l’accesso ai contenuti.

Come specificato nella Delibera AGCOM, le piattaforme online di dimensioni molto grandi ai sensi del Digital Services Act (con almeno 45 milioni di utenti attivi mensili nell'Unione Europea) che impongano l’autenticazione degli utenti per accedere ai servizi online, sono tenute ad accettare anche l’uso dell’EU digital wallet, su richiesta dell’utente.

Verifica dell’età: la situazione in Europa

L’Italia non è l’unico Paese europeo ad aver introdotto dei sistemi di verifica dell’età per impedire che i minori accedano a contenuti destinati agli adulti.

In Germania, per esempio, l’Interstate Treaty on the Protection of Human Dignity and the Protection of Minors in Broadcasting and in Telemedia, che si applica anche a siti web e piattaforme, è in vigore già dal 2016. Qui, a differenza di quanto avviene in Italia, gli utenti possono verificare la propria identità una tantum e utilizzare una sola passkey per accedere più volte allo stesso sito. L’ultima novità, in Germania, riguarda le sanzioni per le piattaforme che violano le regole: a partire dal 1 dicembre 2025, infatti, le autorità di regolamentazione possono intervenire direttamente sui pagamenti diretti ai servizi web, bloccandoli in caso di inottemperanza.

In Spagna, invece, la legge che protegge i minori da contenuti online pornografici o violenti risale al 2022. La legge è stata quindi potenziata nel 2024/2025 con il lancio della "Cartera Digital Beta", un'app che permette di generare credenziali anonime di maggiore età basate sull'identità digitale nazionale.

La Francia ha approvato nel 2024 la legge che conferisce all’autorità nazionale delle comunicazioni la possibilità di imporre pesanti sanzioni (fino al 4% del fatturato globale) e bloccare l’accesso ai siti web per due anni. 

Nel Regno Unito, l’Online Safety Act del 2025 impone controlli rigorosi anche ai social che diffondono materiali pornografici, ma include metodi definiti “deboli” dall’AGCOM italiana, come per esempio il controllo delle carte di credito.