Via libera dell’Agcom alle regole per la age verification. Dopo la consultazione pubblica che ha coinvolto 13 soggetti – autorità e istituzioni, associazioni di categoria, consumatori, piattaforme di condivisione video, fornitori di identità digitale (Identity Provider SPID/CIE) – l’Autorità ha pubblicato le modalità tecniche cui si devono attenere le piattaforme di video sharing e i siti web per verificare la maggior età degli utenti.
Questo si applica in particolare a contenuti destinati a un pubblico adulto, come siti pornografici, piattaforme di scommesse online e social network. L’obiettivo è garantire che soltanto gli utenti maggiorenni possano accedere a tali contenuti, proteggendo così i minori da materiali potenzialmente dannosi.
Attenzione
- I fornitori che non si adeguano rischiano sanzioni da 10.000 a 250.000 euro.
- La verifica deve essere efficace, proporzionata e rispettosa della privacy.
Quali sono i siti per cui scatterà la verifica dell’età
Anche se il Decreto Caivano si riferisce esclusivamente ai siti per adulti, il regolamento AGCOM allarga le sue indicazioni anche ad altre tipologie di contenuti, che potrebbero comunque nuocere allo sviluppo fisico, mentale o morale dei minori.
- Contenuti per adulti – Siti web con contenuti riservati a un pubblico maggiorenne o che supportano l’acquisto online di beni e servizi per maggiorenni.
- Gioco d’azzardo/scommesse – Siti che forniscono informazioni o promuovono o supportano il gioco d’azzardo online e/o scommesse.
- Armi – Siti che forniscono informazioni, promuovono o supportano la vendita di armi e articoli correlati.
- Violenza – Siti che presentano o promuovono violenza o lesioni personali, comprese le lesioni autoinflitte, il suicidio, o che mostrano scene di violenza gratuita, insistita o efferata.
- Odio e discriminazione – Siti che promuovono o supportano l’odio o l’intolleranza verso qualsiasi individuo o gruppo.
- Promozione di pratiche che possono danneggiare la salute – Come i siti che promuovono o supportano anoressia, bulimia, uso di droghe, alcol o tabacco.
- Anonymizer – Siti che forniscono strumenti e modalità per rendere l’attività online irrintracciabile.
- Sette – Siti che promuovono od offrono metodi, istruzioni o altre risorse per influire su eventi reali con incantesimi, maledizioni, poteri magici o esseri soprannaturali.
Come funziona il sistema di verifica dell’età
Il processo di verifica dell’età si basa su un meccanismo di “doppio anonimato” e si articola in tre fasi principali:
- Identificazione: Un soggetto terzo certificato, indipendente dal fornitore di contenuti, verifica l’identità dell’utente e rilascia una “prova dell’età”.
- Comunicazione: La prova dell’età viene fornita esclusivamente all’utente, che può scaricarla e conservarla sul proprio dispositivo.
- Autenticazione: L’utente presenta la prova dell’età al sito o alla piattaforma desiderata, che la verifica per concedere o negare l’accesso ai contenuti richiesti.
In alternativa, l’utente può utilizzare un’applicazione fornita dal soggetto terzo per gestire direttamente la verifica dell’età durante l’accesso ai siti o alle piattaforme.
Requisiti e principi del sistema
Il regolamento AGCOM impone che i sistemi di verifica dell’età rispettino i seguenti principi:
- Proporzionalità: Le misure adottate devono essere adeguate al rischio e non eccessivamente invasive.
- Protezione dei dati personali: I sistemi devono conformarsi al GDPR, evitando la raccolta e la gestione non necessaria di dati personali.
- Sicurezza: Devono essere implementate misure per prevenire accessi non autorizzati e proteggere le informazioni degli utenti.
- Precisione ed efficacia: I sistemi devono essere in grado di determinare con accuratezza l’età degli utenti, minimizzando gli errori.
Tempistiche e sanzioni
- Dopo l’approvazione definitiva da parte della Commissione Europea, i siti web e le piattaforme avranno 60 giorni per adeguarsi al nuovo regolamento. In caso di inadempienza, AGCOM potrà emettere una diffida, concedendo ulteriori 20 giorni per conformarsi. Se la piattaforma non si adegua, AGCOM ha la facoltà di bloccare l’accesso al sito o alla piattaforma fino al rispetto delle nuove disposizioni.
Contesto normativo
- Queste nuove regole si inseriscono nel quadro del Decreto Caivano (Legge n. 159/2023), che mira a contrastare il disagio giovanile e a proteggere i minori in ambito digitale. A livello europeo, il Digital Services Act (DSA) richiede che le piattaforme online adottino misure adeguate per la tutela dei minori, inclusi strumenti di verifica dell’età e controlli parentali.
Quali sono i soggetti terzi certificati per la verifica anonima dell’età?
L’AGCOM non ha ancora pubblicato un elenco ufficiale dei soggetti terzi certificati per la verifica dell’età online. Tuttavia, il regolamento prevede che tali soggetti siano indipendenti dai fornitori di contenuti e certificati da un’apposita autorità. Possono includere fornitori di servizi di identità digitale, come SPID e CIE, o altre organizzazioni che hanno già identificato l’utente in altri contesti, come banche o enti pubblici.
Questi soggetti devono garantire la privacy degli utenti attraverso un sistema di “doppio anonimato”, in cui la prova dell’età non contiene dati identificativi e non rivela per quale servizio viene utilizzata. L’utente può ottenere la prova dell’età tramite il sito web del soggetto certificatore o attraverso un’applicazione dedicata, come un portafoglio di identità digitale.
In sintesi, mentre l’elenco specifico dei soggetti certificati non è ancora disponibile, è previsto che includa enti già coinvolti nell’identificazione digitale degli utenti, garantendo al contempo la protezione dei dati personali e la conformità alle normative vigenti.
I soggetti terzi per la verifica anonima dell’età previsti dal regolamento AGCOM possono essere gli Identity Provider (IdP), cioè quei soggetti accreditati che offrono servizi di identificazione digitale, come SPID o Carta d’Identità Elettronica (CIE).
Chi sono gli Identity Provider certificati in Italia
Ecco l’elenco aggiornato dei principali Identity Provider SPID accreditati da AgID (Agenzia per l’Italia Digitale):
| Identity Provider | Note |
| Aruba | Gratuito per privati |
| Infocert | Offre anche servizi a pagamento con livelli di sicurezza avanzata |
| Intesa (Gruppo IBM) | SPID gratuito solo per uso personale |
| Lepida | Attivo soprattutto in Emilia-Romagna |
| Namirial | Presente anche nel settore PEC |
| Poste Italiane | Il più diffuso, consente attivazione online o in ufficio postale |
| Sielte | Attivabile anche con riconoscimento via webcam |
| Tim ID | Gratuito per utenti con utenza TIM |
| SpidItalia (Register.it) | Attivo da 2023 |
Per la Carta d’Identità Elettronica (CIE), il sistema di identificazione è gestito direttamente dal Ministero dell’Interno, e l’accesso ai servizi online è garantito attraverso l’autenticazione via app CIE ID e lettori NFC.
Come funzionerà la verifica anonima dell’età?
Nel modello definito da AGCOM:
- L’utente si autentica presso un Identity Provider (es. SPID o CIE).
- L’Identity Provider genera una prova di età (es. “maggiore di 18 anni”) senza rivelare l’identità o la data esatta di nascita.
- Il sito che richiede la verifica riceve soltanto la conferma anonima dell’età tramite un token certificato.
Questo sistema è pensato per proteggere la privacy degli utenti, soprattutto dei minori, e garantire l’accesso sicuro ai contenuti online.
Quindi, gli identity provider tramite Spid e Cie sono garanti della maggior età degli utenti online?
Ebbene sì, gli Identity Provider (IdP) che gestiscono SPID e CIE possono agire come garanti della maggiore età degli utenti online nel nuovo sistema di age verification approvato da AGCOM, ma con una precisazione importante:
Non certificano l’identità, ma l’età (in forma anonima)
Nel modello previsto da AGCOM:
- Gli Identity Provider non comunicano i dati anagrafici completi (nome, cognome, data di nascita…) al sito che richiede la verifica.
- Forniscono solo una conferma binaria, ad esempio:
Utente maggiorenne (sì/no)
Utente minorenne (sì/no) - Questo avviene tramite token digitali anonimi, generati a seguito dell’autenticazione con SPID o CIE.
Come funziona la garanzia?
- L’IdP ha già verificato l’identità dell’utente in fase di rilascio del SPID o della CIE.
- Quando l’utente accede a un servizio online che richiede il controllo dell’età, l’IdP può certificare se è maggiorenne in modo affidabile e conforme alla privacy.
- Il sito riceve una prova dell’età, ma non conosce l’identità reale dell’utente.
