California sfida l’Europa: chi controllerà davvero l’età dei minori online?

La battaglia sulla verifica dell’età online sta diventando uno dei temi più caldi a livello globale. Mentre in California colossi come Google, Meta e OpenAI sostengono una legge che impone ai dispositivi e agli app store di classificare gli utenti in fasce d’età, in Italia incombe la scadenza del 12 novembre 2025, quando entrerà in vigore il regolamento AGCOM che obbliga i gestori di piattaforme e siti con contenuti vietati ai minori ad adottare sistemi di identificazione certificata e autenticazione anonima.

Parallelamente, la Commissione Europea ha avviato la sperimentazione di una propria app open source per la verifica dell’età, pensata per integrarsi nei futuri portafogli digitali nazionali e offrire una prova della maggiore età senza esporre dati personali.

Il risultato è un mosaico normativo in rapida evoluzione, che vede i vari attori muoversi su percorsi diversi, convergenti per finalità ma con modalità di implementazione molto differenti.

Verifica dell’età in Italia: le nuove regole AGCOM e il modello europeo in arrivo

In Italia, i gestori di piattaforme e siti Web che offrono contenuti vietati ai minori devono effettuare una verifica dell’età affidabile, trasparente e conforme alla privacy entro il 12 novembre 2025, secondo il regolamento AGCOM che attua la legge 159/2023 (Decreto Caivano).

Il processo prevede due fasi: identificazione tramite un fornitore terzo certificato (con SPID, CIE, passaporto elettronico) e successiva autenticazione che fornisce una prova anonima dell’età senza rivelare dati personali, garantendo così un doppio anonimato per la privacy degli utenti.

A livello europeo, sulla scorta di quanto già previsto a livello di Digital Services Act (DSA), la Commissione ha sviluppato linee guida e la già citata app temporanea, pubblicata su GitHub, in attesa del Portafoglio Digitale Europeo previsto per il 2026. Questa app sarà integrata nei portafogli digitali nazionali (IT-Wallet) e inizierà la sperimentazione in paesi tra cui Italia, Francia e Spagna, permettendo agli utenti di dimostrare la maggiore età con un certificato digitale senza rivelare dati identificativi.

Big Tech sostiene la proposta di legge californiana: a loro il controllo della verifica dell’età online

E cosa fanno dall’altra sponda dell’Oceano, e più precisamente sulla costa occidentale USA? Il provvedimento presentato in California, patria delle Big Tech e noto come AB 1043, introduce un sistema di verifica dell’età a livello di dispositivo e di app store.

Diversamente rispetto all’Europa, che chiama in causa un fornitore terzo certificato, la California – che visto il peso esercitato dalle tante società con sede nella Silicon Valley potrebbe ispirare anche le altre realtà federali – lega il controllo dell’età dell’utente ai fornitori dei sistemi operativi.

Google, Meta, Snap, OpenAI e Pinterest hanno dato il loro appoggio alla proposta: secondo i colossi tecnologici, il modello californiano rappresenta una soluzione più equilibrata perché non impone l’uso obbligatorio di documenti d’identità o riconoscimento facciale, sollevando meno timori sul fronte della privacy; consente ai minori di scaricare app anche senza autorizzazione preventiva dei genitori, a differenza di quanto previsto in altre legislazioni statali; si basa su un sistema di autodichiarazione dell’età al momento della configurazione del dispositivo, che suddivide gli utenti in quattro fasce di età e trasmette tale informazione alle piattaforme digitali, tra cui Facebook e Instagram.

Le resistenze di Hollywood

Non tutti, però, sono allineati. La Motion Picture Association (MPA), che rappresenta i principali studi cinematografici tra cui Netflix e Amazon, si è schierata contro il disegno di legge. Secondo l’associazione, il sistema di verifica basato sul dispositivo rischia di entrare in conflitto con gli strumenti di parental control già esistenti sulle piattaforme di streaming.

Un esempio citato è la gestione di profili separati: se un genitore e un figlio condividono un account Netflix su più dispositivi, le nuove regole potrebbero creare incoerenze e confusione nella fruizione dei contenuti.

Nella proposta californiana, inoltre, si parla genericamente di “provider di sistemi operativi“, senza fare alcun nome. Viene da chiedersi, quindi, chi sia il “provider” nel caso di un un ecosistema aperto come Linux.

La questione Linux

Linux non ha un unico fornitore centralizzato: esistono centinaia di distribuzioni mantenute da fondazioni (es. Debian), aziende (es. Canonical per Ubuntu, Red Hat per RHEL) o community. Non è chiaro quindi a chi spetterebbe l’obbligo di integrare il sistema di verifica dell’età: al maintainer della distro? Al creatore del kernel? Ai gestori dei repository? Inoltre, non ci sarebbero le risorse tecniche ed economiche per gestire meccanismi di verifica in linea con le disposizioni normative.

Se i grandi vendor (Apple, Google, Microsoft) implementano un sistema conforme e Linux no, i dispositivi Linux-based potrebbero essere esclusi da certi mercati o stigmatizzati come “non sicuri per i minori”. Vi è quindi il timore che la legge, pur senza volerlo, finisca per penalizzare gli ecosistemi alternativi e rafforzare ancora di più il controllo delle Big Tech.

Infine, se la legge californiana parla di “provider di sistemi operativi” senza chiarire chi sia il soggetto responsabile, nel caso di Linux per estensione logica il “provider” potrebbe diventare chi installa o distribuisce il sistema operativo.

Se chi installa Linux (un sysadmin, un rivenditore di PC, un semplice utente privato) fosse considerato il “provider”, verrebbe scaricata su di lui la responsabilità di implementare un sistema di verifica dell’età conforme alla legge. Sarebbe una situazione assurda: un privato cittadino o un piccolo system integrator non può garantire lo stesso livello di compliance legale di Apple o Google.

Sullo sfondo le VPN che permettono di superare le limitazioni geografiche: ProtonVPN ha fatto registrare un +1000% di utenti nel giro di pochi minuti dall’applicazione delle restrizioni sulla verifica dell’età in Francia. E NextDNS ha dichiarato disobbedienza schierandosi platealmente contro i sistemi di verifica dell’età che non tutelano la privacy degli utenti.