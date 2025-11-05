Dal 12 novembre 2025 entra in vigore in Italia il nuovo regolamento AGCOM (Delibera n. 96/25/CONS) volto a disciplinare le modalità tecniche e di processo per la verifica della maggiore età degli utenti che accedono a siti e piattaforme di condivisione video contenenti immagini per adulti. Il provvedimento rappresenta un punto nodale nella tutela dei minori contro contenuti inappropriati, nel rispetto della privacy e delle normative europee, in particolare il Digital Services Act (DSA) e il GDPR.

In un altro articolo abbiamo chiarito i punti principali del provvedimento, focalizzandoci anche sui dubbi legati a una delibera per il blocco dei siti porno ai minorenni che potrebbe non ottenere l’effetto sperato. L’utilizzo dei servizi VPN è noto a tutti e in particolare all’ampia fetta di popolazione che è “nativa digitale”; inoltre, comporre liste dei destinatari del provvedimento rischia di tenere fuori centinaia di domini che offrono contenuti simili, ma che sono spesso meno regolamentati e privi delle tutele previste dalle piattaforme principali.

Contesto normativo e principi chiave per la verifica dell’età online

Fatto sta che, sulla scorta delle direttive europee per la protezione dei minori online, AGCOM ha adottato un approccio tecnologicamente neutrale che prevede l’adozione di sistemi di “age assurance” caratterizzati da:

Doppio anonimato : il fornitore del sistema di verifica non conosce il sito o servizio per cui viene rilasciata la prova dell’età; a sua volta, il sito per adulti che l’utente intende visitare non riceve dati identificativi personali.

: il fornitore del sistema di verifica non conosce il sito o servizio per cui viene rilasciata la prova dell’età; a sua volta, il sito per adulti che l’utente intende visitare non riceve dati identificativi personali. Indipendenza del fornitore di verifica : i sistemi devono essere gestiti da soggetti terzi certificati, giuridicamente e tecnicamente separati dai gestori delle piattaforme.

: i sistemi devono essere gestiti da soggetti terzi certificati, giuridicamente e tecnicamente separati dai gestori delle piattaforme. Minimizzazione dati e protezione privacy : raccolta dati limitata all’essenziale, nessuna profilazione o memorizzazione di dati personali.

: raccolta dati limitata all’essenziale, nessuna profilazione o memorizzazione di dati personali. Sicurezza e anti-elusione : uso di sistemi crittografici e tecniche per prevenire frodi, tentativi di elusione e spoofing biometrico.

: uso di sistemi crittografici e tecniche per prevenire frodi, tentativi di elusione e spoofing biometrico. Accessibilità e non discriminazione: garantire facilità d’uso per tutti, inclusi utenti con disabilità e diverse caratteristiche socio-demografiche.

Modalità tecniche per la age verification

La Delibera 96/25/CONS AGCOM (è interessante leggere tutti i documenti e gli allegati) specifica nel dettaglio i sistemi e le modalità da adottare per la verifica dell’età sui siti per adulti.

AGCOM lascia ai gestori dei siti la libertà di scegliere le soluzioni di verifica dell’età più adatte alle loro esigenze, a patto che rispettino i requisiti essenziali stabiliti dalla normativa. Il regolamento è tecnicamente neutrale e non vincola a un solo metodo, ma richiede che le soluzioni adottate offrano le salvaguardie descritte brevemente al paragrafo precedente.

I gestori possono dunque adottare sistemi diversi, come app di portafogli digitali eIDAS/EUDI wallet, soggetti terzi certificati che rilasciano prove della maggiore età, sistemi basati su token, QR code o verifiche bancarie.

Quali soluzioni di verifica dell’età hanno scelto i siti per adulti?

Le dichiarazioni ufficiali dei principali siti per adulti inclusi nella lista AGCOM (48 siti tra cui Pornhub, YouPorn, Xvideos, OnlyFans) indicano che adotteranno sistemi di verifica dell’età conformi a quanto previsto dalla Delibera AGCOM n. 96/25/CONS.

I siti confermano l’utilizzo di:

Identity provider indipendenti, capaci di certificare la maggiore età senza divulgare dati personali e mantenendo l’anonimato dell’utente.

indipendenti, capaci di certificare la maggiore età senza divulgare dati personali e mantenendo l’anonimato dell’utente. Sistemi basati su app o portafogli digitali locali che permettono la verifica direttamente sul dispositivo dell’utente, senza passaggio o memorizzazione di dati sensibili su server esterni.

o locali che permettono la verifica direttamente sul dispositivo dell’utente, senza passaggio o memorizzazione di dati sensibili su server esterni. L’impiego di procedure che si basano sul modello del doppio anonimato (come spiegato in precedenza, il provider che verifica l’età non sa per quale sito l’utente sta chiedendo l’accesso e il sito non conosce l’identità dell’utente).

Le società dichiarano inoltre di aderire a un sistema monitorato da un gruppo tecnico permanente che valuterà l’efficacia, la sicurezza e la conformità rispetto a regolamenti italiani ed europei.

Un esempio pratico già annunciato prevede che l’utente, alla richiesta di accesso sul sito per adulti, riceva un codice QR da scansionare con un’app dedicata sullo smartphone per inviare la prova crittografata di maggiore età, evitando raccolte invasive o profilazione.

Le aziende sottolineano inoltre che non useranno sistemi come SPID o l’autenticazione con CIE, ritenuti non conformi agli standard AGCOM per assicurare privacy e anonimato (ne parliamo nello specifico più avanti).

Il punto di riferimento: l’app di age verification della Commissione Europea

È curioso che a distanza di pochi giorni dall’entrata in vigore della Delibera AGCOM a protezione dei minori, non siano ancora stati fatti i nomi delle app e degli strumenti utilizzati per la verifica certa dell’età.

Grattando un po’ sopra la superficie, tuttavia, è facile scoprire che la Commissione Europea ha già sviluppato un’app per le attività di age verification online (18+) conforme con il Regolamento eIDAS 2.0 e integrata con l’EU Digital Identity Wallet (EUDI Wallet). Il sistema permette ai cittadini europei di dimostrare di avere un’età superiore a una certa soglia — ad esempio 18 anni — senza rivelare la propria data di nascita o identità.

La piattaforma è pubblicata su GitHub come av-srv-web-issuing-avw-py, progetto ufficiale della Commissione Europea sotto licenza Apache 2.0.

Il servizio è definito come un’implementazione di un (Q)EAA Provider, ovvero un Qualified Electronic Attestation of Attributes Provider, e costituisce un’implementazione di riferimento della specifica di age verification. In pratica, fa perno sul server che emette le attestazioni digitali di età (“Proof of Age”) per gli utenti europei autenticati tramite un’identità digitale nazionale riconosciuta.

Architettura generale

Il sistema ruota attorno a tre componenti principali:

eID nazionale / IdP nazionale — fornisce l’autenticazione dell’utente (es. SPID, CIE,…).

— fornisce l’autenticazione dell’utente (es. SPID, CIE,…). Age Verification Issuer (issuer.ageverification.dev) — elabora la richiesta e genera l’attestazione.

(issuer.ageverification.dev) — elabora la richiesta e genera l’attestazione. Servizio richiedente (ad esempio l’app della Commissione Europea) — riceve l’esito “over 18” o equivalente.

L’interazione è conforme al protocollo OpenID for Verifiable Credential Issuance (OID4VCI), la stessa tecnologia alla base dell’EUDI Wallet.

Provate a scaricare l’app di verifica dell’età per Android da GitHub: al momento non è ancora pubblicata sugli store e può essere installata manualmente ad esempio a partire dal file APK. Anche qui, è quanto meno curioso che a distanza di pochi giorni dall’entrata in vigore delle nuove regole l’app non sia pubblicamente disponibile e facilmente scaricabile.

Dopo pochi passaggi ci si trova dinanzi alla schermata riprodotta in figura: l’utente ha la possibilità di identificarsi con un Identity provider (IdP) nazionale, con un identificativo elettronico (eID) oppure mediante scansione di passaporto o carta d’identità. Nel nostro caso, essendo già identificati con SPID attraverso lo stesso dispositivo mobile (abbiamo installato l’app IO), un tocco sulla voce eID nazionale / IdP nazionale ci ha permesso di ricevere subito l’attestazione di maggiore età “spendibile” online.

La procedura tecnica passo dopo passo

Toccando il pulsante Submit, l’app della Commissione Europea dialoga con il dominio issuer.ageverification.dev . Nello specifico, c’è un file che contiene – in formato JSON – tutte le configurazioni supportate: aprendolo tramite browser si leggono chiaramente tutte le soglie di età prese in esame.

Nel caso di un eID nazionale (es. SPID o CIE), l’app o il browser rilevano se l’utente ha già una sessione attiva con l’IdP nazionale (ad esempio tramite l’app IO). In questi casi, il sistema non richiede neppure un nuovo login: la sessione è riutilizzata in modalità Single Sign-On.

Insomma, se da un lato SPID non è utilizzabile per attestare direttamente la propria identità sul sito per adulti, diventa utile per identificarsi con il server che rilascia la “Proof of Age“. L’IdP , infatti, autentica l’utente e restituisce al nodo eIDAS un token firmato contenente gli attributi necessari per la verifica.

Emissione della credenziale “Proof of Age”

L’Age Verification Issuer riceve dal nodo eIDAS l’attestazione d’identità e stabilisce in modo certo l’età dell’utente, ma non conserva né espone la data di nascita. Genera invece un token crittografico (JWT) o un documento ( mso_mdoc ) che include soltanto attributi booleani, ad esempio:

{

"eu.europa.ec.av.1": {

"age_over_13": true,

"age_over_16": true,

"age_over_18": true,

"age_over_21": false

}

}

Questi valori sono firmati con l’algoritmo ES256 (Elliptic Curve Digital Signature) e possono essere verificati crittograficamente dal servizio ricevente.

Il token è trasmesso tramite un flusso OAuth2 Authorization Code con PKCE (Proof Key for Code Exchange), assicurando che la sessione non possa essere intercettata. Il canale è cifrato avvalendosi delle suite AES-GCM e RSA-OAEP, come dichiarato nel file di configurazione dell’issuer. L’app riceve quindi una risposta simile alla seguente:

{

"credential": {

"format": "mso_mdoc",

"doctype": "eu.europa.ec.av.1",

"proof": "jwt"

}

}

Se il valore age_over_18 risulta impostato su true , l’app visualizza “Età verificata (18+)”.

Accesso al sito Web per adulti mediante codice QR

Abbiamo detto che sulla base delle prescrizioni AGCOM, la verifica dell’età può essere svolta da soggetti terzi certificati che rilasciano prove o “token” alla richiesta dell’utente. In alternativa, si possono usare sistemi che basati su app installate sul terminale dell’utente (ad esempio app per smartphone).

In questo secondo caso, come abbiamo visto in precedenza, l’utente ottiene e conserva una prova digitale anonima di maggiore età tramite app. Al momento dell’accesso a un sito per adulti, il sito presenta un QR code o un token scansionabile tramite app. L’app genera una prova crittografata e monouso attestante la maggiore età, senza trasmettere altri dati. L’utente trasmette la prova al sito tramite il dispositivo, che la verifica e concede o nega l’accesso.

Guardate infatti come si presenta la schermata di apertura dell’app della Commissione Europea dopo la ricezione dell’avvenuta attestazione di verifica dell’età anagrafica. Toccando su Scansiona, si può inquadrare il codice QR esposto dal sito per adulti al quale s’intende accedere.

L’app riconosce che il sito sta richiedendo una presentazione di credenziali di tipo “Proof of Age”. Il QR code contiene infatti un request_uri come questo:

openid4vp://?request_uri=h**ps://adultsite.eu/agecheck/12345

L’app genera una Verifiable Presentation (VP) firmata localmente, contenente soltanto quanto segue:

{

"age_over_18": true

}

e la invia al sito attraverso un canale HTTPS sicuro.

Il sito di destinazione verifica la firma digitale (ES256) e la validità della chiave pubblica dell’emittente. Se la firma è valida e la prova è autentica, il server autorizza l’accesso, senza mai conoscere nome, data di nascita o SPID dell’utente.

Note finali

In chiusura, vale la pena ricordare che, nonostante la complessità tecnica e l’impegno normativo, le VPN restano un mezzo semplice per aggirare le verifiche di età. Chi utilizza una rete privata virtuale può infatti “apparire” come proveniente da un Paese in cui i controlli non sono ancora obbligatori o non sono stati implementati. Questo rende il sistema di age verification efficace solo entro i confini della giurisdizione nazionale, ma facilmente eludibile a livello globale.

Un precedente significativo è quello di Piracy Shield, la piattaforma di blocco dei siti pirata adottata da AGCOM: l’Autorità ha tentato — senza successo — di coinvolgere i principali provider VPN internazionali. Il problema è che questi operatori risiedono in giurisdizioni diverse e spesso non hanno alcun obbligo di collaborazione verso le autorità italiane o europee. Si parla di possibili rischi di censura, ma è tecnicamente complesso (e da regime dittatoriale) prescrivere il blocco di interi servizi VPN.

Ma il punto cruciale non è tanto l’uso delle VPN, quanto l’impianto di controllo sottostante: l’idea che l’Unione Europea — pur con le migliori intenzioni — senta il bisogno di predisporre un’infrastruttura di verifica personale e generalizzata. Un sistema capace di attestare età, identità e attributi dell’utente in modo automatico, se non regolato con attenzione, potrebbe evolvere in uno strumento di sorveglianza o limitazione delle libertà digitali.

L’Age Verification, nel suo formato attuale, si fonda su principi di privacy by design e minimizzazione dei dati, ma apre una discussione più ampia: fino a che punto siamo disposti ad accettare un modello in cui ogni accesso online passa, direttamente o indirettamente, attraverso un’identità digitale certificata dallo Stato?