Dal 12 novembre l’Italia blocca i siti porno: come funziona la verifica dell'età e il ruolo delle VPN

Dal 12 novembre 2025, l’accesso ai siti che offrono contenuti per adulti subirà un cambiamento significativo in Italia. AGCOM (Autorità per le Garanzie nelle Comunicazioni) ha pubblicato la lista dei siti soggetti alle nuove regole di verifica dell’età: le piattaforme destinatarie del nuovo provvedimento sono 48, tra cui PornHub, YouPorn e OnlyFans. Per entrare in questi siti non sarà più sufficiente l’autocertificazione ovvero il classico clic su Ho 18 anni o più: tutti gli utenti dovranno dimostrare la loro maggiore età attraverso sistemi di verifica sicuri e indipendenti.

Da dove nascono le nuove regole sulla verifica dell’età online

Le nuove regole scaturiscono dall’articolo 13-bis del Decreto-legge 5 settembre 2023, n. 123, convertito dalla legge 13 novembre 2023, n. 159, il cosiddetto Decreto Caivano. L’obiettivo principale del legislatore è proteggere i minori dall’accesso a contenuti che possano nuocere al loro sviluppo fisico, mentale e morale.

La delibera AGCOM 96/25/CONS definisce le modalità tecniche e procedurali per attuare la verifica dell’età, in piena conformità con il decreto e con le normative europee sui servizi digitali (DSA, Digital Services Act) e sulla protezione dei dati personali (GDPR).

Il principio guida è quello del cosiddetto doppio anonimato: il sito che ospita i contenuti non conosce l’identità dell’utente, mentre il soggetto terzo che certifica la maggiore età non sa a quale sito l’utente desidera accedere.

Un obbligo nazionale che segue le linee guida europee

Il Decreto Caivano, e la successiva delibera AGCOM, rappresentano un recepimento delle direttive europee per la protezione dei minori online. Le regole italiane si allineano al Regolamento (UE) 2022/2065 e al DSA, fornendo indicazioni precise su come trattare i dati personali e su come organizzare la verifica dell’età. La normativa prevede che i sistemi adottati siano proporzionati, sicuri e rispettosi della privacy, garantendo l’anonimato e la tutela dei dati sensibili degli utenti.

Implicazioni per utenti e gestori

Per gli utenti cambia radicalmente l’esperienza di accesso ai contenuti per adulti. L’introduzione del cosiddetto sistema di age verification e l’age gate lato piattaforma che mette a disposizione i contenuti rappresentano un cambiamento epocale.

Per i gestori dei siti, l’adeguamento alle nuove regole è obbligatorio, pena diffide, sanzioni amministrative e, in caso di mancato adeguamento, il blocco del sito da parte dell’AGCOM che – come ben sappiamo – ha acquisito poteri che vanno ben oltre quelli semplicemente amministrativi.

Utenti pronti a usare le VPN

Il problema di fondo è che, ancora una volta, le nuove regole potrebbero rappresentare un buco nell’acqua.

Limitare l’accesso ai contenuti pornografici online bloccando solo 48 siti rischia di essere più simbolico che efficace. Bastano pochi clic per imbattersi in decine, se non centinaia di altri domini che offrono contenuti simili, spesso meno regolamentati e privi delle tutele previste dalle piattaforme principali. Paradossalmente, ciò può esporre i minori a rischi ancora maggiori, poiché i siti “sfuggiti” alle Autorità potrebbero diffondere materiali con controlli minimi o inesistenti.

Sistemi come VPN e Tor permettono di aggirare i blocchi, e l’esperienza insegna che chi possiede un bagaglio tecnico anche minimo difficilmente resta limitato dalle restrizioni imposte. Un esempio concreto? 30 minuti dopo l’entrata in vigore di disposizioni di blocco simili in Francia, una VPN è cresciuta del 1000%. A testimonianza di quanto le VPN siano strumenti ormai conosciute da una larga fetta di utenti. Da tempo c’è una stretta forte anche intorno alle VPN e abbiamo spiegato perché ma è quanto meno fantasioso pensare di poter limitare l’uso di questi strumenti.

Tuttavia, sostenere che VPN e Tor siano una soluzione universale alle “censure di Stato” è riduttivo: il problema non è solo tecnico. La questione centrale riguarda la difesa dei diritti digitali, la libertà di navigazione e la privacy degli utenti.

Il punto critico è culturale e normativo: quando uno Stato introduce obblighi di identificazione obbligatoria, anche se tecnicamente fragili o aggirabili, si avvia un processo di progressiva normalizzazione del controllo. Ciò che nasce come misura mirata – ad esempio, per la protezione dei minori – rischia di estendersi a settori più ampi della rete, giustificando controlli sempre più capillari e restrittivi. Strumenti progettati per preservare la privacy, come VPN, Tor o server DNS alternativi, diventano allora bersagli da neutralizzare, trasformandosi da strumenti di libertà in ostacoli alla piena efficacia delle norme. A pagarne il prezzo è la maggioranza degli utenti, che rischia di vedere progressivamente limitato l’accesso a parti crescenti della rete.

Il vero pericolo non è tanto che alcuni utenti aggirino i blocchi, ma la costruzione di un’infrastruttura che impone l’identificazione certa degli individui, con implicazioni per la libertà, la privacy e la tenuta democratica.

Chi sono i soggetti chiamati a verificare l’età degli utenti?

La delibera AGCOM n. 96/25/CONS specifica che i soggetti che verificano l’identità per la certificazione della maggiore età devono essere terzi indipendenti e certificati. Non si tratta dei gestori dei siti o piattaforme che diffondono contenuti pornografici, ma di fornitori specializzati nella fornitura di identità digitale, enti pubblici, banche, operatori telefonici o altri soggetti che hanno già identificato l’utente in altri contesti e sono sottoposti a valutazione e certificazione.

Devono rispettare i requisiti soggettivi e oggettivi stabiliti dalla normativa di settore e sono selezionati con precise procedure di qualificazione e vigilanza da parte dell’Agenzia per l’Italia Digitale (AgID). Essi forniscono una “prova dell’età” e si chiarisce che non può esservi una correlazione tra identità dell’utente e sito che questi intende visitare.

Di fatto, i soggetti che certificano l’identità e la maggiore età possono essere i gestori dell’identità digitale pubblica (come quelli collegati a SPID o CIE), purché conformi ai requisiti di riservatezza e doppio anonimato, o fornitori privati di sistemi di “age assurance” autonomamente certificati. Ne vedremo delle belle.