SPID e siti vietati ai minori: come stanno le cose?

Si legge da più parti che, sulla base del contenuto della Delibera 96/25/CONS AGCOM, SPID non sarebbe utilizzabile sui siti vietati ai minori per la verifica dell’età. In realtà, l’Autorità per le Garanzie nelle Comunicazioni (AGCOM), recependo le indicazioni europee in tema di tutele per i minori, ha stabilito delle linee guida di carattere generale, alle quali i gestori di siti che veicolano contenuti per adulti devono obbligatoriamente adeguarsi dal 12 novembre 2025. In un altro nostro articolo, abbiamo spiegato come funziona la verifica dell’età online, concentrandoci su una delle modalità possibili, ovvero l’utilizzo di un’app dedicata che effettua il controllo anagrafico direttamente sul dispositivo dell’utente, senza passaggio o memorizzazione di dati sensibili su server esterni.

Il meccanismo adottato da AGCOM, in linea con uno dei metodi possibili di verifica dell’età, prevede il coinvolgimento di una terza parte fidata. L’utente dimostra la maggiore età a questa parte fidata, che successivamente rilascia un gettone o token. Questo gettone può essere utilizzato su un sito specifico attraverso un meccanismo di doppio anonimato. La virtù di questo approccio risiede nel fatto che separa l’identità dell’utente dal servizio: chi fornisce il gettone di accesso non sa quale sito vuol visitare l’utente; chi riceve il gettone (ad esempio il sito porno) non può conoscere l’identità dell’utente.

Il dubbio, legittimo, è che se il gettone è richiesto solo per l’accesso ai siti porno, chi lo fornisce sa implicitamente a quale scopo l’utente lo stia richiedendo. Per ovvi motivi, quindi, sarebbe preferibile se questo gettone fosse distribuito universalmente, ad esempio a tutti gli utenti SPID o CIE.

La soluzione europea del mini wallet per un accesso davvero anonimo

Nell’articolo citato in apertura, incentrato sulla verifica dell’età online, abbiamo presentato la piattaforma messa in piedi dalla Commissione Europea e chiamata Age Verification Solution (AV Issuer).

È una soluzione tecnica europea di verifica dell’età in forma digitale, sviluppata come parte dell’infrastruttura EUDI Wallet (European Digital Identity). Si tratta di un servizio di riferimento (“reference implementation”) che consente di rilasciare attestazioni digitali di maggiore età — chiamate Proof of Age — in un formato standardizzato.

In pratica, questa soluzione permette a un utente di dimostrare digitalmente la propria età (ad esempio di essere maggiorenne, 18+) senza rivelare altri dati personali, utilizzando credenziali verificabili e standard di sicurezza europei.

AV Issuer funziona come un (Q)EAA Provider, cioè un fornitore qualificato di attestazioni elettroniche di attributi, e utilizza protocolli come OAuth2, JWT, PKCE e l’autenticazione tramite eIDAS node (identità digitale europea).

Con SPID non è possibile certificare la maggiore età?

Al momento, le specifiche di SPID non prevedono un attributo univoco specifico che rappresenti solo la “maggiore età” dell’utente senza trasferire la data di nascita. L’attributo standard che certifica l’età nell’ambito di SPID è infatti proprio la data di nascita: il sito che richiede dati tramite SPID può accedere alla data di nascita, dalla quale può verificare la maggiore età, ma non esiste un attributo separato che sia semplicemente un flag binario “maggiore di 18 anni”. La conferma arriva dalla consultazione della tabella degli attributi SPID.

Tuttavia, le linee guida AgID e le implementazioni di SPID propongono meccanismi e soluzioni per ridurre i dati identificativi trasferiti, come l’erogazione di attestati di verifica tramite fornitori terzi o l’uso di attestazioni “anonimizzate” che confermano solo la soglia di età superata, salvaguardando così la privacy. Questi metodi si possono integrare con SPID o con sistemi alternativi di verifica. E questo è ciò che fa, ad esempio, l’app AV Issuer della Commissione Europea.

Perché SPID non può essere direttamente usato per l’accesso ai siti per adulti?

SPID è al momento ritenuto non conforme per l’accesso ai siti vietati ai minori. Ciò perché quando un utente usa SPID per autenticarsi, l’Identity Provider (IdP) sa su quale sito (Service Provider, SP) l’utente sta tentando di accedere.

Il flusso di autenticazione SPID utilizza il protocollo SAML v2, in cui il Service Provider invia una richiesta di autenticazione all’Identity Provider. La richiesta contiene informazioni sul Service Provider che ha originato la richiesta.

In particolare, nel processo SP-Initiated (in cui l’utente parte dal sito che vuole usare), il Service Provider invia al client una richiesta di autenticazione che deve essere inoltrata all’Identity Provider. Quando l’Identity Provider riceve questa richiesta, la esamina e può sapere quale sito ha effettuato la richiesta di autenticazione, poiché la richiesta stessa contiene questa informazione.

Il flusso di informazioni, quindi, appositamente definito per garantire sicurezza e validità delle autenticazioni, vìola il principio del doppio anonimato richiesto da AGCOM per la verifica dell’età sui siti vietati ai minori.

SPID come strumento per la ricezione del gettone attestante la maggiore età

Nell’ambito di un’applicazione come AV Issuer, che resta il punto di riferimento europeo, come abbiamo visto nell’articolo sulla verifica dell’età online dal 12 novembre 2025, SPID può diventare uno strumento per ottenere un gettone attestante la maggiore età dall’Identity Provider. L’applicazione della Commissione Europea integra infatti un pulsante eID nazionale / IdP nazionale che permette proprio di ricevere la certificazione tramite soluzioni eID e Identity Provider nazionali (leggasi SPID e CIE).

Nonostante l’imminente entrata in vigore della Direttiva AGCOM, va detto che l’applicazione europea AV Issuer è ancora in sviluppo e rappresenta un modello di riferimento. Ogni Stato membro può personalizzarla e completarla secondo le proprie procedure nazionali di identificazione e verifica. Facile quindi che in Italia il sistema di verifica dell’età possa presto sbarcare nell’app IO.

Inutile dire, ancora una volta, che l’effetto collaterale derivante dall’introduzione di barriere di accesso (age gate) è che gli utenti potrebbero ricorrere a servizi VPN, abbondantemente disponibili anche in forma gratuita oppure rivolgersi a siti non ricompresi nell’elenco stilato da AGCOM. Ne parliamo abbondantemente nell’articolo citato in precedenza.