Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

le linee guida

Social e minori, l’Ue stringe la morsa sulle Big Tech: cosa cambia

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

Le piattaforme digitali devono garantire riservatezza e protezione dei minori, anche con sistemi non invasivi di verifica dell’età

Pubblicato il 22 lug 2025
Patrizia Pedretti

Senior Associate studio legale Norton Rose Fulbright

Veronica Pinotti

Partner studio legale Norton Rose Fulbright

Martino Sforza

Partner studio legale Norton Rose Fulbright

social e minori; rischi chatbot; omicidio colposo chatbot adolescenti e chatbot

La crescente esposizione dei minori a contenuti digitali potenzialmente lesivi ha sollecitato, a livello europeo e nazionale, l’adozione di strumenti giuridici e tecnologici volti a garantire un accesso selettivo e conforme all’età degli utenti.

Il contesto normativo europeo sulla verifica dell’età online

In tale contesto si inserisce l’iniziativa della Commissione Europea, che ha recentemente reso disponibile un prototipo di applicazione per la verifica dell’età, fondata su tecnologie privacy-preserving e destinata a integrarsi con i futuri portafogli di identità digitale europei (EU Digital Identity Wallets)[1].

Verifica dell’età online: le attuali tutele e il ruolo del DSA

Unitamente a tale iniziativa, il 14 luglio 2025, la Commissione Europea ha pubblicato le Linee guida sulle misure volte a garantire un elevato livello di riservatezza, sicurezza e protezione dei minori online (“Linee Guida”)[2] ai sensi del Regolamento (UE) 2022/2065 del Parlamento Europeo e del Consiglio del 19 ottobre 2022 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (“Digital Services Act DSA”), con l’obiettivo di garantire un’esperienza online sicura per bambini e adolescenti.

Le previsioni del Digital Services Act

Il DSA impone obblighi specifici ai fornitori di servizi digitali in materia di protezione dei minori. In particolare, l’articolo 28 del DSA introduce un obbligo generale per i fornitori di piattaforme online accessibili ai minori di adottare misure adeguate e proporzionate volte a garantire un elevato livello di tutela della vita privata, della sicurezza e della protezione dei minori.

Tale previsione si inserisce in un contesto normativo che riconosce la vulnerabilità dei minori nell’ambiente digitale e impone agli operatori economici un dovere di diligenza rafforzato. In tale contesto, il paragrafo 2 del medesimo articolo vieta espressamente l’utilizzo di pubblicità basata sulla profilazione, come definita all’articolo 4, punto 4), del Regolamento (UE) 2016/679 (GDPR)[3], qualora il fornitore sia consapevole, con ragionevole certezza, che il destinatario del servizio è un minore. Si tratta di una disposizione che mira a prevenire pratiche invasive e potenzialmente manipolative, in linea con i principi di minimizzazione del trattamento e protezione dei dati fin dalla progettazione.

Al fine di rispettare le previsioni imposte dal DSA, i fornitori di piattaforme online dovranno implementare sistemi di age verification per assicurarsi, con ragionevole certezza, che il destinatario del servizio sia un minore.

Tuttavia,è rilevante osservare che il paragrafo 3 dell’articolo 28 del DSA chiarisce come il rispetto di tali obblighi non debba comportare un obbligo generalizzato di raccolta di dati personali per determinare l’età dell’utente. In tal modo, il legislatore europeo ha inteso evitare che la tutela dei minori si traduca in un aggravio ingiustificato del trattamento dei dati, preservando un equilibrio tra protezione e proporzionalità ed ha previsto, al paragrafo 4 dello stesso articolo, la possibilità per la Commissione Europea, previa consultazione del comitato europeo per i servizi digitali, di adottare orientamenti interpretativi al fine di assistere i fornitori di piattaforme online nell’attuazione concreta degli obblighi previsti dal DSA.

Le Linee Guida in esame si inseriscono tra le attività previste dalla Commissione Europea al paragrafo 4 dell’articolo 28 del DSA e descrivono le misure che i fornitori di piattaforme online accessibili ai minori dovrebbero adottare per garantire un elevato livello di privacy, sicurezza e protezione dei minori online[4].

Le previsioni delle Linee Guida della Commissione

Le Linee Guida stabiliscono un elenco non esaustivo di misure ritenute proporzionate e adeguate per proteggere i minori dai rischi online quali l’adescamento, i contenuti nocivi, i comportamenti problematici e che creano dipendenza, nonché il cyberbullismo e le pratiche commerciali ingannevoli.

In particolare, le linee guida raccomandano l’adozione di metodi di verifica dell’età che siano accurati, affidabili, robusti, non intrusivi e non discriminatori, sempre in linea con i principi generali quali proporzionalità e adeguatezza, protezione dei diritti dei minori, privacy, sicurezza e protezione integrate sin dalla progettazione e design adeguato all’età. Tali metodi dovrebbero essere impiegati, non solo per limitare l’accesso a contenuti per adulti, ma anche, al contrario, volti a impedire agli adulti di accedere a determinate piattaforme destinate ai minori, salvo che ciò avvenga per legittimi motivi di tutela, educativi o di supervisione.

Una delle misure principali individuate dalla Commissione Europea nelle Linee Guida è quella relativa alla configurazione per impostazione predefinita degli account dei minori con il massimo livello di riservatezza, proprio perché generalmente gli utenti non modificano le impostazioni predefinite.

Le piattaforme digitali dovrebbero pertanto:

  • limitare le interazioni, la visibilità e l’accesso a funzionalità sensibili (quali geolocalizzazione, notifiche push e autoplay),
  • disattivare elementi che possano incentivare l’uso compulsivo (come “like” e “streaks”),
  • vietare il download o lo screenshot dei contenuti pubblicati da minori,
  • e garantire che questi ultimi non siano in alcun modo incoraggiati a ridurre il livello di protezione delle proprie impostazioni.

Secondo le Linee Guida è altresì necessario prevedere controlli incrementali in base all’età e alle capacità evolutive del minore, nonché meccanismi di ripristino delle impostazioni predefinite e avvisi chiari in caso di modifiche. In parallelo, per ridurre il rischio che i minori vengano esposti a contenuti dannosi o restino intrappolati in percorsi algoritmici ripetitivi (il cosiddetto “rabbit hole”), le piattaforme dovrebbero testare e adattare regolarmente i propri sistemi di raccomandazione, assicurando che il design dell’interfaccia sia adeguato all’età dell’utente.

Inoltre, in considerazione del fatto che i minori sono particolarmente vulnerabili alle pratiche commerciali online, i fornitori di piattaforme digitali devono implementare misure tecniche che garantiscono adeguata protezione ai minori da strategie commerciali ingannevoli, come le loot boxes o gli advergames.

Infine, i fornitori di piattaforme devono garantire un appropriato sistema di segnalazione e assistenza agli utenti, come pulsanti “blocca” o “aiuto”, e collegamenti diretti a linee di assistenza nazionali. Tali misure, insieme alle altre raccomandazioni contenute nel documento, si inseriscono in un quadro normativo più ampio.

Le Linee Guida, infatti, rappresentano un punto di riferimento significativo su cui la Commissione Europea si baserà per determinare la conformità dei fornitori di piattaforme online accessibili ai minori ed assumono un ruolo fondamentale nell’armonizzazione delle prassi applicative e nella promozione di standard tecnici condivisi a livello unionale. Le Linee Guida costituiscono un utile punto di riferimento anche per le imprese nella mitigazione dei rischi di violazione della normativa rilevante. Tuttavia, trattandosi di un settore in costante evoluzione, sarà fondamentale valutarne l’effettiva applicazione e monitorare attentamente le ulteriori iniziative di enforcement che potranno essere intraprese dalle autorità competenti.

La verifica dell’età online nel contesto italiano

In ambito nazionale, il punto di riferimento primario è il Codice in materia di protezione dei dati personali (D.lgs. 30 giugno 2003, n. 196). In particolare, ai sensi dell’art. 2-quinquies, il minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all’offerta diretta di servizi della società dell’informazione, mentre il consenso per i minori sotto i quattordici anni deve essere prestato da chi esercita la responsabilità genitoriale.

Il Garante per la protezione dei dati personali ha recentemente affrontato il tema della age verification in un caso emblematico, rilevando la mancata predisposizione di misure volte a garantire una protezione specifica per i dati personali trattati nell’ambito del servizio, riferiti ai minori di diciotto anni e la conseguente esposizione dei minori a contenuti potenzialmente inappropriati[5]. L’Autorità ha dichiarato che il sistema di verifica dell’età impiegato non era conforme al principio di minimizzazione dei dati ed ai principi di privacy by design e by default.

La verifica dell’età online rappresenta un ambito di frontiera del diritto digitale, in cui si intrecciano esigenze di tutela e innovazione tecnologica. L’approccio europeo, fondato su tecnologie privacy-preserving, come il prototipo dell’app per la verifica dell’età, e su un impianto regolatorio multilivello, in cui si inseriscono le Linee Guida analizzate, costituisce un modello avanzato di governance digitale. Anche l’Italia, si sta dotando di un quadro normativo e tecnico idoneo a recepire tali innovazioni, come ad esempio le recenti misure approvate dall’Autorità per le garanzie nelle comunicazioni che le piattaforme di video sharing e i siti web, che rendono disponibili in Italia contenuti, devono utilizzare per la verifica della maggiore età degli utenti, in attuazione della legge 13 novembre 2023, n.159[6]. Resta tuttavia essenziale un monitoraggio costante dell’efficacia delle misure adottate e un dialogo aperto, al fine di garantire un equilibrio sostenibile tra sicurezza e diritti fondamentali.

Note

[1] Sezione 1, Capo II del regolamento (UE) n. 910/2014, come modificato dal regolamento (UE) 2024/1183.

[2] https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-protection-minors.

[3] La profilazione è definita all’articolo 4, punto 4), del GDPR come “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”.

[4] Le raccomandazioni contenute nel documento non si applicano ai fornitori di piattaforme online che si classificano come microimprese o piccole imprese, salvo nel caso in cui la loro piattaforma online sia stata designata dalla Commissione Europea come piattaforma online di dimensioni molto grandi a norma dell’articolo 33, paragrafo 4, del DSA (Articolo 19 del DSA).

[5] Provvedimento del 10 aprile 2025 [10130115].

[6] Delibera 96/25/CONS.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

P
Patrizia Pedretti
Senior Associate studio legale Norton Rose Fulbright
P
Veronica Pinotti
Partner studio legale Norton Rose Fulbright
Seguimi su
S
Martino Sforza
Partner studio legale Norton Rose Fulbright

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • dati daTA digitale

  • l'analisi

    Web scraping: cos’è, perché si usa e come difendersi da "intrusioni" indesiderate

    14 Apr 2025

    di Andrea Fumagalli

    Condividi
  • Dark pattern e trasparenza della pubblicità online

  • La guida

    Digital Services Act: cos’è e cosa prevede la legge europea sui servizi digitali

    16 Apr 2025

    di Barbara Calderini

    Condividi
  • videosorveglianza

  • PRIVACY

    Sistemi di videosorveglianza al lavoro: guida pratica alla compliance

    10 Lug 2025

    di Lorenzo Giannini

    Condividi