Con i primi blocchi DNS disposti da Agcom, la verifica dell’età per l’accesso ai siti porno esce dalla teoria regolatoria e entra nell’enforcement. È un passaggio simbolico e politico: l’Italia apre la partita, ma la vera resa dei conti si gioca tra confini nazionali e cornice Ue.
Al tempo stesso il 26 marzo 2026 la Commissione europea ha contestato in via preliminare a Pornhub, Stripchat, XNXX e XVideos di aver violato il Digital Services Act per non avere impedito l’accesso ai minori.
Due notizie che si incastrano perfettamente: comincia l’era dell’enforcement per la tutela dei minori dal porno. E il porno è probabilmente solo il primo e più esposto fronte di tutela dei minori online.
Indice degli argomenti
Agcom sul porno online
Il 18 marzo 2026, l’Autorità per le Garanzie nelle Comunicazioni ha adottato i primi due provvedimenti di blocco verso siti pornografici inadempienti: www.giochipremium.com e www.hentai-ita.net, entrambi riconducibili alla società italiana Onlab S.R.L.S. Gli operatori di mere conduit, ossia i fornitori di accesso e trasporto dati in rete, in pratica gli ISP e gli operatori di telecomunicazioni, hanno ricevuto l’ordine di disabilitarne l’accesso mediante blocco del DNS, fino a eventuale ripristino della conformità da parte del gestore.
La scelta dei destinatari, due siti di dimensioni contenute, gestiti da un operatore stabilito in Italia, non è casuale. AGCOM ha operato sul terreno giuridicamente più solido possibile per il primo atto di enforcement: soggetto nazionale, obblighi scattati il 12 novembre 2025, diffida notificata, venti giorni concessi, inottemperanza verificata. Il provvedimento (delibere 73/26/CONS e 74/26/CONS) è costruito in modo da reggere a un eventuale ricorso al TAR.
Non è un blitz, è una prova di sistema. Il peso simbolico, però, supera la dimensione del caso concreto. L’Italia diventa il primo paese europeo a esercitare un potere di blocco DNS per inadempienza alle norme sull’age verification dei contenuti pornografici, in attuazione di un framework normativo, il Decreto Caivano e la delibera 96/25/CONS, che ha richiesto oltre due anni di costruzione regolatoria. Il cantiere è ora aperto. La domanda rilevante non è se il blocco funzioni tecnicamente, ma se il sistema complessivo regga alla pressione del mondo reale.
L’architettura normativa: dal Decreto Caivano alla doppia anonimia
Il quadro normativo italiano si articola su tre livelli. L’art. 13-bis del decreto-legge 15 settembre 2023, n. 123 (il cosiddetto Decreto Caivano) ha introdotto l’obbligo di verifica dell’età per i fornitori di contenuti pornografici accessibili dal territorio italiano, indipendentemente dal paese di stabilimento.
La delibera 96/25/CONS, adottata nell’aprile 2025 e pubblicata il 31 ottobre 2025, ha definito le modalità tecniche e di processo. I poteri sanzionatori, contestazione della violazione, diffida a venti giorni, blocco dell’accesso in caso di inottemperanza, sanzioni fino a 250.000 euro, completano il perimetro.
Il cuore tecnico del sistema è il modello di doppia anonimia. La verifica dell’età avviene tramite terze parti certificate e indipendenti, secondo un meccanismo a due livelli logicamente separati: identificazione e autenticazione per ogni sessione di utilizzo. Il verificatore non conosce a quale servizio è destinata la prova d’età richiesta; il sito non riceve alcun dato identificativo dell’utente, ma solo la conferma binaria della maggiore età.
L’approccio è tecnologicamente neutro, ammette wallet digitali, app di identità, sistemi di certificazione, ma esclude esplicitamente metodi passivi come il semplice click di autodichiarazione. Lo sviluppo della delibera è avvenuto in raccordo con il Garante per la protezione dei dati personali, a presidio della minimizzazione dei dati.
Le scadenze sono differenziate: 12 novembre 2025 per i soggetti stabiliti in Italia e al di fuori dell’Unione europea; 1° febbraio 2026 per i soggetti non stabiliti in Italia. La lista degli obbligati, circa cinquanta siti al momento della prima pubblicazione, aggiornabile nel tempo, è stata comunicata alla Commissione europea e comprende operatori di rilievo come PornHub, xHamster e OnlyFans.
Ue, rilievi contro Pornhub e altri siti per adulti: “non proteggono i minori”
Il 26 marzo 2026 la Commissione europea ha contestato in via preliminare a Pornhub, Stripchat, XNXX e XVideos di aver violato il Digital Services Act, perché non avrebbero impedito in modo efficace ai minori di accedere ai loro contenuti. Il passaggio pesa perché porta il confronto su un terreno concreto: per Bruxelles non bastano avvisi, schermate sfocate o un clic con cui l’utente dichiara di avere più di 18 anni. Servono sistemi di verifica dell’età che funzionino davvero e che, allo stesso tempo, limitino la raccolta di dati personali.
Che cosa contesta Bruxelles
L’indagine formale era stata aperta il 27 maggio 2025. Già allora la Commissione aveva indicato il nodo centrale: il rischio per i minori derivante dall’assenza di misure efficaci di age verification e da una valutazione insufficiente degli effetti dei contenuti pornografici sui diritti dei minori e sul loro benessere psicofisico. Dieci mesi dopo, il 26 marzo 2026, Bruxelles ha annunciato di aver raggiunto una valutazione preliminare di non conformità.
Secondo la ricostruzione della Commissione, le quattro piattaforme hanno fatto affidamento soprattutto su strumenti di autodichiarazione: in pratica, per entrare bastava confermare con un clic di essere maggiorenni. Reuters riferisce che Bruxelles considera inefficaci anche misure accessorie come l’offuscamento della pagina e gli avvisi di contenuto. Per la Commissione, quel sistema non ferma l’accesso dei minori e non soddisfa gli obblighi imposti dal Dsa.
La procedura, però, non è chiusa. La Commissione ha specificato che Pornhub, Stripchat, XNXX e XVideos possono esaminare gli atti dell’inchiesta e rispondere per iscritto ai rilievi. Solo dopo questa fase potrà arrivare una decisione finale, con eventuali sanzioni. In base al Dsa, le multe possono arrivare fino al 6 per cento del fatturato annuo mondiale.
Qual è la base giuridica
La contestazione si inserisce nel quadro del Digital Services Act, il regolamento europeo che impone alle piattaforme online accessibili ai minori di adottare misure “appropriate e proporzionate” per garantire un elevato livello di privacy, sicurezza e protezione. Per le piattaforme molto grandi, il Dsa chiede anche una valutazione dei rischi sistemici, compresi quelli che riguardano i diritti dei minori e il loro benessere mentale e fisico. Questi obblighi sono il fondamento dell’azione avviata da Bruxelles contro i siti pornografici e, nello stesso giorno, contro Snapchat per la tutela dei minori.
Un elemento importante è che la Commissione non sta spingendo, almeno nelle sue comunicazioni ufficiali, verso un controllo dell’identità senza cautele. La linea europea è quella di una verifica dell’età “privacy-preserving”, cioè capace di dimostrare che l’utente è maggiorenne senza consegnare alla piattaforma più dati del necessario. La Commissione ha pubblicato un primo blueprint il 14 luglio 2025 e un secondo il 10 ottobre 2025; l’obiettivo è renderlo compatibile con i futuri portafogli europei di identità digitale previsti entro la fine del 2026.
La risposta delle aziende
Aylo, la società madre di Pornhub, ha confermato a Reuters di aver ricevuto i rilievi preliminari e ha ribadito che l’obiettivo di proteggere i minori è condiviso. La sua posizione è che i sistemi di verifica “a livello di sito” spesso non funzionano bene, possono spingere gli utenti verso circuiti meno regolati e aprono problemi seri di privacy. Associated Press riporta una linea analoga anche nelle dichiarazioni pubbliche della società.
XVideos, sempre secondo AP, ha reagito in modo più duro: sostiene che imporre controlli a poche piattaforme molto note non fermerà davvero i minori, che finirebbero su siti più piccoli e meno controllati. È una tesi che segnala un punto politico e industriale: le grandi piattaforme chiedono regole omogenee e applicate in modo ampio, mentre Bruxelles sta procedendo per gradi, partendo dai servizi più rilevanti e visibili. Questa è una valutazione che emerge dal confronto tra le posizioni pubbliche delle aziende e la strategia regolatoria della Commissione.
Perché questa vicenda riguarda più di quattro siti
Il caso non riguarda solo Pornhub, XNXX, XVideos e Stripchat. Il 27 maggio 2025 la Commissione aveva già affiancato all’indagine sui grandi operatori un’azione coordinata degli Stati membri contro piattaforme pornografiche più piccole, affidata ai Digital Services Coordinators nazionali. Nello stesso ciclo di enforcement, Bruxelles ha intensificato i controlli anche su servizi generalisti frequentati da adolescenti, come mostra l’apertura dell’indagine su Snapchat il 26 marzo 2026.
Il punto, quindi, è più ampio del settore porno. L’Unione europea sta usando il Dsa per costruire uno standard operativo: quando un servizio espone i minori a contenuti riservati agli adulti, la piattaforma deve dimostrare di avere misure effettive, verificabili e proporzionate. Non è più sufficiente scaricare la responsabilità sull’utente con una casella da spuntare.
La conseguenza politica è chiara già oggi. La protezione dei minori online sta diventando uno dei terreni principali su cui Bruxelles misurerà la credibilità del Digital Services Act. Nei prossimi passaggi non si deciderà soltanto il destino di quattro piattaforme per adulti. Si capirà anche se l’Europa riuscirà a imporre un modello di verifica dell’età che protegga i minori senza trasformarsi in una sorveglianza di massa degli utenti adul
Il quadro Ue e il “top-up” italiano
L’inquadramento europeo della normativa italiana non è secondario. Il Regolamento sui servizi digitali (DSA, Regolamento UE 2022/2065) stabilisce all’art. 28 obblighi di protezione dei minori per le piattaforme, ma con una logica risk-based che lascia ampia discrezionalità agli operatori: per le piattaforme di grandissime dimensioni (VLOP) la verifica dell’età è una misura raccomandata di mitigazione del rischio, non un obbligo assoluto e cogente.
Il DSA fissa il livello minimo e lascia agli Stati membri la facoltà di adottare regole nazionali più stringenti, purché compatibili con il quadro europeo. L’Italia ha esercitato esplicitamente questa facoltà, costruendo un regime che la Age Verification Providers Association definisce come top-up nazionale rispetto al DSA: obblighi tecnici specifici, scadenze certe, potere di blocco immediato, nessuna discrezionalità per gli operatori inclusi nella lista. La base audiovisiva è la Direttiva sui servizi di media audiovisivi (AVMSD), recepita nel sistema italiano attraverso le competenze di AGCOM in materia di piattaforme di condivisione video.
L’approccio italiano è già citato in sede europea come caso di integrazione virtuosa tra GDPR, tutela dei minori e regolazione audiovisiva. La Commissione europea ha peraltro chiarito che gli Stati membri possono applicare le proprie normative nazionali anche nei confronti di servizi stabiliti in altri Stati membri, un elemento di rilievo per l’enforcement transfrontaliero.
Il confronto con gli altri regimi europei è illuminante: il Regno Unito (Online Safety Act, Ofcom) ha adottato un sistema di highly effective age assurance entrato in vigore il 25 luglio 2025; la Francia (ARCOM) ha un quadro analogo. Italia, UK e Francia condividono l’obiettivo, ma operano con strumenti tecnici e poteri sanzionatori distinti.
Age verification porno online: come cambia l’accesso in Italia, Francia e Regno Unito
Come funziona nei tre paesi
Il modello italiano
L’utente che accede a un sito incluso nella lista AGCOM viene bloccato prima di vedere qualsiasi contenuto. Per procedere deve avviare una verifica tramite una terza parte certificata e indipendente dal sito, ad esempio un’app di identità digitale o un wallet.
La terza parte conferma che l’utente è maggiorenne e genera un codice anonimo, valido per quella sessione. Il sito riceve solo quel codice: nessun nome, nessun documento, nessun dato identificativo. La verifica va ripetuta a ogni visita, anche se l’utente ha già un account.
Il modello francese
Il meccanismo è strutturalmente identico: nessun contenuto visibile prima della verifica, terza parte indipendente, doppia anonimia obbligatoria. La differenza pratica è che il sistema francese ammette, almeno in fase iniziale, anche la verifica tramite carta di credito con strong authentication, come proxy di maggiore età. Dal luglio 2025 l’obbligo si applica a qualsiasi sito pornografico accessibile dalla Francia, indipendentemente da dove sia ospitato.
Il modello britannico
Regno Unito. Il principio è lo stesso, nessun accesso senza verifica, ma i metodi ammessi sono più vari. Il sito può chiedere di scansionare il volto per una stima biometrica dell’età, di caricare un documento d’identità, di inserire i dati di una carta di credito o di usare una app di verifica. Non esiste un unico schema di doppia anonimia obbligatorio: l’operatore sceglie il metodo, purché sia tecnicamente robusto secondo i criteri Ofcom. In pratica, la user experience varia molto da sito a sito.
Il laboratorio britannico tra traffico, minori e VPN
L’esperienza del Regno Unito offre la base empirica più ricca disponibile per valutare gli effetti reali di un regime di age verification sul porno online. Dall’entrata in vigore dell’Online Safety Act il 25 luglio 2025, i dati raccolti da Ofcom e da Similarweb documentano un calo significativo del traffico verso i principali siti pornografici accessibili dal territorio britannico: il calo generale sui top-10 siti è nell’ordine di un terzo rispetto ai livelli pre-luglio 2025, con picchi dichiarati più elevati da singoli operatori. Questi numeri vanno letti con cautela.
L’analisi condotta dall’Age Verification Providers Association sul caso UK stima che la quota di traffico direttamente attribuibile ai minori bloccati dall’age verification sia nell’ordine del 7% del totale: i minori rappresentano una quota limitata degli utenti complessivi di siti pornografici. La maggior parte del calo del traffico verso i siti conformi ha altre cause: adulti che accedono tramite VPN, adulti che si spostano su siti non conformi, adulti che abbandonano l’accesso per reticenza a condividere dati personali. Il 45% degli adulti UK intervistati dalla Lucy Faithfull Foundation ha dichiarato di aver visitato siti non conformi per evitare la verifica, il 39% di questi ha riferito di aver incontrato contenuti che li hanno messi a disagio.
Il dato sui minori disponibile prima dell’introduzione del regime è altrettanto eloquente: Ofcom aveva rilevato che l’8% dei bambini tra 8 e 14 anni aveva accesso a siti pornografici online nell’arco di un mese, con il 19% tra i maschi di 13-14 anni. La ricerca pubblicata dal Children’s Commissioner britannico indicava che il 27% degli intervistati aveva visto materiale pornografico online entro gli 11 anni di età. Questi numeri motivano l’intervento regolatorio, non garantiscono automaticamente che il blocco tecnico li modifichi in modo sostanziale.
L’effetto collaterale più documentato dal caso UK è l’impennata nell’uso di VPN: Ofcom ha stimato un picco di 1,5 milioni di utenti giornalieri di VPN al momento dell’entrata in vigore delle nuove regole. Il fenomeno si è poi parzialmente stabilizzato, ma resta strutturalmente presente. La ricerca di Internet Matters pubblicata a dicembre 2025 ha rilevato che i minori britannici non mostravano un incremento nell’uso di VPN rispetto al periodo pre-legge, un segnale incoraggiante, anche se non definitivo.
Il limite strutturale: il blocco DNS non risolve l’ecosistema
Il blocco DNS è uno strumento efficace per un obiettivo specifico e limitato: rimuovere dalla navigazione ordinaria di un utente non tecnico l’accesso a un dominio specifico. Uno strumento blunt per definizione, il blocco DNS è per sua natura uno strumento a grana grossa: agisce sul dominio, non sull’utente, non distingue tra chi vorrebbe accedere legittimamente e chi è tenuto a non farlo.
Non impedisce l’aggiramento tramite VPN commerciali, DNS alternativi (DNS-over-HTTPS, DoH), resolver pubblici come Cloudflare 1.1.1.1, servizi come NextDNS, che nel 2025 ha introdotto esplicitamente una funzione di bypass age verification tramite geo-spoofing DNS. L’utente tecnicamente attrezzato, un adolescente motivato lo è quasi sempre, può aggirare il blocco in pochi minuti. Questo non è un argomento contro il blocco DNS in sé, ma contro l’illusione che sia sufficiente.
Il sistema regge se e nella misura in cui crea una frizione significativa per l’accesso casuale e se è accompagnato da un enforcement ampio e rapido verso i siti non conformi, che altrimenti assorbono il traffico degli utenti che evitano la verifica. Questo è il rischio segnalato da Aylo (la casa madre di PornHub) nel febbraio 2026 a proposito dell’esperienza britannica: il traffico non scompare, si sposta verso l’ecosistema non regolamentato, dove i contenuti sono più rischiosi e l’assenza di controlli è totale.
La vera partita è la copertura dell’enforcement, non la robustezza del singolo blocco. Il perimetro italiano include circa cinquanta siti nella lista iniziale; la stima degli operatori effettivamente attivi in Italia è ben superiore. I soggetti non in lista, i siti che emergono dopo la pubblicazione della lista, i servizi che si spostano di dominio. Sono tutti vettori di aggiramento che non richiedono alcuna competenza tecnica all’utente.
AGCOM ha già esteso l’applicazione ai soggetti non stabiliti in Italia dal 1° febbraio 2026, con un precedente della Commissione europea che legittima l’applicazione transfrontaliera. Ma l’enforcement nei confronti di operatori esteri rimane strutturalmente più complesso: identificazione del gestore, notifica, procedura, blocco. I tempi non sono compatibili con la velocità con cui un sito può cambiare dominio.
Le tre indicazioni che i blocchi DNS lasciano all’Europa
Dal primo esercizio concreto dei poteri di AGCOM si possono trarre tre indicazioni per il percorso che segue.
La funzione segnaletica dell’enforcement
La prima riguarda la funzione segnaletica dell’enforcement. I due blocchi del 18 marzo non risolvono il problema della tutela dei minori online, ma mandano un segnale preciso al mercato, l’inottemperanza ha un costo reale. La compliance spontanea dei grandi operatori, PornHub, xHamster, OnlyFans, è stata ottenuta perché il rischio del blocco era credibile. Rendere credibile l’enforcement è la condizione necessaria per ottenere la compliance senza dover bloccare tutto.
La replicabilità del modello
La seconda riguarda la replicabilità del modello. La doppia anonimia costruita per il settore pornografico è un’architettura trasferibile: AGCOM ha già indicato gambling, social media ed e-commerce di prodotti age-restricted come ambiti di possibile estensione. La delibera 96/25/CONS è un prototipo regolatorio più che un intervento settoriale.
La cooperazione europea
La terza riguarda la cooperazione europea. Un singolo Stato membro che blocca due siti nazionali inadempienti è un atto di governo dell’ecosistema digitale; un sistema di age verification efficace richiede che Francia, Germania, Spagna e gli Stati dove si stabilisce la maggior parte dei grandi operatori adottino regimi analoghi con enforcement effettivo. La Commissione europea sta definendo le linee guida previste dall’art. 28 del DSA: è lì che si gioca la partita strutturale. I blocchi DNS di AGCOM dimostrano che l’Italia ha costruito uno strumento funzionante. Dimostrano anche che uno strumento nazionale, da solo, non basta.
