Nove europei su dieci chiedono interventi urgenti a tutela dei minori, dice l’UE. La Commissione prepara il Digital Fairness Act per fine 2026. L’Italia lavora su un disegno di legge, bloccato per mesi al Senato ma ora, dopo la vicenda della maestra accoltellata da uno studente di 13anni, pronto a ripartire, come detto dal ministro all’istruzione Valditara.
Succede che la protezione dei minori nell’ambiente digitale è entrata in una fase di accelerazione normativa senza precedenti.
Per la prima volta, la regolazione dei social nei confronti dei minori non si limita a intervenire sui contenuti o sui comportamenti degli utenti, ma entra nell’architettura stessa del sistema.
Per regolare età di accesso, identità digitale, validità dei contratti, modelli di business. I social, in altre parole, non vengono più trattati come strumenti neutri, ma come infrastrutture ad alto impatto sociale.
Indice degli argomenti
La protezione dei minori online entra nell’agenda europea
Sul fronte europeo, la Commissione von der Leyen ha inserito nel programma di lavoro 2026 il Digital Fairness Act (DFA), un’iniziativa legislativa attesa per il quarto trimestre dell’anno che affronterà, tra gli altri temi, le pratiche di design manipolativo (dark pattern), il marketing tramite influencer, la progettazione di prodotti digitali che generano dipendenza e le pratiche di personalizzazione scorretta, con un’attenzione particolare alla protezione dei minori online.
L’iniziativa, di competenza del Commissario Michael McGrath (Democrazia, Giustizia, Stato di diritto e Protezione dei consumatori), si inserisce in un quadro che include la risoluzione del Parlamento europeo del novembre 2025, approvata con 483 voti favorevoli, 92 contrari e 86 astensioni, in cui gli eurodeputati hanno chiesto di fissare a 16 anni l’età minima per l’accesso ai social media, il divieto di funzionalità che inducono dipendenza, scorrimento infinito, autoplay, loot box e meccanismi pay-to-progress e la responsabilità personale dei dirigenti delle piattaforme in caso di violazioni gravi e reiterate.
A sostegno di queste posizioni, l’Eurobarometro speciale Stato del Decennio Digitale 2025 registra un consenso schiacciante: nove europei su dieci ritengono urgente l’intervento delle autorità pubbliche per proteggere i minori dall’impatto negativo dei social sulla salute mentale (93%), dal cyberbullismo (92%) e per garantire meccanismi di limitazione dei contenuti non adatti all’età (92%).
Il DDL italiano su minori nei social e lo stallo parlamentare
Sul fronte italiano, al Senato è in esame l’Atto S. 1136 (“Disposizioni per la tutela dei minori nella dimensione digitale”), presentato dalla senatrice Lavinia Mennuni (FdI) e assegnato alla Commissione 8a (Ambiente, transizione ecologica, energia, lavori pubblici, comunicazioni, innovazione tecnologica) in sede redigente, con il senatore Claudio Fazzone (FI-BP-PPE) come relatore.
Le cofirme, aggiunte il 24 e il 28 maggio 2024, sono trasversali: PD (Malpezzi, Delrio), Lega (Cantù, Paganella, Pucciarelli), Forza Italia (Ternullo, Craxi, Fazzone), Autonomie (Unterberger), Cd’I (Petrenga), oltre a numerosi senatori FdI.
Secondo i dati dell’Istituto Superiore di Sanità, circa 100.000 adolescenti italiani tra i 15 e i 18 anni sono a rischio di sviluppare una dipendenza da social media, un dato che rende il contesto tutt’altro che astratto.
Il nuovo testo adottato dalla Commissione 8a come testo base prevede il divieto di attivazione di account sui social network e sulle piattaforme di condivisione video per i minori di 15 anni; la verifica dell’età tramite un mini-portafoglio nazionale che attua la soluzione UE di age verification, con scadenza al 30 giugno 2026; la nullità dei contratti stipulati da under 15, con conseguente illegittimità della base giuridica per il trattamento dei dati personali ai sensi del GDPR; l’innalzamento da 14 a 16 anni dell’età per il consenso autonomo al trattamento dei dati; e l’obbligo per AGCOM di produrre linee guida per i minori influencer entro 180 giorni.
La protezione dei minori online tra politica e diritto
L’iter parlamentare, tuttavia, racconta una storia di accelerazioni e lunghe pause. Il DDL viene incardinato il 28 maggio 2024. Tra giugno e luglio vengono congiunti altri tre testi sulla stessa materia (S.1160, S.1166, S.1158) e si svolgono audizioni informali, tra cui quella del presidente del Garante Privacy Pasquale Stanzione il 10 luglio 2024.
Il 31 luglio viene fissato il termine per gli emendamenti al 19 settembre. Poi, un anno di silenzio: nessuna seduta risulta tra settembre 2024 e settembre 2025. La Commissione riprende i lavori il 23 settembre 2025, adotta un nuovo testo base il 24 settembre e acquisisce i pareri delle commissioni consultive (1a Affari Costituzionali: non ostativo su nuovo testo, 1 ottobre 2025).
Il 7 ottobre 2025, Stanzione viene ascoltato nuovamente sul testo rivisto. L’ultimo aggiornamento ufficiale nella scheda del Senato è del 21 ottobre 2025: in corso di esame in commissione. Da allora, oltre cinque mesi, non risultano ulteriori sedute o attività sul fascicolo.
I nodi aperti sul GDPR
Il testo non è privo di nodi giuridici aperti. Nell’audizione del 7 ottobre 2025, il presidente Stanzione ha sollevato una criticità centrale: precludere agli under 15 l’attivazione di account anche con il consenso dei genitori non è in linea con il GDPR, che consente agli Stati membri di fissare la soglia tra 13 e 16 anni ma contempla il consenso genitoriale al di sotto di essa.
Stanzione ha ricordato che l’ordinamento italiano riconosce già ai 14enni una parziale capacità di autodeterminazione, dalla legittimazione a rivolgersi direttamente al Garante in caso di cyberbullismo, al consenso all’adozione, fino all’accesso autonomo ai sistemi di intelligenza artificiale previsto dalla legge 132/2025.
Il punto è sostanziale, la soglia scelta dal legislatore deve coniugare protezione e riconoscimento della progressiva autonomia digitale del minore, senza risultare troppo lontana dalle istanze e dalla realtà sociali da diventare non effettiva.
Il rilancio di Valditara e il Garante privacy
Il nodo non è solo tecnico. Il 30 marzo 2026, intervenendo sul tema dopo il grave fatto di cronaca di Trescore Balneario, un 13enne che ha accoltellato una professoressa trasmettendo l’aggressione in diretta streaming su Telegram, con il link fissato sul suo profilo TikTok, il Ministro dell’Istruzione Valditara ha attribuito al Garante Privacy la responsabilità del ritardo nell’approvazione del DDL. Il Garante ha replicato lo stesso giorno, precisando di non essere responsabile dello stallo.
Il rimpallo istituzionale, inedito nella sua esplicitezza, segnala che dietro la pausa parlamentare c’è una tensione irrisolta tra la spinta politica a innalzare la soglia e le obiezioni giuridiche sulla compatibilità con il GDPR.
Sweep 2025 del Global Privacy Enforcement Network (GPEN)
A conferma della persistenza del problema, lo Sweep 2025 del Global Privacy Enforcement Network (GPEN), la cui relazione è stata pubblicata il 25 marzo 2026 e rilanciata nella newsletter del Garante del 26 marzo, offre un quadro empirico eloquente. Le 27 autorità privacy mondiali che vi hanno partecipato, tra cui il Garante italiano, hanno esaminato 876 tra siti web e app utilizzati dai minori.
Il confronto con il primo Sweep del 2015 mostra che in dieci anni sono aumentati sia i servizi che richiedono dati personali per l’accesso alle funzionalità, sia i meccanismi di verifica dell’età online, ma questi ultimi restano troppo spesso facilmente aggirabili, soprattutto sui siti con contenuti inappropriati o caratteristiche di design ad alto rischio.
Il dato conferma l’urgenza di un intervento strutturale: finché la verifica dell’età si basa sull’autodichiarazione, qualsiasi soglia normativa rischia di restare sulla carta.
Nel frattempo, alla Camera la deputata Madia (PD) ha dichiarato che la proposta gemella è stata bloccata dalla Presidenza del Consiglio; e a gennaio 2026 la Lega ha depositato un’ulteriore proposta (prima firmataria Giorgia Latini) con divieto sotto i 15 e consenso genitoriale verificabile fino ai 18. La pressione politica c’è, il consenso bipartisan è documentato. Ma il testo resta fermo.
Queste due novità non nascono nel vuoto. Si inseriscono in un contesto che, in pochi mesi, ha subìto un’accelerazione su almeno quattro direttrici convergenti: l’ondata legislativa globale, la svolta giudiziaria statunitense, l’infrastruttura tecnica per la verifica dell’età e la pressione dell’opinione pubblica europea.
Australia su minori e social e gli altri: la corsa globale alle nuove soglie
Il punto di svolta è stato l’Australia. Nel dicembre 2025, il governo di Albanese ha approvato la prima legge al mondo che vieta l’accesso ai social media ai minori di 16 anni, ponendo la responsabilità della verifica direttamente sulle piattaforme, non sui genitori o sui ragazzi.
Gli osservatori e accademici lo hanno iniziato a chiamare il Canberra Effect: un modello legislativo che ha innescato una reazione a catena. La presidente della Commissione europea Ursula von der Leyen ha fatto esplicitamente riferimento al modello australiano in almeno tre occasioni: nel discorso sullo Stato dell’Unione del settembre 2025, all’evento Protecting Children in the Digital Age” a margine dell’Assemblea Generale ONU nello stesso mese, nel discorso al Parlamento australiano a Canberra nel marzo 2026, dove ha annunciato la costituzione di un panel di esperti e ha dichiarato che diversi Stati membri dell’UE stanno valutando di seguire il vostro esempio, aggiungendo: “Siamo noi genitori che dobbiamo educarli, non algoritmi predatori e dipendenti”.
Europa
L’onda si è estesa con una rapidità senza precedenti. In Europa, la Francia ha approvato alla Camera bassa il divieto sotto i 15 anni, in attesa del Senato, con l’obiettivo di entrare in vigore a settembre 2026. Il Portogallo ha approvato a febbraio 2026 un divieto totale sotto i 13 anni, con obbligo di consenso genitoriale fra i 13 e i 16 e verifica tramite identità digitale.
La Danimarca ha un accordo di governo per il divieto sotto i 15 anni, con legge attesa per metà 2026 e un’app di verifica dell’età basata sul sistema di identità elettronica nazionale. La Spagna ha annunciato un divieto a 16 anni con un elemento inedito in Europa: la responsabilità penale personale per i CEO delle piattaforme in caso di violazioni. La Grecia è, secondo Reuters, molto vicina a un ban sotto i 15.
La Norvegia sta innalzando la soglia di consenso da 13 a 15 anni e lavorando a un limite assoluto. La Polonia sta preparando una legislazione per vietare i social sotto i 15, con responsabilità sulle piattaforme per la verifica. L’Austria ha annunciato il 29 marzo 2026 un pacchetto di misure che include il divieto per gli under 14: la soglia più bassa tra i paesi europei, scelta perché corrisponde all’età minima per la stipula dei contratti nell’ordinamento austriaco; il disegno di legge è atteso entro giugno.
Il Regno Unito, dopo una consultazione pubblica lanciata a marzo, sta valutando un ban in stile australiano per gli under 16; nel frattempo la Camera dei Lord ha approvato un emendamento in questa direzione, su cui è in corso il ping-pong con i Comuni.
Altri Paesi
Ma il fenomeno non è solo europeo. Il 28 marzo 2026, l’Indonesia ha avviato la disattivazione progressiva degli account under 16 sulle piattaforme ad alto rischio come TikTok, Facebook, Instagram, Roblox, diventando il primo paese del Sud-Est asiatico ad attuare un divieto. In Brasile, una legge entrata in vigore a marzo impone che gli account degli under 16 siano collegati a un tutore legale e vieta le funzionalità di design che generano dipendenza, come lo scorrimento infinito e l’autoplay.
La Malaysia ha reso obbligatoria la verifica dell’identità tramite sistema eKYC per l’accesso ai social, sulla base dell’Online Safety Act entrato in vigore a gennaio 2026. Anche la Cina, con un approccio diverso, ha introdotto una Modalità Minori con limiti di tempo (40 minuti al giorno per gli under 8, un’ora per gli 8-16) e, dal marzo 2026, nuove regole che impongono alle piattaforme di nascondere algoritmicamente i contenuti ritenuti dannosi per i giovani.
Il quadro, tuttavia, non è privo di complessità operative. In Australia, il Christian Science Monitor ha riportato il caso di un insegnante che ha posto ai propri studenti una domanda secca: “State ancora usando i social?”. Su 25 adolescenti, solo tre avevano visto i propri account effettivamente disabilitati. Due erano su Snapchat, uno su Instagram. Il resto aveva aggirato il ban con VPN e account falsi.
Questo è il monito più concreto per tutti i legislatori: senza un’infrastruttura di verifica dell’età credibile, il divieto rischia di restare lettera morta.
La protezione dei minori online passa anche dai tribunali e dall’enforcement
L’accelerazione non è solo legislativa. Il 25 marzo 2026, una giuria di Los Angeles ha emesso un verdetto storico nel caso KGM contro Meta e YouTube: le due piattaforme sono state dichiarate negligenti nella progettazione dei propri servizi, con la giuria che ha stabilito che le funzionalità di design, scorrimento infinito, autoplay, notifiche push, sistemi di raccomandazione algoritmica, erano deliberatamente progettate per generare dipendenza.
Meta è stata ritenuta responsabile al 70%, YouTube al 30%, con un risarcimento totale di 6 milioni di dollari tra danni compensativi e punitivi. La giuria ha trovato elementi di malice, oppression or fraud nel comportamento delle aziende.
Il giorno precedente, un’altra giuria in New Mexico aveva condannato Meta al pagamento di 375 milioni di dollari per violazione delle leggi statali sulla protezione dei consumatori e per aver mancato di proteggere i minori dallo sfruttamento sessuale su Facebook e Instagram.
I due verdetti rappresentano una svolta: per la prima volta nella storia giudiziaria americana, piattaforme social sono state ritenute responsabili non per i contenuti pubblicati dagli utenti (protetti dalla Sezione 230 del Communications Decency Act), ma per il design stesso dei prodotti.
La strategia legale che ha aggirato la protezione della Sezione 230, puntando sulla progettazione difettosa anziché sui contenuti, potrebbe influenzare oltre 1.500 cause pendenti negli Stati Uniti. L’analogia con la causa contro l’industria del tabacco degli anni Novanta è ormai diventata il frame narrativo dominante.
Il punto che i verdetti rendono esplicito, che attraversa tutto il dibattito regolatorio europeo, è che il problema non risiede nei singoli contenuti pericolosi, ma nel modello economico delle piattaforme. Un sistema costruito sull’attenzione e sull’engagement, scorrimento infinito, loop di ricompensa, raccomandazioni algoritmiche calibrate sulla permanenza, produce effetti strutturali quando entra in contatto con utenti che non hanno ancora sviluppato pienamente capacità critiche e di autoregolazione.
Questa consapevolezza che sta spostando l’intervento dalla responsabilità individuale e familiare verso l’architettura stessa dei servizi. Non si chiede più ai genitori di vigilare su un ambiente progettato per catturare l’attenzione: si chiede a chi progetta quell’ambiente di cambiarlo.
Il DSA già in azione a tutela minori nella UE
La convergenza tra legislazione e giurisdizione si estende anche all’enforcement della regolazione già in vigore. Il 26 marzo 2026, lo stesso giorno del verdetto di New Mexico, la Commissione europea ha aperto un procedimento formale contro Snapchat ai sensi del Digital Services Act, sospettando che la piattaforma non faccia abbastanza per proteggere i minori dal grooming, dal reclutamento per attività criminali e dall’esposizione a contenuti legati alla vendita di prodotti illegali, tra cui droghe, vaporizzatori e alcolici.
L’indagine, condotta dalla Vice-presidente esecutiva Henna Virkkunen, si concentra su cinque aree: lo strumento di verifica dell’età basato sull’autodichiarazione (giudicato insufficiente), le impostazioni predefinite degli account, la possibilità per adulti di fingersi coetanei dei minori, la diffusione di informazioni su prodotti illegali e l’inadeguatezza dei meccanismi di segnalazione.
Come ha dichiarato Virkkunen: “Snapchat sembra aver trascurato il fatto che il Digital Services Act esige standard di sicurezza elevati per tutti gli utenti”. Snapchat, che conta circa 97 milioni di utenti attivi mensili nell’UE, è la prima piattaforma sottoposta a indagine DSA specifica su questo profilo.
Lo stesso giorno, la Commissione ha trovato in violazione preliminare del DSA anche Pornhub, Stripchat, XNXX e XVideos, per aver consentito ai minori di accedere ai propri servizi senza adeguate misure di verifica dell’età. La coincidenza temporale non è casuale: Bruxelles sta usando il DSA come leva di enforcement immediata, in parallelo al percorso legislativo del Digital Fairness Act.
Il messaggio è chiaro, gli strumenti normativi esistenti vengono già attivati, senza attendere la nuova legislazione. A confermare la pressione dell’opinione pubblica è anche il paper Protecting children on social media pubblicato il 27 marzo dall’Agenzia dell’UE per i diritti fondamentali (FRA), basato su un’indagine Eurobarometro condotta su 26.453 europei, inclusi adolescenti tra i 15 e i 17 anni.
I risultati mostrano che oltre otto europei su dieci sono molto o abbastanza preoccupati per un’ampia gamma di rischi legati alla presenza dei minori online. I dati puntano verso la fascia 15-18 anni come soglia di accesso ritenuta appropriata dalla popolazione, a conferma di un orientamento sempre più netto nella percezione collettiva.
Infrastrutture, lobby e prossime mosse
Mentre la politica e i tribunali definiscono il cosa, la questione del come resta il nodo tecnico più complesso. La Commissione europea ha iniziato ad affrontarlo nel luglio 2025, pubblicando un blueprint per la verifica dell’età, il cosiddetto mini-portafoglio, costruito sulle stesse specifiche tecniche dell’European Digital Identity Wallet (EUDI Wallet), il cui rilascio è previsto entro fine 2026.
Il sistema, sviluppato dal consorzio T-Scy (composto dalla svedese Scytales e dalla tedesca T-Systems), consente agli utenti di dimostrare di aver superato una determinata soglia di età senza rivelare dati personali, nemmeno la data di nascita esatta.
Cinque paesi stanno pilotando la soluzione dal 2025: Danimarca, Francia, Grecia, Italia e Spagna. Una seconda versione del blueprint, rilasciata nell’ottobre 2025, ha introdotto il supporto per passaporti e carte d’identità e l’integrazione con il Digital Credentials API. Le prime app nazionali personalizzate erano attese per l’inizio del 2026.
Questo è esattamente lo strumento che il DDL 1136 italiano richiama all’articolo 2, comma 2, quando prevede che la verifica dell’età avvenga mediante un mini-portafoglio nazionale che attua la soluzione dell’Unione europea di verifica dell’età.
Il caso italiano illustra una dinamica più generale: senza un quadro europeo, le iniziative nazionali rischiano di essere isolate e facilmente aggirabili; senza sperimentazioni nazionali, il quadro europeo rischia di restare astratto. L’Italia è contemporaneamente uno dei cinque paesi pilota per l’infrastruttura tecnica e uno dei paesi in cui la legge che dovrebbe renderla operativa è ferma in Parlamento, una posizione che rende il rapporto tra i due livelli particolarmente visibile, e la dissonanza particolarmente evidente.
Le resistenze dell’industria
Il percorso non è privo di ostacoli. Il 16 marzo 2026, DIGITALEUROPE, l’associazione che rappresenta le imprese tecnologiche europee e internazionali, ha inviato una lettera alla Vice-presidente esecutiva Henna Virkkunen e al Commissario McGrath esprimendo seria e crescente preoccupazione per la direzione del Digital Fairness Act.
L’argomento centrale: il DFA rischia di aggiungere strati di regolazione su un quadro già coperto dal DSA, dal DMA e dall’AI Act, generando sovrapposizioni normative, incertezza giuridica e costi di compliance aggiuntivi.
L’associazione ha inoltre rilevato che lo stesso Regulatory Scrutiny Board della Commissione aveva giudicato la base di evidenze del DFA non sufficientemente robusta. La tensione tra protezione dei minori e semplificazione normativa per le imprese è destinata a segnare l’intero percorso legislativo del Digital Fairness Act nei prossimi mesi.
Dove siamo e dove andiamo per la tutela minori sui social
Il quadro complessivo mostra una convergenza inedita tra pressione dell’opinione pubblica (il 93% degli europei chiede azione), iniziativa politica multilivello (Australia, UE, singoli Stati membri), precedenti giurisprudenziali (i verdetti di Los Angeles e New Mexico) e sviluppo di infrastrutture tecniche (il mini-portafoglio europeo).
Raramente un tema di policy digitale ha visto una simile accelerazione simultanea su fronti così diversi. Il filo che li tiene insieme è lo stesso: il passaggio da una logica di raccomandazione a una vera architettura regolatoria che interviene sull’accesso, sul design e sul modello economico delle piattaforme.
