La Commissione europea ha concluso in via preliminare che Meta non ha adottato misure adeguate a impedire ai minori di 13 anni di usare Facebook e Instagram. La contestazione colpisce il cuore del modello basato sull’età autodichiarata: se basta inserire una data di nascita falsa, la protezione dei minori resta formale.
La vicenda si intreccia con il rollout dell’app europea per la verifica dell’età, basata su crittografia zero-knowledge proof, pensata per consentire agli utenti di dimostrare il superamento di una soglia anagrafica senza rivelare identità, età esatta o altri dati personali.
Indice degli argomenti
Il caso Meta e il nuovo fronte europeo sulla tutela dei minori
La Commissione europea ha comunicato il 29 aprile 2026 di aver concluso, in via preliminare, che Facebook e Instagram violano il Digital Services Act perché Meta non avrebbe identificato, valutato e mitigato con sufficiente diligenza i rischi legati all’accesso dei minori di 13 anni alle due piattaforme. Le conclusioni preliminari arrivano al termine di un’indagine avviata il 16 maggio 2024, basata sull’analisi dei risk assessment report di Meta, dei dati e documenti interni e delle risposte dell’azienda alle richieste di informazione della Commissione.
La formula può sembrare tecnica, ma la questione è molto concreta, secondo Bruxelles, Meta non avrebbe fatto abbastanza per impedire a bambini sotto la soglia minima prevista di creare e utilizzare account su Facebook e Instagram.
Il punto non è solo la presenza di un limite d’età nei termini di servizio. Meta, come molte altre piattaforme, vieta formalmente l’accesso agli utenti sotto i 13 anni. La Commissione contesta però l’efficacia reale di questo limite. Se un bambino può aggirarlo inserendo una data di nascita falsa, la tutela rischia di restare una clausola contrattuale più che una misura effettiva di protezione.
Come ha dichiarato Henna Virkkunen, vicepresidente esecutiva della Commissione per la sovranità tecnologica, i termini di servizio non possono essere mere dichiarazioni scritte, ma devono costituire la base per azioni concrete a tutela degli utenti, compresi i minori.
La Commissione stima che il 10-12% dei minori sotto i 13 anni in Europa usi Facebook o Instagram. Un dato rilevante perché sposta la discussione dal piano astratto della policy aziendale al piano empirico dell’enforcement: non basta dichiarare che una piattaforma è vietata agli under 13, se poi una quota non marginale di bambini riesce comunque ad accedervi.
Perché l’età autodichiarata non regge più
Per anni il web sociale ha funzionato su un compromesso fragile: la piattaforma chiede la data di nascita, l’utente la dichiara, il sistema prende atto della dichiarazione. Questo modello ha avuto il vantaggio della semplicità, ma ha sempre avuto un punto debole evidente. L’età autodichiarata è facile da manipolare, soprattutto quando l’utente sa che l’accesso al servizio dipende proprio dalla risposta fornita.
La contestazione europea dice, in sostanza, che questo equilibrio non è più sufficiente. Il Digital Services Act non chiede alle grandi piattaforme solo di scrivere regole, ma di valutare i rischi sistemici prodotti dai propri servizi e di adottare misure proporzionate per mitigarli. Nel caso dei minori, questo significa interrogarsi su come il design del servizio, i meccanismi di iscrizione, gli strumenti di segnalazione e i sistemi di rilevazione degli account irregolari funzionino nella pratica, non solo sulla carta.
A titolo di esempio la Commissione ha rilevato che segnalare un utente sotto i 13 anni su Facebook o Instagram richiede fino a sette passaggi, con un form non precompilato con le informazioni dell’utente segnalato. Anche quando la segnalazione viene effettuata, spesso non segue alcun intervento effettivo: il minore continua a usare il servizio indisturbato.
La Commissione contesta inoltre che la valutazione dei rischi condotta da Meta sia incompleta e arbitraria, in contraddizione con le evidenze scientifiche disponibili sulla maggiore vulnerabilità dei bambini più piccoli. Meta dovrà quindi rivedere la metodologia di valutazione dei rischi e rafforzare i metodi per prevenire, individuare e rimuovere gli account di minori non autorizzati. In caso contrario, la società potrebbe esporsi alle sanzioni previste dal DSA, che possono arrivare fino al 6% del fatturato globale annuo.
Il DSA come passaggio dall’autoregolazione alla responsabilità dimostrabile
Il caso Meta è importante perché chiarisce uno dei tratti distintivi del Digital Services Act. Il regolatore europeo non si limita a chiedere alle piattaforme di avere regole interne. Chiede che quelle regole siano efficaci, verificabili e coerenti con i rischi prodotti dal servizio.
Per le Very Large Online Platforms, il DSA introduce obblighi rafforzati di valutazione e mitigazione dei rischi sistemici. La protezione dei minori è uno degli ambiti centrali di questa architettura regolatoria. La Commissione europea presenta il DSA come il quadro normativo che impone alle piattaforme online un ambiente digitale più sicuro, prevedibile e responsabile, con obblighi specifici e più stringenti per gli operatori di maggiore dimensione.
Questo significa che una piattaforma non può più trattare l’età minima come un dettaglio amministrativo. Deve chiedersi se i propri strumenti siano realmente idonei a impedire l’accesso dei minori non autorizzati, se gli utenti possano segnalare facilmente account sotto età, se le segnalazioni vengano gestite in modo efficace e se le misure di rilevazione siano adeguate rispetto alla scala e alla natura del servizio.
Qui sta il cambio di paradigma. La responsabilità non nasce solo quando emerge un singolo contenuto illecito o un singolo episodio dannoso. Nasce anche quando il modo in cui il servizio è progettato rende prevedibile e sistematico un certo rischio. Un filone parallelo della stessa indagine sta esaminando proprio questo: se il design delle interfacce di Facebook e Instagram sfrutti l’inesperienza dei minori per spingerli verso un uso compulsivo e verso i cosiddetti effetti rabbit hole, spirali di contenuti sempre più estremi generate dai sistemi di raccomandazione.
La risposta di Meta e il problema reale della verifica dell’età
Meta non condivide le conclusioni preliminari della Commissione. La società sostiene di avere già misure per identificare e rimuovere gli account degli under 13 e afferma di voler continuare a investire in tecnologie per individuare gli utenti sotto età. L’azienda richiama anche una difficoltà reale, verificare l’età online è un problema complesso per l’intera industria, perché occorre bilanciare la protezione dei minori con la privacy degli utenti.
L’obiezione non va liquidata, ma non può diventare un alibi. Sistemi di verifica troppo deboli non proteggono i minori. Sistemi troppo invasivi possono invece trasformarsi in strumenti di identificazione generalizzata, creando nuovi problemi di privacy, sicurezza e sorveglianza. La domanda regolatoria diventa quindi più sottile: come si può verificare che un utente abbia superato una soglia d’età senza obbligarlo a consegnare alla piattaforma documenti, dati biometrici o informazioni personali eccedenti?
L’app europea di verifica dell’età: protezione senza identificazione?
La Commissione europea ha adottato una raccomandazione con cui invita gli Stati membri ad accelerare la disponibilità dell’app europea di verifica dell’età entro la fine del 2026. La soluzione potrà essere adottata come app autonoma oppure integrata nei futuri European Digital Identity Wallet nazionali. Sette paesi, Cipro, Danimarca, Francia, Grecia, Irlanda, Italia e Spagna, stanno già personalizzando l’app per i propri contesti nazionali.
Il punto qualificante è il principio di minimizzazione, realizzato attraverso crittografia zero-knowledge proof. L’identità dell’utente viene verificata una sola volta, al momento dell’attivazione, tramite documento d’identità o eID. Dopodiché, il servizio online riceve soltanto una conferma binaria, l’utente ha, o non ha, l’età richiesta, senza accedere a nome, data di nascita o altri dati personali. Le prove d’età vengono emesse in lotti monouso, per impedire il tracciamento tra servizi diversi. Il soggetto che ha verificato l’identità non sa quali siti l’utente visita; il sito non sa chi è l’utente.
Questa è la parte più interessante dal punto di vista politico e tecnologico. L’Europa sembra voler evitare due estremi: da un lato l’autodichiarazione inefficace, dall’altro la consegna diretta e sistematica dei documenti personali alle grandi piattaforme private. In mezzo c’è l’idea di un’infrastruttura pubblica o regolata di age assurance, capace di attestare una soglia anagrafica senza trasformare ogni accesso online in un processo di identificazione totale.
Una partita che va oltre Meta
La vicenda non riguarda solo Facebook e Instagram. Meta è il caso più visibile perché le sue piattaforme hanno scala enorme, sono parte della vita quotidiana di milioni di utenti europei e sono già da tempo al centro dell’attenzione regolatoria. Il tema è destinato ad allargarsi.
La verifica dell’età riguarda social network, piattaforme video, servizi di messaggistica, videogiochi, app di intrattenimento, siti pornografici, gambling, marketplace e, più in generale, tutti gli ambienti digitali in cui i minori possono essere esposti a contenuti, interazioni o meccanismi di engagement non adeguati alla loro età.
Per questo il caso Meta può diventare un precedente. Se l’età autodichiarata non basta più per Facebook e Instagram, difficilmente potrà restare lo standard accettabile in altri contesti ad alto rischio. La domanda sarà quali sistemi di verifica potranno essere considerati proporzionati, affidabili e rispettosi della privacy.
Il dilemma europeo: proteggere i minori senza costruire una rete di sorveglianza
La questione più delicata è che la protezione dei minori online gode di un consenso ampio, ma gli strumenti per realizzarla possono produrre conseguenze molto diverse. Un sistema di verifica dell’età mal progettato potrebbe diventare un’infrastruttura di tracciamento permanente degli utenti. Potrebbe aumentare la raccolta di dati sensibili, esporre documenti e informazioni personali a rischi di sicurezza, oppure rafforzare il potere di pochi intermediari tecnologici.
Il modello europeo prova a rispondere a questa obiezione con una logica privacy-preserving: dimostrare il requisito anagrafico senza rivelare l’identità. Questo approccio è coerente con i principi del GDPR e con la logica dell’identità digitale europea, ma la sua efficacia dipenderà dalla qualità tecnica dell’implementazione, dalla governance, dai controlli indipendenti e dalla capacità di evitare nuove concentrazioni di potere informativo.
La sfida non è solo impedire ai bambini di mentire sull’età, è quella di costruire un sistema in cui le piattaforme siano obbligate a proteggere i minori, senza trasformare tutti gli utenti in soggetti permanentemente identificati.
Dalla clausola nei termini di servizio alla prova dell’efficacia
La contestazione della Commissione a Meta segna quindi un passaggio importante. Per molto tempo l’età minima è stata trattata come una soglia formale: una riga nei termini di servizio, un campo da compilare al momento dell’iscrizione, una responsabilità implicitamente scaricata sull’utente o sulla famiglia.
Il Digital Services Act cambia l’impostazione. La piattaforma deve dimostrare di avere compreso il rischio, di averlo misurato, di aver adottato misure adeguate e di monitorarne l’efficacia. Nel caso dei minori, questa logica è particolarmente rilevante perché l’asimmetria tra utente e piattaforma è massima: da una parte bambini e adolescenti, dall’altra servizi progettati per massimizzare attenzione, permanenza e interazione.
La domanda non è più se Facebook e Instagram dicano di essere vietati agli under 13. La domanda è se riescano davvero a impedirne l’accesso.
