In Italia e in Europa per tutelare i minori sui social abbiamo un quadro normativo tra i più avanzati al mondo. Il problema è l’enforcement, frammentato e inefficace. E qui che dobbiamo intervenire.
Indice degli argomenti
Il quadro delle norme UE per i minori sui social
Il GDPR (Reg. UE 2016/679) subordina il trattamento dei dati personali dei minori al consenso dei titolari della responsabilità genitoriale fino ai sedici anni (art. 8) e impone misure di protezione by design and by default (art. 25).
Il DSA (Reg. UE 2022/2065) vieta la pubblicità profilata ai minori, obbliga le Very Large Online Platforms a valutazioni del rischio sistemico (art. 34) e a misure di mitigazione proporzionate (art. 35), e impone un livello elevato di privacy, sicurezza e protezione per i giovani utenti ai sensi dell’art. 28.
L’AI Act (Reg. UE 2024/1689) classifica come ad alto rischio i sistemi di intelligenza artificiale in contesti educativi (Allegato III) e vieta espressamente, all’art. 5, le tecniche subliminali o manipolative nei confronti dei soggetti vulnerabili, inclusi i minori.
Il Digital Markets Act (Reg. UE 2022/1925) impone ai gatekeeper di non combinare dati personali tra servizi distinti senza consenso valido, con ricadute dirette sulla profilazione dei più giovani. La Direttiva AVMS (2018/1808) estende obblighi analoghi ai servizi di condivisione video. La Direttiva 2011/93/UE presidia, sul versante penale, il fronte dell’abuso e dello sfruttamento sessuale online.
Tutela dei minori tra norme avanzate e risultati deboli
Eppure, nonostante questa stratificazione normativa ipertrofica, il risultato pratico è deludente. Non perché le norme siano mal costruite ma perché il sistema istituzionale incaricato di applicarle è strutturalmente inadeguato alla scala e alla velocità del fenomeno che dovrebbe governare.
Da una parte l’Europa ha legiferato con ambizione, dall’altra ha affidato l’enforcement a un’architettura frammentata, lenta e disomogenea, pensata per un’epoca in cui le piattaforme digitali non avevano ancora la dimensione sistemica che hanno oggi.
I numeri che smontano l’illusione della deterrenza
Per comprendere la portata del problema occorre partire dai dati. Il GDPR Enforcement Tracker di CMS Law — studio legale internazionale che raccoglie sistematicamente i provvedimenti pubblicamente disponibili delle autorità nazionali di tutti gli Stati membri, avvertendo esso stesso che il database non può mai essere completo poiché non tutte le sanzioni vengono rese pubbliche — offre un quadro sufficientemente chiaro e organico. Le sanzioni GDPR cumulate dal 2018 a oggi superano i 7,1 miliardi di euro.
A questi si aggiungono, sul fronte del DSA e del DMA (dove opera direttamente la Commissione europea) le prime sanzioni DMA della storia: 500 milioni di euro ad Apple e 200 milioni a Meta nell’aprile 2025, 2,95 miliardi a Google a settembre 2025 per abuso di posizione dominante nell’adtech, e la prima sanzione DSA, 120 milioni di euro contro X nel dicembre 2025 per violazioni di trasparenza. Sommando i tre regolamenti, il totale delle sanzioni comminate ai grandi operatori digitali supera i 10 miliardi di euro.
La distribuzione geografica delle sole sanzioni GDPR, tuttavia, rivela già una prima anomalia strutturale. L’Irlanda guida con 4,04 miliardi di euro cumulati — il dato riflette il meccanismo del one-stop shop che la rende Lead Supervisory Authority per la maggior parte dei colossi tecnologici mondiali — seguita da Lussemburgo con 746 milioni, Francia con circa 372 milioni, Italia con circa 212 milioni, Germania con circa 200 milioni, Paesi Bassi con circa 110 milioni.
La Spagna, pur attestandosi a circa 72 milioni per importi, guida per numero assoluto di procedimenti con 932 sanzioni documentate, privilegiando un enforcement capillare su soggetti di dimensioni medie. Seguono, con importi inferiori ai 50 milioni ciascuno, Romania, Polonia, Ungheria, Austria, Belgio, Grecia, Portogallo, Danimarca, Svezia, Finlandia, Norvegia, Bulgaria, Cipro e altri Stati con attività sanzionatoria ancora contenuta.
Le sanzioni per i social sui minori
Tra le violazioni specificamente lesive dei diritti dei minori meritano menzione la sanzione da 405 milioni inflitta a Instagram per aver reso pubblicamente accessibili dati personali di utenti tra i 13 e i 17 anni, i 345 milioni comminati a TikTok nel 2023 per analoghe violazioni, e gli ulteriori 530 milioni irrogati alla stessa TikTok nel 2025 per il trasferimento di dati di utenti europei su server in Cina, nonostante le rassicurazioni fornite ai regolatori.
Sul fronte DSA, procedimenti formali sono stati aperti contro TikTok e Meta per mancata protezione dei minori ai sensi dell’art. 28, e contro quattro piattaforme pornografiche — Stripchat, XVideos, XNXX e Pornhub — per non aver adottato misure idonee a impedire l’accesso dei minori ai loro contenuti.
Questi numeri, tuttavia, descrivono solo la superficie del problema. La domanda rilevante non è quante sanzioni siano state comminate, ma quante siano state effettivamente pagate. Sui soli 4,04 miliardi di euro irrogati dal DPC irlandese, appena 20 milioni risultano ad oggi effettivamente pagati.
Le sanzioni in Irlanda non sono esigibili fino alla conferma giudiziaria, e ogni appello — presentato sistematicamente dai grandi operatori — sospende il pagamento per anni, talvolta per un intero decennio. Il tasso di riscossione effettiva sull’intero sistema europeo si attesta attorno allo 0,6% del totale irrogato. Il dato è la confutazione più eloquente della tesi secondo cui le sanzioni pecuniarie siano uno strumento sufficiente di deterrenza.
Tutela dei minori sui social tra one-stop shop e competenze disperse
Il “one-stop shop” del GDPR (artt. 4, par. 16, e 56, par. 1), assegnando la competenza primaria all’autorità del paese di sede europea dell’azienda, ha concentrato nella Data Protection Commission irlandese la gestione della quasi totalità dei procedimenti riguardanti i colossi tecnologici globali. Dal maggio 2018, il DPC ha ricevuto 1.853 reclami transfrontalieri, agendo come Lead Supervisory Authority nell’87% dei casi.
Il meccanismo nasce con una finalità legittima — ridurre la proliferazione di procedimenti paralleli e garantire certezza giuridica agli operatori — ma produce una disparità strutturale difficilmente sostenibile: un’unica autorità nazionale si trova a dover fronteggiare, in via principale, soggetti con fatturati superiori al PIL di molti Stati membri, dotati di risorse legali pressoché illimitate. Le procedure di cooperazione inter-istituzionale previste dall’art. 60 GDPR, pur essenziali sul piano dei principi, richiedono tempi che la velocità dell’innovazione tecnologica rende sistematicamente inadeguati.
Ma la frammentazione istituzionale ha una radice ancora più profonda, che precede e determina quella organizzativa: i regolamenti che compongono il quadro normativo europeo in materia di digitale sono nati in tempi diversi, con logiche diverse, per rispondere a problemi che al momento della loro adozione avevano contorni ben differenti da quelli attuali. Il GDPR è del 2016: all’epoca i sistemi di intelligenza artificiale generativa non esistevano, i chatbot affettivi erano fantascienza, la profilazione algoritmica dei minori sui social non aveva ancora assunto le dimensioni sistemiche di oggi.
Il DSA è del 2022: nasce per governare la moderazione dei contenuti e la responsabilità delle piattaforme, non per costruire un sistema integrato di tutela del minore come soggetto giuridico unitario. L’AI Act è del 2024: si concentra sulla classificazione del rischio dei sistemi di intelligenza artificiale, ma non ha potuto — né si è proposto di — armonizzare ex ante la propria architettura sanzionatoria e di competenza con quella degli strumenti precedenti. Il risultato è una stratificazione di obblighi che si intersecano senza una gerarchia chiara, con lacune, duplicazioni di competenze e margini di ambiguità interpretativa che i grandi operatori sfruttano sistematicamente a proprio vantaggio.
Sul medesimo fenomeno — un sistema di intelligenza artificiale che interagisce con un minore su una piattaforma social — convergono così le competenze delle Data Protection Authorities nazionali per il GDPR, dei Digital Services Coordinators istituiti ai sensi dell’art. 49 DSA, delle autorità audiovisive nazionali per la Direttiva AVMS, e delle autorità designate per l’AI Act. In molti Stati membri si tratta di soggetti distinti, con culture istituzionali, dotazioni di risorse e sensibilità operative profondamente diverse.
Lo stesso Parlamento europeo ha formalmente evidenziato l’approccio frammentato alle misure di verifica dell’età per i minori nell’Unione, chiedendo il rafforzamento del DSA per incentivare una migliore compliance. L’EDPB ha risposto con strumenti progressivamente più incisivi: i dieci principi sull’age assurance del febbraio 2025, l’estensione del mandato della task force ChatGPT all’enforcement sull’intelligenza artificiale, l’istituzione di un quick response team, le Linee Guida 3/2025 sull’interazione tra DSA e GDPR. Contributi di indubbio rilievo, che testimoniano la piena consapevolezza del Board rispetto alla gravità del problema. Nondimeno, un organismo di coordinamento — anche il più autorevole — non è equivalente a un’autorità di enforcement dotata di poteri diretti. La differenza non è di grado, è di natura.
Il fattore tempo nell’esperienza del Garante italiano
L’esperienza del Garante italiano dimostra che l’intervento tempestivo produce effetti concreti. Il blocco di TikTok nel 2021, disposto a tutela dei minori in conseguenza della morte di una bambina, ha costretto la piattaforma a rivedere strutturalmente le proprie procedure di verifica dell’età. Il provvedimento cautelare su Replika nel febbraio 2023 ha interrotto nell’immediato l’operatività di un chatbot affettivo che trattava dati di minori in assenza di adeguata base giuridica. La sospensione temporanea di ChatGPT nel marzo dello stesso anno ha portato OpenAI a introdurre misure di verifica dell’età e a rivedere l’informativa agli utenti italiani prima della riapertura del servizio. In tutti e tre i casi, il cambiamento di comportamento della piattaforma è avvenuto nell’arco di settimane, non di anni.
Ma quello era un contesto diverso. Tre anni fa era, sul piano tecnologico e regolatorio, un’altra epoca. La proliferazione attuale di sistemi di intelligenza artificiale generativa accessibili ai minori senza adeguati controlli, la diffusione di agenti sintetici con capacità relazionali sempre più sofisticate, la personalizzazione algoritmica estrema dei contenuti per gli utenti più giovani avvengono a una velocità e su una scala che nessuna autorità nazionale può fronteggiare efficacemente da sola.
Vale in questo contesto un principio che ogni regolatore conosce per esperienza diretta: una condotta diventata abitudine consolidata è già un diritto acquisito nell’immaginario collettivo degli utenti. Le piattaforme costruiscono abitudini deliberatamente, sapendo che la finestra temporale entro cui la regolazione può intervenire senza costi politici e sociali insostenibili si chiude rapidamente e, una volta chiusa, è pressoché impossibile riaprirla.
Perché la tutela dei minori richiede un’autorità unica europea
La soluzione non richiede nuova legislazione. Richiede una riforma istituzionale coerente con le norme esistenti e con i principi fondamentali del diritto dell’Unione in materia di effettività (art. 4, par. 3, TUE) e di tutela giurisdizionale effettiva dei diritti fondamentali (art. 47 della Carta dei Diritti Fondamentali dell’UE).
Si può immaginare un EDPB strutturalmente potenziato — sul modello di quanto il DMA ha già realizzato, affidando alla Commissione europea la competenza diretta sui gatekeeper e producendo in tal modo un enforcement più rapido e assai più difficilmente eludibile — con competenze estese oltre la sola protezione dei dati personali, capace di agire in modo integrato su GDPR, DSA, AI Act e AVMS per tutto ciò che attiene alla tutela dei minori, con potere di intervento diretto e non mediato dalla Lead Supervisory Authority nazionale.
In alternativa, si può costruire un soggetto istituzionale nuovo, con mandato trasversale e sede che non coincida con il paese di stabilimento delle aziende vigilate, superando strutturalmente la logica del one-stop shop per questa specifica e sensibile categoria di utenti. L’Unione europea rappresenta oltre 400 milioni di potenziali clienti: nessuna piattaforma può permettersi di ignorare un interlocutore che parla a nome di quella massa critica con voce unica e con poteri di intervento immediato. La dimensione conta, nella regolazione come nella diplomazia.
Oltre 10 miliardi di euro di sanzioni comminate in sette anni di vigenza del GDPR, a cui si aggiungono le prime sanzioni DSA e DMA. Meno dello 0,6% effettivamente incassato. Ventisette autorità nazionali (per il solo GDPR, cui vanno aggiunte, in maniera disordinata e non organica, altre autorità per frammenti di regolamentazione), con tempi, risorse e sensibilità operative profondamente diverse. Un corpus regolatorio-normativo nato per stratificazioni successive, senza un disegno unitario, che riflette i problemi di ogni singolo anno in cui è stato scritto più che la condizione reale del minore nell’ecosistema digitale di oggi.
E dall’altra parte del tavolo, aziende la cui potenza finanziaria rende questi numeri, per quanto imponenti nella retorica pubblica, sostanzialmente irrilevanti sul piano della deterrenza. Nel solo 2024, i quattro principali operatori tecnologici — Alphabet, Microsoft, Meta e Amazon — hanno generato complessivamente 237 miliardi di dollari di free cash flow, circa 650 milioni di dollari al giorno.
L’intera montagna di sanzioni europee accumulate in sette anni — dieci miliardi di euro — corrisponde a circa quindici giorni di liquidità prodotta da questi quattro soli soggetti. Non sette anni di deterrenza regolatoria: quindici giorni di cassa. Alphabet da sola potrebbe azzerare le proprie pendenze sanzionatorie del 2025 in circa tre settimane di ordinaria attività. Apple in poco più di tre giorni.
Questi non sono numeri che descrivono un sistema di enforcement. Sono numeri che descrivono la sua assenza.
Non servono nuove leggi. Serve un’autorità che quelle leggi le faccia rispettare, con la forza istituzionale, la velocità operativa e l’autorevolezza adeguate alla dimensione globale delle controparti. I minori europei non possono aspettare i tempi di una riforma decennale. Né le conclusioni di procedimenti avviati quando i ragazzi che ne sono oggetto stavano ancora imparando a leggere.
Le opinioni espresse sono esclusivamente personali e non rappresentano la posizione istituzionale del Garante
