La verifica dell’età per l’accesso ai contenuti porno in Italia diventa realtà in Italia solo sulla carta. Nelle norme, ossia: la loro attuazione sarà molto difficile, a giudicare dalle premesse.
Emerge a una lettura della delibera AGCOM n. 96/25/CONS, adottata l’8 aprile e pubblicata il 12 maggio 2025, rappresenta un passaggio normativo tanto ambizioso quanto problematico, poiché mira a disciplinare l’accesso dei minori ai contenuti pornografici online, attuando quanto previsto dall’art. 13-bis della Legge n. 159/2023, nota anche come “Decreto Caivano”.
Ricordiamo che le regole diventano obbligatorie entro sei mesi dalla pubblicazione della delibera. In teoria quindi da metà novembre i siti e piattaforme porno dovranno adottare i filtri e consentire l’accesso solo ai maggiorenni.
Filtri basati su app – come l’app io o digital wallet scrive Agcom – o su fornitori terzi certificati.
Accesso dei minori al web, verifica dell’età: ecco la nuova era
Entrando nel merito della fattispecie positivizzata è opportuno segnalare che la questione affrontata è sicuramente di forte rilevanza sociale e giuridica, dato che impedire l’esposizione precoce a contenuti per adulti non è soltanto un obiettivo morale, ma anche una misura di tutela della salute pubblica e dei diritti fondamentali dell’infanzia.
Indice degli argomenti
Verifica età per il porno: i nodi delle regole
Tuttavia, dietro le legittime e positive dichiarazioni di intenti, la struttura regolatoria presenta una serie di incongruenze sistemiche e mancanze tecniche che rischiano di rendere l’intervento inefficace o, peggio, dannoso sul piano della protezione dei dati personali.
Innanzitutto, la ratio della normativa è chiara e condivisibile: impedire che i minori, con sempre maggiore facilità, accedano a contenuti espliciti sul web, solo che, un occhio più attento si accorgerà che il percorso tecnico-giuridico individuato per raggiungere tale scopo è complesso e non ancora definito: infatti, la delibera AGCOM prevede che, entro sei mesi dalla sua pubblicazione, tutti i siti e piattaforme che diffondono contenuti pornografici accessibili dall’Italia debbano adottare un sistema di verifica dell’età conforme ai requisiti imposti. Tuttavia, ad oggi, non esiste un’infrastruttura tecnica funzionante, né un elenco ufficiale dei soggetti tenuti all’adeguamento, né dei fornitori terzi accreditati per l’identificazione dell’età.
Si configura così una norma dal contenuto vincolante ma dalla struttura esecutiva ancora assente: una “norma che c’è ma non c’è”.
Il doppio anonimato
Uno dei punti più delicati riguarda la definizione stessa del sistema di verifica: esso deve garantire un doppio anonimato, ovvero impedire che il soggetto che verifica l’età conosca il contenuto fruito e, specularmente, che il sito che fornisce i contenuti conosca l’identità dell’utente. Questo principio, ispirato ai dettami del GDPR e al principio di minimizzazione dei dati, è giuridicamente virtuoso ma tecnicamente di difficile realizzazione.
La verifica dell’età dovrà avvenire in due fasi: una prima identificazione da parte di un soggetto terzo e una seconda fase in cui il sito riceve una “prova dell’età” senza ulteriori trattamenti di dati personali. Ma quali sono questi soggetti terzi? Con quali strumenti tecnologici si garantisce il doppio anonimato? E, soprattutto, chi certifica la conformità di tali strumenti? L’AGCOM non ha (ancora) fornito risposte.
L’esclusione esplicita dello SPID come strumento di verifica è un altro punto critico che merita attenzione: infatti, SPID, in quanto sistema di identità digitale pubblica, è escluso sia per limiti normativi (può essere usato solo per l’accesso a servizi pubblici o privati convenzionati) sia per motivi di privacy, in quanto farebbe sapere al fornitore Spid i contenuti fruiti dall’utente.
Scelta coerente con i principi del GDPR, lascia tuttavia un vuoto operativo difficilmente colmabile nel breve periodo; l’app IO è indicata come possibile infrastruttura idonea a ospitare strumenti di attestazione dell’età anonimi e interoperabili, ma oggi non è certificata né qualificata come soggetto terzo, anche il Digital Identity Wallet europeo, previsto da eIDAS 2.0, rappresenterebbe una prospettiva interessante ma ancora non attuabile.
Siamo quindi di fronte a un sistema normativo che chiede alle piattaforme di conformarsi a uno standard di fatto inesistente.
Il problema dell’accreditamento dei terzi
Sul piano giuridico, il cuore del problema risiede nella mancanza di un meccanismo di accreditamento e certificazione dei soggetti terzi che dovrebbero garantire la verifica dell’età. In questo senso, AGCOM, pur definendo in modo chiaro i requisiti minimi (utilizzo di identificatori forti come documenti, carte di credito, database certificati, attestazioni biometriche), non ha predisposto alcun registro, né ha indicato un’autority tecnica per la verifica della conformità, ne consegue, quindi, una responsabilità operativa e giuridica che ricade interamente sulle piattaforme pornografiche, le quali, in assenza di standard uniformi, potrebbero adottare soluzioni disomogenee, inefficaci o, peggio, in contrasto con i principi del GDPR, rischiando di creare un mercato opaco della verifica dell’età, in cui soggetti non certificati si improvvisano garanti di un diritto così delicato come quello alla protezione dei minori.
In questo quadro e in via ipotetica, uno strumento alternativo e conforme al GDPR potrebbe essere un sistema di “verifica crittografica dell’età” basato su credenziali verificabili (verifiable credentials) e identità digitali decentralizzate. Un utente potrebbe ottenere, da un’autorità riconosciuta (es. comune, ASL, scuola), un certificato digitale che attesti esclusivamente il superamento della soglia d’età minima, senza rivelare dati identificativi.
Tale certificato, firmato crittograficamente, potrebbe essere memorizzato in un wallet digitale personale e presentato ai siti per accedere ai contenuti, in modo selettivo e anonimo, questo approccio, già sperimentato in alcuni progetti europei in ambito di eIDAS 2.0, garantirebbe al contempo privacy, sicurezza e interoperabilità, sebbene richieda un’infrastruttura di fiducia e uno standard condiviso a livello nazionale o sovranazionale, nonché un ruolo attivo da parte delle pubbliche amministrazioni o di enti certificatori terzi.
Inoltre, l’estensione dell’obbligo anche ai fornitori esteri è, sotto il profilo giuridico, una scelta significativa che richiama il principio dell’effetto esterno della normativa nazionale in quanto se un sito pornografico utilizza la lingua italiana, ottiene ricavi dal territorio italiano o registra traffico significativo dall’Italia, sarà considerato soggetto alla regolamentazione AGCOM. Questa impostazione ricalca l’approccio territoriale già adottato nel GDPR e nel Digital Services Act, ma introduce nuove complessità operative: come notificare efficacemente l’obbligo a soggetti extra-UE? Quali strumenti coercitivi ha l’AGCOM per imporre l’adeguamento? Sarà sufficiente la comunicazione alla Commissione europea? Anche qui, le risposte mancano.
Sul piano delle prospettive normative, non è da escludere che il sistema di verifica dell’età oggi previsto per i siti pornografici diventi, nel prossimo futuro, un principio regolatore generale per tutti i contenuti potenzialmente nocivi: hate speech, istigazione alla violenza, promozione dei disturbi alimentari e la delibera AGCOM, pur concentrandosi sul porno, lascia aperta questa porta con un invito non vincolante alla valutazione dell’estensione della verifica, dando spazio così ad un nuovo fronte di regolazione, con conseguenze dirompenti sul piano della libertà di espressione, dell’accessibilità ai contenuti digitali e della governance dell’identità online.
Verifica età, applicare le regole mission impossible?
In conclusione, la delibera AGCOM è un tentativo coraggioso di coniugare tutela dei minori e protezione dei dati personali, ma sconta una cronica carenza di strumenti tecnici e giuridici per la sua attuazione: l’efficacia dell’intervento dipenderà non solo dalla volontà dei soggetti obbligati, ma dalla capacità del legislatore e delle autorità di colmare rapidamente i vuoti attuativi oggi presenti.
La domanda, a questo punto, non è solo se riusciremo a proteggere i minori, ma a quale prezzo per i diritti digitali degli adulti, la verifica dell’età sarà davvero uno strumento di tutela o rischia di trasformarsi in un meccanismo di sorveglianza diffusa? E chi vigilerà sui vigilanti, in un sistema ancora privo di controlli certificati e trasparenti?
