Le preoccupazioni relative all'accesso dei minori a contenuti dannosi online stanno crescendo esponenzialmente nella percezione pubblica europea. È un allarme sociale che innesca un circolo vizioso: da un lato i cittadini esprimono timori legittimi, dall'altro la classe politica amplifica strategicamente queste paure, trasformandole in emergenze che richiedono interventi immediati e visibili, per poi proporre soluzioni spendibili per ottenere consenso elettorale.

Una tendenza a semplificare fenomeni sociali complessi come l’esperienza digitale dei minori, può facilmente scadere in reazioni emotive più che basate sull’evidenza scientifica, sacrificando opportunità educative e di crescita sociale.

La stessa Commissione europea si è particolarmente spesa in questo ambito, elaborando le linee guida per l’attuazione dell’articolo 28 del Digital Service Act, che regolamenta la sicurezza dei minori, anche se in maniera piuttosto generica.

Art. 28 DSA
Protezione online dei minori
1. I fornitori di piattaforme online accessibili ai minori adottano misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori sul loro servizio.
2. I fornitori di piattaforme online non presentano sulla loro interfaccia pubblicità basata sulla profilazione come definita all'articolo 4, punto 4), del regolamento (UE) 2016/679 che usa i dati personali del destinatario del servizio se sono consapevoli, con ragionevole certezza, che il destinatario del servizio è minore.
3. Il rispetto degli obblighi di cui al presente articolo non obbliga i fornitori di piattaforme online a trattare dati personali ulteriori per valutare se il destinatario del servizio sia minore.
4. La Commissione, previa consultazione del comitato, può emanare orientamenti per assistere i fornitori di piattaforme online nell'applicazione del paragrafo 1.

Le preoccupazioni relative ai minori sono diffuse, ma gli studi in tema non sempre sono ben compresi nelle loro implicazioni. Una vasta letteratura scientifica prodotta da università e centri di ricerca (es. EU Kids Online network, finanziato dalla Commissione Europea), organizzazioni internazionali (UNICEF, ITU), ONG per la protezione dell'infanzia e organismi governativi, sostengono che i minori sono esposti a numerosi rischi online:

• Esposizione a materiale inappropriato o dannoso (pornografia, violenza estrema, discorsi d'odio, disinformazione, contenuti pro-suicidio/autolesionismo, promozione di disturbi alimentari);
• Interazioni con malintenzionati (grooming online, adescamento), cyberbullismo, molestie, sexting non consensuale o sotto pressione;
• Comportamenti messi in atto dal minore stesso che possono essere dannosi (cyberbullismo verso altri, condivisione eccessiva di dati personali, sexting volontario ma con conseguenze impreviste, dipendenza da internet/videogiochi);
• Marketing aggressivo, truffe online, raccolta e uso improprio dei dati personali.

Ma gli studi evidenziano altresì che l’esposizione e la vulnerabilità ai rischi varia enormemente in base all’età del minore, al genere, al contesto socio-culturale, alle competenze digitali, al supporto genitoriale e alle caratteristiche psicologiche individuali. Insomma, non tutti i minori sono ugualmente a rischio e non tutti reagiscono allo stesso modo.

Inoltre gli studi (es. EU Kids Online, UNICEF), riconoscono esplicitamente che l'esperienza online dei minori non è solo fatta di rischi, ma anche di significative opportunità e benefici. Ad esempio, i minori grazie a internet hanno l’accesso a vaste risorse educative (aspetto fondamentale specialmente negli ambiti familiari più emarginati o dove i genitori hanno poco tempo da dedicare ai figli); i minori hanno la possibilità di mantenere contatti con amici e partecipare a comunità online basate su interessi comuni, in special modo trovare supporto tra pari (particolarmente importante per minoranze o gruppi con esigenze specifiche); online possono esplorare la propria identità ed esprimersi creativamente, accedere a informazioni su temi sensibili come la salute, la sessualità e l’identità di genere, in modo privato.

Altri studi (es. Child Online Safety Legislation (COSL) - A Primer) dimostrano che le attività online che offrono maggiori opportunità (es. creazione di contenuti) sono quelle che possono comportare maggiori rischi. Non sempre è presente un paragone, oppure non è adeguato, tra rischi e benefici.

Timori e rischi delle proposte normative

Uno dei maggiori timori legati all’implementazione di sistemi di verifica dell’età è dato dal blocco di contenuti in modo generalizzato o basato su sistemi inadeguati, cosa che potrebbe portare a bloccare anche contenuti del tutto legittimi, se non addirittura contenuti educativi e di supporto cruciali per lo sviluppo e il benessere dei minori. Un esempio classico riguarda le problematiche relative alle identità di genere, l’orientamento sessuale, la salute mentale e fisica, essenziali per i giovani, che facilmente sarebbero bloccate dalle aziende semplicemente per non avere problemi con le autorità. Un sistema potrebbe bloccare l’accesso a risorse vitali fornite da organizzazioni sanitarie, gruppi di supporto o fonti educative affidabili, con conseguenze difficili da quantificare sulla salute fisica e psicologica del minore. Una piattaforma, di fronte alle pressioni normative e governative preferirebbe sicuramente impedire l’accesso a tali contenuti piuttosto che dover affrontare rischi sanzionatori o reputazionali. Gli strumenti automatizzati di moderazione, che ovviamente faticano a comprendere il contesto e le sfumature, possono esacerbare il problema.

E non dobbiamo dimenticare che i rischi per i minori esistono anche offline. I minori sono comunque esposti a bullismo (a scuola), a contenuti inappropriati (riviste, TV), a contatti potenzialmente pericolosi, pressioni sociali e modelli negativi (es. sessualizzazione precoce e stereotipata in TV e sulle riviste). La narrativa predominante vede una semplificazione, “Offline sicuro contro Online pericoloso”, che tende a creare una dicotomia irrealistica. Il mondo reale appare così un’utopia dove i minori vivono senza pericoli contrapposto a un FarWest digitale. In questo modo ci si focalizza sui rischi online dimenticando quelli offline, col rischio di concentrare risorse solo verso le problematiche online. Non solo, tale narrativa non considera le sovrapposizioni o le amplificazione delle dinamiche offline, il bullismo spesso parte dall’offline per poi estendersi nell’online. In breve ci stiamo incamminando verso un percorso di sterilizzazione dell’ambiente online (mai chiesto per le TV) che non è chiaro a cosa porterà, con enormi rischi di iper-controllo del flusso online da parte delle piattaforme.

Il cyberbullismo nasce nella vita reale, il codice di autoregolamentazione non serve

Le norme in preparazione sembrano aprire la strada a forme di censura, in quanto impongono alle piattaforme un obbligo di diligenza che i governi imporranno a siti web, app, social network, forum di messaggistica e videogiochi online. Ogni qualvolta qualcuno riterrà che un determinato contenuto possa causare “ansia” o “depressione” nei minori o incoraggiare abusi o incidere sulla vita o la sicurezza dei minori, scatteranno gli obblighi o le piattaforme preferiranno applicare gli obblighi per evitare rischi. In teoria moltissimi contenuti potrebbero rientrare nelle categorie fin troppo generiche utilizzate.

Esiste, inoltre, un problema di fondo. Da un lato il DSA obbliga le piattaforme ad adottare “misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori sul loro servizio”. Dall’altro, precisa che il rispetto di tali obblighi “non obbliga i fornitori di piattaforme online a trattare dati personali ulteriori per valutare se il destinatario del servizio sia minore”. Questo perché i dati dei minori sono considerati a protezione massima, e anche la semplice informazione che il minore sia tale ricade nella categoria. Questo crea un evidente paradosso: come possono le piattaforme applicare misure specifiche per i minori se non sono obbligate a raccogliere nuovi dati?

Qualsiasi sistema di verifica dell’età, per definizione, richiede che siano raccolti dati ulteriori, sia per i minori che per gli adulti. Non è possibile distinguere un minore da un adulto se non si stabilisce l’età per tutti gli utenti della piattaforma. Ovviamente, i metodi possono essere più o meno invasivi, e in questo senso l’EDPB (Statement 1/2025 on Age Assurance) ha precisato che le piattaforme devono rispettare sempre il principio di minimizzazione dei dati e che tali dati non dovrebbero essere utilizzati per altri fini (es. a fini pubblicitari), e si stanno studiando soluzioni privacy-preserving, ma comunque ci saranno più dati che verranno raccolti.

La piattaforma potrebbe basarsi sui dati già raccolti (es. al momento della registrazione al servizio). Si tratta di una auto-dichiarazione che notoriamente è inaffidabile, ma l’art. 28 sembra convalidare l’idea che le piattaforme non dovrebbero andare oltre l’auto-dichiarazione (se non in presenza di obblighi più stringenti relativi a specifici rischi ulteriori).

In alternativa, una piattaforma potrebbe implementare nuove applicazioni come sistemi di “age assurance” o “age verification”. Si tratta di tecnologie che dovrebbero permettere di avere una garanzia sull’età senza che la piattaforma debba necessariamente vedere i dati sull’età. Attualmente sono allo studio da parte delle istituzioni europee dei sistemi che implementano una verifica tramite terze parti. In breve sarà una terza parte a raccogliere i dati relativi all’età (es. carta di identità), e alla piattaforma fornirà solo l’ “age assurance”, cioè la garanzia che l’utente è maggiorenne, senza però specificare l’età.

Ulteriormente, sono allo studio anche metodi crittografici, come le zero-knowledge proofs (ZKP) che permetterebbero a un utente di dimostrare di soddisfare un requisito d'età senza rivelare alcun dato personale alla piattaforma.

App europea e sue criticità

Nel 2024 l’Unione europea ha adottato il Regolamento eIDAS che definisce il quadro giuridico per le identità digitali e l’autenticazione in Europa da introdurre entro il 2026. Tutti gli Stati europei stanno lavorando alle versioni nazionali dei portafogli di identità. Ma nonostante l’imminente introduzione delle identità digitali europee, la Commissione europea nell’autunno del 2024 ha pubblicato un bando di gara per un “portafoglio ID” offrendo 4 milioni in cambio dello sviluppo di un soluzione di verifica dell’età. L’idea è quella di introdurre la verifica dell’età a livello di app, incoraggiando una tendenza generale che spinge gli obblighi a un livello sempre più basso, dalle app agli app Store, fino ai fornitori di servizi digitali.

La Commissione vuole un’applicazione mobile che fungerà da portafoglio digitale, memorizzando una prova dell’età per consentire agli utenti di accedere ai contenuti online. L’applicazione richiederà una prova dell’età, che potrebbe sfruttare diversi metodi. L’applicazione poi genererà la prova dell’età (age assurance) che sarà fornita ai siti web che limitano i contenuti a determinate fasce di età. L’app dovrebbe, in seguito, essere integrata con l’architettura del futuro Portafoglio di Identità Digitale.

Lo sviluppo dell’app è ancora in divenire, ma alcuni aspetti chiave stanno emergendo progressivamente. L’applicazione dovrebbe rispettare il principio di minimizzazione dei dati, dovrebbe impedire l’intercettazione non autorizzata dei dati, dovrebbe rendere i dati incollegabili per garantire che siano divulgati solo gli identificatori richiesti per le specifiche transazioni. Tuttavia molto dei requisiti appaiono facoltativi. Ad esempio, non è obbligatorio lo Zero Knowledge Proof (ZKP). Uno Zero Knowledge Proof offre un metodo crittografico per non rilevare informazioni sensibili, come la data di nascita. Esso offre una dichiarazione, come ad esempio un banale “si” o “no” alla domanda se un soggetto è minore di 18 anni.

Sebbene tale soluzione presenti molti aspetti positivi, si tratta di un sistema completamente nuovo che interessa milioni di persone, a cui verrà chiesto di fornire una prova dell'età con una frequenza potenzialmente maggiore che mai. E questo mette a repentaglio nel tempo la resilienza delle misure di protezione dei dati personali. Inoltre si tratta di sistemi del tutto nuovi, probabilmente non ancora del tutto maturi, e la fretta di implementarli mette a rischio tutti gli utenti.

Fermo restando che il quadro regolamentare è ancora in divenire, le norme eIDAS prevedono l’obbligo di registrazione delle categorie di dati richieste da parte dei verificatori, cioè le terze parti. Il portafoglio pianificato dalla Commissione europea non sembra prevederlo più, quindi agli utenti verrebbe chiesto di dimostrare le propria età senza le limitazioni ai verificatori per impedire abusi.

Ma c’è un altro aspetto che solleva non poche preoccupazioni. Chi non è in possesso di carte di identità, passaporti, permessi di soggiorno o documenti come certificati di nascita, rischia di rimanere escluso dall’accesso alle informazioni e ai servizi online. Considerando che ormai la maggioranza dei servizi, non solo privati ma anche pubblici, si sono spostati o si stanno spostando online questo è un problema serio specialmente per i gruppi già emarginati, lasciando potenzialmente milioni di persone in tutta l’Unione europea nell’impossibilità di accedere a servizi o informazioni essenziali. Pensiamo a tutti coloro che accedono alle informazioni tramite internet café o biblioteche o scuole, perché non sono in possesso di un dispositivo digitale. In genere proprio coloro che si trovano ai margini della società, rischiano di essere ulteriormente esclusi a causa degli obblighi di verifica dell’età basati sulle identità digitali.

Punti critici della verifica

La sicurezza dei minori è importante e non va sottostimata. Ma comunque si vorrà implementare tali metodi di verifica, il punto è che saranno acquisiti ulteriori dati dagli utenti, e ci sono rischi di estensione della verifica dell’età ad altri campi (Scope-Creep). Una volta che l’infrastruttura tecnica e la legittimazione sociale per la verifica dell’età sono state stabilite per un determinato scopo, esiste il rischio concreto che tale meccanismo sia proposto ed esteso ad altri ambiti e per altri fini. Si potrebbe pensare al controllo del gioco d’azzardo, dell’acquisto di alcool e tabacco, dei contenuti politici “sensibili”, o persino l’accesso a determinate sezioni di notizie o social media. La verifica dell’età diverrebbe una forma di controllo per consentire un accesso adeguato all’età, indipendentemente dal limite di età, così innescando una forma di controllo che potrebbe facilmente sfociare in una visione paternalistica gestita dal governo con la complicità della grandi piattaforme del web, ormai sempre più incamminate sulla strada di impersonare i veri grandi editori dell’era digitale. L’applicazione generalizzata, a tutti, di tale verifica rappresenterebbe un salto in avanti significativo con potenziali implicazioni sulla libertà di accesso all’informazione.

Un’altra conseguenza possibile sarebbe un diminuzione delle “pressioni” sulle piattaforme per la moderazione dei contenuti. Se una piattaforma può ragionevolmente dimostrare che i suoi servizi non vengono diffusi a minori, avrebbe meno pressioni legali, reputazioni e sociali a moderare attivamente i contenuti presenti, presumendo che gli adulti siano “responsabili” di ciò che vedono. Il rischio è di avere una separazione di internet (internet divide), una per i minori iper-controllata ed eccessivamente regolamentata, e una per gli adulti dove l’attenzione alla moderazione è sempre meno sentita, con una proliferazione massiva di contenuti di disinformazione e hate speech.

L’introduzione di controlli d’età frequenti e obbligatori creerà una frizione significativa per l’utente che interrompe il flusso naturale della navigazione. L’“age gate” interrompe l’utente che cerca un’informazione con un’azione secondaria non desiderata. Se il controllo è ripetuto e richiesto su molti siti, considerando anche la possibilità che il processo possa fallire per vari motivi anche tecnici, rischieremmo una ripetizione del fastidio da cookie banner, in particolare quelli più invasivi (cookie fatigue) per i quali spesso gli utenti sono portati ad accettare tutto senza leggere con una chiara vanificazione dello scopo della norma. È probabile che si sviluppi una “age gate fatigue” con utenti infastiditi che potrebbero cercare alternative, casomai non verificate e quindi potenzialmente meno sicure e legali. L'esperienza spesso negativa avuta con l'implementazione del consenso cookie sotto GDPR dovrebbe servire da monito.

Infine, gli obblighi di verifica dell'età rischiano di compromettere l'accesso cruciale ai servizi digitali, erodendo la privacy e la protezione dei dati e limitando la libertà di espressione. I rischi e le barriere all’accesso colpiscono maggiormente chi non possiede dispositivi personali (persone a basso reddito, anziani, senzatetto), chi ha difficoltà a ottenere i documenti d'identità necessari per ottenere la credenziale verificabile iniziale (migranti, persone con status amministrativi precari), chi ha basse competenze digitali (analfabetismo digitale, anziani, persone con disabilità cognitive) e chi vive in aree con scarsa connettività. Si tratta di persona che già vivono ai margini della società e che magari beneficerebbero maggiormente dell'accesso a informazioni e servizi online, ma che rischiano di essere ulteriormente esclusi dal sistema.

Alternative

Un punto scarsamente esplorato è il costo di questi sistemi. Si tratta di sviluppi tecnologici per le piattaforme, che dovranno introdurre delle tecnologie che poi saranno incentivate a utilizzare il più possibile per ammortizzarne i costi, costi per i fornitori di identità e wallet e per gli enti di verifica. Ci saranno costi di integrazione nei siti web e nelle app, costi di gestione, audit e monitoraggio, e di supporto agli utenti. E questo senza nemmeno pensare ai costi sociali legati all’esclusione digitale.

Una possibile alternativa sarebbe investire questi soldi in alfabetizzazione digitale, che tende a rendere i minori (ma anche gli adulti) cittadini più consapevoli con più informazioni e maggiori capacità di riconoscere i rischi e proteggersi, piuttosto che dover contare sulle scelte statali e dei privati, del tutto opache e spesso non disinteressate. In questo modo si affronterebbero direttamente le cause, con un discorso di lungo termine che porterebbe a crescere una cittadinanza più consapevole, più partecipe civicamente e con maggiori prospettive lavorative. Si eviterebbero gli effetti collaterali, come i rischi di esclusione digitale, l’aumento della sorveglianza, i rischi di perdita di dati (data breach), la frizione dell’esperienza utente e lo scope creep.

Ovviamente è pacifico che si tratta di questioni che vanno pensate sul lungo periodo, per cui probabilmente la politica, che tende spesso a monetizzare solo sul breve termine potrebbe non essere interessata, e nemmeno i privati che non riceverebbero gli investimenti che girano intorno a tutta questa enorme operazione di verifica dell’età.

Forse sarebbe meglio trovare un punto di equilibrio, investire massicciamente e in modo continuativo in digital literacy, come strategia di lungo periodo, e utilizzare tecniche mirate e proporzionate per i rischi gravi, come il blocco dei contenuti pedo-pornografici. Nel contempo spingere a una maggiore responsabilizzazione per le piattaforme nella progettazione dei loro servizi, introducendo specifici obblighi nelle normative europee, sulla falsariga delle norme in materia di protezione di dati personali (obblighi di sicurezza per i minori by default e by design).

La pressione politica e la percezione della necessità di “fare qualcosa” di tecnicamente visibile (e spendibile elettoralmente parlando) spesso spingono verso soluzioni di verifica, anche a fronte dei loro costi e limiti. La sfida sta nel promuovere un dibattito più informato che valorizzi l'importanza cruciale e forse più sostenibile dell'alfabetizzazione digitale come pilastro della sicurezza online. L’obiettivo è quello di avere uno spazio informativo digitale che sia aperto e inclusivo, in cui tutte le voci possono essere ascoltate e in cui tutti possano partecipare attivamente, senza l’obbligo di condividere dati sensibili per accedere alle informazioni e per comunicare tra noi.

*Audio generato con IA: Google NotebookLM

Immagine in anteprima: NightCafé AI