Come funzionerà questa storia della verifica dell’età sui siti porno

Da mercoledì 12 novembre, in Italia, è in vigore l’obbligo per i siti e le piattaforme che diffondono contenuti pornografici di verificare l’età degli utenti. Si tratta del primo passo operativo di un percorso avviato con l’articolo 13-bis del cosiddetto “decreto Caivano” – entrato in vigore a novembre 2023 – e con il regolamento attuativo dell’Autorità per le garanzie nelle comunicazioni (Agcom), che attribuisce a quest’ultima poteri di vigilanza e sanzione fino a 250 mila euro e, in caso di inottemperanza, il blocco dei servizi.

Al momento in cui scriviamo, comunque, entrando su molti dei siti porno più frequentati in Italia, ancora non viene richiesta alcuna verifica dell’età. Nonostante l’obbligo sia formalmente entrato in vigore, per ora molti portali continuano a far cliccare semplicemente sul bottone che indica «ho 18 anni o più». Questo perché mercoledì 12 novembre l’Agcom ha chiarito che i siti porno che non hanno sede giuridica in Italia, e cioè la grande maggioranza di quelli inseriti nella lista stilata dall’autorità garante, hanno altri tre mesi di tempo per adeguarsi all’obbligo.

In pratica, la legge c’è, ma la sua applicazione concreta è ancora in fase di avvio. 

Cosa dice la normativa

La pagina tematica dell’Autorità spiega che l’obbligo vale per i siti e per i “video sharing platform” che diffondono in Italia immagini e video a carattere pornografico, a prescindere dal Paese di sede, e che la verifica deve rispettare principi di minimizzazione dei dati e sicurezza “adeguata al rischio”. La prima lista ufficiale dei servizi interessati include i grandi portali gratuiti e piattaforme come Pornhub, YouPorn, Xvideos e OnlyFans.

Per tutelare la privacy degli utenti, non occorre mostrare il documento al sito, ma dimostrare la maggiore età senza rivelare l’identità di chi naviga. Il regolatore parla di “age assurance”, cioè del complesso di metodi per determinare l’età o la fascia d’età con diversi livelli di certezza; dentro l’ombrello rientrano l’age verification, che usa identificatori rigidi o fonti verificate (come documenti o banche dati sicure), e l’age estimation, che stima l’età con tecniche statistiche o di intelligenza artificiale. Le definizioni sono fissate nell’Allegato A della delibera Agcom. L’Italia ha scelto un’architettura basata su soggetti terzi certificati e su un principio di doppio anonimato: chi verifica l’età non deve sapere a quale sito vuole accedere l’utente; il sito non deve ricevere dati identificativi dell’utente, ma solo una prova della maggiore età. Agcom lo scrive in modo esplicito sia nella pagina tematica sia nel regolamento: la prova dell’età viene generata da un fornitore indipendente e trasmessa al sito senza che questo possa ricondurla alla persona fisica; allo stesso tempo l’identity provider non deve conoscere il dominio visitato.

Nel concreto, l’utente potrà utilizzare un’app di un fornitore certificato – per esempio un’app “portafoglio” di identità digitale – che genera un codice o token da incollare nella pagina del sito per adulti. Il token attesta solo “18+”: non contiene nome, data di nascita o altri dati personali. Inoltre, la verifica va ripetuta per ogni sessione, così da ridurre rischi di tracciamento e riuso illecito. 

Spid o non Spid?

Nelle scorse settimane si è diffusa l’idea che si sarebbe entrati nei siti per adulti attraverso i documenti digitali, come lo Spid e la Cie (Carta d’identità elettronica). La delibera in realtà dice altro: sistemi pubblici come Spid potrebbero essere usati solo se garantiscono il doppio anonimato, cosa che oggi non accade per come funziona lo scambio di metadati nella modalità standard di autenticazione. Agcom scrive che Spid, «ad esempio, non risulta pienamente conforme alle specifiche tecniche» proprio perché l’identity provider potrebbe conoscere il sito visitato; quindi, finché non verranno adeguate le interfacce, non è una via praticabile. A oggi, Spid e Cie non sono utilizzabili nella fase di avvio, in attesa di soluzioni terze certificate.

L’impianto italiano si muove dentro un contesto europeo in rapida evoluzione. La Commissione europea ha pubblicato linee guida per la protezione dei minori e ha presentato un’app di verifica dell’età che tutela la privacy degli utenti in cinque Paesi (tra cui l’Italia), in fase di test, come ponte verso il futuro Portafoglio di identità digitale europeo previsto per il 2026. Nelle linee guida e nei documenti tecnici europei si insiste sugli stessi principi adottati da Agcom: minimizzazione, non tracciabilità, interoperabilità, doppio anonimato. L’app UE potrebbe diventare operativa per l’Italia entro fine 2025 e confluire poi nel portafoglio digitale europeo nel 2026.

I precedenti internazionali

Sul piano tecnico, l’Italia fissa alcuni paletti che la distinguono da altri ordinamenti. L’Ofcom britannica, omologa dell’Agcom italiana, che applica l’Online Safety Act dal 2023, ammette una gamma più ampia di metodi definiti “highly effective”, tra cui la stima dell’età tramite analisi facciale, il “photo-ID matching”, i controlli via open banking, le verifiche tramite operatori mobili o servizi di identità digitale. Molti di questi metodi espongono l’utente a rischi legati alla privacy, in caso di fughe di dati da parte di chi certifica la sua maggiore età. 

L’obbligo di verifica dell’età per i siti pornografici (analogo a quello italiano) è entrato a regime il 25 luglio 2025. Le analisi della stampa e i dati di traffico hanno segnalato un crollo significativo degli accessi ai grandi siti per utenti britannici nelle prime settimane, insieme a un aumento dell’uso di VPN (applicazioni che, tra le altre cose, simulano una connessione da una specifica area geografica a discrezione di chi le usa) per eludere i blocchi, con tutte le incertezze del caso su cosa stia davvero accadendo in termini di esposizione dei minori. La scelta italiana, vietando l’uso di dati biometrici a fini di identificazione o autenticazione, riduce il rischio legato alla privacy degli utenti ma aumenta la dipendenza da provider esterni certificati e dall’affidabilità dei loro processi.

Un altro confronto utile è con la Francia. Dopo anni di stallo, Parigi ha introdotto un sistema che prevede misure di doppio anonimato e poteri rafforzati ad Arcom (omologa francese di Agcom) per sanzionare e, se necessario, bloccare l’accesso ai siti non conformi. Il Consiglio di Stato francese ha respinto nel 2025 i ricorsi urgenti presentati da operatori del settore, ritenendo prevalente l’interesse pubblico alla protezione dei minori; alcune grandi piattaforme hanno reagito autosospendendosi o bloccando l’accesso dalla Francia in segno di protesta. È uno scenario che l’Italia dovrà considerare: il potere di blocco esiste anche nel nostro ordinamento e la lista Agcom individua già gli operatori interessati, compresi quelli stabiliti fuori dal Paese ma con audience italiana rilevante. Non è detto che la Corte italiana risponderà alla stessa maniera della cugina d’Oltralpe.

Rischi e benefici della misura

La domanda chiave è se la misura sia così necessaria e se porterà benefici reali. L’obiettivo di impedire l’accesso ai minori è condiviso a livello europeo e nazionale e la semplice autodichiarazione «ho più di 18 anni» come popup di accesso ai siti pornografici si è rivelata inefficace. In Regno Unito Ofcom ha stimato che una quota non trascurabile di minori accedeva regolarmente a siti pornografici; da qui l’obbligo di controlli robusti. I primi dati su cali di traffico potrebbero indicare una barriera effettiva all’accesso occasionale e “casuale”. Ma l’uso di VPN, mirror – versioni duplicate di un sito web ospitate su altri server o domini – e app di terze parti, già evidenziato dal caso britannico, sarà un tema costante anche in Italia e ridurrà l’efficacia verso gli utenti più determinati e alfabetizzati dal punto di vista digitale. La vera metrica, più che il traffico, sarà l’esposizione dei minorenni nel tempo: servono studi indipendenti su prevalenza e incidenza, altrimenti si rischia di misurare soprattutto gli spostamenti del traffico e l’emersione di rotte alternative.

Sulla tutela della privacy, la scelta italiana di vietare biometrici e stime basate sulla cronologia e di imporre il doppio anonimato va nella direzione più prudente e compliant dal punto di vista del GDPR, il regolamento europeo sulla protezione dei dati personali nella navigazione online. L’Allegato A vieta anche la profilazione da parte dei fornitori coinvolti e impone che il sito non possa raccogliere identità, età o data di nascita; al fornitore terzo è preclusa la conoscenza del dominio visitato, requisito indispensabile per impedire liste sensibili di interessi sessuali che potrebbero poi essere rubate da hacker e rivendute sul dark web con gravi conseguenze per la privacy degli utenti colpiti. Restano però alcuni punti critici. L’esistenza stessa di un intermediario che rilascia prove d’età crea un’infrastruttura centrale che, se mal progettata o compromessa, può diventare un bersaglio appetibile. In Regno Unito, organizzazioni e testate giornalistiche hanno segnalato che accumulare documenti o selfie per finalità di verifica può costituire un tesoro per i criminali informatici; è una preoccupazione legittima, ma l’Italia vieta quel tipo di raccolta dal lato dei siti per adulti. Inoltre, in assenza di linee guida operative su log di rete e conservazione, i fornitori di verifica potrebbero comunque intuire i comportamenti degli utenti tramite correlazioni temporali o di IP: è un rischio mitigabile con token monouso, randomizzazione e altri metodi, ma andrà vigilato (da chi?).

Il capitolo implementazione è quello più incerto. Molti editori dovranno integrare sistemi esterni che ancora si stanno certificando; OnlyFans, ad esempio, è già indicato nella lista dei soggetti interessati e ha esperienza diretta con l’enforcement britannico, dove Ofcom ha applicato sanzioni in casi di informazioni inesatte sui controlli d’età. La stessa Agcom riconosce che il suo quadro è «tecnologicamente neutrale» e transitorio, in attesa dei tasselli europei; ciò significa che nei prossimi mesi potrebbero arrivare aggiornamenti tecnici e indicazioni su interoperabilità e audit dei provider. L’Autorità, a oggi, non ha ancora indicato una app nazionale per effettuare la verifica: i siti dovranno appoggiarsi a fornitori terzi certificati, con procedure di accreditamento ancora in corso.

C’è poi un tema di coerenza tra norme nazionali e Digital Service Act, il regolamento europeo sui servizi digitali. A Bruxelles si lavora a una soluzione armonizzata e a un’app UE che attesti la maggiore età di un utente senza condividere dati identificativi, con l’idea di migrare poi nel Portafoglio di identità digitale europeo. Italia, Francia, Spagna, Grecia e Danimarca sono i Paesi parte del progetto pilota proprio per accelerare l’interoperabilità dei controlli con i grandi servizi online. Se l’app funzionerà davvero a doppio anonimato e sarà semplice da usare potrebbe ridurre attriti e abusi; se risulterà macchinosa, lascerà il campo a soluzioni private non uniformi e più vulnerabili.

L’obiettivo del legislatore italiano, ovvero la tutela dei minori rispetto ai contenuti di natura pornografica, è legittimo; il framework normativo nelle mani di Agcom è più sicuro della media dei progetti stranieri simili a questo rispetto alla protezione dei dati personali. Tuttavia, l’efficacia dello strumento dipenderà dall’adesione dei grandi operatori, dalla capacità di far rispettare i blocchi ai recidivi e dalla velocità con cui verranno chiusi o limitati i buchi più prevedibili, dalle VPN ai mirror. Il rischio sistemico per la privacy non scompare: si sposta dalla singola piattaforma a un’infrastruttura di prova d’età che dovrà essere progettata e testata con rigore e, se possibile, centralizzata. La posta in gioco è duplice: proteggere i minori e costruire un’architettura europea di verifica dell’età che non diventi un nuovo strumento di profilazione e di ricatto verso milioni di persone, “colpevoli” di aver visto un porno.