normativa

Age verification: strategie efficaci per la protezione dei minori online



Indirizzo copiato

La verifica dell’età è complicata da normative sovrapposte. Un sistema efficace richiede comprensione dettagliata delle leggi e rispetto delle esigenze commerciali, bilanciando protezione dei minori e esperienza utente

Pubblicato il 17 mar 2025

Fabia Cairoli

Data and Privacy, Legal Counsel



sistemi di age verification inclusione digitale

L’implementazione di un sistema di age verification rappresenta una sfida per tutti gli operatori che trattano dati di minori e sono, dunque, tenuti a verificare l’età degli utenti per controllare l’accesso a determinati contenuti.

Le sfide dell’age verification: un panorama normativo complesso

La principale difficoltà risiede nell’esistenza di diverse normative che, pur rivolte a regolamentare aspetti differenti – dalla tutela dei dati personali al controllo dei contenuti online all’accesso a determinate piattaforme e così via – finiscono per creare un reticolo di disposizioni che si intersecano fra loro.

WHITEPAPER

Preparati per la NIS2: guida essenziale per rispettare gli obblighi cyber in tempo!

Backup
Software security

Gli operatori devono dunque individuare le disposizioni a loro applicabili e in che modo conciliarle, considerando che il legislatore non si è premurato, almeno sinora, di offrire un criterio di raccordo tra loro.

Il quadro di incertezza appena descritto porta gli operatori, nella maggior parte dei casi, a limitare al minimo gli interventi, sapendo quanto sia complesso raggiungere i livelli di conformità richiesti dalle normative.

Non si intende ovviamente trovare giustificazioni per codesti operatori che, più o meno scientemente, decidono di violare la legge: tuttavia, si ritiene che un’eccessiva regolamentazione e molta confusione in merito alla sua applicazione ottengono il risultato contrario a quel che si dovrebbe perseguire.

È necessario che il legislatore e le Autorità chiamate ad interpretare le normative rivedano il proprio ruolo, passando da un atteggiamento impositivo ad un ruolo di coordinamento.

Purtroppo, almeno in Europa, dall’introduzione del GDPR si è assistito ad un irrigidirsi delle normative e della loro interpretazione, spesso con l’intento di proteggere gli interessi di utenti – consumatori, con nessun riguardo o quasi per gli interessi della industry. Nessuno nega che, per definizione, utenti – consumatori siano una categoria che necessita di maggiore protezione ma sacrificare del tutto le necessità del mercato porta soltanto a soffocare le imprese, con conseguenze deleterie: tra le tante, proprio che non si tenta neppure di tenersi al passo con le disposizioni normative, se sono troppo irragionevoli e vaghe.

Fatta questa premessa, nel capitolo che segue si cerca di individuare le attività principali da svolgere, quando si intende implementare un sistema di age verification, prediligendo un approccio pratico e che tenga conto delle difficoltà operative di un business.

Come si implementa un sistema di age verification: cinque regole di base

Come accennato in introduzione, vi sono molteplici normative che hanno implicazioni rilevanti sui minori.

Identificare la normativa applicabile: il quadro Gdpr

Dato che alcune di queste dipendono dall’area di business cui appartiene un’impresa, è necessaria una valutazione caso per caso. In questo contributo, ci si concentra su quelle che vengono in rilievo più frequentemente, per verificare che tipo di impatto hanno rispetto ai minori.

Il GDPR (Regolamento (UE) 2016/679) è la normativa che trova la più frequente applicazione, dato che il trattamento di dati personali è il presupposto fondamentale per offrire contenuti ai minori.

L’articolo 8 GDPR dispone che, a fronte del consenso del minore, “per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale”. Il limite di 16 anni potrebbe essere variato dalle normative statali, fino ad un minimo di 13 anni (in Italia è stato fissato a 14 anni).

Tale disposizione viene di frequente, frettolosamente, applicata ad ogni trattamento in cui sia coinvolto il minore. In verità, l’articolo 8 GDPR è legato ad alcuni presupposti, che vanno compresi per verificare gli scenari in cui è applicabile. Al di fuori di tali scenari, è poi necessario indagare la “regola generale” da applicare.

La verifica dell’ambito di applicazione dell’articolo 8 GDPR è complessa, così come l’individuazione di quale tipo di regolamentazione debba trovare applicazione se non ricorre la sua applicazione. I chiarimenti principali sono offerti dallo European Data Protection Board nelle proprie Guidelines 05/2020 on consent under Regulation 2016/679.

Affinché trovi applicazione, l’articolo 8 GDPR richiede che:

  • il trattamento sia basato su consenso: dunque i casi in cui un trattamento si basa su esecuzione del contratto con l’utente oppure invocando un legittimo interesse del titolare, risulterebbero già esclusi dall’ambito di applicazione della previsione normativa. Non è un elemento di poco conto, dato che le aziende tendono, laddove possibile, a ricorrere a basi giuridiche diverse dal consenso, che espone all’incertezza di come si comporterà l’utente, che può essere revocato, che richiede di rispettare requisiti stringenti di completezza per essere valido etc. Si possono prendere ad esempio i trattamenti in ambito marketing / AdTech, che sono un ambito considerato a rischio per i minori dallo stesso GDPR (si veda il considerando 38). Questi trattamenti sono spesso riferiti a basi giuridiche diverse dal consenso, sebbene cio’ incontri la ritrosia delle Autorità competenti. La stessa Meta è passata a ricorrere al legittimo interesse – dato che l’iniziale giustificazione di esecuzione del contratto era stata considerata infondata – e poi al consenso (seppur tramite paywall) per sostenere il trattamento dei dati degli utenti in modo da finanziare i propri servizi. Ancora da capire se il paywall sia un consenso valido secondo i criteri del GDPR ma questa è un’altra storia.
  • Il trattamento deve essere reso nell’ambito di un’offerta di servizi della società dell’informazione: vi rientrano i servizi che sono offerti solitamente dietro corrispettivo, a distanza, tramite mezzi elettronici e a richiesta dell’utente (e.g. accesso ai social network).
  • L’offerta deve essere diretta ai minori: si ritengono minori i soggetti con età inferiore ai 18 anni (come ricorda anche la UN Convention on the Protection of the Child, si veda UN, Risoluzione 44/25 dell’Assemblea Generale, novembre 1989) e si ritiene che sia un servizio “rivolto a” a seconda di come viene presentato e del contesto (e.g. il suo contenuto o come viene promozionato). Si tratta di un profilo di grande, grandissima rilevanza poiché è frequente che i primi due requisiti siano integrati mentre risulta difficoltoso verificare se il servizio possa dirsi “rivolto a” minore; le aziende dovrebbero tenere a mente di adattare anche la propria comunicazione sul servizio offerto di conseguenza, onde rafforzare l’idea che il servizio non sia per i minori (se questo è il caso).

Una volta appurata la ricorrenza dei requisiti di cui all’articolo 8 GDPR, è opportuno domandarsi in che modo trattare i dati dei minori che sono soggetti a trattamenti che non sono compresi nel suo ambito di applicazione.

L’articolo 8 GDPR precisa che il suddetto requisito di età “non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore”. Deve quindi ritenersi che – al di fuori dell’ambito di applicazione “eccezionale” imposto da questa previsione specifica, debbano essere osservate le disposizioni di legge generalmente applicabili per ritenere che un consenso / autorizzazione / dichiarazione di volontà sia valida.

Considerando la frammentarietà delle disposizioni normative che disciplinano il diritto, è piuttosto complicato valutare quale sia il limite di età applicabile alle diverse casistiche. Ciò che appare chiaro, comunque, è che occorrerà verificare la base giuridica applicabile al trattamento dati dei minori e, a seconda di questa, considerare quale sia il limite di età rilevante (eventualmente richiedendo il consenso di chi esercita la potestà genitoriale).

Oltre al GDPR, un ambito di regolamentazione che ricorre di frequente per gli operatori online è la normativa ePrivacy. Come noto, la normativa è abbastanza datata e ci si aspettava un aggiornamento a stretto giro, che però non è avvenuto (e, stando a quanto dichiarato nel febbraio 2025 dalla Commissione EU, non avverrà a breve dato che la proposta di legge è stata revocata dall’iter normativo, a causa di una inconciliabile divergenza negli interessi degli operatori coinvolti). In ogni caso, volendosi soffermare sulle attuali disposizioni, è importante ricordare che i requisiti per un consenso valido come imposti dalla Direttiva ePrivacy sono i medesimi di quelli imposti dal GDPR. Ne consegue che sia ragionevole applicare il medesimo approccio quando si tratta di determinare anche il limite di età per ritenere valido un consenso.

Inoltre, si ricorda che la normativa Digital Services Act (DSA) – finalizzata a regolamentare i contenuti online – impone un limite di età per rivolgere contenuti di marketing profilato agli utenti. L’articolo 28, in particolare, stabilisce che le piattaforme online devono garantire trasparenza nelle loro attività, vietando il marketing basato sulla profilazione degli utenti minorenni. Le aziende soggette al DSA devono quindi adottare misure adeguate per verificare l’età degli utenti, assicurandosi che i loro contenuti pubblicitari e di marketing siano conformi alle normative. Questo implica un controllo più rigoroso nella gestione dei destinatari delle comunicazioni commerciali, evitando pratiche mirate su minori o categorie vulnerabili.

Infine, per quanto abbia un ambito di applicazione limitato a certe categorie di operatori (i cd. gatekeeper), il DMA ricorda che la “protection of children online is an important objective of the Union and should be reflected in the relevant Union law. In this context, due regard should be given to a Regulation on a single market for digital services. Nothing in this Regulation exempts gatekeepers from the obligation to protect children laid down in applicable Union law”.

Costruire un sistema di age verification che tenga conto dell’esperienza utente

    Si consiglia una mappatura dei servizi in essere, per individuare le modalità con cui viene raccolto il consenso degli utenti. Dato che, spesso, i sistemi non sono configurati per tenere conto della raccolta dell’età (e per adattare i contenuti a questa), è necessario mappare quanto è in corso al momento dell’analisi e, successivamente, modificarlo per rispondere all’esigenza di controllo contenuti.

    Scegliere il meccanismo di age verification che risponde meglio al tipo di servizio

      È importante bilanciare l’esigenza di minimizzare i dati personali raccolti con l’esigenza di poter fare affidamento sulla verifica dell’età. Scegliere un meccanismo di controllo dell’età che non comporti un trattamento di dati eccessivo puo’ rivelarsi arduo: tuttavia, è uno sforzo inevitabile, dato che viene richiesto dal GDPR ma anche dal DSA e dall’interpretazione comunemente adottata dalle Autorità competenti.

      Ci sono diversi meccanismi di verifica dell’età e la loro rilevanza / adattabilità dipende dal contesto. Viene comunque raccomandato un approccio cd waterfall (cioè una combinazione di meccanismi di verifica, partendo dall’applicare quello meno intrusivo e fino ad arrivare a casi in cui siano molto intrusivi, se ciò è necessario per il tipo di dati trattati o di rischio associato).

      Si considerano come possibili meccanismi di verifica principalmente adottati:

      • Conferma dell’età da parte dell’utente. Ovviamente il trattamento di dati è minimo ma l’affidabilità sulla correttezza dell’informazione è pressoché inesistente. Spesso i minori mentono, poiché sono per natura inconsapevoli dei pericoli da cui il controllo della loro età vorrebbe proteggerli. Per tale motivo – anche l’EDPB con il contributo già citato sopra – ricorda l’importanza di valutare quale meccanismo di verifica dell’età adottare in base al contesto (e.g. tipo di servizio, livello di rischio associato, etc).
      • Controlli biometrici. La facile obiezione è che il trattamento di dati biometrici è comunemente considerato di elevato rischio. Tuttavia, se si adottano meccanismi di minimizzazione e di zero archiviazione, per cui la fisionomia viene solo “letta” ma non archiviata dall’operatore, si garantisce il diritto all’utente di obiettare, si adottano misure di sicurezza adeguate per proteggere l’iter di collazione dei dati, pare una soluzione decisamente convincente. Vi rientrano diversi approcci, ad esempio i cd remote biometric, che include anche la capacità di un sistema di “leggere” la fisionomia degli utenti in tempo reale, magari anche confrontandola con la foto di un documento identificativo, e di fornire un certo risultato.
      • Verifica di mezzo di pagamento. Consiste nella verifica dell’atto di disporre una transazione economica, così potendosi assumere che sia un utente maggiorenne. Considerando che è alquanto semplice per un figlio appropriarsi di una carta di identità, in verità, e considerando che si richiederebbe un trattamento piuttosto invasivo, anche legato a dati bancari, sono in molti ad esprimersi contrariamente a questo meccanismo.

      Implementare un sistema di controllo del consenso parentale

        Un ulteriore aspetto per nulla chiarito dal legislatore – e ben poco dalle Autorità e dai commentatori – è in che modo sia necessario raccogliere un consenso parentale “valido”. Sembra opportuno poter evidenziare che le aziende devono considerare di:

        • verificare che chi presta il consenso parentale abbia effettivamente il diritto di farlo (il che richiederà una minima verifica dell’identità);
        • conservare il consenso fino alla maggiore età del minore (onde poter dimostrare la base giuridica per il trattamento fino a quel momento, specialmente poichè il minore potrebbe essere interessato a comprendere i termini del trattamento posto in essere fino a che assume pieno controllo dell’utilizzo dei propri dati), informando il neo maggiorenne di poter esprimere una diversa opinione in merito all’uso dei propri dati personali;
        • garantire al minore la possibilità di rivedere e aggiornare il proprio consenso al conseguimento della maggiore età (che come detto sarà diversa, a seconda che si applichi o meno l’articolo 8 GDPR);
        • limitare la raccolta dei dati allo stretto necessario (a seconda del livello di rischio associato e, quindi, dell’esigenza di verifica dell’attendibilità del consenso prestato);
        • cancellare i dati del titolare della responsabilità genitoriale e il consenso prestato una volta raggiunta la maggiore età dell’utente (anche se sarebbe più corretto valutare il tempo di prescrizione dell’azione di reclamo eventualmente esercitabile dallo stesso / minore).

        Adottare misure di sicurezza per assicurare che il sistema di age verification sia efficace

          La verifica delle misure di sicurezza presuppone una collaborazione con appositi professionisti che presentino un background tecnico. In ogni caso, le più frequenti e comuni raccomandazioni delle Autorità competenti sono di:

          • verificare che i profili dei minori siano privati di default (pare sia già operativa come misura introdotta, ad esempio, su Instagram);
          • evitare che i profili dei minori ricevano pubblicità profilata;
          • proteggere i profili dei minori dalla ricezione di determinati contenuti, come nel caso di contenuti che promuovono il gioco d’azzardo o le armi;
          • consentire il controllo da parte di chi esercita la potestà genitoriale sugli account dei minori (pur tenendo questi ultimi al corrente di tale evenienza);
          • impedire ai maggiorenni di prendere contatto con i minori, salvo siano questi ultimi ad approcciarli.

          Conclusioni: bilanciare normativa, interessi commerciali ed esperienza utente

          L’implementazione di un sistema di age verification richiede un approccio bilanciato tra il rispetto delle normative vigenti, la tutela degli interessi anche commerciali degli operatori e il mantenimento di una buona ’esperienza utente.

          Appare chiaro che la frammentaria situazione normativa non agevola gli operatori, poiché non consente loro di agire in un contesto di certezza del diritto. La difformità peraltro nell’interpretazione delle disposizioni normative, a seconda della posizione delle Autorità nazionali ma anche a livello internazionale pone un ulteriore elemento di complessità.

          Si può solo auspicare che le Autorità si facciano carico della problematica e che inizino a fornire chiarimenti, possibilmente in modo congiunto.


          Il contributo riflette opinioni personali dell’autrice, che non rappresentano necessariamente la posizione della realtà professionale di appartenenza. Il contributo non è da considerarsi un parere legale né una descrizione esaustiva della tematica in oggetto.

          WHITEPAPER

          Esplora come l'AI impatta sulla sicurezza dati. Guida essenziale per la DPIA

          Privacy/Compliance
          LegalTech

          EU Stories - La coesione innova l'Italia

          Tutti
          Video & Podcast
          Analisi
          Social
          Iniziative
          Podcast
          Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
          Podcast
          EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
          Opinioni
          La comunicazione dei fondi europei da obbligo ad opportunità
          eBook
          L'analisi della S3 in Italia
          Norme UE
          European Accessibility Act: passi avanti verso un’Europa inclusiva
          Agevolazioni
          A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
          Quadri regolamentari
          Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
          Coesione
          Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
          Dossier
          Pubblicato il long form PO FESR 14-20 della Regione Sicilia
          Iniziative
          400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
          Formazione
          “Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
          TRANSIZIONE ENERGETICA
          Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
          Formazione
          “Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
          MedTech
          Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
          Finanza sostenibile
          BEI e E-Distribuzione: investimenti per la sostenibilità energetica
          Professioni
          Servono competenze adeguate per gestire al meglio i fondi europei
          Master
          Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
          Programmazione UE
          Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
          innovazione sociale
          Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
          Programmazione europ
          Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
          Interventi
          Riccardo Monaco e le politiche di coesione per il Sud
          Iniziative
          Implementare correttamente i costi standard, l'esperienza AdG
          Finanziamenti
          Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
          Formazione
          Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
          Interviste
          L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
          Interviste
          La ricerca e l'innovazione in Campania: l'ecosistema digitale
          Iniziative
          Settimana europea delle regioni e città: un passo avanti verso la coesione
          Iniziative
          Al via il progetto COINS
          Eventi
          Un nuovo sguardo sulla politica di coesione dell'UE
          Iniziative
          EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
          Iniziative
          Parte la campagna di comunicazione COINS
          Interviste
          Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
          Analisi
          La politica di coesione europea: motore della transizione digitale in Italia
          Politiche UE
          Il dibattito sul futuro della Politica di Coesione
          Mobilità Sostenibile
          L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
          Iniziative
          Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
          Politiche ue
          Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
          Finanziamenti
          Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
          Analisi
          Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
          Politiche UE
          Innovazione locale con i fondi di coesione: progetti di successo in Italia
          Podcast
          Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
          Podcast
          EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
          Opinioni
          La comunicazione dei fondi europei da obbligo ad opportunità
          eBook
          L'analisi della S3 in Italia
          Norme UE
          European Accessibility Act: passi avanti verso un’Europa inclusiva
          Agevolazioni
          A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
          Quadri regolamentari
          Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
          Coesione
          Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
          Dossier
          Pubblicato il long form PO FESR 14-20 della Regione Sicilia
          Iniziative
          400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
          Formazione
          “Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
          TRANSIZIONE ENERGETICA
          Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
          Formazione
          “Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
          MedTech
          Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
          Finanza sostenibile
          BEI e E-Distribuzione: investimenti per la sostenibilità energetica
          Professioni
          Servono competenze adeguate per gestire al meglio i fondi europei
          Master
          Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
          Programmazione UE
          Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
          innovazione sociale
          Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
          Programmazione europ
          Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
          Interventi
          Riccardo Monaco e le politiche di coesione per il Sud
          Iniziative
          Implementare correttamente i costi standard, l'esperienza AdG
          Finanziamenti
          Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
          Formazione
          Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
          Interviste
          L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
          Interviste
          La ricerca e l'innovazione in Campania: l'ecosistema digitale
          Iniziative
          Settimana europea delle regioni e città: un passo avanti verso la coesione
          Iniziative
          Al via il progetto COINS
          Eventi
          Un nuovo sguardo sulla politica di coesione dell'UE
          Iniziative
          EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
          Iniziative
          Parte la campagna di comunicazione COINS
          Interviste
          Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
          Analisi
          La politica di coesione europea: motore della transizione digitale in Italia
          Politiche UE
          Il dibattito sul futuro della Politica di Coesione
          Mobilità Sostenibile
          L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
          Iniziative
          Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
          Politiche ue
          Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
          Finanziamenti
          Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
          Analisi
          Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
          Politiche UE
          Innovazione locale con i fondi di coesione: progetti di successo in Italia

          Articoli correlati

          Articolo 1 di 4