Internet, così come è una fonte inesauribile di opportunità per l’apprendimento e la connessione globale, può anche rappresentare un pericolo potenziale per i più giovani.
La questione della verifica dell’età è diventata centrale in questo contesto: come garantire che i contenuti non appropriati siano accessibili solo a coloro che hanno l’età legale per visualizzarli?
Diverse nazioni europee, come la Francia e la Spagna, sono già attive nel cercare soluzioni efficaci, ma anche l’Unione Europea sta lavorando su iniziative legislative per affrontare queste problematiche.
L’Italia non è rimasta indietro in questo campo e sta attuando misure mirate per proteggere i minori online. Tuttavia, con l’avanzare della tecnologia e l’adattamento costante delle normative, si prospettano nuovi spunti di riflessione sulla verifica dell’età. Le sfide future includeranno sicuramente nuovi approcci tecnologici alla verifica dell’età e ulteriori misure per garantire la tutela dei minori nell’universo digitale.
Indice degli argomenti
Le mosse di Francia e Spagna
Con la legge 566 del 7 luglio 2023[1], il paese transalpino ha regolamentato l’accesso, da parte dei minori, ai social network, imponendo una “maggiore età digitale” al compimento dei 15 anni. Uno studio del gennaio 2021 della “Commission Nationale de l’Informatique et des Libertés” (“CNIL”), l’Autorità Nazionale per la protezione dei dati, aveva, infatti, rilevato che, in Francia, la prima registrazione sulle piattaforme online avveniva in media a 8 anni e mezzo di età e che oltre la metà dei ragazzi tra 10 e 14 anni era iscritta ad un social network. Di conseguenza, il legislatore francese ha stabilito che non sarà possibile registrarsi per un minore di 15 anni, a meno che un genitore non lo autorizzi all’iscrizione.
Esplora come l'AI impatta sulla sicurezza dati. Guida essenziale per la DPIA
La legge prevede, inoltre, che i social network verifichino l’effettiva età degli utenti utilizzando delle soluzioni tecniche specifiche sviluppate dall’Autorità di regolamentazione delle comunicazioni audiovisive e digitali (“ARCOM”), previa consultazione della CNIL. In caso di mancato rispetto degli obblighi, le piattaforme potranno essere raggiunte da una sanzione non superiore all’1% del fatturato globale annuo dell’esercizio precedente.
In Spagna, l’“Agencia Española de Protección de Datos” (“AEPD”), nello scorso mese di dicembre, ha, invece, presentato un sistema di verifica dell’età per proteggere i minori dall’accesso online a contenuti inadeguati (come siti per adulti o contenuti pornografici e violenti). L’AEPD ha, infatti, accertato che gli attuali sistemi, come l’autodichiarazione o la condivisione delle credenziali con i fornitori delle piattaforme, prestino il fianco a rischi evidenti: la geolocalizzazione dei minori, la mancanza di certezza sull’età dichiarata, la profilazione di massa o la raccolta e il trattamento di dati non necessari.
Sono quindi stati individuati dieci principi che devono essere rispettati[2], tra i quali si segnalano la garanzia dell’anonimato per gli utenti adulti, l’impossibilità dell’identificazione o del rintracciamento dei minori su internet, oltre che della profilazione degli utenti. L’AEPD ha anche rilasciato tre video che dimostrano il funzionamento del nuovo sistema su differenti dispositivi, sistemi operativi e fornitori di identità.
È da notare come in Spagna, diversamente dalla Francia, il limite di età posto per l’iscrizione ai social network sia fissato a 14 anni. Nel paese iberico sono comunque presenti anche altri riferimenti normativi a tutela dei minori. L’articolo 89 della legge 13/2022[3] (“Legge generale sulla comunicazione audiovisiva”) obbliga infatti le piattaforme di condivisione video a istituire dei sistemi di verifica dell’età rispetto a quei contenuti che possano danneggiare i minori, impedendo loro l’accesso a materiale violento o pornografico.
Le iniziative legislative dell’Unione Europea
Già da anni, l’Unione Europea sta cercando di tutelare i minori nel contesto della navigazione su internet e nell’accesso a determinate piattaforme online. Il Regolamento (UE) 2016/679 (“GDPR”) stabilisce, infatti, in relazione ai servizi della società dell’informazione, che il consenso del minore al trattamento dei propri dati personali è lecito se questi ha almeno 16 anni; in caso di età compresa tra i 13 e i 16 anni, il trattamento è lecito solo se autorizzato dal genitore.
In seguito, la “Direttiva sui servizi audiovisivi e mediatici” (n. 2018/1808) ha previsto che, con riferimento a contenuti che possano nuocere allo sviluppo fisico, mentale o morale del minore, le piattaforme di condivisione video applichino sistemi per verificare l’età degli utenti, oltre all’implementazione di sistemi di controllo parentale. Inoltre, i dati così raccolti non possono essere trattati per finalità commerciali, profilazione o pubblicità comportamentale.
Infine, il “Digital Services Act” (Regolamento UE 2022/2065), nel rimarcare la protezione dei minori quale importante obiettivo politico dell’Unione, prevede che i fornitori di piattaforme online accessibili ai minori adottino misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori sul loro servizio. Per attenuare i rischi, viene poi stabilito che i fornitori di piattaforme online di dimensioni molto grandi (“VLOPs”) e i motori di ricerca online di dimensioni molto grandi (“VLOSEs”) adottino misure specifiche per la tutela dei minori, ivi compresi gli strumenti di verifica dell’età e di controllo parentale.
Le azioni italiane per la tutela dei minori
In Italia il cd. “Decreto Caivano” (D. L. 15 settembre 2023, n. 123, convertito dalla L. 13 novembre 2023, n. 159) ha introdotto specifiche disposizioni per la sicurezza dei minori in ambito digitale. È stato, infatti, previsto che dispositivi quali smartphones, computers, tablets o altri oggetti connessi alla rete dovranno contenere, in automatico, applicazioni di controllo parentale; i dati personali così raccolti non potranno poi essere utilizzati per scopi commerciali e di profilazione.
Inoltre, la citata Legge di conversione n. 159/2023 ha aggiunto un ulteriore articolo, il 13-bis, con cui si intende vietare l’accesso ai minori a contenuti di carattere pornografico, imponendo ai gestori di siti web e ai fornitori delle piattaforme di condivisione video la verifica della maggiore età degli utenti. Contestualmente, l’Autorità per le garanzie nelle comunicazioni (“AGCOM”) è stata incaricata di stabilire, dopo aver consultato il Garante per la protezione dei dati personali, le modalità tecniche e di processo che gestori e fornitori devono adottare per l’accertamento dell’età, con un livello di sicurezza adeguato e il rispetto della minimizzazione dei dati raccolti.
Il 6 marzo 2024 l’AGCOM, con l’Allegato B alla delibera n. 61/24/CONS[4], ha, quindi, avviato una consultazione pubblica volta a disciplinare le suddette modalità di accertamento dell’età. Nell’interessante documento vengono elencati quelli che, secondo il report dell’European Parliamentary Research Service[5] del febbraio 2023, sono i metodi più diffusi di age verification: autodichiarazione; inserimento della carta di credito; utilizzo della biometria; analisi dei comportamenti su internet; verifiche online e offline dei documenti di identità; consenso dei genitori; vouching[6]; identificazione digitale (es. SPID); portafoglio per l’identità digitale; utilizzo di app specifiche; verifica tramite sms o e-mail; open banking. L’Autorità sottolinea poi quali devono essere i requisiti generali che un sistema di verifica dell’età deve rispettare:
- proporzionalità (lo strumento deve avere il minimo livello possibile di invasività);
- protezione dei dati personali (il sistema deve essere conforme ai principi del GDPR, in particolare minimizzazione dei dati e privacy by design e by default);
- intervento di soggetti terzi indipendenti (identificazione dell’utente tramite prova dell’età);
- sicurezza (sufficienti misure di sicurezza informatica);
- precisione ed efficacia (riduzione al minimo della possibilità di errore);
- funzionalità, facilità d’uso e non ostacolo all’accesso ai contenuti online;
- inclusività e non discriminazione;
- trasparenza (spiegazioni chiare e complete del funzionamento del sistema e messa a disposizione dei dati su precisione ed efficacia);
- formazione e informazione (campagne di sensibilizzazione sui rischi connessi a Internet);
- gestione dei reclami (in caso di decisioni errate sull’età).
Le possibili novità in materia e alcune soluzioni tecniche
La proposta di regolamento sulla prevenzione e la lotta contro l’abuso sessuale su minori, attualmente in fase di approvazione, prevede che i prestatori dei servizi della società dell’informazione rispettino obblighi di valutazione e attenuazione del rischio, in particolare utilizzando sistemi di verifica dell’età. Il testo emendato dal Parlamento europeo, risalente al novembre 2023[7], richiede che tali sistemi rispettino alcuni criteri specifici: tra questi, la raccolta dei soli dati necessari per questa finalità; la conservazione di nessun dato personale al termine del processo di verifica; la previsione di meccanismi di rimedio in caso di errore; la possibilità di utilizzo di account anonimi; l’utilizzo di protocolli zero-knowledge[8]; nessun trattamento di dati biometrici.
Un’altra possibile soluzione è data da applicazioni che, tramite la scansione del documento di identità e del volto del soggetto, analizzano la reale coincidenza dell’identità tramite un modello biometrico; i dati raccolti vengono poi cancellati al termine della sessione, senza essere utilizzati per altri scopi.
Infine, un ulteriore progetto è quello di “euConsent”, cofinanziato nella fase iniziale dalla Commissione Europea, che si prefigge di verificare l’età tramite un metodo di interoperabilità basato su più siti internet, preservando la privacy degli utenti.
Conclusioni
Da quanto fin qui illustrato, emerge la volontà comune a livello europeo di delineare dei validi ed efficienti sistemi di age verification per la tutela dei minori, ivi compresi quelli di controllo parentale; tuttavia, le attuali differenze tra i singoli Stati membri lasciano supporre che sia colmo di ostacoli il percorso di arrivo ad una scelta comune, anche se i riferimenti normativi comunitari potrebbero aiutare ad ottenere dei risultati condivisi. Dai vari sistemi introdotti o in fase di introduzione, in ogni caso, non è comunque ancora emersa una tecnologia tale da imporsi come soluzione definitiva per garantire la massima salvaguardia degli utenti più deboli.
Note
[1] Qui consultabile: https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047799533/.
[2]Qui consultabile: https://www.aepd.es/infografias/infografia-riesgos-sistemas-verificacion-edad.pdfhttps://www.aepd.es/guias/decalogo-principios-verificacion-edad-proteccion-menores.pdf.
[3] Qui consultabile: https://www.boe.es/buscar/pdf/2022/BOE-A-2022-11311-consolidado.pdf.
[4] Qui consultabile: https://www.agcom.it/documents/10179/33556820/Allegato+25-3-2024+1711363896057/490138bb-c739-4f2f-81ac-21acc717767e?version=1.0.
[5] Qui consultabile: https://www.europarl.europa.eu/RegData/etudes/ATAG/2023/739350/EPRS_ATA(2023)739350_EN.pdf
[6] Metodo con cui si chiede a persone diverse dai genitori di confermare l’età del minore che vuole accedere ai servizi online.
[7] Qui consultabile: https://www.europarl.europa.eu/doceo/document/A-9-2023-0364_IT.html.
[8] Per “protocollo a conoscenza zero” si intende un metodo con cui una parte (il fornitore di prove) può dimostrare all’altra (il verificatore) che qualcosa sia vero, senza rivelare altre informazioni, se non il fatto che quella affermazione sia vera.
Preparati per la NIS2: guida essenziale per rispettare gli obblighi cyber in tempo!
