Age verification

Verifica dell’età dei minori online: le iniziative Ue, le misure degli Stati



Indirizzo copiato

La verifica dell’età per l’accesso sicuro dei minori alle piattaforme online è una priorità globale. L’UE ha intimato a tre grandi piattaforme di contenuti per adulti di adottare misure rigorose entro il 4 luglio. Agcom e il Garante Privacy stanno definendo soluzioni per garantire l’osservanza della legge, rispettando la privacy degli utenti

Pubblicato il 21 giu 2024

Antonino Mallamaci

avvocato, Co.re.com. Calabria



privacy minori

La verifica dell’età (age verification) degli utenti in sede di accesso alle piattaforme on line è uno dei problemi più spinosi che si sta affrontando in tutto il mondo.

Sono troppi i minori che hanno la possibilità di accedere a contenuti “inappropriati” (eufemismo per molti di questi) con un banale clic, senza che chi sta dall’altra parte, pensando spesso solo agli introiti da accumulare, si dia da fare per verificare se il potenziale navigatore sia bambino o adolescente.

Le richieste di chiarimenti della Ue

In attesa che diventino norme cogenti le regole in preparazione per risolvere definitivamente questa specifica questione (ne parleremo più avanti), la Commissione europea ha intimato a tre piattaforme on line di grandi dimensioni (VLOP, 45 milioni in media di utenti al mese nell’UE) di fornire entro il 4 luglio informazioni “più dettagliate sulle misure adottate per valutare diligentemente e mitigare i rischi legati alla protezione dei minori online, nonché per prevenire l’amplificazione dei contenuti illegali e della violenza di genere”, ciò in applicazione del Digital services act – DSA.

Si tratta di siti di contenuti pornografici, Pornhub, XVideos e Stripchat, ai quali è stato chiesto anche di spiegare come hanno adattato la propria organizzazione per conformarsi al DSA con team interni indipendenti e dotati di risorse e autorità sufficienti, nonché dell’accesso all’organo di gestione.

Francia, Germania e Gran Bretagna, e Utah e Texas negli Stati Uniti, hanno adottato leggi che richiedono ai siti porno di verificare che l’utente abbia almeno 18 anni. I metodi per l’AVM (Age Verification Method) potrebbero includere il controllo delle carte di credito o dei documenti d’identità rilasciati dal governo o la scansione dei volti per stimare l’età, ma tutti questi sistemi hanno sollevato preoccupazioni sulla privacy e sulla discriminazione.

Age verification, le iniziative di Agcom e Garante privacy: consultazione pubblica e tavolo congiunto

Sul tema dell’age verification l’Agcom ha avviato con delibera 61/24/cons, in attuazione della legge n. 159/2023 (cd. decreto Caivano), una consultazione pubblica “volta all’adozione di un provvedimento sulle modalità tecniche e di processo per l’accertamento della maggiore età degli utenti”. Il comma 3 dell’art. 13 bis della citata legge dava mandato all’Agcom per disciplinare le modalità tecniche e di processo per l’accertamento della maggiore età degli utenti.

Sempre in tale ottica, Agcom e Garante per la privacy hanno istituito un tavolo congiunto per promuovere un codice di condotta per fare adottare alle piattaforme digitali sistemi per la verifica dell’età degli utenti.

Più in generale, viene sottolineato dall’Autorità, “la normativa vigente richiama più volte l’esigenza di implementare meccanismi di age verification stabilendo che i minori hanno diritto ad un livello più elevato di protezione dai contenuti che potrebbero nuocere al loro sviluppo fisico, mentale o morale, anche introducendo misure più rigorose nei confronti di ogni servizio della società dell’informazione”.

E ancora, l’art. 28 del DSA prevede che tutti i fornitori di piattaforme on-line adottino misure per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori, anzitutto mediante l’attivazione dei meccanismi di verifica dell’età. È evidente che la verifica dell’età è la condicio sine qua non per implementare un’efficace protezione dei minori nell’ambito delle attività svolte online.

I criteri base per un’efficace protezione dei minori secondo Agcom

In proposito, l’Agcom ritiene preferibile che, dal punto di vista tecnologico, sia scelto un metodo adattabile a ogni contenuto e che consenta ai soggetti chiamati ad usarlo di operare con una “ragionevole libertà di valutazione e scelta”, nel rispetto, tuttavia, di alcuni criteri:

  • Proporzionalità: lo strumento utilizzato non deve essere, per quanto possibile, invasivo. In base al principio di accountability del Regolamento (UE) 20761679 (“GDPR”), sono i soggetti stessi a scegliere il metodo da implementare, dimostrandone però l’efficacia.
  • Protezione dei dati personali: il metodo scelto deve rispettare i principi stabiliti dal GDPR: minimizzazione dei dati, accuratezza, limitazione della conservazione, data protection by design e by default ecc.
  • Intervento di soggetti terzi indipendenti: i siti e le piattaforme soggette all’obbligo non devono effettuare direttamente le operazioni di accertamento dell’età. È preferibile che si affidino a terzi indipendenti, che forniranno loro la prova dell’età.

Il processo proposto a consultazione pubblica

Il processo proposto a consultazione pubblica prevede:

1) un soggetto terzo che fornisce la “prova dell’età”, (banca, un operatore telefonico, un ente pubblico o soggetto privato) che conosce l’identità della persona, ma non il sito on line al quale ha intenzione di iscriversi, perché presso di esso è stato identificato;

2) su sua richiesta, il terzo fornisce all’utente “la prova dell’età”, con certificazione, che non contiene alcun dato che lo identifichi che consenta di arrivare ad esso;

3) l’utente invia la “prova dell’età” al sito o piattaforma, che verifica l’autenticità della “prova dell’età” e i requisiti per consentire l’accesso ai propri contenuti o servizi. I fornitori di prova dell’età, ove non già soggetti a obblighi normativi di identificazione degli utenti, devono essere certificati per garantirne l’affidabilità.

Altre caratteristiche auspicabili per il metodo di accertamento dell’età

  • Sicurezza: vanno previste misure di sicurezza informatica contro gli attacchi informatici sufficienti a mitigare i rischi e a evitare i tentativi di elusione.
  • Funzionalità, facilità d’uso e non ostacolo all’accesso ai contenuti in Internet: sistemi
  • facili da usare, anche dai minori.
  • Inclusività e non discriminazione: il sistema di verifica dell’età deve evitare o minimizzare pregiudizi e discriminazioni.
  • Trasparenza: per quanto riguarda i sistemi e i dati utilizzati e trattati, devono essere comunicati agli utenti in maniera semplice, chiara e completa, per maggiorenni e minorenni.
  • Formazione e informazione: minori, genitori, comunità educativa devono essere formati sulle buone pratiche informatiche e sui rischi connessi a Internet.
  • Gestione dei reclami: il fornitore deve prevedere un canale per acquisire e gestire tempestivamente i reclami concernenti la verifica dell’età.

Valutazioni dell’Autorità sulle modalità tecniche e di processo da adottare a garanzia della maggiore età degli utenti

Si è rilevato che la verifica dell’età per un utilizzo ripetuto in genere consiste in due passaggi: identificazione una tantum e autenticazione della persona identificata per ogni sessione di utilizzo. Dopo l’identificazione unica, all’utente riconosciuto maggiorenne viene assegnata una sorta di “chiave generale” per tutti i successivi utilizzi. Questo processo gli può consentire l’accesso a un numero qualsiasi di offerte diverse. Pertanto, un processo di verifica dell’età, in grado di fornire un certo grado di tutela dei dati personali, si potrebbe dividere in pratica in tre fasi distinte.

L’emissione di una “prova dell’età”

in primo luogo, l’emissione di una “prova dell’età”, con un certo livello di affidabilità, a seguito della identificazione. Questa prova può essere rilasciata da diversi soggetti che conoscono l’utente di Internet, siano essi fornitori di servizi specializzati nella fornitura di identità digitale, o un’organizzazione che ha identificato l’utente di Internet in un altro contesto (un commerciante – es. tabacchi nel modello “scratch card” -, una banca, un’amministrazione, ecc.). Il soggetto che fornisce la “prova dell’età” non è conoscenza dell’utilizzo che l’utente ne farà.

L’Autorità ritiene opportuno che i siti e le piattaforme soggette all’obbligo di verifica dell’età non lo effettuino direttamente, ma si avvalgano di soluzioni di terzi verificate in modo indipendente. Quindi il soggetto che fornisce un servizio di age assurance, secondo il processo di cui sopra, dovrà essere indipendente dal fornitore dei contenuti (sito web o piattaforma di video sharing) per le ragioni che seguono. Il ricorso a un soggetto terzo indipendente fidato (o certificato) evita la trasmissione diretta di dati identificativi dell’utente al sito o alla piattaforma che offre contenuti pornografici. Affidare queste funzioni a soggetti diversi rende possibile una massima tutela dei dati personali grazie ad un processo che garantisca la compartimentazione degli attori ossia tra utente, fornitore del contenuto e soggetto che certifica la maggiore età.

La fornitura della prova certificata dell’età all’utente

In secondo luogo, la fornitura di tale prova certificata dell’età all’utente, o direttamente al sito o alla piattaforma visitata, affinché essi concedano o meno l’accesso al contenuto richiesto. Il provider del sito o della piattaforma non viene in possesso di dati sulla identità dell’utente. Il caso in cui il soggetto che fornisce la “prova dell’età” la trasmette direttamente al sito o piattaforma, comporta che lo stesso soggetto che rilascia la prova dell’età sarà a conoscenza del particolare sito o piattaforma visitate dall’utente.

Pertanto, il modello che prevede la comunicazione della prova dell’età solo all’utente che poi la presenterà al sito o piattaforma visitata, fornisce la massima garanzia per la protezione dei dati. Infatti, in questo caso, il soggetto che rilascia la prova dell’età non conosce il particolare sito o piattaforma che vuole visitare l’utente e al tempo stesso il sito o piattaforma visitata non conoscerà l’identità dell’utente. Inoltre, nel caso in cui il soggetto che si occupa di fornire la “prova dell’età” sia un privato non già soggetto a specifici obblighi di legge in materia di identificazione, come ad esempio un fornitore di servizi di “age assurance”, è opportuno che questo sia certificato da un’apposita Autorità al fine di avere garanzie sul sistema di identificazione usato.

L’analisi della prova dell’età e l’accesso ai contenuti

Un terzo passo, implementato dal sito o dalla piattaforma, consiste nell’analizzare la prova dell’età presentata e fornire o meno l’accesso al contenuto richiesto (autenticazione).

Esempio pratico del processo

Di seguito un esempio del processo suddetto:

1) il soggetto che fornisce la “prova dell’età”, ad esempio una banca, un operatore telefonico, un ente pubblico o soggetto privato (anche un commerciante) presso cui l’utente è stato identificato con certezza per altri servizi o ai fini dell’accesso a contenuti e servizi per adulti, conosce l’identità dell’internauta ma non conosce quale sito/servizio online sta consultando;

2) su richiesta dell’utente, il soggetto terzo fornisce “la prova dell’età” (sorta di certificazione) che viene consegnata all’utente (nel caso, ad esempio, di scratch card), o inviata all’utente (nel caso di processo telematico). Tale “prova dell’età” non contiene alcun dato che identifica l’utente o che consente di ricondurre all’utente. Ad esempio, nel caso di fornitura telematica della “prova d’età”, è possibile ipotizzare sistemi di certificazione a chiave pubblica e privata per gestire la certificazione e la verifica come di seguito descritto:

a) il sito o piattaforma video richiede all’utente di verificare la sua età e invia un file denominato “età da provare”. Tale file non contiene nessun riferimento al sito o contenuto a cui l’utente vuole fare accesso.

b) l’utente richiede al soggetto terzo di fornire la prova dell’età certificando il file denominato “età da provare”. Il soggetto terzo certifica il file crittografandolo con chiave privata e generando così un file denominato “prova dell’età”. Tale certificazione non contiene nessun dato sull’identità dell’utente.

c) l’utente invia il file “prova dell’età” al sito o piattaforma a cui vuole accedere. Il sito o piattaforma applica la decrittografia con chiave pubblica per risalire al contenuto del file, dopodiché verifica che il contenuto sia coerente con quello inizialmente inviato all’utente.

Tale applicazione presuppone l’esistenza di una Certification Authority che si occupa di generare, condividere, revocare e gestire i certificati e le chiavi di crittografia.

In un processo meno tutelato rispetto alla privacy il soggetto che fornisce la “prova dell’età” può trasmetterla direttamente al sito o alla VSP (nello schema che segue è indicato solo il primo caso);

3) il sito web o il servizio online ottiene una prova dell’età dell’utente (o solo della sua maggiore età) e, pur conoscendo necessariamente il particolare sito/servizio online consultato dall’utente, non ha alcuna informazione circa la sua identità. Nel caso meno garantista la “prova dell’età” è fornita al sito o VSP dal soggetto che ha svolto l’identificazione (in questo caso quest’ultimo è a conoscenza dei siti o piattaforme visitati).

L’Autorità ritiene opportuno valutare l’opportunità che i fornitori di prove dell’età, quanto non già soggetti a obblighi normativi di identificazione degli utenti, siano soggetti a una valutazione da parte di terzi (ossia che siano quindi in qualche misura certificati).

Il 29 maggio scorso il Consiglio dell’Autorità ha inserito nel proprio o.d.g. la conclusione della consultazione pubblica, che prelude all’adozione del provvedimento.

Cosa ha fatto e sta facendo l’UE

A gennaio scorso è stata avviata l’attività della Task Force on age verification.

In primo luogo, sono state fornite alcune definizioni.

  • Age assurance: metodi utilizzati per determinare l’età o la fascia di età di un individuo a vari livelli di affidabilità o certezza. Le tre categorie principali di metodi di verifica dell’età sono la stima, la verifica e l’autodichiarazione.
  • Self-declaration: un utente inserisce una data o seleziona una casella per dichiarare di essere sopra/sotto una determinata età.
  • L’Age estimation contempla metodi che stabiliscono con una certa probabilità che un utente abbia un’età, rientri in una fascia di età o sia superiore o inferiore a una certa età. I metodi di stima dell’età includono l’analisi automatizzata di dati comportamentali e ambientali, confrontando il modo in cui un utente interagisce con un dispositivo con altri utenti della stessa età, e metriche derivate dall’analisi del movimento o testando le loro capacità o conoscenze.
  • L’Age verification è un sistema che si basa su identificatori rigidi (fisici) e/o fonti di identificazione verificate che forniscono un elevato grado di certezza nel determinare l’età di un utente.

Lo studio “On line age verification methods for children”, redatto dall’EPRS (European Parliamentary Research Service), dà conto dell’impegno di diversi Paesi per l’adozione di leggi e/o codici di condotta per affrontare questo tema partendo dal presupposto che gli ambienti online a cui accedono i minori non sono stati progettati per loro. A livello generale si rileva che i servizi digitali non utilizzano metodi adeguati di verifica dell’età o di consenso dei genitori.

Metodi di verifica dell’età

I metodi di verifica dell’età sono sempre più diversificati. L’EPRS ne indica i più comuni.

  • Autodichiarazione: l’utente inserisce la data di nascita senza ulteriori prove per confermare tale informazione, oppure spunta una casella di un form online per confermare di avere almeno 18 anni. Questo metodo, com’è intuibile, può essere facilmente aggirato.
  • Carta di credito: gli utenti devono far verificare la validità delle loro carte, inserendone i dati o, in alcuni casi, effettuando un pagamento bancario o con carta di 0,01 €. Il payment provider fornisce la conferma della maggiore età. Questo metodo viene utilizzato principalmente da siti di e-commerce e app che vendono prodotti per adulti come alcolici o contenuti per adulti. Al di là del rischio intrinseco di phishing, nel documento in parola si ritiene che non sia possibile accertare che la persona che utilizza la carta ne sia il legittimo titolare; inoltre, l’età per possedere una carta di credito varia da Paese a Paese.
  • Biometria: è un metodo che si basa sull’intelligenza artificiale (AI), con l’utilizzo di tecnologie biometriche, come le applicazioni di riconoscimento facciale. L’utente fa un selfie, e ciò serve per accertare che chi richiede l’accesso abbia più di 18 anni. Ma il metodo presenta due criticità: ha un fisiologico margine di errore; i minorenni potrebbero utilizzare il volto di una persona maggiorenne. I metodi di autenticazione che utilizzano la biometria sollevano problemi di privacy relativamente ad un trattamento eccessivo dei dati e alla profilazione.
  • Analisi dei modelli di utilizzo online (analisi del comportamento online): viene analizzata la cronologia di navigazione in Internet o la sua “maturità” tramite un questionario o lo studio dei contenuti o degli acquisti online.
  • Verifica offline: viene acquisito un ID che attesta la maggiore età, o effettuati controlli dell’età offline tramite documenti.
  • Verifica online: viene effettuata tramite controlli di documenti. A esempio, nel caso del confronto con foto-tessera (Photo-ID matching), per verificare se si tratta della stessa persona vengono confrontate la fotografia presente sul documento di identità caricato dall’utente, dove è presente anche la data di nascita, e la sua immagine fotografica scattata all’atto del caricamento del documento stesso.
  • Consenso dei genitori: alcune app e servizi richiedono il consenso dei genitori per registrare un minorenne a un servizio digitale. Tuttavia, la potestà genitoriale raramente è completamente verificata. Dimostrare la potestà/tutela genitoriale potrebbe comportare il controllo dei documenti di identità tradizionali e dei registri di famiglia.
  • Vouching: viene chiesto a utenti diversi dai genitori di fornire online conferma che un bambino che richiede l’accesso online ha l’età giusta.
  • Identificazione digitale (ID digitale): si basa sugli strumenti offerti dalle autorità statali per verificare l’identità e l’età delle persone prima di concedere loro l’accesso ai servizi digitali (es. SPID).
  • Portafoglio per l’identità digitale (Digital identity wallet): esso consente agli utenti di dimostrare la propria identità per accedere a servizi online, condividere documenti digitali o semplicemente dimostrare un attributo personale specifico, come ad esempio l’età, senza rivelare le generalità complete o altri dati personali. In ambito UE c’è la proposta di creare un portafoglio europeo di identità digitale.
  • Verifica dell’età tramite un’app specifica: si tratta di applicativi che sono, per lo più, collegati alla preventiva acquisizione di un documento di identità e di un selfie. In alcune applicazioni disponibili nel mercato, gli utenti forniscono copia di un documento d’identità e scattano un selfie biometrico per creare il proprio ID digitale riutilizzabile. Una volta verificati, l’accesso avviene a seguito di scansione di un codice QR.
  • Open banking: questo metodo utilizza alcune informazioni che un istituto di credito ha registrato riguardo all’età di un utente, con il suo consenso. La conferma della maggiore età viene condivisa con il sito/provider del servizio che richiede la verifica dell’età dell’utente. I dati personali dell’utente, tra cui la data di nascita, non vengono condivisi con il sito/provider del servizio.

Altri modelli si basano sul numero di telefono mobile e il confronto con i dati in possesso del gestore telefonico. Altri effettuano una verifica mediante e-mail o anche mediante analisi vocale.

Questi i metodi di age verification più comuni.

Sfide chiave per la verifica dell’età

In base alle conclusioni del report rimangono alcune sfide chiave, di cui le tre seguenti sono particolarmente rilevanti:

  • Rischi in materia di privacy/sicurezza informatica: nonostante l’uso diffuso di metodi di verifica dell’età in alcuni settori, si teme ancora che essi comportino rischi per la privacy e la sicurezza informatica. Data la sensibilità dei dati raccolti da alcuni sistemi, alcuni suggeriscono di implementare una certificazione fornita da terze parti. Ad oggi non esistono orientamenti comuni dell’UE ed è constatato che i minorenni aggirano facilmente la maggior parte delle soluzioni.
  • Contenuti non sufficientemente attraenti per i minorenni: poiché le app e i servizi digitali per minorenni tendono a fornire un insieme limitato di funzionalità, molti preferiscono mentire sulla loro età pur di utilizzare quelli pensati per gli adulti.
  • Migliori competenze digitali: genitori, bambini e tutori necessitano di migliori competenze digitali e di una maggiore consapevolezza dei rischi connessi.

Quadro normativo dell’UE

A livello normativo, in ambito UE, si presenta il seguente quadro.

L’articolo 8 del GDPR prevede la verifica, da parte dei titolari del trattamento dei dati, dell’età e del consenso dei genitori. La direttiva sui servizi di media audiovisivi (AVMSD) richiede l’adozione di misure adeguate a proteggere i minori dai contenuti dannosi online, anche attraverso la verifica dell’età. Nel contesto della proposta UE sull’eID, la Commissione intende rafforzare i metodi di verifica dell’età mediante un solido quadro di certificazione e interoperabilità. Inoltre, la proposta di regolamento per combattere gli abusi sessuali sui minori online prevede una migliore verifica dell’età online.

I lavori dell’Erga

Nel 2023, il sottogruppo 1 dell’ERGA (Gruppo dei regolatori europei per i servizi di media audiovisivi) ha condotto un’analisi comparata dei meccanismi di verifica dell’età (AVM) esistenti, in particolare per le piattaforme di condivisione video nell’Unione Europea (UE).

Anche l’ERGA riconosce che identificare e implementare meccanismi efficienti per impedire ai bambini di accedere a contenuti dannosi, e in particolare a contenuti pornografici, solleva una serie di sfide, sia in termini di efficienza (alcuni possono essere facilmente aggirati) che di privacy. Bisogna perciò trovare il giusto equilibrio tra garantire un elevato livello di privacy, un meccanismo efficiente e la sua ampia attuazione da parte di tutti gli attori interessati.

Le risposte dei membri dell’Erga

Sempre nel 2023 è stato inviato ai Paesi che partecipano all’ERGA un questionario in merito al recepimento della Direttiva AVMS e all’attuazione nazionale dell’AVM, con particolare attenzione all’accesso dei minori a materiale pornografico. 23 NRA (Agcom per l’Italia) hanno risposto che esistono restrizioni legali che vietano ai minori l’accesso a contenuti pornografici, indipendentemente dal tipo di servizio (servizi lineari, non lineari o online). Avuto particolare riguardo alla implementazione di meccanismi di verifica dell’età negli stati membri dell’ERGA per limitare l’accesso dei minori ai contenuti pornografici, 12 ANR hanno risposto di non avere ancora una specifica posizione.

9 NRA hanno risposto che l’AVM è stata presa in considerazione, mentre 6 NRA hanno risposto in senso contrario.

Preferenze tecniche dell’Erga

Nella maggior parte dei Paesi dove sono state adottate iniziative il meccanismo adottato o di prossima adozione è previsto dalla legge.

Per quanto riguarda la soluzione tecnica preferita dai membri ERGA per l’AVM, essa emerge dalla seguente tabella.

La verifica dell’età basata sull’identità digitale, come il ricorso agli strumenti offerti dallo Stato per verificare l’identità delle persone in generale, sembra essere la soluzione preferita. L’intervento di un intermediario indipendente è un’opzione presa in considerazione da molte ANR, a dimostrazione delle preoccupazioni relative alla privacy.

Al contrario, l’autodichiarazione è la soluzione meno preferita.

Anche i modelli di utilizzo online e la verifica offline sono considerati non adeguati.

Per quanto riguarda l’AVM basato su carta di credito ha riscosso scarso successo, così come i metodi basati sull’analisi delle caratteristiche del volto o sul riconoscimento vocale.

Sfide principali per i sistemi di AV

Il report dell’ERGA individua le seguenti principali sfide per i sistemi di AV:

– l’efficacia del sistema;

– le questioni relative alla protezione dei dati;

– la facilità d’uso e accessibilità.

Lo stato dell’arte in alcuni Paesi dell’UE

Francia

In Francia la CNIL ha pubblicato nel 2021 raccomandazioni generali in cui indica i requisiti stabiliti per verificare l’età del minore e il consenso dei genitori nel rispetto della loro vita privata, in particolare, per rispettare gli obblighi del GDPR e della legge sull’accesso dei minori ai social network. La Raccomandazione prevede che i sistemi di verifica dell’età siano strutturati attorno a sei pilastri: minimizzazione, proporzionalità, robustezza, semplicità, standardizzazione e intervento di terzi.

Il CNIL, infine, tende a privilegiare l’utilizzo di dispositivi sotto il controllo degli utenti piuttosto che soluzioni centralizzate o imposte: in quest’ottica, la logica del controllo parentale, che lascia alla responsabilità delle famiglie di limitare l’accesso ai contenuti sensibili, sembra la più rispettosa dei diritti degli individui. Questa logica ha però un limite: la legge prevede che, in alcuni casi, siano gli editori di siti (ad esempio, siti pornografici) a farsi carico degli obblighi di verifica dell’età.

Criteri di controllo dell’età che sollevano questioni importanti

Nell’ambito del ricorso a un soggetto terzo di fiducia, raccomandato dal CNIL la verifica dell’età si divide in pratica in due operazioni distinte:

Da un lato, l’emissione di una prova dell’età: l’istituzione di un sistema destinato a convalidare le informazioni sull’età della persona, rilasciando una prova dell’età accompagnata da un livello di confidenza. Questa prova può essere rilasciata da diversi soggetti che conoscono l’utente di Internet, siano essi fornitori di servizi specializzati nella fornitura di identità digitale o un’organizzazione che conosce l’utente di Internet in un altro contesto (un commerciante, una banca, un’amministrazione, ecc.). In questo documento vengono analizzate diverse soluzioni.

D’altro canto, la trasmissione di tale prova certificata dell’età al sito visitato affinché quest’ultimo dia accesso o meno al contenuto richiesto (si ricorda che, come indicato nella nota PEReN, un terzo passo consiste nell’analizzare la prova dell’età presentato e fornire o meno l’accesso al contenuto richiesto).

Questi due aspetti comportano importanti questioni di protezione dei dati e di privacy per preservare in particolare la possibilità di utilizzare Internet senza rivelare la propria identità o dati direttamente identificativi. Affidare queste funzioni a soggetti diversi rende possibile una triplice tutela della privacy:

• Il soggetto che fornisce la prova dell’età conosce l’identità dell’internauta ma non sa quale sito sta consultando;

• Il soggetto che trasmette la prova dell’età al sito può conoscere il sito o il servizio che l’internauta sta consultando ma non conosce la sua identità (nella soluzione “ideale” sviluppata dal CNIL, la prova dell’età passa attraverso l’utente, ciò che consente la compartimentazione tra gli attori);

• il sito o il servizio conosce l’età dell’utente Internet (o solo la sua maggiore età) e sa che sta consultando questo sito, ma non conosce la sua identità e, in alcuni casi, il servizio di verifica dell’età utilizzato.

Un verificatore indipendente di terze parti per proteggere al meglio i dati delle persone

Al fine di preservare la fiducia tra tutte le parti interessate e un elevato livello di protezione dei dati, il CNIL raccomanda pertanto che i siti soggetti all’obbligo di verifica dell’età non effettuino personalmente operazioni di verifica dell’età, ma si affidino piuttosto a soluzioni di terzi verificate in modo indipendente per validità.

Inoltre, sembra anche necessario, in generale, che i fornitori di prove dell’età siano soggetti a una valutazione da parte di terzi, soprattutto quando adottano un approccio basato sull’analisi automatica o statistica.

A tal fine, e in considerazione della sensibilità dei dati raccolti e della natura invasiva dei sistemi di verifica dell’età e più in generale del trattamento delle informazioni legate all’identità, la creazione di un’etichettatura specifica o la certificazione di questi soggetti terzi potrebbe contribuire a garantire la conformità dei dispositivi al GDPR (rispetto dei principi di minimizzazione, sicurezza dei dati raccolti e finalità).

Analisi delle soluzioni esistenti

Il CNIL ha analizzato diverse soluzioni esistenti che consentono di verificare l’età degli utenti online, verificando se presentano le seguenti proprietà: verifica sufficientemente affidabile, copertura completa della popolazione nonché rispetto della protezione dei dati e della privacy delle persone e della loro sicurezza.

Il CNIL constata che attualmente non esiste alcuna soluzione che soddisfi in modo soddisfacente queste tre esigenze.

In attesa dell’istituzione di un controllo adeguato e solo per un periodo transitorio, la CNIL ritiene che alcune di queste soluzioni possano consentire di rafforzare la protezione dei minori, a condizione che siano garantiti della loro attuazione e in particolare dei rischi aggiuntivi generati dal loro utilizzo.

Verifica dell’età mediante:

1) convalida della carta di pagamento;

2) stima basata sull’analisi facciale;

3) verifica offline;

4) analisi dei documenti di identità;

5) strumenti offerti dallo Stato per verificare identità ed età;

6) Sistemi inferenziali di verifica dell’età

a) Importazione della cronologia di navigazione Internet dell’individuo: questo metodo appare troppo invadente per il semplice scopo di controllo dell’età);

b) Analisi della “maturità” tramite questionario; questo metodo sembra poter evitare il trasferimento di dati personali ma sembra essere relativamente affidabile e la possibilità di elusione (condivisione delle risposte online) è significativa, così come i pregiudizi che potrebbero essere associati ad esso;

c) Analisi della navigazione sui servizi specifici dell’editore del sito Il riutilizzo dei dati per la creazione di modelli di inferenza (o deduzione) dell’età sembra possibile, tranne che per alcune criticità

Il Laboratorio di Innovazione Digitale della CNIL ha dimostrato la fattibilità di un sistema basato su un protocollo sicuro, che si basa su un processo implementato in crittografia che consente alle persone identificate di dimostrare che una situazione è vera senza dover rivelare altre informazioni. Si è visto che è possibile, attraverso un sistema di terze parti, garantire la tutela dell’identità dell’individuo e il principio di minimizzazione dei dati, pur mantenendo un elevato livello di garanzia sull’accuratezza dei dati trasmessi. Si presuppone tuttavia che i terzi utilizzati siano completamente indipendenti dagli editori.

Spagna

L’Autorità di regolamentazione spagnola (CNMC) ha avviato una Consultazione pubblica sui criteri per garantire l’adeguatezza dei sistemi di verifica dell’età sui servizi di piattaforme di condivisione video per contenuti dannosi per i minori.

la legge 13/2022 sulla comunicazione audiovisiva generale (Ley General de Comunicación Audiovisual, LGCA) L’articolo 89 della LGCA impone una serie di obblighi a fornitori di servizi di media audiovisivi e piattaforme per la condivisione di video, incluso quello di implementare sistemi di verifica dell’età per l’accesso alle loro piattaforme, come misura gold standard per proteggere i minori dai contenuti audiovisivi dannosi.

L’articolo 89.1.e) della LGCA prevede che i VSP debbano “Istituire e gestire sistemi di verifica dell’età degli utenti rispetto ai contenuti che possono compromettere lo sviluppo fisico, mentale o morale dei minori che, in ogni caso, impediscono ai minori dall’accesso ai contenuti audiovisivi più dannosi, come la violenza gratuita e la pornografia.” Ritenuto che la pubblicità offerta da questi fornitori incoraggia comportamenti altrettanto dannosi per i minori, poiché in molti casi si riferisce a siti pornografici, farmaci di dubbia provenienza, videogiochi violenti o sessualmente espliciti, siti di incontri o numeri di telefono di contatto diretto per servizi sessuali, ritiene giustificato che l’obbligo di istituire e gestire sistemi di verifica dell’età si applichi a tutti i contenuti audiovisivi, comprese le comunicazioni commerciali gestite dai VSP soggetti all’articolo 89, paragrafo 1, lettera e). Il regolatore spagnolo propone una serie di elementi minimi che gli AVM devono soddisfare:

1) Garantire che in ogni momento, la persona che accede ai contenuti dannosi sia maggiorenne. Chi vuole accedere ai contenuti deve essere realmente la persona identificata come maggiorenne, evitando possibili casi di furto di identità o violazione del sistema;

2) L’identificazione e l’autenticazione possono essere effettuate sulla base di documenti di identità o certificati digitali. In alcuni casi è possibile una registrazione preventiva, dove è prevista l’identificazione dell’età dell’iscritto, e il successivo controllo che tale persona (precedentemente identificata) sia quella che si sta autenticando per accedere al servizio;

3) Gli AVM vanno articolati in due fasi:

a) identificazione univoca della persona;

b) autenticazione che confermi che è la persona precedentemente identificata ad accedere al servizio per adulti in ogni utilizzo successivo.

Il primo passo dell’identificazione univoca riguarda la necessaria identificazione personale con verifica dell’età.

Per raccogliere dati identificativi e di verifica dell’età, è stato tradizionalmente necessario effettuare un controllo faccia a faccia e utilizzare documenti d’identità ufficiali (carta d’identità nazionale, carta di soggiorno, passaporto), confrontando la fotografia o l’impronta digitale.

Tuttavia, il progresso tecnologico sembra rendere superflua la necessità del controllo faccia a faccia quando si utilizzano meccanismi di identità digitale a condizione che tale verifica eviti il rischio di falsificazione ed elusione.

In ogni caso, spetta al fornitore scegliere i meccanismi di verifica dell’età da implementare e, in ultima analisi, a ciascun utente scegliere tra le possibilità che gli vengono offerte.

Il regolatore ritiene ragionevole scartare come inadeguate alcune soluzioni come la semplice presentazione o l’invio di una copia del documento di identità, nonché l’identificazione e la verifica dell’età mediante presentazione di una fotografia, poiché queste non presentano garanzie adeguate.

Per concludere è necessario poi garantire che le chiavi di accesso vengano trasmesse solo alla persona identificata.

La seconda fase di autenticazione consiste nel garantire che solo la persona rispettivamente identificata e di età verificata abbia accesso al servizio in questione, quindi l’autenticazione deve avvenire all’inizio di ogni processo di utilizzo o login e l’accesso ai contenuti deve dipendere da un elemento di autenticazione assegnato individualmente. Inoltre, poiché nella maggior parte delle soluzioni, dopo l’identificazione univoca, l’utente, riconosciuto maggiorenne e quindi autorizzato riceve una forma di “password” per tutti i successivi processi di utilizzo, occorre impedire la possibilità di cedere le autorizzazioni di accesso a terzi non autorizzati.

Per quanto concerne le organizzazioni che potrebbero effettuare la verifica dell’età essa può essere effettuata dal fornitore stesso o da una terza parte indipendente. Quest’ultimo caso presenta alcuni vantaggi per il fornitore, come l’esternalizzazione di un servizio che può essere complesso da eseguire, ma soprattutto non scoraggia l’utilizzo dei servizi da parte degli adulti che sono più riluttanti a fornire i propri dati ai VSP. Il terzo che fornisce la prova dell’età conosce l’identità o l’età dell’internauta, ma non sa quale sito sta visitando; il titolare del servizio, dal canto suo, sa che l’utente è maggiorenne, ma non conosce nessun’altra informazione personale o relativa all’identità dell’utente. Questi deve sapere se il terzo è indipendente dal titolare del servizio al quale chiede l’accesso. Più in generale, bisogna vigilare sui possibili legami economici tra i terzi e i titolari dei servizi.

Germania

L’autorità di regolamentazione tedesca Kommission für Jugendmedienschutz (KJM) ha stabilito che alcuni contenuti pornografici, dannosi per i minorenni, possono essere distribuiti su Internet solo se il fornitore garantisce che solo gli adulti possano accedervi mediante AVM, che devono garantire che venga effettuato un controllo dell’età tramite identificazione personale.

La KJM ha quindi sviluppato un processo di valutazione con cui analizza e valuta i sistemi di verifica dell’età, su richiesta di aziende o fornitori eventualmente con discussioni o audit in loco. La responsabilità principale per l’implementazione di un sistema di verifica conforme ai criteri spetta tuttavia al fornitore di contenuti, il quale deve garantire che nella sua offerta i contenuti pornografici e altri contenuti dannosi per i minori siano accessibili solo agli adulti (gruppi di utenti chiusi).

La verifica dell’età per i gruppi chiusi di utenti deve essere assicurata attraverso due passaggi:

1) mediante identificazione almeno una tantum (verifica dell’età), che generalmente deve avvenire tramite contatto personale;

2) attraverso l’autenticazione durante i singoli processi di utilizzo. L’autenticazione serve a garantire che solo la persona identificata e a cui sia stata verificata l’età, possa accedere a gruppi di utenti chiusi e a rendere più difficile il passaggio/trasferimento delle autorizzazioni di accesso a terzi non autorizzati.

La griglia di valutazione KJM consente processi trasparenti per i fornitori, e prevede le seguenti casistiche.

Concetti di verifica dell’età per un utilizzo una tantum (chiave monouso)

Come metodo di controllo dell’età, che viene eseguito sempre immediatamente prima di ogni utilizzo o ogni accesso, è accettabile, ad esempio, utilizzare la conferma dell’età tramite la funzione eID della carta di Carta d’identità. L’intera procedura deve essere eseguita ogni volta che viene utilizzata, ad esempio attraverso una procedura in cui l’utente viene esaminato tramite una webcam, a condizione che venga utilizzato solo personale opportunamente addestrato, e venga effettuato un rilevamento efficace live e sia garantita una qualità dell’immagine sufficiente. La carta d’identità va controllata da tutti i lati e completamente: la mera verifica del codice della carta d’identità o la presentazione di una copia del proprio documento d’identità non sono sufficienti.

Concetti di verifica dell’età per un utilizzo ripetuto (chiave generale)

La verifica dell’età per un utilizzo ripetuto consiste in due passaggi: identificazione e autenticazione una tantum della persona identificata per ciascuna sessione di utilizzo. Dopo l’identificazione unica, all’utente riconosciuto maggiorenne viene assegnata una sorta di “chiave generale” per tutti i successivi processi di utilizzo. Questo gli dà accesso a un numero qualsiasi di offerte diverse. Rispetto alla precedente “chiave monouso” un controllo dell’età effettuato semplicemente mediante ispezione visiva della persona non soddisfa i requisiti in questo caso.

Il prerequisito per un metodo affidabile di verifica della maggiore età è l’identificazione delle persone fisiche. L’identificazione personale è necessaria per evitare il rischio di contraffazione ed elusione.

I requisiti della KJM per l’Identificazione

I requisiti della KJM per l’Identificazione sono specificati come segue:

A. L’Identificazione della persona fisica: almeno una volta deve avvenire tramite contatto personale in presenza (controllo “faccia a faccia”) con un confronto dei dati di identificazione ufficiali (carta d’identità, passaporto).

Può essere utilizzato anche un controllo “in presenza” già avvenuto: identificazione mediante dati personali verificati, di età o di nascita, quando si fruisce di determinati servizi o si stipulano determinati contratti (ad es. contratti di telefonia mobile, apertura di conti bancari etc.).

Si può fare a meno del controllo facciale tra i presenti se l’identificazione avviene tramite software confrontando i dati biometrici riportati sul documento di identità e una foto della persona da identificare, nonché registrando automaticamente i dati sul documento di riconoscimento.

B. Raccolta e conservazione dei dati necessari per l’identificazione: I dati personali necessari per la verifica dell’età dovrebbero essere registrati e conservati nella misura necessaria nel rispetto delle norme sulla protezione dei dati (ad es. data di nascita, nome, indirizzo).

C. Punti di raccolta dei dati possono essere sportelli postali, punti vendita vari come negozi di operatori di telefonia mobile, ecc.

D. Controllo finale dell’età: L’accesso al gruppo chiuso di utenti (attivazione dei dati dell’utente per l’autenticazione) può avvenire solo se il fornitore riceve i dati identificativi o un riferimento agli stessi e ne verifica l’età.

Infine, in merito all’Autenticazione, volta a garantire che solo la persona identificata e della quale è stata verificata l’età possa accedere a gruppi di utenti chiusi, e a rendere più difficile il trasferimento delle autorizzazioni di accesso a terzi, i requisiti prevedono:

A. l’autenticazione all’inizio di ogni processo di utilizzo (“sessione”);

B. Protezione dei contenuti mediante una password speciale assegnata individualmente.

Conclusioni

Concludendo, si può affermare che si dovrebbe essere sulla buona strada per assicurare che l’accesso ai contenuti dannosi sia impedito ai minori. I metodi di AVM sono tanti, e anche dal punto di vista tecnologico sembrano offrire garanzie sufficienti. L’Agcom, come abbiamo visto, sembra aver trovato la quadratura del cerchio per verificare l’età preservando la privacy degli utenti. Si tratta di attendere il provvedimento formale che dovrebbe essere adottato in tempi brevi.

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3