Home

Internal

Global

Contatto

de|en|it

Cinque nuovi Associate Partner per Rödl & Partner Italia |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

AGCOM stringe sulle piattaforme video: l’introduzione dei sistemi di age verification

Ultimo aggiornamento del 03.06.2025 | Tempo di lettura ca. 6 minuti

Il 18 aprile 2025, l'Autorità per le Garanzie nelle Comunicazioni (AGCOM) ha adottato la Delibera n. 96/25/CONS¹ che segna un importante passo nell’ambito della tutela dei minori online, in attuazione della Legge 13 novembre 2023, n. 159, meglio conosciuta come “Decreto Caivano”.

Il provvedimento stabilisce le modalità tecniche e operative necessarie per garantire una verifica affidabile della maggiore età degli utenti che accedono a contenuti ritenuti potenzialmente inadeguati per i minori, diffusi tramite piattaforme di video sharing o determinati siti web accessibili dall’Italia: in particolare, si fa riferimento ai siti pornografici. I soggetti obbligati avranno sei mesi di tempo a partire dalla data di pubblicazione per adeguarsi alle disposizioni previste dalla Delibera.

Analizziamo ora in dettaglio le principali novità introdotte.

Il sistema di verifica dell’età (c.d. age verification) introdotto dalla nuova delibera si struttura in due fasi distinte ma complementari. La prima fase prevede l’identificazione dell’utente, che dovrà essere effettuata attraverso dei sistemi di identità digitale, come il sistema SPID o la Carta d'Identità Elettronica (CIE). La seconda fase, invece, consiste nell’autenticazione dell’utente per ciascuna sessione, al fine di garantire che l’accesso ai contenuti regolamentati avvenga solo da parte dell’utente maggiorenne e identificato.

Tuttavia, un simile impianto regolatorio comporta inevitabilmente un trattamento significativo di dati personali, soprattutto in relazione a informazioni identificative e documentali che, se gestite in modo improprio, potrebbero dar luogo a rischi elevati per i diritti e le libertà degli interessati. Per mitigare tali rischi e garantire un elevato standard di protezione dei dati, la delibera prevede il coinvolgimento di soggetti terzi certificati, i quali operano come intermediari fiduciari tra l’utente e la piattaforma, svolgendo le funzioni di verifica dell’età in maniera autonoma e separata. Tale meccanismo, infatti, assicura che il soggetto verificatore non sia in grado di conoscere l’identità della piattaforma a cui l’utente intende accedere e quest’ultima non riceva alcun dato identificativo dell’utente.

In questo contesto, l’intermediario terzo certificato, pur operando all’interno di un sistema complesso volto al corretto funzionamento di una piattaforma, non assume il ruolo di responsabile ma di titolare autonomo del trattamento ai sensi dell’art. 4, par. 7 del Regolamento (UE) 2016/679 (GDPR). Infatti, è l’intermediario a determinare le finalità ed i mezzi del trattamento dei dati personali raccolti nel corso dell’operazione di verifica dell’età, rispondendo direttamente degli obblighi previsti dal GDPR, mentre la piattaforma “destinataria” della verifica non riceve né tratta alcun dato. Tale architettura tecnica e organizzativa si pone in piena aderenza al principio di minimizzazione previsto dall’articolo 5 del GDPR, evitando trattamenti non necessari e rafforzando il controllo dell’utente sui propri dati personali.

Nella definizione del quadro regolatorio per i sistemi di verifica dell’età, l’Autorità per le Garanzie nelle Comunicazioni ha adottato un approccio tecnologicamente neutrale, evitando di prescrivere soluzioni tecniche specifiche ma fissando una serie di principi vincolanti cui tutti i sistemi dovranno attenersi. Tra questi, spiccano il principio di proporzionalità – inteso come adeguato bilanciamento tra gli strumenti impiegati per la verifica dell’età e l’impatto sui diritti fondamentali degli utenti – la protezione dei dati personali, la sicurezza informatica, l’accuratezza e l’efficacia nella determinazione dell’età, nonché l’accessibilità, l’inclusività e la facilità d’uso.

A tali requisiti si affiancano l’obbligo di garantire la non discriminazione, la formazione e l’informazione degli utenti, oltre alla disponibilità di meccanismi efficaci per la gestione dei reclami. È inoltre previsto che i sistemi implementati si conformino progressivamente agli orientamenti che saranno adottati dalla Commissione europea, con possibilità di modifiche e aggiornamenti del provvedimento per assicurare un allineamento coerente con il diritto dell’Unione e gli sviluppi tecnologici in materia.

Tuttavia, va sottolineato che la delibera si concentra esclusivamente sui sistemi di verifica dell’età, senza affrontare direttamente la questione del controllo parentale (c.d. parental control). Di conseguenza, l’obbligo di conformarsi alla normativa riguarda principalmente i gestori di piattaforme di video sharing e i siti web che distribuiscono contenuti pornografici in Italia, i quali dovranno implementare sistemi di verifica dell’età efficaci per garantire un accesso sicuro e limitato ai contenuti per adulti.

Un approccio normativo che consideri il controllo parentale come una parte integrante della protezione dei minori online risulterebbe più completo ed efficace, garantendo non solo la limitazione dell’accesso a contenuti inadeguati, ma anche una protezione attiva e informata delle giovani generazioni nel vasto mondo digitale.

Alla luce di quanto previsto dalla Delibera AGCOM n. 96/25/CONS, i soggetti obbligati – ossia le piattaforme di video sharing e i siti web che diffondono contenuti pornografici accessibili dall’Italia – dovranno adottare, entro sei mesi dalla pubblicazione del provvedimento, una serie di misure concrete finalizzate al pieno rispetto delle nuove disposizioni normative.

Si ricorda che il mancato adeguamento entro i termini stabiliti comporterà l’avvio di procedimenti sanzionatori da parte dell’AGCOM. In base all’articolo 1, comma 31, della Legge n. 249/1997, richiamato dal Decreto Caivano, i soggetti che non ottemperano agli ordini o alle diffide impartiti dall’Autorità possono essere puniti con rilevanti sanzioni pecuniarie.

Pertanto, ricapitolando, in termini di azioni, al fine di adeguarsi al dettato normativo, è richiesto ai destinatari della Delibera di:

Selezionare soggetti terzi certificati e affidabili per la verifica dell’età, così da garantire una netta separazione tra i dati identificativi dell’utente e la piattaforma di destinazione. Questa misura assicura il rispetto del principio di protezione dei dati personali e della minimizzazione del trattamento sancita dall’art. 5 del GDPR, oltre a rafforzare la sicurezza informatica e a ridurre il rischio di accessi non autorizzati dei minori. Tali soggetti terzi, infatti, devono adottare soluzioni tecnicamente efficaci, proporzionate e inclusive (per risultare accessibili e di facile utilizzo, anche da parte di soggetti con disabilità), in grado di garantire un'elevata accuratezza nella determinazione dell’età, nel rispetto del principio di proporzionalità tra il meccanismo di verifica implementato e l’impatto sui diritti fondamentali degli utenti;
Prevedere un sistema di verifica dell’età in due fasi: una prima fase di verifica tramite il sistema di identità digitale certificato, gestita dal soggetto terzo, e una seconda fase di autenticazione per ciascuna sessione sulla piattaforma per adulti. Pertanto, in caso di verifica con esito negativo e accertata la minore età dell’utente, la piattaforma dovrà prevedere un sistema che impedisca la prosecuzione della navigazione e che blocchi tempestivamente l’accesso al contenuto, garantendo un blocco immediato e non eludibile e assicurando la piena tutela dei minori e la conformità ai requisiti normativi;
Prevedere un sistema di verifica proporzionale, ossia in relazione al quale i mezzi selezionati ed impiegati risultino bilanciati rispetto ai diritti delle persone eventualmente dagli stessi limitati;
Assicurare l’accessibilità e la facilità d’uso della piattaforma;
Prevedere meccanismi trasparenti di informazione degli utenti. In tale ottica, risulta opportuno adottare modalità comunicative efficaci e preventive, come l’utilizzo di banner informativi ben visibili o comunicazioni di servizio anticipate, pubblicate sul sito web prima dell’entrata in vigore delle misure. Tali strumenti dovranno fornire indicazioni chiare e sintetiche sul funzionamento dei meccanismi di verifica, sulla possibilità di proporre reclamo, sui diritti degli utenti e sulle modalità di contatto per eventuali segnalazioni, così da garantire piena trasparenza e consapevolezza;
Prevedere adeguati meccanismi per la gestione dei reclami degli utenti.

Tutto quanto sopra non potrà prescindere da una valutazione ex ante del rischio intrinseco privacy e cyber dei trattamenti di dati personali e della piattaforma in generale: tale valutazione, infatti, sarà di fondamentale supporto per i gestori delle piattaforme nella selezione ed adozione delle misure tecniche ed organizzative di sicurezza, in conformità alla generale normativa privacy e cyber vigente.

[1] Comunicato stampa | Agcom