Piattaforme digitali: il problema dei sistemi di verifica dell’età dei minori alla luce dei provvedimenti delle Autorità amministrative indipendenti. Intervista alla Dott.ssa Chiara Sartoris

Chiara Sartoris, abilitata alle funzioni di professore di seconda fascia in Diritto privato, è docente a contratto di Diritto privato nel corso di laurea in Scienze giuridiche della sicurezza e di Diritto privato e diritto di famiglia nel corso di laurea triennale in Servizio sociale presso la Scuola di Giurisprudenza dell’Università di Firenze.
Presso il medesimo Ateneo ha conseguito il dottorato di ricerca con lode ed è stata assegnista di ricerca dal 2019 al 2025, partecipando a diversi progetti di ricerca finanziati a livello nazionale ed europeo.
È autrice delle monografie Nullità di protezione e interesse ad agire (2022) e Semi-abbandono e interesse del minore (2024).

 

La Dott.ssa Chiara Sartoris

 

Alcuni recenti provvedimenti dell’Autorità garante per la protezione dei dati personali nell’intervenire in relazione a noti e drammatici episodi di cronaca coinvolgenti minori di età si sono concentrati sul problema della verifica dell’età degli utenti minorenni nelle piattaforme digitali. In cosa si sostanzia questo problema e quali sono le tutele attivabili davanti all’Autorità garante?

 

Negli ultimi anni, il crescente impiego delle nuove tecnologie digitali da parte dei minori e l’esposizione a nuovi rischi per la loro salute psico-fisica impongono agli operatori giuridici teorici e pratici e, prima ancora, ai legislatori, di concentrare l’attenzione sul tema dell’età degli utenti digitali. Spesso, infatti, le piattaforme digitali non predispongono idonei meccanismi di verifica dell’età degli utenti, con conseguenti rilevanti rischi per la tutela dei dati personali dei più giovani. Occorre essere consapevoli del fatto che la verifica dell’età degli utenti, lungi dal poter essere considerata un mero adempimento burocratico, rappresenta, al contrario, uno strumento cruciale per la protezione effettiva dell’interesse del minore nell’ambiente digitale. La predisposizione, da parte dei gestori di siti internet e piattaforme digitali, di sistemi di controllo dell’età si rende necessaria allo scopo di rispettare il limite di età fissato a livello europeo per la manifestazione del consenso al trattamento dei dati da parte dei minori. In tal modo, infatti, si garantisce un delicato punto di equilibrio tra più interessi diversi: da un lato, l’interesse economico delle piattaforme digitali a offrire i loro servizi; dall’altro, l’interesse dei minori ad accedere alle nuove tecnologie per prevenire forme di digital divide e, nel contempo, la necessità di garantire un’adeguata tutela del loro benessere psico-fisico.

D’altra parte, la centralità dei meccanismi di age verification è oggi esplicitamente sancita a livello normativo. L’art. 35, parag. 1, lett. j), Regolamento 2022/2065/UE, recante il s Act (D.S.A.) prevede l’obbligo per i prestatori di servizi online di progettare interfacce chiare e adatte agli utenti minori di età e menziona, tra gli strumenti di attenuazione dei rischi, proprio i sistemi di verifica dell’età. Non solo, ma nel gennaio 2024 i sulla verifica dell’età per dare attuazione al predetto Regolamento 2022/2065/UE (D.S.A) allo scopo di individuare un approccio comune nell’UE sui sistemi di verifica dell’età degli utenti dei servizi digitali. In questo contesto, va menzionata anche la risoluzione adottata nel novembre del 2025 dalla Sessione plenaria del Parlamento europeo, volta a proporre un limite di età digitale europeo armonizzato, che si concretizzi nel divieto di accesso ai social media per i minori di 16 anni. La medesima risoluzione va segnalata anche per la proposta, tra le altre cose, di una forma di responsabilità personale dei gestori delle piattaforme digitali in caso di gravi e ripetute violazioni delle norme in materia di tutela dei dati personali dei minori. Quest’ultima proposta mi sembra di particolare interesse poiché completerebbe il sistema di tutela degli utenti minori in quanto tale forma di responsabilità personale si aggiunge, in un’ottica di deterrenza, alle sanzioni pecuniarie irrogabili a carico delle piattaforme digitali a valle di violazioni già intervenute.

Proprio con riguardo al problema specifico della verifica dell’età degli utenti di piattaforme digitali possono essere ricordati due recenti provvedimenti dell’Autorità garante per la tutela dei dati personali. Si tratta di provvedimenti che intervengono a valle di due casi di cronaca particolarmente delicati, offrendo l’occasione per riflettere su due aspetti: sull’effettività dei rimedi attivabili davanti alle Autorità amministrative indipendenti nella materia che ci occupa; sul ruolo sempre più centrale di dette Autorità per la tutela dell’interesse dei minori.

Il primo provvedimento, datato 22 gennaio 2021, n. 20, è stato adottato d’urgenza dall’Autorità garante per la tutela dei dati personali nei confronti della piattaforma che gestisce il servizio di social network cinese Tik Tok all’indomani della gravissima vicenda di una bambina di dieci anni morta per aver partecipato a una delle tante sfide online (in quel caso simulare il soffocamento), che spopolano tra i giovanissimi su quel social network. L’Autorità interviene a tutela degli utenti che si trovano sul territorio italiano disponendo l’immediato blocco dell’uso dei dati degli utenti per i quali non sia stata accertata con sicurezza l’età anagrafica e, in caso di inottemperanza, la connessa responsabilità amministrativa, con sanzioni sino al 4% del fatturato globale annuo, nonché una eventuale responsabilità penale.

Tre le violazioni che vengono contestate al social network: 1) il facile aggiramento del divieto di iscrizione alla piattaforma per i minori di 13 anni (art. 8 G.D.P.R.), potendo essere facilmente inserita una data di nascita falsa in assenza di qualsivoglia controllo da parte della piattaforma; 2) l’impiego di una informativa sulla protezione dei dati personali del tutto standardizzata in violazione dell’art. 12 del G.D.P.R. che richiede l’utilizzo di un linguaggio semplificato e chiaro; 3) l’impostazione di iscrizione alla piattaforma che, di default, attiva un profilo preimpostato come pubblico in violazione dell’art. 25 G.D.P.R.

Censure non dissimili sono contestate dalla medesima Autorità garante per la tutela dei dati personali nei confronti della società statunitense che gestisce il chatbot Replika, un servizio di intelligenza artificiale, basato su un sistema di machine learning, che si propone come amico o confidente virtuale personalizzabile. Con provvedimento del 10 aprile 2025 alla società fornitrice del servizio viene irrogata una multa di 5 milioni di euro per non aver posto adeguato rimedio alle violazioni contestate: 1) assenza di sistemi di verifica in concreto della vera età degli utenti, non solo al momento della iscrizione al servizio, ma anche nel corso del suo utilizzo; 2) scarsa chiarezza della informativa sulla protezione dei dati personali degli utenti che non indica precisamente le basi giuridiche dei diversi tipi di trattamento posti in essere; 3) assenza di un sistema di monitoraggio dei contenuti e di eventuale blocco della fruizione del servizio.

Ebbene, entrambi i provvedimenti brevemente richiamati mettono chiaramente in evidenza come la maggior parte dei sistemi di verifica dell’età oggi in uso nelle principali piattaforme digitali frequentate dai minorenni, essendo prevalentemente fondati su meccanismi di autodichiarazione all’atto della iscrizione al servizio, risultano insufficienti e inefficaci perché facilmente aggirabili (es. modificando la data di nascita) e non sorretti da adeguati meccanismi di monitoraggio sia in fase di accesso che in corso di fruizione del servizio.

Quali tutele sono previste dalla disciplina italiana di riferimento e quali novità sono state introdotte a riguardo dal c.d. decreto Caivano?

 

Una drammatica vicenda di violenze su due minori perpetrate a Caivano è alla base del recente decreto legge del 15 settembre 2023 n. 123 recante “Misure urgenti di contrasto al disagio giovanile, alla povertà educativa, alla criminalità minorile, nonché per la sicurezza dei minori in ambito digitale”. Ai presenti fini, limito l’esame di questo ampio testo normativo alle tutele predisposte per i minori nel contesto digitale. In particolare, giova soffermare l’attenzione sull’art. 13 bis che introduce per i minori un divieto di accesso a contenuti a carattere pornografico allo scopo di prevenire pregiudizi per la loro dignità e il loro benessere fisico e mentale. In attuazione di tale divieto, i gestori di siti web e i fornitori di piattaforme di condivisione video che diffondono in Italia immagini a carattere pornografico sono tenuti a verificare la maggiore età degli utenti attraverso l’adozione di soluzioni tecnologiche affidabili idonee a bilanciare le esigenze di sicurezza con la protezione dei dati personali dei minori.

Allo scopo di dare attuazione alle prescrizioni dell’art. 13 bis l’Autorità garante della concorrenza e del mercato – designata dal Governo italiano quale Coordinatore dei servizi digitali per l’Italia in collaborazione con il Garante privacy (in attuazione dell’art. 49, parag. 2, del regolamento 2022/2065 – D.S.A.) – ha adottato un apposito provvedimento recante le modalità tecniche e di processo di cui i gestori di siti e piattaforme di condivisione di contenuti a carattere pornografico devono dotarsi per accertare la maggiore età degli utenti (delibera 96/2025/CONS). Tale provvedimento va segnalato perché rappresenta la prima e sistematica fonte di regolamentazione di un sistema obbligatorio di verifica dell’età integrato con meccanismi di certificazione da parte di soggetti terzi in caso di accesso a contenuti vietati ai minorenni. Il modello di verifica predisposto si sostanzia in un processo articolato in due fasi: la prima di identificazione dell’utente (es. tramite documento di identità o sistemi di riconoscimento biometrico) gestita da un fornitore terzo e imparziale; la seconda di autenticazione (es. tramite token o qr code) fondata sulla ricezione da parte dell’utente di una prova della maggiore età che viene trasmessa anche al gestore del sito o della piattaforma. All’AGCOM spetta di vigilare sulla corretta applicazione del provvedimento e, in presenza di violazioni, dispone del potere di diffidare ad adeguarsi (entro 20 giorni) i medesimi gestori. L’inottemperanza a tali provvedimenti legittima, inoltre, l’Autorità ad adottare ogni provvedimento utile per il blocco del sito o della piattaforma fino al ripristino delle condizioni di fornitura conformi ai contenuti della diffida.

Ebbene, il sistema descritto appare senz’altro una novità da segnalare nel panorama delle tutele dei dati personali dei minori nel contesto digitale. È però ancora presto per stabilire se la protezione garantita sia realmente effettiva. È utile, anzi, evidenziarne alcune criticità. Innanzitutto, siamo in una fase di non ancora compiuta attuazione del provvedimento: manca l’adozione da parte dell’Autorità delle direttive tecniche operative, così come deve ancora essere individuato il soggetto terzo e imparziale a cui affidare l’identificazione degli utenti. Verosimilmente, un rilevante passo avanti nella direzione dell’effettivo funzionamento di tali misure sarà assicurato dalla istituzione di un sistema europeo di identificazione fondato sullo European Digital Identity Wallet in conformità a quanto previsto dal regolamento 2024/1183/UE.

In secondo luogo, occorre ricordare che il sistema delineato dall’AGCOM non ha una portata generalizzata, ma presenta carattere necessariamente settoriale, essendo legato all’attuazione delle finalità del decreto Caivano. Sarebbe allora opportuno avviare una riflessione più ampia sulla possibile estensione di siffatto sistema di verifica di età anche rispetto a contenuti diversi da quelli pornografici, ma ugualmente pregiudizievoli per i minori. La vicenda della ediffusa sulla piattaforma Tik Tok lo conferma tragicamente.

A mio avviso è utile, infine, sottolineare che la progettazione di meccanismi di controllo dell’età, così come l’irrogazione, a valle di violazioni, di sanzioni pecuniarie a carico dei gestori delle piattaforme, non può mai andare disgiunta da due elementi ulteriori. Per un verso, deve essere sempre assicurato il rispetto del principio di minimizzazione dei dati, sicché gli strumenti di verifica dell’età devono operare secondo modalità che riducano il rischio di diffusione o di trattamento di dati personali non necessari. Per altro verso, nessun sistema garantirà mai una protezione effettiva dei bambini e ragazzi se non è integrato tanto da seri progetti di educazione digitale, quanto da un’attiva funzione di vigilanza da parte dei genitori favorita anche dall’attuazione di strumenti di parental control.

 

Qual è il ruolo attuale delle Autorità amministrative indipendenti nel sistema di tutela del minore nel contesto digitale?

 

In un contesto come quello attuale, caratterizzato dall’affermazione di forti poteri privati nel contesto digitale, le Autorità amministrative indipendenti svolgono senz’altro un ruolo fondamentale per la tutela di interessi costituzionalmente rilevanti, come l’interesse del minore al suo benessere psico-fisico. Questo aspetto, a mio avviso, merita di essere maggiormente messo a fuoco.

Mi limito a ricordare che l’ampiezza dei poteri delle Autorità amministrative indipendenti è una questione da tempo oggetto di dibattito. Si discute da tempo se queste possano intervenire con provvedimenti regolatori in materie che coinvolgono diritti fondamentali della persona oppure se queste materie siano coperte da una riserva di legge assoluta. Oggi è ormai pacifico come in certe discipline di settore, la funzione amministrativa sia particolarmente idonea a bilanciare interessi ed esigenze contrapposte. Anzi, la quantità e l’incisività dei provvedimenti recentemente adottati dalle Autorità amministrative indipendenti a tutela dei dati personali degli utenti mettono in evidenza una espansione dei poteri e della rilevanza del ruolo di queste Autorità proprio nella materia che ci occupa. Un ruolo che i recenti interventi normativi euro-unitari valorizzano ulteriormente allo scopo di assicurare una effettiva integrazione tra regole e principi di diversa provenienza.

E d’altra parte, come attenta dottrina ha evidenziato, il potenziamento del ruolo delle Autorità indipendenti nella tutela dei diritti fondamentali dei minori si inserisce in quel più ampio fenomeno di annacquamento dei confini tra pubblico e privato, che comporta un inevitabile intreccio tra le due discipline e l’affermazione di un indispensabile sistema di protezione multilivello a garanzia di una tutela effettiva delle posizioni giuridiche coinvolte. Da tempo, infatti, è stato messo in evidenza in dottrina che il public enforcement si caratterizza per capacità di intervento più celeri e maggiormente orientate in senso sanzionatorio rispetto ai rimedi di private enforcement con i quali deve necessariamente coordinarsi.

A mio avviso, tuttavia, non è possibile delegare alle sole autorità amministrative indipendenti la progettazione di un sistema di tutela effettivo per i dati personali dei minori nell’ambiente digitale. Non solo perché le sanzioni pecuniarie, per quanto pesanti, non sono sufficienti ad assicurare una tutela efficace sia perché intervengono a valle di una violazione di legge, sia perché i fatturati dei nuovi soggetti digitali sono tali da spuntare l’arma di quelle sanzioni. Ma soprattutto perché l’edificazione di meccanismi di controllo dell’età dei minori che accedono a piattaforme digitali richiede una necessaria collaborazione tra le Autorità indipendenti e i gestori delle piattaforme digitali. Condivisibile è la posizione di quanti in dottrina reputano che questi ultimi debbono essere coinvolti in sede di attuazione dei principi e dei valori che le Autorità sono chiamate a inverare in un’ottica di progressiva responsabilizzazione. Al tempo stesso, occorre una sinergia anche tra le varie Autorità di settore, nella consapevolezza ulteriore che solo una visione a trecentosessanta gradi del problema possa offrire soluzioni realmente efficaci.