AGCOM: verifica dell’età per siti per adulti, scommesse e social network

Cosa dice il regolamento AGCOM per minori e Internet

Presto in Italia potrebbe scattare la verifica dell’età per accedere a determinati siti online, come i siti con contenuti per adulti, quelli di scommesse e i social network.

La mini-rivoluzione è in un regolamento del 24 settembre 2024 dell’AGCOM, l’Autorità per le Garanzie nelle Comunicazioni, che disciplina le modalità tecniche e di processo per l’accertamento della maggiore età degli utenti.

La verifica dell’età, detta anche “age assurance” o “age verification”, ha come obiettivo quello di verificare l’età di un utente per stabilire se può accedere o meno a contenuti online riservati a maggiorenni.

Perché l’AGCOM ha previsto la verifica dell’età

Il regolamento AGCOM attua quanto previsto dal Decreto Caivano (Legge 159/2023), che all’articolo 13 bis ha introdotto “la verifica della maggiore età” per l’accesso a siti con contenuti per adulti.

Al comma 3, l’articolo affida all’AGCOM l’incarico di stabilire, sentito il Garante per la protezione dei dati personali, “le modalità tecniche e di processo” che i gestori di siti web e i fornitori di piattaforme che condividono contenuti per adulti, “sono tenuti ad adottare per l’accertamento della maggiore età degli utenti, assicurando un livello di sicurezza adeguato al rischio e il rispetto della minimizzazione dei dati personali raccolti”.

Ottenuto parere favorevole dal Garante Privacy, l’AGCOM ha quindi avviato una consultazione pubblica, cui hanno partecipato 13 soggetti (tra istituzioni, associazioni di categoria e di consumatori, piattaforme di condivisione video) e che ha portato al regolamento. Questo è stato poi notificato alla Commissione Europea, che dovrà dare l’ok definitivo dopo aver verificato che non sia in contrasto con le norme dell’Unione.

Cosa rischia chi non rispetta la verifica dell’età

Se la Commissione darà il suo ok, siti web e piattaforme avranno 60 giorni per dotarsi di efficaci sistemi di verifica della maggiore età conformi al regolamento AGCOM. Se non si adegueranno, AGCOM potrà contestare, anche d’ufficio, la violazione del regolamento e diffidare i soggetti interessati ad adeguarsi entro 20 giorni. In caso di inottemperanza alla diffida, AGCOM potrà decidere il blocco dei siti o delle piattaforme, fino a quando non saranno in regola.

Age Verification, cosa prevede la normativa vigente

Sia a livello europeo che italiano, le norme vigenti già richiamano l’esigenza di meccanismi di age verification, stabilendo che i minori hanno diritto a un livello più elevato di protezione dai contenuti che potrebbero nuocere al loro sviluppo fisico, mentale o morale.

L’articolo 28 del Digital Services Act richiede che tutti i fornitori di piattaforme online adottino misure adeguate di tutela della vita privata, sicurezza e protezione dei minori, anzitutto mediante meccanismi di verifica dell’età.

Inoltre, l’articolo 35 impone alle piattaforme e ai motori di ricerca online di dimensioni molto grandi di adottare “misure mirate per tutelare i diritti dei minori, compresi strumenti di verifica dell’età e di controllo parentale, o strumenti volti ad aiutare i minori a segnalare abusi o ottenere sostegno”.

A livello italiano, il Testo Unico sui Servizi Media Audiovisivi (TUSMA) agli articoli 41 e 42 assegna all’AGCOM specifici poteri a tutela dei minori, rispetto a contenuti che possano nuocere al loro sviluppo fisico, mentale o morale.

Verifica dell’età col doppio anonimato

Nel fornire le sue indicazioni, l’AGCOM ha seguito un approccio tecnologicamente neutrale, dando ai provider totale libertà sulla tecnologia da adottare. Tuttavia, AGCOM ha stabilito dei principi generali, che si dovranno necessariamente rispettare.

Per garantire il requisito della riservatezza “rafforzata”, AGCOM prevede un sistema di verifica dell’età che usi il modello del “doppio anonimato”.  

In base a tale modello:

• la prova della maggiore età di un utente deve essere fornita da soggetti terzi indipendenti certificati;
• tali soggetti terzi non devono sapere per quale servizio viene eseguita la verifica dell’età.

La verifica col doppio anonimato prevede, per ciascuna sessione svolta dall’utente, due passaggi separati: identificazione e autenticazione.

Nella forma più complessa la verifica dell’età si svolge in tre fasi:

• prima fase: emissione, ad esempio mediante accesso a un sito web tramite browser, di una prova dell’età, a seguito dell’identificazione rilasciata da soggetti terzi certificati da un’apposita Autorità, che conoscono l’utente e sono indipendenti dal fornitore di contenuti. Può trattarsi di provider di identità digitale o di soggetti che hanno identificato l’utente in un altro contesto (ad esempio, una banca).
• seconda fase: la prova dell’età viene comunicata solo all’utente, che ad esempio la scarica dal sito web del soggetto terzo e poi la presenta al sito/piattaforma da visitare.
• terza fase: il sito/piattaforma analizza la prova dell’età e fornisce o meno accesso al contenuto richiesto (autenticazione).

In alternativa, il soggetto terzo può mettere a disposizione dell’utente un’app per effettuare direttamente l’autenticazione e fornire la prova dell’età al sito/piattaforma.

Quali requisiti deve soddisfare un sistema di verifica dell’età

I principi e i requisiti che i sistemi di verifica dell’età devono rispettare sono i seguenti:

• Proporzionalità: bisogna ricercare il giusto equilibrio tra i mezzi usati per la verifica dell’età e l’impatto sulla limitazione dei diritti delle persone.
• Protezione dei dati personali (requisito della riservatezza): i sistemi devono essere conformi al GDPR. Non sono consentiti il trattamento e la gestione di dati personali, la profilazione e, in generale, la raccolta di altre informazioni personali.
• Sicurezza: bisogna prevedere misure sufficienti a mitigare i rischi di attacchi informatici ed evitare i tentativi di elusione.
• Precisione ed efficacia: i sistemi devono saper contenere l’errore nella determinazione dell’età. Il processo di verifica deve avvenire a ogni sessione e cessare quando l’utente esce dal browser o quando il sistema operativo entra in stand-by e, comunque, dopo 45 minuti di inattività.
• Funzionalità, accessibilità, facilità d’uso e non ostacolo all’accesso ai contenuti in Internet: i sistemi devono essere facili da usare e basati sulle capacità e caratteristiche dei minori.
• Inclusività e non discriminazione: il sistema deve evitare o minimizzare pregiudizi non intenzionali e risultati discriminatori per gli utenti.
• Trasparenza: verso gli utenti per quanto riguarda i sistemi e i dati trattati e le finalità, mediante spiegazioni semplici, chiare e complete per maggiorenni e minorenni.
• Formazione e informazione: sulle buone pratiche informatiche e i rischi di Internet, verso minori, genitori, personale educativo.
• Gestione dei reclami: il fornitore della verifica deve prevedere almeno un canale per gestire tempestivamente i reclami in caso di errate decisioni sull’età.

Quali sono i siti per cui scatterà la verifica dell’età

Anche se il Decreto Caivano si riferisce esclusivamente ai siti per adulti, il regolamento AGCOM allarga le sue indicazioni anche ad altre tipologie di contenuti, che potrebbero comunque nuocere allo sviluppo fisico, mentale o morale dei minori.

• Contenuti per adulti – Siti web con contenuti riservati a un pubblico maggiorenne o che supportano l’acquisto online di beni e servizi per maggiorenni.
• Gioco d’azzardo/scommesse – Siti che forniscono informazioni o promuovono o supportano il gioco d’azzardo online e/o scommesse.
• Armi – Siti che forniscono informazioni, promuovono o supportano la vendita di armi e articoli correlati.
• Violenza – Siti che presentano o promuovono violenza o lesioni personali, comprese le lesioni autoinflitte, il suicidio, o che mostrano scene di violenza gratuita, insistita o efferata.
• Odio e discriminazione – Siti che promuovono o supportano l’odio o l’intolleranza verso qualsiasi individuo o gruppo.
• Promozione di pratiche che possono danneggiare la salute – Come i siti che promuovono o supportano anoressia, bulimia, uso di droghe, alcol o tabacco.
• Anonymizer – Siti che forniscono strumenti e modalità per rendere l’attività online irrintracciabile.
• Sette – Siti che promuovono od offrono metodi, istruzioni o altre risorse per influire su eventi reali con incantesimi, maledizioni, poteri magici o esseri soprannaturali.

Verifica dell’età con Namirial Onboarding

In base alle indicazioni di AGCOM, quindi, i siti e le piattaforme obbligate a effettuare la verifica dell’età dei propri utenti dovranno affidarsi a soggetti terzi certificati e indipendenti da essi. Tra i principali soggetti che hanno i requisiti richiesti da AGCOM c’è Namirial, prestatore di servizi fiduciari qualificato ai sensi dei regolamenti eIDAS ed eIDAS 2.

Per la verifica dell’età degli utenti, Namirial è il partner ideale per siti web e piattaforme di contenuti per adulti, grazie a Namirial Onboarding, una soluzione che consente l’identificazione online con il supporto di operatori specializzati o, in alternativa, in autonomia con il self-onboarding, mediante l’uso di AI e biometria o sfruttando SPID/CIE/CNS.

Già implementata da aziende leader nei settori del gioco online, del banking & finance e della telefonia, Namirial Onboarding è una soluzione in cloud, accessibile in versione web da diversi dispositivi, con integrazione API o con installazione on-premises.