Nell’ultima seduta del 24 settembre 2024, l’Autorità per le Garanzie delle Comunicazioni (Agcom) ha dato il via libera allo schema di regolamento che stabilisce le procedure tecniche per verificare l’età degli utenti online. Questo provvedimento, in linea con il Decreto Caivano del novembre 2023, mira a garantire una maggiore tutela dei minori e a mantenere la privacy dei dati personali.
Il regolamento è frutto di una consultazione pubblica che ha coinvolto diversi attori, tra cui istituzioni, associazioni di categoria, e piattaforme online, con il supporto favorevole del Garante per la protezione dei dati personali.
In conformità con le normative europee, si richiede l’implementazione di meccanismi di verifica dell’età per proteggere i minori da contenuti dannosi. Il Digital Services Act impone ai fornitori di piattaforme online di adottare misure adeguate per garantire la sicurezza e la protezione dei minori, compresa l’attivazione di strumenti di verifica dell’età.
L’Autorità ha introdotto un sistema basato sul “doppio anonimato” per garantire una maggiore riservatezza. Questo include il coinvolgimento di soggetti terzi indipendenti certificati per verificare l’età degli utenti attraverso un processo di identificazione e autenticazione.
Le modalità di verifica dell’età possono variare, con la possibilità di emettere e comunicare una prova dell’età, garantendo che i fornitori di contenuti online non siano a conoscenza del servizio a cui è destinata la verifica.
Infine, le piattaforme online di grandi dimensioni sono tenute ad accettare l’uso dei portafogli europei di identità digitale per l’autenticazione degli utenti, incluso il controllo dell’età, come previsto da un recente regolamento del Parlamento europeo e del Consiglio.
Queste nuove norme pongono l’accento sulla protezione dei minori online e sull’importanza di garantire un ambiente sicuro e rispettoso della privacy per tutti gli utenti.
I 10 requisiti di Agcom
Ai fini della realizzazione delle suddette specifiche, l’Autorità non ha fornito ulteriori dettagli, ma ha adottato un approccio tecnologicamente neutrale, che lascia ai soggetti tenuti alla realizzazione dei processi di age assurance, ossia i soggetti regolamentati, una ragionevole libertà di valutazione e scelta, stabilendo tuttavia i principi e i requisiti che devono essere soddisfatti dai sistemi introdotti, di seguito descritti:
- Proporzionalità: che fa riferimento alla ricerca del giusto equilibrio tra i mezzi utilizzati per la verifica dell’età e il suo impatto sulla limitazione dei diritti delle persone.
- Protezione dei dati personali (requisito della riservatezza): i sistemi di age assuranceimplementati devono essere conformi alle norme e ai principi di protezione dei dati stabiliti dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 – GDPR (minimizzazione dei dati, accuratezza, limitazione della conservazione, ecc.); pertanto, non sono consentiti sistemi di garanzia dell’età che comportano il trattamento e la gestione di dati personali come, ad esempio, i dati riportati sui documenti di identità, l’immagine fotografica o video dell’utente, le informazioni del titolare della carta di credito, la profilazione degli utenti e, in generale, la raccolta di altre informazioni di carattere personale degli utenti.
- Sicurezza: il sistema di age assurance deve tener conto di possibili attacchi informatici rispetto ai quali deve prevedere misure di sicurezza informatica sufficienti a mitigare i rischi (GDPR, proposta Cyber Resilience Act – CRA) e a evitare i tentativi di elusione.
- Precisione ed efficacia: il sistema di age assurance deve essere efficace in termini di contenimento dell’errore nella determinazione dell’età. Il processo di age assurance deve avvenire ad ogni consultazione del sito web/piattaforma di video sharing che diffonde contenuti pornografici. La validità di una verifica dell’età deve quindi cessare nel momento in cui l’utente esce dal servizio, ovvero quando termina la sessione, quando l’utente esce dal browser o quando il sistema operativo entra in stand-by e, comunque, dopo un periodo di 45 minuti di effettiva inattività.
- Funzionalità, accessibilità, facilità d’uso e non ostacolo all’accesso ai contenuti in Internet: i sistemi di garanzia dell’età devono essere facili da usare e basati sulle capacità e caratteristiche dei minori.
- Inclusività e non discriminazione: il criterio in questione fa riferimento alla capacità del sistema di garanzia dell’età di evitare o minimizzare pregiudizi non intenzionali e risultati discriminatori nei confronti degli utenti.
- Trasparenza: i soggetti regolamentati dovrebbero essere trasparenti nei confronti degli utenti per quanto riguarda i sistemi e i dati trattati e le finalità, mediante spiegazioni semplici, chiare e complete oltre che per maggiorenni anche per i minorenni.
- Formazione e informazione: l’Autorità ritiene importante informare e sensibilizzare i minori, i genitori, il personale della comunità educativa e della gestione giovanile sulle buone pratiche informatiche, sui rischi connessi a Internet.
- Gestione dei reclami: il fornitore dei servizi di age assurance deve prevedere almeno un canale per acquisire e gestire, tempestivamente, i reclami in caso di errate decisioni sull’età.
L’Autorità ritiene che le modalità tecniche che si adottano con il presente provvedimento siano altamente raccomandate con riferimento ad ulteriori tipologie di contenuti, oltre a quelli a carattere pornografico, che potrebbero comunque nuocere allo sviluppo fisico, mentale o morale dei minori quali ad esempio le categorie previste dalla delibera 9/23/CONS.
