Key4biz

Capitanio (Agcom): “Perché è sbagliato dire che si guarderanno i porno con Spid”

MASSIMILIANO CAPITANIO AGCOM

Ammettiamolo, l’idea di accedere a siti per adulti con SPID (il Sistema Pubblico di Identità Digitale ndr) fa sorridere e disperare al tempo stesso. In molti hanno immaginato qualche internauta davanti al pc indeciso tra l’utilizzare un servizio online della Pubblica Amministrazione o entrare su qualche nota piattaforma di contenuti per adulti (che non starò certamente qui ad elencare…!).

Eppure, al di là dello spaesamento iniziale, delle facili battute e dell’aver immaginato l’Agcom – l’Autorità per le garanzie nelle comunicazioni, di cui mi onoro essere uno dei componenti da oltre due anni – come un immaginifico luogo popolato da figure completamente distaccate dalla realtà, ciò che è emerso più di ogni altra cosa è che il tema richiede di essere chiarito e anche con una certa urgenza, quantomeno per tutelare adeguatamente l’operato di tutte le amministrazioni coinvolte nel procedimento in discussione e, non secondario, gli utenti e le piattaforme che legittimamente fanno il loro business.

Ma andiamo per ordine partendo dal frame normativo

Il Decreto-Legge 15 settembre 2023, n. 123 convertito con modificazioni dalla L. 13 novembre 2023, n. 159, noto ai più come “DL Caivano”, è stato adottato nel settembre dello scorso anno dal Governo in risposta ai gravissimi fatti di cronaca che si sono verificati ai danni di due minorenni, vittime di abusi, con l’obiettivo di arginare episodi di criminalità minorile. Tra le altre misure individuate, l’articolo 13-bis rubricato “Disposizione per la verifica della maggiore età per l’accesso a siti pornografici” prevede espressamente che Agcom, sentito il Garante Privacy, emani un provvedimento che indichi “le modalità tecniche e di processo” che i fornitori delle piattaforme di condivisione video a carattere pornografico sono tenuti a adottare per l’accertamento della maggiore età degli utenti. Misure, queste, valide per tutte le piattaforme di contenuti per adulti operanti in Italia.

Sul versante europeo, invece, appena un anno prima e cioè il 19 ottobre 2022 è stato adottato il Regolamento (UE) 2022/2065, conosciuto come Regolamento sui servizi digitali o DSA, che pone in capo ai servizi di intermediazione obblighi più o meno stringenti in base alle loro funzioni e alla loro grandezza in termini di utenti unici. Per quanto riguarda specificamente la tutela dei minori all’art. 28 viene richiesto a tutti i fornitori di piattaforme on-line accessibili a quest’ultimi di adottare misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori, anzitutto mediante l’attivazione dei meccanismi di verifica dell’età. Il DSA è ancora più dettagliato agli articoli 34 e 35 quando prevede per le piattaforme e i motori di ricerca di dimensioni molto grandi (ossia le VLOPs e VLOSEs) l’obbligo di adottare misure di attenuazione dei rischi sistemici, tra queste figurano anche gli strumenti di verifica dell’età e di controllo parentale.

I numeri

Se le disposizioni normative non dovessero apparire sufficienti a spiegare i presupposti dell’intervento di Agcom, si possono sempre snocciolare alcuni numeri:

Pornografia online mercato florido

Quello della pornografia online è dunque un mercato florido e caratterizzato da utenti piuttosto giovani e ad ogni modo minorenni. Una contraddizione questa, considerando che un modo come un altro per definire questi contenuti è appunto “destinati ad un pubblico adulto”. Se concordiamo dunque sull’esistenza del fenomeno, ossia l’accesso estremamente semplice a contenuti pornografici da parte di una platea di utenti che a quei contenuti non dovrebbero accedervi (quantomeno perché l’industria che li produce non ha in mente questo genere di target), appare intuibile l’urgenza di un intervento mirato alla definizione di strumenti efficaci per realizzare la c.d. age verification.

La stragrande maggioranza delle piattaforme per adulti, ad oggi, non realizza alcun tipo di verifica dell’età, limitandosi piuttosto a ricordare all’utente che entrando sul sito dichiara automaticamente di avere almeno 18 anni. Un atto di fede in somma, più che una verifica.

Cosa ha proposto dunque, realmente, Agcom?

Anzitutto in nessun caso si è imposto a piattaforme e utenti di accedere tramite SPID o CIE.

Si sono piuttosto fissate alcune caratteristiche che i sistemi di age verification devono soddisfare per essere realmente efficaci e salvaguardare la privacy degli utenti, adottando un approccio tecnologicamente neutrale, che lascia dunque ai soggetti tenuti alla realizzazione dei processi di verifica dell’età libertà di valutazione e scelta.

Tale libertà di scelta è però ancorata a un principio che potremmo arrivare a definire cardine, ossia che i sistemi di verifica dell’età, quando non basati su applicativi installati sul device dell’utente, utilizzino il modello del “doppio anonimato”, al fine di garantire il requisito della riservatezza “rafforzata”.

In estrema sintesi, tale modello si basa su due attori (oltre che l’utente ovviamente) da una parte la piattaforma che richiede una “prova di maggiore età” (che evidentemente non si limita a un semplice “Hai 18 anni? Si/no”!), dall’altro un fornitore certificato di tale prova. Ebbene, in nessun caso secondo Agcom si deve consentire ai fornitori di prova della maggiore età di sapere per quale servizio viene eseguita tale verifica. Di fatti, non è consentito l’uso di sistemi di garanzia dell’età che comportano il trattamento e la gestione di dati personali come, ad esempio, i dati riportati sui documenti di identità, l’immagine fotografica o video dell’utente, le informazioni del titolare della carta di credito, la profilazione degli utenti e, in generale, la raccolta di altre informazioni di carattere personale degli utenti.

Ad ogni modo lo “schema di provvedimento su modalità tecniche e di processo per l’accertamento della maggiore età degli utenti” adottato da Agcom, trattandosi di una regola tecnica (ossia di disposizioni normative che in qualche modo possono limitare la libera circolazione di servizi online nei paesi dell’Unione europea) è stato notificato alla Commissione europea che ha 90 giorni per eventuali rilievi. Inoltre, ad esito della procedura di notifica è già previsto che Agcom avvii un Tavolo tecnico di monitoraggio e analisi delle evoluzioni tecniche, normative e regolamentari.

Come siamo arrivati, allora a parlare di SPID?

Per chiarire questo pasticciaccio dobbiamo ricorrere a un altro riferimento normativo, infatti, ad aprile 2024 il Consiglio europeo ha approvato definitivamente la proposta di modifica del regolamento (UE) n. 910/2014, comunemente noto come Regolamento eIDAS, il quale prevede espressamente che le piattaforme online di dimensioni molto grandi (le già citate VLOPs e VLOSEs) che impongono agli utenti di autenticarsi per accedere ai servizi online, ai sensi dell’articolo 3, dovranno accettare anche l’uso dei portafogli europei di identità digitale, anche per quanto riguarda la prova dell’età.

Dunque, se le piattaforme molto grandi come ad esempio i Social media e a prescindere dunque che si parli di piattaforme destinate alla fruizione di contenuti per adulti, che per qualsiasi ragione (come, ad esempio, quelle derivanti dai rischi sistemici indicate nel DSA) siano nella condizione di dover richiedere la prova dell’età per accedere ai propri servizi devono consentire, permettere, abilitare (usate il termine che volete) l’utente, qualora lo desideri, ad utilizzare la propria identità digitale rilasciata in Europa e iscritta in un portafoglio o EU wallet.

Quindi no, se siete maggiorenni per vedere un porno non vi serve SPID, ma vi è comunque molto utile per un sacco di cose, come ad esempio accedere all’INPS, partecipare a una raccolta firme per un referendum, consultare il vostro cassetto fiscale o il fascicolo sanitario elettronico… giusto per citare alcuni casi.

Exit mobile version