Negli ultimi anni, la verifica dell’età online è uscita dal perimetro delle discussioni tecniche per diventare un tema centrale delle politiche pubbliche digitali. Il punto di partenza è noto: l’accesso sempre più precoce dei minori a contenuti inappropriati – pornografia, violenza, contenuti legati all’autolesionismo – rappresenta ormai un rischio strutturale, non più episodico.

È anche per questo che la regolazione si sta muovendo rapidamente, ma in modo non uniforme.

Nell'Unione Europea, il riferimento di partenza è il GDPR (Regolamento UE 2016/679), che affronta il tema in modo indiretto ma significativo. L’articolo 8 stabilisce che, per i servizi della società dell’informazione, il trattamento dei dati personali dei minori è lecito solo se il minore ha almeno 16 anni, con la possibilità per gli Stati membri di abbassare questa soglia fino a 13 anni. Non si tratta, quindi, di un obbligo generalizzato di verifica dell’età, ma di un primo riconoscimento normativo della necessità di distinguere tra utenti adulti e minorenni. Al GDPR si affianca il più recente Digital Services Act (Regolamento UE 2022/2065), che affronta il tema in modo più diretto. Il DSA introduce obblighi specifici per le piattaforme online – in particolare quelle di grandi dimensioni – imponendo particolare attenzione alla tutela dei minori (art. 28). Anche in questo caso, non viene definito un meccanismo unico di verifica dell’età, ma si stabilisce chiaramente che le piattaforme devono prevenire l’esposizione dei minori a contenuti dannosi. Su questa filone la Commissione Europea ha pubblicatole linee guida sugli orientamenti relativa alla protezione dei minori nell’ambito del Digital Services Act – DSA

Su questo tema si stanno muovendo anche altri paesi occidentali.

Nel Regno Unito, con l’Online Safety Act 2023, il tema viene affrontato in modo diretto: le piattaforme devono adottare sistemi di verifica dell’età “efficaci” (highly effective age assurance) per impedire ai minori l’accesso a contenuti dannosi. Qui il focus si sposta chiaramente sulla responsabilità delle piattaforme e sull’effettività delle misure.

Negli Stati Uniti, invece, l’assenza di una disciplina federale organica ha portato a una proliferazione di leggi statali. Molti Stati hanno introdotto obblighi di verifica dell’età – spesso legati all’accesso a contenuti per adulti – basati su strumenti come documenti di identità o verifiche tramite carta di pagamento. Questo approccio ha però sollevato forti criticità, sia in relazione alla privacy sia rispetto alla compatibilità con il Primo Emendamento.

Ne emerge un quadro articolato:

• GDPR (UE) → introduce una soglia di età per il trattamento dei dati (13–16 anni), ma senza definire strumenti di verifica
• UK Online Safety Act → impone obblighi stringenti alle piattaforme, con un approccio orientato al risultato
• USA (leggi statali) → adottano soluzioni eterogenee, spesso più invasive, con forti tensioni giuridiche

Nonostante le differenze, il punto di convergenza è evidente: la necessità di limitare l’accesso dei minori a determinati contenuti online è ormai riconosciuta come un obiettivo di policy condiviso.

È proprio in questo contesto che si inserisce l’iniziativa europea più recente.

L’UE e la scelta di una soluzione pubblica

Accanto alla regolazione, l’Unione europea ha deciso di intervenire anche sul piano infrastrutturale, proponendo una soluzione tecnologica comune.

La Age Verification App, presentata nel 2026 dalla Commissione europea, nasce per supportare concretamente gli obblighi previsti dal Digital Services Act e offrire un modello standard di verifica dell’età per tutti gli Stati membri.

L’iniziativa si collega direttamente anche al progetto dell’European Digital Identity Wallet (EUDI Wallet), previsto dal regolamento eIDAS (Regolamento UE 910/2014, aggiornato nel 2024). L’obiettivo è integrare la verifica dell’età all’interno di un ecosistema più ampio di identità digitale europea.

L’approccio è chiaro: non lasciare alle sole piattaforme l’onere di sviluppare soluzioni, ma mettere a disposizione un’infrastruttura pubblica, interoperabile e coerente con i valori europei.

L’elemento distintivo dell’approccio europeo è il principio della minimizzazione dei dati, sancito dal GDPR (art. 5). In pratica:

• l’utente certifica la propria età una sola volta, tramite un documento ufficiale
• ottiene una credenziale digitale verificabile
• quando accede a un servizio online, condivide solo l’informazione necessaria (ad esempio: “maggiorenne”)

Questo è reso possibile da tecnologie come:

• verifiable credentials
• zero-knowledge proofs

Il cambiamento è significativo: non è la piattaforma a identificare l’utente, ma è l’utente a dimostrare un requisito, senza rivelare la propria identità.

Rispetto ai modelli più diffusi in altri contesti – basati su upload di documenti o verifiche biometriche – la soluzione europea punta a essere meno invasiva e più rispettosa della privacy.

La strategia UE: standard, interoperabilità e sovranità digitale

Lo sviluppo dell’app si inserisce in una strategia più ampia dell’Unione europea: quella dell'EUDI Wallet. Le direttrici che emergono con chiarezza sono:

Interoperabilità: l’obiettivo è evitare frammentazioni tra Stati membri, creando una soluzione unica e riconosciuta a livello europeo.

Trasparenza: la natura open source del progetto consente verifiche indipendenti e contribuisce a costruire fiducia.

Sovranità digitale: La realizzazione di un’infrastruttura pubblica riduce la dipendenza da operatori privati, spesso extraeuropei, rafforzando l’autonomia strategica dell’Unione.

In questo senso, la Age Verification App non è solo uno strumento tecnico, ma parte di una più ampia evoluzione del ruolo dell’Europa nello spazio digitale.

Ma tra il dire e il fare: accessibilità, sicurezza e privacy, un pessimo inizio

Nonostante l’impostazione teorica avanzata, le prime fasi di sviluppo hanno evidenziato varie criticità. Riporto brevemente quanto indicato dagli esperti e che potete trovare nella sezione Issue del github dedicato: portafoglio di identità digitale UE/ av-app-android-wallet-ui

Accessibilità: si presentano varie problematiche relative alla reale accessibilità dell'APP mediante le tecnologie assistive. Infatti, sono presenti varie violazione rispetto alle norme WCAG 2 ed EN 301 549

Sicurezza tecnica:  Test indipendenti hanno mostrato come alcune implementazioni iniziali possano essere aggirate, evidenziando la necessità di rafforzare i meccanismi di protezione.

Privacy e protezione dei dati: problemi relativi a: 

• la gestione della fase iniziale di identificazione
• l’eventuale utilizzo di dati biometrici
• il rischio di correlazione tra servizi

Questi punti mostrano tutte le perplessità relativamente al rispetto dei principi fondamentali di Accessibility, Security & Privacy by design, e che avrebbero dovuto contraddistinguere questa APP. Il rischio è che questo "passo falso tecnico" potrebbe essere un campanello di allarme anche per lo stesso EUDI Wallet. 

Rialzarsi per migliorare, sempre!

A questo punto la sfida principale riguarderà soprattutto come (ri)conquistare la fiducia degli utenti per evitare che questa  soluzione, in sé estremamente positiva, resti sulla carta o non raggiunga gli effetti desiderati. Anche perché questa si configura come un tassello fondamentale del percorso verso EUDI Wallet.

I principi non negoziabili di accessibilità, protezione dei dati e sicurezza sono le fondamenta per creare e mantenere quel clima di fiducia digitale essenziale affinché questi strumenti vengano utilizzati nel contesto reale.