L’entrata in vigore della delibera n. 96/25/CONS segna il passaggio da un quadro sperimentale a una regolazione definitiva dell’age verification per l’accesso ai contenuti pornografici online. A partire dal 12 novembre 2025, l’Autorità per le Garanzie nelle Comunicazioni impone a siti e piattaforme che diffondono materiale per adulti in Italia l’adozione di sistemi di verifica dell’età in grado di coniugare protezione dei minori e riservatezza degli adulti. Il baricentro tecnico e politico dell’intervento è il principio del “doppio anonimato”, un’architettura che separa la prova dell’età dall’identificazione degli utenti e dalla conoscenza dello scopo, con l’obiettivo di ridurre in radice i rischi di tracciamento e di profilazione sensibile. L’elenco dei soggetti obbligati, notificato alla Commissione europea e aggiornato periodicamente, chiarisce l’universo regolato e i criteri che rendono un servizio raggiungibile dall’Italia sottoposto alla nuova disciplina. Nelle prime settimane di applicazione si osserva un settore in movimento: una parte delle piattaforme sta implementando soluzioni di verifica pseudonima basate su fornitori terzi, mentre altri operatori annunciano geoblocchi temporanei o il percorso di integrazione con SPID, CIE 3.0 e schemi eIDAS. In controluce si apre il tema della fiducia nei certificatori privati e delle giurisdizioni in cui essi operano, che alimenta il dibattito su privacy, sicurezza e conformità.
Cosa leggere
Agcom chiarisce il perimetro: quando scatta l’obbligo e chi rientra nella lista
La delibera consolida un percorso regolatorio avviato con il Decreto Caivano e porta a maturazione quanto finora definito in via transitoria. Il 12 novembre 2025 diventa la data chiave: da quel momento il sistema di age verification non è più un “consiglio di buona pratica”, ma un obbligo presidato da poteri di vigilanza e da un regime sanzionatorio proporzionato. L’elenco dei soggetti obbligati, pubblicato in data 31 ottobre 2025 e soggetto ad aggiornamenti periodici, delimita il campo d’applicazione e accende un faro sulle piattaforme che, pur non essendo stabilite in Italia, raggiungono su larga scala utenti italiani, ricavano introiti collegati al mercato nazionale o si rivolgono attivamente al pubblico del nostro Paese. La comunicazione alla Commissione europea garantisce la trasparenza istituzionale e allinea l’intervento italiano al dialogo in corso su tutela dei minori e libertà digitali nello spazio unico europeo.
Categorie di soggetti e scadenze differenziate: sei mesi per gli stabiliti in italia, tre per gli esteri
Il provvedimento separa nettamente gli operatori stabiliti in Italia dagli operatori non stabiliti che rendono comunque accessibili contenuti pornografici dal territorio nazionale. I primi hanno sei mesi per adattarsi, con scadenza al 12 maggio 2026; i secondi dispongono di tre mesi, con termine al 1° febbraio 2026. La scansione temporale risponde a un criterio pragmatico: chi opera in Italia ha già un rapporto strutturato con l’ordinamento interno, mentre le piattaforme estere devono adeguare i flussi tecnici e legali per evitare asimmetrie concorrenziali e fughe regolatorie. L’obiettivo è ridurre il più possibile la finestra senza adeguamento, in cui i minori resterebbero esposti e gli adulti non avrebbero garanzie robuste sul trattamento dei dati.
Quando un sito rientra davvero: lingua, pubblico, ricavi, marketing e contatti in italia
L’inclusione nella lista non si basa su una mera auto–dichiarazione della piattaforma, ma su indicatori oggettivi che fotografano la rilevanza in Italia. La prevalenza della lingua italiana nell’interfaccia o nei contenuti segnala l’intenzionalità di raggiungere utenti italiani. La platea mensile di utenti unici in Italia è un ulteriore segnale della penetrazione del servizio nel mercato nazionale. Il collegamento dei ricavi al territorio italiano, anche quando contabilizzati da società estere, documenta la dimensione economica dell’offerta. La promozione o la commercializzazione esplicitamente rivolte al pubblico italiano smontano eventuali difese incentrate sulla neutralità geografica della piattaforma. Infine, la presenza di un dominio, di un indirizzo o di un contatto in Italia definisce un aggancio giuridico che rende ancor più evidente la sottoposizione alla disciplina domestica. La delibera chiarisce così che non basta collocare i server all’estero per sottrarsi a regole che tutelano i minori in Italia.
Come funziona davvero il “doppio anonimato”: separare la prova dell’età dall’identità e dallo scopo
Il cuore tecnologico e giuridico della riforma è il doppio anonimato. Nel nuovo modello, l’utente non consegna mai la propria identità reale alla piattaforma pornografica. La verifica avviene presso un soggetto terzo certificatore, che accerta il superamento della soglia anagrafica e rilascia un token pseudonimo o un codice anonimo. Il certificatore non conosce lo scopo della richiesta, cioè ignora se il token sarà usato per accedere a un sito pornografico, a un marketplace ad accesso riservato o a un’altra risorsa digitale. La piattaforma, a sua volta, riceve solo la prova che il titolare del token ha età idonea, senza venire a contatto con documenti, fotografie, codici fiscali o altri identificativi personali. La separazione strutturale tra identificazione, verifica dell’età e utilizzo del risultato punta a minimizzare i dati trattati, a evitare correlazioni tra navigazione e identità reale, e a impedire la creazione di archivi sensibili esposti a violazioni o a riusi impropri. Il sistema guarda ai precedenti di Francia e Germania, ma introduce un disegno coerente con l’ecosistema italiano di identità digitale e con le garanzie richieste dal Garante per la privacy.
Chi si sta adeguando: la prima fotografia tra provider di verifica e grandi piattaforme
La fase di avvio mostra comportamenti differenziati. Tra i quarantacinque domini ricompresi nella platea osservata, risultano oggi adottare un meccanismo di doppio anonimato soltanto alcune realtà. Olecams e Olecams TV hanno implementato una procedura basata su Emblem, mentre Clips4Sale, Chaturbate e OnlyFans si appoggiano a Yoti come verificatore terzo con la differenza che le prime sono aggirabili da VPN mentre Onlyfans si basa sulla fatturazione e, indipendentemente dalla posizione geografica, scatta la richiesta di verifica a prescindere. È un quadro dinamico, destinato a evolversi con l’avvicinarsi delle scadenze fissate dalla delibera e con l’emersione di integrazioni più profonde con gli schemi pubblici di identità digitale. L’adozione dei token pseudonimi consente alle piattaforme di mantenere l’anonimato degli adulti, ma impone loro un alzamento dell’asticella in termini di sicurezza, audit e trasparenza verso utenti, autorità e partner tecnologici.
Il nodo dei certificatori: Yoti nel perimetro britannico, Emblem e la questione della trasparenza
La scelta dei certificatori non è un dettaglio tecnico, ma una decisione strategica che incide sulla fiducia. Yoti opera sotto giurisdizione britannica e ha costruito negli anni un portafoglio di soluzioni di verifica d’identità e verifica dell’età con ambizioni internazionali. Il contesto normativo del Regno Unito è però oggetto di dibattiti e critiche pubbliche, anche per politiche che in passato hanno riguardato la condivisione dei dati sanitari con soggetti privati. Questo non significa che i meccanismi di età pseudonimi di Yoti violino l’anonimato, ma pone una domanda di governance, controllo indipendente e garanzie ex ante che deve trovare risposte verificabili e documentate. Emblem, adottato da Olecams, si presenta come startup focalizzata su Trust e Vault per age verification e gestione credenziali, ma espone al pubblico informazioni limitate su proprietà, cap table e governance. L’opacità informativa non equivale a non conformità, ma rende essenziale un monitoraggio più attento e un dialogo tecnico sulle metriche di sicurezza, sui modelli di minaccia, sui processi di certificazione e sui rapporti di audit.
In entrambi i casi, il doppio anonimato regge se e solo se i fornitori garantiscono minimizzazione dei dati, segretezza dell’uso, non tracciabilità cross–sito e assenza di inferenze su preferenze o abitudini.
Vigilanza, diffida, oscuramento: come AgCom farà rispettare le regole
La delibera attribuisce ad Agcom un potere di vigilanza e sanzione pienamente operante. In caso di inadempienza, l’Autorità può intervenire d’ufficio o su segnalazione, contestare la violazione e inviare una diffida con termine di venti giorni per l’adeguamento. Se la piattaforma non si conforma, scatta l’ordine di blocco dell’accesso dal territorio italiano, misura reversibile ma destinata a permanere finché non vengono ripristinate condizioni di conformità. Accanto alla sospensione, la normativa prevede sanzioni amministrative fino a 250.000 euro, nella cornice dell’articolo 1, comma 31, del d.lgs. 31 luglio 1997 n. 249. L’effetto deterrente non è solo economico: l’oscuramento incide su ricavi, reputazione e relazione con gli utenti, incentivando gli operatori ad anticipare gli interventi di messa a norma. Per i cittadini e le associazioni sono attivi i canali di segnalazione digitale e la PEC, in un’ottica di co–regolazione che valorizza la partecipazione civica.
La via pubblica: spid, cie 3.0 ed eidas come alternative o integrazioni ai token privati
Il doppio anonimato non è l’unico percorso verso la conformità. L’ecosistema italiano ed europeo dispone di SPID, CIE 3.0 e schemi eIDAS, che possono essere utilizzati per produrre attestazioni d’età senza trasferire dati eccedenti all’erogatore di contenuti. La chiave è ingegnerizzare il flusso in modo che l’identità legale dell’utente rimanga siloed presso il provider pubblico o accreditato, mentre la piattaforma riceve solo l’informazione boolean sull’età. L’integrazione con questi standard può risultare più onerosa per operatori internazionali, ma presenta vantaggi in termini di interoperabilità, affidabilità istituzionale e accettazione sociale. L’allineamento con eIDAS apre inoltre la strada a attestazioni qualificate e a riusi in altri contesti regolati, come giochi online, alcol e servizi finanziari.
Il caso bang dot com: accesso sospeso dall’Italia in attesa della piena conformità
Un segnale di come il mercato stia reagendo arriva da Bang.com, che ha comunicato agli utenti italiani la sospensione temporanea dell’accesso dal nostro Paese. La piattaforma riconosce che l’Italia ha implementato uno dei quadri più stringenti di verifica dell’età in Europa e dichiara la volontà di integrare metodi compatibili con SPID, CIE 3.0 o eIDAS. La scelta di interrompere l’accesso, pur impattante sul breve periodo, diventa un messaggio di conformità proattiva e un tentativo di preservare la privacy degli utenti durante la fase di riprojection tecnica. È la fotografia di un bivio davanti al quale si trovano molte piattaforme: adottare token pseudonimi tramite un certificatore terzo, con la promessa di frizione bassa e rapida implementazione, oppure investire su integrazioni pubbliche potenzialmente più onerose ma dall’imprinting istituzionale più forte.
Privacy, sicurezza e fiducia: cosa deve garantire il doppio anonimato perché non resti sulla carta
Perché la promessa del doppio anonimato non resti una formula retorica, servono garanzie verificabili. I certificatori devono dimostrare minimizzazione e segregazione dei dati con audit indipendenti, rapporti tecnici e policy aderenti al GDPR. I token devono essere non correlabili cross–sito e non ri–identificabili anche in presenza di avversari forti dotati di dati laterali. Le piattaforme devono implementare controlli che rifiutino proxy e workaround finalizzati ad aggirare l’age–gate. Gli accordi contrattuali tra certificatori e publisher devono escludere la condivisione di telemetria o di eventi di accesso in forme che, anche indirettamente, possano profilare interessi sessuali o abitudini intime. La trasparenza verso l’utente adulto è un tassello essenziale: informative chiare, interfacce comprensibili, revoca semplice e assenza di lock–in rafforzano la legittimazione sociale del sistema.
L’impatto sugli operatori: tempi, costi, governance e rapporti con l’advertising
Per gli operatori stabiliti in Italia, la scadenza del 12 maggio 2026 impone una roadmap con tempi stretti su integrazione tecnica, data protection impact assessment, policy e contrattualistica. Per gli operatori esteri, il 1° febbraio 2026 è ancora più vicino e costringerà a scelte rapide: token pseudonimi tramite fornitori terzi, integrazione eIDAS, o restrizioni geografiche. La governance interna ne esce trasformata: il tema non è più delegabile solo al reparto compliance, ma richiede il coinvolgimento di security, prodotti, privacy, marketing e legale. Anche l’advertising dovrà confrontarsi con uno scenario a bassa tracciabilità: modelli basati su profilazioni granulari e retargeting aggressivo mal si conciliano con una verifica anonima dell’età che non espone segnali identificativi verso i circuiti pubblicitari.
Utenti, creator e associazioni: diritti, tutele e canali di intervento
Per gli utenti adulti, il nuovo sistema offre la tutela della riservatezza in un ambito particolarmente sensibile, a patto che i certificatori rispettino il principio di necessità e che le piattaforme non cerchino value–add distrattivi dalla funzione essenziale della verifica. Per i minori, la combinazione tra age–gate effettivo e oscuramento dei servizi non conformi è la prima linea di difesa che risponde a un dovere pubblico. Per i creator, l’adeguamento comporta frizioni sul breve termine ma può stabilizzare il rapporto con brand e istituzioni nel medio periodo. Le associazioni e i cittadini hanno un ruolo di sorveglianza civica attraverso PEC e strumenti digitali messi a disposizione dall’Autorità: la qualità delle segnalazioni e la costanza del monitoraggio possono accelerare la conformità di un settore storicamente resistente ai vincoli regolatori.
L’Europa guarda all’italia: notifica a Bruxelles e possibili convergenze regolatorie
La notifica alla Commissione europea non esaurisce il capitolo europeo della vicenda. La costruzione di standard inter–operabili di verifica dell’età in doppio anonimato può diventare un benchmark per altri Stati membri, riducendo il rischio di frammentazione. L’armonizzazione non significa uniformità forzata dei fornitori, ma convergenza sugli esiti: protezione dei minori, minimizzazione dei dati, controllabilità e auditabilità. In questa traiettoria, l’esperienza italiana con SPID, CIE 3.0 e gli schemi eIDAS potrebbe offrire mattoni riutilizzabili in ambiti diversi, dai pagamenti regolati alle piattaforme a rischio mappate dal DSA.
Cosa aspettarsi nei prossimi mesi? Accelerazioni, “geoblocchi” selettivi e correzioni di rotta
L’avvicinarsi delle deadlines produrrà una selezione naturale tra gli operatori. Vedremo accelerazioni nell’adozione dei token pseudonimi, geoblocchi selettivi laddove l’integrazione richieda interventi strutturali, e correzioni di rotta sui fornitori di verifica man mano che audit e test indipendenti renderanno visibili punti di forza e falle. La pressione sanzionatoria di Agcom, combinata con la reputational risk derivante da oscuramenti e segnalazioni pubbliche, dovrebbe spingere la maggioranza delle piattaforme verso la conformità piena. Il nodo che resterà al centro del dibattito sarà quello della fiducia: doppio anonimato non è solo un requisito tecnico, ma un patto sociale che chiede responsabilità a tutti gli attori, dai certificatori ai publisher, fino alle istituzioni chiamate a vigilare.
