Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
22/09/2025
Da ottobre 2025 i siti che vendono alcolici e tabacco, ospitano contenuti per adulti o gioco online dovranno adottare sistemi di verifica dell’età (Age Assurance) realmente efficaci.
Il nuovo quadro Agcom impone soluzioni privacy-by-design e privacy-by-default, allineate al GDPR: si deve dimostrare solo che l’utente ha l’età minima, senza rivelare la sua identità. SPID non è idoneo allo scopo. Le aziende devono scegliere tecnologie che separino prova di età e identità, integrabili via API, con logica minimizzazione dati e sicurezza end-to-end.
SOMMARIO
Perchè arrivano le nuove regole
Cosa significa Age Assurance
Il legale con il GDPR
Cosa cambia per i siti web
Più tutele per gli utenti
Come funziona tecnicamente
Perchè SPID non è adeguato
Come adeguarsi
Checklist di conformità
Oggi basta “dichiarare” di essere maggiorenni: non è più sufficiente.
L’obiettivo: proteggere i minori e, insieme, tutelare i dati personali degli adulti.
La soluzione: Age Assurance → verifico l’età, non chi sei.
È un sistema che accerta in modo affidabile l’età dell’utente e non la sua identità. L’operatore che eroga il servizio riceve un esito binario (“≥18 sì/no” o altra soglia), senza nome, cognome o data di nascita.
Le tecnologie scelte devono rispettare i pilastri del GDPR:
Minimizzazione: tratto solo l’informazione necessaria (es. “≥18”), niente di più.
Privacy by design: protezione dati integrata fin dalla progettazione.
Privacy by default: impostazioni predefinite massimamente protettive.
Limitazione della conservazione: niente retention inutile.
Sicurezza: cifratura, controllo accessi, audit trail.
Trasparenza: informativa chiara, linguaggio comprensibile anche ai minori.
Insight utile: le ricerche più recenti mostrano che gli utenti si fidano di più dei servizi che esplicitano come proteggono i dati e riducono i dati trattati. La conformità fa branding.
L’epoca delle autodichiarazioni “ho più di 18 anni” finisce qui.
Per i siti che offrono prodotti o servizi vietati ai minori servono strumenti di verifica dell’età davvero affidabili, non barriere simboliche.
Questo significa scegliere fornitori capaci di rilasciare una prova di età anonima, separata dall’identità della persona: al vostro sistema deve arrivare soltanto l’informazione essenziale — il superamento della soglia — senza nome, cognome o data di nascita.
L’integrazione è tecnica ma lineare: via API o SDK si collega il check all’e-commerce, al paywall o all’area riservata, in modo da bloccare l’accesso prima che l’utente visualizzi o acquisti ciò che non può.
Parallelamente entra in gioco la governance. Vanno aggiornate le informative privacy, il registro dei trattamenti e — se il rischio lo richiede — la DPIA; occorre inoltre valutare i fornitori sotto il profilo contrattuale e di sicurezza, con gli accordi da responsabile del trattamento ex art. 28 GDPR.
Anche l’esperienza d’uso deve essere ripensata: niente scorciatoie o dark pattern, ma percorsi chiari e comprensibili, con consensi dove necessari e messaggi trasparenti. Sul piano operativo, infine, servono log e controlli essenziali per gli audit: si registra l’esito della verifica e il momento in cui avviene, evitando qualunque profilazione che esuli dallo scopo.
Al momento non ci sono indicazioni precise da parte della Autorità, ma sembra ragionevole ritenere che la verifica dell'età la si possa richiedere in occasione dell'acquisto di prodotti per adulti (es. vino), non tanto in sede di accesso al sito o di registrazione.
Dal lato utente, l’effetto è semplice: si accede ai contenuti solo se si ha davvero l’età richiesta, ma senza consegnare l’identità al sito. Passa un sì/no, non la carta d’identità digitale. L’esperienza è destinata a diventare anche più fluida: con l’arrivo del Wallet europeo previsto da eIDAS 2, la prova d’età potrà essere riutilizzata dal proprio dispositivo in un clic, senza dover ripetere ogni volta lo stesso percorso.
Il meccanismo si svolge in due momenti.
Prima si effettua un’identificazione “forte” presso un soggetto qualificato, tramite documenti, conto bancario, passaporto o — in prospettiva — le credenziali custodite nel Wallet europeo.
Poi, da quell’identificazione, si ricava e si conserva sul dispositivo dell’utente una credenziale minima: una prova di età anonimizzata, che il sito riceverà soltanto quando serve e solo nella misura necessaria (ad esempio: “≥18: sì”). L’operatore non vede chi siete, né la vostra data di nascita o l’indirizzo: conosce esclusivamente l’esito richiesto per rispettare la legge.
SPID non risponde al requisito principale dell’Agcom: impedire che il certificatore colleghi l’identità dell’utente al servizio a cui sta accedendo.
Con SPID questa tracciabilità è possibile, perché nasce per identificare in modo puntuale il cittadino davanti alla Pubblica Amministrazione, non per fornire una prova di età riutilizzabile e sganciata dall’identità. C’è poi un ulteriore scarto: SPID può essere rilasciato anche ai minorenni, circostanza che, da sola, non garantisce la soglia “≥18” richiesta dai servizi per adulti.
Si parte da una fotografia chiara dei rischi: individuate pagine e servizi soggetti a limitazioni (alcol, tabacco, gioco, contenuti adult), definite per ciascuno la soglia d’età e disegnate i flussi UX su web e app. Valutate se la DPIA è necessaria: con tecnologie di age assurance lo è spesso, e comunque aiuta a documentare scelte e misure.
La selezione del fornitore è il passaggio critico. Cercate soluzioni che separino in modo netto identità e attributo d’età, offrano un esito binario e integrino sicurezza “di default”: API robuste, cifratura in transito e a riposo, audit, SLA e resilienza.
Verifica certificazioni e localizzazione dei dati (UE/SEE) o, se ci sono trasferimenti, le garanzie previste. Nei contratti devi formalizzare i ruoli ai sensi dell’art. 28 GDPR, l’elenco dei sub-responsabili, le penali e le clausole di uscita.
L’implementazione tecnica deve anticipare il controllo età rispetto all’accesso o al checkout, evitando l’introduzione di cookie non necessari o funzioni di profilazione. In archivio resti il minimo indispensabile — l’esito con un timestamp — per il tempo strettamente utile; prevedete percorsi di fallback in caso di errori e un canale di assistenza dedicato. A chiudere, la trasparenza: aggiornate privacy policy e informative (con linguaggio accessibile anche ai minori), predisponete procedure interne per ruoli, incident response e gestione dei diritti, e formate i team di customer care e marketing sui limiti d’uso dei dati e sulle corrette risposte agli utenti.
In sintesi:
Poi è altresi necessario blindare la contrattualistica (art. 28 e, se serve, SCC).
Integrate le API con adeguate misure di sicurezza, definite una retention breve e verificabile, aggiornate le informative (anche per minori), mantenete log essenziali e audit trail non profilanti e pianificate il go-live con test e formazione del personale.
Team LegalBlink