Negli ultimi anni, il dibattito sulla protezione dei minori online si è spostato da un piano puramente etico a uno sempre più regolamentato e tecnico. Con la pubblicazione, lo scorso 10 ottobre, della versione definitiva delle linee guida sulla protezione dei minori (le “Linee Guida”) ai sensi del Digital Services Act (“DSA” – Regolamento UE 2022/2065), la Commissione europea ha definito degli standard per valutare la conformità all’art. 28, par. 1, del DSA, ossia l’obbligo per le piattaforme online di garantire ai minori un livello elevato di tutela, sicurezza e privacy. L’obiettivo delle Linee Guida è quello di sostenere le piattaforme online accessibili ai minori a far fronte a tali rischi, individuando una serie di misure – a carattere non esaustivo – volte a contribuire alla protezione dei minori. Ma quando una piattaforma online si considera “accessibile ai minori”? Non è sufficiente scrivere nelle condizioni generali che il servizio è “vietato ai minori”. Le Linee Guida ritengono che una piattaforma online possa essere considerata accessibile ai minori se: Quali sono le misure di sicurezza individuate nelle Linee Guida? Le Linee Guida individuano diverse misure volte a garantire la protezione dei minori online: (i) Risk assessment Le Linee Guida suggeriscono alle piattaforme online di svolgere una valutazione del rischio: non si tratta solo di mappare i contenuti illegali, ma di capire come i minori interagiscono con la piattaforma, quali rischi incontrano e quanto sono efficaci le misure già in atto. La valutazione dovrà essere conforme alle norme e alle best practices esistenti[1], aggiornata almeno ogni anno e resa pubblica in forma sintetica, indicando il rischio per i minori (ad es., basso, medio o alto). (ii) Misure di age assurance Per rendere le piattaforme più sicure – e per evitare che i minori utilizzino servizi non adatti alla loro età – è importante sapere se gli utenti hanno l’età sufficiente per accedere a determinati contenuti. La verifica dell’età consiste nell’utilizzare strumenti che permettono di determinare o stimare l’età di un utente, oppure di confermare se una persona ha un’età superiore o inferiore a una determinata soglia. Le Linee Guida individuano tre misure di age assurance più comuni: Nello scegliere la metodologia da applicare, occorre seguire il criterio della proporzionalità: le piattaforme dovrebbero usare metodi più rigorosi solo dove il rischio è più alto (come per il gioco d’azzardo o le chat anonime)[3], senza richiedere più informazioni del necessario[4]. Le piattaforme dovranno inoltre spiegare in modo chiaro e trasparente come e perché si chiede l’età, offrendo sempre più di un’opzione, nonché un canale di reclamo[5]. (iii) Registrazione, impostazioni dell’account, progettazione delle interfacce e altri strumenti Le Linee Guida ritengono che, una volta che il provider della piattaforma ritenga necessario procedere con l’accertamento dell’età, la registrazione o l’autenticazione possono essere un primo elemento da utilizzare per svolgere tale processo in modo proporzionato. Le Linee Guida sottolineano inoltre l’importanza del design della piattaforma e di come impostazioni predefinite costituiscano uno strumento utile per attenuare i rischi: la maggior parte degli utenti, infatti, non modifica le impostazioni di default, le quali diventano fondamentali nell’indirizzare il comportamento dei minori. Ciò significa, ad esempio, prevedere impostazioni di privacy restrittive by default (ad es., controllando chi può seguire o inviare messaggi al minore), disattivare in automatico funzioni rischiose (come la geolocalizzazione, la riproduzione automatica dei video, il microfono e fotocamera, la sincronizzazione dei contatti e il tracciamento), prevedere interfacce che non inducano dipendenza (come lo scrolling infinito, le notifiche constanti, la riproduzione automatica di video), oppure implementare strumenti di aiuto facili da trovare e utilizzare. (iv) Sistemi di raccomandazione e pratiche commerciali Le Linee Guida dedicano molta attenzione alle pratiche commerciali e ai sistemi di raccomandazione[6]. I minori sono particolarmente vulnerabili alle logiche persuasive: non sempre distinguono tra contenuto e pubblicità, tra suggerimento e manipolazione. Per tale motivo, le Linee Guida raccomandano di spiegare perché un contenuto è stato raccomandato, permettendo agli utenti di reimpostare il proprio feed e prevedono, tra l’altro, che le pubblicità o i contenuti sponsorizzati (ad es., tramite influencer) debbano essere chiaramente riconoscibili, che gli algoritmi non amplifichino contenuti dannosi o inadatti all’età e che i sistemi di IA non vengano usati come strumenti di influenza o vendita verso i minori (ad es., tramite chatbot). (v) Moderazione dei contenuti La moderazione consiste nel controllare e rimuovere contenuti o utenti che potrebbero danneggiare la privacy, la sicurezza e la protezione dei minori. Si tratta di uno strumento importante per proteggere gli utenti e prevenire rischi gravi come il bullismo, l’esposizione a contenuti dannosi o il grooming[7]. In tale ottica, le Linee Guida prevedono che le piattaforme dovrebbero, tra gli altri, definire chiaramente cosa si intende per contenuti e comportamenti dannosi e adottare specifiche procedure e policy, utili anche per rimuovere rapidamente contenuti e account dannosi o illegali, garantire sempre la verifica umana dei contenuti (in aggiunta a quella automatizzata), formare i moderatori, adottare soluzioni tecniche di protezione per impedire che i sistemi di IA permettano la creazione o la diffusione di contenuti dannosi e rivedere e migliorare regolarmente il funzionamento dei sistemi di moderazione. Cosa comporta tutto ciò per le piattaforme online? Per le piattaforme online la sfida è duplice: da un lato, garantire l’efficacia tecnica delle misure (verifica dell’età, moderazione, sistemi di raccomandazione trasparenti), dall’altro, mantenere un equilibrio con i diritti fondamentali, la privacy e l’esperienza d’uso. In attesa che i sistemi di age verification maturino e diventino interoperabili a livello europeo, le piattaforme dovranno mappare i rischi per i minori, documentare le proprie scelte e rendere pubblica la propria valutazione. Occorrerà adottare condizioni generali “a misura di minore” e descrivere i servizi in maniera chiara e semplice, comprensibili anche per i minori (ad esempio, potrebbe essere utile utilizzare delle infografiche). In definitiva e come affermato nelle Linee Guida, le piattaforme online dovranno mettere in atto una vera e propria governance per garantire la protezione dei minori, con ruoli, policy e formazione dedicati. [1] Le Linee Guida richiamano i modelli, i moduli e gli altri orientamenti forniti dall’UNICEF (ad es., https://www.unicef.org/childrightsandbusiness/workstreams/responsible-technology/D-CRIA), dal ministero neerlandese degli Affari interni e delle relazioni del Regno o dall’organismo europeo di normazione CEN-CENELEC. Mentre per quanto riguarda le piattaforme e i motori di ricerca online di dimensioni molto grandi, tale analisi dei rischi potrà essere effettuata anche nell’ambito della valutazione generale dei rischi sistemici di cui all’art. 34 del DSA. [2] Una volta implementati, i portafogli europei di identità digitale offriranno mezzi di identificazione elettronica sicuri, affidabili e privati per tutti nell’Unione. Ogni Stato membro è tenuto a fornire a tutti i suoi cittadini, residenti e imprese almeno un portafoglio, che dovrebbe consentire loro di dimostrare la loro identità e di conservare, condividere e firmare in sicurezza documenti digitali importanti entro la fine del 2026. Prima che diventino disponibili i portafogli europei di identità digitale, la Commissione sta sperimentando una soluzione europea di verifica dell’età (sotto forma di app) in grado unicamente di confermare se l’utente ha più di 18 anni, che, una volta ultimata, costituirà un esempio di conformità e uno standard di riferimento per i metodi di verifica dell’età. [3] Le Linee Guida sottolineano come sia possibile solo alcuni contenuti, sezioni o funzioni della piattaforma rappresentino un rischio per i minori, oppure che vi siano parti in cui il rischio può essere attenuato mediante altre misure e/o parti in cui ciò non è possibile. In questi casi, anziché imporre limiti di età per l’accesso al servizio nel suo complesso, i fornitori di tali piattaforme online dovrebbero valutare quali contenuti, sezioni o funzioni sulla loro piattaforma comportano rischi per i minori e attuare restrizioni di accesso sostenute da metodi di accertamento dell’età per ridurre tali rischi per i minori in modo proporzionato e adeguato. Ad esempio, le Linee Guida ritengono il sistema di verifica dell’età proporzionato per l’accesso a contenuti relativi al gioco d’azzardo, o se, a causa dei rischi individuati per i minori, le condizioni generali impongono all’utente di avere almeno 18 anni per accedere al servizio, oppure se vengano individuati rischi legati a contenuti e comportamenti e rischi per i consumatori o rischi di contatto (es., funzioni come conversazioni via chat, messaggistica anonima, condivisione di immagini/video), se i rischi non possano essere attenuati con misure meno invasive, oppure se la normativa europea o nazionale prescrive l’obbligo di un’età minima per accedere a determinati prodotti o servizi. Al contrario sarà considerato proporzionato l’utilizzo di un sistema di stima dell’età se a causa dei rischi individuati, le condizioni generali della piattaforma impongono all’utente di superare l’età minima richiesta inferiore ai 18 anni per accedere al servizio, oppure se la piattaforma abbia individuato rischi medi per i minori sulla propria piattaforma e tali rischi non possono essere attenutati da misure meno restrittive. [4] Nel considerare i metodi di stima dell’età che richiedono il trattamento di dati personali, i fornitori di piattaforme online accessibili ai minori dovrebbero garantire che i principi di protezione dei dati, in particolare la minimizzazione dei dati, siano attuati correttamente e rimangano solidi nel tempo, nonché tenere conto della Dichiarazione/2025 dell’EDPB sulla garanzia dell’età. In particolare, la verifica dell’età dovrebbe essere trattata come processo separato e distinto, non collegato ad altre attività di raccolta dei dati delle piattaforme online e non dovrebbe consentire di conservare dati personali al di là delle informazioni sulle fasce d’età. [5] Le Linee Guida precisano che tale sistema potrebbe anche essere integrato nel sistema interno di gestione dei reclami (art. 20 del DSA). [6] Si tratta di quei sistemi che determinano il modo in cui le informazioni sono messe in ordine di priorità, ottimizzate e mostrate ai minori. Per maggiori approfondimenti si rinvia ad un nostro precedente contributo, disponibile su AgendaDigitale. [7] Si tratta di quei casi in cui qualcuno cerca di diventare amico di un minore per ingannarlo o metterlo a disagio.
