social media e diritto

L’Australia regola l'ingresso ai social: un caso di superamento del formalismo contrattuale?

L’Australia regola l'ingresso ai social: un caso di superamento del formalismo contrattuale?

Per oltre un decennio, la gestione dell'accesso ai social media si è basata su un meccanismo che potremmo definire "formalistico". Le piattaforme inseriscono nelle condizioni generali di contratto il divieto di accesso ai minori di una certa età – solitamente 13, 14 o 16 anni – e, al momento dell'iscrizione, chiedono all'utente di inserire la propria data di nascita.

Questo sistema, pur giuridicamente valido in molti ordinamenti per esonerare il fornitore da responsabilità dirette, ha mostrato nel tempo i suoi limiti pratici e sostanziali. L'assenza di una verifica tecnica dell'età dichiarata ha reso quelle clausole contrattuali poco più di un avviso formale (un "disclaimer"), lasciando di fatto alle famiglie l'intero onere del controllo in un ambiente digitale sempre più complesso e pervasivo.

Recentemente, l'Australia ha scelto di cambiare radicalmente approccio approvando l’Online Safety Amendment (Social Media Minimum Age) Act 2024. Questa normativa segna un passaggio storico per il diritto delle nuove tecnologie: dal divieto contrattuale si passa a un requisito di sicurezza strutturale.
Non si tratta di "chiudere" i social network, né di censurare l'accesso alla Rete, ma di dotare l'ingresso di una "serratura" o di un filtro più efficace, trasformando l'età minima da semplice regola scritta a standard tecnico verificabile.

È un'evoluzione normativa che merita di essere analizzata con attenzione. Superando le polarizzazioni tra chi invoca la libertà assoluta e chi chiede divieti totali, è utile capire se e come un modello simile possa integrarsi con le nostre tutele, garantendo un equilibrio tra sicurezza, privacy e mercato.

1. Dalla responsabilità dell'utente all'architettura del servizio

Il cuore della riforma australiana risiede nel riequilibrio delle responsabilità tra utente e piattaforma. Fino a oggi, la logica prevalente è stata quella della responsabilità individuale: se un minore accedeva a una piattaforma mentendo sulla propria età, la violazione delle condizioni generali di contratto era imputabile all'utente che aveva dichiarato il falso o ai suoi genitori per omesso controllo sulle attività dei figli. La piattaforma poteva legittimamente sostenere di non aver modo di conoscere la vera età dell'iscritto.

La nuova legge introduce un principio diverso, codificato nella Sezione 63D: il fornitore di una piattaforma di social media, che preveda limiti di età per l'utilizzo, deve adottare misure ragionevoli per impedire agli utenti soggetti a tali limiti di creare account sulla piattaforma stessa.

In altre parole, la normativa australiana richiede a chi progetta e gestisce l'infrastruttura tecnologica di farsi carico della sicurezza dell'accesso attraverso l'adozione di "misure ragionevoli".

Non si tratta di colpevolizzare le piattaforme, ma di riconoscere un dato di fatto: esse sono le uniche a possedere gli strumenti tecnici e le risorse economiche per effettuare controlli su larga scala.

Il gestore della piattaforma deve dimostrare di aver fatto tutto ciò che è tecnicamente ragionevole per impedire l'accesso non autorizzato. Se la tecnologia di verifica dell'età (Age Assurance) esiste ed è disponibile sul mercato, è "ragionevole" aspettarsi che venga implementata. Una simile impostazione spinge il settore a investire concretamente nel Safety by Design, integrando la tutela direttamente nel funzionamento del prodotto, anziché affidarla solo alla buona volontà o alla sincerità dell'utente al momento dell'iscrizione.

2. L'adeguamento degli account esistenti

Uno degli aspetti più discussi e tecnicamente complessi della normativa è la sua applicazione temporale. La legge non si limita a regolare i futuri iscritti, ma interviene anche sulla base utenti attuale.
La Sezione 63E  prevede infatti un periodo cuscinetto (generalmente di 12 mesi) dopo il quale l'obbligo di verifica si estenderà a tutti gli account. A scanso di equivoci, l'obbligo della verifica dell'età è previsto anche in relazione agli account già esistenti alla data di entrata in vigore della sezione 63D o successivamente.

Alcuni osservatori hanno sollevato dubbi sull'impatto che questa misura potrebbe avere sull'esperienza utente, temendo blocchi improvvisi o disagi per chi utilizza i social da anni. E' però possibile considerare questa scelta come un necessario aggiornamento degli standard di sicurezza di un'infrastruttura critica.

In qualsiasi settore economico, l'introduzione di una maggiore, ma ragionevole, "frizione" all'ingresso non andrebbe imposta come una limitazione della libertà di accesso, ma come una misura necessaria per garantire l'incolumità pubblica.

Applicare la verifica dell'età agli account social esistenti risponde alla stessa logica di bonifica ambientale: garantire che lo spazio digitale sia frequentato solo da chi ha i requisiti per esserci è un beneficio collettivo che supera il disagio individuale di dover confermare la propria identità una tantum. Lasciare attivi milioni di account non verificati, potenzialmente usati da minori in ambienti non adatti alla loro età, vanificherebbe l'intero impianto della legge.

3. Privacy e verifica: la ricerca di un equilibrio

Un tema legittimo di dibattito riguarda la privacy e la protezione dei dati personali. La preoccupazione che i dati forniti per la verifica dell'età (come documenti o scansioni biometriche) possano essere esposti a rischi di furto o utilizzati impropriamente per fini commerciali è comprensibile.
Tuttavia, analizzando il testo della legge australiana, emerge che il legislatore ha anticipato queste obiezioni inserendo tutele specifiche proprio per evitare la creazione di database centralizzati vulnerabili.

La Sezione 63DA e la Sezione 63DB pongono paletti precisi. In particolare, la norma vieta alle piattaforme di obbligare l'utente a caricare un documento governativo (come passaporto o patente) se esistono metodi alternativi ragionevoli per assicurare l'età. Inoltre, limita strettamente l'uso dei dati raccolti: essi devono servire esclusivamente alla verifica dell'età e non possono essere incrociati o riutilizzati per altre finalità, come la profilazione pubblicitaria o l'addestramento di algoritmi.

Tale approccio mira a incentivare lo sviluppo di tecnologie di Age Assurance che tutelino la riservatezza fin dalla progettazione: si pensi alla stima dell'età tramite segnali anonimizzati o l'uso di "token" digitali forniti da terze parti certificate (come banche o provider di identità digitale). In questo scenario, la piattaforma social riceverebbe solo l'informazione necessaria ("l'utente è maggiorenne: SÌ/NO") senza dover necessariamente archiviare i documenti personali di tutti gli iscritti.
Il rischio zero, nel digitale come nel mondo fisico, non esiste; ma la regolamentazione serve proprio a minimizzare i rischi (di data breach) massimizzando i benefici (protezione dei minori).

4. Il mercato e la concorrenza: verso uno standard universale

Esiste un'opinione diffusa e rispettabile secondo cui regolamentazioni così stringenti finiscano per favorire indirettamente i grandi operatori tecnologici già esistenti, gli unici dotati delle risorse economiche e strutturali per implementare sistemi di verifica complessi, a discapito delle startup o dei nuovi concorrenti.
È un'osservazione che ha un fondamento economico innegabile: le barriere all'ingresso, in effetti, si alzano quando si impongono standard di sicurezza elevati.

E' opportuno considerare che in ogni settore economico l'evoluzione delle norme minime di sicurezza ha di fatto comportato investimenti obbligatori per la maggior parte degli operatori economici, a prescindere dalle loro dimensioni. Quando sono state introdotte le moderne norme antincendio per i locali pubblici, o le norme igienico-sanitarie per la ristorazione, queste si sono applicate tanto alle grandi catene alberghiere quanto alle piccole attività storiche.
La sicurezza, in un mercato maturo, tende a diventare un costo fisso d'impresa, un prerequisito non negoziabile per operare.

Nel contesto digitale, stabilire che la verifica dell'età è uno standard necessario potrebbe spingere il mercato a creare soluzioni di verifica accessibili anche ai piccoli operatori (magari come servizi terzi standardizzati o infrastrutture pubbliche), evitando che la sicurezza dei minori diventi un lusso o un vantaggio competitivo solo per pochi.

5. L'anonimato e la sicurezza della maggioranza

Resta aperta la delicata questione dell'anonimato. C'è chi sostiene che la verifica dell'età possa scoraggiare l'uso della Rete da parte di chi cerca discrezione, inclusi attivisti, minoranze o persone in situazioni di vulnerabilità che necessitano di non essere tracciate. È una preoccupazione senz'altro valida che va tenuta in adeguata considerazione.

Tuttavia, bisogna considerare il beneficio per la stragrande maggioranza degli utenti – e delle famiglie – che utilizzano i social media per intrattenimento, informazione e relazioni quotidiane. Per questa utenza "generalista", un ambiente in cui almeno la fascia d'età è verificata rappresenta uno spazio meno esposto a rischi, truffe, contatti indesiderati e contenuti predatori.
La sfida per il legislatore e per le aziende sarà quella di bilanciare queste esigenze: garantire la sicurezza strutturale dell'ambiente digitale senza precludere spazi di espressione protetta per chi ne ha realmente bisogno.

Tecnologie come la Zero Knowledge Proof  potrebbero offrire la soluzione tecnica a questa problematica, permettendo di dimostrare di possedere un requisito (la maggiore età) senza rivelare l'identità civile completa dell'utente. La legge australiana, non imponendo l'uso del documento come via unica, lascia aperta la porta proprio a queste innovazioni.

Uno spunto per l'Europa e per l'Italia

L'Australia ha aperto una strada normativa che merita di essere osservata senza pregiudizi ideologici. Mentre l'Europa, con il Digital Services Act (DSA), ha puntato molto sulla trasparenza dei processi, sulla responsabilità algoritmica e sulla moderazione dei contenuti, il modello australiano agisce a monte, sul perimetro d'ingresso.

L'Italia, paradossalmente, potrebbe essere tecnologicamente avvantaggiata nell'implementare un modello simile, qualora si decidesse di farlo. Strumenti come SPID (Sistema Pubblico di Identità Digitale) o CIE (Carta d'Identità Elettronica) sono già diffusi per altre esigenze e offrono standard di sicurezza elevati. Potrebbero essere utilizzati come base per sviluppare chiavi di accesso che certifichino la maggiore età garantendo al contempo la privacy: l'Identity Provider confermerebbe alla piattaforma social solo il dato anagrafico necessario, fungendo da garante terzo rispetto alle attività svolte dall'utente sul social.

L'esperienza che arriva dall'Australia non è necessariamente quella di un "controllo totale", ma quella di una regolamentazione di un mezzo ormai maturo. Internet non può più essere considerato una zona franca o un esperimento libertario, ma uno spazio pubblico essenziale frequentato da miliardi di persone. E come ogni spazio pubblico frequentato da minori, richiede regole di accesso chiare, verificate e uguali per tutti.

Daniele Beneventi


Read more