Schema di provvedimento su modalità tecniche e di processo per l’accertamento della maggiore età degli utenti
L’Autorità, nella seduta del 24 settembre 2024, ha approvato lo schema di regolamento che disciplina le modalità tecniche e di processo per l’accertamento della maggiore età degli utenti (age assurance, ovvero “garanzia dell’età”, talvolta indicato come “age verification”), in attuazione della legge 13 novembre 2023, n.159 (“Decreto Caivano”).
Il provvedimento è il risultato della consultazione pubblica avviata con delibera n. 61/24/CONS, cui hanno partecipato 13 soggetti tra i quali altre istituzioni, associazioni di categoria e di consumatori, piattaforme di condivisione video, previa acquisizione del parere favorevole del Garante per la protezione dei dati personali.
Lo schema di regolamento è notificato alla Commissione europea per l’ultimo vaglio.
La normativa vigente – anche specificamente riferita al ruolo dell’Autorità – richiama l’esigenza di meccanismi di age verification, stabilendo che i minori hanno diritto ad un livello più elevato di protezione dai contenuti che potrebbero nuocere al loro sviluppo fisico, mentale o morale anche introducendo misure più rigorose nei confronti di ogni servizio della società dell'informazione. La Commissione europea sostiene e promuove l’attuazione di norme mirate alla tutela dei minori online e l’articolo 28 del DSA (Digital Services Act) richiede che tutti i fornitori di piattaforme online adottino misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori, anzitutto mediante l’attivazione dei meccanismi di verifica dell’età.
Inoltre, ai sensi dell’articolo 35, paragrafo 1, lettera j) del DSA, i fornitori di piattaforme online di dimensioni “molto grandi” e di motori di ricerca online di dimensioni “molto grandi” devono adottare misure di attenuazione dei rischi sistemici, tra cui “misure mirate per tutelare i diritti dei minori, compresi strumenti di verifica dell’età e di controllo parentale, o strumenti volti ad aiutare i minori a segnalare abusi o ottenere sostegno, a seconda dei casi”.
Al quadro europeo si aggiungono i poteri specificamente assegnati all’Autorità dal Testo Unico sui Servizi Media Audiovisivi (TUSMA) a tutela dei minori, articoli 41 e 42, rispetto a contenuti che possano nuocere al loro sviluppo fisico, mentale o morale.
In tale contesto normativo, e in applicazione di quanto richiesto dal “Decreto Caivano”, al fine di garantire il requisito della riservatezza “rafforzata”, le specifiche dell’Autorità prevedono un sistema di verifica dell’età che utilizzi il modello del “doppio anonimato”, in cui non si deve consentire ai fornitori di prova della maggiore età di sapere per quale servizio viene eseguita la verifica dell'età, che due prove di maggiore età provengono dalla stessa fonte di prova dell’età, che un utente ha già utilizzato il sistema di verifica.
In funzione del requisito appena ricordato, il sistema proposto dall’Autorità prevede l’intervento, per la fornitura della prova della maggiore età, di soggetti terzi indipendenti certificati, attraverso un processo di verifica dell'età che prevede due passaggi logicamente separati: identificazione e autenticazione della persona identificata, per ciascuna sessione di utilizzo del servizio regolamentato (cioè, la fornitura di contenuti pornografici tramite sito o piattaforma web).
In attuazione di quanto sopra, nel caso di sistemi di verifica dell’età non basati su applicativi installati nel terminale utente, un processo di verifica dell'età deve essere diviso in tre fasi distinte:
- in primo luogo, l’emissione, ad esempio mediante accesso a un sito web tramite browser, di una “prova dell'età”, a seguito della identificazione, rilasciata da diversi soggetti, indipendenti dal fornitore di contenuti, che conoscono l'utente di Internet, siano essi fornitori di servizi specializzati nella fornitura di identità digitale, o un'organizzazione o soggetto che ha identificato l'utente di Internet in un altro contesto. Il soggetto che fornisce la “prova dell’età” non è conoscenza dell’utilizzo che l’utente ne farà e deve essere certificato da un’apposita Autorità al fine di avere garanzie sul sistema di identificazione usato.
- in secondo luogo, la comunicazione della prova dell’età solo all’utente che poi la presenterà al sito o piattaforma visitata. La “prova dell’età” può essere, ad esempio, scaricata direttamente dall’utente attraverso il sito web del soggetto certificatore e poi inviata, sempre dall’utente via web, al sito o piattaforma visitata.
- il sito o la piattaforma visitata dall’utente analizza la prova dell’età presentata e fornisce o meno l'accesso al contenuto richiesto (autenticazione).
Nel caso di sistemi di age assurance basati sull’uso di applicativi installati sul dispositivo, il soggetto terzo che fornisce la prova dell’età mette a disposizione dell’utente una APP per la certificazione e la generazione della “prova dell’età” (es. APP del portafoglio di identità digitale, oppure APP per la gestione dell’identità digitale, etc.). L’utente può quindi effettuare l’autenticazione e fornire la prova dell’età al sito web o piattaforma visitata, direttamente utilizzando l’APP installata sul proprio dispositivo e il servizio presente nella piattaforma/sito web deputato a tale scopo.
Ai sensi del “Regolamento del Parlamento europeo e del Consiglio che modifica il Regolamento (UE) n. 910/2014 per quanto riguarda l'istituzione di un quadro per un'identità digitale europea”, le piattaforme online di dimensioni molto grandi, come definite dal DSA (Digital Services Act), che impongono agli utenti di autenticarsi per accedere ai servizi online, dovranno accettare anche l'uso dei portafogli europei di identità digitale, anche per quanto riguarda gli attributi minimi necessari per lo specifico servizio online per il quale è richiesta l'autenticazione, come la prova dell'età.
Ai fini della realizzazione delle suddette specifiche, l’Autorità non ha fornito ulteriori dettagli, ma ha adottato un approccio tecnologicamente neutrale, che lascia ai soggetti tenuti alla realizzazione dei processi di age assurance, ossia i soggetti regolamentati, una ragionevole libertà di valutazione e scelta, stabilendo tuttavia i principi e i requisiti che devono essere soddisfatti dai sistemi introdotti, di seguito descritti:
i. Proporzionalità: che fa riferimento alla ricerca del giusto equilibrio tra i mezzi utilizzati per la verifica dell’età e il suo impatto sulla limitazione dei diritti delle persone.
ii. Protezione dei dati personali (requisito della riservatezza): i sistemi di age assurance implementati devono essere conformi alle norme e ai principi di protezione dei dati stabiliti dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 - GDPR (minimizzazione dei dati, accuratezza, limitazione della conservazione, ecc.); pertanto, non sono consentiti sistemi di garanzia dell’età che comportano il trattamento e la gestione di dati personali come, ad esempio, i dati riportati sui documenti di identità, l’immagine fotografica o video dell’utente, le informazioni del titolare della carta di credito, la profilazione degli utenti e, in generale, la raccolta di altre informazioni di carattere personale degli utenti.
iii. Sicurezza: il sistema di age assurance deve tener conto di possibili attacchi informatici rispetto ai quali deve prevedere misure di sicurezza informatica sufficienti a mitigare i rischi (GDPR, proposta Cyber Resilience Act – CRA) e a evitare i tentativi di elusione.
v. Precisione ed efficacia: il sistema di age assurance deve essere efficace in termini di contenimento dell’errore nella determinazione dell’età. Il processo di age assurance deve avvenire ad ogni consultazione del sito web/piattaforma di video sharing che diffonde contenuti pornografici. La validità di una verifica dell’età deve quindi cessare nel momento in cui l'utente esce dal servizio, ovvero quando termina la sessione, quando l’utente esce dal browser o quando il sistema operativo entra in stand-by e, comunque, dopo un periodo di 45 minuti di effettiva inattività.
vi. Funzionalità, accessibilità, facilità d’uso e non ostacolo all’accesso ai contenuti in Internet: i sistemi di garanzia dell’età devono essere facili da usare e basati sulle capacità e caratteristiche dei minori.
vii. Inclusività e non discriminazione: il criterio in questione fa riferimento alla capacità del sistema di garanzia dell’età di evitare o minimizzare pregiudizi non intenzionali e risultati discriminatori nei confronti degli utenti.
viii. Trasparenza: i soggetti regolamentati dovrebbero essere trasparenti nei confronti degli utenti per quanto riguarda i sistemi e i dati trattati e le finalità, mediante spiegazioni semplici, chiare e complete oltre che per maggiorenni anche per i minorenni.
ix. Formazione e informazione: l’Autorità ritiene importante informare e sensibilizzare i minori, i genitori, il personale della comunità educativa e della gestione giovanile sulle buone pratiche informatiche, sui rischi connessi a Internet.
x. Gestione dei reclami: il fornitore dei servizi di age assurance deve prevedere almeno un canale per acquisire e gestire, tempestivamente, i reclami in caso di errate decisioni sull’età.
L’Autorità ritiene che le modalità tecniche che si adottano con il presente provvedimento siano altamente raccomandate con riferimento ad ulteriori tipologie di contenuti, oltre a quelli a carattere pornografico, che potrebbero comunque nuocere allo sviluppo fisico, mentale o morale dei minori quali ad esempio le categorie previste dalla delibera 9/23/CONS.
L’Autorità avvierà un Tavolo tecnico di monitoraggio e analisi delle evoluzioni tecniche, normative e regolamentari in materia di sistemi di age assurance.