La crescita esponenziale della presenza dei minori negli spazi digitali implica sfide di portata significativa. L’ambiente virtuale, infatti, espone i minori a contenuti dannosi, violazioni della privacy e pratiche di manipolative. La tutela dei minori online richiede un approccio equilibrato che garantisca la loro sicurezza, privacy e benessere attraverso la valutazione dei rischi legati all’utilizzo delle piattaforme digitali, l’implementazione di meccanismi di verifica dell’età e impostazioni privacy predefinite su misura per i minori. In tale contesto, la Commissione europea è recentemente intervenuta proponendo una bozza di linee guida in materia di protezione dei minori online a norma del Digital Services Act (le “Linee Guida“), ai sensi dell’art. 28 del Regolamento (UE) 2022/2065 (“Digital Services Act” o “DSA“), volte a supportare le piattaforme online accessibili ai minori nel garantire un elevato livello di privacy, sicurezza e protezione. Le Linee Guida, già sottoposte a una consultazione conclusasi il 15 giugno 2025 e in fase di finalizzazione entro l’estate del 2025, andranno a integrare le misure già in vigore a livello nazionale ed europeo.
Il Quadro normativo europeo attuale
L’Unione europea ha già compiuto passi importanti per la tutela dei minori online attraverso la regolamentazione sulla protezione dei dati. Il Regolamento (EU) 2016/679 (“General Data Protection Regulation” o “GDPR“) contiene disposizioni specifiche che riconoscono i minori come soggetti vulnerabili che necessitano di una tutela rafforzata, in particolare per quanto riguarda il trattamento dei loro dati personali. In particolare, l’art. 8 del GDPR fissa a 16 anni l’età minima per prestare validamente il consenso al trattamento dei dati personali nell’ambito dei servizi della società dell’informazione, con la possibilità per gli Stati membri di abbassare tale età fino a un minimo di 13 anni. Ove il minore abbia un’età inferiore ai 16 anni, il trattamento dei dati è lecito soltanto se e nella misura in cui il consenso è prestato dal soggetto che esercita la responsabilità genitoriale, con il conseguente obbligo per i titolari del trattamento di adottare adeguati meccanismi di verifica del consenso dei genitori. Durante l’assemblea plenaria del febbraio 2025, il Comitato europeo per la protezione dei dati (“EDPB”) ha adottato una dichiarazione sui sistemi di verifica dell’età, rilevando come tale misura sia essenziale per impedire ai minori di accedere a contenuti non appropriati alla loro età. Allo stesso tempo, l’EDPB ha riconosciuto che il metodo di verifica dell’età deve essere il meno invasivo possibile e che resta primaria l’esigenza di tutelare i dati personali dei minori.
A integrazione di tale quadro normativo, con un particolare focus sui servizi digitali, il DSA introduce disposizioni specifiche volte a proteggere i minori online, ma, a differenza del GDPR, non individua una soglia di età specifica. L’art. 28 del DSA prevede espressamente che “I fornitori di piattaforme online accessibili ai minori adottano misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori sul loro servizio”. L’art. 28 del DSA non prescrive misure specifiche per la verifica dell’età. Tuttavia, l’ultimo paragrafo dell’art. 28 prevede che la Commissione possa emanare linee guida per assistere i fornitori di piattaforme online nell’applicazione di tali misure. In questo contesto, la Commissione ha avviato una consultazione pubblica sulla bozza di Linee Guida, che si è conclusa il 15 giugno.
Nell’ambito della consultazione, il 4 giugno 2025 la Commissione europea ha organizzato un workshop con 150 esperti provenienti dal mondo dell’industria, dell’accademia, della società civile, delle autorità di regolazione e della comunità giovanile giovani per raccogliere feedback sulle Linee Guida.
L’adozione della versione definitiva delle Linee Guida è prevista per l’estate del 2025. Nel frattempo, la Commissione europea sta lavorando allo sviluppo di una soluzione armonizzata a livello UE per la verifica dell’età che garantisca la tutela della privacy. La prima versione delle specifiche tecniche e la versione beta sono già disponibili su GitHub. Si tratta in ogni caso di una soluzione temporanea in attesa dell’entrata in vigore del digital wallet dell’UE, prevista entro la fine del 2026, in ottemperanza al Regolamento (UE) 2024/1183.
Il contenuto delle Linee Guida
Le Linee Guida hanno lo scopo di assistere i fornitori di piattaforme online nel gestire i rischi per i minori, individuando una serie di misure che la Commissione ritiene adeguate per garantire un elevato livello di privacy, sicurezza e protezione sulle loro piattaforme. La Commissione europea osserva infatti che il fornitore di una piattaforma online che si limita a dichiarare nei propri termini e condizioni che la piattaforma non è accessibile ai minori, ma non adotta alcuna misura efficace per impedire ai minori di accedere al proprio servizio, non può sostenere che la propria piattaforma online non rientra nell’ambito di applicazione dell’art. 28 del DSA ed è quindi comunque tenuto ad attuare misure efficaci per proteggere i minori da contenuti nocivi. Allo stesso tempo, secondo l’attuale bozza delle Linee Guida, la Commissione europea ritiene che l’autodichiarazione (ovvero il fatto di affidarsi al singolo individuo per indicare la propria età o confermare la propria fascia d’età, fornendo volontariamente la propria data di nascita o oppure dichiarando di avere un’età superiore a una certa soglia, in genere cliccando su un pulsante) non soddisfi tutti i requisiti di robustezza e affidabilità. Pertanto, la Commissione non ritiene che l’autodichiarazione sia un metodo adeguato per garantire un elevato livello di privacy, sicurezza e protezione dei minori ai sensi dell’art. 28. Le misure appropriate raccomandate dalla Commissione comprendono la stima dell’età (ovvero metodi indipendenti che consentono a un fornitore di stabilire in via presuntiva che un utente ha una certa età, rientra in una determinata fascia di età o è maggiore o minore di una certa età) e la verifica dell’età (ovvero un sistema che si basa su identificatori fisici o fonti di identificazione verificate che forniscono un elevato grado di certezza nella determinazione dell’età di un utente).
Per quanto riguarda la moderazione dei contenuti, la Commissione ritiene che i fornitori di piattaforme online accessibili ai minori dovrebbero stabilire politiche e procedure di moderazione che definiscano le modalità di individuazione dei contenuti e dei comportamenti dannosi per la privacy, la sicurezza e l’incolumità dei minori e le modalità di moderazione degli stessi, garantendo l’effettiva applicazione di tali politiche e/o procedure.
Infine, la Commissione richiede l’attuazione di meccanismi di segnalazione, feedback e reclamo che siano di facile utilizzo per i minori, al fine di consentire loro di segnalare contenuti, attività, individui, account o gruppi che ritengono possano violare i termini e le condizioni della piattaforma. Ciò include qualsiasi contenuto, utente o attività che la piattaforma ritenga dannoso per la privacy, la sicurezza e/o l’incolumità dei minori.
Il Quadro di riferimento italiano
Il quadro giuridico italiano per la protezione online dei minori è caratterizzato da una combinazione di tutele in materia di privacy, iniziative di settore e recenti misure legislative volte a migliorare la sicurezza dei minori. Ai sensi del Codice Privacy (d.lgs. 196/2003), così come adattato al GDPR dal d.lgs. 101/2018, i minori sono riconosciuti come una categoria vulnerabile che richiede una protezione speciale nel trattamento dei propri dati personali. In particolare, l’art. 2-quinquies del Codice Privacy fa esplicito riferimento ai diritti dei minori, rafforzando le disposizioni del GDPR in materia di consenso dei genitori al trattamento dei dati dei minori di 14 anni e ponendo l’accento sulla trasparenza e la chiarezza delle comunicazioni rivolte ai minori. Il Garante per la Protezione dei Dati Personali ha inoltre adottato una posizione ferma in materia di tutela della privacy dei minori, in particolare richiedendo a diversi fornitori di piattaforme e servizi online di adottare strumenti di verifica dell’età adeguati a impedire l’accesso ai minori senza il consenso espresso di chi esercita la responsabilità genitoriale nei loro confronti.
Inoltre, il D.Lgs. n. 123 del 15 settembre 2023 (“Decreto Caivano”) stabilisce misure urgenti per rafforzare la protezione dei minori nell’ambito digitale. Tra le disposizioni principali, l’articolo 13-bis impone ai gestori di siti web e ai fornitori di piattaforme di condivisione video che diffondono immagini e video pornografici in Italia di verificare l’età degli utenti al fine di impedire ai minori di 18 anni di accedere a contenuti pornografici.
Per attuare l’art. 13-bis del Decreto Caivano, il 18 aprile 2025 l’Autorità per le Garanzie nelle Comunicazioni (“AGCOM“) ha approvato la delibera n. 96/25/CONS, che stabilisce le modalità con cui le piattaforme di condivisione video e i siti web che rendono disponibili contenuti pornografici in Italia devono verificare l’età dei propri utenti. Il sistema di verifica dell’età prevede l’intervento di soggetti terzi indipendenti certificati incaricati di fornire una prova dell’età, definendo un processo in due fasi – identificazione e autenticazione dell’utente – per ogni sessione di utilizzo del servizio regolamentato (ad esempio, la fornitura di contenuti pornografici tramite un sito web o una piattaforma web).
Entro sei mesi dalla pubblicazione della delibera, le piattaforme e i siti web devono conformarsi alle disposizioni pertinenti. L’AGCOM è incaricata di vigilare sul rispetto delle disposizioni, ordinando ai fornitori di cessare le violazioni o adottando tutte le misure necessarie per bloccare il sito web o la piattaforma che risultano in violazione dei requisiti.
Conclusioni
La protezione dei minori online rappresenta una priorità sia a livello europeo che italiano, fondata sui principi della privacy-by-design, sulla valutazione dei rischi e sulla tutela dell’interesse superiore del minore. L’Unione europea ha istituito un solido quadro normativo attraverso le disposizioni specifiche per i minori contenute nel GDPR, gli obblighi mirati per le piattaforme online previsti dal Digital Services Act e le Linee Guida della Commissione di prossima pubblicazione. L’Italia ha integrato tale quadro con recenti interventi legislativi e regolamentari, quali il Decreto Caivano e i requisiti di verifica dell’età e di controllo parentale applicabili stabiliti dall’AGCOM.
Per i fornitori di servizi online è essenziale conformarsi a queste norme in continua evoluzione al fine di evitare pesanti sanzioni e danni alla reputazione, soprattutto alla luce della crescente attenzione riservata alle piattaforme digitali in relazione alla sicurezza dei minori. Il team di DLA Piper offre una vasta esperienza nell’assistenza personalizzata e nel supporto pratico ai fornitori di servizi online che desiderano orientarsi in questo panorama complesso, garantendo la piena conformità ai requisiti applicabili.
Su un argomento simile può essere di interesse l’articolo “Sanzione GDPR da 405 milioni contro Instagram per illecito trattamento di dati di minori“
