HomeAttualitàGioco d’azzardo online, AGCOM: servirà lo Spid per accedere ai siti web

Gioco d’azzardo online, AGCOM: servirà lo Spid per accedere ai siti web

Pubblicato il regolamento Agcom con le modalità di verifica dell’età online, manca il via libera della Commissione europea

L’Autorità ( AGCOM) , nella seduta del 24 settembre 2024, ha approvato lo schema di regolamento che disciplina le modalità tecniche e di processo per l’accertamento della maggiore età degli utenti (age assurance, ovvero “garanzia dell’età”, talvolta indicato come “age verification”), in attuazione della legge 13 novembre 2023, n.159 (“Decreto Caivano”).
Il provvedimento è il risultato della consultazione pubblica avviata con delibera n. 61/24/CONS, cui hanno partecipato 13 soggetti tra i quali altre istituzioni, associazioni di categoria e di consumatori, piattaforme di condivisione video, previa acquisizione del parere favorevole del Garante per la protezione dei dati personali.
Lo schema di regolamento è notificato alla Commissione europea per l’ultimo vaglio. 
La normativa vigente – anche specificamente riferita al ruolo dell’AutoritĂ  – richiama l’esigenza di meccanismi di age verification, stabilendo che i minori hanno diritto ad un livello piĂą elevato di protezione dai contenuti che potrebbero nuocere al loro sviluppo fisico, mentale o morale anche introducendo misure piĂą rigorose nei confronti di ogni servizio della societĂ  dell’informazione. La Commissione europea sostiene e promuove l’attuazione di norme mirate alla tutela dei minori online e l’articolo 28 del DSA (Digital Services Act) richiede che tutti i fornitori di piattaforme online adottino misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori, anzitutto mediante l’attivazione dei meccanismi di verifica dell’etĂ .
Inoltre, ai sensi dell’articolo 35, paragrafo 1, lettera j) del DSA, i fornitori di piattaforme online di dimensioni “molto grandi” e di motori di ricerca online di dimensioni “molto grandi” devono adottare misure di attenuazione dei rischi sistemici, tra cui “misure mirate per tutelare i diritti dei minori, compresi strumenti di verifica dell’età e di controllo parentale, o strumenti volti ad aiutare i minori a segnalare abusi o ottenere sostegno, a seconda dei casi”.
Al quadro europeo si aggiungono i poteri specificamente assegnati all’Autorità dal Testo Unico sui Servizi Media Audiovisivi (TUSMA) a tutela dei minori, articoli 41 e 42, rispetto a contenuti che possano nuocere al loro sviluppo fisico, mentale o morale.
In tale contesto normativo, e in applicazione di quanto richiesto dal “Decreto Caivano”, al fine di garantire il requisito della riservatezza “rafforzata”, le specifiche dell’AutoritĂ  prevedono un sistema di verifica dell’etĂ  che utilizzi il modello del “doppio anonimato”, in cui non si deve consentire ai fornitori di prova della maggiore etĂ  di sapere per quale servizio viene eseguita la verifica dell’etĂ , che due prove di maggiore etĂ  provengono dalla stessa fonte di prova dell’etĂ , che un utente ha giĂ  utilizzato il sistema di verifica. 
In funzione del requisito appena ricordato, il sistema proposto dall’AutoritĂ  prevede l’intervento, per la fornitura della prova della maggiore etĂ , di soggetti terzi indipendenti certificati, attraverso un processo di verifica dell’etĂ  che prevede due passaggi logicamente separati: identificazione e autenticazione della persona identificata, per ciascuna sessione di utilizzo del servizio regolamentato (cioè, la fornitura di contenuti pornografici tramite sito o piattaforma web). 
In attuazione di quanto sopra, nel caso di sistemi di verifica dell’etĂ  non basati su applicativi installati nel terminale utente, un processo di verifica dell’etĂ  deve essere diviso in tre fasi distinte:
–    in primo luogo, l’emissione, ad esempio mediante accesso a un sito web tramite browser, di una “prova dell’età”, a seguito della identificazione, rilasciata da diversi soggetti, indipendenti dal fornitore di contenuti, che conoscono l’utente di Internet, siano essi fornitori di servizi specializzati nella fornitura di identitĂ  digitale, o un’organizzazione o soggetto che ha identificato l’utente di Internet in un altro contesto. Il soggetto che fornisce la “prova dell’età” non è conoscenza dell’utilizzo che l’utente ne farĂ  e deve essere certificato da un’apposita AutoritĂ  al fine di avere garanzie sul sistema di identificazione usato.
–    in secondo luogo, la comunicazione della prova dell’etĂ  solo all’utente che poi la presenterĂ  al sito o piattaforma visitata. La “prova dell’età” può essere, ad esempio, scaricata direttamente dall’utente attraverso il sito web del soggetto certificatore e poi inviata, sempre dall’utente via web, al sito o piattaforma visitata.
–    il sito o la piattaforma visitata dall’utente analizza la prova dell’etĂ  presentata e fornisce o meno l’accesso al contenuto richiesto (autenticazione).
Nel caso di sistemi di age assurance basati sull’uso di applicativi installati sul dispositivo, il soggetto terzo che fornisce la prova dell’età mette a disposizione dell’utente una APP per la certificazione e la generazione della “prova dell’età” (es. APP del portafoglio di identità digitale, oppure APP per la gestione dell’identità digitale, etc.). L’utente può quindi effettuare l’autenticazione e fornire la prova dell’età al sito web o piattaforma visitata, direttamente utilizzando l’APP installata sul proprio dispositivo e il servizio presente nella piattaforma/sito web deputato a tale scopo. 
Ai sensi del “Regolamento del Parlamento europeo e del Consiglio che modifica il Regolamento (UE) n. 910/2014 per quanto riguarda l’istituzione di un quadro per un’identitĂ  digitale europea”, le piattaforme online di dimensioni molto grandi, come definite dal DSA (Digital Services Act), che impongono agli utenti di autenticarsi per accedere ai servizi online, dovranno accettare anche l’uso dei portafogli europei di identitĂ  digitale, anche per quanto riguarda gli attributi minimi necessari per lo specifico servizio online per il quale è richiesta l’autenticazione, come la prova dell’etĂ .
Ai fini della realizzazione delle suddette specifiche, l’Autorità non ha fornito ulteriori dettagli, ma ha adottato un approccio tecnologicamente neutrale, che lascia ai soggetti tenuti alla realizzazione dei processi di age assurance, ossia i soggetti regolamentati, una ragionevole libertà di valutazione e scelta, stabilendo tuttavia i principi e i requisiti che devono essere soddisfatti dai sistemi introdotti, di seguito descritti:
i.    Proporzionalità: che fa riferimento alla ricerca del giusto equilibrio tra i mezzi utilizzati per la verifica dell’età e il suo impatto sulla limitazione dei diritti delle persone. 
ii.    Protezione dei dati personali (requisito della riservatezza): i sistemi di age assurance implementati devono essere conformi alle norme e ai principi di protezione dei dati stabiliti dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016 – GDPR (minimizzazione dei dati, accuratezza, limitazione della conservazione, ecc.); pertanto, non sono consentiti sistemi di garanzia dell’etĂ  che comportano il trattamento e la gestione di dati personali come, ad esempio, i dati riportati sui documenti di identitĂ , l’immagine fotografica o video dell’utente, le informazioni del titolare della carta di credito, la profilazione degli utenti e, in generale, la raccolta di altre informazioni di carattere personale degli utenti. 
iii.    Sicurezza: il sistema di age assurance deve tener conto di possibili attacchi informatici rispetto ai quali deve prevedere misure di sicurezza informatica sufficienti a mitigare i rischi (GDPR, proposta Cyber Resilience Act – CRA) e a evitare i tentativi di elusione.
v.    Precisione ed efficacia: il sistema di age assurance deve essere efficace in termini di contenimento dell’errore nella determinazione dell’etĂ . Il processo di age assurance deve avvenire ad ogni consultazione del sito web/piattaforma di video sharing che diffonde contenuti pornografici. La validitĂ  di una verifica dell’etĂ  deve quindi cessare nel momento in cui l’utente esce dal servizio, ovvero quando termina la sessione, quando l’utente esce dal browser o quando il sistema operativo entra in stand-by e, comunque, dopo un periodo di 45 minuti di effettiva inattivitĂ . 
vi.    Funzionalità, accessibilità, facilità d’uso e non ostacolo all’accesso ai contenuti in Internet: i sistemi di garanzia dell’età devono essere facili da usare e basati sulle capacità e caratteristiche dei minori. 
vii.    Inclusività e non discriminazione: il criterio in questione fa riferimento alla capacità del sistema di garanzia dell’età di evitare o minimizzare pregiudizi non intenzionali e risultati discriminatori nei confronti degli utenti. 
viii.    Trasparenza: i soggetti regolamentati dovrebbero essere trasparenti nei confronti degli utenti per quanto riguarda i sistemi e i dati trattati e le finalità, mediante spiegazioni semplici, chiare e complete oltre che per maggiorenni anche per i minorenni.
ix.    Formazione e informazione: l’Autorità ritiene importante informare e sensibilizzare i minori, i genitori, il personale della comunità educativa e della gestione giovanile sulle buone pratiche informatiche, sui rischi connessi a Internet. 
x.    Gestione dei reclami: il fornitore dei servizi di age assurance deve prevedere almeno un canale per acquisire e gestire, tempestivamente, i reclami in caso di errate decisioni sull’età.
L’Autorità ritiene che le modalità tecniche che si adottano con il presente provvedimento siano altamente raccomandate con riferimento ad ulteriori tipologie di contenuti, oltre a quelli a carattere pornografico, che potrebbero comunque nuocere allo sviluppo fisico, mentale o morale dei minori quali ad esempio le categorie previste dalla delibera 9/23/CONS.
L’Autorità avvierà un Tavolo tecnico di monitoraggio e analisi delle evoluzioni tecniche, normative e regolamentari in materia di sistemi di age assurance.

Articoli correlati