Una discussione che ha preso piede tra forum, commenti e messaggi è semplice da riassumere: SPID è stato escluso dalla verifica dell’età per i siti vietati ai minori. È una lettura frettolosa della norma. Dietro la decisione dell’Autorità c’è infatti un quadro tecnico che punta più alla tutela della privacy degli utenti che a un divieto assoluto dell’identità digitale. Chi consulta la delibera scopre regole pratiche, non un bando netto.
Cosa stabilisce agcom e come funziona il token
L’Autorità per le Garanzie nelle Comunicazioni ha tracciato linee guida che impongono modalità precise di verifica dell’età per i siti che veicolano contenuti per adulti, obbligatorie a partire da una data stabilita. L’elemento centrale non è lo strumento usato, ma il principio del doppio anonimato: la verifica deve separare chi attesta l’età da chi offre il servizio, in modo che nessuna delle due parti possa ricostruire sia l’identità sia la destinazione dell’utente.
Il meccanismo pratico individuato da AGCOM prevede una terza parte fidata che verifica la maggiore età e rilascia un gettone o token. Questo token certifica il superamento della soglia anagrafica senza trasferire dati sensibili al sito che lo utilizza. In sostanza, il gestore del sito riceve la conferma dell’età ma non la data di nascita né l’identità dell’utente.
Un dettaglio che molti sottovalutano è che il valore pratico di questo sistema dipende da come il token viene distribuito: se fosse concesso solo a chi dichiara accesso a siti per adulti, chi rilascia il token saprebbe comunque il motivo della verifica. Per questo motivo, diversi esperti suggeriscono che il token venga emesso in modo più ampio, magari tramite credenziali già diffuse a livello nazionale.
La soluzione europea del mini wallet e cosa cambia
Nel panorama europeo è stata sviluppata una soluzione tecnica pensata proprio per evitare il trasferimento di dati inutili: il cosiddetto mini wallet o “Age Verification Solution”. Si tratta di una reference implementation progettata come parte dell’infrastruttura dell’EUDI Wallet. L’idea è semplice: emettere attestazioni digitali standardizzate — chiamate Proof of Age — che provano la maggiore età senza rivelare altri attributi personali.
Il sistema funziona tramite provider qualificati che rilasciano attestazioni firmate e verificabili. Dal punto di vista tecnico questo implica l’uso di protocolli consolidati come OAuth2, JWT e meccanismi di autenticazione che si appoggiano all’ecosistema europeo (eIDAS). In pratica, l’utente si autentica presso un issuer, ottiene la Proof of Age e la presenta al sito: il sito verifica la firma e accetta l’accesso, senza conoscere la data di nascita dell’utente.
Un aspetto che emerge osservando l’implementazione è la possibilità di integrare questi meccanismi in app nazionali già diffuse: un dettaglio che molti dimenticano è che l’adozione dipenderà molto da come i governi decideranno di collegare i propri identity provider al sistema europeo. L’approccio incrementa la privacy e potrebbe diventare uno standard per la verifica dell’età in tutta l’UE.
Perché spid non basta e quali scenari pratici aspettarsi
SPID resta uno strumento nazionale molto diffuso, ma presenta limiti tecnici rispetto alle linee guida richieste per i siti vietati ai minori. Le specifiche attuali trasferiscono alla parte richiedente la data di nascita come attributo: non esiste un flag binario “maggiore di 18” nello standard. Inoltre, il flusso di autenticazione tipico (basato su SAML v2) rende noto all’Identity Provider quale Service Provider ha avviato la richiesta, violando così il requisito del doppio anonimato.
Per questo motivo SPID è considerato allo stato attuale non conforme per l’accesso diretto ai siti per adulti. Un punto spesso trascurato è che nulla vieta di usare SPID come strumento indiretto: in contesti come il mini wallet europeo, SPID o la carta d’identità elettronica possono servire per ottenere il token anonimizzato rilasciato dall’issuer. È un passaggio intermedio che mantiene il ruolo di SPID senza esporre l’uso finale.
Dal lato pratico, l’introduzione degli age gate porterà anche a effetti collaterali visibili: alcuni utenti potrebbero ricorrere a VPN o a servizi esteri per aggirare i controlli, e il rispetto delle regole dipenderà dall’applicazione nazionale della delibera. Un fenomeno che in molte città già si nota è la ricerca di soluzioni semplici e gratuite per superare limitazioni online. In Italia il nodo politico e tecnico sarà l’integrazione con strumenti come l’app nazionale: l’esito determinerà quanto effettiva sarà la barriera contro l’accesso minorile.