Un ragazzino con uno smartphone e una VPN gratuita scaricata in 30 secondi può entrare in qualunque sito che la legge italiana gli vieta di visitare dal novembre 2025. Dai, lo sanno tutti: per aggirare la verifica dell’età basta una connessione che finge di partire dall’estero.
Eppure il sistema è andato in vigore lo stesso, anche se poi ha prodotto: due ricorsi al TAR, una sentenza di annullamento parziale, l’app europea bucata in due minuti e una lettera aperta di 371 ricercatori. Perché si insiste su questo meccanismo? Vale la pena ricostruire come ci siamo arrivati.
Premessa per chi proprio non ne sa niente e vuole mettersi in pari: la legge di cui parlo è il cosiddetto Decreto Caivano del 2023, articolo 13-bis. I siti con contenuti pornografici devono accertare che chi entra abbia diciotto anni, e non basta più la casella “dichiaro di averli”. Ad aprile 2025 abbiamo raccontato l’approvazione della delibera AGCOM con il “doppio anonimato”: un soggetto terzo certificato verifica l’identità tramite SPID, CIE o passaporto elettronico, poi rilascia al sito solo un token che dice “questa persona ha più di diciotto anni”, senza nome né data di nascita. Sulla carta, il compromesso ideale. Sulla carta.
Il sistema della verifica dell’età parte e inciampa
Il 12 novembre 2025 è scattato l’obbligo per i siti italiani. Per quelli con sede in altri Stati membri dell’Unione, scadenza il 1 febbraio 2026. Vogliamo parlare dei risultati dopo la prima deadline? Dei 48 portali nella lista AGCOM, soltanto nove si sono adeguati. Fra gli inadempienti Pornhub, YouPorn e RedTube, tutti gestiti da Aylo Freesites, una società con sede a Cipro. Il 30 gennaio 2026 il TAR Lazio accoglie il ricorso cautelare di Aylo e congela l’obbligo per il gruppo. La scadenza del 1 febbraio passa così, quasi nel silenzio.
Non finisce qui, ovviamente: il 7 aprile 2026, quattro sentenze speculari del TAR Lazio annullano in parte la delibera. La tutela dei minori, dicono i giudici, resta un “interesse di rango costituzionale”. Il problema è la procedura. L’Italia, per imporre regole a un sito con sede in un altro Paese dell’Unione, deve prima dialogare con quel Paese e notificare la Commissione Europea.
L’AGCOM ha saltato il passaggio. E così, “ironia della sorte”, per gli italiani l’obbligo resta in piedi: per i grandi gruppi internazionali, via libera. Bello, eh?
L’app europea bucata in due minuti
Proseguiamo la nostra rapida cronistoria: otto giorni dopo le sentenze del TAR laziale, il 15 aprile 2026, Ursula von der Leyen presenta a Bruxelles l’app ufficiale europea per la verifica dell’età, definita “il più alto standard di privacy disponibile”.
Il codice finisce in open source su GitHub. Il giorno successivo, il consulente di sicurezza britannico Paul Moore aggira protezione PIN e biometria modificando un semplice file di configurazione locale. Ci mette meno di due minuti. Un ricercatore italiano riproduce il “trucchetto” per scardinare l’app, e ne segnala altri CINQUE. Il file dove sono memorizzati i tentativi falliti del PIN è in chiaro: si riporta il contatore a zero e si prova all’infinito. La biometria si disattiva cambiando un valore da vero a falso. È così semplice che potrei esserci riuscito anche io seguendo le loro istruzioni in rete, per dire.
Bruxelles ha promesso di correggere il bug. Piccolo passo indietro: a marzo 2026, un mese prima del lancio, 371 ricercatori di sicurezza da una trentina di Paesi avevano firmato una lettera aperta chiedendo una moratoria finché non ci fosse una valutazione scientifica seria di questo provvedimento. La Commissione ha tirato dritto.
Il modello “lo facciamo per proteggere i ragazzini” che Bruxelles aveva già provato con Chat Control mostra le stesse crepe, ma su scala diversa. E allora perché insistere proprio con QUESTO modello? È l’unico possibile? Vediamo.
Le alternative ci sono eccome
Ed è strano che si discutano poco. Le zero-knowledge proof permettono di dimostrare matematicamente la maggiore età senza condividere documento, nome, data di nascita: il sito riceve solo un sì o un no, generato sul dispositivo, senza server centrali che registrino chi chiede cosa. È la direzione che il regolamento eIDAS 2.0 indica per il portafoglio europeo di identità digitale entro fine 2026.
C’è poi la stima dell’età fatta sul telefono, senza inviare niente fuori. E poi ancora i controlli a livello di sistema operativo: il telefono sa che lo usa un minore perché lo ha configurato un genitore, e filtra a monte senza chiedere a ogni sito di identificare ogni utente. Strumenti che spostano il peso dall’identità all’attributo, dalla schedatura al filtro: strumenti che proteggono i minori senza avviare una sorveglianza massiccia di tutta la popolazione.
La cronologia in breve
13 novembre 2023: Decreto Caivano (legge 159/2023), articolo 13-bis. 8 aprile 2025: AGCOM, delibera 96/25/CONS, doppio anonimato e soggetti terzi certificati. 12 novembre 2025: scatta l’obbligo per i siti italiani. 30 gennaio 2026: il TAR Lazio congela l’obbligo per Aylo (Pornhub). 5 marzo 2026: lettera aperta di 371 ricercatori chiede una moratoria. 7 aprile 2026: il TAR Lazio annulla parzialmente la delibera per i siti extra-Italia UE. 15-16 aprile 2026: la Commissione UE lancia l’app europea, viene bucata in meno di due minuti.
In sintesi: sei mesi dopo l’avvio, il sistema italiano zoppica. I siti italiani verificano, quelli stranieri no, e le VPN aprono passaggi a chiunque sappia digitare due parole su un motore di ricerca. Della tutela dei minori resta poco. Di tutto il resto dell’impianto, invece…
Comunque, in qualche ufficio a Roma o Bruxelles, qualcuno sta già scrivendo la prossima versione. Se le alternative resteranno marginali, il prossimo giro lo conosciamo: meno privacy per riparare l’app, più dati per fare sul serio. La verifica dell’età potrebbe diventare quello che gli amici accademici (e gente come Edward Snowden) temono: un’infrastruttura buona per fare tutt’altro. Che cosa?
