SPID per i siti adulti: la privacy è davvero protetta?

Dal 12 novembre 2025 accedere a PornHub o OnlyFans dall'Italia richiede una verifica dell'identità. Il meccanismo tecnico del "doppio anonimato" è più sofisticato di quanto sembri — ma il nodo da sciogliere non è tecnico. È politico, e riguarda tutti, non solo chi visita quei siti.

Partiamo dai fatti, perché il dibattito pubblico su questa norma ha mischiato parecchie cose. Il decreto-legge n. 123 del 15 settembre 2023 — il cosiddetto decreto Caivano, convertito con la legge n. 159 dello stesso anno — contiene, all'art. 13-bis, l'obbligo per i gestori di siti che diffondono contenuti pornografici di dotarsi di sistemi efficaci di verifica della maggiore età. L'AGCOM ha dato attuazione concreta a questa norma con la delibera 96/25/CONS, pubblicata il 12 maggio 2025, che definisce le specifiche tecniche del sistema. Dal 12 novembre 2025 l'obbligo è operativo per 48 piattaforme identificate dall'Autorità — tra cui PornHub, YouPorn e OnlyFans — con una scadenza estesa al 31 gennaio 2026 per i gestori con sede in altri paesi UE.

La finalità dichiarata è chiara e condivisibile: impedire ai minorenni di accedere a contenuti pornografici. Nessuno ragionevole si oppone a questo obiettivo. Il problema, come spesso accade nel diritto informatico, non è l'obiettivo ma il come.

Come funziona il doppio anonimato

Il sistema progettato da AGCOM — validato anche dal Garante per la protezione dei dati personali — si basa su quello che viene chiamato "doppio anonimato". L'idea è elegante: separare chi verifica l'identità da chi eroga il servizio. In pratica funziona così. Quando l'utente vuole accedere a un sito della lista, viene reindirizzato verso un soggetto terzo certificato — un intermediario indipendente — che verifica la sua maggiore età tramite SPID, CIE o altri strumenti di identità digitale riconosciuti. Questo intermediario non sa a quale sito l'utente vuole accedere. Emette un token crittografato — sostanzialmente un certificato anonimo che attesta "questa persona ha più di 18 anni" — che viene passato al sito. Il sito riceve il token, non il nominativo. Non sa chi sei. Sa solo che sei maggiorenne.

In teoria è un compromesso ragionevole tra tutela dei minori e privacy degli adulti. La struttura ricorda il funzionamento di alcune soluzioni di identità digitale europea previste dall'EUDI Wallet, che andrà in quella direzione. Il problema è che "in teoria" e "in pratica" nel mondo dei dati personali raramente coincidono.

«Il rischio non è che lo stato sappia cosa guardi. Il rischio è che esiste un database, e che un database può essere violato, comprato o richiesto.»

I rischi reali che non vengono discussi abbastanza

Lavorando nell'ambito del diritto informatico e della privacy by design, mi trovo spesso a dover distinguere tra il rischio formalmente coperto dalla norma e il rischio effettivo. Qui ne identifico tre.

Il primo è la vulnerabilità del soggetto terzo certificato. Il token anonimo esiste, ma qualcuno deve generarlo. Quel soggetto — l'intermediario certificato — deve necessariamente registrare l'accesso per poter emettere il token. Anche se non trasmette il nominativo al sito, tiene un log che collega identità e timestamp. Se quel log viene violato, comprato, o richiesto coattivamente da un'autorità straniera attraverso procedure che il GDPR non riesce sempre a bloccare in tempo reale, l'anonimato svanisce. Non è fantascienza: è il normale funzionamento dei data breach, e l'Italia ne ha già vissuti di significativi. Il caso degli accessi all'Agenzia delle Entrate del 2023, per esempio, dimostra che anche i sistemi statali più sensibili non sono imperforabili.

Il secondo è il problema del riconoscimento facciale. Il sistema AGCOM ammette, tra i metodi di verifica, anche il riconoscimento dell'età tramite analisi biometrica del volto — in sostanza, la telecamera del telefono stima se sei maggiorenne dal viso. Non so con certezza cosa sia peggio: uno SPID che lascia un log tecnico ma protetto, o un'immagine del tuo volto che viene elaborata da un algoritmo privato per determinare la tua età. La seconda opzione raccoglie dati biometrici per una funzione di accesso a contenuti legali. Il regolamento europeo sull'AI Act classifica i sistemi di identificazione biometrica remota come ad alto rischio, e a ragione.

Il terzo — e questo è quello che mi preoccupa di più come ricercatore — è il precedente normativo. Oggi identifichiamo le persone per accedere a contenuti pornografici legali. Domani? La logica sottostante — "il contenuto è legale ma sensibile, quindi verifichiamo chi accede" — è espandibile in modo praticamente illimitato. Siti di scommesse, piattaforme con contenuti politicamente controversi, servizi di messaggistica cifrata. Ogni estensione futura del perimetro sarà più facile da giustificare perché il meccanismo esiste già ed è stato accettato dalla popolazione. Non è una teoria della cospirazione, è la normale dinamica regolatoria: si stabilisce lo strumento, si espande l'applicazione.

Il paradosso di chi rispetta la legge

C'è poi un problema che emerge chiaramente dall'analisi della norma: funziona esattamente al contrario di come dovrebbe. I siti che rispettano la delibera AGCOM sono quelli che hanno sede legale in Europa, pagano le tasse, operano in modo trasparente e hanno tutto l'interesse a restare nel mercato legale. PornHub si è adeguata. I siti opachi, quelli che trasmettono contenuti piratati, che usano il traffico come vettore per distribuire malware o per estrarre criptovalute dai dispositivi degli utenti, non lo faranno mai. Non perché non possano, ma perché non hanno alcun incentivo a rispettare normative di un paese che non riconoscono come giurisdizione rilevante.

Il risultato è che una parte degli utenti che non vogliono o non possono identificarsi — magari perché non hanno lo SPID, magari perché non vogliono lasciare log — migreranno verso i siti non conformi. Che sono intrinsecamente meno sicuri, non pagano tasse in Italia, e non offrono alcuna garanzia sui contenuti che ospitano. La norma che nasce per proteggere i minori rischia concretamente di spingerli verso ambienti digitali molto più pericolosi. L'adozione massiva di VPN — strumenti legittimi e largamente usati in ambito professionale — come soluzione di aggiramento è una risposta prevedibile e prevista dagli esperti. Bloccare le VPN, come già si sta discutendo anche in altri contesti regolatori europei, significherebbe compromettere strumenti fondamentali per la sicurezza aziendale, il giornalismo investigativo, e l'accesso a informazioni in paesi con regimi censori.

Cosa si dovrebbe fare diversamente

La mia posizione, che cerco di argomentare con la precisione che si deve a un tema così delicato, è questa: l'obiettivo della protezione dei minori online è urgente e reale, ma questo strumento è mal calibrato. Non va bene l'approccio che sposta il peso dell'identificazione sull'utente adulto che esercita un'attività legale, invece di investire in educazione digitale, in parental control efficaci, e in obblighi di verifica meno invasivi che non richiedano log di accesso identificabili.

Quello che funzionerebbe meglio — e che alcune esperienze europee stanno esplorando — è un approccio basato su certificati di età anonimi e non riutilizzabili, generati una volta sola a livello di dispositivo, che non transitano attraverso intermediari con accesso ai dati. L'EUDI Wallet, se implementato correttamente, potrebbe andare in questa direzione. Ma richiede tempo, risorse e una volontà politica di affrontare la complessità tecnica invece di delegarla al mercato.

Nel frattempo, quello che è successo dal 12 novembre è che milioni di adulti italiani si sono trovati a dover gestire una procedura di identificazione per un'attività che era — e rimane — perfettamente legale. Con la promessa che i loro dati siano protetti. E con la consapevolezza, che spero questo articolo contribuisca a diffondere, che le promesse tecniche hanno sempre una data di scadenza.