Se accedi regolarmente a siti per adulti, preparati a un cambiamento radicale. Dal 12 novembre 2025, navigare su Pornhub, Xvideos o OnlyFans dall’Italia potrebbe non essere più così semplice come prima. L’AGCOM ha pubblicato la prima lista ufficiale di piattaforme che rischiano il blocco se non implementano sistemi efficaci di verifica dell’età.
Non si tratta più delle classiche schermate “Hai più di 18 anni?” che chiunque poteva cliccare senza problemi. Questa volta parliamo di controlli veri, che impongono l’uso di un’app dedicata e sollevano interrogativi importanti sulla tua privacy.
Scopri con noi come funzionerà, quali sono i siti colpiti, le tempistiche di implementazioni e soprattutto i rischi per la tutela del tuo anonimato in rete.
- 1. Perché si parla di verifica dell’età sui siti porno
- 2. Quali siti sono coinvolti e quando scattano i blocchi
- 3. Come funzionerà concretamente la verifica dell’età
- 4. L’app di verifica europea la soluzione temporanea in attesa del wallet digitale
- 5. Quanto è davvero sicura la tua privacy con questo sistema
- 6. I problemi pratici
- 7. Cosa accadrà a breve?
Perché si parla di verifica dell’età sui siti porno
La questione nasce dal Decreto Caivano e dalla successiva delibera AGCOM n. 96/25/CONS, che attuano l’articolo 13 bis dedicato alla protezione dei minori online. L’obiettivo dichiarato è impedire ai minorenni l’accesso a contenuti pornografici, un problema reale considerando che moltissimi adolescenti accedono liberamente a questo tipo di materiale senza alcun controllo.
L’Autorità per le Garanzie nelle Comunicazioni ha quindi il compito di stabilire regole tecniche precise per verificare la maggiore età degli utenti, andando oltre i sistemi simbolici e inefficaci finora utilizzati.
La delibera AGCOM stabilisce che i gestori di siti pornografici e le piattaforme di condivisione video che diffondono pornografia in Italia devono dotarsi di un sistema efficace di verifica dell’età entro sei mesi dalla pubblicazione del provvedimento, avvenuta ufficialmente il 12 maggio 2025.
Ecco perché la data del 12 novembre 2025 è diventata cruciale: scaduti questi sei mesi, AGCOM può contestare le violazioni e avviare procedure che includono la diffida ad adeguarsi e, in caso di mancato rispetto, l’ordine di inibire l’accesso al sito dall’Italia tramite blocco degli indirizzi IP.
Questo approccio si inserisce in un contesto europeo più ampio, definito dal Digital Services Act (DSA), che stabilisce obblighi e responsabilità per le piattaforme digitali con l’obiettivo di garantire un ambiente online più sicuro.
Le linee guida europee pubblicate dalla Commissione in attuazione dell’articolo 28 del DSA definiscono misure specifiche per proteggere i minori online, tra cui l’introduzione di sistemi affidabili di verifica dell’età per impedire l’accesso a contenuti inadatti come pornografia, gioco d’azzardo o piattaforme social con limiti d’età.
La novità rispetto al passato è che questi sistemi devono essere precisi, robusti, non intrusivi e non discriminatori. Quindi, non basta più cliccare su un pulsante, serve una verifica reale dell’identità e dell’età dell’utente.
Tuttavia, AGCOM ha specificato chiaramente che questa verifica non può tradursi in una raccolta massiva di dati personali da parte dei siti pornografici, creando così un delicato equilibrio tra protezione dei minori e tutela della privacy degli adulti. È proprio qui che emergono le questioni più complesse e controverse di questa normativa.
Quali siti sono coinvolti e quando scattano i blocchi
AGCOM ha pubblicato un elenco di 48 indirizzi web che rientrano nell’obbligo di verifica dell’età. Tra i nomi più conosciuti troviamo Pornhub, YouPorn, RedTube, Xvideos, XNXX, Chaturbate, LiveJasmin e anche OnlyFans. La lista è stata suddivisa in due gruppi principali, con tempistiche diverse per l’applicazione delle misure, a seconda della sede legale delle società che gestiscono queste piattaforme.
Il primo gruppo comprende i siti gestiti da società stabilite in Italia o fuori dall’Unione Europea. Per queste piattaforme, AGCOM può agire già dalla scadenza dei sei mesi, quindi dal 12 novembre 2025. In questo gruppo troviamo ad esempio OnlyFans (Fenix International Ltd, Regno Unito), Chaturbate (Multi Media LLC, USA), Cam4 (con società negli USA e a Curaçao), e il sito italiano Hentai-Ita gestito dalla società ONLAB S.R.L.S. Questi soggetti non possono sostenere di essere sottratti al controllo regolatorio italiano e rientrano immediatamente nel perimetro d’azione dell’Autorità.
Il secondo gruppo include invece i siti gestiti da società stabilite in altri Stati membri dell’Unione Europea. Per queste piattaforme AGCOM deve rispettare una procedura europea che discende dall’articolo 3 della direttiva sul commercio elettronico, che prevede la comunicazione allo Stato membro nel quale la piattaforma è stabilita e alla Commissione europea prima di imporre misure restrittive in Italia.
L’articolo 4 comma 2 dell’Allegato A della delibera stabilisce che le prescrizioni si applicano anche a prescindere dallo Stato membro di stabilimento tre mesi dopo la pubblicazione della lista dei soggetti. Questo significa che per piattaforme come Pornhub, YouPorn e RedTube (gestite da Aylo Freesited Ltd con sede a Cipro), Xvideos e XNXX (Repubblica Ceca), Stripchat (Cipro) e XHamster (Cipro), la piena applicabilità delle misure italiane scatta tre mesi dopo la pubblicazione della lista, quindi febbraio 2026.
La distinzione è importante perché non tutti i siti della lista sono nella stessa posizione giuridica il 12 novembre 2025. Per i soggetti italiani e quelli extra-UE AGCOM può già far valere la scadenza dei sei mesi e avviare le diffide, con possibile blocco immediato in caso di non conformità.
Per i soggetti stabiliti in altri Stati membri dell’Unione l’Autorità ha costruito una finestra aggiuntiva, ma devono comunque adeguarsi: l’azione coercitiva italiana deve semplicemente passare anche attraverso il canale di coordinamento europeo prima di arrivare al blocco effettivo.
Come funzionerà concretamente la verifica dell’età
Dimenticati la classica domanda “Hai più di 18 anni?” con il pulsante da cliccare. AGCOM ha stabilito che la verifica dell’età deve essere concreta ed efficace, impedendo realmente ai minori l’accesso ai contenuti pornografici.
Allo stesso tempo, l’Autorità rifiuta categoricamente l’idea che il sito porno raccolga direttamente dati di identità, foto di documenti o dati biometrici dell’utente. È qui che entra in gioco l’architettura europea della verifica dell’età, basata su un’app dedicata.
Il sistema si basa su quattro soggetti fondamentali. Innanzitutto c’è l’utente, ovvero tu che vuoi accedere ai contenuti per adulti. Poi c’è l’Age Verification App Provider (AVAP), cioè chi fornisce l’applicazione per la verifica dell’età che dovrai scaricare sul tuo smartphone. Il terzo attore è l’Attestation Provider (AP), un ente pubblico o privato accreditato che, dopo aver verificato la tua identità e la tua età, rilascia l’attestazione di maggiore età. Infine c’è la Relying Party (RP), cioè la piattaforma o il servizio online (ad esempio Pornhub) che richiede la verifica dell’età prima di consentirti l’accesso ai contenuti.
Il processo prevede due fasi principali. Nella fase di attivazione, scarichi l’applicazione di verifica dell’età sul tuo dispositivo mobile e richiedi all’Attestation Provider l’attestazione di maggiore età. Questa può avvenire tramite diverse modalità di identificazione:
- scansione della Carta d’Identità Elettronica;
- passaporto elettronico;
- procedure bancarie di identificazione del cliente o sistemi di verifica degli operatori mobili.
L’AP verifica la tua identità secondo il livello di garanzia richiesto dal regolamento europeo e rilascia l’attestazione che viene memorizzata in modo sicuro solo localmente, nell’app sul tuo dispositivo. Importante: AGCOM ha già specificato che SPID non va bene per questo scopo, perché non protegge adeguatamente l’anonimato dell’utente e non è efficace nel filtrare i minorenni.
Nella fase di utilizzo, quando accedi a un sito di contenuti per adulti, la Relying Party (il sito) chiede la prova di maggiore età. Se stai navigando da PC, dovrai scansionare con l’app un codice QR visualizzato sul sito web. Se accedi da smartphone, l’operazione è diretta, con la condivisione immediata e automatica della “prova d’età”.
L’elemento cruciale è che il sito riceve soltanto l’esito binario “maggiorenne sì o no”, senza ricevere nome, cognome, data di nascita o copia del documento. Il soggetto terzo che verifica l’età, a sua volta, non deve conoscere quale sito vuoi visitare. AGCOM definisce questa architettura come un sistema orientato alla minimizzazione dei dati e alla separazione dei ruoli, per evitare che nascano elenchi nominativi delle persone che accedono a siti pornografici.
L’app di verifica europea la soluzione temporanea in attesa del wallet digitale
La Commissione Europea ha sviluppato un’architettura per un’app di verifica dell’età, già disponibile su GitHub per Android e iOS sotto forma di applicazione White Label. Si tratta sostanzialmente di una proposta di app dell’Unione Europea che gli Stati membri possono personalizzare e adattare alle proprie esigenze normative.
Una White Label App è un’applicazione generica, priva di marchio o personalizzazione, che può essere adottata da enti pubblici o privati secondo il proprio contesto regolatorio.
Dopo il download dell’app sul tuo smartphone, dovrai accettare i termini e le condizioni e le informazioni sulla protezione dei dati. Poi sarà necessario impostare un PIN per accedere all’app, con possibilità opzionale di accesso biometrico.
A questo punto potrai selezionare il tipo di metodologia preferita per la verifica dell’età, scegliendo tra sistemi di identità digitale, un provider di identità, conto corrente bancario e, in futuro, anche la lettura del passaporto. Una volta completata la verifica con lo strumento scelto, potrai accedere ai contenuti soggetti ai limiti di età.
La versione attualmente disponibile, benché non ancora pronta per l’uso in produzione, permette di esplorare e testare l’intero flusso previsto dall’architettura. Rappresenta una base concreta su cui gli Stati membri e gli sviluppatori possono lavorare per realizzare soluzioni conformi. AGCOM in Italia sta già testando questa soluzione europea, che dovrebbe essere integrata nell’app IO, il portafoglio digitale italiano già utilizzato per numerosi servizi pubblici.
È importante sottolineare che questa soluzione con l’app dedicata è da considerarsi temporanea. Verrà progressivamente dismessa una volta che nel 2026 l’EUDI Wallet, cioè il portafoglio dell’identità digitale europeo, sarà operativo e largamente adottato. A quel punto, EUDI Wallet integrerà nativamente anche la gestione di attestazioni di età, rendendo il processo più fluido e integrato nell’ecosistema dell’identità digitale europea.
Questo ponte tecnico è necessario perché i tempi del wallet europeo non coincidono con le scadenze imposte dal Decreto Caivano e dalle normative nazionali sulla protezione dei minori.
Quanto è davvero sicura la tua privacy con questo sistema
L’architettura della verifica dell’età è stata progettata secondo principi di minimizzazione dei dati, privacy by design e storage limitation. Durante il processo di verifica, viene trasmessa solo l’attestazione di età necessaria per accedere ai servizi online, senza comunicare dati personali identificativi quali nome, cognome o data di nascita.
L’attestazione è memorizzata localmente nell’app sul tuo dispositivo e viene inviata esclusivamente su richiesta di un servizio online, che può solo verificarne la validità e la firma digitale, senza collegare l’operazione a un’identità personale.
Dai documenti ufficiali non emerge alcuna previsione di trasmissione dei dati di registrazione o di utilizzo dell’app verso server esterni, né all’Unione Europea né ad autorità centrali. Non esiste, nelle specifiche tecniche, un database centralizzato degli utenti registrati, e la versione standard della White Label App non include telemetria o log di installazione inviati a soggetti terzi.
Tuttavia, va sottolineato che ogni Stato membro o fornitore privato che personalizzerà la soluzione potrà tecnicamente implementare funzionalità aggiuntive come statistiche, log o analitiche. Le linee guida europee raccomandano fortemente di evitare qualunque forma di tracciamento o centralizzazione che possa compromettere la riservatezza degli utenti, ponendo la privacy come requisito fondamentale.
La sicurezza è rafforzata dall’adozione di meccanismi crittografici avanzati come JWT (JSON Web Token), SHA-256 come funzione di hash e ZKP (Zero-Knowledge Proofs). Questo ultimo sistema consente di dimostrare il possesso di un’attestazione valida (“sono maggiorenne”) senza rivelare nessun altro dato personale.
La tecnologia utilizzata si basa sullo schema “Anonymous credentials from ECDSA”, anche se la Commissione Europea fa notare che non ha ancora una certificazione completa. Gli standard utilizzati sono sistemi aperti come OpenID4VCI, OpenID4VP e ISO mDoc per garantire interoperabilità e una futura integrazione nel sistema EUDI Wallet.
Nonostante queste garanzie tecniche, esistono alcuni rischi reali per la tua privacy. Le specifiche tecniche prevedono la possibilità per i servizi di memorizzare l’esito della verifica dell’età, associandolo a un account utente.
Questo meccanismo, pensato per evitare la richiesta ripetuta della verifica a ogni accesso, rischia però di incentivare la creazione sistematica di account anche dove attualmente non è previsto o è evitato.
Le piattaforme potrebbero spingere gli utenti a registrarsi per due motivi: venire incontro all’utente evitandogli di verificare l’età ogni volta, e accrescere il numero di utenti registrati, un dato di valore anche per gli investitori.
Questo potrebbe ridurre significativamente l’anonimato dell’utente adulto e aumentare l’esposizione a raccolta dati, tracciamento tramite email e comunicazioni indesiderate. Non va escluso che, per inesperienza o superficialità, alcuni utenti potrebbero registrarsi con nome e cognome reali, accentuando i rischi di profilazione.
La tutela dei minori trova così una risposta robusta sotto il profilo tecnico e regolatorio, ma solleva un interrogativo serio sulla privacy degli adulti: la necessità di verificare la propria età può trasformarsi nel grimaldello che spinge verso una digitalizzazione dell’esperienza sempre più identificata, anche in contesti dove l’anonimato aveva tradizionalmente un ruolo centrale.
I problemi pratici
L’implementazione concreta delle misure di verifica dell’età si sta rivelando tutt’altro che semplice. L’esperienza del Regno Unito, che ha introdotto l’Online Safety Act 2023 con misure stringenti entrate in vigore il 25 luglio 2025, offre lezioni importanti.
La legge britannica impone l’adozione di sistemi di verifica dell’età “highly effective” per l’accesso a contenuti riservati a un pubblico adulto, con sanzioni severe fino a 18 milioni di sterline o il 10% del fatturato globale per chi non si adegua.
Nonostante queste intenzioni, alcuni casi recenti hanno messo in luce come sistemi apparentemente sofisticati possano essere aggirati con estrema facilità. Emblematico è il caso dell’utilizzo del videogioco Death Stranding per superare la verifica dell’età su piattaforme come Reddit e Discord.
Alcuni utenti sono riusciti a ingannare i software di riconoscimento facciale puntando la fotocamera del proprio dispositivo su uno schermo che riproduceva il volto del protagonista del gioco, simulando le espressioni richieste per completare il processo di verifica. Il sistema, incapace di distinguere un volto digitale da uno reale, ha autorizzato l’accesso.
Questo episodio pone interrogativi seri sulla robustezza delle tecnologie implementate. Se un minore può aggirare un controllo tramite un espediente così semplice, è lecito dubitare dell’efficacia realmente “alta” richiesta dalla normativa. A ciò si aggiunge l’uso crescente di VPN da parte degli utenti per simulare la connessione da un Paese non soggetto alla regolazione, eludendo così completamente l’obbligo di verifica.
Questo fenomeno ha determinato un’impennata del traffico verso i servizi VPN nel Regno Unito subito dopo l’entrata in vigore della legge, segno evidente di un aggiramento sistemico.
Un’altra criticità emersa riguarda l’accessibilità del sistema per gli utenti meno tecnologici. Non tutti hanno uno smartphone compatibile, non tutti si sentono a proprio agio nel scaricare app e fornire dati personali, anche se protetti.
Questo potrebbe creare una barriera all’accesso per alcuni adulti, trasformando una misura di protezione dei minori in una limitazione indiretta della libertà di accesso a contenuti legali per gli adulti.
Inoltre, c’è il paradosso evidenziato da diversi esperti: qualora un minore riuscisse ad accedere al dispositivo di un adulto, potrebbe navigare tranquillamente sul sito che altrimenti gli sarebbe vietato, dato che gli basterebbe caricare la pagina web con l’account dell’adulto già loggato.
Cosa accadrà a breve?
I siti pornografici si trovano ora nella situazione di dover verificare l’età degli utenti con le forti restrizioni imposte dall’Autorità italiana, ma senza un’app già pronta a livello europeo e italiano che possa fungere da riferimento stabile.
AGCOM sta testando la soluzione europea, ma l’app definitiva non è ancora attiva per il pubblico. Questo crea una situazione di incertezza per gli operatori del settore, che devono prepararsi ma non hanno ancora strumenti definitivi da implementare.
Per i siti che ricadono nella giurisdizione immediata (Italia ed extra-UE), dal 12 novembre 2025 AGCOM ha titolo per muoversi sul piano esecutivo. Questo significa contestazione della violazione, diffida ad adeguarsi e, in caso di mancato adeguamento, ordine di inibire l’accesso al sito dall’Italia tramite blocco degli indirizzi IP da parte dei provider internet.
Per i siti con sede in altri Stati membri dell’Unione, la finestra si estende di tre mesi dalla pubblicazione della lista, quindi indicativamente febbraio 2026.
I tempi in UE rimangono incerti. La norma italiana in teoria scatta a fine anno, ma bisognerà vedere chi sarà davvero pronto per allora. L’implementazione della White Label App richiede personalizzazione, test e coordinamento con i vari stakeholder. L’integrazione nell’app IO italiana, già utilizzata per numerosi servizi pubblici, potrebbe accelerare l’adozione ma richiede sviluppo tecnico significativo.
La soluzione definitiva arriverà nel 2026 con l’EUDI Wallet, il portafoglio dell’identità digitale europeo che integrerà nativamente anche la gestione di attestazioni di età. Fino ad allora, il sistema con l’app dedicata rappresenta un ponte temporaneo. La sfida nei prossimi anni sarà coniugare efficacia e proporzionalità, evitando derive tecnocratiche e garantendo che la regolazione digitale non si traduca in una sorveglianza di massa mascherata da tutela dei minori.
È auspicabile che l’Unione Europea riesca a colmare il vuoto normativo attuale con una regolazione armonizzata che preveda criteri tecnici certificabili, garanzie giuridiche effettive e una governance multilivello che coinvolga autorità nazionali, Commissione, industrie e società civile. Solo così sarà possibile costruire un ecosistema digitale davvero sicuro, inclusivo e rispettoso dei diritti fondamentali di tutti gli utenti, minori e adulti.
