C’è un pattern che si ripete nella storia del potere, e se hai un minimo di memoria storica lo riconosci al volo. Dopo l’11 settembre il pretesto era il terrorismo: in nome della sicurezza nazionale, governi di mezzo mondo hanno costruito il più grande apparato di sorveglianza di massa mai concepito — intercettazioni globali, raccolta sistematica di metadati, backdoor nei sistemi di comunicazione. Ci sono voluti anni e un whistleblower chiamato Edward Snowden perché qualcuno capisse la portata del disastro. Adesso il pretesto è cambiato, ma il meccanismo è identico: proteggere i minori. Chi oserebbe opporsi? Ed è esattamente questa la forza retorica dell’operazione, il suo genio politico. Quando qualcuno ti dice «lo facciamo per i bambini», la conversazione è già finita prima di cominciare — sei automaticamente dalla parte sbagliata se osi sollevare obiezioni. Non importa quanto siano fondate.
Nel 2026 la verifica dell’età online non è più un esperimento confinato a qualche sito pornografico o una proposta che langue in commissione: è diventata una valanga legislativa globale. Dal KOSA negli Stati Uniti alla delibera AGCOM in Italia, dal ban australiano per gli under 16 all’Online Safety Act britannico, decine di governi stanno costruendo — in parallelo e con una fretta che dovrebbe insospettirti — un’infrastruttura di identificazione digitale permanente. Il risultato è tanto prevedibile quanto devastante: ogni piattaforma che ti chiede di dimostrare quanti anni hai genera un archivio di chi la visita, quando e da dove. La privacy e l’anonimato online stanno morendo non per mano di hacker o cybercriminali, ma di legislatori che agitano lo spettro dei bambini in pericolo per costruire checkpoint d’identità dove prima esisteva libertà di movimento. E come sempre quando il potere si muove all’unisono su scala globale, la domanda che nessuno vuole sentirsi fare è: chi beneficia davvero di tutto questo?
Dal KOSA all’AGCOM: la macchina globale dell’identificazione
Partiamo dagli Stati Uniti, perché è lì che la macchina legislativa sta girando a pieno regime e il quadro è più complesso — e più inquietante — di quanto la copertura giornalistica lasci intuire. Il Kids Online Safety Act (KOSA) è stato reintrodotto al Congresso come S.1748, e anche se il testo originale non impone esplicitamente la verifica dell’età, il pacchetto legislativo che gli ruota attorno va molto oltre. Il KIDS Act del deputato Gus Bilirakis, introdotto a dicembre 2025, include mandati espliciti di age verification per l’accesso a contenuti maturi e controlli rigorosi sugli account dei minori. La senatrice Marsha Blackburn ha rilanciato con il TRUMP AMERICA AI Act — un nome che è già un programma — che fonde l’abrogazione della Section 230, la responsabilità per i sistemi AI e l’obbligo di verifica dell’età in un unico pacchetto. Non è un caso che la pressione dei miliardari tech sul Congresso abbia raggiunto livelli senza precedenti: la posta in gioco non è la sicurezza dei minori, è il controllo dell’intera architettura normativa di internet. A febbraio 2026 la FTC ha emesso un policy statement su COPPA che incentiva esplicitamente le tecnologie di age verification, mentre un disegno di legge bipartisan Graham-Durbin propone di far tramontare la Section 230 entro il 1° gennaio 2027 — un ricatto legislativo neanche troppo velato per costringere le piattaforme a negoziare condizioni che includono, guarda caso, sistemi di identificazione obbligatoria degli utenti.
L’Italia non sta a guardare, anzi gioca d’anticipo con l’entusiasmo tipico di chi non capisce la tecnologia ma adora regolamentarla. La delibera 96/25/CONS dell’AGCOM ha reso obbligatoria la verifica dell’età per l’accesso ai siti pornografici attraverso strumenti come SPID, CIE o passaporto elettronico. L’obbligo è entrato in vigore il 12 novembre 2025 per i siti con sede in Italia e dal 1° febbraio 2026 per quelli basati nell’Unione Europea, con l’estensione ai siti extra-UE che operano nel mercato italiano. Chi non si adegua rischia sanzioni fino a 250.000 euro. Il sistema promette un principio di «doppio anonimato»: il fornitore di verifica non conosce il sito di destinazione, il sito non riceve dati identificativi dell’utente. Sulla carta suona ragionevole, quasi elegante. Nella pratica, stai comunque consegnando il tuo documento d’identità digitale governativo a un intermediario certificato che lo processa, lo valida e — ci giurano — lo cancella subito dopo. Se ti fidi, buon per te. Chi ha seguito il caso Piracy Shield e i suoi danni collaterali sa quanto l’AGCOM sia affidabile nel gestire infrastrutture tecnologiche complesse.
Dall’altra parte del mondo, l’Australia ha scelto la strada più brutale e diretta. Dal 10 dicembre 2025, l’Online Safety Amendment vieta agli under 16 di avere account su Facebook, Instagram, TikTok, X, Reddit, Snapchat, YouTube e altre piattaforme. Multa massima per le aziende inadempienti: 49,5 milioni di dollari australiani. Il bilancio a quattro mesi dall’entrata in vigore? Circa 4,7 milioni di account rimossi o limitati entro marzo 2026, con altri 300.000 bloccati successivamente. Numeri impressionanti — fino a quando non scopri che i ragazzini aggirano il ban con una facilità imbarazzante. Il rapporto dell’eSafety Commissioner ha rivelato che cinque piattaforme sono sotto indagine perché i loro stessi sistemi guidavano gli utenti minorenni a «correggere» la propria età attraverso verifiche a bassa affidabilità. In pratica, un quattordicenne che si dichiarava minorenne veniva invitato dalla piattaforma a riprovare con una stima facciale dell’età — una tecnologia notoriamente imprecisa nella fascia 14-17 anni, cioè esattamente la fascia che si vorrebbe proteggere. Il risultato netto dell’operazione: gli unici davvero colpiti sono gli adulti che perdono l’anonimato, mentre i minori continuano a navigare esattamente come prima.
Il quadro che emerge è inequivocabile e non serve una laurea in scienze politiche per leggerlo. Paesi con sistemi politici, culture giuridiche e tradizioni diverse stanno convergendo sulla stessa soluzione: richiedere a ogni persona che naviga online di dimostrare la propria identità. Non è una coincidenza e non è nemmeno una risposta spontanea a un’emergenza reale — i danni ai minori online esistono, certo, ma la letteratura scientifica è tutt’altro che unanime sull’efficacia degli age gate come strumento di protezione. È una scelta politica coordinata, che risponde a un’esigenza precisa dei governi: sapere chi fa cosa su internet. Mettiamola così — la verifica dell’età è il cavallo di Troia per trasformare la rete da spazio pseudonimo a spazio completamente identificato, e il termine «cavallo di Troia» non è un’iperbole retorica, è una descrizione tecnica di come funziona questa strategia.
Ogni database di identità è una bomba a orologeria
Se vuoi capire perché la verifica dell’età è un disastro di sicurezza annunciato, il caso Discord è il punto di partenza obbligato e il più istruttivo. Nell’ottobre 2025 il gruppo cybercriminale Scattered LAPSUS$ Hunters ha compromesso 5CA, il fornitore esterno di assistenza clienti di Discord, e ha messo le mani su almeno 70.000 immagini di documenti d’identità governativi — passaporti, patenti, carte d’identità — usati dagli utenti per la verifica dell’età. Gli attaccanti sostengono di aver rubato 1,5 terabyte di dati da 5,5 milioni di utenti, incluse oltre 2,1 milioni di foto di documenti. Discord contesta le cifre, definendole una tattica di estorsione — ma anche la stima più conservativa è un disastro di proporzioni enormi: 70.000 documenti d’identità governativi, con nome, cognome, foto, data di nascita e numero di documento, nelle mani di criminali. E sai cosa ha fatto Discord dopo il breach? Ha annunciato a febbraio 2026 — quattro mesi dopo, con i cocci ancora per terra — che avrebbe esteso la verifica dell’età a tutti i suoi 200 milioni di utenti attivi mensili, richiedendo una scansione facciale o un documento d’identità attraverso un nuovo fornitore, k-ID. La community è esplosa, e a ragione. La definizione di insanità, come dicono gli americani, è fare la stessa cosa aspettandosi risultati diversi.
Il caso Discord non è un’eccezione, è la regola scritta nella logica stessa di questi sistemi. A febbraio 2026, i ricercatori di Malwarebytes hanno scoperto che Persona — uno dei vendor di verifica dell’identità più utilizzati al mondo, quello che gestisce le verifiche per Discord e decine di altre piattaforme — aveva lasciato esposto il proprio frontend. Ma il dettaglio che dovrebbe toglierti il sonno non è la vulnerabilità in sé: è quello che il software di Persona è capace di fare. Duecentosessantanove controlli di verifica distinti. Riconoscimento facciale incrociato con watchlist governative e di persone politicamente esposte. Screening di «media avversi» su 14 categorie tra cui terrorismo e spionaggio. Assegnazione automatica di punteggi di rischio e similarità. Questa non è verifica dell’età. È un’infrastruttura di sorveglianza con capacità da agenzia di intelligence, mascherata da servizio di compliance normativa. E l’unica ragione per cui questi strumenti esistono con queste capacità è che i dati di identità hanno un valore enorme — per chi li vende, per chi li compra e per chi li ruba.
Torniamo al «doppio anonimato» dell’AGCOM, perché merita un’analisi più cinica di quella che trovi nei comunicati stampa dell’autorità. Il meccanismo funziona così: un ente certificato verifica la tua identità tramite SPID o CIE, poi genera un token anonimo che conferma solo la tua età. Il sito di destinazione riceve il token, non i tuoi dati personali. In teoria, nessuno sa chi sei e cosa guardi. In pratica, il nodo critico è talmente ovvio che viene da chiedersi se sia intenzionale: l’ente certificato conosce tutto. Sa chi sei perché ha il tuo SPID, sa quando hai chiesto la verifica, e da quell’orario e quei metadati di connessione può ricostruire con ragionevole certezza dove stavi andando. Bastano i log di connessione, un ordine del giudice — o un data breach come quello di Discord. E anche senza scenari catastrofici, stai normalizzando un’infrastruttura in cui per accedere a contenuti perfettamente legali devi prima autenticarti con un’identità governativa. Oggi è per il porno, domani per i social, dopodomani per qualsiasi contenuto che un legislatore decida di etichettare come «potenzialmente dannoso». Più di 370 scienziati hanno firmato un appello contro le verifiche d’identità e il riconoscimento facciale online, avvertendo che queste tecnologie uccidono l’anonimato e abilitano misure di sorveglianza senza precedenti. Non sono complottisti: sono ricercatori che sanno leggere un’architettura di sistema e vedono esattamente dove porta.
C’è poi la questione del bias algoritmico, che nessuno sembra voler affrontare seriamente perché incrina la narrazione del «progresso tecnologico al servizio della sicurezza». La tecnologia di stima dell’età facciale — quella che Discord, l’Australia e mezza Europa vogliono usare come alternativa «meno invasiva» al documento d’identità — è sistematicamente meno accurata per le donne e per le persone nere, asiatiche, indigene e del sud-est asiatico. Lo dicono studi ripetuti e indipendenti: questi sistemi classificano erroneamente adulti come minorenni, richiedono tempi di elaborazione più lunghi, e creano barriere d’accesso diseguali basate sulla razza e sul genere. La cosa diventa ancora più grottesca se consideri che queste stesse tecnologie sono facilmente aggirabili con attacchi di presentazione banali — una foto stampata, una maschera liscia per simulare pelle giovane. Detto senza mezzi termini: la verifica dell’età non solo distrugge la privacy di tutti, ma lo fa in modo razzista e classista, colpendo di più chi è già marginalizzato. Se ti sembra un prezzo accettabile per «proteggere i minori» che nel frattempo continuano a bypassare i controlli con una VPN da tre euro al mese, forse dovresti chiederti chi stai davvero proteggendo — e da cosa.
L’anonimato non è un bug: è il diritto che tiene in piedi la rete
ARTICLE 19, l’organizzazione internazionale per la libertà di espressione, lo afferma senza ambiguità: la protezione dell’anonimato è una componente vitale del diritto alla libertà di espressione e del diritto alla privacy. L’Electronic Frontier Foundation, che da anni combatte in prima linea contro i mandati di age verification, definisce queste leggi come una minaccia che «mina i diritti fondamentali di parola di adulti e giovani, crea nuove barriere all’accesso a internet, e mette a rischio la privacy, l’anonimato e la sicurezza di tutti gli utenti della rete». Non sono posizioni radicali — rappresentano il consenso delle organizzazioni che da decenni difendono i diritti digitali in tribunale e nelle sedi legislative. L’anonimato online non è un difetto da correggere, un residuo dell’internet delle origini di cui liberarsi per maturare. È la caratteristica che permette a un dissidente in Iran di organizzarsi senza finire in carcere, a un adolescente LGBT in un paese omofobo di cercare supporto senza rischiare la vita, a un lavoratore sfruttato di denunciare la sorveglianza algoritmica del proprio datore di lavoro senza ritorsioni. Sappiamo già cosa succede quando le agenzie governative accedono ai dati personali senza controlli: li usano per sorvegliare, schedare e reprimere, non per proteggere.
Il parallelo con il post-11 settembre non è retorico, è strutturale — e chi lo ignora è condannato a ripeterne gli errori. Il Patriot Act doveva essere temporaneo: un’emergenza, ci dissero, che richiedeva poteri straordinari per un periodo limitato. Venticinque anni dopo, l’infrastruttura di sorveglianza costruita su quel pretesto non solo è permanente, ma si è espansa in modi che i suoi stessi architetti non avevano immaginato — dalla raccolta massiva di metadati telefonici al riconoscimento facciale nelle strade, dalla sorveglianza dei social media all’acquisto di dati di localizzazione da data broker commerciali. La stessa identica traiettoria si sta disegnando con la verifica dell’età. Oggi ti chiedono il documento per vedere un sito pornografico. Domani per accedere a un social network — l’Australia è già a questo stadio. Dopodomani per commentare un articolo, leggere un blog, postare un’opinione su un forum. Ogni nuova categoria di «contenuto potenzialmente dannoso per i minori» diventa un nuovo checkpoint d’identità. E i checkpoint, nella storia, non vengono mai smontati: l’infrastruttura tecnica della verifica — i database, i fornitori certificati, i protocolli, le API — è permanente, riutilizzabile, espandibile. Chi controlla quell’infrastruttura controlla l’accesso all’informazione.
La domanda che questo articolo dovrebbe incidere nella tua mente è: chi beneficia davvero dalla fine dell’anonimato? Non i minori, che aggirano i controlli in cinque minuti con una VPN, un’app di spoofing o la carta d’identità del fratello maggiore. Beneficiano gli stati, che ottengono gratuitamente un’infrastruttura di identificazione digitale che non avrebbero mai potuto costruire con fondi pubblici e tantomeno con il consenso popolare — l’unico modo per far accettare un documento d’identità obbligatorio su internet è farlo «per i bambini», qualsiasi altra giustificazione sarebbe respinta come autoritaria. Beneficiano le aziende tech, paradossalmente quelle stesse che fingono di opporsi: l’identità verificata è il sogno bagnato di ogni dipartimento di advertising, perché conoscere con certezza chi è il tuo utente vale molto di più dei profili probabilistici costruiti con i cookie. Beneficiano le forze dell’ordine, che su quei database potranno fare polizia predittiva e sorveglianza retroattiva con una precisione mai vista prima. Chi non beneficia è chiunque abbia bisogno dell’anonimato per esprimersi, per protestare, per organizzarsi, per esistere in uno spazio che non lo giudica e non lo scheda.
Le alternative tecniche esistono e sono concrete, ma richiedono una volontà politica che va in direzione diametralmente opposta rispetto a quella attuale. Protezioni basate sul design — interfacce age-appropriate di default, contenuti filtrati lato piattaforma senza identificare l’utente — funzionano senza schedare nessuno e il KOSA originale andava timidamente in questa direzione prima di essere travolto dal pacchetto securitario. Sistemi di verifica lato client, dove il controllo avviene interamente sul dispositivo dell’utente senza trasmettere alcun dato a server esterni, sono tecnicamente fattibili già oggi. Soluzioni basate su crittografia zero-knowledge permettono di dimostrare matematicamente di avere più di 18 anni senza rivelare chi sei, dove vivi o quale documento possiedi. Il software libero e le alternative open source alle big tech — da Tor ai protocolli federati come ActivityPub — rappresentano l’infrastruttura già pronta per un internet che protegge senza sorvegliare. Ma nessuna di queste soluzioni interessa a chi legifera, e il motivo è trasparente: nessuna produce il vero output desiderato, che non è la sicurezza dei minori ma un database centralizzato di identità collegate a comportamenti online. L’unica alternativa reale, come sempre, resta costruire dal basso — fuori dal loro controllo, fuori dai loro server, fuori dalla loro giurisdizione.
La narrazione dominante vuole convincerti che la scelta è binaria: o accetti la verifica dell’età, o sei complice dello sfruttamento dei minori. È una trappola retorica vecchia come il potere, e funziona ogni volta perché fa leva sull’emozione più forte — la protezione dei bambini — per disattivare il pensiero critico. La verità è un’altra e va detta con chiarezza. Puoi volere la protezione dei minori online e rifiutare che ogni adulto debba consegnare la propria identità per navigare. Puoi pretendere design più sicuro, educazione digitale seria, responsabilità delle piattaforme — senza accettare che ogni tuo clic venga registrato in un database governativo o aziendale. L’anonimato su internet non è mai stato un problema da risolvere. È stato, sin dal primo giorno, la sua promessa più radicale: uno spazio dove chi sei conta meno di cosa hai da dire. Stanno smontando quella promessa un checkpoint alla volta, e il documento d’identità che ti chiedono oggi non te lo restituiranno domani.