Piattaforme digitali e tutela dei minori: in Italia identificazione e autenticazione attraverso soggetti terzi

Approvato dall’Agcom lo schema di regolamento che disciplina le modalità tecniche e di processo per l’accertamento della maggiore età degli utenti (age assurance, ovvero “garanzia dell’età” talvolta indicato come age verification), in attuazione di quanto previsto dal decreto Caivano.

Il provvedimento è il risultato della consultazione pubblica avviata nei mesi scorsi, a cui hanno partecipato 13 soggetti (tra i quali altre istituzioni, associazioni di categoria e di consumatori, piattaforme di condivisione video), previa acquisizione del parere favorevole del Garante per la protezione dei dati personali. Lo schema di regolamento è notificato alla Commissione europea per l’ultimo vaglio.

Indice degli argomenti

Il Digital Services Act

La normativa vigente – anche specificamente riferita al ruolo dell’Autorità – richiama l’esigenza di meccanismi di age verification, stabilendo che i minori hanno diritto a un livello più elevato di protezione dai contenuti che potrebbero nuocere al loro sviluppo fisico, mentale o morale anche introducendo misure più rigorose nei confronti di ogni servizio della società dell’informazione. La Commissione europea sostiene e promuove l’attuazione di norme mirate alla tutela dei minori online e l’articolo 28 del Dsa (Digital Services Act) richiede che tutti i fornitori di piattaforme online adottino misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori, anzitutto mediante l’attivazione dei meccanismi di verifica dell’età. Inoltre, in base a quanto previsto dal Dsa, i fornitori di piattaforme online di dimensioni “molto grandi” e di motori di ricerca online di dimensioni “molto grandi” devono adottare misure di attenuazione dei rischi sistemici, tra cui “misure mirate per tutelare i diritti dei minori, compresi strumenti di verifica dell’età e di controllo parentale, o strumenti volti ad aiutare i minori a segnalare abusi od ottenere sostegno, a seconda dei casi”.

Il principio del doppio anonimato

Al quadro europeo si aggiungono i poteri specificamente assegnati ad Agcom dal Testo Unico sui Servizi Media Audiovisivi (Tusma) a tutela dei minori (articoli 41 e 42), rispetto a contenuti che possano nuocere al loro sviluppo fisico, mentale o morale. In tale contesto normativo, e in applicazione di quanto richiesto dal decreto Caivano, al fine di garantire il requisito della riservatezza “rafforzata” le specifiche dell’Autorità prevedono un sistema di verifica dell’età che utilizzi il modello del “doppio anonimato”, in cui non si deve consentire ai fornitori di prova della maggiore età di sapere per quale servizio viene eseguita la verifica dell’età, che due prove di maggiore età provengono dalla stessa fonte di prova dell’età, che un utente ha già utilizzato il sistema di verifica.

In funzione di tale requisito, il sistema proposto da Agcom prevede l’intervento, per la fornitura della prova della maggiore età, di soggetti terzi indipendenti certificati, attraverso un processo di verifica dell’età che prevede due passaggi logicamente separati: identificazione e autenticazione della persona identificata, per ciascuna sessione di utilizzo del servizio regolamentato (cioè, la fornitura di contenuti pornografici tramite sito o piattaforma web).

Quindi, nel caso di sistemi di verifica dell’età non basati su applicativi installati nel terminale utente, un processo di verifica dell’età deve essere diviso in tre fasi distinte: in primo luogo, l’emissione, ad esempio mediante accesso a un sito web tramite browser, di una “prova dell’età”, a seguito della identificazione, rilasciata da diversi soggetti, indipendenti dal fornitore di contenuti, che conoscono l’utente di Internet, siano essi fornitori di servizi specializzati nella fornitura di identità digitale, o un’organizzazione o soggetto che ha identificato l’utente di Internet in un altro contesto. Il soggetto che fornisce la “prova dell’età” non è conoscenza dell’utilizzo che l’utente ne farà e deve essere certificato da un’apposita Autorita’ al fine di avere garanzie sul sistema di identificazione usato. E ancora: la comunicazione della prova dell’età solo all’utente che poi la presenterà al sito o piattaforma visitata.

La “prova dell’età” può essere, ad esempio, scaricata direttamente dall’utente attraverso il sito web del soggetto certificatore e poi inviata, sempre dall’utente via web, al sito o piattaforma visitata. Il sito o la piattaforma visitata dall’utente analizza la prova dell’età presentata e fornisce o meno l’accesso al contenuto richiesto (autenticazione).

Nel caso di sistemi di “age assurance” basati sull’uso di applicativi installati sul dispositivo, il soggetto terzo che fornisce la prova dell’età mette a disposizione dell’utente una app per la certificazione e la generazione della “prova dell’età”.

L’utente può quindi effettuare l’autenticazione e fornire la prova dell’età al sito web o piattaforma visitata, direttamente utilizzando l’appinstallata sul proprio dispositivo e il servizio presente nella piattaforma/sito web deputato a tale scopo. Le piattaforme online di dimensioni molto grandi, come definite dal Dsa (Digital Services Act), che impongono agli utenti di autenticarsi per accedere ai servizi online, dovranno accettare anche l’uso dei portafogli europei di identità digitale, anche per quanto riguarda gli attributi minimi necessari per lo specifico servizio online per il quale è richiesta l’autenticazione, come la prova dell’età.

Approccio tecnologicamente neutrale

Agcom non ha fornito ulteriori dettagli, ma ha adottato un approccio tecnologicamente neutrale, che lascia ai soggetti tenuti alla realizzazione dei processi di age assurance, ossia i soggetti regolamentati, una ragionevole libertà di valutazione e scelta, stabilendo tuttavia i principi e i requisiti che devono essere soddisfatti dai sistemi introdotti.

Tra questi la “proporzionalità”, che fa riferimento alla ricerca del “giusto equilibrio” tra i mezzi utilizzati per la verifica dell’età e il suo impatto sulla limitazione dei diritti delle persone, la “riservatezza”, per cui i sistemi di age assurance implementati devono essere conformi alle norme e ai principi di protezione dei dati stabiliti dal Gdpr e, pertanto, non sono consentiti sistemi di garanzia dell’età che comportano il trattamento e la gestione di dati personali come, ad esempio, i dati riportati sui documenti di identità, l’immagine fotografica o video dell’utente, le informazioni del titolare della carta di credito, la profilazione degli utenti e, in generale, la raccolta di altre informazioni di carattere personale degli utenti.

Quanto poi al requisito della “sicurezza”, il sistema deve tener conto di possibili attacchi informatici rispetto ai quali deve prevedere misure di sicurezza informatica sufficienti a mitigare i rischi e a evitare i tentativi di elusione, mentre per il requisito “precisione ed efficacia”, il sistema deve essere efficace in termini di contenimento dell’errore nella determinazione dell’età. Il processo deve avvenire ad ogni consultazione del sito web/piattaforma di video sharing che diffonde contenuti pornografici. La validità di una verifica dell’età deve quindi cessare nel momento in cui l’utente esce dal servizio, ovvero quando termina la sessione, quando l’utente esce dal browser o quando il sistema operativo entra in stand-by e, comunque, dopo un periodo di 45 minuti di effettiva inattività.

I sistemi di garanzia dell’età devono essere facili da usare e basati sulle capacità e caratteristiche dei minori, ed è contemplato anche il requisito di “inclusività e non discriminazione”: il criterio in questione fa riferimento alla capacità del sistema di garanzia dell’età di evitare o minimizzare pregiudizi non intenzionali e risultati discriminatori nei confronti degli utenti. Per quanto riguarda la “trasparenza”: i soggetti regolamentati dovrebbero essere trasparenti nei confronti degli utenti per quanto riguarda i sistemi e i dati trattati e le finalità, mediante spiegazioni semplici, chiare e complete oltre che per maggiorenni anche per i minorenni, mentre su “formazione e informazione”, l’Autorità ritiene importante informare e sensibilizzare i minori, i genitori, il personale della comunità educativa e della gestione giovanile sulle buone pratiche informatiche, sui rischi connessi a Internet.

Infine, la “gestione dei reclami”: il fornitore dei servizi di age assurance deve prevedere almeno un canale per acquisire e gestire, tempestivamente, i reclami in caso di errate decisioni sull’età. L’Agcom – conclude la nota – ritiene che le modalità tecniche che si adottano con questo provvedimento siano altamente raccomandate con riferimento a ulteriori tipologie di contenuti, oltre a quelli a carattere pornografico, che potrebbero comunque nuocere allo sviluppo fisico, mentale o morale dei minori. L’Autorità avvierà anche un tavolo tecnico di monitoraggio e analisi delle evoluzioni tecniche, normative e regolamentari in materia di sistemi di age assurance.

Autore del post: CorCom Fonte: https://www.corrierecomunicazioni.it/ Continua la lettura su: https://www.corrierecomunicazioni.it/digital-economy/piattaforme-digitali-e-tutela-dei-minori-in-italia-identificazione-e-autenticazione-attraverso-soggetti-terzi/

Il Ministero delle Pari Opportunità finanzia il tuo corso digitale

Dipartimento Pari Opportunità

Chiedi tutte le informazioni a genitoridigitali@koinokalo.it

Partecipa ai corsi gratuiti

Articoli Correlati

Targeting comportamentale: così le aziende “pilotano” le nostre scelte online

La raccolta dati e il targeting comportamentale sono strumenti essenziali per le imprese, ma sollevano importanti questioni di privacy e conformità normativa. Esploriamo le metodologie di raccolta dati, le tecniche di targeting comportamentale, le implicazioni giuridiche e le sfide etiche, evidenziando la necessità di un equilibrio tra innovazione e tutela dei diritti
L’articolo Targeting comportamentale: così le aziende “pilotano” le nostre scelte online proviene da Agenda Digitale.

AI Act e Gdpr: come si integrano le norme sulla protezione dei dati

L’AI Act regolamenta in maniera organica lo sviluppo, l’immissione sul mercato e l’uso dei sistemi di intelligenza artificiale. La disciplina della protezione dei dati personali resta però primariamente affidata al GDPR. In questo quadro normativo, la compliance in materia di data protection nel contesto dell’intelligenza artificiale presenta molteplici e sfidanti questioni interpretative
L’articolo AI Act e Gdpr: come si integrano le norme sulla protezione dei dati proviene da Agenda Digitale.