|
Verifica dell’età online: da systemd al Decreto Caivano, cosa sta davvero succedendo
Tre approcci diversi alla verifica dell'età digitale: uno è un campo vuoto in Linux, uno è una legge senza infrastruttura, uno è un sistema europeo ancora in costruzione. Nessuno risolve il problema.
In questi mesi il tema della verifica dell’età online è diventato uno degli argomenti più discussi nel mondo tech. E come spesso accade, le discussioni si sono spaccate tra chi minimizza tutto e chi grida alla sorveglianza di massa. La realtà è più sfumata e più interessante.
Proviamo a fare chiarezza partendo da una notizia tecnica che ha fatto molto rumore, per poi allargare lo sguardo a quello che sta succedendo in Italia e in Europa.
Nota: questo articolo nasce dalla lettura e dal confronto di diverse fonti, tutte riportate in fondo e, a mio avviso, affidabili che suggerisco anche come lettura di approfondimento.
Il mio obiettivo è provare a spiegarlo in modo chiaro anche a chi non ha un background tecnico, evitando semplificazioni fuorvianti.
systemd e il campo che (per ora) non fa nulla
A marzo 2026 il progetto systemd, il cuore del sistema che gestisce l’avvio e i servizi nelle principali distribuzioni Linux, ha introdotto una piccola modifica nel modo in cui vengono rappresentati gli utenti.
In particolare, all’interno del sistema di gestione degli utenti di systemd (user records, utilizzati ad esempio da componenti come systemd-homed), è stato aggiunto un campo opzionale per la data di nascita.
La notizia ha subito scatenato reazioni accese. C’è chi ha parlato di sorveglianza integrata nel sistema operativo, chi ha accusato Linux di essersi piegato alle leggi sulla verifica dell’età. Lennart Poettering, il creatore di systemd, ha risposto direttamente alle critiche chiarendo che si tratta di un campo opzionale: systemd, allo stato attuale, non lo utilizza attivamente né lo richiede.
Definisce semplicemente uno schema dati standardizzato che altri programmi potrebbero, in futuro, scegliere di usare.
In parole semplici: è come aggiungere un campo “data di nascita” a un form che nessuno è obbligato a compilare, e che nessun componente standard utilizza.
Una richiesta di rimuovere la modifica è stata respinta con questa motivazione: molti stavano fraintendendo completamente lo scopo della funzione.
Il rischio reale non è systemd
Il problema non è la modifica in sé. Il problema è che un’infrastruttura, anche minima, una volta costruita può essere estesa nel tempo.
Immagina questo scenario, non attuale, ma tecnicamente plausibile: una distribuzione Linux decide di chiedere la data di nascita durante l’installazione, un’applicazione decide di leggere quel campo per limitare l’accesso a certi contenuti, e uno store di applicazioni decide di richiedere una verifica dell’età per determinate categorie.
Ognuno di questi passi sarebbe una decisione indipendente. Systemd, in questo senso, può essere visto come il primo mattone.
Oggi, come nome, email e nazione, anche la data di nascita è un campo tipicamente autocertificato e non verificato. Il punto è che il “gancio” ora esiste. Se in futuro arrivassero requisiti legali più stringenti ad esempio verifica documentale o attestazioni esterne l’infrastruttura di base su cui costruire sarebbe già presente.
Allora perché esiste?
La modifica non è ufficialmente collegata a una singola legge specifica. Si inserisce però in un contesto più ampio in cui diverse giurisdizioni tra cui alcuni stati degli Stati Uniti e il Brasile stanno introducendo requisiti di verifica dell’età per l’accesso a determinati contenuti digitali.
Systemd non è direttamente soggetto a queste normative. Tuttavia, altri componenti dell’ecosistema software potrebbero aver bisogno, in futuro, di gestire questo tipo di informazione in modo strutturato.
Il risultato è un “gancio” preparato in anticipo: un posto dove un dato potrebbe essere scritto, se e quando qualcuno ne avesse bisogno. Per ora, quel gancio non regge nulla.
L’Europa ha un piano. L’Italia ha una legge.
Mentre nel mondo Linux si discuteva di un campo facoltativo in un file di configurazione, in Europa si stava costruendo qualcosa di molto più concreto e l’Italia ha deciso di correre prima che la pista fosse pronta.
Come funziona il sistema europeo
Il tema della verifica dell’età si inserisce nel quadro di eIDAS 2.0 e dello sviluppo dell’European Digital Identity Wallet (EUDI Wallet), promosso dalla Commissione Europea insieme agli stati membri.
L’idea è semplice da capire anche senza essere tecnici.
Immagina di dover dimostrare di avere più di 18 anni per entrare in un locale. Normalmente mostri la carta di identità, rivelando molte più informazioni del necessario. Il sistema europeo punta invece a un modello diverso: un ente certificato verifica la tua identità una volta, e ti rilascia una credenziale digitale.
Quando serve, puoi usare quella credenziale per dimostrare solo un attributo specifico ad esempio, di essere maggiorenne senza rivelare il resto.
Tecnicamente, questo approccio si basa su credenziali verificabili (verifiable credentials) e meccanismi di divulgazione selettiva delle informazioni.
È progettato per fare in modo che:
- il sito non debba conoscere la tua identità completa
- l’ente che ha emesso la credenziale non sappia a quali servizi la stai presentando
Il codice di questi sistemi, almeno nelle implementazioni pilota, è pubblico e analizzabile.
Cinque paesi stanno partecipando alla fase di test nel 2025: Danimarca, Francia, Grecia, Italia e Spagna. L’obiettivo è che entro la fine del 2026 ogni stato membro disponga di un wallet digitale compatibile, anche se tempi e modalità dipendono dalle implementazioni nazionali.
L’Italia ha bruciato i tempi
L’Italia è tra i paesi pilota, ma ha fatto qualcosa di peculiare: ha introdotto un obbligo legale prima che il sistema fosse effettivamente pronto.
Il Decreto Caivano impone alle piattaforme che distribuiscono contenuti per adulti di verificare l’età degli utenti. La delibera AGCOM ha definito principi e scadenze, basandosi sul modello europeo di verifica tramite attestazioni digitali.
Il problema è che, al momento dell’entrata in vigore (novembre 2025), mancavano ancora elementi fondamentali:
- un elenco stabile di provider certificati
- standard tecnici pienamente consolidati
- interfacce (API) uniformi per l’integrazione
In pratica, una piattaforma che volesse rispettare la norma si trovava senza specifiche operative complete.
Come osservato da Francesco Cappelletti, ricercatore di cybersicurezza alla VUB e Senior Fellow all’European Liberal Forum, il problema è strutturale: l’Italia ha definito per legge un’infrastruttura prima ancora di costruirne le basi, una situazione che lo stesso autore descrive come “un affresco del Rinascimento dipinto su cartone bagnato”
La legge c’è. Il sistema che dovrebbe farla funzionare è ancora in costruzione.
Chi controlla davvero le piattaforme?
C’è un aspetto spesso frainteso: l’obbligo di adottare la verifica dell’età ricade sulle piattaforme, non sugli utenti.
Sono siti come Pornhub, Xvideos o OnlyFans a dover integrare questi sistemi. Il problema è che molte di queste piattaforme operano fuori dall’Italia, spesso fuori dall’Unione Europea.
L’AGCOM può imporre obblighi formali, ma ha capacità limitate di enforcement diretto. Lo strumento principale resta il blocco tramite provider internet italiani, lo stesso approccio utilizzato con Piracy Shield.
Questo tipo di blocco è noto per essere:
- aggirabile
- spesso impreciso
- tecnicamente fragile
E qui entra la VPN. Una VPN può aggirare un blocco a livello di rete, facendo apparire la connessione come proveniente da un altro paese.
È importante distinguere: una VPN aggira il blocco ISP, non il meccanismo di verifica dell’età in sé.
Se una piattaforma integra davvero un sistema di verifica e lo applica a tutti gli utenti, indipendentemente dalla loro posizione geografica, la VPN non elimina la necessità di verifica. Serve solo a bypassare eventuali blocchi nazionali.
Il risultato pratico è che il sistema tende a funzionare soprattutto per le piattaforme che scelgono di adeguarsi o che sono soggette a giurisdizioni più stringenti. Per le altre, si torna ai limiti già noti del blocco a livello di rete.
Conclusione: l’infrastruttura si costruisce comunque
Mettendo insieme tutti questi element, emerge un punto comune.
Systemd introduce uno spazio dati che oggi non viene utilizzato attivamente. L’Europa costruisce un sistema tecnicamente avanzato per dimostrare attributi senza rivelare identità, ma la cui efficacia dipende dall’adozione reale. L’Italia adotta lo stesso approccio, ma anticipa i tempi rispetto alla maturità dell’infrastruttura.
Nessuno di questi elementi, preso singolarmente, risolve davvero il problema che dichiara di affrontare. Un minorenne determinato troverà sempre modi per aggirare i controlli, come è sempre accaduto.
Ma tutti contribuiscono a costruire qualcosa che prima non esisteva: l’idea e progressivamente l’infrastruttura per cui l’accesso a certi contenuti richiede una forma di attestazione dell’identità o dell’età.
Oggi questa infrastruttura è frammentata, incompleta e piena di limiti. Ma le infrastrutture raramente nascono complete: nascono parziali, e diventano difficili da evitare nel tempo.
La domanda, quindi, non è solo se questi sistemi funzionano oggi. È quanto diventerà difficile farne a meno, se un giorno funzionassero davvero.
Fonti:
- Systemd’s New Feature Brings Age Verification Option to Linux — It’s FOSS, marzo 2026
- Italy’s SPID Games Law: When the State Wants Your ID To Remove Your Independence Online — European Liberal Forum, dicembre 2025
- Rep. Finke Was Right: Age-Gating Isn’t About Kids, It’s About Control — EFF, marzo 2026
