L’Online Safety Act britannico obbliga le piattaforme a identificare gli utenti: dietro ogni controllo età si nasconde un sistema di sorveglianza con regole opache su raccolta, accesso e conservazione dei dati.
Da luglio 2025, tutte le piattaforme che operano nel Regno Unito e che ospitano contenuti classificati come dannosi dall’Ofcom – il regolatore britannico delle telecomunicazioni – sono legalmente obbligate a verificare che i propri utenti abbiano almeno 18 anni. Reddit, servizi di contenuti per adulti e, più di recente, i dispositivi iPhone rientrano già nel perimetro. La domanda che in pochi si pongono è: quali dati raccolgono effettivamente le aziende durante questo processo?
A rispondere è la Electronic Frontier Foundation, che nel suo blog Deeplinks ha pubblicato una analisi dettagliata dei principali metodi di verifica dell’età in uso nel Regno Unito, mappando per ciascuno quattro variabili: i dati richiesti, chi vi ha accesso durante il processo, per quanto tempo vengono conservati e se esistono audit indipendenti a verificare le dichiarazioni dei fornitori.
Il metodo più diffuso è la stima dell’età tramite volto – un selfie o un breve video analizzato da un fornitore terzo come Yoti o Persona. Yoti dichiara di eliminare l’immagine immediatamente dopo la stima, ma la foto viene comunque caricata sui suoi server. Alcuni operatori alternativi come k-ID e Private ID elaborano il dato direttamente sul dispositivo, limitando ciò che esce dallo smartphone al solo risultato binario. EFF sottolinea che, in caso di fuga del dato, persino lo sfondo di un selfie può rivelare la posizione corrente dell’utente.
Il photo-ID matching – confronto tra un documento d’identità e una foto in tempo reale – è considerato il metodo più invasivo. Un caso citato dall’analisi riguarda Incode, fornitore usato da TikTok: la sua privacy policy non prevede cancellazione automatica dei dati al termine del processo. TikTok afferma di avviare la procedura di eliminazione per proprio conto, ma l’utente non ha garanzie dirette. EFF ricorda il caso Discord, che in passato raccoglieva documenti d’identità in un forum di assistenza generale: rimasti lì indefinitamente, furono esposti in una violazione di dati massiva. Discord ha poi abbandonato quel sistema, secondo quanto riportato da EFF.
L’open banking e le verifiche tramite carta di credito offrono in teoria una superficie di esposizione più ridotta: il servizio riceve soltanto la conferma binaria della maggiore età, senza la data di nascita completa. La carta di credito è usata soprattutto per i servizi di contenuti per adulti, dove la titolarità della carta funge da proxy dell’età. Anche in questo caso, EFF avverte che il fornitore terzo del servizio di verifica conosce sia la piattaforma a cui si sta cercando di accedere sia il dato bancario, il che consente la costruzione di profili comportamentali nel tempo.
Il filo conduttore dell’analisi è che ogni sistema di age verification è, per costruzione, un sistema di sorveglianza. I dati raccolti variano da fornitore a fornitore, le politiche di conservazione sono spesso opache, e gli audit indipendenti – quando esistono – riguardano più la conformità agli standard che la sicurezza effettiva. EFF cita come riferimento qualitativo auditor specializzati come NCC Group e Trail of Bits, ma rimarca che pochissimi servizi ricorrono a verifiche di quel livello. Il fatto che la legge imponga il controllo senza specificare standard minimi di protezione del dato scarica sull’utente l’intero onere informativo – come già avviene con altri regimi di identificazione obbligatoria online, dal KYC per i servizi AI alle banche dati biometriche private.





