Ogni legge che richiede documenti per navigare costruisce l’infrastruttura che i regimi useranno domani
Al Congresso federale americano, il KIDS Act ha superato la Camera dei Rappresentanti con 267 voti favorevoli e 117 contrari il 30 giugno 2026, ed è ora in attesa di esame al Senato, dove le sue prospettive restano incerte. La proposta – che, secondo l’analisi dell’EFF, spingerà di fatto i servizi online a verificare l’età di tutti gli utenti su larga parte del web – è accompagnata da un paradosso esplicito: il testo include una clausola che afferma di non imporre la verifica dell’età, ma la struttura di responsabilità del “avrebbe dovuto sapere” che l’utente fosse minorenne farà sì che la maggior parte delle piattaforme preferirà verificare l’identità di tutti pur di evitare il rischio legale. Nello stesso periodo, la California ha fatto un passo indietro su un’espansione della propria legge di age-gating (la Digital Age Assurance Act, AB 1043), dopo che la pressione civile e le obiezioni costituzionali avevano reso la traiettoria politicamente costosa. I due movimenti, uno in avanzata e uno in ritirata, offrono oggi un confronto diretto tra la logica legislativa che produce queste leggi e la resistenza che le rallenta.
La domanda a cui nessun sostenitore di queste norme riesce a rispondere in modo soddisfacente è questa: chi custodisce il registro? Ogni sistema di verifica dell’età obbligatoria richiede un’infrastruttura tecnica che raccolga, confronti e archivi dati identificativi degli utenti. Quella infrastruttura, una volta costruita, esiste indipendentemente dallo scopo dichiarato. Le intenzioni dei legislatori californiani o del Congresso americano possono essere sincere; l’architettura che producono resta disponibile per usi futuri che i legislatori di oggi non possono autorizzare né vietare in anticipo, perché non controlleranno le istituzioni di domani.
La Electronic Frontier Foundation ha documentato con precisione il meccanismo: le leggi di age-gating obbligatorio trasformano ogni sito web in un checkpoint identitario, e i dati raccolti dai sistemi di verifica – gestiti da terze parti private o da enti pubblici – diventano bersagli per data breach, richieste governative di accesso e aggregazione commerciale. L’EFF ha esplicitamente invitato il Senato a respingere il KIDS Act (EFFector 38.13), segnalando che la struttura del disegno di legge produrrebbe esattamente questo tipo di infrastruttura di controllo identitario su scala nazionale, perché le piattaforme saranno spinte a verificare tutti gli utenti per ridurre il rischio di responsabilità legale. Il passo indietro californiano, per quanto parziale, dimostra che questa pressione può produrre correzioni di rotta, ma il quadro normativo preesistente in California (AB 1043) rimane intatto.
Il parallelo finanziario chiarisce la logica architetturale. Il KYC bancario è stato introdotto per combattere il riciclaggio di denaro: un obiettivo presentato come urgente, circoscritto, proporzionato. Quello che ha prodotto è una rete capillare di sorveglianza finanziaria che registra ogni transazione, identifica ogni utente, e fornisce agli stati un accesso permanente ai comportamenti economici della popolazione. L’espansione europea con DAC8 ha esteso questo schema alle criptovalute: la direttiva – in vigore dal 1° gennaio 2026 – impone agli operatori di crypto-asset obblighi di due diligence e raccolta dati sull’identità degli utenti (de facto KYC) ai fini della comunicazione automatica alle autorità fiscali. Stessa logica, stesso meccanismo, nuovi bersagli. Il KYC dell’identità digitale è la versione applicata all’accesso all’informazione.
Chi difende queste leggi risponde invariabilmente con la stessa obiezione: “i bambini vanno protetti“, o “l’evasione va combattuta”. La protezione dei minori è un obiettivo politico legittimo; la verifica d’identità obbligatoria su scala nazionale è uno strumento sproporzionato che persegue quell’obiettivo producendo esternalità permanenti. La protezione dei minori online è perseguibile con strumenti alternativi – controlli parentali, responsabilità civile dei gestori di piattaforma, educazione digitale – che non richiedono di costruire un passaporto digitale per ogni utente adulto.
La stessa retorica protettiva accompagna regolarmente le espansioni di sorveglianza in ambito finanziario e comunicativo. Chat Control, la proposta europea che consente la scansione dei messaggi privati, è stata difesa con argomenti identici – la protezione dei minori dall’abuso – come ha riportato Atlas21 seguendo il processo di ripristino avviato dal Consiglio UE e concluso con la reintroduzione in vigore fino al 2028: il Parlamento europeo, pur con 314 voti contrari su 276 favorevoli, non ha raggiunto la maggioranza assoluta necessaria (361 voti) per bloccarla, determinando il ripristino automatico della normativa.
Il movimento californiano verso il ritiro parziale dimostra un punto importante: la resistenza civile e legale funziona. Le obiezioni costituzionali al primo emendamento, sollevate da organizzazioni come l’EFF, hanno reso politicamente costoso procedere con l’espansione. Lo stesso schema ha bloccato o rallentato leggi analoghe in diversi stati americani, dove i tribunali hanno giudicato che i requisiti di verifica dell’età impongono oneri sproporzionati alla libertà di espressione degli adulti – come nel caso della legge texana sulle piattaforme pornografiche, inizialmente bloccata per incostituzionalità ai sensi del Primo Emendamento, e in quello delle leggi di svariati altri stati vetonate o impugnate su basi analoghe. Il diritto di leggere senza identificarsi è una costola della libertà di espressione – un principio che le corti americane hanno storicamente tutelato con più vigore di quanto non facciano le istituzioni europee, figuriamoci con le CBDC.
Il KIDS Act federale, ora al Senato dopo essere passato alla Camera, prova a standardizzare su scala nazionale ciò che gli stati singoli hanno faticato a imporre senza incorrere in censure giudiziarie. L’ambizione è proporzionale al problema che crea: una legge federale produce un’infrastruttura federale, con obblighi di compliance che ricadono su ogni operatore web americano e con un sistema di verifica che, nella migliore delle ipotesi, è gestito da soggetti privati privi di accountability pubblica, e nella peggiore è accessibile direttamente dallo stato. La risposta del mercato alle regolamentazioni identitarie stringenti tende a essere la disintermediazione, distribuita però in modo asimmetrico: avvantaggia chi ha già risorse e competenze tecniche, e lascia tutti gli altri dentro il sistema di controllo.
La domanda che rimane aperta, e a cui nessun disegno di legge risponde, è semplice: quando un’infrastruttura di identificazione digitale universale viene costruita per proteggere i bambini di oggi, chi decide per quali scopi potrà essere usata sui cittadini di domani?





