La verifica dell'età online torna al centro del dibattito tecnologico e normativo europeo, questa volta con conseguenze concrete per due dei social network più popolari tra i giovani. Reddit e Discord si trovano entrambi coinvolti in una controversia legata all'utilizzo dello stesso servizio di terze parti per la verifica dell'identità degli utenti, con esiti molto diversi: una multa milionaria per la prima piattaforma e una rivolta degli utenti per la seconda. Il caso mette in luce le profonde tensioni tra sicurezza dei minori online, protezione della privacy e responsabilità delle piattaforme digitali.
L'Information Commissioner's Office (ICO), l'autorità britannica per la protezione dei dati, ha inflitto a Reddit una sanzione di 14,47 milioni di sterline (circa 19,5 milioni di dollari) per il trattamento illecito di dati personali di minori. L'indagine condotta dal garante ha stabilito che la piattaforma non ha implementato controlli adeguati per verificare l'età dei propri utenti, esponendo i più giovani a contenuti potenzialmente dannosi e inappropriati, in violazione del UK Online Safety Act (OSA), la legge britannica sulla sicurezza online che impone alle piattaforme digitali obblighi stringenti di protezione dei minori.
Per effettuare le verifiche di età, Reddit si era affidata a una società esterna chiamata Persona, che opera attraverso l'analisi di un selfie caricato dall'utente oppure tramite la scansione di un documento d'identità governativo. La scelta di esternalizzare questo processo era deliberata: Reddit aveva dichiarato di non voler avere conoscenza diretta dell'identità reale dei propri iscritti. L'ICO ha tuttavia ritenuto questi controlli del tutto insufficienti, rilevando che numerosi minori venivano classificati erroneamente come adulti dal sistema, rendendo di fatto illegittimo il trattamento dei loro dati da parte della piattaforma.
Anche Discord aveva adottato la stessa soluzione tecnica di Persona, ma la questione è esplosa in modo diverso: non attraverso un'indagine regolatoria, bensì tramite una reazione furiosa da parte degli utenti sui social network. Come riportato da The Verge, diversi utenti hanno accusato Discord di "mentire" riguardo alle modalità di gestione delle scansioni facciali e dei documenti d'identità caricati sulla piattaforma. Il punto critico era contenuto nella politica sulla privacy di Persona stessa, che dichiara esplicitamente di poter acquisire dati personali degli utenti attraverso "database di terze parti, registri governativi e altre fonti pubblicamente disponibili". Un dettaglio che ha alimentato timori concreti sulla reale portata della raccolta dati.
Di fronte alle polemiche, Discord ha preso le distanze da Persona. Savannah Badalich, responsabile della politica di prodotto di Discord, ha confermato che la piattaforma "ha condotto un test limitato di Persona nel Regno Unito, dove la verifica dell'età era già stata avviata in precedenza, e tale test è nel frattempo concluso". La società non utilizza più il servizio. Vale la pena notare che Persona è impiegata anche da Roblox, piattaforma di gaming particolarmente popolare tra bambini e adolescenti, il che potrebbe portare ulteriori scrutini normativi nelle prossime settimane.
Il caso apre un dibattito più ampio sulla governance della verifica dell'età nel settore digitale. Si sta facendo sempre più strada la proposta di spostare questa responsabilità direttamente sugli store applicativi di Apple e Google, che potrebbero implementare un sistema centralizzato di verifica una tantum, applicando poi restrizioni al download delle applicazioni classificate per adulti. Questo modello è già operativo in alcuni stati degli Stati Uniti. Dal punto di vista della sicurezza informatica e della tutela della privacy, centralizzare la verifica presso un singolo operatore di fiducia ridurrebbe drasticamente il numero di soggetti a cui ogni utente deve consegnare documenti d'identità e dati biometrici come i selfie.
L'efficacia e la sicurezza di un sistema di verifica distribuita — dove ogni sviluppatore integra la propria soluzione di terze parti — si scontra inevitabilmente con i rischi legati alla proliferazione dei dati sensibili. Ogni nuova applicazione che richiede la verifica dell'età diventa potenzialmente un nuovo punto di vulnerabilità nella catena di custodia delle informazioni personali degli utenti. In Europa, le normative del GDPR e il Digital Markets Act offrono già un quadro regolatorio più solido rispetto ad altri contesti, ma l'applicazione pratica resta una sfida significativa, come dimostra proprio il caso Reddit nel Regno Unito.
