La Commissione europea ha pubblicato il 29 aprile 2026 risultati preliminari secondo cui Meta viola il Digital Services Act (DSA) per non aver impedito ai minori di 13 anni di accedere a Instagram e Facebook. L'indagine della Commissione ha rilevato che i sistemi di verifica dell'età di Meta sono banalmente facili da aggirare: qualsiasi bambino può creare o mantenere un account semplicemente inserendo una data di nascita falsa, senza alcun meccanismo efficace di conferma. I risultati segnano la prima importante azione di applicazione del DSA in materia di sicurezza dei minori su una grande piattaforma social - e il meccanismo proposto per risolvere il problema ha implicazioni significative per la privacy di tutti gli utenti.
Cosa ha accertato la Commissione europea
I risultati preliminari della Commissione affermano che Meta non ha identificato, valutato e mitigato diligentemente i rischi sistemici che Instagram e Facebook pongono ai minori. Circa il 10-12 per cento dei bambini sotto i 13 anni utilizza attualmente queste piattaforme, contraddicendo le proprie valutazioni interne di Meta. La Commissione ha inoltre rilevato che Meta "ha ignorato prove scientifiche prontamente disponibili" indicanti che i bambini più piccoli sono particolarmente vulnerabili ai danni derivanti dai feed social curati algoritmicamente.
Oltre al problema del bypass dell'età, la Commissione ha segnalato che lo strumento di segnalazione degli account di minori di Meta è "difficile da usare", richiedendo fino a sette clic per accedere al modulo. Inoltre, la Commissione ha rilevato che Meta non fornisce un adeguato follow-up alle segnalazioni ricevute, il che significa che gli account di minori segnalati spesso rimangono attivi sulla piattaforma. La conclusione preliminare della Commissione è che Meta non ha implementato misure di salvaguardia proporzionate o efficaci, nonostante i requisiti espliciti del DSA.
Come i bambini aggirano la verifica dell'eta
Il risultato tecnico centrale è semplice: le piattaforme di Meta chiedono una data di nascita alla creazione dell'account, ma non verificano che tale data sia accurata. Un bambino che inserisce una data di nascita corrispondente a 16 o 18 anni non incontra ulteriori ostacoli. Non c'è verifica dei documenti, nessun servizio di verifica di terze parti e nessun incrocio con banche dati di identità. La barriera dell'età è, in pratica, un campo di testo aggirabile inserendo qualsiasi numero.
L'Articolo 28 del DSA richiede alle piattaforme online di grandi dimensioni di implementare misure di assurance dell'età proporzionate al rischio identificato. La posizione preliminare della Commissione è che una data di nascita autodichiarata senza verifica non soddisfa questo standard per una piattaforma che ha identificato la sicurezza dei minori come rischio sistemico.
Conseguenze: fino al 6% del fatturato mondiale
Meta ha ora il diritto di rispondere ai risultati preliminari prima che la Commissione emetta una decisione definitiva. Se i risultati vengono confermati, la Commissione può infliggere una multa fino al 6 per cento del fatturato annuo mondiale totale di Meta. Sulla base dei ricavi di Meta nel 2025, ciò rappresenterebbe una potenziale sanzione di circa 12 miliardi di dollari. La Commissione può anche imporre sanzioni periodiche per garantire la conformità e ordinare restrizioni di accesso temporanee in caso di infrazioni gravi.
Meta ha pubblicamente contestato i risultati e dichiarato che condividerà i dettagli di ulteriori misure in fase di implementazione. La valutazione preliminare della Commissione è che queste misure non soddisfano i requisiti del DSA per l'intera UE.
La conseguenza per la privacy: verifica obbligatoria per tutti
La traiettoria politica che deriva da questa azione è chiara: se le date di nascita autodichiarate sono insufficienti ai sensi del DSA, Meta dovrà implementare una forma di assurance dell'età che funzioni davvero. La verifica efficace dell'età richiede una verifica dei documenti, un sistema di stima biometrica dell'età o l'integrazione con un servizio di verifica dell'identità di terze parti. Tutti e tre gli approcci richiedono la raccolta di dati personali sensibili da tutti gli utenti, non solo dai minori di 13 anni, ma da ogni utente che deve dimostrare di aver raggiunto la soglia di età.
Questo è lo stesso problema strutturale identificato nel regime britannico di verifica dell'età per i siti per adulti, nella legislazione australiana e nel Parents Decide Act (H.R. 8250) degli USA: per proteggere i minori, i regolatori stanno costruendo infrastrutture di verifica che raccolgono dati di identità da tutti. Le VPN rimangono efficaci contro la sorveglianza a livello di rete, ma non affrontano i requisiti di identità a livello di account.
Copertura correlata su vpnlab.io
Articoli precedenti sulla legislazione di verifica dell'età e le sue implicazioni per la privacy:
- Parents Decide Act: ogni telefono deve raccogliere la tua data di nascita ai sensi di H.R. 8250 - il disegno di legge americano che sposterebbe la verifica dell'età al livello OS.
- App di verifica dell'eta UE hackerata in 2 minuti - Durov avverte - quando l'infrastruttura stessa diventa la superficie di attacco.
- Dopo i controlli dell'eta nel Regno Unito, l'uso di VPN schizza alle stelle - la risposta documentata in termini di privacy.
