La SB 73 dello Utah entrerà in vigore il 6 maggio 2026, rendendo lo Utah il primo stato degli USA a ritenere i siti web commerciali legalmente responsabili per gli utenti che accedono a contenuti con restrizioni di età tramite una VPN o un proxy per falsificare la propria posizione geografica. La legge non si limita a regolamentare quali contenuti i siti possono mostrare - mira direttamente all'uso di strumenti di anonimizzazione come meccanismo di elusione, creando una responsabilità che raggiunge le piattaforme in tutto il mondo.
Cosa dice realmente la SB 73 sulle VPN
L'innovazione centrale della legge è giurisdizionale: invece di affidarsi alla geolocalizzazione dell'indirizzo IP, che qualsiasi VPN può cambiare in pochi secondi, la SB 73 ritiene i siti web responsabili della presenza fisica degli utenti nello Utah. Un sito è responsabile indipendentemente dal fatto che l'indirizzo IP dell'utente risulti nello Utah, a condizione che l'utente si trovi fisicamente nello stato. Si tratta di una rottura fondamentale con il modo in cui la giurisdizione su Internet ha funzionato per decenni.
Lo statuto va oltre. Ai siti web è esplicitamente vietato fornire istruzioni, link o incoraggiamenti per l'uso di servizi VPN al fine di aggirare i requisiti di verifica dell'età. Inserire un link a una guida su "come usare una VPN" - o anche menzionare le VPN come soluzione nelle FAQ - diventa una potenziale esposizione legale ai sensi della legge. Firmata dal governatore dello Utah il 19 marzo 2026, le disposizioni della SB 73 sulla verifica dell'età e sulle VPN si attivano il 6 maggio, mentre una tassa d'accisa separata del 2% sui ricavi dei contenuti per adulti entrerà in vigore il 1 ottobre 2026.
La trappola della responsabilità dell'EFF: nessuna via d'uscita per le piattaforme
L'Electronic Frontier Foundation ha descritto la SB 73 come una "trappola della responsabilità" - una legge strutturata in modo tale che la conformità tecnica è effettivamente impossibile senza imporre costi significativi agli utenti che non hanno nulla a che fare con lo Utah. Poiché nessuna tecnologia può verificare con certezza se un utente dietro una VPN di alta qualità si trovi fisicamente nello stato, i siti web si trovano di fronte a una scelta binaria senza via di mezzo.
La prima opzione è quella di bloccare tutti gli intervalli di indirizzi IP VPN noti a livello globale. Questo taglierebbe fuori gli utenti VPN legittimi in tutto il mondo - giornalisti, sostenitori della privacy, lavoratori remoti e chiunque preferisca semplicemente la navigazione crittografata - che non hanno alcun legame con lo Utah e non pongono alcun problema normativo. La seconda opzione è quella di richiedere un documento d'identità rilasciato dal governo o la verifica biometrica dell'età al 100% dei propri visitatori, indipendentemente da dove si trovino. Entrambi i risultati costruiscono un'infrastruttura che prima non era richiesta: uno crea una blocklist globale delle VPN; l'altro crea un database cross-site che collega la reale identità al comportamento di navigazione.
Quali siti sono interessati e come appare la conformità
La SB 73 si applica alle entità commerciali in cui una "parte sostanziale" del contenuto è classificata come dannosa per i minori - in pratica, principalmente piattaforme di contenuti per adulti. Per soddisfare lo standard di "ragionevole verifica dell'età", i siti dovrebbero utilizzare documenti d'identità rilasciati dal governo, sistemi biometrici di stima dell'età o servizi di verifica dell'identità di terze parti. Tutti e tre i metodi richiedono la raccolta di dati personali sensibili da ogni utente che deve dimostrare la propria età - non solo dai minori.
Le disposizioni specifiche per le VPN, tuttavia, creano una pressione indiretta per una categoria molto più ampia di siti web. Qualsiasi sito che voglia evitare la responsabilità nello Utah evitando al contempo il costo della verifica universale dell'identità ha un'unica opzione realistica: bloccare interamente gli intervalli IP delle VPN. I ricercatori di sicurezza e i gruppi per le libertà civili notano che le blocklist delle VPN sono intrinsecamente imprecise, bloccando spesso utenti legittimi, reti aziendali e nodi di uscita Tor insieme al traffico VPN che intendono colpire.
Lo Utah nel contesto nazionale: oltre 25 stati e in crescita
Oltre 25 stati degli USA hanno approvato leggi sulla verifica dell'età dal 2022. Nebraska (LB 383, in vigore dal 1 luglio 2026), West Virginia (HB 4412, in vigore dal 12 giugno 2026), Ohio (HB 96) e Florida (HB 3) sono tra gli stati con requisiti attivi o in sospeso. Il panorama legale si sta muovendo verso un mosaico in cui le piattaforme devono soddisfare lo standard dello stato più restrittivo per operare a livello nazionale senza esposizione a responsabilità.
Ciò che distingue la SB 73 è il suo esplicito targeting dell'elusione basata su VPN. Nessun'altra legge statale ha inserito direttamente l'uso delle VPN in un quadro di responsabilità per la conformità alla verifica dell'età. La legge sembra progettata in parte per contrastare l'aumento documentato dell'adozione di VPN seguito ai precedenti mandati di verifica dell'età - incluso nello Utah stesso, dove i download di VPN sono aumentati drasticamente dopo la legislazione precedente. I legislatori hanno effettivamente alzato la posta: se gli utenti possono aggirare la prima legge con una VPN, rendiamo l'uso della VPN stessa un innesco per la responsabilità della piattaforma.
Cosa significa la SB 73 per gli utenti VPN
Una VPN rimane essenziale per proteggere il traffico di rete, crittografare i dati sulle reti pubbliche e proteggere la navigazione dall'ISP e dai tracker di terze parti. Nulla di tutto ciò cambia sotto la SB 73. Ciò che cambia è l'ambiente normativo in cui avviene l'uso delle VPN.
La SB 73 segna un cambiamento qualitativo nel modo in cui i legislatori trattano l'uso delle VPN: non come un crimine per l'utente, ma come un moltiplicatore di responsabilità per la piattaforma. Il risultato pratico per gli utenti attenti alla privacy è un aumento dei blocchi. Man mano che sempre più stati adotteranno il modello dello Utah - basando gli obblighi di conformità sulla presenza fisica piuttosto che sulla posizione IP - le piattaforme dovranno affrontare una crescente pressione per trattare le connessioni VPN come non verificabili e quindi rischiose. Lo spazio in cui una VPN preserva sia l'accesso che l'anonimato si restringerà con ogni stato che seguirà l'esempio dello Utah.
Copertura correlata su vpnlab.io
L'ondata di conformità sulla verifica dell'età continua a rimodellare il panorama della privacy a livello globale:
- L'UE giudica Meta in violazione del DSA: Instagram e Facebook non riescono a tenere i minori di 13 anni fuori dalle piattaforme - i risultati preliminari della Commissione Europea contro Meta mostrano come i regolatori su entrambe le sponde dell'Atlantico stiano chiedendo la stessa cosa: una garanzia dell'età legata all'identità che renda impossibile l'accesso anonimo.
- Apple ha appena trasformato l'Apple ID in un documento d'identità: iOS 26.4 introduce la verifica dell'età obbligatoria nel Regno Unito - quando il livello di verifica si sposta sul sistema operativo, nemmeno una VPN cambia l'equazione.
- Sony impone la verifica dell'età su PlayStation nel Regno Unito e in Irlanda: nessun ID, niente gioco - le piattaforme hardware che implementano requisiti di identificazione mostrano la stessa tendenza che raggiunge i dispositivi nati offline.
Conclusione
• Utah SB 73: The VPN Liability Trap - Electronic Frontier Foundation
• SB 73 Testo Ufficiale - Legislatura dello Stato dello Utah
• Il governatore dello Utah firma gli emendamenti sulla verifica dell'età della SB 73 - DataGuidance
• La nuova legge dello Utah sulla verifica dell'età crea una trappola VPN - TechRadar
