A sei mesi dall’entrata in vigore del primo divieto al mondo di accesso ai social per i minori di 16 anni, il premier Anthony Albanese ha dichiarato di voler rendere il bando «il più forte possibile». Un’ammissione implicita: sulla carta la legge funziona, ma nella pratica le porte che doveva chiudere sono rimaste socchiuse.

Il 26 giugno scorso il primo ministro ha ribadito l’impegno a colmare le falle, un segnale che le piattaforme non hanno ancora trovato una verifica dell’età davvero impermeabile. La norma, approvata con l’intento di proteggere la salute mentale dei teenager, si scontra con la realtà di sistemi di controllo che oscillano tra invasività e aggirabilità.

Un divieto senza precedenti

L’Australia è stata la prima giurisdizione a imporre un limite così netto. Il testo vieta ai minori di 16 anni di creare account sulle principali piattaforme social, obbligando i gestori a implementare meccanismi di verifica «ragionevoli». Finora, nessuno ha mostrato una soluzione che convinca regolatori e difensori della privacy.

Il problema di fondo non è solo legale, ma tecnico. Come si stabilisce con certezza l’età di un utente senza raccogliere documenti di identità o dati biometrici su scala massiva? Ogni metodo porta con sé un trade-off: scansione di passaporti o patenti, riconoscimento facciale, analisi comportamentale tramite AI: tutte piste che dividono esperti e cittadini.

Verifica dell’età: il ginepraio tecnico

Le opzioni sul tavolo sono limitate e largamente imperfette. L’autodichiarazione è ridicolmente debole. La verifica tramite documenti ufficiali richiede un’infrastruttura capace di custodire copie di dati sensibili, spesso in chiaro, con enormi rischi in caso di breccia. I sistemi di stima dell’età basati su immagini – già adottati in alcuni contesti commerciali – sollevano interrogativi sull’affidabilità in presenza di variazioni di etnia e illuminazione, e sulla loro accettabilità sociale.

Un ulteriore nodo è l’interoperabilità. Se ogni piattaforma implementasse un proprio sistema, gli utenti si troverebbero a dover consegare i propri dati a molteplici fornitori, moltiplicando la superficie d’attacco. Ecco perché si discute di soluzioni federate o di una verifica gestita a livello di sistema operativo o di browser, che però spostano il controllo verso i giganti tech, con il pericolo di creare una carta d’identità digitale permanente legata a ogni interazione online.

La partita della sovranità dei dati

Chi guarda alla verifica dell’età dal lato della compliance non può ignorare il tema della sovranità dei dati. Archiviare documenti di identità o metriche biometriche in cloud pubblici – spesso fuori dalla giurisdizione australiana – significherebbe esporre i minori a un tracciamento perpetuo e potenzialmente a violazioni di GDPR-equivalenti. Per questo, tra gli addetti ai lavori, cresce l’interesse verso architetture on-premise o ibride, dove l’inference dell’età avviene localmente, senza che i dati grezzi lascino mai il perimetro aziendale.

In quest’ottica, la scelta del deployment non è solo una questione di latenza, ma un tassello della strategia di conformità. Un sistema self-hosted permetterebbe di rispondere con più agilità alle richieste di audit e alle ispezioni governative, dimostrando un controllo ferreo sui flussi informativi. Certo, mantenere un’infrastruttura locale significa investire in hardware, competenze e manutenzione, ma il TCO (TCO) potrebbe essere ripagato dall’azzeramento del rischio di esposizione incontrollata in caso di incidente su cloud provider terzi.

Cosa significa per chi sviluppa soluzioni di verifica

Per i team che lavorano a pipeline di verifica dell’età, il caso australiano è un banco di prova. In ballo non c’è solo l’efficacia tecnica, ma la capacità di dimostrare che il trattamento dei dati avvenga in ambienti a prova di manomissione, preferibilmente isolati e sotto il pieno controllo dell’ente responsabile.

Chi valuta il deployment on-premise di modelli di stima dell’età, per esempio basati su reti neurali compresse via quantization, deve guardare al trade-off tra accuratezza e dimensione del modello, alla banda di memoria video (VRAM) richiesta per l’inference real-time, e alla complessità di orchestrare più tenant. AI-RADAR offre framework analitici e metriche di confronto a chi si trova davanti a queste decisioni (/llm-onpremise), senza spingere verso una soluzione unica, ma fornendo gli strumenti per pesare costi, rischi e performance.

Il ban australiano, per quanto imperfetto, segnala una tendenza irreversibile: la regolamentazione spingerà sempre più la verifica dell’identità verso architetture che garantiscano la sovranità sui dati. Ignorare questo vettore significa costruire su fondamenta che potrebbero franare alla prossima stretta normativa.