Un ragazzo di 13 anni, con un profilo TikTok attivo in violazione dei termini di servizio della piattaforma, trasmette in diretta streaming su Telegram l'aggressione alla propria insegnante. Il 30 marzo 2026, dopo il grave fatto di cronaca di Trescore Balneario, il Ministro dell'Istruzione Valditara ha pubblicamente attribuito al Garante Privacy la responsabilità del ritardo nell'approvazione del DDL sulla tutela dei minori nel digitale. Il Garante ha replicato lo stesso giorno, smentendo ogni propria responsabilità nello stallo: un rimpallo istituzionale inedito nella sua esplicitezza, che rivela la tensione irrisolta tra la spinta politica a innalzare la soglia di età e le obiezioni giuridiche sulla compatibilità con il GDPR.
La domanda che ogni genitore, ogni educatore — e ogni avvocato che si occupi di tutela dei minori — deve saper rispondere è questa: quando un minore accede a un social mentendo sulla propria età, chi è responsabile? La risposta non è semplice, e il diritto italiano non offre ancora una risposta unitaria.
Il quadro normativo attuale: un'architettura traballante
Il punto di partenza è l'art. 8 del GDPR e il D.Lgs. 101/2018 con cui l'Italia ha recepito il regolamento europeo in materia di protezione dei dati. L'art. 8 del GDPR fissa a 16 anni l'età standard per il consenso digitale autonomo, ma consente agli Stati membri di abbassarla fino a un minimo di 13 anni; l'Italia, con il D.Lgs. 101/2018, ha scelto di fissarla a 14 anni, rendendo necessario il consenso genitoriale al di sotto di tale soglia.
Il problema strutturale è che questa soglia non è mai stata realmente presidiata. Lo Sweep 2025 del Global Privacy Enforcement Network (GPEN), la cui relazione è stata pubblicata il 25 marzo 2026 e rilanciata nella newsletter del Garante, ha visto 27 autorità privacy mondiali — tra cui il Garante italiano — esaminare 876 tra siti web e app utilizzati dai minori. Nel 72% dei casi è sufficiente una semplice autodichiarazione per aggirare i controlli sull'età. In altri termini: il sistema vigente è, nei fatti, un sistema senza controlli.
Nel 2021 il Garante aveva già obbligato TikTok a bloccare temporaneamente il servizio per gli utenti minorenni: alla fine oltre mezzo milione di account di ragazzini under 13 sono stati eliminati per violazione dell'età minima. Eppure, cinque anni dopo, la situazione di fondo non è cambiata: le piattaforme continuano ad adottare sistemi di verifica formali, facilmente aggirabili con la digitazione di una data di nascita fittizia.
Il caso OpenAI/Garante Privacy illumina bene questa persistente lacuna. Con il Provvedimento n. 755 del 2 novembre 2024, il Garante contestava alla società statunitense — tra le altre violazioni — di non aver previsto meccanismi per la verifica dell'età, con il conseguente rischio di esporre i minori di 13 anni a risposte inidonee rispetto al loro grado di sviluppo e autoconsapevolezza. Con la decisione del 18 marzo 2026, il Tribunale di Roma (sentenza n. 4153/2026) ha poi annullato la sanzione amministrativa da 15 milioni di euro irrogata dal Garante, rimettendo in discussione — almeno parzialmente — la fondatezza giuridica dell'impianto sanzionatorio. Il punto non è secondario: un sistema di enforcement che vede le proprie sanzioni annullate in sede giudiziaria per vizi procedurali o di merito indebolisce la deterrenza complessiva.
Il DDL 1136 e il mini-portafoglio digitale: cosa cambierebbe
Uno dei pilastri del Disegno di legge n. 1136 — il cui testo è stato aggiornato nelle bozze governative di aprile 2026 — è il fissaggio della soglia dei quindici anni come limite minimo per l'attivazione autonoma di account sui social network. La novità più rilevante non è però la soglia in sé, ma il meccanismo tecnico scelto per renderla effettiva: entro il 30 giugno 2026 dovrà essere operativo il "mini-portafoglio" nazionale per la verifica dell'età. Si supera definitivamente l'era delle autocertificazioni fittizie: il sistema, integrato con il Digital Identity Wallet europeo, permetterà alle piattaforme di verificare l'età effettiva dell'utente senza acquisirne l'identità anagrafica completa, rispettando così i principi di minimizzazione e privacy.
Il testo prevede anche la nullità dei contratti stipulati da under 15. Quest'ultimo profilo è di straordinario interesse civilistico: se l'iscrizione a un social da parte di un quattordicenne è negozio nullo, ne derivano conseguenze che il legislatore non ha ancora disciplinato in modo organico — si pensi alla validità dei contratti pubblicitari conclusi da baby influencer, alla responsabilità contrattuale della piattaforma verso i terzi, alla sorte dei dati raccolti durante il periodo di utilizzo illegittimo.
Sul piano delle soglie, il dibattito tra le istituzioni italiane è tutt'altro che risolto. Sul punto i Garanti vanno in ordine sparso: la Garante per l'infanzia e l'adolescenza è favorevole a portare la soglia a 16 anni, mentre il Garante della Privacy elenca le ragioni a favore dei 14 anni attualmente previsti, lasciando la decisione finale al Parlamento. La divergenza non è meramente tecnica: il presidente del Garante Stanzione ha ricordato che l'ordinamento italiano già riconosce ai quattordicenni una parziale capacità di autodeterminazione; la soglia scelta dal legislatore deve coniugare protezione e riconoscimento della progressiva autonomia digitale del minore, senza risultare talmente distante dalla realtà sociale da diventare ineffettiva.
Del resto, nonostante il GDPR fissi una soglia di riferimento a 16 anni, non esiste ancora una vera e propria "età digitale" riconosciuta uniformemente in tutta Europa, né una legge che vieti l'utilizzo dei social da parte dei giovanissimi. L'Italia si muove in questo vuoto con una frammentazione normativa che produce un paradosso: a gennaio 2026 la Lega ha depositato una ulteriore proposta di legge (prima firmataria Giorgia Latini) con divieto sotto i 15 anni e consenso genitoriale verificabile fino ai 18 anni, mentre il testo del DDL 1136 resta incagliato nell'iter parlamentare.
Lo scenario internazionale esercita una pressione ulteriore. Nel dicembre 2025 l'Australia ha approvato la prima legge al mondo che vieta l'accesso ai social media ai minori di 16 anni, ponendo la responsabilità della verifica direttamente sulle piattaforme, non sui genitori o sui ragazzi. Il Parlamento europeo, da parte sua, propone di fissare a 16 anni il limite minimo nell'UE per accedere a social media, piattaforme per la condivisione di video e compagni virtuali basati sull'IA, lasciando aperta la possibilità ai minori tra i 13 e i 16 anni di accedervi su autorizzazione dei genitori. La Commissione europea si appresta a presentare il Digital Fairness Act entro la fine del 2026.
Un profilo che resta quasi del tutto trascurato nel dibattito pubblico — e che invece è di primario interesse per i privati — è quello della responsabilità civile dei genitori per i danni causati dal minore attraverso i social. L'art. 2048 c.c. prevede una presunzione di responsabilità dei genitori per gli atti illeciti del figlio minore; ma questa responsabilità è condizionata alla prova liberatoria di non aver potuto impedire il fatto. Nella dimensione digitale, tale prova diventa assai ardua: un genitore che abbia lasciato al figlio undicenne uno smartphone con accesso libero a TikTok — pur in violazione della soglia d'età — ha oggettive difficoltà a dimostrare la propria diligenza educativa. La giurisprudenza di merito ha già iniziato a ragionare in questi termini in sede di risarcimento per episodi di cyberbullismo, anche se mancano pronunce di legittimità che abbiano specificamente affrontato il nesso tra omessa sorveglianza sull'accesso ai social e responsabilità ex art. 2048 c.c.
Il Parlamento europeo sottolinea che i sistemi di garanzia dell'età devono essere accurati e rispettare la privacy di ragazzi e ragazze, precisando che tali sistemi non sollevano comunque le piattaforme dalla responsabilità di garantire che i loro prodotti siano sicuri e appropriati per i minori. Questa posizione contiene una verità giuridica importante: la verifica dell'età non è un'esimente, è solo il primo livello di un sistema di obblighi di sicurezza molto più articolato.
Il brocardo vigilantibus iura subveniunt — il diritto soccorre chi è vigile — sintetizza bene la logica sottostante all'intero impianto normativo: il dovere di protezione del minore non si esaurisce nella scelta della soglia d'età, ma impone un comportamento attivo, continuo e verificabile tanto alle piattaforme quanto agli esercenti la responsabilità genitoriale.
Come scriveva Luigi Ferrajoli, «i diritti fondamentali sono la legge del più debole contro la legge del più forte». Nel contesto digitale, il minore è strutturalmente il più debole: esposto ad algoritmi calibrati per massimizzare il tempo di esposizione, privo della maturità cognitiva per valutare i rischi dell'ambiente in cui è immerso, e tutelato da un sistema normativo ancora alla ricerca di una coerenza che finora non ha trovato. La scadenza tecnica del 30 giugno 2026 per il mini-portafoglio digitale non è un dettaglio burocratico: è il primo banco di prova reale di un sistema che, fino ad oggi, ha prodotto più dichiarazioni di principio che protezione effettiva.
Redazione - Staff Studio Legale MP
