Il 18 marzo 2025, l'Autorità per le Garanzie nelle Comunicazioni (AGCOM) ha emesso i primi due provvedimenti di blocco DNS nei confronti di siti pornografici italiani inadempienti, segnando il passaggio dall'impianto normativo del Decreto Caivano all'enforcement concreto. I siti colpiti, www.giochipremium.com e www.hentai-ita.net, riconducibili alla società italiana Onlab S.R.L.S., sono diventati il banco di prova di un sistema regolatorio costruito in oltre due anni.
La portata del provvedimento va ben oltre i due domini oscurati. L'Italia diventa il primo paese dell'Unione europea a esercitare un potere di blocco per inadempienza alle norme sulla verifica dell'età nei contenuti per adulti, aprendo un precedente che il resto del continente osserva con attenzione. La lista degli obbligati comprende circa cinquanta siti, tra cui operatori di scala globale come PornHub, xHamster e OnlyFans, la cui compliance spontanea è stata ottenuta proprio perché la minaccia del blocco era credibile.
L'architettura tecnica alla base del sistema poggia sul principio della doppia anonimia: la verifica dell'età avviene tramite terze parti certificate che confermano la maggiore età dell'utente con un codice anonimo valido per la singola sessione, senza trasmettere al sito alcun dato identificativo. Il modello, sviluppato in raccordo con il Garante per la protezione dei dati personali, è tecnologicamente neutro e ammette wallet digitali, app di identità e sistemi di certificazione, escludendo esplicitamente il semplice click di autodichiarazione. Le scadenze di applicazione sono differenziate: novembre 2025 per i soggetti stabiliti in Italia e fuori dall'Unione europea, febbraio 2026 per i soggetti non stabiliti in Italia.
Nel contesto europeo, il quadro normativo italiano si configura come un regime più stringente del DSA (Regolamento UE sui servizi digitali, 2022/2065), che all'articolo 28 prevede obblighi di protezione dei minori con logica risk-based e ampia discrezionalità per gli operatori. L'Italia ha esercitato esplicitamente la facoltà degli Stati membri di adottare regole nazionali più rigide, costruendo obblighi tecnici specifici, scadenze certe e potere di blocco immediato. La Commissione europea ha già riconosciuto l'applicabilità transfrontaliera di tali normative nazionali, un elemento cruciale per l'enforcement verso operatori esteri.
Il confronto con gli altri regimi europei evidenzia convergenze di obiettivo e divergenze operative. Il Regno Unito, con l'Online Safety Act entrato in vigore il 25 luglio 2025, ha adottato un sistema di highly effective age assurance in cui gli operatori scelgono autonomamente il metodo di verifica, dalla stima biometrica dell'età al documento d'identità. I dati raccolti da Ofcom mostrano un calo di circa un terzo del traffico verso i principali siti pornografici nel periodo post-luglio 2025, ma l'interpretazione richiede cautela.
Il limite strutturale del blocco DNS emerge con chiarezza dall'esperienza britannica. Lo strumento agisce sul dominio, non sull'utente, ed è aggirabile tramite VPN, DNS-over-HTTPS o resolver alternativi in pochi minuti da qualsiasi utente minimamente motivato. Ofcom ha stimato un picco di 1,5 milioni di utenti giornalieri VPN al momento dell'entrata in vigore delle nuove regole nel Regno Unito. Aylo, casa madre di PornHub, ha segnalato nel febbraio 2026 il rischio di spostamento del traffico verso l'ecosistema non regolamentato, dove l'assenza di controlli è totale e i contenuti potenzialmente più rischiosi.
I dati che motivano l'intervento restano comunque significativi: Ofcom aveva rilevato che l'8% dei bambini britannici tra 8 e 14 anni aveva accesso mensile a siti pornografici, con il 19% tra i maschi di 13-14 anni. La ricerca del Children's Commissioner britannico indicava che il 27% degli intervistati aveva visto materiale pornografico online entro gli 11 anni. L'Age Verification Providers Association stima tuttavia che la quota di traffico direttamente attribuibile ai minori sia intorno al 7% del totale degli utenti.
AGCOM ha già indicato che la delibera 96/25/CONS potrebbe rappresentare un prototipo regolatorio trasferibile al gambling, ai social media e all'e-commerce di prodotti soggetti a limiti di età. La vera questione strategica, però, è se un regime nazionale, per quanto ben costruito, possa incidere su un ecosistema digitale transfrontaliero senza una cornice europea armonizzata. La Commissione europea sta definendo le linee guida dell'articolo 28 del DSA: è in quella sede che si determinerà se l'enforcement sulla verifica dell'età per i minori resterà frammentato tra regimi nazionali distinti o diventerà un obbligo cogente e uniforme a livello continentale, l'unica scala alla quale lo strumento potrebbe effettivamente dispiegare i suoi effetti.