L’AGICOM ha annunciato che, in ottemperanza alla legge 13 novembre 2023 voluta dal Governo Meloni, alcune categorie di siti ritenuti “per adulti” avranno sei mesi di tempo per adeguarsi all’implementazione di verifiche dell’età degli utenti mediante Cie e Spid.
Da giorni sto cercando i dettagli tecnici al riguardo, senza successo.
Considerando che l’integrazione con lo Spid è a pagamento per i privati, spero vivamente che la signora Meloni non abbia introdotto una porn-tax e che si aspetti di incassare 7 euro per ogni utente che visita un sito per adulti. Però, da nessuna parte trovo indicazioni su come procedere all’implementazione di una integrazione che non riceva alcun dato personale ma solo la conferma della maggiore età dell’utente.
L’allegato 4, relativo all’affiliazione dei Service Provider privati alla Federazione SPID, parla di 40 centesimi per utente/anno per i Livelli 1 e 2. Non ho letto la legge in questione, ma dubito fortissimamente che faccia riferimento al livello 3 (pressochè inutilizzato).
Nel caso di CIE, l’affiliazione dei Service Provider privati alla Federazione CIE mi sembra sia gratuita.
Nel caso di SPID, il pagamento del corrispettivo non passa dalle casse dello Stato, ma è una fatturazione fra privati. Non credo quindi che tecnicamente possa essere definita “tassa”.
Limitandomi al caso SAML (ma credo che le cose in OIDC non cambino granchè), considerato che le identità digitali sono rilasciate a maggiorenni, sarebbe sufficiente eseguire una autenticazione “anonima” (ovvero con una Response priva di attributi). A livello di protocollo ciò è tecnicamente possibile definendo nel metadata un AttributeConsumingService vuoto. Se ricordo bene, l’ostacolo consiste nel fatto che le regole tecniche SPID impongono che in ogni AttributeConsumingService sia sempre presente almeno la richiesta del codice fiscale.
Fossero anche 40 centesimi a singolo accesso, sarebbe comunque un costo insostenibile per la quasi totalità dei siti. A meno che non si parli di siti a pagamento, coprire con la pubblicità un costo di 40 centesi per singola visita è impensabile. A quel punto, tanto varrebbe censurare il sito al pubblico italiano e continuare ad operare solo nel resto del mondo.
Comunque la mia domanda non riguardava tanto la mia personale opinione sulla legge varata del governo meloni, ma capire in quale modo pratico bisognerebbe procedere per ottemperare alle decisioni dell’Agicom. Tutti gli articoli parlano solo delle teorie generiche dell’implementazione, spiegando che dovrebbe essersi completo anonimato, ma nessuno fornisce dettagli più pratici.
Questo commento potrebbe applicarsi a una moltitudine di norme, tutte le Direttive e Regolamenti europei in materia di IT, ma anche sulle liberalizzazioni e probabilmente ancora molto altri. Ci vorrebbe un Regolamento europeo che obbliga gli Alti Dirigenti pubblici o privati che decidono di regole, tariffe, verifiche, prenotazioni ecc. a passare almeno una settimana al mese al servizio clienti / reclami dal pubblico e testare in prima persona tutte le incongruenze che sono andati a creare. Qualche decennio fa una linea aerea americana, non ricordo il nome, aveva una regola per cui tutti i manager dovevano fare turni ai punti di check-in aeroportuali. AD compreso, che aveva avuto questa idea. Era una linea molto apprezzata con ottimi risultati di servizio e finanziari.