Nel Regno Unito la multa ICO a Reddit riaccende il dibattito su privacy, sicurezza degli utenti e limiti delle procedure di verifica dell’età imposte dalle autorità.
Summary
Multa da 14,47 milioni di sterline per violazioni GDPR
L’Information Commissioner’s Office del Regno Unito (ICO) ha annunciato il 24 febbraio 2026 una sanzione da 14,47 milioni di sterline (circa 19,6 milioni di dollari) contro Reddit per violazioni del GDPR.
Secondo il regolatore, il social network non ha adottato misure di verifica dell’età “robuste”, privandosi così di una base giuridica valida per trattare i dati personali dei minori di 13 anni presenti sulla piattaforma.
Inoltre, Reddit non avrebbe effettuato una data protection impact assessment (DPIA) per analizzare e mitigare i rischi per i bambini prima di gennaio 2025, in contrasto con quanto richiesto dal quadro normativo europeo.
Minori esposti a rischi e mancata valutazione d’impatto
L’ICO ha spiegato che l’entità della sanzione tiene conto del numero elevato di minori che utilizzano il sito, del potenziale livello di danno, della durata delle carenze e del fatturato globale di Reddit.
L’information commissioner John Edwards ha dichiarato che i bambini sotto i 13 anni hanno visto i loro dati raccolti e utilizzati in modi che non potevano comprendere, accettare o controllare, restando esposti a contenuti inappropriati.
Edwards ha ricordato che i fornitori di servizi online accessibili ai minori devono essere in grado di conoscere l’età degli utenti e implementare adeguate misure di age assurance, che vadano oltre il semplice richiamo nei termini d’uso.
Le misure di Reddit e i limiti della verifica dell’età
Reddit ha introdotto la verifica dell’età per accedere ai contenuti “maturi” nel luglio 2025 e attualmente richiede agli utenti di dichiarare la propria età in fase di registrazione al servizio.
Tuttavia, l’ICO ha sottolineato che questa modalità di autodichiarazione è troppo facile da aggirare, soprattutto da parte dei più giovani, e non può essere considerata una misura tecnica efficace di protezione.
In una nota difensiva, l’azienda ha affermato di non richiedere informazioni sull’identità degli utenti, indipendentemente dall’età, sostenendo di essere “profondamente impegnata” nella tutela di privacy e sicurezza della propria community.
Esperti critici sulle verifiche età invasive
Alcuni esperti di privacy hanno espresso comprensione per la posizione di Reddit, criticando i modelli di verifica dell’età più intrusivi promossi dalle autorità, simili a quelli previsti per i siti di contenuti per adulti.
Il consumer privacy advocate di Comparitech, Paul Bischoff, ha messo in guardia contro la verifica obbligatoria dell’identità, ritenendo che imponga un onere ingiustificato alla maggioranza degli utenti che non è sospettata di alcuna condotta illecita.
Secondo Bischoff, tali requisiti possono avere un effetto dissuasivo sulle libertà individuali, senza prove convincenti dell’efficacia rispetto agli obiettivi dichiarati, mentre i genitori dovrebbero assumersi maggiori responsabilità nella protezione dei minori online.
Rischi di privacy nei sistemi di controllo dell’età
Pieter Arntz, senior researcher di Malwarebytes, ha sottolineato che i diversi approcci alla verifica dell’età possono introdurre nuovi rischi per sicurezza e riservatezza dei dati degli utenti.
Ha citato metodi come la stima dell’età tramite riconoscimento facciale, che si basa su dati biometrici, i controlli di open banking sui dati finanziari, i wallet di identità digitale e i sistemi di photo-ID matching che aggregano informazioni altamente sensibili.
Anche soluzioni apparentemente più semplici, come la verifica con carta di credito, l’analisi dell’email o i controlli tramite rete mobile, possono generare problemi di esclusione, profilazione o affidabilità dei risultati.
La proposta di verifica “double-blind”
Per Arntz, il sostegno da parte dell’ICO a un modello di verifica “double-blind” potrebbe ridurre in modo significativo tali criticità e migliorare la protezione dei dati personali.
In questo schema, una terza parte fidata verifica l’età dell’utente e rilascia un semplice token, ad esempio “18+“, al sito che richiede il controllo, senza rivelare l’identità o il servizio a cui l’utente accede.
Inoltre, questo modello limiterebbe l’esposizione dei dati, ridurrebbe il tracciamento incrociato tra diversi servizi e eviterebbe la creazione di nuovi “honeypot” di informazioni sensibili, rispondendo comunque alle esigenze regolatorie.
Critiche severe sulla mancata DPIA
Non tutti gli analisti, però, si sono schierati a favore della piattaforma. Alcuni hanno insistito sulla natura obbligatoria della DPIA quando si trattano dati riferiti a minori.
Chris Linnell, associate director of data privacy presso Bridewell, ha definito la valutazione d’impatto un requisito di legge essenziale per costringere le organizzazioni a valutare, documentare e mitigare i rischi prima che si verifichino danni.
A suo avviso, l’assenza di una DPIA solida indica che i pericoli per i bambini non sono stati identificati né affrontati adeguatamente fin dall’inizio del trattamento dei dati sulla piattaforma.
La multa ICO a Reddit come monito per il settore
Linnell ha aggiunto che limitarsi a inserire nei termini e condizioni il divieto d’uso per gli under 13 non costituisce una misura protettiva se mancano controlli tecnici o operativi efficaci a far rispettare la regola.
Ha osservato che la conformità non può basarsi solo su clausole contrattuali, ma deve tradursi in salvaguardie pratiche e verificabili, soprattutto quando il target reale o potenziale include una quota rilevante di minori.
La sanzione a Reddit arriva poche settimane dopo la multa di oltre 247.000 sterline inflitta a MediaLab, società madre di Imgur, per uso illecito delle informazioni dei bambini sulla propria piattaforma.
Lezioni di compliance per le piattaforme online
Nel complesso, le recenti azioni dell’ICO rappresentano un avvertimento per tutti i fornitori di servizi digitali che trattano, anche indirettamente, dati riferibili a utenti minorenni.
Linnell invita le piattaforme a identificare dove è probabile che i bambini accedano ai servizi, anche quando non costituiscono il pubblico di riferimento, e a condurre regolarmente DPIA per ogni trattamento ad alto rischio.
Inoltre, le organizzazioni devono definire e documentare una base giuridica chiara per il trattamento dei dati dei minori e introdurre controlli proporzionati ed efficaci, andando oltre le sole dichiarazioni di policy.
La vicenda Reddit mostra come gli obblighi GDPR su minori, valutazioni d’impatto e meccanismi di verifica dell’età siano destinati a diventare un banco di prova cruciale per la compliance delle piattaforme online.
