CYBER
2026.05.04

CYBER — Settimana 04/05–10/05 2026

TL;DR

La frontiera regolatoria si sposta dalle piattaforme ai sistemi operativi: il Parents Decide Act (8 maggio) chiede ad Apple e Google la verifica dell’età al primo setup del dispositivo, mentre il primo report di Internet Matters sull’Online Safety Act britannico mostra miglioramenti percepiti ma age check facilmente aggirabili. Sullo sfondo, l’Australia ammette che il 70% degli under-16 continua ad accedere ai social nonostante il ban, e cresce la pressione su companion chatbot e deepfake scolastici.

🛡️ CYBER — Settimana 04/05–10/05 2026

TL;DR: La frontiera regolatoria si sposta dalle piattaforme ai sistemi operativi: il Parents Decide Act (8 maggio) chiede ad Apple e Google la verifica dell’età al primo setup del dispositivo, mentre il primo report di Internet Matters sull’Online Safety Act britannico mostra miglioramenti percepiti ma age check facilmente aggirabili. Sullo sfondo, l’Australia ammette che il 70% degli under-16 continua ad accedere ai social nonostante il ban, e cresce la pressione su companion chatbot e deepfake scolastici.

🔴 Segnale forte

Dal social al sistema operativo: la verifica dell’età cambia livello

L’8 maggio 2026 il deputato Josh Gottheimer ha annunciato il Parents Decide Act, proposta bipartisan che sposta l’asse della regolamentazione dalla singola piattaforma al dispositivo. Il testo chiede ad Apple e Google di verificare l’età dell’utente al momento del setup di un nuovo telefono o tablet, anziché affidarsi all’autodichiarazione, e di consentire ai genitori di impostare controlli granulari (social, app, chatbot AI) come stato di default (gottheimer.house.gov). È il complemento federale dell’App Store Accountability Act, che già richiedeva il consenso parentale per ogni download e il legame device-genitore (fortune.com).

Il segnale è chiaro: dopo tre anni di leggi statali centrate sulle singole piattaforme (Florida, Utah, Virginia, New York), il legislatore federale sta riconoscendo che la gatekeeping efficace si fa al livello dell’OS, non dell’app. La logica è semplice, se il dispositivo sa che l’utente ha undici anni, ogni app installata può ricevere quell’informazione senza bisogno di costruirsi un proprio sistema di age assurance.

Lo stesso ragionamento è sotteso al rapporto Online Safety Act: Are children safer online? pubblicato da Internet Matters il 6 maggio 2026, primo bilancio indipendente dell’OSA britannico a sei mesi dall’entrata in vigore delle norme di age assurance. I dati raccontano un quadro ambivalente: 7 ragazzi e genitori su 10 dichiarano di vedere più strumenti di reporting e filtri, il 54% dei minori riporta contenuti più adatti alla loro età, ma quasi metà degli intervistati ritiene che gli age check siano facili da aggirare e un quarto dei genitori ammette di aver consentito al proprio figlio di farlo (internetmatters.org). Ofcom, che dal luglio 2025 ha aperto oltre 80 indagini e comminato la prima multa da 1 milione di sterline per age assurance inadeguata, da aprile 2026 estende l’enforcement con il nuovo obbligo di segnalare CSAM al National Crime Agency (burges-salmon.com).

Per chi lavora con i minori (insegnanti, psicologi): la verifica al livello del dispositivo cambia anche la conversazione clinica e didattica. Se il telefono “sa” l’età, i discorsi su privacy, identità digitale e consenso si spostano dal “non mentire sulla tua data di nascita” al “chi controlla cosa il tuo dispositivo dice di te”. È una variabilità che vale la pena tematizzare nei percorsi di media literacy.

Per chi fa policy: la transizione OS-level apre questioni di mercato (il duopolio Apple-Google diventa de facto regolatore dell’accesso minorile) e di privacy (quali dati biometrici o documentali servono al setup). La proposta Gottheimer eredita le obiezioni che NetChoice sta già portando in tribunale contro la legge Virginia, dove l’argomento è il Primo Emendamento (wjla.com).

Per i genitori: se la normativa passa, lo strumento di parental control diventa nativo e centralizzato, ma resta il problema di cosa fare con figli più grandi che hanno già un dispositivo configurato. Il rischio è di una generazione “in mezzo” su cui nessun sistema funziona davvero.

Fonti:

📡 Altri fili

L’Australia ammette: il ban funziona poco, ma ridefinisce la pressione

A marzo 2026 l’eSafety Commissioner australiano ha aperto indagini formali su Facebook, Instagram, Snapchat, TikTok e YouTube per inadempienza rispetto al ban under-16 entrato in vigore il 10 dicembre 2025. Il dato è imbarazzante: pur avendo le piattaforme rimosso 4,7 milioni di account, circa il 70% dei minori australiani continua ad accedere ai social secondo i genitori intervistati (euronews.com; fortune.com). I metodi di aggiramento descritti nei sondaggi sono creativi quanto banali: face mask stampate per ingannare il riconoscimento facciale, uso del documento o del Face ID dei genitori, account creati con dati falsi su VPN.

Il punto interessante per la cyberpsicologia non è il fallimento tecnico, ma quello relazionale. La famiglia diventa il vero campo di applicazione del ban: parlare di dispositivi non più solo come “spazio del minore” ma come “infrastruttura familiare” è una conversazione che la clinica con genitori e adolescenti deve iniziare ad attrezzare.

Fonti:

Companion chatbot: il primo banco di prova della SB 243 californiana

Dal 1 gennaio 2026 è in vigore la California SB 243, prima legge statunitense che regola i companion chatbot, quei sistemi AI progettati per simulare relazioni umane (Replika, Character.AI e simili). Per i minori, la legge impone obblighi specifici: disclosure ricorrente che l’interlocutore è AI, promemoria di pausa ogni tre ore, misure ragionevoli per impedire produzione di materiale sessualmente esplicito o suggerimenti di condotte sessuali (leginfo.legislature.ca.gov; perkinscoie.com). Chi subisce un danno può citare in giudizio per almeno 1.000 dollari per violazione più spese legali.

La legge intercetta un fenomeno documentato dallo studio di novembre 2025 di Brown School of Public Health, Harvard Medical School e RAND: un adolescente o giovane adulto su otto negli USA usa i chatbot per consigli di salute mentale, con punte del 22,2% nella fascia 18-21 anni. Il 93% di chi li usa li giudica utili, ma i ricercatori sottolineano gap di competenza culturale (utenti afroamericani riportano minore utilità) e l’assenza di dati sull’effetto in chi ha già una diagnosi psichiatrica (sph.brown.edu; pmc.ncbi.nlm.nih.gov).

La triangolazione è forte: una legge che riconosce il companion chatbot come categoria a sé, una ricerca peer-reviewed che misura un uso ormai mainstream, e un vuoto clinico, la psicoterapia non ha ancora un linguaggio condiviso per integrare nel setting il fatto che il paziente adolescente probabilmente parla anche con un’AI.

Fonti:

EU age verification app: l’infrastruttura comune che arriva (forse) entro fine anno

Il 15 aprile 2026 la Commissione Europea ha annunciato che l’app europea di age verification è pronta al deployment; il 29 aprile ha sollecitato gli Stati membri ad accelerare il rollout entro fine 2026. Sette paesi sono nel pilot: Francia, Danimarca, Grecia, Italia, Spagna, Cipro, Irlanda. L’app permette di provare di avere più di 18 anni senza condividere altri dati personali, su qualsiasi dispositivo, gratuita, e potrà essere integrata nei wallet di identità digitale europea (commission.europa.eu; edition.cnn.com).

Sul fronte enforcement DSA, la Commissione ha intensificato l’azione contro TikTok, Facebook, Instagram, Snapchat, Shein e quattro grandi piattaforme adult, contestando design addictive e protezione minori inadeguata. Il 26 marzo è stata aperta un’indagine formale su Snapchat (ieu-monitoring.com).

In Italia, dal 1 febbraio 2026 è in vigore l’obbligo di age verification anche per i gestori di altri Stati UE che offrono contenuti vietati ai minori, in attuazione delle linee guida AGCOM concordate con il Garante Privacy (key4biz.it; garanteprivacy.it).

Fonti:

Deepfake scolastici: dal numero al primo verdetto

Le cifre del National Center for Missing and Exploited Children continuano a essere il dato che cambia la conversazione: le immagini di abuso sessuale infantile generate dall’AI sono passate da 4.700 nel 2023 a 440.000 nei soli primi sei mesi del 2025 (pbs.org). Il 15% degli studenti dichiara di sapere di immagini esplicite generate da AI di un compagno di classe, e le ragazze sono molto più frequentemente le vittime (19thnews.org).

Il TAKE IT DOWN Act federale, in vigore con la prima condanna di un cittadino dell’Ohio nell’aprile 2026, dall’estate 2026 obbliga le piattaforme a rimuovere immagini intime non consensuali entro 48 ore dalla richiesta della vittima (thefulcrum.us; fisherphillips.com). Resta un gap normativo cruciale: molti perpetratori sono minori, e poche leggi affrontano esplicitamente questa zona grigia tra responsabilità penale, tutela educativa e protezione della vittima.

Per la scuola il problema è ormai operativo: serve un protocollo che sappia distinguere tra la condotta perseguibile, la dimensione disciplinare e l’accompagnamento psicologico della vittima, senza rivittimizzare e senza criminalizzare automaticamente l’autore quando ha tredici anni.

Fonti:

Il “big tobacco moment” delle piattaforme: 2.527 cause pendenti

A maggio 2026 sono 2.527 le cause pendenti nella multidistrict litigation 3047 davanti al giudice Yvonne Gonzalez Rogers nel Northern District of California, che accusa Meta, TikTok, YouTube, Snap di aver progettato deliberatamente piattaforme additive con effetti su depressione, disturbi alimentari, autolesionismo e suicidio nei minori (lawsuit-information-center.com).

Il primo bellwether trial si è chiuso a marzo 2026 con il verdetto da 6 milioni di dollari (3 milioni di danni più punitivi) contro Meta e Google: la giuria ha riconosciuto che le piattaforme sono progettate per essere addictive (aljazeera.com; npr.org). TikTok e Snap hanno settato in via riservata prima del trial. Il giudice Carolyn B. Kuhl ha stabilito che la Section 230 non protegge le piattaforme dalla responsabilità quando il danno deriva dal design, non dal contenuto pubblicato, un precedente che molti commentatori chiamano già “il big tobacco moment delle Big Tech”.

Fonti:

⚖️ Monitor normativo

USA, federale. Il Parents Decide Act (8 maggio) si aggiunge al ramificarsi di KOSA e App Store Accountability Act, segnando lo spostamento dell’attenzione dal social al sistema operativo (gottheimer.house.gov; congress.gov). La FTC ha emesso a febbraio 2026 una policy statement COPPA che incentiva l’uso di tecnologie di age verification (ftc.gov).

USA, stati. Quaranta stati e Puerto Rico hanno introdotto 300 disegni di legge nel 2026; almeno 19 stati hanno leggi attive che differenziano l’esperienza minorile online. Virginia: dal 1 giugno 2026 entra in vigore il limite di un’ora al giorno per gli under-16 senza consenso parentale, con NetChoice in causa per difendere l’interpretazione del Primo Emendamento (wjla.com). New York ha introdotto warning label su feed addictive, autoplay e infinite scroll (governor.ny.gov).

UE. App di age verification in pilot in 7 paesi, deployment full atteso entro fine 2026. La Commissione ha intensificato le indagini DSA (Snapchat, TikTok, Meta, Shein, piattaforme adult) sotto Article 28 (digital-strategy.ec.europa.eu).

UK. Online Safety Act in piena attuazione: oltre 80 indagini Ofcom, prima multa da 1 milione di sterline, obbligo di reporting CSEA al National Crime Agency dal 7 aprile 2026, registro dei servizi categorizzati atteso a luglio (ofcom.org.uk).

Italia. Dal 1 febbraio 2026 obbligo di age verification anche per gestori UE di contenuti vietati ai minori (linee guida AGCOM, parere Garante Privacy). L’Italia partecipa al pilot dell’app europea (garanteprivacy.it; agcom.it).

Australia. Indagini formali aperte il 31 marzo contro Facebook, Instagram, Snapchat, TikTok, YouTube per violazione del ban under-16. Sanzioni potenziali fino a 50 milioni di dollari australiani (euronews.com).

🧭 Pattern della settimana

Tre dinamiche convergono e meritano attenzione.

Primo, il livello del controllo si abbassa. Da “regolamentiamo Instagram” a “regolamentiamo iOS e Android”. Il Parents Decide Act è la traduzione pratica di una constatazione: finché ogni piattaforma costruisce il proprio age check, basta una falsificazione per aggirarli tutti. Spostare la verifica al setup del dispositivo riduce le superfici di attacco ma trasferisce ai due gatekeeper del mobile (Apple e Google) un ruolo di policy che fino a ieri era dello Stato. È uno dei rari casi in cui semplificazione tecnica e concentrazione di potere coincidono, vale la pena tenerlo presente.

Secondo, l’oggetto della regolamentazione si espande. California SB 243 sui companion chatbot, indagini DSA che includono design addictive e non solo contenuti illegali, verdetto MDL 3047 che colpisce il design e non la pubblicazione: il diritto sta abbandonando l’idea che la piattaforma sia un tubo neutrale, e sta entrando nel merito dell’architettura cognitiva. Per la cyberpsicologia è una buona notizia, il linguaggio del “design persuasivo” e del “dark pattern” diventa giuridicamente operativo. Per la pratica clinica significa che possiamo nominare con i pazienti adolescenti meccanismi che fino a poco fa erano considerati “il modo in cui funziona internet”.

Terzo, il gap tra norma e applicazione si fa scoperto. Il caso australiano è il più crudo: una legge tra le più ambiziose al mondo, e il 70% dei minori che continua a usarla. Il rapporto Internet Matters fotografa lo stesso fenomeno in chiave britannica: gli age check ci sono, ma metà dei ragazzi sa aggirarli. Questo non significa che le leggi non servano, significa che la regolamentazione tecnica da sola non basta, e che il lavoro educativo (con genitori, insegnanti, ragazzi) non è sostituibile dalla compliance.

C’è uno scollamento ricorrente tra la narrativa pubblica (“vietare i social risolverà”) e la ricerca, che indica relazioni più sottili: lo studio JAMA 2026 che documenta 70 minuti di smartphone durante le ore di scuola, le meta-analisi su problematic smartphone use con effetti di magnitudine moderata (non drammatica), lo studio coreano del 2026 che mostra che la qualità del sonno predice l’overdependence, non viceversa. La direzione causale conta.

📌 Da tenere d’occhio