CYBER
2026.05.25

CYBER — Settimana 25/05–31/05 2026

TL;DR

La settimana che ha cristallizzato il passaggio dalla retorica regolatoria all’enforcement: il Surgeon General USA classifica lo screen time come emergenza di sanità pubblica, Ofcom pubblica il primo bilancio sui tech firm sotto Online Safety Act, e l’Australia apre cinque investigazioni formali contro le piattaforme che hanno mancato il ban under-16. L’asse si sposta dalle leggi alle sanzioni.

🛡️ CYBER — Settimana 25/05–31/05 2026

TL;DR: La settimana che ha cristallizzato il passaggio dalla retorica regolatoria all’enforcement: il Surgeon General USA classifica lo screen time come emergenza di sanità pubblica, Ofcom pubblica il primo bilancio sui tech firm sotto Online Safety Act, e l’Australia apre cinque investigazioni formali contro le piattaforme che hanno mancato il ban under-16. L’asse si sposta dalle leggi alle sanzioni.

🔴 Segnale forte

Lo screen time diventa “public health crisis”: il nuovo Surgeon General Advisory ridefinisce la cornice

Il 21 maggio 2026 il Surgeon General degli Stati Uniti ha pubblicato un nuovo advisory che classifica esplicitamente l’uso eccessivo degli schermi tra bambini e adolescenti come emergenza di sanità pubblica. Il documento non si limita a riprendere la cornice dell’advisory 2023 sui social media: estende il perimetro all’intero ecosistema digitale, parlando di “addictive engagement loops” che agganciano le menti giovani. Tra le raccomandazioni operative spicca l’invito alle scuole K-12 a implementare ban totali su smartphone e dispositivi smart durante l’orario scolastico per usi non didattici.

La cornice è importante perché sposta il dibattito da una logica di “rischi associati a una specifica piattaforma” a una logica di health crisis sistemica, analoga a quella usata per tabacco e zucchero. Questo cambia il vocabolario disponibile a chi fa policy (più legittimazione per misure restrittive), a chi lavora con i minori (un’autorità federale che valida la preoccupazione clinica) e ai genitori (riferimento istituzionale per giustificare regole familiari sullo screen time). Il rischio, tuttavia, è la deriva moralistica: tradurre “crisi” in proibizionismo senza distinguere tra uso, abuso e contesto. La ricerca dell’ABCD Study (oltre 10.000 partecipanti seguiti dai 9 ai 14 anni) mostra correlazioni tra screen time e variabilità nello sviluppo puberale, ma anche eterogeneità sostanziale: video chat e gaming hanno associazioni diverse con esiti diversi, e il polygenic risk per ADHD media parte dell’associazione tra screen time e sintomi. Il messaggio operativo per psicologi e insegnanti è: tenere il framing della salute pubblica, ma resistere alla scorciatoia “tutto schermo è uguale”.

Fonti:

📡 Altri fili

Ofcom fotografa l’effetto Online Safety Act: protezione percepita in salita, danni reali ancora presenti

Il 21 maggio Ofcom ha pubblicato l’aggiornamento di Project Mercury sulle risposte dei tech firm e Internet Matters ha rilasciato il primo report indipendente sull’impatto dell’Online Safety Act. Il quadro è agrodolce: il 68% dei bambini e il 67% dei genitori notano più strumenti di safety (filtri, reporting), il 53% dei minori dice di essere stato sottoposto a verifica età di recente, ma il 49% dei minori riporta comunque di aver subito un harm online nell’ultimo mese. Sette su dieci tra gli 11-17enni ricordano di aver incontrato contenuti dannosi.

Il pattern è quello classico delle transizioni regolatorie: visibilità delle misure cresce più rapidamente della riduzione del danno effettivo. Per chi forma docenti, questo dato è cruciale: non basta indicare “i filtri ci sono”, serve continuare a costruire competenza critica, perché il margine di esposizione resta significativo. Roblox, sotto pressione, ha annunciato per giugno 2026 il lancio di due nuovi account age-gated: Roblox Kids (5-8 anni) e Roblox Select (9-15 anni), un’architettura più granulare che riconosce l’inadeguatezza del cutoff binario 13+.

Fonti:

Australia apre il fronte sanzionatorio: cinque piattaforme indagate sul ban under-16

A sei mesi dall’entrata in vigore della legge che vieta gli account social ai minori di 16 anni (10 dicembre 2025), il 31 marzo 2026 eSafety ha aperto investigazioni formali contro Facebook, Instagram, Snapchat, TikTok e YouTube. Il dato che la settimana ha messo in luce è la doppia faccia del bilancio: 4,7 milioni di account under-16 rimossi, ma il 70% dei minori australiani, secondo i genitori, continua ad accedere ai social. Le piattaforme rischiano sanzioni fino a 49,5 milioni AUD.

L’esperimento australiano sta diventando il caso-studio globale: dimostra che age verification e ban non sono la stessa cosa (puoi rimuovere account ma non desideri d’uso), e che senza un’infrastruttura di identità digitale solida la conformità è teatrale. Per chi guarda al modello europeo, è un memento: il lancio dell’EU Age Verification App, feature-ready dal 15 aprile e in pilot con Francia, Italia, Spagna, Danimarca, Grecia, Cipro e Irlanda, è la scommessa europea per evitare lo stesso destino. La promessa tecnica, provare l’età senza condividere altri dati personali con anonimato preservato via zero-knowledge proofs, è elegante; l’adozione di massa è la vera incognita.

Fonti:

Deepfake scolastici: il fenomeno cresce, le scuole arrancano sul piano normativo

L’inchiesta WIRED ha documentato oltre 90 scuole e 600 studenti in 28 paesi vittime di deepfake sessuali generati con AI. Il pattern è ricorrente: ragazzi adolescenti che prendono foto innocenti dai social delle compagne, le passano in app di “nudification” e fanno circolare il risultato. Tecnicamente è CSAM (child sexual abuse material), ma le leggi esistenti sui non-consensual intimate images spesso richiedono di provare che l’immagine raffigura una persona reale in una situazione reale, uno standard che si rompe quando il corpo nudo è sintetizzato da zero.

A maggio Malwarebytes ha riportato il primo caso documentato di scuole costrette a rimuovere le foto degli studenti dai propri siti web per prevenire sextortion via deepfake. UNICEF ha rilanciato la formula “deepfake abuse is abuse” per spingere giurisdizioni e scuole a non trattare il fenomeno come “scherzo digitale”. Per chi lavora nelle scuole, il warning è duplice: serve un protocollo (chi denuncia, chi notifica le famiglie, chi conserva le prove digitali) e serve formazione sui docenti, perché la ricerca su scuole UK ha mostrato che molti insegnanti sottostimano la facilità d’uso della tecnologia e applicano risposte incoerenti.

Fonti:

Character.AI e Google verso il settlement: chiude un capitolo, ne apre un altro

Le cause intentate dalle famiglie dei minori suicidi dopo relazioni con chatbot Character.AI stanno andando verso mediated settlement. La notizia di gennaio 2026 ha avuto il suo strascico sostanziale in primavera: cinque cause in New York, Colorado, Texas e Florida sono in fase di chiusura. Il caso Sewell Setzer III, minore in relazione parasociale con un bot, suicidio nel 2024, è diventato il precedente narrativo per tutta la conversazione su AI companion e adolescenza.

Il settlement, per quanto chiuda i contenziosi specifici, non risolve il problema regolatorio: come si valutano i rischi di una tecnologia conversazionale che simula intimità con utenti in sviluppo? Le risposte stanno arrivando, in parallelo, dall’EU AI Act, il cui pieno enforcement è previsto per il 2 agosto 2026, con divieto già attivo per i sistemi che manipolano persone (inclusi minori) in modo dannoso, e dal G7, che a maggio ha siglato un accordo sui principi comuni per la protezione dei minori online. Per chi fa pratica clinica con adolescenti, la lezione è cruda: i chatbot relazionali non sono un giocattolo neutro, vanno trattati come fattore di contesto nell’anamnesi.

Fonti:

Meta porta i Teen Accounts su scala globale: contenuti 13+ ovunque

Il 28 aprile 2026 Meta ha esteso globalmente i 13+ content settings per gli account teen su Instagram, Facebook e Messenger, dopo il rollout limitato a USA, UK, Australia e Canada di ottobre 2025. La novità sostanziale è l’opzione “Limited Content”, filtro stringente che blocca commenti in lettura, scrittura e ricezione. In parallelo, Instagram sta testando un cap sulla frequenza con cui un singolo topic compare nel feed di un teenager, esplicitamente nutrizione, sollevamento pesi e ansia, i tre tunnel di rabbit-hole più documentati.

Il movimento di Meta è difensivo (anticipare l’enforcement DSA piuttosto che subirlo), ma porta con sé un dato interessante: l’azienda riconosce che il problema non è solo “che cosa vede un minore”, ma “quanto spesso vede la stessa cosa”. È la prima volta che una piattaforma maggiore implementa un meccanismo esplicito di topic-diversity nel ranking per minori. Per chi fa media education, è materiale didattico nuovo: si può mostrare in classe come l’algoritmo ammette i propri rischi.

Fonti:

⚖️ Monitor normativo

EU. L’AI Act entra nella fase di piena applicabilità il 2 agosto 2026; le regole di trasparenza scattano lo stesso giorno. La Commissione ha (aprile 2026) preliminarmente trovato Meta in violazione del DSA per non aver impedito accesso a Facebook/Instagram a under-13, e ha aperto investigazione formale contro Snapchat per la stessa ragione (marzo 2026). Su TikTok, le conclusioni preliminari di febbraio 2026 confermano violazione DSA per addictive design (infinite scroll, autoplay, personalized recommender) che non tutela minori e utenti vulnerabili. EU Age Verification App feature-ready dal 15 aprile, target rollout fine 2026, pilot in 7 Stati membri inclusa l’Italia.

USA. Kids Off Social Media Act (KOSMA), KOSA e App Store Accountability Act in movimento al Congresso. New York ha firmato la legge sui warning label social. Virginia: limite di un’ora al giorno per under-16 su Instagram, TikTok, Snapchat, YouTube dal 1° gennaio 2026. Almeno 19 stati con leggi su feed addictive o accesso minori; California SB 976 con age verification dal 31 dicembre 2026; Nebraska LB 383 dal 1° luglio 2026.

UK. Ofcom prevede pubblicazione del register delle categorised services a luglio 2026; risk assessment dovuti entro ottobre 2026, sintesi pubbliche entro novembre 2026.

Australia. Cinque investigazioni formali aperte il 31 marzo 2026; sanzioni potenziali fino a 49,5 milioni AUD.

Italia. Protocollo Garante Privacy–AGCOM per tavolo congiunto su age verification e codice di condotta per le piattaforme. Provvedimento Garante del 12 febbraio 2026 sul recepimento delle linee AGCOM. Age verification obbligatoria dal 2025 per siti adult content, gambling, alcol/tabacco.

Brasile. Digital ECA law in vigore dal 17 marzo 2026: age verification trasversale e consenso parentale per under-16 sui social. Danimarca ha annunciato ban dei social per under-15.

🧭 Pattern della settimana

Tre linee di forza attraversano la settimana e si parlano. La prima: l’enforcement diventa la nuova frontiera. Le leggi del 2023-2025 stanno entrando nella fase delle sanzioni, Australia che apre cinque investigazioni, Commissione che notifica preliminary findings a Meta, Snapchat, TikTok, Ofcom che predispone l’architettura sanzionatoria. La domanda non è più “ci sarà regolazione?” ma “che cosa farà chi non si conforma?”. Per chi lavora con i minori, questo significa che le conversazioni con le famiglie possono spostarsi dal “speriamo cambino le piattaforme” al “ecco cosa devono fare per legge”.

La seconda linea è il framing sanitario che si consolida. L’advisory del Surgeon General usa esplicitamente “public health crisis”; UNICEF parla di “abuse” per i deepfake scolastici; Internet Matters quantifica il danno residuo in percentuali. Il vocabolario clinico-epidemiologico sta vincendo sul vocabolario libertario-tecnologico. Il rischio collaterale, però, è la medicalizzazione del normale: trattare ogni uso intenso come patologia, perdere di vista che il digitale è il contesto di sviluppo, non un’aggiunta opzionale.

La terza linea è la scollatura crescente tra promessa tecnica e adozione reale. L’EU age verification app è tecnicamente elegante (zero-knowledge proofs, mini-wallet, privacy by design); il 70% dei minori australiani aggira il ban; le scuole rimuovono le foto degli studenti dai siti perché non riescono a stare al passo con la generazione di deepfake. La tecnologia di protezione esiste, ma l’infrastruttura sociale (formazione docenti, alfabetizzazione genitoriale, abitudini delle piattaforme) è in ritardo cronico. Qui c’è lo spazio operativo per chi forma e fa pratica: la legge non basta, serve costruire competenza.

Una nota di metodo: la maggior parte della ricerca peer-reviewed di alto profilo questa settimana è correlazionale (ABCD Study, cyberbullying meta-analisi, smartphone-depressione). Il dibattito pubblico tende a leggere “associato a” come “causa di”. È un punto da custodire, soprattutto se chiamati a parlare in contesti pubblici o formativi.

📌 Da tenere d’occhio