✅ Come funziona la nuova verifica dell’età online in Italia (dal 12 novembre 2025)

  

A partire dal 12 novembre 2025, in Italia è entrato in vigore (Delibera AGCOM 96/25/CONS) un nuovo sistema standard per verificare l’età degli utenti online. L’obiettivo è semplice: dimostrare di essere maggiorenni senza rivelare la propria identità, in modo sicuro, interoperabile e rispettoso della privacy.

La tecnologia alla base di questo meccanismo è la stessa del nuovo EUDI Wallet e sfrutta il protocollo OpenID for Verifiable Credential Issuance (OID4VCI), lo standard più avanzato per la gestione di attestazioni digitali verificabili.

In questo articolo vediamo, in modo semplice, chi fa cosa, come viene creata la verifica dell'età (Proof of Age) e come si usa per accedere ai siti che chiedono una verifica dell’età.

🔗 Ti piace Techelopment? Dai un'occhiata al sito per tutti i dettagli!

💻 I servizi coinvolti

Il sistema funziona grazie a tre servizi principali:

1. eID / Identity Provider (IdP)

È il servizio che identifica l’utente (es. SPID, CIE o altri sistemi eIDAS). Non fornisce dati personali ai siti, ma soltanto un token firmato necessario per calcolare l’età.

2. Age Verification Issuer (issuer.ageverification.dev)

È il servizio che riceve il token dell’identità (eID/IdP), calcola l’età dell’utente e genera l’attestazione (“Proof of Age”). Importante: non conserva la data di nascita e non espone alcun dato personale.

3. Servizio richiedente

Per esempio l’app ufficiale della Commissione Europea, o un sito web che richiede la verifica dell’età. Riceve soltanto il risultato: “over 18” o un altro valore booleano.

📜 Come si ottiene la “Proof of Age”

La “Proof of Age” è un attestato digitale che dice, per esempio, che sei over 18, senza rivelare chi sei.

Vediamo i passaggi utilizzando l'app della Commissione Europea.

Step 1 — Richiesta dell’attestato

L’utente apre l’app della Commissione Europea e chiede di verificare la propria età.

Il flusso è:

1. L’app chiede all’utente di autenticarsi con un eID/IdP (es. SPID).
2. Una volta autenticato, l’app invia a issuer.ageverification.dev (Age Verification Issuer) un token firmato, che contiene solo gli attributi strettamente necessari (nessun dato personale leggibile).
3. Il token serve all’Age Verification Issuer per calcolare in modo affidabile l’età.

Step 2 — Verifica e generazione della Proof of Age

L’Age Verification Issuer (issuer.ageverification.dev):

1. Riceve il token firmato dal nodo eIDAS (tramite l’app della Commissione Europea allo Step 1).
2. Stabilisce con certezza l’età dell’utente senza conservarne la data di nascita.
3. Genera un nuovo token crittografico, sotto forma di JWT o mso_mdoc, contenente soli attributi booleani, per esempio:

{
  "eu.europa.ec.av.1": {
    "age_over_13": true,
    "age_over_16": true,
    "age_over_18": true,
    "age_over_21": false
  }
}

Questi valori:

• sono firmati digitalmente con l’algoritmo ES256 (Elliptic Curve Digital Signature)
• possono essere verificati da qualunque servizio ricevente
• non contengono dati personali

Il token viene poi trasmesso tramite un flusso sicuro OAuth2 Authorization Code con PKCE, usando canali cifrati con AES-GCM e RSA-OAEP.

Step 3 — Ricezione dell’esito

L’app della Commissione Europea riceve il token firmato dall'Age Verification Issuer (step 2).

Se il valore age_over_18 è true, l’app mostra un messaggio del tipo “Età verificata”.

A questo punto l’utente ha una Proof of Age valida, pronta per essere utilizzata nei siti che richiedono la maggiore età.

Schema riepilogativo degli Step

📱 Come avviene l’accesso ai siti che richiedono la verifica dell’età

Una volta ottenuta la Proof of Age, l’utente può usarla per accedere ai siti che richiedono la maggiore età.

Il flusso è molto semplice:

1. Il sito genera un QR code

Quando un utente accede a un sito che richiede la verifica dell’età, il sito mostra un QR code.

2. L’utente lo scansiona con l’app della Commissione Europea

L’app:

• legge il QR
• crea una Verifiable Presentation (VP) firmata localmente
• include soltanto l’attributo strettamente necessario, ad esempio:

{
  "age_over_18": true
}

3. L’app invia la VP al sito

La trasmissione avviene tramite connessione HTTPS sicura.

4. Il sito verifica la firma

Il server del sito:

• controlla la firma ES256
• verifica la validità della chiave pubblica dell’emittente
• conferma che la prova è autentica e non alterata
• verifica l'età

Se tutto è valido, l’accesso viene autorizzato.

Il sito non conosce mai nome, cognome, data di nascita, SPID o altri dati personali dell’utente.

Perché questo sistema è un grande passo avanti

• ✔ Privacy totale — Nessun sito riceve informazioni personali.
• ✔ Standard — Si basa su protocolli standardizzati.
• ✔ Sicurezza elevata — Firma digitale ES256, token crittografici, OAuth2 + PKCE.
• ✔ Controllo all’utente — Solo l’utente decide quando condividere la prova.
• ✔ Interoperabilità — Basato sui protocolli dell’EUDI Wallet.

Conclusione

La nuova verifica dell’età permette finalmente di dimostrare di essere maggiorenni senza rinunciare alla privacy. Grazie ai token firmati, alle attestazioni verificabili e ai protocolli di sicurezza avanzati, gli utenti possono accedere ai servizi online in modo semplice, sicuro e rispettoso dei loro dati personali.

Riferimenti

• Come funziona la verifica dell'età dal 12 novembre: l'abbiamo provata — https://www.ilsoftware.it/come-funziona-la-verifica-delleta-dal-12-novembre-labbiamo-provata/

Follow me #techelopment

Official site: www.techelopment.it
facebook: Techelopment
instagram: @techelopment
X: techelopment
Bluesky: @techelopment
telegram: @techelopment_channel
whatsapp: Techelopment
youtube: @techelopment