L'atto è arrivato a una sola società

Il 16 luglio 2026 Ofcom, l'autorità britannica per le comunicazioni, ha aperto un'indagine formale sulle misure di verifica dell'età adottate da TikTok Information Technologies UK Ltd. Il dovere in questione è la section 12 dell'Online Safety Act 2023, e quegli obblighi sono in vigore dal 25 luglio 2025. Un soggetto nominato, una disposizione di legge nominata, un'autorità che ha deciso che la fase informale è finita.

La sanzione massima prevista dalla legge è di GBP 18 milioni oppure il 10% del fatturato mondiale rilevante, se maggiore. Per una società delle dimensioni di TikTok è la seconda ipotesi a contare, e la prima - all'incirca EUR 21 milioni al cambio attuale - è un pavimento più che un tetto. Ofcom ha dichiarato che la raccolta delle prove durerà almeno tre mesi e che fornirà un aggiornamento nell'ottobre 2026.

Letta come notizia, è una piattaforma sotto esame. Letta come segnale, è qualcosa di ben più ampio, per via di ciò che Ofcom ha scelto di mettere in discussione.

A processo c'è il metodo

Ofcom non contesta che TikTok non abbia fatto nulla. Contesta che TikTok si affidi all'inferenza dell'età - stimare l'età da segnali comportamentali e di profilo che l'utente già emette - anziché alla verifica dell'età. L'inferenza dell'età non è esplicitamente elencata nelle linee guida di Ofcom fra i metodi capaci di essere altamente efficaci nella verifica dell'età.

Quella distinzione è l'intero caso, e non si ferma a una società. Un'autorità che apre un'indagine sulla premessa che una tecnica esca dalla sua stessa lista di metodi accettabili ha messo in guardia la tecnica, non soltanto il suo utilizzatore più visibile. Ogni operatore di un servizio rivolto al Regno Unito che ha scelto l'inferenza ha la stessa esposizione, senza il titolo di giornale.

La parte scomoda per un consiglio è che l'inferenza non sembra una lacuna. Sembra un controllo. Produce un'età, registra una decisione e in un documento di conformità può essere descritta come una verifica dell'età. La posizione dell'autorità è che descriverla così non la rende tale.

L'inferenza è stata scelta perché non chiede

L'inferenza è diventata lo standard per una ragione commerciale, non tecnica. Non richiede il caricamento di un documento, non produce abbandoni in fase di registrazione e non apre una conversazione sul consenso biometrico da spiegare agli utenti o a un responsabile della protezione dei dati. È la verifica dell'età che in cima all'imbuto non costa nulla.

Ed è proprio questo il problema. La proprietà che ha reso attraente l'inferenza è la proprietà che la rende insufficiente: funziona perché non chiede. Un metodo costruito per evitare l'attrito è, per costruzione, un metodo costruito per evitare il momento in cui un utente afferma qualcosa di verificabile. Le linee guida di Ofcom riconoscono metodi che creano quel momento. L'inferenza è progettata per saltarlo.

Il caso commerciale e quello di conformità puntano dunque in direzioni opposte, e ogni operatore che ha fatto quel calcolo nel 2025 lo ha fatto prima che l'autorità scoprisse le carte. Non è un errore di giudizio. È una posizione che ora va rivista per iscritto.

La trappola dell'elusione

La seconda metà dell'esposizione è arrivata lo stesso giorno, dalla stessa autorità. Il 16 luglio 2026 Ofcom ha pubblicato una ricerca secondo cui l'uso quotidiano di VPN nel Regno Unito è all'incirca raddoppiato da quando sono entrati in vigore gli obblighi di verifica dell'età: circa 2,2 milioni di utenti al giorno, contro circa 1,2 milioni prima del 25 luglio 2025. Gli utenti aggirano i controlli a un ritmo all'incirca doppio rispetto a prima.

La ministra britannica della Tecnologia, Liz Kendall, ha dichiarato che le VPN non saranno sottoposte a verifica dell'età né vietate, e che l'onere di impedire l'elusione ricade sulle piattaforme. È una scelta politica coerente. Per un operatore è anche difficile da assorbire: lo strumento usato per superare la barriera dell'età resta fuori campo, e del risultato si risponde comunque.

Messe insieme le due metà, la posizione di conformità è più netta di quanto appaia. Una piattaforma può dover rispondere di un tasso di elusione che non controlla, usando un metodo di verifica su cui potrebbe non essere autorizzata a fare affidamento. Non è ciò che suggerisce la frase "abbiamo aggiunto una verifica dell'età" quando compare in un documento per il consiglio.

Cosa rientra nell'ambito e cosa no

Questo è diritto britannico. È lo UK Online Safety Act 2023, applicato da un'autorità britannica, e non si applica nell'Unione europea. Il lavoro dell'UE sulla protezione dei minori e sulla verifica dell'età procede su un binario separato, e nulla dell'indagine su TikTok cambia la posizione giuridica di un operatore attivo solo nell'UE.

L'ambito che morde è territoriale, non societario. Un operatore stabilito ovunque nell'UE che serve utenti britannici rientra nel regime del Regno Unito indipendentemente da dove sia costituito. E la categoria è più ampia delle piattaforme social: alcolici, gioco d'azzardo, cosmetica, coltelli, finanza, incontri e gaming portano tutti contenuti, prodotti o funzioni soggetti a limiti di età sul mercato britannico. La nostra lettura, offerta come lettura e non come legge, è che la direzione di marcia sia condivisa su entrambe le sponde della Manica, e che la verifica basata su inferenza sia il metodo che più probabilmente verrà messo alla prova per primo.

L'azione è stretta e specifica. Scoprite su quale metodo di verifica dell'età il vostro servizio si appoggia davvero oggi, e se è uno di quelli che le linee guida di Ofcom riconoscono come capaci di essere altamente efficaci. "Abbiamo una barriera d'età" non è una risposta a quella domanda. Chiedetelo al team di prodotto prima dell'aggiornamento di Ofcom dell'ottobre 2026, perché dopo quella data la risposta smette di essere una questione di pianificazione.