UK Online Safety Act: tutela o controllo?
Roberto Milani
7297 Views
0 Comments
Censura, controllo, crittografia, paternalismo digitale, privacy, tutela 12 min read
L’UK Online Safety Act 2023, entrato in vigore con Royal Assent[1] il 26 ottobre 2023, segna una tappa importante nella regolamentazione dell’ambiente digitale britannico. Si tratta di un intervento normativo ambizioso, volto a rispondere alle crescenti preoccupazioni circa i rischi legati all’uso di internet e delle piattaforme sociali, soprattutto per i minori.
Panoramica
Il provvedimento si inserisce in un contesto internazionale caratterizzato da un dibattito sempre più intenso sulla responsabilità delle piattaforme online, in parallelo a normative europee quali il Digital Services Act. A differenza di altre iniziative legislative, il Safety Act britannico si caratterizza per la durezza delle misure, per l’ampiezza degli obblighi imposti e per i poteri straordinari attribuiti a Ofcom[2], l’autorità di regolazione.
Dietro questa dichiarata ambizione di rendere il Regno Unito il “posto più sicuro al mondo” per navigare in rete, si celano in realtà criticità profonde che emergono sul piano legale, sociale e tecnico, al punto che molti analisti hanno messo in discussione la reale efficacia del provvedimento.
Criticità legali
Dal punto di vista giuridico, l’Online Safety Act ha introdotto un vero e proprio dovere di diligenza a carico delle piattaforme digitali: esse sono ora chiamate ad implementare sistemi idonei ad individuare e rimuovere contenuti illegali e dannosi, con la minaccia di sanzioni particolarmente pesanti che possono arrivare fino al dieci per cento del fatturato globale dell’impresa. L’attribuzione di tali poteri all’Ofcom conferisce all’autorità di vigilanza una posizione centrale nella governance digitale del Regno Unito, esercitando il ruolo di arbitro non solo tecnico ma anche politico e culturale, in quanto dovrà stabilire concretamente i confini di ciò che debba essere considerato “contenuto dannoso”.
L’aspetto più problematico è proprio la definizione e la gestione di tali contenuti: la vaghezza dei criteri rischia di produrre un effetto di iper-compliance[3] da parte delle piattaforme, che preferiranno rimuovere in via preventiva anche materiali leciti ma potenzialmente controversi, generando un effetto di “raffreddamento” del dibattito pubblico. Giuristi ed attivisti per i diritti digitali hanno denunciato il rischio di una compressione della libertà di espressione garantita dall’articolo 10 della Convenzione Europea dei Diritti dell’Uomo, mettendo in discussione la compatibilità della legge con il quadro dei diritti fondamentali.
Ancora più delicato è il capitolo relativo alla privacy ed alla crittografia: la previsione che l’Ofcom possa imporre la scansione preventiva dei contenuti inviati sulle piattaforme di messaggistica ha suscitato allarmi diffusi. Tale meccanismo, che il governo ha presentato come strumento di “ultima istanza” per individuare materiale pedopornografico ed altri contenuti illegali, rischia di essere nei fatti tecnicamente incompatibile con i sistemi di crittografia end-to-end[4]: le piattaforme che ne fanno uso, quali Signal e WhatsApp, hanno sottolineato che introdurre sistemi di scansione client-side equivarrebbe a creare una backdoor (porta di accesso) universale, compromettendo non solo la protezione della comunicazione privata, ma anche la sicurezza delle infrastrutture digitali nel loro complesso. Una tensione che mette in luce un conflitto insolubile tra le esigenze di sicurezza pubblica ed il diritto alla riservatezza delle comunicazioni, aprendo scenari all’interno dei quali sia minata alle radici la fiducia degli utenti nei servizi digitali.
Altrettanto controverso è il regime di verifica dell’età imposto a numerosi servizi digitali, inclusi quelli che offrono contenuti per adulti o spazi di interazione sociale: l’obbligo di implementare sistemi di age verification[5], che spesso implicano la raccolta di documenti o dati biometrici, apre la strada a nuove problematiche in materia di protezione dei dati personali. Non si tratta solo di procedure facilmente aggirabili, ma di un vero e proprio accentuato rischio di creare enormi banche dati di informazioni sensibili, esposte a violazioni ed usi impropri.
Una misura immaginata per la tutela, che potrebbe invece di prestare il fianco a vulnerabilità di sicurezza ed all’accesso a dati sensibili da parte di soggetti malintenzionati, ad un eccesso di controllo ed alla prevaricazione dei valori fondanti dell’utilizzo della rete.
Criticità sociali
La legge riflette una delle dicotomie tipiche delle società contemporanee: da un lato il desiderio di proteggere i soggetti vulnerabili, in particolare i minori, e dall’altro la necessità di preservare spazi di autonomia e libertà per gli individui adulti. Il “Safety Act” appare una risposta politica ad una crescente domanda sociale di sicurezza digitale, alimentata da scandali mediatici e da pressioni di gruppi di genitori ed associazioni. Un tipo di approccio che può facilmente degenerare in forme di “paternalismo digitale”, dove lo Stato definisca in maniera autoritativa cosa sia appropriato o meno per gli utenti, riducendo lo spazio per l’autodeterminazione.
Le reazioni dei cittadini hanno confermato tali preoccupazioni: la petizione contro la legge che ha raccolto centinaia di migliaia di firme dimostra il diffuso malcontento; il ricorso massiccio a strumenti quali le VPN[6], in grado di aggirare i controlli sull’età, rivela altresì quanto e come le misure rischino di risultare inefficaci e controproducenti. Più che proteggere i cittadini, simili norme possono piuttosto spingerli a cercare soluzioni alternative, meno sicure e meno trasparenti.
Il dibattito politico interno al Paese ha reso ancora più visibili le contraddizioni del provvedimento: esponenti del governo difendono la legge come proporzionata e necessaria, mentre figure quali Nigel Farage l’hanno definita “distopica”, paragonandola ai modelli di controllo digitale autoritario propri della Cina. Ad ampliare il fronte della contestazione, oltre al leader di Reform UK, anche diverse associazioni impegnate nella tutela della libertà di espressione che hanno denunciato i rischi di un’eccessiva criminalizzazione del dissenso online. Tra queste, diverse hanno richiamato l’attenzione sul caso di Graham Linehan, il comico e sceneggiatore di Father Ted, arrestato e detenuto per nove giorni a seguito della pubblicazione di tre tweet critici nei confronti del movimento trans, un episodio indicato quale esempio emblematico dei possibili abusi di un impianto normativo che risulti, nelle evidenze applicative, similmente sproporzionato.
Sul piano geopolitico, la legge ha sollevato critiche anche negli Stati Uniti, dove diversi parlamentari hanno messo in guardia contro l’esempio britannico, percepito come un pericoloso precedente di interferenza statale nella libertà di parola. Ciò dimostra come la regolamentazione del cyberspazio non sia solo un tema interno, quanto piuttosto un autentico campo di battaglia globale, in cui si intrecciano valori democratici, relazioni commerciali e strategie di soft power.
Il rischio, dunque, è che il Safety Act, concepito con l’intento rafforzare la fiducia dei cittadini nel digitale, finisca invece per eroderla, polarizzando l’opinione pubblica e rafforzando sentimenti di sfiducia verso le istituzioni e verso le piattaforme stesse.
Criticità tecniche
L’efficacia della legge appare problematica anche dal punto di vista tecnico: i sistemi di verifica dell’età imposti non solo risultano vulnerabili a manipolazioni, bensì implicano l’adozione di tecnologie che comportano gravi rischi per la sicurezza dei dati personali. L’uso di strumenti biometrici o di riconoscimento facciale per verificare l’età apre a scenari di sorveglianza di massa e di discriminazione algoritmica, senza garantire nei fatti la protezione dei minori. Parallelamente, l’adozione diffusa di VPN da parte degli utenti dimostra come tali misure siano facilmente aggirabili, riducendo la loro efficacia pratica.
Il conflitto più rilevante è però quello con la crittografia end-to-end: dal punto di vista tecnico, imporre scansioni preventive equivale ad intaccare il cuore stesso della protezione crittografica, riducendo il livello di sicurezza non solo per i cittadini britannici ma per l’intero ecosistema digitale globale. Gli esperti hanno avvertito che qualsiasi indebolimento dei meccanismi crittografici rappresenta un rischio sistemico, poiché le medesime vulnerabilità potrebbero essere sfruttate da attori malevoli, singoli o governi stranieri, entità al di là degli obiettivi originariamente perseguiti dal legislatore.
Altro elemento critico riguarda l’impatto sugli operatori economici: l’implementazione di sistemi di segnalazione, valutazioni di rischio e procedure di compliance rappresenta un onere significativo per le piattaforme. I grandi colossi tecnologici hanno risorse (economiche ed umane) sufficienti per adeguarsi, ma le piccole e medie imprese rischiano di essere di fatto escluse dal mercato e subire gravi difficoltà operative. Ciò potrebbe consolidare ulteriormente la posizione dominante dei giganti del web, riducendo l’innovazione e la diversità dell’ecosistema digitale, nonché sbilanciando ulteriormente la concorrenza di mercato.
In altre parole, una legge nata per aumentare la sicurezza rischia di avere l’effetto collaterale di ridurre la competitività e la vitalità del settore tecnologico britannico (e non solo).
Riepilogo
Il UK Online Safety Act 2023 è una legge che nasce da preoccupazioni reali e da obiettivi legittimi: proteggere i minori, contrastare i contenuti illegali, ridurre i rischi associati al digitale. La sua struttura normativa e le soluzioni tecniche che propone sembrano tuttavia caratterizzate da una logica più repressiva che costruttiva. Sul piano legale, la legge rischia di compromettere la libertà di espressione e la privacy, introducendo strumenti che minano la crittografia e creano nuovi rischi riguardo ai dati personali. Sul piano sociale, genera sfiducia e polarizzazione, apparendo come un esempio di paternalismo digitale che riduca l’autonomia degli individui adulti. Sul piano tecnico, si fonda su soluzioni poco efficaci, onerose e facilmente aggirabili, con effetti distorsivi sul mercato e sull’innovazione.
Il paradosso del Safety Act è che, nel tentativo di rendere internet più sicuro, rischia di renderlo più controllato, meno libero e meno competitivo. La sfida per il futuro sarà trovare un equilibrio tra protezione e diritti fondamentali, tra esigenze di sicurezza e sostenibilità tecnica. Senza una revisione profonda, il provvedimento rischia di rimanere più uno strumento di controllo burocratico e politico che una vera garanzia di tutela sociale.
Riferimenti bibliografici:
- Commons Library. (2025). The Online Safety Act: implementation and early challenges. UK Parliament.
https://commonslibrary.parliament.uk/research-briefings/cdp-2025-0043/ - CSIS. (2023). A new chapter in content moderation: unpacking the UK Online Safety Bill. Center for Strategic and International Studies.
https://www.csis.org/analysis/new-chapter-content-moderation-unpacking-uk-online-safety-bill - Electronic Frontier Foundation (EFF). (2025, August 5). No, the UK’s Online Safety Act doesn’t make children safer online.
https://www.eff.org/deeplinks/2025/08/no-uks-online-safety-act-doesnt-make-children-safer-online - Financial Times. (2025, August 3). Nigel Farage vows to repeal Britain’s “dystopian” Online Safety Act.
https://www.ft.com/content/886ee83a-02ab-48b6-b557-857a38f30c1d - PC Gamer. (2025, August 4). The UK government says it has “no plans to repeal the Online Safety Act” in response to petition.
https://www.pcgamer.com/hardware/the-uk-government-say-it-has-no-plans-to-repeal-the-online-safety-act-in-response-to-380-000-strong-and-counting-petition/ - PwC. (2023). The UK Online Safety Act: implications for tech companies. PricewaterhouseCoopers.
https://www.pwc.com/us/en/services/consulting/cybersecurity-risk-regulatory/library/tech-regulatory-policy-developments/uk-online-safety-act.html - Reuters. (2025, August 1). UK’s Online Safety law is putting free speech at risk, X says.
https://www.reuters.com/world/uk/uks-online-safety-law-is-putting-free-speech-risk-x-says-2025-08-01/ - The Guardian. (2025, August 4). Social media battles and barbs on both sides of Atlantic over UK Online Safety Act.
https://www.theguardian.com/technology/2025/aug/04/social-media-battles-and-barbs-on-both-sides-of-atlantic-over-uk-online-safety-act
Note:
[1] Il Royal Assent è l’atto formale con cui il Sovrano del Regno Unito approva un progetto di legge votato dal Parlamento, rendendolo legge a tutti gli effetti.
[2] L’Ofcom (Office of Communications) è autorità indipendente di regolamentazione nel Regno Unito per i settori delle telecomunicazioni, dei media e dei servizi digitali. Ha il compito di vigilare sul rispetto delle leggi in materia di comunicazioni, promuovere la concorrenza e tutelare gli utenti.
[3] Con iper-compliance si intende la tendenza delle piattaforme digitali ad applicare in modo eccessivamente prudenziale le norme di riferimento, rimuovendo o limitando anche contenuti leciti nel timore di incorrere in sanzioni, con l’evidente rischio che ciò comporti il restringimento indebito della libertà di espressione.
[4] La crittografia end-to-end è il sistema di protezione delle comunicazioni digitali in cui i messaggi vengono cifrati sul dispositivo del mittente e decifrati solo su quello del destinatario, impedendo l’accesso dei contenuti a terzi, ivi inclusi i fornitori del servizio stesso.
[5] I sistemi di age verification sono meccanismi tecnici e procedurali utilizzati dalle piattaforme digitali per verificare l’età degli utenti, generalmente tramite documenti d’identità, dati biometrici od altri metodi di autenticazione, aventi come obiettivo quello di limitare l’accesso dei minori a contenuti o servizi riservati agli adulti.
[6] Con VPN (Virtual Private Network) si indica la tecnologia che crea una connessione sicura e criptata tra il dispositivo dell’utente ed internet, mascherando l’indirizzo sorgente e proteggendo i dati trasmessi. Viene usata per tutelare la privacy online, accedere in modo sicuro a reti remote, ma anche per aggirare restrizioni geografiche o di accesso.
