Il Servizio di Ricerca del Parlamento Europeo ha pubblicato un documento che sta facendo discutere: nei paragrafi destinati all’analisi sulla protezione dei minori online le VPN vengono ritenute “una scappatoia nella legislazione che va chiusa”. È la prima volta che un organo di ricerca dell’UE inquadra esplicitamente le reti private virtuali non come strumenti di privacy, ma come un problema regolatorio da risolvere.
Virtual private networks #VPN are increasingly used to bypass online age verification.
Protecting children online is a priority, with new rules being implemented requiring a minimum age for access to some services
Read👉 https://t.co/XKK8ACwgtf#DSA @EP_Justice @FZarzalejos pic.twitter.com/kqzqTVGkRI
— European Parliamentary Research Service (@EP_EPRS) May 6, 2026
Nel documento rilasciato dall’EPRS si può leggere tutto il ragionamento che ha portato a tale conclusione: nel Regno Unito, dopo che l’Online Safety Act è entrato in vigore nel 2025 imponendo alle piattaforme di impedire ai minori l’accesso a contenuti dannosi, metà delle dieci app gratuite più scaricate negli store britannici erano servizi VPN. Un solo sviluppatore ha registrato un’impennata di download dell’1.800% nel primo mese.
In Francia, dove Pornhub ha oscurato il proprio sito dopo l’introduzione della verifica dell’età obbligatoria, la risposta è stata identica: impennata di VPN.
La logica è quindi semplice: ogni volta che un legislatore alza un muro l’uso della VPN diventa la scala per scavalcarlo.
La soluzione proposta da alcuni, e sostenuta esplicitamente dalla Children’s Commissioner for England, è imporre la verifica dell’età anche per accedere ai servizi VPN stessi ma è un’idea che i provider e le associazioni per la privacy definiscono “autolesionistica”: l’unico modo per verificare che un utente sia adulto è raccogliere e conservare dati anagrafici di tutti gli iscritti, costruendo di fatto un registro anagrafico degli utenti VPN che contraddice alla radice il motivo per il quale le VPN esistono. Tutelare la privacy delle persone.
Il documento EPRS mette in luce un problema sul quale non si può chiudere un occhio: internet è diventato un problema serio per i minori e la verifica dell’età per accedere a certi servizi rimane una sfida tecnica che nessuno ha ancora risolto.
I sistemi attuali come l’autodichiarazione, la stima dell’età e la verifica documentale sono tutti aggirati con facilità dai minori spesso più abili dei genitori quando si tratta di usare un computer o uno smartphone. Uno studio citato nel documento rileva che il 94% dei bambini danesi ha un account social media prima dei 13 anni e che nel Regno Unito bambini dagli otto anni in su risultano aver fatto accesso a contenuti pornografici online.
Ricordiamo che anche la Commissione Europea ha rilasciato un’app ufficiale di verifica dell’età, presentandola come strumento privacy-preserving, ma poche settimane dopo il lancio si è scoperto che l’app conservava immagini biometriche in posizioni non cifrate e presentava vulnerabilità che avrebbero consentito agli utenti di aggirare i controlli. Quello che chiede la regolamentazione non è facile al giorno d’oggi da implementare tecnicamente.
L’app europea per la verifica dell’età è “tecnicamente pronta”. Ma non rispetta il GDPR
Le VPN nel mirino da più fronti: da Piracy Shield alla Corte di Giustizia
La pressione sulle VPN non riguarda solo la tutela dei minori: in Italia, lo sappiamo, AGCOM ha esteso Piracy Shield ai provider VPN e ai DNS pubblici già nel febbraio 2025, chiedendo loro di bloccare i contenuti audiovisivi piratati entro trenta minuti dalla segnalazione.
Quando Cloudflare si è rifiutata di conformarsi, l’autorità le ha inflitto una multa da oltre 14 milioni di euro pari all’1% del fatturato globale 2024, questo per non aver disabilitato la risoluzione DNS e il routing del traffico verso domini e indirizzi IP identificati come fonti di streaming pirata. La questione è ancora pendente.
In Francia e Spagna i tribunali hanno emesso ordini diretti contro NordVPN, ExpressVPN e ProtonVPN su richiesta di Canal+ e LaLiga, ritenendole “partecipanti attivi” nella catena della pirateria per il solo fatto di pubblicizzare la capacità di bypassare restrizioni geografiche. ProtonVPN ha resistito sollevando questioni di giurisdizione, ma i tribunali hanno respinto i ricorsi. In Spagna un tribunale di Cordoba ha emesso gli ordini di blocco senza nemmeno consentire ai provider di presentare una difesa.
In questo contesto si inserisce anche la sentenza più attesa dell’anno: avevamo raccontato come la Corte di Giustizia UE debba pronunciarsi su un caso apparentemente tecnico, ovvero sui diritti del Diario di Anna Frank e sul geoblocking applicato da un sito belga per rispettare il copyright olandese.
Se qualcuno aggira un blocco geografico con una VPN, chi è responsabile: Il publisher, il provider VPN o l’utente? L’Avvocato Generale Rantos ha già pubblicato la sua opinione non vincolante: le VPN sono strumenti neutri, il provider non risponde dell’uso che ne fa l’utente, e aggirare un geoblocking non costituisce di per sé una violazione del diritto d’autore.
La sentenza finale, attesa entro fine 2026, potrebbe ribaltare o confermare questa posizione, ridisegnando il quadro giuridico in cui si muovono tutti i casi aperti in Europa: una VPN è uno strumento neutro o un complice?