Le nuove leggi richiedono che i siti per adulti verifichino che una persona abbia più di 18 anni prima di consentirle l'accesso al porno. Tuttavia, non consentono ai siti per adulti di gestirlo da soli; richiedono loro di utilizzare società terze per elaborare le transazioni, il che spesso porta a vulnerabilità del sistema.
Ma oltre al semplice rischio di essere hackerati, ci sono altri problemi, come il rispetto delle leggi sulla privacy dell’UE pur rispettando la legge nazionale sulla verifica dell’età. Diciamo solo che si tratta di un delicato equilibrio, soprattutto quando le leggi spesso si contraddicono tra loro.
Questo è quello che sta succedendo a Yoti.
L'autorità spagnola per la protezione dei dati ha multato di 950.000 euro (1.086.894 dollari) la società britannica di verifica dell'identità Yoti Ltd dopo aver riscontrato molteplici violazioni delle norme sulla protezione dei dati dell'Unione Europea nella sua applicazione di identificazione digitale.
L'azione esecutiva è stata emessa dall'Agencia Española de Protección de Datos, comunemente nota come AEPD. La risoluzione è stata firmata dal presidente dell'AEPD Lorenzo Cotino Hueso e pubblicata con il riferimento EXP202317887.
Secondo l'autorità, la società ha violato diverse disposizioni del Regolamento generale sulla protezione dei dati nel funzionamento della sua applicazione di identificazione digitale, comprese le norme che regolano i dati biometrici, il consenso dell'utente e la conservazione dei dati.
Le sanzioni sono state suddivise in tre distinte violazioni. La Spagna ha imposto una multa di 500.000 euro (572.000 dollari) per trattamento illegale di dati biometrici ai sensi dell’articolo 9 del GDPR. Una seconda sanzione di 200.000 euro (228.000 dollari) è stata emessa per pratiche di consenso non valide relative al trattamento di ricerca e sviluppo ai sensi dell'articolo 7. La terza sanzione, di 250.000 euro (286.000 dollari), è stata imposta per conservazione eccessiva di dati personali in violazione del principio di limitazione della conservazione di cui all'articolo 5.1 (e).
Oltre alle sanzioni finanziarie, l’autorità di regolamentazione ha ordinato a Yoti di attuare misure correttive entro sei mesi dal momento in cui la decisione diventa definitiva.
Yoti fornisce strumenti di verifica dell'età e di identità digitale utilizzati dalle piattaforme online in più paesi. La società, registrata nel Regno Unito, ha registrato un fatturato di 15.029.907 euro (17.195.706 dollari) a marzo 2025, una cifra che le autorità di regolamentazione utilizzano per determinare l'entità delle sanzioni.
L'azione di contrasto è incentrata sull'applicazione ID digitale di Yoti, che consente agli utenti di creare un account di identità verificata caricando un documento di identità rilasciato dal governo e scattando un selfie.
Secondo i documenti presentati durante l'indagine, l'app utilizza reti neurali profonde per stimare l'età di un utente. L'immagine facciale viene convertita in valori di pixel ed elaborata attraverso strati di nodi matematici, producendo una stima dell'età generalmente compresa tra 1 e 1,5 secondi.
Yoti offre diversi metodi di verifica dell'età ai clienti aziendali, tra cui la stima dell'età facciale, la verifica dei documenti, i controlli delle carte di credito, la verifica del numero di cellulare e le ricerche nel database. L'azienda fornisce inoltre integrazioni di identità elettronica utilizzate in paesi come Svizzera, Danimarca e Finlandia, nonché supporto per patenti di guida mobili statunitensi.
Nella maggior parte delle integrazioni client, gli operatori della piattaforma agiscono come titolari del trattamento dei dati mentre Yoti funge da responsabile del trattamento. All'interno dell'app ID digitale stessa, tuttavia, Yoti funge da responsabile del trattamento.
La sanzione più grande imposta dalle autorità spagnole riguarda il trattamento dei dati biometrici facciali.
Le autorità di regolamentazione spagnole avevano precedentemente multato l'FC Barcelona di 500.000 euro (572.000 dollari) per non aver condotto una valutazione d'impatto sulla protezione dei dati relativa all'identificazione biometrica dei membri del club. L'autorità ha inoltre imposto ad AENA una multa di 1,8 milioni di euro (2.059.378 dollari) per l'implementazione del riconoscimento facciale negli aeroporti.
In tutta Europa, le autorità di regolamentazione stanno aumentando il controllo dei sistemi di identità digitale utilizzati per la verifica dell’età e il controllo dell’accesso online. Le linee guida emesse dal Comitato europeo per la protezione dei dati hanno sottolineato che le tecnologie di controllo dell’età devono utilizzare il metodo meno invasivo possibile ed evitare di creare ulteriori rischi di tracciamento o profilazione.
La sentenza Yoti segnala che le autorità di regolamentazione esamineranno attentamente come sono progettati i sistemi biometrici, in particolare quando coinvolgono bambini o generano modelli di identità persistenti.
Ma ad essere onesti, è probabile che vedremo nuovamente multe come questa in futuro con Yoti e altri fornitori di servizi di verifica dell'età, poiché le leggi sulla conformità alla verifica dell'età spesso sono in conflitto con le leggi sulla privacy.
