Snapchat non ha protetto i minori dalla sua architettura

L’indagine europea punta al design della piattaforma, non solo agli annunci, per i rischi di grooming e contenuti illegali.

Mentre Snapchat annunciava di aver limitato algoritmicamente la personalizzazione degli annunci per gli utenti tra 13 e 17 anni nell’UE e nel Regno Unito — riducendo i segnali di targeting a pochi parametri essenziali come lingua, età e posizione geografica — l’indagine formale della Commissione europea su Snapchat sollevava un problema molto più strutturale. Non si tratta solo di come vengono serviti gli annunci: si tratta di come l’intera architettura dell’app possa esporre i minori ad adescamento, reclutamento per attività criminali e accesso a beni illegali come droghe, o prodotti a età limitata come sigarette elettroniche e alcol. La procedura è stata avviata lo scorso 27 marzo.

Il codice sotto accusa: come Snapchat ha fallito sulla sicurezza

Snapchat conta 94,7 milioni di utenti mensili nell’UE ed è una delle piattaforme più usate da adolescenti e giovani. La Commissione ha sospettato che l’app consenta ad adulti di fingersi minorenni per adescare bambini verso sfruttamento sessuale e altre attività criminali — un vettore di attacco che non è un bug, ma una conseguenza di scelte progettuali: sistemi di verifica dell’età deboli, raccomandazioni algoritmiche non calibrate per il profilo di rischio degli utenti under-18, interfacce che non differenziano sufficientemente l’esperienza in base all’età dichiarata. La limitazione degli annunci personalizzati è una risposta tattica, non strategica: rimuovere i segnali di behavioral targeting per i minori è necessario, ma non risolve il problema a monte di chi può raggiungere chi all’interno della rete sociale dell’app. Rimane aperta la domanda su come Snapchat intenda ridisegnare i layer di discovery e raccomandazione, che sono il vero punto critico.

L’anatomia del DSA: smontare le piattaforme pezzo per pezzo

Il Digital Services Act non è una legge sulla privacy nel senso classico del GDPR. È un framework di responsabilità per i rischi sistemici generati dalle piattaforme digitali. Per i provider di grandi dimensioni — quelli con oltre 45 milioni di utenti attivi nell’UE — il DSA impone una valutazione periodica dei rischi, misure di mitigazione proporzionate e audit indipendenti. Per i minori in particolare, già nel luglio 2025 la Commissione aveva pubblicato linee guida specifiche sulla protezione dei minori che elencano misure concrete contro grooming, contenuti dannosi, comportamenti problematici e dipendenza, cyberbullismo e pratiche commerciali scorrette. Non si tratta di raccomandazioni vaghe: le linee guida descrivono categorie di intervento che le piattaforme devono saper implementare a livello di sistema.

Il caso Snapchat non è isolato. Lo scorso marzo, la Commissione aveva già accusato quattro siti pornografici — Pornhub, Stripchat, XNXX e XVideos — di non aver impedito ai minori di accedere a contenuti per adulti, concludendo che queste piattaforme non avevano identificato né valutato diligentemente i rischi che i loro servizi pongono agli utenti minorenni. Il pattern è lo stesso: mancanza di una risk assessment credibile e di meccanismi tecnici di enforcement. Il confronto con Meta e TikTok è istruttivo: nei confronti di entrambe le piattaforme, la Commissione aveva formulato rilievi preliminari per violazione degli obblighi di trasparenza, in particolare sull’accesso ai dati pubblici da parte dei ricercatori. Entrambe avevano posto ostacoli tecnici e procedurali a chi cercava di studiare l’esposizione dei minori a contenuti illegali o dannosi. Per Meta — sia Instagram che Facebook — i rilievi riguardavano anche l’assenza di meccanismi semplici per segnalare contenuti illegali e la difficoltà per gli utenti di contestare le decisioni di moderazione. Tre contesti diversi, tre violazioni diverse, un unico principio sottostante: l’opacità come default.

Le conseguenze potenziali per Snapchat non sono simboliche. Il DSA prevede le sanzioni fino al 6% del fatturato globale delle piattaforme in caso di violazione accertata. Per dare un ordine di grandezza: si tratta di una cifra che supera ampiamente i budget di interi dipartimenti di sicurezza. Il meccanismo di enforcement del DSA è quindi costruito per essere economicamente deterrente, non solo simbolicamente punitivo. A questo si aggiunge il contesto geopolitico più ampio: già a dicembre 2025, l’Australia era diventata il primo paese al mondo a vietare i social media ai minori di 16 anni, obbligando dieci piattaforme — tra cui TikTok, YouTube, Instagram e Facebook — a bloccare l’accesso ai minori sotto pena di multe fino a 49,5 milioni di dollari australiani. La pressione regolatoria è coordinata e si muove in parallelo su più fronti.

Riprogettare lo stack: dalle multe alle architetture

Pensate al DSA come a un sistema operativo che gira sotto le piattaforme: non gestisce direttamente i contenuti, ma definisce le system call che le piattaforme devono implementare per operare legalmente. Così come un’applicazione non può ignorare i permessi del kernel, una piattaforma non può ignorare gli obblighi di risk assessment e mitigazione imposti dal regolamento. La differenza rispetto al passato è che ora queste “system call” hanno conseguenze concrete e verificabili. Per Snapchat, questo significa che la conformità non può essere delegata a un documento di policy: deve essere scritta nel codice. La verifica dell’età deve diventare un componente affidabile del processo di registrazione, non un checkbox da spuntare. I sistemi di raccomandazione per gli utenti minorenni devono incorporare vincoli espliciti sulla tipologia di contenuti e connessioni suggeriti. Le API di accesso ai dati per i ricercatori devono essere progettate come feature di prima classe, non come concessioni riluttanti.

La sfida tecnica reale è che molti di questi requisiti sono in tensione con le ottimizzazioni che massimizzano l’engagement — l’obiettivo su cui sono stati costruiti gli algoritmi di raccomandazione delle piattaforme negli ultimi dieci anni. Un sistema di raccomandazione ottimizzato per il tempo trascorso sull’app tende a proporre contenuti emotivamente attivanti, connessioni sociali rapide, discovery verso utenti sconosciuti. Tutte caratteristiche che aumentano il rischio per un utente vulnerabile. Riscrivere questi sistemi con vincoli di sicurezza integrati non è impossibile — è ingegneria di sistema ben definita — ma richiede di accettare che alcune metriche di engagement scenderanno. Questa è la vera discontinuità che il DSA impone: non una modifica superficiale all’interfaccia, ma un ribilanciamento della funzione obiettivo degli algoritmi.

Per chi costruisce prodotti digitali, il DSA non è più solo burocrazia da gestire con un ufficio legale: è un driver concreto per ripensare come vengono progettati raccomandatori, sistemi di verifica identità e meccanismi di moderazione. La protezione dei minori smette di essere una feature aggiunta a posteriori e diventa un requisito fondazionale dello stack — tanto quanto la scalabilità o la latenza. La domanda non è più se le piattaforme debbano farlo, ma quanto tempo impiegheranno a capire che è più conveniente progettarlo dall’inizio che retrofittarlo sotto la pressione di un’indagine formale.