Due verdetti in due giorni hanno bucato per la prima volta lo scudo legale delle Big Tech, aprendo la strada alla responsabilità delle piattaforme per come sono progettate. Ma dietro alla vittoria dei tribunali, qualcuno sta usando la retorica della protezione dei minori per costruire la più grande infrastruttura di sorveglianza della storia democratica.
Io ve lo dico, è forse la cosa più potente che ho scritto negli ultimi due anni, insieme a Tette e Gattini.
Le ventisette parole che hanno plasmato il mondo
Nel 1906, a Chicago, un giornalista di nome Upton Sinclair pubblicava The Jungle, un romanzo pensato per raccontare lo sfruttamento degli operai nei mattatoi; il pubblico, invece, rimase inorridito dalle condizioni igieniche della carne, e nel giro di mesi il Congresso approvò la prima legge federale sulla sicurezza alimentare. Sinclair, amareggiato, commentò con una frase celebre: “Puntavo al cuore del pubblico, e per sbaglio gli ho colpito lo stomaco.” Centoventi anni dopo siamo esattamente allo stesso punto, con una differenza: il mattatoio è digitale, la carne siamo noi, e la legge che sta per cambiare non riguarda il cibo che ingeriamo, ma le informazioni che ci vengono somministrate fin da bambini.
Per capire perché quello che è successo il 24 e 25 marzo 2026 in due tribunali americani è così dirompente, bisogna riavvolgere il nastro fino al 1996, l’anno in cui il Congresso americano inserì all’interno del Communications Decency Act una disposizione che sarebbe diventata il pilastro legale su cui l’intera industria tecnologica ha costruito il proprio impero: la Section 230. Ventisette parole: “No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider” (Trad. “Nessun fornitore o utente di un servizio informatico interattivo potrà essere considerato editore o autore di qualsiasi informazione fornita da un altro fornitore di contenuti”). In linguaggio umano: se qualcuno pubblica qualcosa sulla tua piattaforma, la responsabilità è sua, non tua; tu sei solo il tubo attraverso cui passa il contenuto.
Nel 1996 aveva senso: internet era una bacheca di annunci, un forum, un luogo dove le persone scrivevano cose e altre persone le leggevano. L’idea che il gestore della bacheca dovesse essere responsabile per ogni singolo messaggio era manifestamente assurda, come chiedere alle Poste di rispondere del contenuto di ogni lettera. Il problema è che la bacheca del 1996 non ha più nulla a che vedere con quello che Meta, YouTube e TikTok sono diventati nel 2026: non sono più tubi passivi, ma macchine progettate per selezionare, amplificare, raccomandare, trattenere e modificare il comportamento dei loro utenti, compresi quelli che hanno otto anni e un cervello che non ha ancora completato la maturazione della corteccia prefrontale.
Due verdetti, lo stesso schiaffo
In due giorni, due giurie americane hanno emesso due verdetti che, presi insieme, rappresentano lo schiaffo legale più violento che le piattaforme digitali abbiano mai ricevuto. Il 24 marzo, un tribunale del New Mexico ha condannato Meta a pagare 375 milioni di dollari per aver facilitato lo sfruttamento sessuale dei minori; la storia che ci sta dietro sembra uscita da un romanzo di John Grisham. Il procuratore generale dello stato, Raúl Torrez, nel 2023 decide di non fidarsi delle dichiarazioni di Meta sulla sicurezza dei minori e mette in piedi un’operazione sotto copertura: i suoi investigatori creano profili falsi su Facebook e Instagram fingendosi ragazzini sotto i quattordici anni. Nel giro di poche ore quei profili ricevono materiale sessualmente esplicito e vengono contattati da adulti; le prove portano ad arresti reali e alla causa contro Meta. Non un’azione collettiva, non una class action di genitori arrabbiati, ma lo stato con il peso della sua autorità che dice a una delle aziende più ricche del pianeta: sapevate e non avete fatto nulla.
Il giorno dopo, dalla California arriva il secondo colpo: una giuria di Los Angeles stabilisce che Meta e Google sono colpevoli di negligenza nella progettazione delle loro piattaforme, e che questa negligenza è stata un “fattore sostanziale” nel provocare depressione, ansia, dismorfismo corporeo e ideazione suicida in una giovane donna che ha iniziato a usare Instagram e YouTube quando era ancora una bambina. Sei milioni di dollari di danni, di cui tre milioni per danni punitivi, perché la giuria ha stabilito che le aziende hanno agito con “malice, oppression or fraud” (Trad. “malizia, oppressione o frode”): non negligenza colposa, ma dolo.
Il punto tecnico-legale che rende queste sentenze potenzialmente devastanti per l’intera industria è la decisione pretrial del giudice californiano: la Section 230 non si applica perché l’accusa non riguarda i contenuti pubblicati dagli utenti, ma il design della piattaforma. Lo scroll infinito, l’autoplay, le raccomandazioni algoritmiche, i meccanismi di ricompensa variabile, tutto l’arsenale di dark patterns progettato per tenere incollati allo schermo anche un cervello adulto, figuriamoci quello di un bambino. La Section 230 vi protegge per quello che gli utenti pubblicano, non per come avete progettato la macchina che amplifica e somministra quei contenuti; la macchina è vostra, e delle conseguenze della macchina rispondete voi. Ci sono più di venti cause già programmate che seguiranno lo stesso schema; il deputato Jimmy Patronis ha chiesto formalmente la revoca della Section 230, e Frances Haugen, la whistleblower di Facebook che nel 2021 portò al Congresso i documenti interni dell’azienda, ha commentato che stavolta il cambiamento potrebbe essere reale.
La finestra che si sposta
Queste sentenze, proprio perché sono giuste, aprono una porta che qualcun altro sta già usando per entrare.
C’è un concetto in scienza politica chiamato finestra di Overton, che delimita le idee considerate accettabili in un dato momento storico: tutto ciò che sta dentro la finestra è discutibile, tutto ciò che sta fuori è impensabile. Quello che stiamo osservando in questo momento negli Stati Uniti e nel Regno Unito è un riposizionamento rapido e coordinato di questa finestra: idee che fino a due anni fa sarebbero state considerate paranoie da attivisti per la privacy, come la verifica dell’identità obbligatoria per accedere a internet o lo smantellamento della crittografia end-to-end, sono diventate improvvisamente ragionevoli, moderate, di buon senso, perché vengono presentate dentro il frame della “protezione dei bambini”.
È un meccanismo che studio da anni e che ho visto all’opera in decine di crisi reputazionali: la stessa identica informazione produce reazioni completamente diverse a seconda di come viene incorniciata. Daniel Kahneman e Amos Tversky lo hanno formalizzato come Framing Effect, e applicato a quello che sta succedendo funziona così: “stiamo smantellando la privacy dei cittadini” e “stiamo proteggendo i bambini dai pedofili” possono descrivere la stessa identica azione tecnica, ma la seconda formulazione rende quasi impossibile opporsi senza sembrare dalla parte sbagliata.
È quello che nel mio libro Tette e Gattini, pubblicato neanche un anno fa, ho chiamato la Pipeline Paternalismo-Totalitarismo: un meccanismo che funziona sempre allo stesso modo, indipendentemente dall’epoca e dalla tecnologia. Si parte da un obiettivo che nessuna persona di buon senso potrebbe contestare (proteggere i bambini dalla pornografia, dai pedofili, dalla dipendenza), si costruisce un’infrastruttura tecnologica per perseguire quell’obiettivo, e poi quell’infrastruttura, una volta che esiste, viene inevitabilmente riutilizzata per scopi che con i bambini non c’entrano più nulla. Non è una teoria complottista, è una regolarità storica documentata: le intercettazioni telefoniche nate per combattere la mafia sono diventate strumenti di spionaggio politico, le telecamere di sorveglianza installate per prevenire il terrorismo sono diventate strumenti di controllo dei manifestanti, i metadati raccolti dalle compagnie telefoniche per la fatturazione sono diventati il cuore del programma PRISM della NSA rivelato da Snowden nel 2013.
Lawrence Lessig, il giurista di Harvard che nel 1999 scrisse Code: And Other Laws of Cyberspace, ha formulato un principio che illumina perfettamente la dinamica: il codice è legge. L’architettura tecnologica non è neutra, è una forma di regolazione tanto quanto una legge votata dal parlamento; una porta troppo stretta per una sedia a rotelle non è una legge che vieta l’accesso ai disabili, ma il risultato è identico. Quando Apple introduce la verifica dell’età obbligatoria, quando Meta rimuove la crittografia end-to-end da Instagram, quando il governo britannico impone la verifica dell’identità per accedere ai contenuti online, non stanno scrivendo leggi: stanno scrivendo codice, che ha la stessa forza di una legge ma senza passare per il parlamento, senza dibattito pubblico, senza possibilità di appello.
Lo schema che nessuno vuole vedere
Il 16 marzo 2026, Meta annuncia che rimuoverà la crittografia end-to-end dai messaggi diretti di Instagram a partire dall’8 maggio; la giustificazione ufficiale è che “pochissimi utenti la stavano usando”, il che è vero ma profondamente disonesto, perché Meta non l’aveva mai resa disponibile a tutti gli utenti e, per chi ce l’aveva, la funzione era nascosta dietro quattro tap e mai pubblicizzata, come scrivere su un menù di ristorante un piatto in caratteri microscopici in fondo alla pagina e poi lamentarsi che nessuno lo ordina. Monika Bickert, la responsabile delle policy sui contenuti di Meta, ha scritto internamente, e i documenti sono emersi durante il processo del New Mexico: “We are about to do a bad thing as a company. This is so irresponsible” (Trad. “Stiamo per fare una cosa brutta come azienda. Questo è così irresponsabile”), aggiungendo che l’azienda stava facendo “gross misstatements of our ability to conduct safety operations” (Trad. “dichiarazioni gravemente fuorvianti sulla nostra capacità di condurre operazioni di sicurezza”) sulle comunicazioni crittografate. In altre parole: Meta sapeva che rimuovere la crittografia era una scelta che sacrificava la privacy degli utenti, ma l’ha fatta comunque, e ha usato la narrazione della protezione dei minori come copertura.
Nove giorni dopo, Apple rilascia iOS 26.4 nel Regno Unito, che introduce la verifica dell’età obbligatoria in ottemperanza all’Online Safety Act: per accedere a tutti i contenuti del proprio iPhone, gli utenti britannici devono dimostrare di avere almeno diciotto anni, collegando una carta di credito o scansionando un documento d’identità; per tutti quelli che non lo fanno e per tutti i minori, Apple attiva automaticamente il filtro sui contenuti web e il sistema che analizza le immagini inviate e ricevute alla ricerca di nudità. E mentre Meta smonta la crittografia e Apple costruisce il sistema di identificazione, dall’altra parte dell’Atlantico Palantir Technologies ottiene un contratto da 30 milioni di dollari dall’ICE per costruire ImmigrationOS, una piattaforma che traccia in tempo quasi reale le persone destinate all’espulsione assegnando “punteggi di confidenza” usando dati sanitari di Medicaid, il programma di assistenza per i più poveri, mentre Mobile Fortify scansiona volti confrontandoli con un database di 1,2 miliardi di fotografie e Zignal Labs monitora otto miliardi di post sui social media al giorno per raccogliere intelligence destinata ai raid di deportazione.
Tre processi separati, tre continenti, la stessa direzione: Meta rimuove la crittografia end-to-end con la scusa della sicurezza dei minori, Apple introduce la verifica obbligatoria dell’identità, e nel frattempo l’AGCOM italiana implementa il “doppio anonimato” tramite SPID e la Francia il suo sistema ARCOM, mentre l’apparato di sorveglianza di massa statunitense si espande a una velocità che fino a pochi anni fa sarebbe stata inconcepibile. E le contromisure degli utenti raccontano la storia meglio di qualsiasi analista: in Spagna, il sistema “Pajaporte” di credenziali digitali per l’accesso ai contenuti per adulti ha provocato un crollo dell’85% del traffico sulla piattaforma di test, con gli utenti migrati in massa su piattaforme estere; nel Regno Unito, dopo l’Online Safety Act, i download di VPN sono aumentati del 1.400% secondo i dati di Proton, e le ricerche per “aggirare la verifica dell’età” del 2.000%.
Shoshana Zuboff, nel suo The Age of Surveillance Capitalism, ha dato un nome a quello che le piattaforme fanno con la nostra esperienza privata: la trasformano in materia prima, la estraggono, la processano e la rivendono come capacità predittiva; Google non è un motore di ricerca con un business pubblicitario, è una macchina per estrarre dati comportamentali che ha anche un motore di ricerca. Quello che Zuboff non poteva prevedere nel 2019, e che oggi è sotto i nostri occhi, è che lo smantellamento delle difese crittografiche e l’introduzione della verifica dell’identità non avvengono su iniziativa del capitalismo della sorveglianza, ma su iniziativa dei governi, usando come pretesto la stessa tossicodipendenza digitale che quelle piattaforme hanno deliberatamente progettato. Le piattaforme avvelenano il pozzo, e i governi usano il pozzo avvelenato come giustificazione per installare telecamere in ogni casa.
A chi conviene davvero un internet con il nome e cognome
La domanda che nessuno pone, e che io pongo da quasi un anno da quando ho pubblicato Tette e Gattini, è questa: a chi conviene un internet in cui ogni utente è identificato, ogni messaggio è leggibile, ogni contenuto è filtrato a monte? I bambini ne beneficerebbero forse in minima parte, per un periodo molto limitato, fino a quando non imparano a usare una VPN, il che richiede circa venti secondi e una ricerca su Google; le piattaforme ne beneficerebbero certamente, perché un utente identificato è un utente profilabile, e un utente profilabile è un prodotto più prezioso sul mercato pubblicitario; i governi ne beneficerebbero senza il minimo dubbio, perché un’infrastruttura di verifica dell’identità e di accesso ai contenuti delle comunicazioni è esattamente ciò di cui qualsiasi apparato di sicurezza ha bisogno per implementare una sorveglianza capillare, e la retorica dei bambini rende politicamente impossibile opporsi.
Il giurista Daniel Solove ha dato un nome al meccanismo che rende tutto questo pericoloso anche quando i singoli pezzi sembrano innocui: lo chiama aggregazione. Dati innocui, presi uno per uno, combinati tra loro creano dossier potenti e potere asimmetrico tra chi raccoglie e chi è raccolto. Il tuo documento d’identità verificato per accedere a un sito, i tuoi dati di navigazione, la tua posizione, i tuoi messaggi non più crittografati: tutto confluisce in un profilo di te stesso più accurato di qualsiasi cosa tu potresti raccontare a un terapeuta.
Nell’India coloniale britannica, il governo di Delhi, preoccupato per il numero di cobra nelle strade, offrì una ricompensa per ogni cobra morto consegnato; i cittadini iniziarono ad allevare cobra per ucciderli e incassare la ricompensa, il governo cancellò il programma, gli allevatori liberarono i cobra, e alla fine c’erano più serpenti di prima. In economia comportamentale si chiama Effetto Cobra, e descrive esattamente ciò che sta accadendo con la regolamentazione delle piattaforme: ogni soluzione pensata male crea un problema più grande di quello che intendeva risolvere. La crittografia end-to-end che Meta rimuove da Instagram oggi è la stessa crittografia che protegge le fonti dei giornalisti, le comunicazioni degli attivisti per i diritti umani nei regimi autoritari, i dati bancari di chiunque faccia un acquisto online. Una backdoor per i buoni non esiste, perché qualsiasi vulnerabilità è sfruttabile da chiunque, e l’idea che un sistema possa essere “un po’ sicuro” è come l’idea che una porta possa essere “un po’ chiusa”. La verifica dell’identità che Apple introduce oggi in UK per proteggere i minori è la stessa infrastruttura che domani può essere usata per bloccare l’accesso a contenuti scomodi, per identificare chi visita certi siti, per creare un database centralizzato di ogni singola attività online di ogni singolo cittadino; e i database centralizzati, come ci ricordano i breach italiani del 2025 con le scansioni dei documenti d’identità degli hotel finite in vendita sul dark web, non sono una questione di “se” verranno violati, ma di “quando”.
La cura che trasforma il paziente
La vera sfida, quella su cui si misurerà la maturità delle democrazie nei prossimi anni, è trovare il modo di imporre responsabilità alle piattaforme senza costruire la macchina della sorveglianza di massa. Il New Mexico ha dimostrato che si può fare: si possono usare le leggi sulla protezione dei consumatori, le operazioni sotto copertura, i processi con giuria popolare, senza chiedere a nessun cittadino di scansionare il proprio documento d’identità per accedere a internet. È una strada più faticosa, più lenta, meno fotogenica di un sistema di verifica universale, ma ha un pregio che nessun sistema di identificazione obbligatoria potrà mai avere: non si trasforma in un’arma.
Hannah Arendt, in The Origins of Totalitarianism, ha descritto il potere burocratico più pericoloso come “rule by nobody” (Trad. “il governo di nessuno”): un sistema di controllo impersonale mascherato da gestione razionale, in cui nessun individuo è responsabile perché la responsabilità è distribuita tra algoritmi, regolamenti, procedure, e l’unica cosa che rimane chiarissima è chi viene controllato. Le sentenze del New Mexico e della California sono il primo segnale reale che il sistema legale è capace di tenere le piattaforme responsabili, e la strategia di colpire il design aggirando la Section 230 potrebbe davvero cambiare le regole del gioco; ma come le intercettazioni della mafia diventarono spionaggio politico, e come i metadati telefonici diventarono il programma PRISM, il passaggio dalla protezione al controllo avviene in modo così graduale, così incrementale, così ragionevole un passo alla volta, che quando te ne accorgi è già troppo tardi per tornare indietro.
La malattia è grave, ma la cura che ci stanno proponendo non guarisce il paziente: lo trasforma in qualcosa che non avrebbe mai voluto diventare.
E la domanda che dovremmo farci ogni volta che un governo dice “lo facciamo per i bambini” è sempre la stessa: cosa sta facendo con l’altra mano?
