Pubblicato il 07/04/2026

N. 06283/2026 REG.PROV.COLL.

N. 00148/2026 REG.RIC.

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

Il Tribunale Amministrativo Regionale per il Lazio

(Sezione Quarta)

ha pronunciato la presente

SENTENZA

sul ricorso numero di registro generale 148 del 2026, proposto da
Aylo Freesites Ltd, in persona del legale rappresentante pro tempore , rappresentata e difesa dagli avvocati Francesca Angeloni, Emanuela Cocco, Stefano Maccauro, Valerio Natale e IM DA, con domicilio digitale come da PEC da registri di giustizia e domicilio eletto presso lo studio IM DA in Roma, via Marche n. 1-3;

contro

l’Autorità per le garanzie nelle comunicazioni, il Ministero del lavoro e delle politiche sociali e l’Ispettorato nazionale del lavoro, in persona dei rispettivi legali rappresentanti pro tempore , rappresentati e difesi dall'Avvocatura generale dello Stato, domiciliataria ex lege in Roma, via dei Portoghesi, 12;

nei confronti

il Garante per la protezione dei dati personali, non costituito in giudizio;

per l'annullamento

ove necessario previa disapplicazione dell'art. 13- bis del d.l. 123/2023, convertito in Legge 159/2023:

i) della comunicazione di AGCOM del 31 ottobre 2025, ad oggetto "Lista AGCOM dei soggetti ex art. 13- bis del Decreto AI e delibera n. 96/25/CONS", pubblicata sul sito dell'AGCOM (www.agcom.it) il 31 ottobre 2025;

ii) della delibera AGCOM n. 96/25/CONS dell'8 aprile 2025, ad oggetto "Adozione delle modalità tecniche e di processo per l'accertamento della maggiore età degli utenti in attuazione della legge 13 novembre 2025, n. 159", pubblicata sul sito dell'AGCOM (www.agcom.it) il 12 maggio 2025, unitamente ai suoi allegati:

(a) Allegato A "Modalità tecniche e di processo per l'accertamento della maggiore età degli utenti ai fini dell'accesso a determinati servizi forniti dai gestori di siti web e delle piattaforme di condivisione di video che diffondono in Italia immagini e video a carattere pornografico, ai sensi dell'art. 13 bis del decreto legge 5 settembre 2023, n. 123 convertito con modificazioni dalla legge 13 novembre 2023, n. 159";

(b) Allegato B "Quadro europeo e nazionale sulle modalità tecniche e di processo per l'accertamento della maggiore età degli utenti"; e

(c) Allegato C "Esiti della consultazione pubblica di cui alla delibera n. 61/24/CONS";

iii) nonché di ogni atto ad esse presupposto, connesso o consequenziale, ivi inclusa, a titolo esemplificativo e non esaustivo, la Delibera AGCOM n. 61/24/CONS del 6 marzo 2024, ad oggetto "Avvio della consultazione pubblica di cui all'art. 1, comma 4, della delibera n. 9/24/CONS volta all'adozione di un provvedimento sulle modalità tecniche e di processo per l'accertamento della maggiore età degli utenti in attuazione della dalla legge 13 novembre 2023, n. 159", pubblicata sul sito dell'AGCOM (www.agcom.it) il 25 marzo 2024, unitamente ai suoi allegati:

(a) Allegato A "Modalità di consultazione";

(b) Allegato B "Consultazione pubblica di cui al comma 4 della delibera n. 9/24/CONS per l'approvazione di un provvedimento che disciplina le modalità tecniche e di processo per l'accertamento della maggiore età degli utenti ai sensi della legge 13 novembre 2023, n. 159".

Visti il ricorso e i relativi allegati;

Visti gli atti di costituzione in giudizio dell’Autorità per le garanzie nelle comunicazioni, del Ministero del lavoro e delle politiche sociali e dell’Ispettorato nazionale del lavoro;

Visti tutti gli atti della causa;

Relatore nell'udienza pubblica del giorno 11 marzo 2026 la dott.ssa GI La MA e uditi per le parti i difensori come specificato nel verbale;

Ritenuto e considerato in fatto e diritto quanto segue.

FATTO

1 - Aylo Freesites Ltd è una società con sede legale a Cipro che gestisce diverse piattaforme di condivisione video che diffondono contenuti pornografici, disponibili agli indirizzi www.pornhub.com (“Pornhub”), www.youporn.com (“YouPorn”) e www.redtube.com (“RedTube”).

2 - Con l’odierno ricorso la società ha impugnato la delibera n. 96/25/CONS dell’8 aprile 2025 con cui l’Autorità per le garanzie nelle comunicazioni, in attuazione della delega prevista dall’art. 13- bis del d.l. 123/2023 (“Decreto AI”), ha stabilito le modalità tecniche per l’accertamento della maggiore età degli utenti per l’accesso ai servizi forniti dai gestori di siti web e dalle piattaforme di condivisione di video che diffondono in Italia immagini e video a carattere pornografico. Al contempo è impugnata la comunicazione del 31 ottobre 2025 recante la lista dei soggetti obbligati.

Il gravame è affidato a sei motivi di ricorso, con cui la società ricorrente contesta, in sintesi:

i) l’illegittimità dell’art. 13- bis del Decreto AI per mancata notifica preventiva alla Commissione europea ai sensi della Direttiva (UE) 2015/1535 (c.d. “Direttiva TRIS”);

ii) il contrasto della delibera con il Regolamento (UE) 2022/2065 (“Regolamento sui servizi digitali” - DSA) in quanto introduce obblighi ulteriori che si sovrappongono a quelli già previsti a tutela dei minori dall’art. 28 del DSA e dalle Linee guida A28, in un ambito già armonizzato dal diritto dell’Unione europea;

iii) la violazione del principio del Paese d’origine di cui agli artt. 2 e 3 della direttiva e-commerce, in quanto impone un obbligo generalizzato di verifica dell’età a tutti i fornitori di contenuti pornografici in Italia, indipendentemente dal loro Stato di stabilimento, inclusi operatori esteri come Aylo, stabilita a Cipro;

iv) la violazione del principio di libera circolazione dei servizi, in quanto introduce un onere supplementare a carico di un operatore stabilito in un altro Stato membro, ostacolando la libera prestazione dei servizi;

v) la violazione dei principi di legalità e di riserva di legge, in quanto la delibera introdurrebbe disposizioni ulteriori rispetto alla delega conferita dall’art. 13- bis del decreto AI, definendo i criteri di natura sostanziale volti a stabilire se i contenuti diffusi da fornitori stabiliti in un altro Stato membro siano “diretti” al pubblico italiano, e quindi individuare in via discrezionale gli operatori stranieri tenuti a implementare i meccanismi di verifica dell’età;

vi) la violazione del principio di minimizzazione dei dati sancito dall’art. 5, par. 1, lett. c), GDPR in quanto comporta la reiterata comunicazione di dati identificativi dell'utente a una pluralità di servizi online diversi.

3 - Resiste in giudizio l’Autorità per le garanzie nelle comunicazioni, eccependo preliminarmente la tardività del ricorso, e deducendone nel merito l’infondatezza.

DIRITTO

1 - Preliminarmente, deve essere disattesa l’eccezione di inammissibilità del ricorso per omessa tempestiva impugnazione della delibera a monte n. 96/25/CONS dell’8 aprile 2025.

A tal fine occorre considerare che nella delibera 96/25/CONS l’Autorità ha stabilito:

- di “ circoscrivere la portata applicativa delle disposizioni introdotte dal progetto notificato ai soli servizi della società dell’informazione stabiliti in Italia o fuori dell’Unione europea e [di] prevedere l’estensione ai soggetti stabiliti in altri Stati membri secondo i criteri e le procedure di cui all’articolo 3 della direttiva 2000/31/CEI ”;

- di “ predisporre una lista (compilata e aggiornata periodicamente, nonché comunicata alla Commissione europea) che individui i soggetti per i quali trova applicazione il progetto notificato ”;

- che “ le disposizioni introdotte troveranno applicazione anche con riferimento ai gestori di siti web e alle piattaforme di condivisione di video che diffondono in Italia immagini e video a carattere pornografico, a prescindere dallo Stato membro di stabilimento, tre mesi dopo la pubblicazione della lista sopra richiamata ”.

Le misure introdotte non risultavano, dunque, immediatamente applicabili nei confronti degli operatori stabiliti - come la ricorrente - in altri Stati membri, ma avrebbero acquisito operatività nei loro confronti solo a seguito dell’adozione e della pubblicazione della “ Lista AGCOM dei soggetti ex art. 13-bis del Decreto AI e delibera n. 96/25/CONS ”.

Pertanto, solo a seguito della pubblicazione di tale lista, gli obblighi introdotti dall’art. 13-bis del d.l. n. 123/2023 e dalla suddetta delibera sono divenuti concretamente efficaci nei confronti della parte ricorrente.

Ne deriva che la lesione degli interessi della ricorrente si è attualizzata solo con l’adozione dell’atto consequenziale tempestivamente gravato, che costituiva la premessa per l’applicabilità nei suoi confronti delle misure di nuova introduzione.

In definitiva l’eccezione si rivela infondata in quanto, contrariamente a quanto prospettato dalla difesa erariale, non sussisteva l’onere per la ricorrente di impugnare immediatamente la delibera a monte, non essendosi, all’epoca, ancora configurata una attuale ed effettiva lesione della sua sfera giuridica.

2 - Nel merito ricorso è, in parte, fondato nei sensi che saranno di seguito precisati.

3 - Gli atti impugnati si collocano nel più ampio quadro normativo, nazionale ed europeo, preordinato alla tutela dei minori nell’ecosistema digitale, quale interesse fondamentale dell’ordinamento, riconosciuto e garantito dagli artt. 2, 30, 31 e 32 Cost., nonché da diverse fonti sovranazionali, tra cui la Convenzione delle Nazioni Unite sui diritti del fanciullo del 1989, la Convenzione europea sull’esercizio dei diritti dei minori del 1996 e la Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.

In tale contesto, la crescente diffusione di piattaforme online , che consentono la circolazione di contenuti in assenza di un’effettiva intermediazione, accresce il rischio di esposizione precoce e incontrollata a materiali a carattere pornografico, con possibili ricadute pregiudizievoli sul benessere emotivo, psicologico e sociale dei soggetti in età evolutiva. Rischio che, avuto riguardo alla peculiare vulnerabilità dei minori, impone un livello di protezione particolarmente elevato, anche attraverso l’introduzione di specifici obblighi di protezione a carico dei gestori delle piattaforme.

3.1 - L’esigenza di assicurare un’adeguata protezione dei minori trova esplicito riconoscimento anche livello europeo. L’art. 28, par. 1, del Regolamento (UE) 2022/2065 (“Digital services act – D.S.A.”) impone ai fornitori di piattaforme online accessibili ai minori l’adozione di “ misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, della sicurezza e della protezione dei minori sul loro servizio ”. A tal fine, la Commissione europea è chiamata a emanare orientamenti diretti ad assistere i fornitori nell’implementazione di tali misure; in attuazione di tale previsione, essa ha adottato, il 14 luglio 2025, le linee guida sull’interpretazione dell’art. 28 D.S.A. (“Linee guida A28”), che ne precisano ulteriormente le modalità applicative.

Al contempo, l’art. 35, par. 1, lett. j), del D.S.A. introduce obblighi ulteriori in capo alle piattaforme di dimensioni molto grandi, imponendo l’adozione di misure ragionevoli, proporzionate ed efficaci per la mitigazione dei rischi sistemici, ivi incluse quelle dirette alla tutela dei diritti dei minori, tra cui rientrano anche strumenti di verifica dell’età.

Sebbene, allo stato, non sia previsto a livello europeo un meccanismo uniforme di age verification , sono state avviate forme di cooperazione tra i servizi della Commissione e le autorità nazionali competenti, finalizzate all’individuazione di migliori pratiche e standard nel settore dei sistemi di age assurance , in vista della definizione di future soluzioni condivise.

3.2 - Parallelamente all’evoluzione del quadro eurounitario, anche il legislatore italiano è intervenuto al fine di rafforzare la protezione dei minori rispetto all’accesso a contenuti online di carattere pornografico.

In particolare l’art. 13- bis del d.l. 123/2023 (“Decreto AI”):

- ha introdotto un obbligo generalizzato, in capo ai gestori di siti web e ai fornitori di piattaforme di condivisione video operanti in Italia, di verifica della maggiore età degli utenti;

- ha demandato all’Autorità per le garanzie nelle comunicazioni la definizione delle modalità tecniche e procedurali per l’accertamento dell’età;

- ha previsto, in caso di inadempimento, l’esercizio di poteri inibitori, fino al blocco dei servizi, nonché l’irrogazione di sanzioni amministrative pecuniarie.

3.3 - In attuazione di tale previsione, l’Autorità, all’esito di apposita consultazione pubblica, ha notificato alla Commissione europea, il 16 ottobre 2024, uno schema di provvedimento, sul quale la Commissione ha reso, il 16 gennaio 2025, un parere circostanziato. Decorso il periodo di stand still previsto dalla direttiva (UE) 2015/1535, l’Autorità ha quindi adottato la delibera n. 96/25/CONS dell’8 aprile 2025, recante le modalità tecniche e di processo per l’accertamento dell’età degli utenti, oggetto dell’odierna impugnazione.

In particolare, la delibera:

- adotta un approccio “ tecnologicamente neutrale ”, rimettendo ai soggetti obbligati la scelta delle soluzioni tecniche idonee a garantire il controllo della maggiore età, nel rispetto dei principi e requisiti fissati dall’Autorità (art. 3, comma 1 dell’Allegato A alla delibera 96/25/CONS);

- estende l’applicazione delle misure anche ai fornitori stabiliti in altri Stati membri che diffondono contenuti in Italia, individuati mediante apposita lista predisposta e aggiornata dall’Autorità, prevedendo per essi una decorrenza differita degli obblighi;

- introduce una clausola di rivedibilità, volta ad assicurare l’adeguamento della disciplina alle eventuali evoluzioni del quadro normativo europeo (art. 4 comma 3 dell’Allegato A alla delibera 96/25/CONS).

In tale prospettiva, la delibera, tenuto conto della dimensione intrinsecamente transfrontaliera dei servizi digitali - accessibili agli utenti nazionali anche se forniti da operatori stabiliti in altri Stati membri - mira a prevenire il rischio che tale carattere possa consentire un’elusione delle misure approntate dall’ordinamento interno a protezione dei minori, compromettendo così l’effettività della tutela di interessi di rilievo primario.

4 - Tuttavia, pur riconoscendo l’elevato rango costituzionale del bene giuridico tutelato, il Collegio rileva che le misure adottate dall’ordinamento nazionale non risultano pienamente conformi con i principi eurounitari del controllo nello Stato membro di origine e della libera prestazione dei servizi sanciti dall’art. 3, par. 1 e 2 della direttiva 2000/31. In particolare, come dedotto dalla ricorrente con il terzo motivo di ricorso, non risultano soddisfatte le condizioni di natura procedurale che sole consentono, in via eccezionale, di derogare a tali principi.

4.1 - L’art. 3 della direttiva 2000/31/CE (“direttiva e-commerce”) stabilisce, al paragrafo 1, che ciascuno Stato membro assicura che i servizi della società dell’informazione forniti da prestatori stabiliti nel proprio territorio rispettino le disposizioni nazionali vigenti in detto Stato. Il successivo paragrafo 2 dispone, correlativamente, che gli Stati membri non possono limitare, per motivi rientranti nell’ambito regolamentato, la libera circolazione dei servizi della società dell’informazione provenienti da un altro Stato membro. Tali previsioni esprimono, rispettivamente, il principio del Paese di origine, in forza del quale la disciplina dei servizi spetta esclusivamente allo Stato di stabilimento del prestatore, e il principio della libera prestazione dei servizi, volto a garantire il corretto funzionamento del mercato interno mediante la rimozione di restrizioni ingiustificate.

Ne consegue che lo Stato membro di destinazione non può, in linea di principio, imporre obblighi ulteriori rispetto a quelli previsti dall’ordinamento dello Stato di origine.

È tuttavia lo stesso art. 3, al paragrafo 4, a prevedere, in via eccezionale, la possibilità per lo Stato membro di destinazione di adottare misure derogatorie, ove ciò risulti necessario per la tutela di interessi fondamentali, tra cui - per quanto qui rileva - la protezione dei minori e della dignità umana.

Tuttavia, proprio al fine di evitare che tali margini di intervento finiscano per vanificare le libertà fondamentali del mercato interno, l’esercizio del potere derogatorio è subordinato al rigoroso rispetto delle condizioni sostanziali e procedurali stabilite all’art. 3, paragrafo 4, vale a dire:

i) la riferibilità della misura “ a un determinato servizio della società dell’informazione ”;

ii) la sua necessità rispetto alla tutela dell’ordine pubblico, della sanità pubblica, della pubblica sicurezza o dei consumatori;

ii) la sussistenza di un pregiudizio, o quanto meno di un rischio serio e grave di pregiudizio, agli interessi tutelati;

iii) la proporzionalità della misura rispetto a tale obiettivo;

iv) il rispetto degli oneri procedurali di cui all’art. 3, paragrafo 4, lettera b), di preventiva interlocuzione con lo Stato membro di origine e di notifica alla Commissione.

4.2 - Venendo al caso di specie, con il terzo motivo la ricorrente contesta la sussistenza dei presupposti per l’attivazione della procedura derogatoria, sotto tre distinti profili:

- la riferibilità della misura a un determinato servizio della società dell’informazione;

- la necessità della stessa ai fini della tutela dell’ordine pubblico;

- il mancato rispetto delle condizioni procedurali previste dall’art. 3, paragrafo 4, della direttiva.

4.3 - Sotto il primo profilo, la censura è infondata.

La società ricorrente deduce che la misura impugnata non sarebbe riferibile a un “ determinato servizio della società dell’informazione ”, ma si risolverebbe in una disciplina generale e astratta, applicabile a un’intera categoria di operatori. A fondamento di tale assunto, richiama la giurisprudenza della Corte di giustizia dell’Unione europea (sentenza 9 novembre 2023, causa C-376/22), secondo cui le misure derogatorie previste dall’art. 3, par. 4, devono riguardare servizi individualizzati e non possono avere portata generale.

L’argomentazione non è tuttavia condivisibile.

Secondo l’interpretazione fornita dalla Corte, il requisito della riferibilità a un determinato servizio mira a evitare che gli Stati membri eludano il principio del Paese di origine attraverso l’adozione di misure generalizzate, applicabili indistintamente a una pluralità indeterminata di prestatori. In tale prospettiva, le deroghe sono ammissibili solo in presenza di interventi che consentano di identificare i destinatari, poiché l’effettività delle garanzie procedurali - e in particolare dell’obbligo di previa interlocuzione con lo Stato membro di stabilimento - presuppone la possibilità concreta di individuare i prestatori interessati.

Dalla medesima giurisprudenza si ricava dunque che, ai fini dell’ammissibilità della deroga, ciò che rileva è la misura abbia portata circoscritta e consenta di individuare i prestatori interessati in modo sufficientemente specifico.

Tale conclusione trova conferma anche nel parere circostanziato reso dalla Commissione europea sullo schema di provvedimento notificato. In quella sede, infatti, la Commissione aveva rilevato che, per i gestori dei siti web, le autorità italiane non erano state in grado di fornire un’identificazione o una stima dei prestatori stabiliti in altri Stati membri interessati dalla misura. Per quanto riguarda i fornitori di piattaforme video, la Commissione ha osservato che la banca dati MAVISE indicata dalle autorità italiane non ne consentiva un’individuazione specifica, includendo tutti i soggetti potenzialmente qualificabili come servizi di piattaforma per la condivisione di video ai sensi della direttiva AVMS. Ne conseguiva che il progetto originario avrebbe riguardato categorie ampie e indeterminate di prestatori, e si sarebbe risolto in un insieme di misure generali e astratte incompatibili con l’art. 3, par. 4, della direttiva 2000/31/CE.

Proprio al fine di superare tali criticità, l’Autorità ha introdotto, nella delibera definitiva, un meccanismo di individuazione puntuale dei prestatori interessati, fondato sulla predisposizione e sull’aggiornamento di apposite liste.

Nel caso di specie, pertanto, la delibera impugnata subordina l’applicazione delle misure nei confronti dei prestatori stabiliti in altri Stati membri al loro inserimento in un elenco specificamente individuato dall’Autorità. Tale elenco - che comprende un numero limitato di piattaforme - consente di determinare con precisione i destinatari degli obblighi, superando sia il carattere indistinto e generalizzato evidenziato dalla Commissione, sia l’astrattezza della norma generale.

In tal modo, la prescrizione, pur trovando origine in una fonte di carattere generale, si concretizza in un atto applicativo che assume natura individualizzata, in quanto riferito a prestatori specificamente individuati.

4.4 - Sotto il secondo profilo, la ricorrente contesta la necessità della misura impugnata, sostenendo che la giustificazione relativa alla tutela dell’“ordine pubblico” potrebbe riguardare soltanto la prevenzione o repressione di specifiche fattispecie di reato.

Tale argomentazione non è condivisibile.

L’art. 3, paragrafo 4, lettera a), della direttiva 2000/31/CE consente deroghe al principio del Paese di origine “ per motivi di ordine pubblico, in particolare per la prevenzione, l’indagine, l’individuazione e il perseguimento in materia penale ”, includendo espressamente la tutela dei minori e la protezione della dignità umana.

La lettera della norma chiarisce che l’ordine pubblico comprende non solo la repressione di condotte penalmente rilevanti, ma anche la prevenzione dei rischi per interessi fondamentali dell’ordinamento. L’afferenza alla materia penale non implica che la misura debba riferirsi esclusivamente a una fattispecie criminosa espressamente prevista dall’ordinamento nazionale; ciò che rileva è la tutela di valori primari - come l’integrità fisica e psicologica dei minori - che rivestono rilevanza anche penale, ma la cui protezione giustifica interventi preventivi proporzionati, anche rispetto a condotte non illecite, qualora possano arrecare pregiudizio significativo a tali interessi e richiedere un intervento sussidiario rispetto a quello penale.

La ratio della disposizione risiede nella salvaguardia dei margini di sovranità dei singoli Stati, affinché possano adottare misure efficaci per la tutela di interessi fondamentali e per la protezione dei valori costituzionali primari, suscettibili di prevalere sulle liberà economiche del mercato interno. Significativamente, il parere circostanziato della Commissione europea, pur analitico e dettagliato, non ha sollevato dubbi sulla meritevolezza dell’interesse perseguito, confermandone implicitamente la legittimità.

4.5 - È invece fondato il terzo profilo di censura, relativo al mancato rispetto delle condizioni procedurali di cui all’art. 3, paragrafo 4, lett. b), della direttiva 2000/31/CE.

Tale disposizione stabilisce che, per poter adottare un provvedimento restrittivo nei confronti di prestatori stabiliti in un altro Stato membro, è necessario che:

i) lo Stato membro richiedente abbia previamente invitato lo Stato membro di origine ad adottare i provvedimenti necessari;

ii) quest’ultimo non abbia adottato i provvedimenti richiesti o li abbia adottati in maniera inadeguata;

iii) lo Stato membro richiedente abbia notificato alla Commissione europea e allo Stato membro di origine la propria intenzione di adottare le misure restrittive.

Nel caso in esame è pacifico, come riconosciuto dalla stessa parte resistente, che l’Autorità per le garanzie nelle comunicazioni non abbia osservato tale procedura. L’art. 4, comma 2, dell’allegato A della delibera, relativo all’entrata in vigore delle misure, estende automaticamente gli obblighi ai prestatori stabiliti in altri Stati membri tre mesi dopo la pubblicazione della lista di cui all’art. 1, senza subordinare la loro operatività al rispetto delle condizioni procedurali di previa interlocuzione e notifica stabilite dall’art. 3, par. 4, lett. b), della direttiva 2000/31/CE.

Al contempo, il mancato rispetto della procedura derogatoria prevista dall’art. 3, par. 4, lett. b), della direttiva 2000/31/CE comporta una violazione della direttiva 2010/13/UE (sui Servizi media audiovisivi - AVMSD), atteso che le piattaforme per la condivisione di video, quale sottocategoria di servizi della società dell’informazione, sono soggette al principio del Paese di origine e possono essere assoggettate a misure restrittive solo nel rispetto della medesima procedura, come chiarito dalla Commissione europea nel parere sul progetto notificato.

Né può essere condivisa la tesi dell’amministrazione secondo cui l’adempimento degli obblighi procedurali sarebbe richiesto soltanto ex post , ossia in sede di contestazione di eventuali inadempimenti da parte dei prestatori stabiliti in altri Stati membri. La disciplina comunitaria richiede, al contrario, che la procedura sia osservata già nel momento in cui la misura restrittiva viene posta a carico dei prestatori individuati.

Rinviare tale obbligo a una fase successiva comporterebbe una sostanziale alterazione della logica sottesa alla disposizione, svuotando di ogni contenuto precettivo le garanzie procedurali previste dalla direttiva, le quali non costituiscono un mero adempimento documentale successivo, ma rappresentano un presupposto essenziale di legittimità della misura derogatoria. La società interessata sarebbe infatti costretta a conformarsi immediatamente, senza che lo Stato membro di origine abbia avuto la possibilità di intervenire o di adottare misure correttive.

Verrebbe così frustrata la ratio della procedura, volta a preservare il principio del Paese di origine, fondato sulla fiducia reciproca tra gli Stati membri e sulla cooperazione nella sorveglianza dei servizi della società dell’informazione, nella quale l’intervento dello Stato di destinazione assume carattere eccezionale e sussidiario. Adottare la misura senza la preventiva interlocuzione presupporrebbe, di fatto, una diffusa mancanza di fiducia verso gli altri Stati membri nella vigilanza dei prestatori stabiliti sul loro territorio, compromettendo il principio di reciproco riconoscimento e indebolendo le basi della cooperazione interstatale sancita dalla direttiva.

Ne consegue l’illegittimità della delibera nella parte in cui, all’art. 4 dell’allegato A, prevede l’entrata in vigore automatica delle misure per i prestatori stabiliti in altri Stati membri al decorso del termine di tre mesi dalla pubblicazione della lista di cui all’art. 1, in assenza della preventiva interlocuzione con lo Stato membro di origine e della notifica alla Commissione europea, con conseguente annullamento di tale disposizione.

5 - Alla luce delle considerazioni che precedono, deve ritenersi fondato, sebbene nei soli limiti sopra evidenziati, anche il quarto motivo di ricorso, con cui la ricorrente deduce la violazione del principio di libera prestazione dei servizi, in ragione del mancato rispetto delle condizioni procedurali che, in via eccezionale, consentono la deroga a tale principio.

6 - I restanti motivi di censura sono invece infondati.

7 - Deve innanzitutto escludersi che l’omessa notifica preventiva del Decreto AI possa comportare la nullità della Delibera A.g.com. n. 96/25/CONS per violazione della direttiva TRIS, come dedotto con il primo motivo di ricorso, atteso che gli obblighi a carico dei prestatori sono divenuti operativi solo con l’adozione della Delibera stessa, regolarmente notificata alla Commissione europea, assicurando così pienamente l’interlocuzione preventiva prevista dalla normativa comunitaria.

8 - Analogamente, è privo di fondamento il secondo motivo di censura, con il quale la società ricorrente deduce l’illegittimità dei provvedimenti impugnati per violazione del Regolamento (UE) 2022/2065 (Digital Services Act), assumendo che quest’ultimo, in quanto atto di armonizzazione piena, precluderebbe l’adozione di discipline nazionali nella medesima materia.

A sostegno del rilievo, la ricorrente richiama il considerando 9 del Regolamento (UE) 2022/2065 laddove prevede che “[il] presente regolamento armonizza pienamente le norme applicabili ai servizi intermediari nel mercato interno con l'obiettivo di garantire un ambiente online sicuro, prevedibile e affidabile, in cui i diritti fondamentali sanciti dalla Carta siano efficacemente tutelati e l'innovazione sia agevolata, contrastando la diffusione di contenuti illegali online e i rischi per la società che la diffusione della disinformazione o di altri contenuti può generare. Di conseguenza, gli Stati membri non dovrebbero adottare o mantenere prescrizioni nazionali aggiuntive in relazione alle questioni che rientrano nell'ambito di applicazione del presente regolamento, salva espressa disposizione contraria ivi contenuta, in quanto ciò inciderebbe sull'applicazione diretta e uniforme delle norme pienamente armonizzate applicabili ai prestatori di servizi intermediari conformemente agli obiettivi del presente regolamento. È opportuno che ciò non precluda la possibilità di applicare altre normative nazionali applicabili ai prestatori di servizi intermediari, in conformità del diritto dell'Unione, compresa la direttiva 2000/31/CE, in particolare l'articolo 3, qualora le disposizioni del diritto nazionale perseguano legittimi obiettivi di interesse pubblico diversi da quelli perseguiti dal presente regolamento ”.

La ricorrente ritiene quindi sussistente un divieto di adottare disposizioni nazionali aggiuntive o sovrapponibili nelle materie già coperte dal DSA, quali quella di cui all’art.13- bis del d.l. 123/2023 (“Decreto AI”), ponendosi tale disposizione in contrasto con l’obbiettivo di uniformità e di piena armonizzazione alla base del regolamento in esame.

Pertanto, afferma parte ricorrente che la materia della protezione dei minori, disciplinata dall’art. 28 del DSA, consentirebbe esclusivamente alla Commissione europea di emanare orientamenti e linee guida per le piattaforme online, escludendo qualsiasi intervento del legislatore nazionale.

Il motivo non può trovare accoglimento.

Secondo lo stesso parere della Commissione, citato da parte ricorrente, soltanto a seguito della “ piena armonizzazione del regolamento sui servizi digitali, per quanto riguarda gli obblighi di diligenza imposti ai fornitori di piattaforme online, in particolare volti a proteggere i minori da contenuti illegali e dannosi, e al fine di preservare l’integrità del mercato unico dei servizi digitali, agli Stati membri è impedito di adottare misure nazionali nell’ambito di applicazione dell’articolo 28 ter, paragrafo 6, della direttiva AVMS che si sovrappongano al regolamento sui servizi digitali o ne contraddicano pienamente l’effetto di armonizzazione ”.

Si tratta tuttavia di un processo di armonizzazione ancora in itinere e non pieno, avendo allo stato la Commissione soltanto “ avviato un esercizio di cooperazione con gli Stati membri e i loro coordinatori dei servizi digitali nel settore concreto dei sistemi di age assurance per l’attuazione delle norme contenute nel regolamento sui servizi ” (p. 8 parere della Commissione).

Conseguentemente, nelle more del predetto procedimento e in “ assenza di una soluzione a livello dell’UE per verificare l’età degli utenti, qualsiasi soluzione transitoria nazionale dovrebbe rimanere conforme al diritto dell’Unione, compreso l’articolo 3 della direttiva 2000/31/CE, e prevedere anche un meccanismo per revocare o abrogare le misure nazionali che diventano superflue una volta attuata la soluzione tecnica europea ” (p. 14 parere della Commissione).

Sino alla piena armonizzazione, sono pertanto ammesse dalla Commissione soluzioni transitorie purché conformi alla normativa europea e alla direttiva e, in particolare, all’art. 3 della direttiva 2000/31/CE (e-commerce).

Pertanto, la soluzione adottata dallo Stato appare sotto il contestato profilo di doglianza attualmente conforme al diritto eurounitario, dovendo la stessa essere qualificata come disciplina transitoria in quanto destinata ad essere superata mediante disapplicazione della disciplina nazionale o comunque mediante il meccanismo previsto dall’art. 4 comma 3 della delibera 96/25/Cons il quale prevede che “ A decorrere dalla data di entrata in vigore degli orientamenti adottati ai sensi dell’articolo 28 del Regolamento (UE) 2022/2065, l’Autorità, laddove necessario, si impegna a modificare ed adeguare il presente provvedimento alla normativa europea sopravvenuta con riferimento ai soggetti stabiliti in altri Stati membri ”.

Sussiste pertanto il “ meccanismo per revocare o abrogare le misure nazionali che diventano superflue una volta attuata la soluzione tecnica ” richiesto nel parere dalla Commissione ed idoneo a far venire meno il rischio di “ normative nazionali che potrebbero sovrapporsi alle disposizioni del regolamento sui servizi digitali ” (p. 7 parere Commissione).

Né parimenti può appalesarsi come piena armonizzazione, come tale idonea a far perdere allo Stato Italiano e all’Autorità il potere di disciplinare provvisoriamente su soluzioni volte alla massima tutela dei minori la Comunicazione della Commissione C/2025/5519 del 10 ottobre 2025 recante “ Orientamenti su misure per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori online, a norma dell'articolo 28, paragrafo 4, del regolamento (UE) 2022/2065 ”, versandosi allo stato ancora in una fase transitoria e non piena dell’armonizzazione.

Allo stato attuale, infatti, la Commissione sta ancora “ sperimentando una soluzione UE di verifica dell'età come misura autonoma che rispetti i criteri di efficacia delle soluzioni di accertamento dell'età di cui alla sezione” (p. 12, n. 43 orientamenti; cfr. nota 38, p. 11) su base volontaria, essendo i fornitori allo stato soltanto incoraggiati “a partecipare alle sperimentazioni disponibili delle versioni iniziali della soluzione UE di verifica dell'età, da cui possono trarre informazioni sui mezzi più adatti a garantire la conformità all'articolo 28 del regolamento (UE) 2022/2065 ”.

A fronte di interessi di primario rilievo costituzionale quali la protezione dei minori e la salvaguardia del loro sviluppo psico-fisico, l’eventuale durata dei processi decisionali e di armonizzazione a livello europeo non può tradursi in una sostanziale paralisi dell’azione normativa statale. In tale ottica, l’intervento nazionale si configura non già come elemento di frizione con l’ordinamento eurounitario, bensì come espressione del principio di leale cooperazione, contribuendo alla realizzazione degli obiettivi di tutela perseguiti anche a livello europeo, in attesa della definizione di strumenti comuni.

Pertanto in assenza di una piena armonizzazione – non essendo ancora disponibile la soluzione di verifica dell’età prevista dalla Commissione nell’ambito del portafoglio europeo di identità digitale, versandosi ancora in una fase di mera sperimentazione – non possono essere accolte le doglianze proposte dalla parte ricorrente.

9 - Parimenti infondato è il quinto motivo, con cui la ricorrente deduce la violazione dei principi di legalità e di riserva di legge, assumendo che la delibera avrebbe introdotto criteri sostanziali ulteriori rispetto alla delega conferita dall’art. 13- bis del decreto AI, definendo parametri volti a stabilire quando i contenuti diffusi da fornitori stabiliti in un altro Stato membro possano ritenersi “diretti” al pubblico italiano e, quindi, individuando in via discrezionale gli operatori stranieri tenuti a implementare i meccanismi di verifica dell’età.

L’assunto non è condivisibile.

La disposizione primaria individua già in modo sufficientemente determinato i soggetti obbligati nei “ gestori di siti web e fornitori di piattaforme di condivisione video che diffondono in Italia contenuti a carattere pornografico ”, demandando all’Autorità per le garanzie nelle comunicazioni - quale autorità indipendente dotata di specifiche competenze tecniche - la definizione delle modalità tecniche e procedurali per l’accertamento della maggiore età degli utenti.

In tale quadro, l’art. 1 dell’allegato A alla delibera si limita a declinare in termini tecnico-funzionali il criterio normativo della “diffusione in Italia”, individuando i soggetti obbligati sulla base della loro effettiva capacità di rendere disponibili contenuti al pubblico italiano, secondo parametri oggettivi, verificabili e coerenti con la natura transfrontaliera dei servizi digitali.

Né può ritenersi che tale attività integri un indebito ampliamento della sfera applicativa della norma primaria. Al contrario, essa si pone in linea con le osservazioni formulate dalla Commissione europea nel parere circostanziato reso sullo schema di provvedimento notificato, che aveva evidenziato la necessità di superare l’eccessiva genericità dei destinatari mediante criteri idonei a consentire una loro individuazione sufficientemente precisa. L’introduzione di parametri volti a verificare il collegamento effettivo con il pubblico italiano risponde, dunque, anche all’esigenza di conformare l’intervento regolatorio ai rilievi europei, senza tuttavia alterarne la base legale.

Sotto tale profilo, l’Autorità ha esercitato una discrezionalità meramente tecnica e attuativa, funzionale a rendere operativa la previsione legislativa, senza incidere sulle scelte fondamentali riservate alla legge né introdurre nuovi obblighi sostanziali rispetto a quelli già previsti dall’art. 13- bis .

La concreta applicazione di tali criteri si colloca, pertanto, nell’ambito di un’attività di specificazione tecnica del precetto normativo, conforme ai principi di legalità e di riserva di legge, non potendosi ravvisare alcuno sconfinamento in ambiti riservati alla fonte primaria.

10 - Deve, infine, essere rigettato anche il sesto motivo di ricorso, con cui la ricorrente deduce la violazione dei principi di necessità, proporzionalità e minimizzazione del trattamento dei dati personali di cui al Regolamento (UE) 2016/679 (GDPR). In particolare, la ricorrente contesta che il modello di verifica dell’età previsto dalla delibera – basato su implementazioni autonome a livello dei singoli prestatori – comporterebbe trattamenti ripetuti di dati personali presso molteplici operatori, mentre soluzioni centralizzate consentirebbero una verifica unica e meno invasiva.

Il Collegio rileva, in primo luogo, che la disciplina impugnata si colloca in un ambito caratterizzato da una fisiologica tensione tra la tutela dei minori – quale interesse primario dell’ordinamento – e la protezione dei dati personali degli utenti, il cui bilanciamento non può che avvenire secondo criteri di proporzionalità e ragionevolezza. Le diverse modalità di age verification si collocano lungo un ampio spettro, con gradi di efficacia e impatti sui diritti degli utenti differenti: soluzioni meno invasive dal punto di vista dei dati personali tendono generalmente a garantire una minore affidabilità della verifica dell’età, e viceversa. La scelta regolatoria è quindi necessariamente espressione di un bilanciamento tra esigenze contrapposte, sindacabile solo nei limiti della manifesta irragionevolezza o sproporzione.

In questo contesto, la delibera non impone uno specifico modello tecnico di verifica dell’età, ma adotta un approccio “tecnologicamente neutrale”, limitandosi a fissare un insieme di principi e requisiti generali – tra cui proporzionalità, minimizzazione, sicurezza, limitazione della conservazione e trasparenza – cui i sistemi di age assurance devono conformarsi.

Il provvedimento di cui alla Delibera 96/25/CONS è stato adottato previa acquisizione del parere favorevole del Garante per la protezione dei dati personali. L’Autorità ha previsto apposite misure tecniche e di processo (art. 3, punto “ii. Protezione dei dati personali”), rispettose del principio di minimizzazione dei dati (art. 5 GDPR) e dei principi di data protection by design e by default (art. 25 GDPR), garantendo la raccolta limitata dei dati personali in ragione dello scopo.

Né può ritenersi che la mancata adozione, allo stato, di un sistema unitario o centralizzato – quale quello prospettato dalla ricorrente – integri una violazione del principio di minimizzazione. In assenza di una soluzione armonizzata e obbligatoria a livello unionale, gli Stati membri possono adottare misure nazionali che, nel rispetto dei principi del diritto dell’Unione, assicurino un elevato livello di tutela dei minori.

Le soluzioni alternative richiamate dalla ricorrente, pur astrattamente idonee a ridurre il numero dei trattamenti, non risultano allo stato pienamente operative né imposte dal diritto dell’Unione, e non possono costituire parametro esclusivo di legittimità dell’intervento regolatorio nazionale. La delibera, al contrario, riconosce il carattere dinamico del quadro tecnologico e normativo, prevedendo meccanismi di aggiornamento per recepire eventuali sviluppi futuri anche a livello europeo.

11 - Alla luce delle considerazioni svolte, in accoglimento del terzo e del quarto motivo, previa disapplicazione dell’art.  13- bis del d.l. 123/2023, deve essere annullata in parte qua la Delibera A.g.com. n. 96/25/CONS nella parte in cui prevede l’entrata in vigore delle misure nei confronti dei prestatori stabiliti in altri Stati membri al decorso del termine di tre mesi dalla pubblicazione della lista di cui all’art. 1, in assenza della preventiva interlocuzione con lo Stato membro di origine e della notifica alla Commissione europea.

Sul piano conformativo, l’Autorità per le garanzie nelle comunicazioni è tenuta, prima di estendere l’applicazione delle misure ai prestatori stabiliti in altri Stati membri, a osservare integralmente la procedura di cui all’art. 3, par. 4, lett. b), della direttiva 2000/31/CE. Solo all’esito della predetta procedura, qualora i rispettivi Stati membri di stabilimento non abbiano adottato provvedimenti adeguati e in assenza di rilievi da parte della Commissione europea, la Delibera potrà produrre effetti nei confronti dei prestatori stabiliti in altri Stati membri.

12 - L’accoglimento parziale del ricorso giustifica la compensazione delle spese di lite.

P.Q.M.

Il Tribunale Amministrativo Regionale per il Lazio (Sezione Quarta), definitivamente pronunciando sul ricorso, come in epigrafe proposto, come in epigrafe proposto, lo accoglie e, per l’effetto, annulla delibera n. 96/25/CONS, nei limiti di cui in motivazione.

Spese compensate.

Ordina che la presente sentenza sia eseguita dall'autorità amministrativa.

Così deciso in Roma nella camera di consiglio del giorno 11 marzo 2026 con l'intervento dei magistrati:

RA EL, Presidente

Giuseppe Grauso, Primo Referendario

GI La MA, Referendario, Estensore

L'ESTENSORE	IL PRESIDENTE
GI La MA	RA EL

IL SEGRETARIO