Pubblicato il 07/04/2026

N. 06282/2026 REG.PROV.COLL.

N. 00132/2026 REG.RIC.

REPUBBLICA ITALIANA

IN NOME DEL POPOLO ITALIANO

Il Tribunale Amministrativo Regionale per il Lazio

(Sezione Quarta)

ha pronunciato la presente

SENTENZA

sul ricorso numero di registro generale 132 del 2026, proposto da
Hammy Media Ltd, in persona del legale rappresentante pro tempore, rappresentata e difesa dagli avvocati Ludovico Anselmi, Fabio Cintioli, Paolo Giugliano, con domicilio digitale come da PEC da Registri di Giustizia;

contro

Autorità per le Garanzie nelle Comunicazioni Roma, Autorità Garante per l’Infanzia e l’Adolescenza, rappresentate e difese dall’Avvocatura Generale dello Stato, domiciliataria ex lege in Roma, via dei Portoghesi, 12;

nei confronti

Altroconsumo Associazione Indipendente di Consumatori, Moige Aps – Movimento Italiano Genitori, Noi Trento – Aps, Autorità Garante per L’Infanzia e L’Adolescenza, Garante per la Protezione dei Dati personali, non costituiti in giudizio;

per l’annullamento

del provvedimento di cui alla Comunicazione dell’Autorità per le Garanzie nelle Comunicazioni del 31 ottobre 2025 recante “Lista AGCOM dei soggetti ex art. 13-bis del Decreto NO e delibera n. 96/25/CONS”; della delibera dell’Autorità per le Garanzie nelle Comunicazioni n. 96/25/CONS, dell’8 aprile 2025, recante ad oggetto “Adozione delle modalità tecniche e di processo per l’accertamento della maggiore età degli utenti in attuazione della legge 13 novembre 2023, n. 159”, unitamente ai suoi allegati; nonché, per quanto occorrer possa, (i) della delibera n. 9/24/CONS, del 10 gennaio 2024, che ha disposto l’“Avvio del procedimento istruttorio finalizzato all’attuazione dell’articolo 13-bis del decreto-legge 15 settembre 2023, n. 123 recante Misure urgenti di contrasto al disagio giovanile, alla povertà educativa e alla criminalità minorile, nonché per la sicurezza dei minori in ambito digitale convertito, con modificazioni, dalla legge 13 novembre 2023, n. 159”; (ii) della delibera n. 61/24/CONS, del 6 marzo 2024, recante “Avvio della consultazione pubblica di cui all’art. 1, comma 4, della delibera n. 9/24/CONS volta all’adozione di un provvedimento sulle modalità tecniche e di processo per l’accertamento della maggiore età degli utenti in attuazione della legge 13 novembre 2023, n. 159”; (iii) del comunicato stampa AGCOM del 12 novembre 2025  e di ogni altro atto presupposto, connesso o consequenziale, anche se non noto o conosciuto.

Visti il ricorso e i relativi allegati;

Visti gli atti di costituzione in giudizio dell’Autorità per le Garanzie nelle Comunicazioni Roma e dell’Autorità Garante per l’Infanzia e l’Adolescenza;

Visti tutti gli atti della causa;

Relatore nell’udienza pubblica del giorno 11 marzo 2026 il dott. EP RA;

Ritenuto e considerato in fatto e diritto quanto segue.

FATTO e DIRITTO

1 – La società ricorrente, stabilita a Cipro e gestore del sito internet www.xhamster.com sul quale vengono pubblicati contenuti per adulti, ha impugnato:

- il provvedimento di cui alla comunicazione dell’Autorità per le Garanzie nelle Comunicazioni del 31 ottobre 2025 recante “ Lista AGCOM dei soggetti ex art. 13-bis del Decreto NO e delibera n. 96/25/CONS ”;

- la delibera dell’Autorità per le Garanzie nelle Comunicazioni n. 96/25/CONS, dell’8 aprile 2025, recante ad oggetto “ Adozione delle modalità tecniche e di processo per l’accertamento della maggiore età degli utenti in attuazione della legge 13 novembre 2023, n. 159 ”, unitamente ai suoi allegati.

A fondamento del gravame ha articolato tre motivi di ricorso come di seguito rubricati:

I. Violazione e falsa applicazione dell’art. 3 della direttiva 2000/31/CE e dei principi del paese d’origine e del mutuo riconoscimento. Violazione e falsa applicazione degli artt. 1 e 3 della Direttiva 2000/31/CE. Violazione e falsa applicazione dell’art. 6 bis e dell’art. 28 bis della direttiva 2010/13. Violazione e falsa applicazione dell’art. 15 del Regolamento (UE) 2024/1083. Violazione della libertà di prestazione dei servizi e degli articoli 53, 62 e 114 TFUE. Violazione e falsa applicazione dell’art. 5, par. 4, TUE. Violazione e falsa applicazione dell’art. 117, comma 1, TFUE. Violazione del principio del primato dell’Unione Europea. Eccesso di potere per irragionevolezza e ingiustizia manifesta. Difetto di istruttoria e di motivazione. Violazione dell’art. 3 della l. n. 241 del 1990.

II. Violazione e falsa applicazione dell’art. 28 del Regolamento (UE) 2022/2065. Violazione e falsa applicazione degli artt. 56 e 57 del Regolamento (UE) 2022/2065. Violazione e falsa applicazione dell’art. 288 TFUE. Violazione e falsa applicazione dell’art. 117, comma 1, Cost.. Violazione del principio del primato dell’Unione Europea. Eccesso di potere per contraddittorietà, irragionevolezza e ingiustizia manifesta. Difetto di istruttoria e di motivazione. Violazione dell’art. 3 della l. n. 241 del 1990.

III. Violazione del dovere di motivazione rafforzata. Violazione e falsa applicazione dell’art. 3, l. 241/1990 e dell’art. 5(2) della Direttiva 2015/1535/UE.

2 - Si sono costituiti in giudizio per resistere al ricorso l’Autorità per le Garanzie nelle Comunicazioni e l’Autorità Garante per l’Infanzia e l’Adolescenza.

3 – All’udienza pubblica del 11 marzo 2026 la causa è stata trattenuta in decisione.

4 - In via preliminare occorre esaminare l’eccezione di inammissibilità del ricorso sollevata dall’AGCOM sul rilievo secondo cui “ la controparte avrebbe dovuto impugnare la delibera n. 96/25/CONS adottata da AGCOM l’8 aprile 2025 e pubblicata in data 12 maggio 2025 … Infatti, è solo in tale provvedimento amministrativo, e non già nella comunicazione del 31 ottobre 2025 (oggetto principale dell’impugnativa della ricorrente) che sono indicati tutti gli elementi soggettivi e oggettivi di cui al comma 3 dell’articolo 13-bis del Decreto NO … tale comunicazione non introduce, ictu oculi, alcun elemento di novità rispetto a quanto già noto a tutti i soggetti destinatari della previsione sin dall’entrata in vigore dell’articolo 13-bis del Decreto (16 settembre 2023) e, ancora di più, dalla pubblicazione della delibera n. 96/25/CONS (12 maggio 2025) ”.

Ai fini della disamina dell’eccezione va considerato che nella delibera 96/25/CONS l’Autorità ha stabilito:

- di “ circoscrivere la portata applicativa delle disposizioni introdotte dal progetto notificato ai soli servizi della società dell’informazione stabiliti in Italia o fuori dell’Unione europea e [di] prevedere l’estensione ai soggetti stabiliti in altri Stati membri secondo i criteri e le procedure di cui all’articolo 3 della direttiva 2000/31/CEI ”;

- di “ predisporre una lista (compilata e aggiornata periodicamente, nonché comunicata alla Commissione europea) che individui i soggetti per i quali trova applicazione il progetto notificato ”;

- che “ le disposizioni introdotte troveranno applicazione anche con riferimento ai gestori di siti web e alle piattaforme di condivisione di video che diffondono in Italia immagini e video a carattere pornografico, a prescindere dallo Stato membro di stabilimento, tre mesi dopo la pubblicazione della lista sopra richiamata ”.

Le misure introdotte non risultavano, dunque, immediatamente applicabili nei confronti degli operatori stabiliti - come la ricorrente - in altri Stati membri, ma avrebbero acquisito operatività nei loro confronti solo a seguito dell’adozione e della pubblicazione della “ Lista AGCOM dei soggetti ex art. 13-bis del Decreto NO e delibera n. 96/25/CONS ”.

Pertanto, solo a seguito della pubblicazione di tale lista, gli obblighi introdotti dall’art. 13-bis del d.l. n. 123/2023 e dalla suddetta delibera sono divenuti concretamente efficaci nei confronti della parte ricorrente.

Ne deriva che la lesione degli interessi della ricorrente si è attualizzata solo con l’adozione dell’atto consequenziale tempestivamente gravato, che costituiva la premessa per l’applicabilità nei suoi confronti delle misure di nuova introduzione.

In definitiva l’eccezione si rivela infondata in quanto, contrariamente a quanto prospettato dalla difesa erariale, non sussisteva l’onere per la ricorrente di impugnare immediatamente la delibera a monte, non essendosi, all’epoca, ancora configurata una attuale ed effettiva lesione della sua sfera giuridica.

Sempre in via pregiudiziale va esaminata l’eccezione con la quale l’Autorità Garante per l’Infanzia e l’Adolescenza ha eccepito il proprio difetto di legittimazione passiva, non avendo essa concorso all’adozione degli atti impugnati.

Il rilievo è condivisibile.

Gli atti impugnati non sono in alcun modo riconducibili al suddetto ente, la cui posizione quindi non è quella di autorità amministrativa la cui azione amministrativa ha leso l’interesse della ricorrente.

Né la ricorrente ha dedotto che la suddetta Autorità sia titolare di un interesse qualificato alla conservazione della contestata delibera, assumendo la posizione di controinteressata.

5 - Nel merito ricorso è, in parte, fondato nei sensi che saranno di seguito precisati.

6 - Gli atti impugnati si collocano nel più ampio quadro normativo, nazionale ed europeo, preordinato alla tutela dei minori nell’ecosistema digitale, quale interesse fondamentale dell’ordinamento, riconosciuto e garantito dagli artt. 2, 30, 31 e 32 Cost., nonché da diverse fonti sovranazionali, tra cui la Convenzione delle Nazioni Unite sui diritti del fanciullo del 1989, la Convenzione europea sull’esercizio dei diritti dei minori del 1996 e la Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali.

In tale contesto, la crescente diffusione di piattaforme online, che consentono la circolazione di contenuti in assenza di un’effettiva intermediazione, accresce il rischio di esposizione precoce e incontrollata a materiali a carattere pornografico, con possibili ricadute pregiudizievoli sul benessere emotivo, psicologico e sociale dei soggetti in età evolutiva. Rischio che, avuto riguardo alla peculiare vulnerabilità dei minori, impone un livello di protezione particolarmente elevato, anche attraverso l’introduzione di specifici obblighi di protezione a carico dei gestori delle piattaforme.

6.1 - L’esigenza di assicurare un’adeguata protezione dei minori trova esplicito riconoscimento anche livello europeo. L’art. 28, par. 1, del Regolamento (UE) 2022/2065 (“Digital services act – D.S.A.”) impone ai fornitori di piattaforme online accessibili ai minori l’adozione di “ misure adeguate e proporzionate per garantire un elevato livello di tutela della vita privata, della sicurezza e della protezione dei minori sul loro servizio ”. A tal fine, la Commissione europea è chiamata a emanare orientamenti diretti ad assistere i fornitori nell’implementazione di tali misure; in attuazione di tale previsione, essa ha adottato, il 14 luglio 2025, le linee guida sull’interpretazione dell’art. 28 D.S.A. (“Linee guida A28”), che ne precisano ulteriormente le modalità applicative.

Al contempo, l’art. 35, par. 1, lett. j), del D.S.A. introduce obblighi ulteriori in capo alle piattaforme di dimensioni molto grandi, imponendo l’adozione di misure ragionevoli, proporzionate ed efficaci per la mitigazione dei rischi sistemici, ivi incluse quelle dirette alla tutela dei diritti dei minori, tra cui rientrano anche strumenti di verifica dell’età.

Sebbene, allo stato, non sia previsto a livello europeo un meccanismo uniforme di age verification , sono state avviate forme di cooperazione tra i servizi della Commissione e le autorità nazionali competenti, finalizzate all’individuazione di migliori pratiche e standard nel settore dei sistemi di age assurance , in vista della definizione di future soluzioni condivise.

6.2 - Parallelamente all’evoluzione del quadro eurounitario, anche il legislatore italiano è intervenuto al fine di rafforzare la protezione dei minori rispetto all’accesso a contenuti online di carattere pornografico.

In particolare l’art. 13-bis del d.l. 123/2023 (“Decreto NO”):

- ha introdotto un obbligo generalizzato, in capo ai gestori di siti web e ai fornitori di piattaforme di condivisione video operanti in Italia, di verifica della maggiore età degli utenti;

- ha demandato all’Autorità per le garanzie nelle comunicazioni la definizione delle modalità tecniche e procedurali per l’accertamento dell’età;

- ha previsto, in caso di inadempimento, l’esercizio di poteri inibitori, fino al blocco dei servizi, nonché l’irrogazione di sanzioni amministrative pecuniarie.

6.3 - In attuazione di tale previsione, l’Autorità, all’esito di apposita consultazione pubblica, ha notificato alla Commissione europea, il 16 ottobre 2024, uno schema di provvedimento, sul quale la Commissione ha reso, il 16 gennaio 2025, un parere circostanziato. Decorso il periodo di stand still previsto dalla direttiva (UE) 2015/1535, l’Autorità ha quindi adottato la delibera n. 96/25/CONS dell’8 aprile 2025, recante le modalità tecniche e di processo per l’accertamento dell’età degli utenti, oggetto dell’odierna impugnazione.

In particolare, la delibera:

- adotta un approccio “ tecnologicamente neutrale ”, rimettendo ai soggetti obbligati la scelta delle soluzioni tecniche idonee a garantire il controllo della maggiore età, nel rispetto dei principi e requisiti fissati dall’Autorità (art. 3, comma 1, dell’Allegato A alla delibera 96/25/CONS);

- estende l’applicazione delle misure anche ai fornitori stabiliti in altri Stati membri che diffondono contenuti in Italia, individuati mediante apposita lista predisposta e aggiornata dall’Autorità, prevedendo per essi una decorrenza differita degli obblighi;

- introduce una clausola di rivedibilità, volta ad assicurare l’adeguamento della disciplina alle eventuali evoluzioni del quadro normativo europeo (art. 4, comma 3, dell’Allegato A alla delibera 96/25/CONS).

In tale prospettiva, la delibera, tenuto conto della dimensione intrinsecamente transfrontaliera dei servizi digitali - accessibili agli utenti nazionali anche se forniti da operatori stabiliti in altri Stati membri - mira a prevenire il rischio che tale carattere possa consentire un’elusione delle misure approntate dall’ordinamento interno a protezione dei minori, compromettendo così l’effettività della tutela di interessi di rilievo primario.

7 - Tuttavia, pur riconoscendo l’elevato rango costituzionale del bene giuridico tutelato, il Collegio rileva che le misure adottate dall’ordinamento nazionale non risultano pienamente conformi con i principi eurounitari del controllo nello Stato membro di origine e della libera prestazione dei servizi sanciti dall’art. 3, par. 1 e 2 della direttiva 2000/31.

In particolare, come dedotto dalla ricorrente con il primo motivo di ricorso, non risultano soddisfatte le condizioni di natura procedurale che sole consentono, in via eccezionale, di derogare a tali principi.

7.1 - L’art. 3 della direttiva 2000/31/CE (“direttiva e-commerce”) stabilisce, al paragrafo 1, che ciascuno Stato membro assicura che i servizi della società dell’informazione forniti da prestatori stabiliti nel proprio territorio rispettino le disposizioni nazionali vigenti in detto Stato. Il successivo paragrafo 2 dispone, correlativamente, che gli Stati membri non possono limitare, per motivi rientranti nell’ambito regolamentato, la libera circolazione dei servizi della società dell’informazione provenienti da un altro Stato membro. Tali previsioni esprimono, rispettivamente, il principio del Paese di origine, in forza del quale la disciplina dei servizi spetta esclusivamente allo Stato di stabilimento del prestatore, e il principio della libera prestazione dei servizi, volto a garantire il corretto funzionamento del mercato interno mediante la rimozione di restrizioni ingiustificate.

Ne consegue che lo Stato membro di destinazione non può, in linea di principio, imporre obblighi ulteriori rispetto a quelli previsti dall’ordinamento dello Stato di origine.

È tuttavia lo stesso art. 3, al paragrafo 4, a prevedere, in via eccezionale, la possibilità per lo Stato membro di destinazione di adottare misure derogatorie, ove ciò risulti necessario per la tutela di interessi fondamentali, tra cui - per quanto qui rileva - la protezione dei minori e della dignità umana.

Tuttavia, proprio al fine di evitare che tali margini di intervento finiscano per vanificare le libertà fondamentali del mercato interno, l’esercizio del potere derogatorio è subordinato al rigoroso rispetto delle condizioni sostanziali e procedurali stabilite all’art. 3, paragrafo 4, vale a dire:

i) la riferibilità della misura “ a un determinato servizio della società dell’informazione ”;

ii) la sua necessità rispetto alla tutela dell’ordine pubblico, della sanità pubblica, della pubblica sicurezza o dei consumatori;

ii) la sussistenza di un pregiudizio, o quanto meno di un rischio serio e grave di pregiudizio, agli interessi tutelati;

iii) la proporzionalità della misura rispetto a tale obiettivo;

iv) il rispetto degli oneri procedurali di cui all’art. 3, paragrafo 4, lettera b), di preventiva interlocuzione con lo Stato membro di origine e di notifica alla Commissione.

7.2 - Venendo al caso di specie, con il primo motivo di ricorso la parte ricorrente, dopo aver premesso che “ l’estensione dell’obbligo di implementare determinate misure tecniche di controllo dell’età anche ad editori stabiliti in Stati membri diversi dall’Italia si pone in frontale contrasto con quanto previsto dall’art. 3, par. 1 e 2, della direttiva e-commerce e viola il principio del paese d’origine ”, lamenta che:

- non “ sussistono le condizioni sostanziali per attivare la procedura derogatoria di cui all’art. 3, par. 4, della direttiva e-commerce ” in quanto “ tale disposizione … si riferisce esclusivamente a misure individuali e non anche all’introduzione di norme generali e astratte applicabili ad intere categorie di servizi o fornitori, ancorché individuati all’interno di un elenco predisposto dall’Autorità di regolazione nazionale ” (richiama Corte di giustizia UE, sentenza 9 novembre 2023, causa C-376/22, Google Ireland);

- “ la deroga al principio del paese d’origine non è stata nemmeno introdotta seguendo la procedura prevista dall’art. 3, par. 4, della direttiva e-commerce … La stessa AGCOM ammette nella propria delibera che tale procedura non è stata seguita ai fini dell’introduzione dell’obbligo e che sarà semmai (ed eventualmente) attivata solo ed esclusivamente qualora, a seguito dell’attività di vigilanza, dovranno essere avviati procedimenti sanzionatori e di diffida previsti dal comma 5 dell’art. 13-bis cit. ”.

7.3 - Sotto il primo profilo, la censura è infondata.

La società ricorrente deduce che la misura impugnata si risolverebbe in una disciplina generale e astratta, applicabile a un’intera categoria di operatori. A fondamento di tale assunto, richiama la giurisprudenza della Corte di giustizia dell’Unione europea (sentenza 9 novembre 2023, causa C-376/22), secondo cui le misure derogatorie previste dall’art. 3, par. 4, devono riguardare servizi individualizzati e non possono avere portata generale.

L’argomentazione non è tuttavia condivisibile.

Secondo l’interpretazione fornita dalla Corte, il requisito della riferibilità a un determinato servizio mira a evitare che gli Stati membri eludano il principio del Paese di origine attraverso l’adozione di misure generalizzate, applicabili indistintamente a una pluralità indeterminata di prestatori. In tale prospettiva, le deroghe sono ammissibili solo in presenza di interventi che consentano di identificare i destinatari, poiché l’effettività delle garanzie procedurali - e in particolare dell’obbligo di previa interlocuzione con lo Stato membro di stabilimento - presuppone la possibilità concreta di individuare i prestatori interessati.

Dalla medesima giurisprudenza si ricava dunque che, ai fini dell’ammissibilità della deroga, ciò che rileva è la misura abbia portata circoscritta e consenta di individuare i prestatori interessati in modo sufficientemente specifico.

Tale conclusione trova conferma anche nel parere circostanziato reso dalla Commissione europea sullo schema di provvedimento notificato. In quella sede, infatti, la Commissione aveva rilevato che, per i gestori dei siti web, le autorità italiane non erano state in grado di fornire un’identificazione o una stima dei prestatori stabiliti in altri Stati membri interessati dalla misura. Per quanto riguarda i fornitori di piattaforme video, la Commissione ha osservato che la banca dati MAVISE indicata dalle autorità italiane non ne consentiva un’individuazione specifica, includendo tutti i soggetti potenzialmente qualificabili come servizi di piattaforma per la condivisione di video ai sensi della direttiva AVMS. Ne conseguiva che il progetto originario avrebbe riguardato categorie ampie e indeterminate di prestatori, e si sarebbe risolto in un insieme di misure generali e astratte incompatibili con l’art. 3, par. 4, della direttiva 2000/31/CE.

Proprio al fine di superare tali criticità, l’Autorità ha introdotto, nella delibera definitiva, un meccanismo di individuazione puntuale dei prestatori interessati, fondato sulla predisposizione e sull’aggiornamento di apposite liste.

Nel caso di specie, pertanto, la delibera impugnata subordina l’applicazione delle misure nei confronti dei prestatori stabiliti in altri Stati membri al loro inserimento in un elenco specificamente individuato dall’Autorità. Tale elenco - che comprende un numero limitato di piattaforme - consente di determinare con precisione i destinatari degli obblighi, superando sia il carattere indistinto e generalizzato evidenziato dalla Commissione, sia l’astrattezza della norma generale. In tal modo, la prescrizione, pur trovando origine in una fonte di carattere generale, si concretizza in un atto applicativo che assume natura individualizzata, in quanto riferito a prestatori specificamente individuati.

7.4 - È invece fondato il secondo profilo di censura, relativo al mancato rispetto delle condizioni procedurali di cui all’art. 3, paragrafo 4, lett. b), della direttiva 2000/31/CE.

Tale disposizione stabilisce che, per poter adottare un provvedimento restrittivo nei confronti di prestatori stabiliti in un altro Stato membro, è necessario che:

i) lo Stato membro richiedente abbia previamente invitato lo Stato membro di origine ad adottare i provvedimenti necessari;

ii) quest’ultimo non abbia adottato i provvedimenti richiesti o li abbia adottati in maniera inadeguata;

iii) lo Stato membro richiedente abbia notificato alla Commissione europea e allo Stato membro di origine la propria intenzione di adottare le misure restrittive.

Nel caso in esame è pacifico, come riconosciuto dalla stessa parte resistente, che l’Autorità per le garanzie nelle comunicazioni non abbia osservato tale procedura. L’art. 4, comma 2, dell’allegato A della delibera, relativo all’entrata in vigore delle misure, estende automaticamente l’obbligo ai prestatori stabiliti in altri Stati membri tre mesi dopo la pubblicazione della lista di cui all’art. 1, senza subordinare la loro operatività al rispetto delle condizioni procedurali di previa interlocuzione e notifica stabilite dall’art. 3, par. 4, lett. b), della direttiva 2000/31/CE.

Né può essere condivisa la tesi dell’amministrazione secondo cui l’adempimento degli obblighi procedurali sarebbe richiesto soltanto ex post , ossia in sede di contestazione di eventuali inadempimenti da parte dei prestatori stabiliti in altri Stati membri. La disciplina comunitaria richiede, al contrario, che la procedura sia osservata già nel momento in cui la misura restrittiva viene posta a carico dei prestatori individuati.

Rinviare tale obbligo a una fase successiva comporterebbe una sostanziale alterazione della logica sottesa alla disposizione, svuotando di ogni contenuto precettivo le garanzie procedurali previste dalla direttiva, le quali non costituiscono un mero adempimento documentale successivo, ma rappresentano un presupposto essenziale di legittimità della misura derogatoria. La società interessata sarebbe infatti costretta a conformarsi immediatamente, senza che lo Stato membro di origine abbia avuto la possibilità di intervenire o di adottare misure correttive.

Verrebbe così frustrata la ratio della procedura, volta a preservare il principio del Paese di origine, fondato sulla fiducia reciproca tra gli Stati membri e sulla cooperazione nella sorveglianza dei servizi della società dell’informazione, nella quale l’intervento dello Stato di destinazione assume carattere eccezionale e sussidiario. Adottare la misura senza la preventiva interlocuzione presupporrebbe, di fatto, una diffusa mancanza di fiducia verso gli altri Stati membri nella vigilanza dei prestatori stabiliti sul loro territorio, compromettendo il principio di reciproco riconoscimento e indebolendo le basi della cooperazione interstatale sancita dalla direttiva.

Ne consegue l’illegittimità della delibera nella parte in cui, all’art. 4 dell’allegato A, prevede l’entrata in vigore automatica delle misure per i prestatori stabiliti in altri Stati membri al decorso del termine di tre mesi dalla pubblicazione della lista di cui all’art. 1, in assenza della preventiva interlocuzione con lo Stato membro di origine e della notifica alla Commissione europea, con conseguente annullamento di tale disposizione.

8 - Va invece respinto il profilo di doglianza con il quale la società ricorrente ha sostenuto l’illegittimità dei provvedimenti impugnati per violazione del Regolamento (UE) 2022/2065 (Digital Services Act), il quale, configurandosi come regolamento di armonizzazione piena non consentirebbe l’adozione di misure nazionali di attuazione.

Tale interpretazione verrebbe corroborata dal considerando 9 del Regolamento (UE) 2022/2065 laddove prevede che “[il] presente regolamento armonizza pienamente le norme applicabili ai servizi intermediari nel mercato interno con l’obiettivo di garantire un ambiente online sicuro, prevedibile e affidabile, in cui i diritti fondamentali sanciti dalla Carta siano efficacemente tutelati e l’innovazione sia agevolata, contrastando la diffusione di contenuti illegali online e i rischi per la società che la diffusione della disinformazione o di altri contenuti può generare. Di conseguenza, gli Stati membri non dovrebbero adottare o mantenere prescrizioni nazionali aggiuntive in relazione alle questioni che rientrano nell’ambito di applicazione del presente regolamento, salva espressa disposizione contraria ivi contenuta, in quanto ciò inciderebbe sull’applicazione diretta e uniforme delle norme pienamente armonizzate applicabili ai prestatori di servizi intermediari conformemente agli obiettivi del presente regolamento. È opportuno che ciò non precluda la possibilità di applicare altre normative nazionali applicabili ai prestatori di servizi intermediari, in conformità del diritto dell’Unione, compresa la direttiva 2000/31/CE, in particolare l’articolo 3, qualora le disposizioni del diritto nazionale perseguano legittimi obiettivi di interesse pubblico diversi da quelli perseguiti dal presente regolamento ”.

Ritiene quindi sussistente un divieto di adottare disposizioni nazionali aggiuntive o sovrapponibili nelle materie già coperte dal DSA, quali quella di cui all’art.13-bis del d.l. 123/2023, ponendosi tale disposizione in contrasto con l’obbiettivo di uniformità e di piena armonizzazione alla base del regolamento in esame.

Pertanto, afferma parte ricorrente che la materia della protezione dei minori, disciplinata dall’art. 28 del DSA, consentirebbe esclusivamente alla Commissione europea di emanare orientamenti e linee guida per le piattaforme online, escludendo qualsiasi intervento del legislatore nazionale.

Il motivo non può trovare accoglimento.

Secondo lo stesso parere della Commissione, citato da parte ricorrente, soltanto a seguito della “ piena armonizzazione del regolamento sui servizi digitali, per quanto riguarda gli obblighi di diligenza imposti ai fornitori di piattaforme online, in particolare volti a proteggere i minori da contenuti illegali e dannosi, e al fine di preservare l’integrità del mercato unico dei servizi digitali, agli Stati membri è impedito di adottare misure nazionali nell’ambito di applicazione dell’articolo 28 ter, paragrafo 6, della direttiva AVMS che si sovrappongano al regolamento sui servizi digitali o ne contraddicano pienamente l’effetto di armonizzazione ”.

Si tratta tuttavia di un processo di armonizzazione ancora in itinere e non pieno, avendo allo stato la Commissione soltanto “ avviato un esercizio di cooperazione con gli Stati membri e i loro coordinatori dei servizi digitali nel settore concreto dei sistemi di age assurance per l’attuazione delle norme contenute nel regolamento sui servizi ” (pag. 8 parere della Commissione).

Conseguentemente, nelle more del predetto procedimento e in “ assenza di una soluzione a livello dell’UE per verificare l’età degli utenti, qualsiasi soluzione transitoria nazionale dovrebbe rimanere conforme al diritto dell’Unione, compreso l’articolo 3 della direttiva 2000/31/CE, e prevedere anche un meccanismo per revocare o abrogare le misure nazionali che diventano superflue una volta attuata la soluzione tecnica europea ” (pag. 14 parere della Commissione).

Sino alla piena armonizzazione, sono pertanto ammesse dalla Commissione soluzioni transitorie purché conformi alla normativa europea e alla direttiva e, in particolare, all’art. 3 della direttiva 2000/31/CE (e-commerce).

Pertanto, la soluzione adottata dallo Stato appare sotto il contestato profilo di doglianza attualmente conforme al diritto eurounitario, dovendo la stessa essere qualificata come disciplina transitoria in quanto destinata ad essere superata mediante disapplicazione della disciplina nazionale o comunque mediante il meccanismo previsto dall’art. 4 comma 3 della delibera 96/25/CONS il quale prevede che “ A decorrere dalla data di entrata in vigore degli orientamenti adottati ai sensi dell’articolo 28 del Regolamento (UE) 2022/2065, l’Autorità, laddove necessario, si impegna a modificare ed adeguare il presente provvedimento alla normativa europea sopravvenuta con riferimento ai soggetti stabiliti in altri Stati membri ”.

Sussiste pertanto il “ meccanismo per revocare o abrogare le misure nazionali che diventano superflue una volta attuata la soluzione tecnica ” richiesto nel parere dalla Commissione ed idoneo a far venire meno il rischio di “ normative nazionali che potrebbero sovrapporsi alle disposizioni del regolamento sui servizi digitali ” (pag. 7 parere Commissione).

Né parimenti può appalesarsi come piena armonizzazione, come tale idonea a far perdere allo Stato Italiano e all’Autorità il potere di disciplinare provvisoriamente su soluzioni volte alla massima tutela dei minori, la Comunicazione della Commissione C/2025/5519 del 10 ottobre 2025 recante “ Orientamenti su misure per garantire un elevato livello di tutela della vita privata, di sicurezza e di protezione dei minori online, a norma dell’articolo 28, paragrafo 4, del regolamento (UE) 2022/2065 ”, versandosi allo stato ancora in una fase transitoria e non piena dell’armonizzazione.

Allo stato attuale, infatti, la Commissione sta ancora “ sperimentando una soluzione UE di verifica dell’età come misura autonoma che rispetti i criteri di efficacia delle soluzioni di accertamento dell’età di cui alla sezione ” (pag. 12, n. 43 orientamenti; cfr. nota 38, p. 11) su base volontaria, essendo i fornitori allo stato soltanto incoraggiati “ a partecipare alle sperimentazioni disponibili delle versioni iniziali della soluzione UE di verifica dell’età, da cui possono trarre informazioni sui mezzi più adatti a garantire la conformità all’articolo 28 del regolamento (UE) 2022/2065 ”.

A fronte di interessi di primario rilievo costituzionale quali la protezione dei minori e la salvaguardia del loro sviluppo psico-fisico, l’eventuale durata dei processi decisionali e di armonizzazione a livello europeo non può tradursi in una sostanziale paralisi dell’azione normativa statale. In tale ottica, l’intervento nazionale si configura non già come elemento di frizione con l’ordinamento eurounitario, bensì come espressione del principio di leale cooperazione, contribuendo alla realizzazione degli obiettivi di tutela perseguiti anche a livello europeo, in attesa della definizione di strumenti comuni. Pertanto in assenza di una piena armonizzazione – non essendo ancora disponibile la soluzione di verifica dell’età prevista dalla Commissione nell’ambito del portafoglio europeo di identità digitale, versandosi ancora in una fase di mera sperimentazione – non possono essere accolte le doglianze proposte dalla parte ricorrente.

9 - Devono conseguentemente essere respinte anche le doglianze, fatte valere con il terzo motivo di ricorso, con cui la società ricorrente contesta all’Autorità di non aver adeguatamente motivato le ragioni che l’hanno condotta a superare le osservazioni fornite dalla Commissione nel parere circostanziato in merito alla dedotta “ sussistenza di una violazione degli artt. 28, 55 e 56 del Digital Services Act, in merito all’esistenza di una disciplina pienamente armonizzata e oggetto di vigilanza da parte dell’Autorità dello Stato membro di stabilimento o, tuttalpiù, della Commissione europea ”, essendo stata inserita la previsione di cui all’art. 4 comma 3 della delibera 96/25/CONS con cui l’Autorità si impegna a modificare le misure adottate a livello nazionale almeno avuto riguardo ai soggetti stabiliti in altri Stati membri (come la società ricorrente), a decorrere dalla data di entrata in vigore degli orientamenti adottati ai sensi dell’articolo 28 del Regolamento (UE) 2022/2065, al fine di adeguarsi alla normativa europea sopravvenuta.

10 - Alla luce delle precedenti considerazioni, in accoglimento del primo motivo di ricorso, deve essere annullata in parte qua , previa disapplicazione dell’art. 13-bis del d.l. n. 123/2023, la delibera n. 96/25/CONS nella parte in cui prevede l’entrata in vigore delle misure nei confronti dei prestatori stabiliti in altri Stati membri al decorso del termine di tre mesi dalla pubblicazione della lista di cui all’art. 1, in assenza della preventiva interlocuzione con lo Stato membro di origine e della notifica alla Commissione europea.

Sul piano conformativo, l’Autorità per le garanzie nelle comunicazioni è tenuta, prima di estendere l’applicazione delle misure ai prestatori stabiliti in altri Stati membri, a osservare la procedura di cui all’art. 3, par. 4, lett. b), della direttiva 2000/31/CE. Solo all’esito della predetta procedura, qualora i rispettivi Stati membri di stabilimento non abbiano adottato provvedimenti adeguati e in assenza di rilievi da parte della Commissione europea, la delibera potrà produrre effetti nei confronti dei prestatori stabiliti in altri Stati membri.

11 - La novità delle questioni trattate giustifica la compensazione delle spese di lite.

P.Q.M.

Il Tribunale Amministrativo Regionale per il Lazio (Sezione Quarta), definitivamente pronunciando sul ricorso, come in epigrafe proposto, lo accoglie e, per l’effetto, annulla delibera n. 96/25/CONS, nei limiti di cui in motivazione.

Spese compensate.

Ordina che la presente sentenza sia eseguita dall’autorità amministrativa.

Così deciso in Roma nella camera di consiglio del giorno 11 marzo 2026 con l’intervento dei magistrati:

RA LE, Presidente

EP RA, Primo Referendario, Estensore

Giulia La Malfa, Referendario

L'ESTENSORE	IL PRESIDENTE
EP RA	RA LE

IL SEGRETARIO