Famiglia e genitorialità, Informazioni sulle minacce

Quanto sono sicuri i bambini che utilizzano i social media? Abbiamo fatto il lavoro preparatorio

di Malwarebytes Labs | 10 febbraio 2026
Ricerca sui conti online dei minori

Quando i ricercatori hanno creato un account per un bambino di età inferiore ai 13 anni su Roblox, si aspettavano rigide misure di sicurezza. Invece, hanno scoperto che le funzioni di ricerca della piattaforma consentivano comunque ai bambini di trovare comunità legate a frodi e altre attività illecite.

Queste scoperte mettono in luce la questione che sta preoccupando i legislatori di tutto il mondo: come garantire la sicurezza dei bambini online?

L'Australia ha già agito, mentre il Regno Unito, la Francia e il Canada stanno discutendo attivamente norme più severe sull'uso dei social media da parte dei minori. Questo mese il senatore statunitense Ted Cruz ha ripresentato un disegno di legge in tal senso, presiedendo anche un'audizione del Congresso sulla sicurezza dei minori online.

I legislatori hanno affermato che questi sforzi sono volti a garantire la sicurezza dei bambini online. Tuttavia, con l'aumentare delle normative, abbiamo voluto capire come si concretizza nella pratica la sicurezza digitale dei bambini.

Abbiamo quindi chiesto a un team di ricercatori specializzati di valutare l'efficacia con cui una dozzina di fornitori di tecnologia mainstream proteggono online i minori di 13 anni.

Abbiamo scoperto che la maggior parte dei servizi funziona bene quando i bambini utilizzano gli account e le impostazioni progettati appositamente per loro. Tuttavia, quando i bambini sono curiosi, utilizzano il tipo di account sbagliato o oltrepassano tali limiti, le cose possono andare rapidamente fuori controllo.

Nel corso di diverse settimane nel mese di dicembre, il team di ricerca ha esaminato il modo in cui piattaforme come Discord e YouTube l'utilizzo online da parte dei bambini. Si è basato sul comportamento standard degli utenti piuttosto che su exploit o trucchi tecnici per riflettere ciò che un bambino potrebbe realisticamente incontrare.

I ricercatori si sono concentrati su come le piattaforme si rivolgono ai bambini attraverso tipi di account specifici, su come vengono applicate nella pratica le restrizioni relative all'età e sulla possibilità di trovare contenuti sensibili attraverso la normale navigazione o ricerca.

Ciò che è emerso è stato un modello ricorrente: i bambini curiosi che curiosano un po' o che finiscono per utilizzare il tipo di account sbagliato possono imbattersi in contenuti inappropriati con uno sforzo sorprendentemente minimo.

Una descrizione dettagliata delle piattaforme testate, dei tipi di account utilizzati e dei luoghi in cui sono stati individuati contenuti sensibili è riportata nella sezione dedicata all'ambito e alla metodologia della ricerca alla fine di questo articolo.

Quando gli account dei bambini sono opt-in

Una cosa che il team ha provato è stata semplicemente accedere alla versione pubblica generica di un sito piuttosto che all'area protetta per i bambini.

Questo era un problema particolare con YouTube. L'azienda gestisce un servizio specifico per bambini chiamato YouTube , che secondo i ricercatori è effettivamente ripulito da contenuti inappropriati (sembra che le cose siano cambiate dal 2022).

Il problema è che il sito pubblico standard YouTubenon è sottoposto a censura e, anche se l'azienda afferma che per utilizzare il servizio è necessario avere almeno 13 anni, a meno che non sia stato "abilitato" da un genitore, in realtà chiunque può accedervi. Dal rapporto:

"Alcuni contenuti richiedono l'accesso (per la verifica dell'età) prima della visualizzazione, ma i minori possono accedere al servizio di streaming come utenti "ospiti" senza effettuare il login, aggirando così qualsiasi filtro che altrimenti verrebbe applicato a un account registrato a nome di un minore."

Ciò apre la strada a una serie di contenuti inappropriati, dai canali che insegnano come commettere frodi alle scene di semi-nudità e ai contenuti sessualmente allusivi, hanno affermato i ricercatori. È terrificante che abbiano persino trovato scene di esecuzioni umane sul sito pubblico. I ricercatori hanno concluso:

"L'assenza di una barriera di registrazione sulla piattaforma pubblica rende la protezione di "YouTube " facoltativa anziché obbligatoria".

Quando gli account degli adulti sono facili da falsificare

Un'altra preoccupazione è che, anche quando gli account sono soggetti a limiti di età, i minori intraprendenti possono facilmente aggirarli. Sebbene la maggior parte delle piattaforme richieda agli utenti di avere almeno 13 anni, spesso è sufficiente una semplice autodichiarazione. Al bambino non resta che registrare un indirizzo e-mail con un servizio che non richiede la verifica dell'età.

Questa vulnerabilità "doppio cieco" è un grosso problema. I bambini sono bravi a creare account. L'industria tecnologica li ha insegnati a farlo, perché ne hanno bisogno per la maggior parte delle cose che fanno online, dallo streaming alla scuola.

Una volta superati i limiti di età, i bambini curiosi possono accedere rapidamente a contenuti inappropriati. I ricercatori hanno trovato immagini di nudo e contenuti espliciti non moderati sul social network Discord, oltre a contenuti su TikTok che fornivano tutorial su frodi con carte di credito e furti di identità. Una breve ricerca sul sito di streaming Twitch ha portato alla luce annunci di servizi di escort.

Ciò evidenzia un compromesso tra privacy e verifica dell'età. Sebbene una verifica dell'età più rigorosa potrebbe colmare alcune di queste lacune, richiede la raccolta di più dati personali, inclusi documenti di identità o informazioni biometriche. Ciò crea rischi per la privacy, in particolare per i bambini. Ecco perché la maggior parte delle piattaforme si affida all'età autodichiarata, ma la ricerca dimostra quanto sia facile aggirare questo sistema.

Quando gli account dei bambini lasciano passare contenuti dannosi

Le falle nei sistemi di moderazione consentono la diffusione di contenuti rischiosi: Roblox, il sito web e l'app in cui gli utenti creano i propri contenuti, filtra le chat degli account dei minori. Tuttavia, offre anche delle "Comunità", ovvero gruppi pensati per socializzare e fare nuove scoperte.

Questi gruppi sono facilmente ricercabili e alcuni utilizzano nomi e terminologia comunemente associati ad attività criminali, tra cui frodi e furti di identità. Uno di essi, chiamato "Fullz", utilizza un termine comunemente inteso come riferimento alle informazioni personali rubate, mentre "new clothes" (nuovi vestiti) è spesso usato per indicare una nuova serie di dati relativi a carte di pagamento rubate. La comunità visibile può fungere da porta d'accesso, mentre il coordinamento effettivo delle attività illecite o lo scambio di dati avviene tramite "chiacchiere interne" tra i membri della comunità.

Questo tipo di ricerca non era un problema solo per Roblox, ha avvertito il team. Ha scoperto Instagram che promuovevano frodi finanziarie e schemi di criptovalute, anche da un account per adolescenti con restrizioni.

Alcuni siti hanno superato brillantemente i test del team. I ricercatori hanno simulato utenti minorenni che avevano aggirato la verifica dell'età, ma non sono riusciti a trovare contenuti dannosi su Minecraft, Snapchat, Spotify o Fortnite. L'approccio di Fortnite è particolarmente rigoroso, poiché disabilita la chat e gli acquisti sugli account dei bambini sotto i 13 anni fino a quando un genitore non effettua la verifica tramite e-mail. Utilizza inoltre ulteriori passaggi di verifica tramite il numero di previdenza sociale o la carta di credito. I bambini possono comunque giocare, ma senza poter comunicare.

Cosa possono fare i genitori

Non esiste una piattaforma in grado di controllare tutto, soprattutto quando i bambini sono curiosi. Questo rende il coinvolgimento dei genitori il livello di protezione più importante.

Uno dei motivi per cui questo è importante è un rischio correlato che vale la pena riconoscere: gli adulti che cercano di raggiungere i bambini attraverso le piattaforme social. Anche dopo Instagram ha adottato misure per limitare i contatti tra account di adulti e bambini, i genitori hanno comunque scoperto delle scappatoie. Non si tratta di un fallimento di una piattaforma, quanto piuttosto di un promemoria del fatto che nessun sistema di controllo può sostituire la consapevolezza e il coinvolgimento.

Mark Beare, direttore generale del settore Consumer di Malwarebytes :

"I genitori si muovono in un mondo digitale in rapida evoluzione, dove le conseguenze offline si fanno sentire rapidamente, che si tratti di account falsi, deepfake o perdita di denaro. Esistono misure di protezione che vengono incoraggiate, ma i bambini possono comunque essere esposti a contenuti dannosi".

Questo non significa vietare ai bambini l'accesso a Internet. Come sottolinea l'EFF, molti minori utilizzano i servizi online in modo produttivo con il sostegno e la supervisione dei propri genitori. Significa però prestare attenzione a come vengono creati gli account, a come i bambini interagiscono con gli altri online e a quanto si sentono a loro agio nel chiedere aiuto.

Account e impostazioni

  • Utilizza account per bambini o adolescenti, se disponibili, ed evita di utilizzare account per adulti.
  • Mantieni private le liste di amici e follower.
  • Evita di usare nomi reali, date di nascita o altri dettagli identificativi, a meno che non siano strettamente necessari.
  • Evita le funzioni di riconoscimento facciale per gli account dei bambini.
  • Per gli adolescenti, prestate attenzione agli account "spam" o secondari che hanno creato e che potrebbero avere impostazioni meno rigorose.

Comportamento sociale

  • Parla con tuo figlio delle persone con cui interagisce online e dei tipi di conversazioni appropriate.
  • Avvertili di diffidare degli sconosciuti nei commenti, nelle chat di gruppo e nei messaggi diretti.
  • Incoraggiali a lasciare gli spazi che li mettono a disagio, anche se non hanno fatto nulla di male.
  • Ricordate loro che non tutti online sono chi dicono di essere.

Fiducia e comunicazione

  • Mantieni aperte e continue le conversazioni sulle attività online, senza limitarti a avvertimenti sporadici.
  • Chiarisci a tuo figlio che può venire da te se qualcosa va storto senza temere punizioni o rimproveri.
  • Coinvolgi altri adulti di fiducia, come genitori, insegnanti o assistenti, in modo che i bambini non navigino da soli negli spazi online.

Questo tipo di coinvolgimento a lungo termine aiuta i bambini a prendere decisioni migliori nel tempo. Riduce inoltre il rischio che gli errori commessi oggi possano ripercuotersi sul loro futuro, quando informazioni personali, immagini o conversazioni potrebbero essere riutilizzate in modi che non avrebbero mai immaginato.

Risultati della ricerca, ambito di applicazione e metodologia 

Questa ricerca ha esaminato in che modo i bambini di età inferiore ai 13 anni possono essere esposti a contenuti sensibili durante la navigazione sui principali media e servizi di gioco. 

Ai fini dello studio, per "bambino" si intendeva un individuo di età inferiore ai 13 anni, in linea con il Children's Online Privacy Act (COPPA). La ricerca è stata condotta tra il 1° e il 17 dicembre 2025 utilizzando account con sede negli Stati Uniti. 

La ricerca si è basata esclusivamente sul comportamento standard degli utenti e sull'osservazione passiva. Non sono stati utilizzati exploit, hack o tecniche manipolative per forzare l'accesso a dati o contenuti. 

I ricercatori hanno testato una serie di tipi di account a seconda di ciò che ciascuna piattaforma offriva, inclusi account dedicati ai bambini, account per adolescenti o con restrizioni, account per adulti creati tramite autodichiarazione dell'età e, ove applicabile, accesso pubblico o come ospite senza registrazione. 

Lo studio ha valutato in che modo le piattaforme applicavano i requisiti di età, quanto fosse facile falsificare l'età durante la registrazione e se fosse possibile trovare contenuti sensibili o illeciti attraverso la normale navigazione, ricerca o esplorazione. 

Su tutte le piattaforme testate, i contenuti e gli annunci pubblicitari algoritmici predefiniti erano inizialmente innocui e conformi alle politiche. Laddove sono stati rilevati contenuti sensibili, l'accesso è avvenuto attraverso comportamenti intenzionali dettati dalla curiosità piuttosto che da raccomandazioni passive. Durante il periodo di ricerca non è stata osservata alcuna attività proattiva da parte di altri utenti. 

La tabella seguente riassume le piattaforme testate, i tipi di account utilizzati e se durante i test sono stati rilevati contenuti sensibili. 

Piattaforma Tipo di conto testato Account dedicato per bambini/ragazzi Age gate facile da aggirare Contenuti illeciti individuati Note
YouTube pubblico) Nessuna registrazione (ospite) Sì (YouTube ) N/D  YouTube l'accesso a contenuti fraudolenti e violenti senza registrazione. I video con limiti di età richiedevano l'accesso, ma molti altri contenuti non lo richiedevano. 
YouTube  Account bambino Sì N/D No App separata con un proprio algoritmo di filtraggio. Nessun contenuto dannoso rilevato. 
Roblox Account per tutte le età (13+) No Non richiesto  Gli account dei minori potevano cercare e trovare comunità collegate a parole chiave relative alla criminalità informatica e alle frodi. 
Instagram Account adolescenti (13-17 anni) No Non richiesto  Gli account soggetti a restrizioni continuavano a visualizzare profili che promuovevano frodi e schemi di criptovaluta tramite la ricerca. 
TikTok Account utente più giovane (13+) Sì Non richiesto No Esperienza di sola visualizzazione senza ricerca libera. Nessun contenuto dannoso rilevato. 
TikTok Account per adulti No Sì  Ricerca di profili e tutorial relativi alle frodi con carte di credito emerse dopo l'aggiramento del controllo dell'età. 
Discordia Account per adulti No Sì  I server pubblici hanno mostrato contenuti espliciti per adulti quando sono stati cercati direttamente. Non è stato osservato alcun contatto proattivo. 
Twitch Account per adulti No Sì  Ho scoperto promozioni di servizi di escort e contenuti per adulti, alcuni dei quali a pagamento. 
Fortnite Account con restrizioni (13+) Sì Difficile da aggirare No Chat e acquisti disabilitati fino alla verifica da parte dei genitori. Nessun contenuto dannoso rilevato. 
Snapchat Account per adulti No Sì No Durante i test non sono emersi contenuti sensibili. 
Spotify Account per adulti Sì Sì No Testi espliciti contrassegnati. Nessun contenuto dannoso rilevato. 
Messenger Kids Account bambino Sì Non richiesto No Ambiente completamente controllato dai genitori. Nessuna ricerca o contatto esterno

Screenshot dalla ricerca

  • Elenco delle comunità Roblox con parole chiave orientate alla criminalità informatica
    Elenco delle comunità Roblox con parole chiave orientate alla criminalità informatica
  • Comunità Roblox che offre chat senza verifica
    Comunità Roblox che offre chat senza verifica
  • Comunità Roblox con parole chiave orientate alla criminalità informatica
    Comunità Roblox con parole chiave orientate alla criminalità informatica
  • Contenuti grafici su YouTube accessibili al pubblico
    Contenuti grafici su YouTube accessibili al pubblico
  • Contenuti relativi alle frodi con carte di credito su YouTube accessibili al pubblico
    Contenuti relativi alle frodi con carte di credito su YouTube accessibili al pubblico
  • Pagina di accompagnamento attiva su Twitch
    Pagina di accompagnamento attiva su Twitch
  • Carte di credito rubate in vendita su un account Instagram
    Carte di credito rubate in vendita su un account Instagram
  • Contenuti di carding per principianti su un account Instagram
    Schema di investimento in criptovalute su un account Instagram
  • Contenuti per principianti su un account TikTok per adulti, accessibile ai bambini con una data di nascita falsa.
    Contenuti per principianti su un account TikTok per adulti, accessibile ai bambini con una data di nascita falsa.

Non ci limitiamo a segnalare le minacce, ma le eliminiamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.

Informazioni sull'autore

Malwarebytes Labs

Malwarebytes Labs

ULTIMI ARTICOLI

AI
Una mano si abbassa per afferrare un asterisco da una password scritta.

Le password generate dall'intelligenza artificiale rappresentano un rischio per la sicurezza

Febbraio 19, 2026

Le password generate dall'intelligenza artificiale sono "altamente prevedibili" e non sono realmente casuali, rendendole più facili da decifrare per i criminali informatici.

Notizie
Logo Tenga

Il produttore di articoli per l'intimità Tenga ha divulgato i dati dei propri clienti

Febbraio 19, 2026

Un attacco di phishing ai danni di un dipendente di Tenga potrebbe aver compromesso i dati dei clienti statunitensi. I clienti devono prestare attenzione ai tentativi di phishing a sfondo sessuale.

Violazioni dei dati
Logo Betterment

La violazione dei dati di Betterment potrebbe essere più grave di quanto pensassimo

Febbraio 18, 2026

Questa violazione appare ora molto più grave. I dati trapelati includono dettagli personali e finanziari che potrebbero essere utilizzati dai phisher.

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe