Il 16 marzo 2026 Proton ha lanciato Born Private: un’iniziativa che consente ai genitori di riservare un indirizzo email cifrato per i propri figli, mantenendolo inattivo e sigillato per un massimo di 15 anni. Al momento dell’attivazione, il genitore consegna al figlio un voucher sicuro e l’account diventa operativo — senza dati pregressi, senza log, senza profilazione.

Il costo è simbolico: una donazione minima di 1 dollaro, interamente destinata alla Proton Foundation, l’organizzazione non profit che è azionista primario di Proton.

Perché è rilevante

Un indirizzo email non è un dettaglio tecnico. È la credenziale radice dell’identità digitale: il punto di accesso a piattaforme scolastiche, account social, servizi di gioco, app di messaggistica. Secondo una ricerca commissionata da Proton (condotta da Toluna su 1.216 genitori statunitensi), il 71% dei bambini possiede un proprio dispositivo entro i 10 anni, e il 74% degli account email dei minori è ospitato su Gmail. Quando un bambino crea un account su un servizio mainstream, il trattamento dei suoi dati personali — metadati, abitudini di utilizzo, interessi, localizzazione — inizia immediatamente, spesso prima che il minore abbia la capacità di comprendere cosa significhi.

Il GDPR dedica ai minori un’attenzione specifica. Il Considerando 38 stabilisce che i minori meritano una protezione particolare dei propri dati personali, poiché possono essere meno consapevoli dei rischi e delle conseguenze del trattamento. L’Art. 8 disciplina le condizioni per il consenso dei minori in relazione ai servizi della società dell’informazione. L’Art. 25 impone il principio di privacy by design e by default: le misure di protezione devono essere integrate nel sistema fin dalla progettazione, non aggiunte a posteriori.

La questione di fondo

Born Private pone una domanda che va oltre il singolo prodotto: chi decide come inizia la vita digitale di un minore?

Nella situazione attuale, la risposta è: le piattaforme. La creazione di un account su un servizio mainstream avvia automaticamente una catena di trattamenti — pixel di tracciamento, metadati, identificatori hardware, profilazione comportamentale — che contribuiscono a costruire quello che viene definito shadow profile: un profilo digitale del minore che si accumula nel tempo e lo segue nell’età adulta.

L’iniziativa di Proton inverte questa logica. L’indirizzo email viene riservato, cifrato con architettura zero-access, e mantenuto completamente inattivo fino al momento scelto dal genitore. Il principio è coerente con la minimizzazione dei dati (Art. 5, par. 1, lett. c, GDPR): nessun dato viene trattato finché non è necessario.

Il contesto europeo

Questo tema si inserisce nel più ampio dibattito europeo sulla protezione dei minori online. Le linee guida della Commissione europea sulla protezione dei minori ai sensi del Digital Services Act (DSA), il blueprint per l’age verification con tecnologia zero-knowledge proof, e i pilot in corso in cinque paesi europei (tra cui l’Italia) per l’integrazione con l’EUDI Wallet convergono tutti verso lo stesso obiettivo: dare ai minori un inizio digitale che rispetti i loro diritti fondamentali.

Il nostro recente contributo IA a scuola: 10 categorie di strumenti AI e come si classificano sotto l’AI Act analizza un aspetto complementare dello stesso problema: quali strumenti AI utilizzati nelle scuole trattano dati di minori e con quali obblighi.

La mia posizione

Non si tratta di promuovere un prodotto. Si tratta di riconoscere che la protezione dell’identità digitale di un minore è un atto giuridico, non un dettaglio tecnico. E che oggi, per la prima volta, esiste un’opzione concreta per iniziare la vita digitale di un bambino senza che questa sia immediatamente monetizzata.

La domanda per ogni genitore — e per ogni istituzione scolastica — è semplice: con quale credenziale digitale vuoi che tuo figlio entri nel mondo online?

Fonti

  • Proton, Born Private — Annuncio: Proton Blog
  • Proton, Born Private — Pagina di prenotazione: Proton
  • Proton / Toluna, Ricerca su minori e privacy digitale, marzo 2026: GlobeNewsWire
  • Regolamento (UE) 2016/679 (GDPR) — Art. 5, Art. 8, Art. 25, Considerando 38: EUR-Lex
  • Commissione europea, European Digital Identity: Commissione europea