Chi è effettivamente coperto dalla COPPA

La COPPA si applica a qualsiasi sito web commerciale, app mobile, dispositivo connesso o servizio online che sia diretto a bambini sotto i 13 anni o abbia effettiva conoscenza di raccogliere informazioni personali da un bambino sotto i 13 anni. La portata è più ampia di quanto la maggior parte degli editori presuma, poiché la FTC interpreta entrambi i criteri in modo aggressivo.

Un servizio è diretto ai bambini in base a un'analisi multifattoriale: soggetto, contenuto visivo, uso di personaggi animati o attività orientate ai bambini, musica, età dei modelli, presenza di celebrità popolari tra i bambini, lingua, pubblicità sul servizio che è essa stessa diretta ai bambini, e prove empiriche competenti e affidabili sulla composizione del pubblico. Un sito per il pubblico generale può diventare un servizio per pubblico misto nel momento in cui una sezione è costruita attorno a contenuti orientati ai bambini.

Tre cose che gli editori sbagliano sistematicamente:

• Credere che un gate di età nei Termini di servizio al momento della registrazione sia sufficiente. Non lo è, da solo, quando il resto del sito segnala un intento diretto ai bambini.
• Supporre che l'assenza di utenti registrati significhi nessuna esposizione alla COPPA. Gli identificatori persistenti — cookie, indirizzi IP, ID dispositivo, ID pubblicitari — sono informazioni personali ai sensi della COPPA quando raccolti da un bambino.
• Trattare la COPPA come separata dalla legge sulla privacy statale. Il Codice di progettazione appropriata all'età della California, la legge sui dati dei bambini del Connecticut e le proposte federali si basano tutte sulle definizioni della COPPA; un programma COPPA pulito è la base della conformità con tutte.

Cosa ha effettivamente cambiato l'emendamento del 2025

La regola finale della FTC di gennaio 2025, il primo aggiornamento completo dal 2013, ha modernizzato la COPPA in cinque modi concreti che gli editori devono interiorizzare.

Opt-in separato per la pubblicità di terze parti

Gli operatori non possono più raggruppare le informative sulla pubblicità di terze parti in un unico consenso parentale per l'utilizzo del servizio. La pubblicità comportamentale su un servizio destinato ai bambini richiede ora un consenso parentale verificabile separato, opt-in distinto dal consenso all'utilizzo del servizio stesso. Il raggruppamento — la norma storica per le app e i siti per bambini supportati da pubblicità — è ora espressamente vietato.

Informazioni personali ampliate

L'emendamento ha ampliato la definizione di informazioni personali per includere gli identificatori biometrici in grado di autenticare un individuo, inclusi impronte digitali, impronte vocali, immagini della retina o dell'iride e modelli di geometria facciale. Ha anche chiarito che gli identificatori rilasciati da governi di qualsiasi governo, non solo degli Stati Uniti, si qualificano. Gli editori che gestiscono funzionalità di ricerca vocale, assistenti AI o strumenti di caricamento foto su servizi destinati ai bambini devono mappare questi flussi rispetto alla nuova definizione.

Limiti alla conservazione dei dati

La nuova regola richiede agli operatori di pubblicare una politica di conservazione scritta che limiti l'archiviazione delle informazioni personali dei bambini a ciò che è ragionevolmente necessario per soddisfare lo scopo per cui sono state raccolte. La conservazione indefinita non è più consentita, e la politica deve essere collegata dall'informativa sulla privacy.

Metodi di consenso parentale verificabile rafforzati

L'emendamento ha formalizzato il menu dei metodi VPC accettabili e ha aggiunto un'opzione di autenticazione basata sulla conoscenza che utilizza domande dinamiche a scelta multipla rispondibili solo dal genitore. I metodi classici — transazione con carta di credito, modulo firmato, videoconferenza con un operatore formato, verifica dell'ID governativo — rimangono disponibili ma devono essere documentati per ogni evento di consenso.

La notifica di modifica sostanziale attiva un nuovo VPC

Qualsiasi modifica sostanziale alle pratiche sui dati — nuove categorie di dati raccolti, nuovi destinatari terzi, nuovi accordi pubblicitari — attiva un nuovo consenso parentale verificabile. Gli operatori non possono fare affidamento su un consenso del 2018 per autorizzare un'integrazione pubblicitaria del 2026.

Il consenso parentale verificabile in pratica

Il consenso parentale verificabile è il cuore della COPPA, ed è la parte che gli editori implementano più spesso in modo inadeguato. Lo standard legale è il consenso ragionevolmente progettato per garantire che la persona che fornisce il consenso sia il genitore del bambino — non semplicemente un consenso raccolto in qualsiasi modo.

I metodi approvati dalla FTC che gli editori dovrebbero conoscere:

• Transazione con carta di credito o di debito con una notifica al titolare della carta. Un piccolo addebito o un'autorizzazione a zero euro è accettabile se abbinata a una notifica transazionale.
• Verifica dell'ID rilasciato dal governo tramite un fornitore di identità terzo sicuro, con l'ID distrutto prontamente dopo la verifica.
• Autenticazione basata sulla conoscenza — la nuova opzione della regola 2025 — che utilizza domande dinamiche a scelta multipla tratte da registri pubblici.
• Modulo di consenso firmato restituito per posta, fax o scansione elettronica.
• Videoconferenza con un operatore formato che conferma l'identità rispetto a un ID governativo presentato.
• Email-plus — consentito solo per informazioni personali ad uso esclusivamente interno, e richiede un passaggio di conferma successivo. Non fare affidamento sull'email-plus per i dati pubblicitari.

La domanda operativa chiave è la documentazione. Per ogni utente minore, l'operatore deve essere in grado di mostrare, su richiesta della FTC: quale metodo è stato utilizzato, chi era il genitore verificante, quali categorie di dati sono state autorizzate, quali destinatari terzi sono stati nominati e il timestamp del consenso. Un CMP in stile FlexyConsent moderno dovrebbe integrarsi con il fornitore VPC e archiviare questa traccia nello stesso registro di audit degli eventi di consenso ai cookie.

Consenso ai cookie sui siti destinati ai minori

La COPPA e il banner dei cookie si trovano su livelli giuridici diversi ma devono lavorare insieme. I banner di consenso ai cookie ai sensi del GDPR/ePrivacy o di leggi statali come la CCPA non soddisfano la COPPA, e il consenso parentale verificabile non esenta l'operatore dagli obblighi di divulgazione dei cookie. Gli operatori che servono bambini devono gestire entrambi i livelli in coordinamento.

Bloccare il tracciamento fino all'acquisizione del VPC

Su una pagina destinata ai bambini, nessun cookie pubblicitario o analitico può attivarsi prima che il VPC venga acquisito per quell'utente. Un banner standard di accettazione totale è lo strumento sbagliato — lo stato predefinito deve essere nulla si attiva finché il consenso parentale non è registrato, e anche allora solo per le categorie autorizzate dal genitore.

Limitare l'elenco dei fornitori ai partner sicuri per la COPPA

L'elenco dei fornitori su una proprietà destinata ai bambini è necessariamente più breve rispetto a un sito per il pubblico generale. SSP, DSP e fornitori di analisi devono garantire contrattualmente di non utilizzare i dati dei bambini per il targeting comportamentale e di non trasmettere il bambino a reti comportamentali downstream. La maggior parte dei principali SSP pubblica una modalità inventario conforme alla COPPA; configurate il vostro stack in quella modalità e rimuovete i partner non conformi.

Rendere visibili i controlli parentali nel piè di pagina

L'informativa sulla privacy deve includere una sezione chiara, in linguaggio semplice, rivolta ai genitori con istruzioni per rivedere, modificare o revocare il consenso per il proprio figlio. Un link persistente nel piè di pagina etichettato come Per i genitori soddisfa le aspettative di accessibilità della FTC e crea una traccia difendibile quando un investigatore esegue un audit di usabilità.

Il pattern di applicazione della FTC nel 2024–2026

L'applicazione ai sensi della COPPA ha accelerato da quando il regolamento YouTube del 2019 ha risvegliato l'appetito della FTC per i casi di editori di grandi dimensioni. I pattern dei recenti decreti di consenso offrono una tabella di marcia per ciò che la FTC cerca effettivamente in un'indagine.

• Gli identificatori persistenti come prova schiacciante. La FTC intima regolarmente i registri pubblicitari dell'operatore e li correla con i dati del pubblico per dimostrare che gli ID ad-tech sono stati assegnati a utenti minori identificabili senza VPC. I documenti interni che chiamano il pubblico "bambini" mentre il programma di privacy lo tratta come pubblico generale sono catastrofici.
• La cattiva gestione dei fornitori come moltiplicatore. Quando un operatore trasmette i dati dei bambini a un SSP non conforme alla COPPA, entrambe le parti diventano responsabili. La FTC ha perseguito operatori primari e reti downstream in azioni parallele.
• Risultati sul pattern di condotta. Un singolo fallimento VPC può essere un risultato; un pattern di fallimenti su più superfici di prodotto diventa un conteggio di pratiche ingannevoli ai sensi della Sezione 5 del FTC Act, ampliando sia la sanzione che la portata del decreto di consenso.
• Escalation delle sanzioni civili. La sanzione civile massima per violazione ai sensi del FTC Improvements Act è stata adeguata al rialzo annualmente; nel 2025 superava i $50.000 per violazione, con ogni bambino trattato come una violazione separata in alcuni casi.

Costruire uno stack pronto per la COPPA

Implementare la COPPA in un modo che regga effettivamente all'esame della FTC è un problema di coordinamento tra prodotto, ingegneria, operazioni pubblicitarie e legale. Il lavoro si suddivide in circa sei flussi di lavoro.

1. Classificare ogni proprietà e superficie

Per ogni dominio, sottodominio, app e endpoint di dispositivo connesso, decidere se è destinato ai bambini, a un pubblico misto o al pubblico generale. Documentare l'analisi. Una superficie per pubblico misto — ad esempio, una homepage con contenuti sia per adulti che per bambini — deve applicare la COPPA solo agli utenti che si identificano come sotto i 13 anni attraverso un gate di età neutro, non a tutti gli utenti.

2. Costruire il gate di età nel modo corretto

Un gate di età neutro chiede la data di nascita in un modo che non segnali che gli utenti più grandi ottengono più accesso. Chiedere hai 13 anni o più? è non neutro e la FTC lo ha segnalato. Un semplice selettore mese-giorno-anno, utilizzato una volta per dispositivo con un cookie antimanomissione, è l'approccio standard.

3. Integrare un fornitore VPC

A meno che il team di prodotto non intenda gestire il VPC internamente, integrare un fornitore specializzato — ce ne sono diversi approvati dalla FTC — e rendere l'integrazione richiamabile dal CMP, dal flusso di registrazione e dal portale di gestione del consenso parentale. Archiviare il registro di audit per evento nel database del CMP, non nel silo del fornitore VPC.

4. Configurare gli stack pubblicitari e analitici per la modalità COPPA

Google Ad Manager, AdMob, IronSource, Unity Ads, Meta Audience Network e i principali DSP offrono tutti un flag tag per il trattamento destinato ai bambini. Impostarlo su ogni chiamata pubblicitaria proveniente da una superficie destinata ai bambini o da un utente autenticato sotto i 13 anni. Verificare con la documentazione del fornitore che il flag attivi effettivamente la consegna solo contestuale, non solo una riduzione della documentazione.

5. Collegare i controlli parentali e l'eliminazione

I genitori hanno il diritto di rivedere, modificare ed eliminare i dati del loro figlio su richiesta. Costruire un portale genitori raggiungibile dall'informativa sulla privacy che autentichi il genitore, mostri i dati registrati e offra controlli granulari. L'eliminazione deve propagarsi a tutte le terze parti elencate nel registro dei consensi entro un ragionevole lasso di tempo — la maggior parte degli operatori si impegna per 30 giorni.

6. Audit trimestrale

Eseguire una revisione trimestrale che comprenda: modifiche all'elenco dei fornitori, nuove superfici di prodotto, conformità alla conservazione, aggiornamento del decreto di consenso e aggiornamenti delle linee guida della FTC. La FTC pubblica regolarmente aggiornamenti alle linee guida aziendali sulla COPPA; iscrivere il team sulla privacy alla mailing list della FTC è il più economico possibile investimento in conformità.

Errori comuni da evitare

Schemi ripetuti di fallimento emergono negli audit degli editori e nei decreti di consenso della FTC:

• Trattare la COPPA come un problema di registrazione. La maggior parte dell'esposizione alla COPPA deriva da identificatori ad-tech anonimi sulle pagine destinate ai bambini, non da account registrati.
• Supporre che gli "annunci contestuali" significhino sicuro per la COPPA per impostazione predefinita. Alcune reti pubblicitarie "contestuali" impostano comunque identificatori persistenti in background; verificare il comportamento effettivo dei cookie.
• Lasciare che i lanci di prodotti superino la revisione della privacy. Una nuova funzionalità aggiunta senza revisione del decreto di consenso può invalidare l'intero programma. Aggiungere un gate di privacy al processo di rilascio.
• Dimenticare le superfici di dispositivi connessi e CTV. La COPPA copre esplicitamente smart TV, assistenti vocali e console di gioco. Molti editori mancano ancora questo nel loro inventario.
• Registri di consenso obsoleti. Una modifica sostanziale alle pratiche sui dati invalida il VPC precedente. Gli editori che eseguono modifiche ad-tech mensili hanno bisogno di un processo per aggiornare il VPC, o accumulano esposizione.

Come sarà la COPPA nel 2027 e oltre

Due traiettorie ridisegneranno questo spazio nei prossimi diciotto mesi. In primo luogo, le proposte federali come KOSA — il Kids Online Safety Act — stratificherebbero ulteriori obblighi di cura sopra la COPPA, inclusi obblighi di progettazione dei contenuti e requisiti di verifica dell'età più severi. Che la KOSA passi intatta o a pezzi, la direzione regolatoria è più obblighi, non meno. In secondo luogo, l'espansione stato per stato dei codici di progettazione per i bambini — California, Connecticut, Maryland e altri in coda — crea un mosaico che gli editori devono soddisfare insieme alla COPPA federale. Gli operatori che trattano la conformità alla COPPA 2026 come base, con capacità extra per stratificare i requisiti statali, sono quelli che non si troveranno a riarchitettare nel 2027.

La conclusione

La COPPA nel 2026 non è più un requisito di nicchia per gli sviluppatori di app per bambini — è un'infrastruttura di privacy mainstream per qualsiasi editore il cui pubblico include bambini, anche parzialmente. L'emendamento del 2025 ha chiuso le scappatoie in cui gli editori vivevano, in particolare il collegamento del consenso aggregato per la pubblicità. Gestite un gate di età difendibile, integrate un fornitore di consenso parentale verificabile, configurate il vostro stack pubblicitario per la modalità COPPA, e documentate tutto in un registro di audit del CMP insieme ai vostri eventi standard di consenso ai cookie. Fatelo bene e il traffico destinato ai minori rimane monetizzabile. Fatelo male e leggerete il vostro decreto di consenso sul sito web della FTC con una sanzione civile multimilionaria allegata.