Verificació d’edat al Regne Unit: què exigeix la llei, mètodes “altament efectius” i com implementar-los amb fricció mínima

Key takeaways (TL;DR)
 

L’Online Safety Act 2023 exigeix una garantia de majoria d’edat “altament efectiva” per protegir menors; Ofcom n’exerceix la supervisió.

Sancions per incompliment: fins al 10% dels ingressos globals o £18m i possible bloqueig del servei al Regne Unit.

No n’hi ha prou amb l’autodeclaració de majoria d’edat; calen tècniques com l’estimació d’edat amb suport de document + liveness i integracions d’identitat amb resposta binària.

Patró recomanat: mètode primari de baixa fricció (estimació d’edat) + fallback documental en casos dubtosos; privacy by design i mesurament continu.

La verificació d’edat al Regne Unit ja no és opcional ni cosmètica: des de 2025, les plataformes que operen al Regne Unit han d’evitar que els menors accedeixin a contingut nociu i demostrar-ho amb mètodes “altament efectius”, sota la supervisió d’Ofcom, l’organisme regulador nacional de les comunicacions.

L’incompliment pot comportar multes de fins al 10% dels ingressos globals i fins a 18 milions de lliures, a més de bloquejos de servei i danys reputacionals. Per això, les empreses que operen al Regne Unit estaran sotmeses a una vigilància creixent sobre com tracten les dades personals i com d’àgil és la verificació d’edat dels usuaris.

En aquesta guia ajudarem els teus equips de producte, legal i compliance a entendre tots els detalls del nou marc i què cal valorar per triar i implementar una solució de verificació d’edat que redueixi fricció i accelere l’acceptació.

Què ha canviat amb l’Online Safety Act i des de quan s’aplica

L’Online Safety Act 2023 imposa a les plataformes un deure clar: impedir l’accés de menors a continguts nocius i demostrar-ho amb mesures que garanteixin l’accés de majors d’edat d’una manera “altament efectiva”. El calendari d’aplicació és escalonat: per a la Part 5 (serveis que publiquen la seva pròpia pornografia), l’obligació va començar el 17 de gener de 2025; per a la Part 3 (user-to-user i cercadors), l’avaluació d’accés infantil es va completar el 16 d’abril de 2025 i, des del 25 de juliol de 2025 —Age Verification Day— tots els serveis que permeten pornografia han de tenir controls d’edat robustos en producció. Aquell mateix dia, Ofcom va començar a verificar i a obrir les primeres investigacions.

Aquest marc es recolza en els codis de protecció de la infància i la guia d’Ofcom (gener–abril de 2025), que precisen expectatives sobre efectivitat, proporcionalitat i privacitat. L’autodeclaració (“Sí, tinc 18 anys”) desapareix i s’exigeix evidència tècnica: estimació d’edat basada en biometria i IA, verificació de document amb coincidència facial (Face Match 1:1) i liveness, o integracions d’identitat que retornen un sí/no amb mínima transferència de dades, com les identity wallets. Aquestes tècniques són vàlides quan són fiables, robustes i estan monitoritzades de manera contínua.

En cas d’incompliment, Ofcom pot imposar multes de fins al 10% dels ingressos globals o £18 milions, a més de sol·licitar el bloqueig del servei al Regne Unit. El regulador espera decisions basades en el risc, documentació, mètriques d’efectivitat i una implantació privacy by design que no converteixi la verificació en un coll d’ampolla.

Qui ha de verificar l’edat? L’abast real (més enllà del porno)

L’obligació no es limita als “sites per a adults”. Des del 25 de juliol de 2025, qualsevol servei que publiqui o permeti pornografia —contingut propi o generat per usuaris— ha d’aplicar controls d’edat “altament efectius” per impedir l’accés de menors. El marc distingeix dos casos:

• Part 5 (pornography providers). Serveis que publiquen el seu propi contingut pornogràfic: obligats des del 17/01/2025.
• Part 3 (user-to-user i cercadors). Xarxes socials, comunitats, fòrums, missatgeria i motors de cerca: havien de completar l’avaluació d’accés infantil abans del 16/04/2025 i, quan hi hagi risc d’exposició a continguts nocius (inclosa la pornografia), aplicar mesures proporcionades, entre elles age assurance.

A la pràctica, l’abast inclou plataformes UGC amb subfòrums o canals +18, serveis de streaming amb espais comunitaris on aquest contingut pugui aflorar, cercadors que indexen i mostren resultats pornogràfics a usuaris al Regne Unit i fins i tot eines d’IA generativa que publicquen material sexual explícit dins del servei. Allà on existeixi un risc raonable d’exposició, Ofcom espera sistemes i processos capaços de prevenir aquesta exposició; els avisos per si sols no n’hi ha prou.

Més enllà de la pornografia, els codis de protecció de la infància per a la Part 3 obliguen a gestionar riscos d’autolesions, suïcidi, trastorns de la conducta alimentària i altres danys als menors. En aquests casos, la garantia de majoria d’edat es combina amb mesures de disseny i moderació (p. ex., limitar missatges privats de desconeguts, ajustar recomanacions, activar safe-search per defecte i controls parentals) en funció del risc.

Mètodes per verificar l’edat: com triar segons risc, privacitat i UX

Les guies oficials contemplen diversos mètodes “altament efectius” que es poden combinar en una estratègia de defensa en profunditat:

• Estimació d’edat facial. Mitjançant biometria i intel·ligència artificial, es prediu el rang d’edat de l’usuari sense demanar informació addicional ni identificar la persona. Ofereix baixa fricció.
• Document + biometria. Es verifica la majoria d’edat mitjançant validació documental i biometria (Face Match 1:1 i liveness). Implica més fricció i la gestió de dades sensibles.
• Targeta de crèdit. Una prova d’accés a mitjans reservats a adults. Cobertura limitada.
• Identitat digital (mitjançant identity wallet). Permet enviar només una resposta binària de major d’edat o no, amb mínim intercanvi d’informació. Sòlid com a proposta privacy by design.
• Senyals telco o email. Útils com a complement, però no suficients per si sols.

Així, la selecció ha de balancejar nivell de risc, context del contingut, jurisdicció, privacitat, acceptació d’usuari i cost total.

Privacitat primer: complir sense emmagatzemar dades sensibles

El regulador i el govern britànic insisteixen en la proporcionalitat i la minimització de dades. En termes pràctics:

• No emmagatzemar biometria o documents si no és necessari.
• Definir la retenció mínima de la informació, amb xifrat, segregació i controls d’accés.
• Executar DPIA (Data Protection Impact Assessment), registre d’activitats i avaluacions de proveïdors.
• Missatgeria transparent, per explicar els motius de la verificació, què es processa i durant quant de temps.

L’objectiu és demostrar compliment i generar confiança sense elevar la fricció.

Impacte i controvèrsia: què esperar del mercat

Des de l’entrada en vigor, el govern ha apuntat a un canvi significatiu en la interacció dels menors amb internet, amb comprovacions d’edat estenent-se a més superfícies i algoritmes ajustats per reduir l’exposició a continguts nocius. En paral·lel, s’ha observat un augment de l’ús de VPN per intentar eludir controls; el mandat regulatori subratlla que les plataformes han de prevenir bypassos raonablement previsibles i no promoure dreceres. El debat continua entre ONGs que valoren el reforç de la seguretat i defensors de la privacitat i la llibertat d’expressió que exigeixen proporcionalitat i transparència. Per a les empreses, la conclusió és clara: compliment pràctic, traçable i respectuós amb la privacitat.

Estimació d’Edat de Didit: verificació sense friccions i amb fallback segur

La solució d’Estimació d’Edat de Didit estima l’edat de l’usuari amb fricció molt baixa i, quan detecta incertesa, activa un fallback (document + biometria) per aportar més seguretat al procés.

L’enfocament de Didit prioritza:

• UX sense friccions. Resol la validació d’edat en segons, minimitzant l’abandonament.
• Acceptació més ràpida. Menys passos i fricció, cosa que eleva la taxa de verificació.
• Respaldo segur. El fallback aporta garanties en zones grises, mantenint l’equilibri privacitat-risc.
• Privacy by design. Arquitectura orientada a minimitzar les dades capturades i a obtenir respostes binàries quan el cas ho permeti.

A nivell d’integració, Didit et permet començar a verificar l’edat dels teus usuaris en pocs minuts, mitjançant enllaços de verificació (No Code) o APIs, per aportar més flexibilitat als processos. És especialment adequat per a plataformes on la conversió és crítica i cada fricció impacta en el resultat de negoci.

Pots conèixer tots els detalls tècnics de la feature d’Age Estimation a la nostra documentació tècnica.

Conclusió: una verificació d’edat que canvia les regles del joc al Regne Unit

El nou marc exigeix resultats mesurables: menors lluny de continguts nocius sense sacrificar la privacitat ni penalitzar la UX. La fórmula efectiva combina mètodes de baixa fricció amb fallbacks d’alta certesa, observabilitat i evidències. L’Estimació d’Edat de Didit s’hi ajusta: redueix fricció, accelera l’acceptació i aporta garanties quan cal, amb privacy by design des de l’arquitectura.