Dawniej weryfikacja wieku w Internecie sprowadzała się do prostego komunikatu „czy masz 18 lat?”. w tej chwili przyjmowane regulacje na całym świecie próbują całkiem głęboko naruszyć sferę prywatności – powstające nowe modele weryfikacji wieku użytkownika zakładają, iż dane mają być przekazywane pomiędzy aplikacjami, sklepami z oprogramowaniem (np. Microsoft Store, Apple Store, Ubuntu Store), systemami operacyjnymi i wchodzą choćby w cyfrową tożsamość państwową. Dyskusja społeczności internautów pokazuje też, iż stawką jest nie tylko dostęp do treści dla dorosłych, ale z założenia cała architektura proponowanych modelów weryfikacji wieku sięgać będzie zbyt głęboko, naruszając prywatność.
Dyskusja o weryfikacji wieku często jest błędnie sprowadzana do pornografii. Z materiałów Komisji Europejskiej, brytyjskiego Ofcomu, australijskiego eSafety, francuskiego ARCOM oraz nowych ustaw w USA i Brazylii wynika, iż urzędnicy próbują zastąpić proste komunikaty na stronach WWW modelami infrastrukturalnymi, w których wiek użytkownika ma być znany z góry dla danej usługi online lub strony www albo będzie sygnalizowany przez pośredników technicznych, takich jak sklepy z aplikacjami, system operacyjny albo cyfrowy portfel tożsamości.
W Europie oficjalny kierunek jest bardziej zorientowany na prywatność niż w Stanach lub w części państw anglosaskich. Komisja Europejska opublikowała rozwiązania weryfikacji wieku, które ma pozwalać potwierdzić jedynie fakt ukończenia 18 lat bez ujawniania innych danych, a docelowo ma to być kompatybilne z europejskim cyfrowym portfelem. Sama Komisja podaje też, iż państwa członkowskie mają udostępnić cyfrowe portfele do końca 2026 r. To ważne, bo europejski model nie zakłada z definicji pełnej identyfikacji przy każdej weryfikacji, ale jedynie selektywne ujawnienie atrybutu wieku, kiedy jest to wymagane.
Równolegle w Europie i poza nią rozwijają się jednak systemy bardziej rygorystyczne. W Wielkiej Brytanii Ofcom wskazuje, iż od 25 lipca 2025 strony i aplikacje publikujące pornografię musiały wdrożyć mocniejszą weryfikację. We Francji ARCOM w 2026 r. formalnie wzywał kolejne serwisy pornograficzne do wdrożenia środków weryfikacji wieku. Australia od 9 marca 2026 rozszerzyła kody bezpieczeństwa online tak, iż objęły one m.in. platformy, sklepy online z aplikacjami i inne usługi oferujące materiały ograniczone wiekowo.
Najbardziej przełomowe jest jednak to, co dzieje się w części USA i w Brazylii, bo tam weryfikacja wieku schodzi jeszcze niżej, do warstwy dystrybucji systemu i systemu operacyjnego.
Kalifornia wymaga od dostawcy systemu operacyjnego, aby przy konfiguracji konta zbierać datę urodzenia, wiek lub oba te pola, a następnie przekazywać aplikacjom sygnał z kategorią wieku przez jakieś API. Ustawa przewiduje cztery kategorie: poniżej 13 lat, 13-15, 16-17 oraz 18+. Deweloper ma pobierać wiek przy uruchomieniu aplikacji.
Kolorado idzie bardzo podobną drogą. Oficjalne materiały stanowe opisują weryfikację jako obowiązek zebrania przez dostawcę systemu operacyjnego wieku daty urodzenia podczas konfiguracji konta, wygenerowania identyfikatora użytkownika i udostępnienia go aplikacjom przez API w czasie rzeczywistym. Deweloperzy mają żądać tego atrybutu przy pobraniu i uruchomieniu aplikacji, a sankcje sięgają 2500 dolarów za naruszenie nieumyślne i 7500 dolarów za umyślne, za każdego małoletniego.
Brazylia poszła jeszcze szerzej. Z ustawy 15.211/25 wynika, iż dostawcy systemów operacyjnych i sklepów z aplikacjami (Android, iOS i inne) mają wdrożyć proporcjonalne, audytowalne i technicznie bezpieczne środki weryfikacji wieku lub grupy wiekowej, zapewnić rodzicom aktywny nadzór i kontrolę rodzicielską oraz udostępniać sygnały wieku dostawcom aplikacji przez API.
Linux i open source
Wątek ze systemami Linux nie jest marginalny, ale ujawnia słabość całego modelu weryfikacji. Kalifornijska definicja „operating system provider” obejmuje podmiot rozwijający, licencjonujący lub kontrolujący oprogramowanie systemowe, a „covered application store” jest zdefiniowany szeroko. W praktyce otwiera to pytanie, jak takie przepisy mają działać wobec społecznościowych dystrybucji Linuksa, mirrorów, menedżerów pakietów i projektów bez centralnego operatora. Wątek ten przewija się zarówno w społeczności Fedory i Debiana, jak i w mediach opisujących reakcje dystrybucji.
Komentarze użytkowników na Reddicie nie są źródłem prawa, ale dobrze pokazują dominujące osie sporu. Po pierwsze, część osób uważa, iż przepisy wymuszą lokalne obejścia techniczne, np. osobne buildy lub geoblokady dla danych jurysdykcji. Po drugie, wraca argument, iż „kod jest mową”, nawiązujący do sprawy Bernstein, w której EFF przypomina, iż sąd apelacyjny uznał kod źródłowy za formę wypowiedzi chronionej przez Pierwszą Poprawkę. Po trzecie, część komentujących traktuje weryfikację wieku jako wstęp do szerszej identyfikacji użytkowników i ograniczania anonimowości online.
Z perspektywy cyberbezpieczeństwa najważniejszy wniosek jest taki, iż weryfikacja wieku tworzy nową warstwę zaufania i nową powierzchnię ataku. o ile wiek staje się sygnałem wymienianym pomiędzy OS, sklepem z apkami, portfelem tożsamości i aplikacją, to pojawiają się nowe pytania o integralność takiego sygnału, wycieki danych, spoofing API, phishing podszywający się pod proces weryfikacji, profilowanie użytkowników oraz łączenie atrybutów wieku z innymi identyfikatorami. choćby gdy prawo mówi o „niezbędnym minimum”, sama architektura zachęca do budowy nowych punktów korelacji danych.
Drugi globalny wniosek pozostało ważniejszy: widzimy przejście od „kontroli treści” do „kontroli dostępu przez infrastrukturę”. W modelu starego typu serwis 18+ sam decydował, czy i jak pyta o wiek. W modelu nowym decyzja zaczyna być delegowana do systemu operacyjnego, sklepu z aplikacjami albo państwowej tożsamości cyfrowej.
Trzeci wniosek jest taki, iż Europa i reszta świata idą w podobnym kierunku regulacyjnym, ale inną ścieżką techniczną. UE próbuje opakować weryfikację w selektywne ujawnianie danych. USA w części stanów przesuwają ciężar na OS i sklepy. Brazylia łączy wiek z rodzicielskim nadzorem i obowiązkami systemowymi. UK, Francja i Australia stawiają na „silne sprawdzanie wieku” dla dostępu do usług i treści.
Możliwa nowa powierzchnia ataków
Wysokim ryzykiem jest nie tyle weryfikacja wieku, co normalizacja i uniwersalny mechanizm kontroli dostępu. Można to argumentować tym, iż jeżeli powstania jakaś infrastruktura do przekazywania wieku użytkownika do pozostałych podserwisów, to bardzo łatwo będzie to rozszerzyć o dodatkowe atrybuty, takie jak tożsamość użytkownika, adres zamieszkania, status prawny, zgodę rodzica, historię konta itd. Z punktu widzenia bezpieczeństwa i prywatności idziemy w złym kierunku. Dodatkowo z perspektywy kodu open source i rozwiązań zorientowanych na prywatność regulacje zmierzają w zupełnie przeciwnym kierunku, ponieważ są bardziej pisane pod Apple, Google, Microsoft, czyli wielkich dostawców systemów i systemu na tym świecie, którzy mają w rękach i tak już mnóstwo danych na temat każdego użytkownika.
Dokąd zmierza Unia?
Unia Europejska rozwija system weryfikacji wieku w oparciu o kilka powiązanych inicjatyw regulacyjnych i technologicznych. Jest to między innymi Digital Services Act (DSA), który wszedł w życie w 2024 roku. Regulacja nakłada na duże platformy internetowe obowiązek wdrażania mechanizmów ochrony nieletnich (ograniczenie profilowania reklam wobec dzieci, kontrolę treści potencjalnie szkodliwych, wdrażanie systemów weryfikacji wieku). DSA nie narzuca jednej technologii, ale wymaga, aby platformy stosowały „odpowiednie i proporcjonalne środki” pozwalające ograniczyć dostęp nieletnich do niektórych usług.
Na światło dzienne coraz wyraźniej wychodzi „europejski portfel tożsamości cyfrowej” (EU Digital Identity Wallet). Jest to aplikacja umożliwiająca przechowywanie w telefonie cyfrowych dokumentów, takich jak dowód osobisty, prawo jazdy itp. Dodatkowo jedną z funkcji portfela ma być tzw. weryfikacja wieku, czyli użytkownik wchodzi na stronę wymagającą wieku 18+, serwis wysyła zapytanie do portfela tożsamości, aplikacja potwierdza fakt spełnienia warunku wieku, strona otrzymuje informację o „18+” bez danych osobowych.
Równocześnie niektóre państwa UE wdrażają własne regulacje jeszcze przed powstaniem wspólnej infrastruktury.
Czy takie systemy można obejść?
Wiele mechanizmów weryfikacji wieku działa na poziomie usług internetowych lub infrastruktury sieciowej. Potencjalne metody obejścia mogą obejmować VPN (zmianę lokalizacji), alternatywne DNS (omijanie blokad operatorów), mirroring www (korzystanie z kopii serwisu hostowanych w innych jurysdykcjach), sieć TOR itp.
Czy możliwe jest powiązanie sprzętu z użytkownikiem?
W dyskusjach na temat kontroli dostępu do usług internetowych pojawia się również pomysł powiązania sprzętu komputerowego z tożsamością użytkownika.
Teoretycznie mogłoby to być realizowane poprzez moduł TPM – sprzętowy chip obecny w wielu komputerach, ale są także pomysły o identyfikatorach sprzętowych – numerach seryjnych płyt głównych. W takim scenariuszu urządzenie mogłoby posiadać unikalny identyfikator powiązany z kontem użytkownika lub jego tożsamością cyfrową.
W przypadku komputerów PC takie podejście byłoby trudne do wdrożenia z kilku powodów:
- komponenty sprzętowe można łatwo wymienić,
- identyfikatory sprzętowe można zmodyfikować,
- wiele systemów operacyjnych umożliwia pełną kontrolę nad sprzętem.
W przeciwieństwie do telefonów, komputery osobiste są znacznie bardziej otwartą platformą. Dodatkowo powiązanie sprzętu z użytkownikiem mogłoby oznaczać trwałą identyfikację urządzeń w internecie i ograniczenie anonimowości. Z tego powodu takie rozwiązania są często krytykowane przez organizacje zajmujące się prawami cyfrowymi.
Weryfikacja wieku to nowy wektor ataków
Rozbudowa infrastruktury weryfikacji wieku tworzy również nową powierzchnię ataku dla cyberprzestępców. Systemy te często przetwarzają wrażliwe dane użytkowników, takie jak skany dokumentów tożsamości, dane biometryczne czy informacje o aktywności w serwisach internetowych. Potencjalne scenariusze nadużyć obejmują kradzież tożsamości, kampanie phishingowe, gdzie cyberprzestępcy mogą podszywać się pod platformy wymagające weryfikacji wieku i nakłaniać użytkowników do przesyłania dokumentów tożsamości. Niewykluczone są złośliwe aplikacje weryfikacyjne, które mogą służyć do kradzieży danych osobowych lub instalacji malware. Z mniej oczywistych scenariuszy jest atak na infrastrukturę dostawców tożsamości – o ile weryfikacja wieku będzie oparta o centralne systemy tożsamości cyfrowej, kompromitacja takiego dostawcy mogłaby mieć konsekwencje dla milionów użytkowników.
Z punktu widzenia cyberbezpieczeństwa nowe regulacje oznaczają powstanie nowego segmentu usług cyfrowych, który będzie wymagał szczególnej uwagi w zakresie ochrony danych, audytów bezpieczeństwa oraz monitorowania nadużyć, pojawią się także nowe metody atakowania i kradzieży danych.
