Swoją premierę narzędzie miało 15 kwietnia, gdy Komisja Europejska zaprezentowała nową aplikację do weryfikacji wieku, Age Verification. Narzędzie, które ma służyć cyfrowym przedsiębiorcom i obywatelom UE do weryfikacji pełnoletności, podobnie jak okazanie dowodu sprzedawcy przy zakupie alkoholu czy e-papierosów. Narzędzie ma działać w Internecie, i umożliwić użytkownikom cyfrowe pokazanie dowodu platformie-sprzedawcy bez ujawniania danych, numeru karty bankowej czy skanu dowodu osobistego. Dzień po zaczęły się jednak nieprzyjemności.
Iluzoryczne cyberbezpieczeństwo weryfikacji wieku
Już następnego popołudnia brytyjski konsultant ds. bezpieczeństwa obszedł cały system uwierzytelniania w mniej niż dwie minuty i dokonał tego z pomocą zwykłego edytora tekstu. Aplikacja działa w ten sposób, że użytkownicy weryfikują swoją tożsamość za pomocą paszportu lub dowodu osobistego, a następnie platformom przekazywane są poświadczenia wieku potwierdzające jedynie, czy użytkownik przekroczył określony próg wiekowy, bez ujawniania daty urodzenia ani innych danych osobowych, właścicielowi platformy.
W poście na platformie X (d.Twitter) Przewodnicząca Komisji Europejskiej Ursula von der Leyen, mówiła, że aplikacja będzie spełniać „najwyższe na świecie standardy prywatności" i będzie w pełni open source. Sześć państw członkowskich UE, w tym Francja, Hiszpania i Dania, Cypr, Irlandia prowadzi obecnie pilotaż systemu. Zgodnie z aktem o usługach cyfrowych (DSA) platformy nie mają obowiązku korzystania z aplikacji, muszą jednak wykazać, że alternatywne metody weryfikacji wieku są równie skuteczne i bezpieczne. Bark weryfikacji pełnoletności użytkownika związany jest z karami. Platformy mogą zostać ukarane opłatą karną do wysokości 6% globalnego obrotu platformy. Dla przykładu X (d. Twitter) został ukarany opłatą w wysokości 120 milionów euro, za naruszenia przejrzystości i brak ochrony dzieci.
Luka bezpieczeństwa pozwala na złamanie zabezpieczeń w dwie minuty
Według serwisu Cybersecurity News już 16 kwietnia lukę bezpieczeństwa, czyli metodę obejścia weryfikacji wieku UE, pokazał brytyjski konsultant ds. bezpieczeństwa Paul Moore. Dokonał tego przez edytowanie lokalnego pliku konfiguracyjnego aplikacji w którym jest przechowywane są dane, w tym szyfrowanie PIN-u, licznik ograniczający liczbę prób logowania oraz przełącznik uwierzytelniania biometrycznego. Po usunięciu tych dwóch ostatnich wartości i restarcie aplikacji tester Moore był w stanie ustawić nowy PIN i uzyskać pełny dostęp, jako zweryfikowana pełnoletnia osoba.. Brytyjczyk poszedł krok dalej i odtworzył logikę generowania danych uwierzytelniających aplikacji w rozszerzeniu przeglądarki, tworząc fałszywe odpowiedzi weryfikacji wieku, które platformy akceptowały jako prawidłowe. Oznacza to, że obejście nie ogranicza się wyłącznie do osób mających fizyczny dostęp do urządzenia, a każdego kto korzysta z przeglądarki internetowej. Moor publicznie poinformował o wynikach swojego eksperymentu słowami, że „ten produkt będzie kiedyś przyczyną ogromnego naruszenia bezpieczeństwa, to tylko kwestia czasu". Odrębna wada architektoniczna zidentyfikowana w kodzie open-source w marcu ujawniła, że system nie jest w stanie zweryfikować, czy walidacja paszportu rzeczywiście miała miejsce na urządzeniu użytkownika.
Eksperci ostrzegali UE, że to nie jedyna luka bezpieczeństwa
Problemy techniczne z wdrożeniem aplikacji Age Verification są efektem tego przed czym ostrzegali eksperci cyberbezpieczeństwa. W marcu 2026 grupa ekspertów napisała list otwarty, w treści którego przedstawiła argumenty przestrzegające przed wprowadzonym rozwiązaniem. Według serwisu Techdirt, proponowane rozwiązania wymogu weryfikacji wieku są,, „technicznie niemożliwe do prawidłowego wdrożenia, łatwe do obejścia i stanowią poważne zagrożenie dla prywatności i bezpieczeństwa, a jego skutki będą prawdopodobnie bardziej szkodliwe niż korzystne". Autorzy listu przywołali konkretny precedens: dane 70 000 użytkowników – zdjęcia ich dokumentów tożsamości – zostały ujawnione po odwołaniu się od błędnych ocen wieku na platformie Discord. European Digital Rights, organizacja zajmująca się ochroną wolności obywatelskich, określiła weryfikację wieku mianem podejścia „z użyciem młota kowalskiego", które zwiększa ryzyko naruszenia danych i inwigilacji. Według stanu na 17 kwietnia Komisja Europejska nie wydała żadnej łatki ani publicznej odpowiedzi na ujawnione luki bezpieczeństwa.
