UE aduce o aplicație de verificare online a vârstei care pare să vină cu mai multe probleme decât soluții

Când Ursula von der Leyen a anunțat că aplicația europeană de verificare a vârstei e gata, ne-a promis o soluție transparentă, sigură și pregătită pentru a proteja minorii online. Doar că, la câteva ore după prezentare, experții în securitate au descoperit vulnerabilități serioase, ceea ce pune sub semnul întrebării nu doar funcționarea aplicației, ci și ideea că astfel de instrumente pot rezolva simplu o problemă mult mai complexă.

La câteva ore după lansare, experți în securitate au început să găsească probleme serioase: date sensibile stocate neprotejat, autentificare biometrică ușor de ocolit, scenarii banale în care un copil poate folosi telefonul unui adult pentru a păcăli sistemul. Practic, aplicația care ar trebui să decidă cine are voie pe internet nu reușește nici măcar să-și securizeze propriul acces.

Totuși, dacă rămânem doar la aceste bug-uri, ratăm miza reală. Problema nu e neapărat o aplicație prost construită. E vorba despre o tensiune fundamentală pe care UE nu a rezolvat-o încă: cum protejezi copiii online fără să transformi internetul într-un spațiu de identificare permanentă.

„Suntem profund îngrijorați de planurile Comisiei de a lega identitatea digitală de implementarea tehnică a verificării vârstei”, a declarat Thomas Lohninger, director executiv al ONG-ului austriac pentru drepturi digitale epicenter.works, pentru POLITICO.

Conform lui Lohninger, codul sursă este „departe de a fi gata pentru producție” iar Executivul european ar trebui „să-și regândească planurile privind verificarea vârstei și, în schimb, să se concentreze pe aplicarea (întârziată) a legislației UE privind conținutul online”.

Cum ar urma să funcționeze concret o astfel de aplicație

Ca să înțelegem de ce miza e atât de mare, trebuie să ne uităm la cum ar urma să funcționeze, concret, o astfel de aplicație. În varianta prezentată de Comisia Europeană, ideea de bază este relativ simplă: nu mai dovedești direct fiecărui site cine ești, ci folosești o aplicație intermediară care confirmă doar că ai peste o anumită vârstă. În teorie, asta ar trebui să limiteze cantitatea de date personale care circulă online.

În practică, însă, lucrurile devin rapid mai complicate. Pentru a ajunge la acel simplu „are peste 18 ani”, utilizatorul trebuie mai întâi să se autentifice în aplicație, printr-un document oficial (buletin sau pașaport). 

Aplicația procesează aceste date și generează o dovadă digitală pe care o poți prezenta ulterior platformelor. Vulnerabilitățile descoperite, însă, arată cât de fragil e, de fapt, acest mecanism. 

Consultantul de securitate Paul Moore a demonstrat că PIN-ul aplicației era stocat într-un simplu fișier XML editabil, contorul de încercări greșite putea fi resetat manual, iar autentificarea biometrică putea fi dezactivată prin schimbarea unei singure valori din „true” în „false”. Practic, protecțiile de bază puteau fi ocolite în câteva minute. 

Dincolo de bug-uri, apar și limitele structurale ale sistemului. Cercetătorul în criptografie Olivier Blazy a descris un scenariu banal: un adult își verifică vârsta o singură dată, iar apoi un minor îi folosește telefonul pentru a trece de verificare. Exact opusul a ceea ce aplicația promite să prevină. Pentru a evita astfel de situații, ar fi nevoie de autentificare constantă, adică și mai mult control.

Toate acestea vin în contextul în care proiectul a costat aproximativ patru milioane de euro și a fost dezvoltat de companii precum Scytales și Deutsche Telekom. În martie, peste 400 de cercetători în securitate și privacy au cerut un moratoriu până la realizarea unui audit independent. Degeaba.

Atracție pentru infractori

Dincolo de aceste vulnerabilități punctuale, apare și o problemă mai largă: cu cât astfel de sisteme adună mai multe date sensibile, cu atât devin mai atractive pentru atacatori. O infrastructură care combină identitate oficială, biometrie și acces la platforme online devine, evident, o țintă valoroasă pentru fraude, phishing sau furt de identitate. În plus, pentru utilizatorul obișnuit, asta se traduce într-o obligație nouă: trebuie să furnizezi date personale sensibile doar pentru a accesa servicii care până acum funcționau fără astfel de verificări.

De altfel, întreaga direcție de a verifica vârsta online pare să meargă pe ideea că probleme sociale complexe pot fi rezolvate prin instrumente tehnice. Limitarea accesului pe bază de vârstă abordează doar suprafața problemei (cine intră și cine nu) dar nu atinge mecanismele care generează problemele reale: algoritmi care amplifică conținutul dăunător, modele de business bazate pe captarea atenției și pe stocarea unor cantități imense de date personale.

Experiențele din alte țări ridică și ele semne de întrebare. Acolo unde au fost introduse restricții similare, o mare parte dintre minori au găsit rapid metode de a le ocoli folosind conturi ale adulților, VPN-uri sau erori ale sistemelor de estimare a vârstei. În același timp, nu există dovezi clare că aceste măsuri reduc semnificativ riscurile precum bullying-ul sau abuzul online. Există, în schimb, riscul ca utilizatorii să fie împinși spre platforme mai puțin reglementate, unde controlul este și mai slab.

Jurnalistul Vlad Dumitrescu trimite în fiecare miercuri dimineață newsletterul Good Tech. Dacă vrei să primești tool-uri practice ca să îți faci viața mai ușoară cu ajutorul tehnologiei, te poți abona aici: