Weryfikacja wieku na stronach internetowych staje się coraz bardziej atrakcyjnym celem dla hakerów, stwarzając poważne ryzyko dla prywatności i bezpieczeństwa użytkowników. Metody stosowane do weryfikacji wieku, m.in. analiza zdjęć AI, wnioski o dowód tożsamości (prawa jazdy, paszporty) czy weryfikacja karty kredytowej, generują ogromne ilości danych osobowych, które są coraz bardziej podatne na wycieki. Niedawne incydenty uwydatniają powagę problemu, podając w wątpliwość skuteczność obecnych przepisów i mechanizmów egzekwowania prawa.
Rosnąca fala wycieków
W październiku 2025 roku na popularną platformę społecznościową Discord doszło włamanie, które potencjalnie ujawniło tożsamość 70 000 użytkowników. Do wycieku doszło za pośrednictwem zewnętrznego usługodawcy, co wskazuje na systemową słabość we wdrażaniu weryfikacji wieku. Podobnie w lipcu 2025 r. zhakowano także aplikację Tea, która wymaga od użytkowników podawania dokumentu tożsamości i robienia sobie selfie, w wyniku czego wyciekły wrażliwe dane użytkowników. Incydenty te pokazują, że nawet platformy przestrzegające nowych przepisów, takich jak brytyjska ustawa o bezpieczeństwie w Internecie, nie są odporne na wycieki.
Zgodność z przepisami a bezpieczeństwo w prawdziwym świecie
Bardziej rygorystyczne wymagania dotyczące weryfikacji wieku wynikają z przepisów takich jak brytyjska ustawa o bezpieczeństwie w Internecie, francuska ustawa cyfrowa i europejska ustawa o usługach cyfrowych. Przepisy te uznają deklarowaną przez siebie weryfikację wieku za niewystarczającą i wymagają bardziej niezawodnych metod, takich jak dopasowywanie zdjęć do dokumentów tożsamości lub sprawdzanie kart kredytowych. Jednak w praktyce wiele platform w zakresie przetwarzania tych danych korzysta z usług zewnętrznych dostawców, co tworzy słabe ogniwo w łańcuchu bezpieczeństwa. Twierdzeniu Discorda, że nie przechowuje dokumentów tożsamości, zaprzecza fakt, że jego zewnętrzny dostawca został zhakowany, co mimo wszystko doprowadziło do wycieku danych użytkownika.
Konsekwencje wycieku danych
Potencjalne szkody wynikające z wycieku selfie i zdjęć identyfikacyjnych są ogromne. Użytkownicy stają w obliczu kradzieży tożsamości, oszustw i coraz bardziej wyrafinowanych cyberprzestępstw, które są możliwe dzięki technologiom deepfake i generatywnej sztucznej inteligencji. Dostępność takich danych osobowych zwiększa ryzyko ataków ukierunkowanych i złośliwych manipulacji. Ponadto fakt, że dostawcy zewnętrzni często znajdują się poza ścisłymi jurysdykcjami (takimi jak UE lub Wielka Brytania), sprawia, że zapewnienie usuwania danych i standardów bezpieczeństwa jest praktycznie niemożliwe.
Potrzeba bardziej rygorystycznej kontroli
Pomimo zaleceń organów regulacyjnych, takich jak brytyjski Urząd Ochrony Danych i Ofcom, wycieki z sieci Tea i Discord dowodzą, że obecne środki są nieskuteczne w zapobieganiu zatrzymywaniu danych lub zapewnianiu ich usunięcia. Brytyjski Departament Nauki, Innowacji i Technologii podjął próbę rozwiązania tych problemów, ponownie kładąc nacisk na przepisy RODO, które wymagają minimalizacji danych. Jednak w praktyce platformy często mają motywację do zatrzymywania danych w celach komercyjnych, nawet jeśli narusza to zasady prywatności.
Droga naprzód
Aby chronić prywatność użytkowników, potrzebne są bardziej rygorystyczne kontrole i egzekwowanie przepisów. Organy regulacyjne muszą wyjść poza zwykłe wytyczne i wprowadzić obowiązkowe wymogi dla platform i dostawców zewnętrznych. Obejmuje to obowiązkowe zasady usuwania danych, regularne audyty bezpieczeństwa i surowe kary za ich nieprzestrzeganie. Obecne podejście, które opiera się na dobrowolnej samoregulacji, okazało się niewystarczające. Bez rzeczywistych uprawnień w zakresie egzekwowania prawa weryfikacja wieku w Internecie nadal będzie kopalnią złota dla hakerów danych.
