Euroopan komissio julisti uuden iänvarmennussovelluksensa valmiiksi. Komission mukaan sovelluksen on määrä toimia keskeisenä välineenä alaikäisten suojelemisessa internetin haitalliselta sisällöltä ja se on suunniteltu tarjoamaan yhtenäinen, yksityisyyttä kunnioittava ja käyttäjäystävällinen ratkaisu ikärajoitettujen palveluiden, kuten pornosivustojen ja sosiaalisen median alustojen, ikäkontrolliin. Teknologian ympärillä velloo kuitenkin voimakasta kritiikkiä, joka kyseenalaistaa järjestelmän teknisen toteutuksen, sekä sen vaikutukset kansalaisten digitaaliseen yksityisyyteen.
Tekninen ratkaisu: Zero-Knowledge Proof
Sovelluksen tekninen perusta nojaa Zero-Knowledge Proof (ZKP) -kryptografiaan. The Next Webin raportin mukaan tämä menetelmä mahdollistaa sen, että käyttäjä voi matemaattisesti osoittaa olevansa tietyn ikäinen (esimerkiksi yli 18-vuotias) paljastamatta palveluntarjoajalle tarkkaa syntymäaikaansa tai muita henkilötietoja.
Käytännössä käyttäjä skannaa sovellukseen passinsa tai kansallisen ID-korttinsa, minkä jälkeen sovellus luo verifioitavan ”ikätodistuksen”. Alustat saavat vahvistuksen kelpoisuudesta ilman, että ne pääsevät käsiksi itse dokumenttiin. AgeVerification.dev -sivuston mukaan järjestelmä on rakennettu eIDAS 2.0 -asetuksen mukaisen eurooppalaisen digitaalisen lompakon kehyksen päälle. Tämä kytkös on herättänyt vahvaa huolta, koska vaikuttaisi vahvasti siltä, että iänvarmennussovellus on iso askel kohti laajempaa eurooppalaista digitaalista identiteettijärjestelmää.
Tekninen haavoittuvuus: Sovellus on täysi vitsi
Hankkeen luotettavuutta varjostaa myös Yivin julkaisema analyysi, jossa todetaan sovelluksen tietoturvan olevan käytännössä olematon. Verkossa kiertää myös videoita, joissa näytetään kohta kohdalta millaisia teknisiä ongelmia sovellus sisältää. Videoilla osoitetaan mm. kuinka sovelluksen suojausmekanismit, mukaan lukien PIN-koodien hallinta ja ”holvin” (vault) tiedon tallennus, voidaan ohittaa alle kahdessa minuutissa.
Demonstraatiossa käy ilmi, että PIN-koodia ei ole sidottu kryptografisesti sovelluksen tietovarastoon millään kestävällä tavalla. Kun sovelluksen tallentama salattu PIN-koodi ja IV (Initialization Vector) poistetaan järjestelmän tiedostoista, sovellus pakotetaan palaamaan alkuasetuksiin. Tämän jälkeen käyttäjä voi määrittää uuden PIN-koodin, mutta järjestelmässä piilevä, aiemmin luotu profiili on edelleen saatavilla. Yllä olevassa videossa osoitetaan, että vaikka sovellus näyttää rajoittavan käyttökertojen määrää tai vaativan oikeaa PIN-koodia, järjestelmä on mahdollista huijata hyväksymään mikä tahansa syöte, mikä tekee iänvarmennuksesta täysin merkityksettömän.
Poliittiset tavoitteet ja valvontainfrastruktuuri
Sovelluksen lanseeraus tapahtuu Reutersin mukaan tilanteessa, jossa useat Euroopan maat harkitsevat tiukkoja ikärajoituksia sosiaalisen median käytölle. Table.Media huomauttaa, että vaikka sääntelykehys on olemassa, EU:n laajuista sitovaa lainsäädäntöä ikärajoista ei ole vielä lyöty lukkoon. Lopullista päätöstä odotetaan kesällä 2026.
Komissio on ilmoittanut perustavansa eurooppalaisen koordinointimekanismin, jolla varmistetaan, että kansalliset toteutukset ovat yhtenäisiä. Kriitikoiden mukaan suurin huoli ei liity pelkästään iän varmentamiseen, vaan siihen, että luotua infrastruktuuria voidaan helposti laajentaa muihin palveluihin. Kun passi on kerran linkitetty digitaaliseen lompakkoon ja verifioitu viranomaisjärjestelmässä, kynnys laajentaa valvontaa muihin verkkotoimintoihin madaltuu merkittävästi.
Onko sovellus suojaa vai teatteria?
Kun viranomaiset perustelevat tällaista teknologiaa alaikäisten suojelemisella, mutta samalla julkaisevat järjestelmän, joka murtuu perusluokan koodinmuokkauksella, herää kysymys järjestelmän todellisesta tarkoituksesta. Tekninen asiantuntemus, jota esimerkiksi edellä mainitun aukon löytämiseen vaaditaan, on minimaalinen, mikä tarkoittaa, että järjestelmä ei tule pysäyttämään ketään, joka on päättänyt ohittaa sen.
Yivin mukaan käyttäjille myydään ”yksityisyyttä kunnioittavaa” järjestelmää, joka on todellisuudessa infrastruktuuri, joka tulee alttiiksi väärinkäytöksille heti sen tullessa laajamittaiseen käyttöön. Kun pilottivaihe etenee vuoden 2026 aikana, on nähtävissä, tuleeko tästä sovelluksesta todellinen suoja lapsille vai pelkkä kallis ja helposti ohitettava byrokraattinen este, joka samalla vakiinnuttaa keskistetyn digitaalisen tunnistautumisen vaatimuksen koko Euroopassa.
