Udowodnij, że masz 18 lat – nie mówiąc, kim jesteś
Koniec ery „kliknij, że masz 18 lat”
Dotychczasowa „weryfikacja” była fikcją. Okienko z pytaniem o pełnoletność i przyciskiem „mam ukończone 18 lat” nie za-trzymuje nikogo – klika je dziewięciolatek równie sprawnie jak dorosły. Autodeklaracja to nie zamek, tylko napis „proszę nie wchodzić”. Nowe prawo tego napisu już nie uzna: ustawa wymaga „skutecznych mechanizmów” i – co istotne – nie narzuca jednej technologii. Wybór zostawia serwisom, ale podnosi poprzeczkę. Pytanie brzmi: czym tę poprzeczkę da się realnie podeprzeć.
Trzy drogi: dokument, twarz, bank
W praktyce świat wypróbował dotąd trzy rodziny metod. Pierwsza to dokument – użytkownik fotografuje dowód lub paszport. Skuteczne, ale wymaga oddania najwrażliwszych danych witrynie, której nazwy wolelibyśmy nikomu nie zdradzać. Druga to szacowanie wieku z twarzy – kamera i algorytm oceniają, czy „to raczej dorosły”. Wygodne, lecz zawodne: brytyjska prasa szybko opisała, jak system udawało się oszukać selfie z gry wideo. Trzecia to pośrednik – karta płatnicza, bank (Open Banking) albo operator komórkowy potwierdza wiek. Brytyjski regulator Ofcom, egzekwujący tamtejszą ustawę z 25 lipca 2025 r., ocenia każdą metodę według czterech kryteriów: dokładności, odporności na obejście, niezawodności i sprawiedliwości. Wspólny mianownik wszystkich tych dróg jest jednak niepokojący: ślad. Gdzieś powstaje zapis, że ktoś – z imienia i nazwiska – chciał wejść tam, gdzie wszedł. A bazy danych, jak wiadomo, wyciekają.
Sztuczka z podwójną ślepotą
I tu pojawia się pomysł naprawdę elegancki, na który stawia polski rząd. Nazywa się „podwójna anonimowość” (po angielsku double-blind), a pierwsza wdrożyła go Francja – od 11 kwietnia 2025 r. tamtejszy regulator ARCOM wymaga, by przynajmniej jedna z oferowanych metod spełniała tę zasadę. Idea jest prosta: między użytkownikiem a witryną staje niezależny pośrednik. Serwis dowiaduje się tylko, że gość jest pełnoletni – nie poznaje, kim jest. Pośrednik z kolei nie wie, do jakiej witryny wystawił zaświadczenie. Nikt nie widzi całości. Polskie Ministerstwo Cyfryzacji chce to oprzeć na Europejskim Portfelu Tożsamości Cyfrowej (EUDI Wallet), powiązanym z aplikacją mObywatel. Jak opisuje wiceminister Dariusz Standerski: portfel odsyła stronie wyłącznie odpowiedź TAK/NIE, a wystawca portfela nie wie, gdzie jej użyto. Pełną, anonimową weryfikację rząd planuje uruchomić do końca 2026 r.; równolegle Komisja Europejska szykuje wspólną unijną aplikację opartą na tzw. dowodzie z wiedzą zerową. Brzmi jak rozwiązanie idealne. Pod jednym warunkiem: że bramka w ogóle zadziała.
jego urządzenia, do serwisu trafia wyłącznie odpowiedź „pełnoletni”, a VPN
pozwala obejść bramkę.
Infografika: opracowanie własne redakcji
Brytyjska lekcja i australijski eksperyment
Bo tu zaczynają się schody. Gdy Wielka Brytania włączyła obowiązkową weryfikację, stało się coś, co powinno studzić zapał każdego ustawodawcy: w ciągu kilku dni dostawcy VPN zanotowali eksplozję rejestracji – Proton mówił o o wzrostach rzędu 1400…1800 proc., NordVPN o tysiącu. VPN przenosi użytkownika „za granicę” jednym kliknięciem, a ustawa działa tylko w obrębie brytyjskich adresów IP. Połowa najczęściej pobieranych aplikacji w brytyjskim App Store w dniu startu to były VPN-y i programy do… weryfikacji wieku. Petycja o uchylenie ustawy zebrała ponad dwukrotność progu potrzebnego do debaty w parlamencie, a Izba Lordów jeszcze w grudniu 2025 r. zastanawiała się, co zrobić z obchodzeniem prawa.
Australia poszła dalej i ostrzej: od 10 grudnia 2025 r. – jako pierwszy kraj na świecie – w ogóle zakazała zakładania kont w mediach społecznościowych osobom poniżej 16 lat, przerzucając odpowiedzialność na platformy (kara do 49,5 mln dolarów australijskich) i każąc im „rozpoznawać” nastolatków m.in. po zachowaniu. Do połowy grudnia platformy zlikwidowały 4,7 mln kont. Efekty i koszty – choćby dla prywatności wszystkich pozostałych użytkowników – dopiero poznamy.
Bramkarz, nie mur
Jaki z tego morał dla felietonisty, który nie chce udawać ani że problemu nie ma, ani że łatwo go rozwiązać? Taki, że weryfikacja wieku jest bramkarzem, nie murem. Zdeterminowanego nastolatka z VPN-em nie zatrzyma żaden portfel tożsamości – ale jedenastolatka, który trafia na takie treści przypadkiem, klikając w link czy reklamę, już owszem. A to właśnie te przypadkowe, masowe kontakty są sednem problemu z resortowych statystyk. Polski wybór – postawić na anonimowy portfel zamiast na zbieranie skanów dowodów – jest pod względem prywatności najmądrzejszy z możliwych. Pod warunkiem że nie skończy się na nim. Bramka na froncie witryn dla dorosłych to bowiem tylko jeden element; równolegle rząd zakazuje smartfonów w podstawówkach, a najskuteczniejszym „algorytmem” wciąż pozostaje rozmowa rodzica z dzieckiem. Technologia może podnieść próg. Wychowania nie zastąpi. I dobrze, że nie próbuje – gorzej, jeśli ktoś uwierzy, że już może przestać.
W modelu „podwójnej ślepoty” weryfikacja rozkłada się na dwie strony, które celowo nic o sobie nie wiedzą. Portfel tożsamości (np. EUDI Wallet) zna Twój wiek, bo wcześniej potwierdziło go państwo – ale nie wie, że właśnie wchodzisz na stronę dla dorosłych. Witryna zna adres, na który wchodzisz – ale dostaje wyłącznie komunikat „użytkownik ma ukończone 18 lat”, bez imienia, numeru dowodu czy zdjęcia. To informatyczny odpowiednik bramkarza, który sprawdza datę urodzenia, oddaje dokument i natychmiast zapomina twarz. Technicznie umożliwia to dowód z wiedzą zerową (zero-knowledge proof) – metoda pozwalająca udowodnić prawdziwość faktu („mam 18 lat”) bez ujawniania danych, z których ten fakt wynika.
De Coder
