Asociația pentru Tehnologie și Internet

Susținem o lume digitală liberă prin promovarea vieții private, libertății de exprimare și a tehnologiilor deschise pe Internet

20 mai 2026

Verificarea vârstei online: siguranță pentru minori sau risc pentru toți

Există, la nivel global, numeroase inițiative privind implementarea unor metode de verificare sau control al vârstei pentru accesul la unele servicii digitale, în special social media. Doar în România erau 5 propuneri de lege similare.

În ultimele 5 luni, am vorbit în evenimente publice, mass-media sau pe Internet despre riscurile acestor propuneri. În acest articol, am încercat să rezumăm principalele aspecte pe care le-am discutat.

Fără a ne adresa unui proiect legislativ anume, arătăm, în continuare, că implementarea unor astfel de măsuri este contraproductivă, generează riscuri sistemice de siguranță și afectează drepturile fundamentale ale tuturor utilizatorilor, sub pretextul protecției minorilor, fără să soluționeze problemele de fond pe care încearcă să le rezolve.

Timpul și activitatea minorilor online este o îngrijorare legitimă, mai ales că sunt expuși la conținut dăunător (bullying, algoritmi care provoacă dependență, conținut politic radicalizat, jocuri de noroc etc).

Este genul de problemă pe care oricine o dorește rezolvată, indiferent de culoarea politică, astfel că poate exista un dialog real și constructiv cu privire la măsuri.

Totuși, stabilirea prin lege a unui prag minim de vârstă pentru accesul autonom la internet sau anumite servicii/pagini, eventual cu un acord formal parental, nu poate fi o soluție viabilă. 

E doar o soluție „ușoară” care semnalează superficial că „am făcut ceva”, dar care nu adresează, în realitate, problemele de fond, ba chiar creează premisele agravării și multiplicării problemelor

Mai mult, aceasta diminuează interesul părinților și educatorilor pentru soluțiile reale, lăsând impresia că statul a rezolvat deja problema. În același sens, există și alte implicații psihologice, ce nu mai fac obiectul acestei analize, care se concentrează pe vulnerabilitățile tehnice și sistemice.

Metode tehnice de validare a vârstei: cum ni se poate „cere buletinul” online?

Trebuie să distingem între metode diferite de validare a vârstei, fiecare cu un nivel de certitudine și riscuri proprii (vezi și o analiză mai detaliată, publicată în 2023):

Declararea vârstei de către utilizator,

bazată pe o bifă de confirmare sau introducerea unei date de naștere, fără verificarea altor surse de date sau procesarea de documente sau date biometrice; 

E cea mai simplă și puțin intruzivă, fără a apela la surse externe, documentare sau alte verificări, este și cea mai ușor de ocolit, fiindcă se bazează pe onestitatea/cooperarea utilizatorului care, dacă vrea acces la conținut restricționat, îl poate obține direct.

Estimarea vârstei (modelul australian),

stabilită de platforma online - în principal prin analiza datelor directe sau indirecte puse la dispoziție de către beneficiar, fie că are loc prin analiza datelor biometrice (recunoaștere facială) sau comportamentale (e.g. conținut consumat), pentru aproximarea unui interval de vârstă.

În funcție de opțiunea tehnică aleasă, teoretic, aceasta poate fi mai puțin intruzivă. Prelucrarea datelor poate avea loc doar local, iar acestea pot fi, ulterior, șterse, dar are probleme de acuratețe și accesibilitate tehnologică. Asta poate duce fie la excluziune, fie la ocolirea relativ ușoară. De asemenea, în funcție de soluția aleasă, poate avea rată de eroare ridicată și riscuri semnificative inerente cu privire la prelucrarea datelor biometrice.

Verificarea vârstei (modelul portofel digital EU)

fără identificarea completă a persoanei, ci doar a unui singur atribut izolat printr-un token dintr-o aplicație de tip portofel digital, aplicație bancară sau un intermediar terț care oferă acest serviciu; 

Chiar dacă serviciile accesate ar putea primi doar confirmarea majoratului fără alte date personale, sistemul poate fi depășit în mod simplu, prin crearea de tokeni în mod automatizat, printr-un proces de inginerie inversă (vezi detalii mai jos).

Emitentul token-ului de vârstă sau serviciul accesat ar putea lega această informație de alte metadate despre serviciile accesate de utilizator sau a augmenta un profil al obiceiurilor și preferințelor cu informații verificate.

Verificarea identității (modelul UK) în întregime,

și nu doar a vârstei, pe baza unor documente de identitate oficiale, cum ar fi buletinul, pașaportul sau alte cărți de identitate;

Nivelul mai ridicat de certitudine este și cel mai intruziv, și cu riscurile cele mai mari pentru siguranța utilizatorilor. De asemenea, duce la o prelucrare excesivă de date personale exact din partea celor care sunt interesați să le colecteze în alte scopuri. 

Prețul ascuns pentru control: vulnerabilități, riscuri sistemice și probleme de implementare

Implementarea sistemelor de verificare a vârstei comportă o serie inerentă de probleme și riscuri sistemice majore. Deși riscurile variază în funcție de metodă și tehnologie, orice sistem obligatoriu de verificare a vârstei atrage o serie de probleme în implementare (unele de securitate, altele de eficacitate).

Impactul asupra libertăților civile și anonimatului

Eroziunea drepturilor constituționale

  • Dreptul de a primi informații: în funcție de metoda de implementare a verificării vârstei, aceasta reprezintă o restrângere implicită a dreptului de a primi informații (art. 30-31 Constituție) și poate conduce la identificarea atât a cititorului, cât și a creatorului, pentru accesul la un conținut sau discurs altminteri protejat constituțional. Mai mult, poate elimina inclusiv anonimatul esențial pentru activitatea legitimă a multor persoane (jurnaliști, victime ale abuzurilor, avertizori de integritate), inclusiv copii (care caută informații sau susținere în contexte de abuz, informații sensibile despre sănătate, orientare sexuală, sau altele, fără teamă de a fi monitorizați).

  • Dreptul la liberă exprimare și participare digitală: condiționarea accesului la servicii online afectează, mai ales, dreptul la liberă exprimare (art. 30 Constituție), inclusiv participare activă în sfera digitală, restrângându-le capacitatea de a căuta, primi și transmite informații și de dezvoltare autonomă. Condiționarea accesului transformă explorarea sau exprimarea ideilor într-un privilegiu monitorizat, sub riscul de autocenzură și de izolare a minorilor de resurse de informare sau educaționale și de comunități de susținere.

  • Dreptul la viață privată: Totodată, verificarea vârstei utilizatorilor subminează dreptul la viață privată (art. 26 Constituție) prin diverse aspecte, în funcție de metoda tehnică implementată: prelucrarea multor date personale din categorii speciale, crearea de profile digitale de la vârste mici și expunerea minorilor la supraveghere și riscuri disproporționate privind compromiterea confidențialității activității online. Controlul permanent limitează dezvoltarea unei vieți private și alterează procesul de maturizare sub presiunea supravegherii și profilării intereselor, curiozităților, preferințelor și activităților lor.

Supravegherea tuturor utilizatorilor: ca să verifici cine e minor, trebuie să verifici identitatea/vârsta tuturor și să condiționezi serviciile digitale pe bază de permis. Iar operațiunea de verificare presupune crearea unei infrastructuri de control și supraveghere, care poate fi ușor deturnată spre alte scopuri, sub pretextul siguranței (cenzură, monitorizare țintită).

Lumea digitală nu este ca cea fizică: nu poți compara verificarea vizuală a buletinului în magazin pentru achiziția de țigări cu un proces de verificare digital, care păstrează legături persistente și datele personale – e ca și cum vânzătorul ar copia buletinul tuturor la vânzarea de țigări, ca să se asigure că nu sunt minori. Și chiar și așa, 18% din minorii din România sunt fumători. Mai mult, 81% dintre cei de 16 ani au consumat alcool, iar 34% au consumat cu mult peste limitele normale cel puțin o dată în ultima lună.

Mai multe date colectate, riscuri mai mari de siguranță

Supraveghere nu înseamnă siguranță: crearea de baze de date cu acte de identitate creează, totodată, ținte pentru hackeri (recent, în Regatul Unit, aproximativ 70.000 de cărți de identitate ar fi fost furate într-un singur incident). Putem proteja copiii, fără ca fiecare român să fie obligat să își dea actele de identitate pe Internet.

Riscurile verificării vârstei prin terți: apelarea la furnizori terți atestați care verifică vârsta prin metode alternative cu „promisiunea anonimatului” față de restul serviciilor accesate este iluzorie. Un furnizor de servicii de verificare a vârstei a suferit o breșă majoră care ar fi dat atacatorilor acces la date 18 luni. Asta în timp ce alt serviciu terț de verificare a vârstei bazat pe anonimat total” colecta neautorizat datele de navigare și identitatea utilizatorilor, în timp ce altă aplicație de verificare a vârstei urmărea utilizatorii și transmitea date sensibile către terți fără consimțământ.

Supraveghere mai mare = expunere mai mare: pentru a dovedi vârsta sau a valida acordul parental, platformele vor colecta mai multe date personale, furnizorii vor crea mai multe înregistrări permanente despre identitatea utilizatorilor. Profilezi mult mai mult persoanele, inclusiv legăturile familiale, iar copiii devin ținte vulnerabile pentru furt de date, identitate etc.

O barieră ușor de ocolit în practică și efecte secundare nedorite

Tratarea minorilor ca pe un grup uniform este eronată: capacitatea de discernământ a minorilor nu este uniformă, iar nevoile lor de protecție și de autonomie evoluează semnificativ în timp și variază inclusiv în interiorul grupelor de vârstă apropiate. Ceea ce reprezintă o protecție adecvată pentru un copil de 6 ani se transformă într-o restricție dăunătoare sau excesivă dacă este aplicată unui tânăr de 15 ani. De asemenea, susținerea familială, posibilitățile, mediile sau condițiile diferă de la minor la minor într-un mod care face abordarea uniformă să fie complet nepotrivită.

Efectul contrar: blocarea accesului la serviciile care respectă legea va împinge minorii spre site-uri „ilegale” care nu o respectă și permit accesul mai ușor sau neverificat, unde riscurile ar putea fi mai mari. În plus, separarea internetului „pentru copii” și „pentru adulți”, inclusiv a conținutului care nu ar fi dăunător în sine, exacerbează aparența că „ideile interzise” ar fi corecte și le face mai atrăgătoare.

Putem învăța de la alții: după implementarea unei reglementări similare în Regatul Unit, au explodat serviciile de VPN pentru a ocoli măsurile de blocare. Acum se discută despre restricționarea sau reglementarea mai strictă a serviciilor de VPN. Același lucru se întâmplă și în Australia, unde experiența recentă arată că, în ciuda restricțiilor introduse, peste 60% din minori continuă să utilizeze rețelele sociale. Practic, din servicii legitime folosite de mulți oameni, acum devin tratate drept „portițe” de încălcare a legii și vizate spre reglementare strictă, și posibil chiar eliminare a scopului pentru care le folosesc oamenii. Însă, un alt studiu care arată că doar 1 din 4 minori de 14-15 ani respectă interdicțiile de acces pe platformele social media, sugerează totodată că problema nu este tehnică, ci inclusiv socială: cei care încalcă interdicția sunt văzuți mai bine decât cei care o respectă, astfel împingându-i fie în afara sferei lor sociale, fie înspre a încălca la rândul lor interdicția de acces.

Orice soluții „anonime” sunt vulnerabile fraudării: identificatorii de vârstă pot fi simulați sau replicați prin inginerie inversă. Acest lucru s-a demonstrat prin apariția rapidă a unor instrumente open-source și gratuite care ocolesc deja sistemele folosite de platforme ca Discord, Twitch sau Snapchat (sistemul k-id). Algoritmii de validare pot fi descifrați și replicați pentru a produce soluții de ocolire facile, pe un principiu similar al generatoarelor de CNP-uri: odată ce logica sistemului e cunoscută, barierele devin formale. Mai grav, prin impunerea unor astfel de restricții sau verificări se creează premisele apariției unor servicii malițioase care, promițând sau chiar livrând păcălirea filtrelor, conving utilizatorii să instaleze aplicații care sustrag date personale sau compromit securitatea digitală a dispozitivelor.

Din aceleași motive, nici Portofelul Digital European (EUDI) nu reprezintă o soluție ideală, câtă vreme utilizarea atributelor anonimizate rămâne vulnerabilă la metode de inginerie inversă și ușor de ocolit prin generarea unor identificatori falși. Nici cele mai avansate mecanisme publice de identitate digitală nu pot garanta un filtru de vârstă eficace fără a sacrifica anonimatul sau securitatea. În plus, EUDI ar trebui să fie și să rămână un instrument opțional, existând o serie întreagă de dificultăți majore suplimentare dacă s-ar încerca extinderea sa obligatorie la nivelul întregii populații din UE.

Verificarea identității sau vârstei nu doar că nu adresează problema de fond, dar generează noi probleme și riscuri. 

Ce putem face în schimb, totuși, ca să răspundem conținutului dăunător la care ar putea fi expuși minorii?

Problemele și riscurile cu care se confruntă minorii online sunt variate și diferă în funcție de factori obiectivi, ca vârsta, locația, situația materială, genul, sau factori subiectivi, ca educația, susținerea/relația familială, nevoile personale/psihologice etc. 

Din acest motiv, soluțiile nu pot fi universale.

Restricționarea accesului în întregime la servicii online izolează minorii sau îi ascunde de lumea online „adevărată”. Soluțiile ar trebui, mai degrabă, să îi pregătească pentru lumea digitală la care oricum vor dobândi acces. 

Un raport recent al OMS propune, în schimb, o schimbare de paradigmă: renunțarea la interdicții pentru minori ușor de ocolit în favoarea unei strategii de reducere a riscurilor de vătămare. Scopul este transformarea minorilor din subiecți pasivi ai unor algoritmi în utilizatori rezilienți. Mijloacele mai potrivite pentru asta ar viza educația privind algoritmii de recomandare, dezinformarea, manipularea atenției, prin responsabilizarea platformelor prin reglementarea funcțiilor de tipul infinite scroll sau notificări intruzive, precum și prin transparența informațiilor/datelor și algoritmilor. 

Răspunsul nu e să facem internetul mai controlat, mai greu de utilizat și de accesat de toată lumea, prin măsuri care pot fi ocolite relativ ușor de către cei interesați, dar care vulnerabilizează pe toți ceilalți.

Să nu reglementăm și controlăm comportamentul minorilor, când problema vine de la marile platforme. Interzicerea și reglementarea accesului utilizatorilor mută responsabilitatea siguranței în servicii digitale din partea furnizorilor către utilizatori.

Răspunsul, dacă ar fi să vină printr-o reglementare publică, ar trebui să vizeze produsele și serviciile companiilor de tehnologie: nu să punem un lacăt pe ele, care să le facă mai atractive („internetul adevărat”), ci să le facem mai sigure în sine. Soluția trebuie să țintească îmbunătățirea siguranței online, nu doar îngreunarea sau întârzierea accesului.

Siguranța prin design, aplicarea legislației existente și soluții care respectă utilizatorii

Înainte de adoptarea unor legi noi cu soluții îndoielnice, ar trebui să ne asigurăm că sunt aplicate legile deja în vigoare.unchecked

  • Articolul 28 din DSA reglementează un prim grad de măsuri de protecție a minorilor online, echilibrate cu principiile minimizării datelor colectate. Fără a permite colectarea suplimentară a datelor pentru a determina vârsta utilizatorilor, impune obligația ca platformele care sunt accesibile minorilor să adopte măsuri potrivite pentru siguranța și protecția vieții private a minorilor, și mai ales interzice profilarea și utilizarea datelor personale pentru a livra reclame personalizate minorilor.
  • Conform Art. 8 din GDPR, minorii sub 16 ani nu își pot da consimțământul pentru procesarea datelor personale online fără autorizarea părinților, atunci când serviciile sunt oferite în mod direct copiilorunchecked
  • Articolul 40 din DSA reglementează obligații pentru marile platforme privind algoritmii sau sistemele de recomandare privind conținutul prezentat utilizatorilor. Astfel pe lângă sistemul propriu al platformei (de cele mai multe ori bazat pe profilarea utilizatorului inclusiv prin colectarea datelor personale) să fie pus la dispoziția utilizatorilor cel puțin o altă opțiune care să nu fie bazată pe profilarea personală (spre exemplu, ordonarea cronologică).
  • Cum reiese din studiul realizat de ApTI, măsurile pentru siguranța minorilor reglementate la nivelul legii sunt, în practică, deseori neaplicate sau doar bifate formal. Acestea conduc la livrarea aceluiași conținut politic și polarizant pentru minori ca și pentru adulți, cu mesaje predominant negative sau care provoacă sentimente negative, sau la ocolirea ușoară prin apăsarea unui buton a funcțiilor de siguranță de tipul perioadei de somn în timpul nopții.unchecked
  • Investigațiile Comisiei Europene asupra respectării DSA de către TikTok și Meta au confirmat preliminar că măsurile implementate pentru siguranța utilizatorilor, inclusiv minori, bifează doar formal cerințele legii și chiar propriile regulamente interne. În realitate, prin funcțiile de tip infinite scroll, notificări agresive și algoritmi de recomandare neconfigurabili, TikTok implementează un design înșelător care creează dependență pentru maximizarea timpului petrecut pe aplicație. Aceeași concluzie a bifării pur formale a cerințelor legale a reieșit și în cazul Meta, care eșuează să blocheze conturile copiilor sub 13 ani, în ciuda faptului că propriul lor regulament le interzice utilizarea platformei. Metodele de validare a vârstei utilizatorilor folosite s-au dovedit a fi ineficiente, permițându-le să navigheze platforma fără restricții reale. Astfel, în loc să încercăm protejarea minorilor prin interdicții ușor de ocolit, concluzia care se conturează este necesitatea aplicării standardelor legale existente în mod efectiv și a unor măsuri de siguranță privind design-ul platformelor în sine.

Setările default: legea să prevadă obligația ca setările din fabrică pentru dispozitive, servicii, conturi, să fie de la început la cel mai înalt nivel de siguranță și confidențialitate, nu să fie opțiuni ascunse în setări complicate: conturi private, fără geolocalizare, fără profilare publicitară dacă nu optezi.

Limitare și transparentizare algoritmi: problema nu este „accesul” la internet, ci algoritmii serviciilor folosite, care prind utilizatorii prin practici menite să genereze adicție, cum ar fi autoplay la media, fluxuri de tip infinite scroll, notificări agresive, stimulente de login în fiecare zi. Limitarea lor, sau obligarea furnizorilor de a avea opțiuni alternative, ar conduce la o reducere naturală a expunerii.

Educația media: valabilă și pentru adulți, dar mai ales pentru minori, un om educat este mult mai în siguranță decât unul „păzit” de un filtru care poate fi ocolit sau păcălit relativ ușor. Blocarea accesului nu învață pe nimeni nimic despre identificarea prădătorilor, phishing, scamming, protejarea datelor personale, sau tehnologii viitoare, inclusiv AI etc.

Înainte să implementăm noi reglementări prohibitive, ar trebui să înțelegem și să utilizăm instrumentele pe care le avem deja și care pot adresa problema de fond, nu doar să ne spălăm pe mâini zicând că „am interzis” accesul la ea.

De ce acum, dintr-o dată? Lobby-ul care împinge validarea vârstei utilizatorilor

Fără a încerca să minimizăm importanța problemeler de fond, nu putem să nu observăm cum chiar marile platforme finanțează lobby pentru asta, inclusiv în UE.

De altfel, un furnizor de servicii mare sau o rețea socială va putea implementa sau contracta mult mai ușor mecanisme de verificare, spre deosebire de furnizori mici pentru care va reprezenta un cost mare sau chiar prohibitiv și un risc de răspundere ridicat. Astfel, printr-o eventuală legislație pentru verificarea vârstei online, ar fi favorizate mai ales platformele mari și ar fi descurajați furnizorii de servicii mici, iar diversitatea informațională și a serviciilor ar scădea.

Dacă ar fi cu adevărat îngrijorați de siguranța minorilor, ar implementa măcar o parte din măsurile descrise mai sus, nu ar fi nevoie să finanțeze societăți comerciale și ONG-uri pentru a face lobby pentru legislație specifică.

În realitate, sunt foarte mulți bani de obținut dintr-o asemenea măsură – pentru anumite grupuri de interese, printre care și marile platforme. Unele estimări arată că 22% din cheltuielile pe reclame online, aproximativ $83 mld. în 2023, sunt irosiți pe trafic non-uman (boți și mai recent agenți AI), iar estimările sunt în creștere.

Dacă platformele pot garanta că destinatarii reclamelor sunt oameni reali, problema e rezolvată sau cel puțin ameliorată mult: pentru vizualizări neverificate, prețul reclamei poate fi redus drastic, și se pot concentra pe cele verificate.

Iar la pachet cu asta vine și profilarea mult mai bună a datelor personale.