VPN ломает все возрастные фильтры одним кликом — Европе это не нравится… и она уже готовит запрет

Европейская парламентская исследовательская служба предупредила, что VPN всё чаще используют для обхода систем проверки возраста в интернете. В новом докладе технологию прямо называют слабым местом нынешних законов о защите детей, а часть европейских политиков уже предлагает ограничить доступ к самим VPN-сервисам.

Проблема появилась на фоне быстрого ужесточения правил для онлайн-платформ. Во многих странах сайты с контентом для взрослых и другие сервисы с возрастными ограничениями теперь обязаны проверять возраст пользователей перед входом. Для этого используют селфи, загрузку документов, банковские данные, подтверждение через мобильного оператора или специальные приложения.

VPN ломает часть этой логики довольно простым способом. Сервис шифрует трафик и подменяет IP-адрес, пропуская соединение через удалённый сервер. В результате пользователь может выглядеть так, будто подключается из другой страны или региона, где требования по проверке возраста мягче или вообще отсутствуют. Для взрослых VPN давно стал обычным инструментом приватности, защиты трафика и удалённой работы, но регуляторы всё чаще рассматривают ту же технологию как способ обхода ограничений для несовершеннолетних.

После запуска обязательной проверки возраста в Великобритании популярность VPN резко выросла. По данным из доклада EPRS, VPN-приложения после вступления закона в силу поднялись в топы загрузок. Похожую реакцию фиксировали и в нескольких штатах США, где начали действовать собственные законы о доступе к контенту для взрослых.

Авторы документа называют VPN законодательной лазейкой. Часть чиновников и организаций, занимающихся детской безопасностью, считает, что проверять возраст нужно уже на этапе подключения к VPN-сервису. Комиссар Англии по делам детей также выступила за ограничение VPN только для взрослых пользователей.

Идея сразу вызвала жёсткую реакцию со стороны индустрии и защитников приватности. Если доступ к VPN потребует подтверждения личности, сервисы потеряют одну из своих главных функций – анонимность. Появится и другая проблема: хранение документов, биометрии и данных пользователей у VPN-провайдеров создаст новые риски утечек, слежки и злоупотреблений. Несколько компаний и организаций уже направили британским властям письма с возражениями против подобных мер.

При этом сама инфраструктура проверки возраста пока работает далеко не идеально. В прошлом месяце исследователи нашли уязвимости в официальном приложении Еврокомиссии для проверки возраста, которое продвигали как безопасный и приватный инструмент в рамках закона Digital Services Act. Анализ показал, что приложение сохраняло чувствительные биометрические изображения без шифрования, а часть ошибок позволяла обходить проверки полностью.

В докладе EPRS прямо говорится, что единая и надёжная система проверки возраста в Евросоюзе пока так и не появилась. Существующие методы – самооценка возраста, автоматическая оценка по лицу или загрузка документов – несовершеннолетние нередко обходят без особого труда.

Одним из более аккуратных вариантов в документе называют французскую схему double-blind verification. В такой модели сайт получает только подтверждение, что пользователь достиг нужного возраста, но не узнаёт его личность. Сервис проверки, наоборот, не видит, какие сайты посещает человек. Система должна уменьшить объём данных, которые получают обе стороны.

Регуляторы уже начали отдельно прописывать VPN в новых законах. Американский штат Юта первым принял норму, которая напрямую касается VPN при проверке возраста. Закон SB 73 определяет местоположение пользователя по физическому присутствию, а не по IP-адресу, даже если человек использует VPN или прокси для маскировки подключения.

EPRS считает, что давление на VPN-сервисы в ближайшие годы будет усиливаться. В документе говорится, что будущие изменения европейского Cybersecurity Act могут добавить требования, связанные с защитой детей и предотвращением обхода возрастных ограничений через VPN.