Через два дня после заявления Еврокомиссии о технической готовности приложения для проверки возраста проект столкнулся с публичной критикой со стороны исследователя безопасности Пола Мура. Он показал, что смог обойти локальную защиту приложения за считаные минуты, изменив данные конфигурации на устройстве. Сам проект действительно представила Комиссия 15 апреля 2026 года как технически готовое решение, которое скоро станет доступно гражданам.
Сразу важно уточнить: речь идёт не о готовой общеевропейской системе цифровой идентификации. По официальному описанию Еврокомиссии, это открытое приложение для подтверждения возраста, которое должно позволять пользователю доказать, что он старше определённого порога, не раскрывая лишние персональные данные. Комиссия отдельно подчёркивает, что решение строится как приватное, открытое и совместимое с будущими европейскими цифровыми кошельками идентичности.
По данным Еврокомиссии, приложение должно работать по довольно простой логике: пользователь получает подтверждение возраста на основе национальной электронной идентификации, паспорта, ID-карты, банковского приложения или офлайн-подтверждения, после чего предъявляет онлайн-сервису анонимное доказательство возраста, а не сам документ. Комиссия прямо пишет, что после выпуска доказательства связь между пользователем и поставщиком подтверждения возраста разрывается, а само доказательство не должно содержать идентификационных сведений, позволяющих отслеживать человека.
Критикуют конкретную реализацию мобильного клиента, а не идею в целом. Исследователь нашёл уязвимую архитектуру хранения PIN-кода: данные лежат локально в файле конфигурации shared_prefs, и при определённых изменениях можно заново задать PIN, не потеряв доступ к уже существующему профилю подтверждения возраста. В той же публикации описаны ещё две проблемы: возможность сбросить счётчик неудачных попыток и отключить биометрическую проверку через изменение булевого параметра в конфигурации.
В официальном GitHub-репозитории проекта прямо сказано, что это white-label reference implementation, то есть эталонная, настраиваемая реализация, которую страны или издатели приложений должны дорабатывать перед публикацией. Там же отдельно отмечено, что текущая версия не завершена по функциональности, требует дополнительной интеграционной работы перед промышленным развёртыванием и всё ещё находится в активной разработке. Иными словами, проект сам по себе пока не описывается разработчиками как полностью законченный массовый продукт.
То есть, с одной стороны, Еврокомиссия 15 апреля заявила, что решение «технически готово» и скоро будет доступно гражданам. С другой — открытый репозиторий того же проекта предупреждает, что конкретная эталонная сборка ещё не является финальной промышленной версией и требует доработки.
По официальной дорожной карте, blueprint — то есть базовая архитектура и открытый набор решений — был опубликован ещё в июле 2025 года. Пилотная фаза стартовала тогда же, а в октябре 2025 года Комиссия выпустила вторую версию blueprint с методом подтверждения возраста через паспорт и ID-карту, а также с использованием доказательств с нулевым разглашением — криптографического подхода, при котором система подтверждает факт, например возраст 18+, не раскрывая дату рождения и другие лишние данные. Сейчас к внедрению национальных версий решения готовятся Дания, Франция, Греция, Италия и Испания.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
