Det tog omkring to minutter. Sent onsdag aften lagde den britiske sikkerhedskonsulent Paul Moore en kort videosekvens på X, hvor han gennemgik, hvordan han havde omgået adgangskontrollen i EU’s nye aldersverifikations-app ved at slette nogle få værdier i en konfigurationsfil og genstarte programmet. Samme dag havde Kommissionens formand Ursula von der Leyen fremhævet appen fra Bruxelles som “teknisk klar” og understreget, at den frie kildekode betød, at alle kunne efterprøve den. Det blev også, hvad der skete.

Episoden er mere end en kortvarig pinlighed for Kommissionen. Appen var tænkt som et bevis. Den skal vise, at det er teknisk muligt at kontrollere en brugers alder online uden at udlevere andre personoplysninger, ved brug af såkaldte nulvidens-beviser, hvor platformen kun modtager et kryptografisk ja eller nej. Samtidig fungerer projektet som forløber for det langt større projekt om indførelse af en såkaldt “digital identitetstegnebog”, eIDAS 2.0, som alle EU-lande skal stille til rådighed for borgerne inden udgangen af 2026.

eIDAS 2.0 står for Electronic Identification, Authentication, and Trust Services 2.0. Det er en opdatering til forordning (EU) 2014/910, som har til formål at strømline og sikre elektroniske transaktioner på tværs af EU’s medlemsstater og dermed sikre høj tillid og interoperabilitet. Kommissionen har fremhævet, at alders-app’en og identitets tegneborgen bygger på de samme tekniske standarder.

Sagen er med andre ord ikke afgrænset til alders-appen, og fundet af væsentlige fejl i den netop offentliggjorte alders-app rejser spørgsmålet, om den samlede europæiske identitetsinfrastruktur er teknologisk moden nok til at kunne danne grundlag for den politisk fastlagte tidsplan, der driver udrulningen.

Svaghederne i koden

Moore dokumenterede tre designfejl, alle lokaliseret til samme ubeskyttede konfigurationsfil. Brugerens PIN-kode er krypteret, men er ikke knyttet til telefonens sikre område, som moderne Android- og iOS-enheder netop har fået tilføjet til formålet. En angriber kan slette et par værdier, genstarte appen og oprette en ny PIN uden at miste adgang til de oprindelige legitimationsoplysninger. Beskyttelsen mod såkaldte gætteangreb hvor automatiserede systemer afprøver tusindvis af kodeord i et fortsøg på at ramme rigtigt kan deaktiveres ved at nulstille nogle få parametre i den redigerbare i tekstfil. Kravet om biometrisk identifikation kan uden videre slås fra ved at ændre en boolesk værdi fra true til false.

Den franske hacker Baptiste Robert har over for POLITICO bekræftet fejlene, og den kryptografiske forsker Olivier Blazy, medlem af en fransk arbejdsgruppe om digital identitet, beskriver scenariet kort. Hvis en voksen bruger har aktiveret appen og bekræftet sin alder, kan en mindreårig nevø tage telefonen, åbne appen og godtgøre, at han er over 18. Den belgiske hacker Inti De Ceukelaire har efterlyst, at fremtidige lanceringer ledsages af offentliggjorte sikkerhedsvurderinger, så offentligheden kan se de afvejninger, der er foretaget.

Kommissionens respons har været defensiv og modsigelsesfuld. Talskvinden Paula Pinho fastholdt fredag, at appen er “klar”, dog med tilføjelsen at den altid kan forbedres. Talsmanden for digitale anliggender Thomas Regnier tilføjede, at den endelige version stadig er en demo, og at flere opdateringer må forventes. Både Moore og Blazy oplyser, at de har testet den nyeste tilgængelige version af koden.

Udrulningen og Danmarks rolle

Appen er udviklet på en kontrakt, Kommissionen i efteråret 2024 udbød til en anslået værdi af fire millioner euro. De endelige aftaler med den svenske identitetsvirksomhed Scytáles og Deutsche Telekoms datterselskab T-Systems ligger ifølge udbudsdokumenterne tættere på to millioner. Scytáles leverer også referenceimplementeringen af den kommende digitale identitetstegnebog.

Syv lande står ifølge Kommissionen forrest i indfasningen. Frankrig, Italien, Spanien, Grækenland, Irland, Cypern og Danmark har alle meldt ud, at de vil integrere aldersverifikationen i deres nationale løsninger. Danmark er blandt de mest udsatte. Regeringen indgik i november 2025 en bred politisk aftale om at forbyde sociale medier for børn under 15 år, med mulighed for forældresamtykke fra 13-års-alderen efter konkret vurdering. Håndhævelsen er tænkt bundet op på MitID, og digitaliseringsminister Caroline Stage har beskrevet forbuddet som en nødvendig stillingtagen over for de store platformes tilstedeværelse i børneværelset. En fungerende fælles EU-infrastruktur for aldersverifikation er en forudsætning for, at forbuddet kan indføres i praksis.

Videnskaben i modvind

Den 2. marts offentliggjorde 438 sikkerheds- og privacyforskere fra 32 lande et åbent brev, der opfordrede til et moratorium på aldersverifikation, indtil den videnskabelige konsensus om nytteværdi og risici er afklaret. Blandt underskriverne er Turing-prismodtageren Ronald Rivest og kryptologen Bart Preneel, formand for den internationale kryptoforskerforening. Brevet fremfører to pointer. Teknologien er i praksis let at omgå, blandt andet med VPN-tjenester, lånte legitimationsoplysninger eller AI-genererede profiler. Og en skalering til hele internettet ville etablere en infrastruktur, som i sit væsen også kan anvendes til overvågning og censur.

Paraplyorganisationen European Digital Rights har flere gange kaldt tilgangen tekno-solutionisme. Problemet ligger ikke i adgangsalderen, men i det design, der karakteriserer de sociale medier, skriver EDRi.

Den politiske bevægelse går i modsat retning. Emmanuel Macron samlede torsdag aften von der Leyen, Giorgia Meloni, Pedro Sánchez og Friedrich Merz til et videomøde om emnet, og Australien har siden december 2025 som det første land i verden haft et forbud mod brug af større sociale medier for under-16-årige. I Europa-Parlamentet er billedet mere opsplittet. Den tyske socialdemokrat Birgit Sippel har kaldt appen halvfærdig. Markéta Gregorová fra det tjekkiske Piratparti, ordfører på et nyt cybersikkerhedsdirektiv, mener, at processen er drevet af politisk pres. Piotr Müller fra det polske ECR-parti har beskrevet projektet som et skridt mod et kinesisk internet i Europa.

Mere end en app

Det mest afslørende er måske ikke selve fejlene i alders-appen, men det teknologiske lag, fejlene blotlægger. App’en er bygget som en miniatureudgave af den fulde digitale identitetstegnebog og benytter samme kryptografiske model. Hvis Bruxelles med fire måneders forsinkelse og et budget på to millioner euro ikke kan levere en app, der kan modstå offentlig inspektion i mere end to minutter, bliver det vanskeligt at forsikre borgerne om, at den langt større identitetsinfrastruktur bliver robust.

Alders-appen og den frie kildekode den er baseret på, var ment som en showcase på europæisk selvstændighed og på solide kompetencer i den digitale verden. Projektet er i stedet blevet et argument for det modsatte.