EU-kommissionens vice ordförande Henna Virkkunen behövde inte ens använda uttrycket ”VPN-förbud” för att skapa oro bland cybersäkerhetsexperter och integritetsförespråkare.
Det som tidigare sågs som en drastisk åtgärd reserverad för auktoritära regimer framställs nu allt oftare som ett logiskt nästa steg för demokratiska tillsynsmyndigheter, i takt med att åldersverifiering blir standard globalt.
– Självklart är det också en viktig del av nästa steg att se till att detta inte ska kunna kringgås, sade Virkkunen under en presskonferens den 29 april. Hon svarade då på frågor om hur myndigheter skulle kunna förhindra att barn använder en VPN-tjänst för att kringgå EU:s nya app för åldersverifiering.
Under den senaste veckan har en våg av kritik spridits över sociala medier. Profilerade personer, däribland den belgiske kryptografen Bart Preneel, har kritiserat uttalandena och sagt att detta är ”det sluttande planet” som experter länge har varnat för.
EU:s hållning är långt ifrån ett isolerat fall. Förra onsdagen blev Utah den första delstaten i USA att införa begränsningar för användning av VPN-tjänster som en del av sina nya regler kring åldersverifiering. Åtgärderna är dock fortfarande mycket kontroversiella – ett liknande förslag i Wisconsin röstades ner i februari efter kraftig kritik från allmänheten.
Bara några dagar tidigare antog Storbritannien sitt lagförslag Children's Wellbeing and Schools Bill, som innehåller krav på att leverantörer av vuxeninnehåll ska vidta ”rimliga åtgärder mot kringgående”.
Samtidigt pågår Storbritanniens konsultation kring skadligt innehåll på nätet fortfarande. Regeringen har redan bekräftat att VPN-tjänster kan komma att omfattas av åldersbegränsningar om myndigheterna bedömer att dessa verktyg underminerar skyddsåtgärder för säkerhet online.
På andra håll i Europa har franska politiker också offentligt bekräftat att ”VPN-tjänster står näst på tur” efter att parlamentet godkänt Europas första sociala medier-förbud för tonåringar.
VPN-tjänster, som tidigare hyllades som viktiga säkerhetsverktyg, framställs nu allt oftare av myndigheter som farlig mjukvara för att kringgå regler och som därför måste kontrolleras.
Men hur hamnade vi här? Och framför allt: vilka risker innebär denna kamp mot VPN-tjänster?
Hur åldersverifiering ökar hotet mot VPN-tjänster
Obligatorisk åldersverifiering är ett svar på ett internet som många regeringar anser har blivit för farligt för barn.
Storbritannien var det första landet som införde obligatorisk verifiering för att få tillgång till så kallat ”lagligt men skadligt” innehåll i juli förra året. Flera andra länder runt om i världen var snabba med att införa liknande lagstiftning.
Australien satte ytterligare ett prejudikat i december när regeringen införde världens första förbud mot sociala medier för personer under 16 år. En rad regeringar, däribland Frankrike, Storbritannien, EU, Grekland och Spanien, driver nu på för liknande regler.
I takt med att obligatoriska ålderskontroller blir allt vanligare har ett liknande mönster uppstått – varje gång reglerna införs ökar användningen av VPN-tjänster bland invånarna.
VPN-tjänster krypterar nämligen inte bara all internettrafik, utan döljer också användarens riktiga IP-adress genom att få det att se ut som att man surfar från ett annat land. Den möjligheten gör det möjligt att kringgå geografiska begränsningar, inklusive ålderskontroller.
Det är svårt att avgöra om dessa användare främst är vuxna som inte vill dela biometrisk data eller barn som försöker få tillgång till begränsat innehåll. Men studier från grupper som Childnet och Internet Matters antyder att majoriteten tillhör den förstnämnda kategorin.
Farorna med att förbjuda VPN-tjänster
Oavsett om vi gillar det eller inte är obligatoriska ålderskontroller här för att stanna, så det är kanske förståeligt att lagstiftare vill täppa till alla kryphål som gör det möjligt för invånare att kringgå reglerna. Men verkligheten är betydligt mer komplicerad än så.
Ett virtuellt privat nätverk, eller en VPN-tjänst, är säkerhetsmjukvara som miljontals vuxna och företag använder varje dag för att förbättra integritet, säkerhet och den övergripande internetupplevelsen. En VPN-tjänst krypterar all data som lämnar enheten, vilket gör det svårt att spåra användarens aktiviteter.
Det är därför cybersäkerhetsexperter oroar sig för att begränsningar av VPN-användning kan få stora konsekvenser för människors säkerhet online – vilket ironiskt nog är exakt det som dessa lagar försöker skydda.
En branschorganisation för VPN-tjänster, VPN Trust Initiative (VTI), förklarade risken tydligt i ett nyligt uttalande riktat till den brittiska regeringen.
– Policys som försvagar eller begränsar VPN-tjänster riskerar att minska säkerheten online för just de användare som dessa förslag är tänkta att skydda, utan att ge motsvarande fördelar, skrev VTI och argumenterade samtidigt för att ”att behandla VPN-tjänster främst som ett kryphål är ett totalt missförstånd av deras roll”.
Det är en ståndpunkt som delas av en annan koalition i en separat varning till Storbritannien som skickades ut i tisdags.
– Att begränsa användningen av teknik som skyddar integriteten underminerar arbetet med att ge användare möjlighet att navigera säkert på nätet och utveckla digital kompetens, sade Mozilla, som var en av undertecknarna.
Förra året uttryckte även Protons chef för offentlig policy i USA, Christine Bannan, liknande oro i en intervju med TechRadar kring ett liknande lagförslag i Michigan. Vid det tillfället varnade Bannan specifikt politiker för att skapa lagstiftning som förvandlar VPN-tjänster från viktiga säkerhetsverktyg till en ”belastning”.
Fungerar begränsningar av VPN-tjänster ens?
Regler som riktar sig mot VPN-tjänster kan också stöta på ett annat stort tekniskt problem – de verkar i praktiken vara omöjliga att genomdriva.
När Utah blev det första demokratiska området att anta en sådan lag beskrev digitala rättighetsorganisationen Fight for the Future den som ”slöseri med pengar” och argumenterade för att begränsningarna är ”omöjliga att genomdriva av design”.
Detta speglar varningar från den populära VPN-tjänsten NordVPN, som tidigare kallade lagen för en ”fälla” som i slutändan riskerar att drabba alla användare världen över.
Det är tekniskt omöjligt att blockera alla kända VPN- och proxy-IP-adresser i Utah, sade NordVPN till TechRadar redan i mars. Det enda återstående alternativet verkar då vara att åldersverifiera alla besökare globalt, oavsett var de faktiskt befinner sig.
Rysslands pågående kamp mot VPN-användning fungerar samtidigt som en tydlig varningssignal. Trots att Kreml har lagt miljontals rubel på avancerade censursystem fortsätter VPN-tjänster att stå emot genom att ständigt anpassa sig till nya metoder.
Över 400 forskare kräver nu att obligatorisk åldersverifiering pausas tills ”vetenskaplig konsensus” har uppnåtts kring den tekniska genomförbarheten och nyttan med dessa åtgärder. Och även av rent ekonomiska och praktiska skäl kanske de faktiskt har rätt.
Om politiker fortfarande är övertygade om att åldersverifiering är rätt väg framåt måste de också acceptera att VPN-tjänster är långt mer än bara verktyg för att kringgå regler.
Om vissa människor väljer att kringgå reglerna kanske det helt enkelt är priset man får betala för säkerhet, integritet och i slutändan skyddet av de verktyg som gör detta möjligt.
