Nedávno mi přišel e-mail od Anthropicu, společnosti stojící za AI asistentem Claude. Zpráva oznamovala, že můj účet byl pozastaven kvůli podezření na použití nezletilou osobou, a vyzývala mě k ověření věku přes odkaz vedoucí na třetí stranu – britskou firmu Yoti.

Reakce byla přirozená: nedůvěra. E-mail přišel z adresy no-reply-L84f2xF3OT6mPhbmIzndCA@mail.anthropic.com -podivný řetězec znaků, hrozba suspendování vytvářela tlak. Klasické znaky phishingu. A přesto – byl to legitimní e-mail od Anthropicu, legitimní KYC proces.

Jenže tím moje nedůvěra neskončila. Abych svůj účet obnovil, měl jsem nahrát občanský průkaz nebo jiný doklad totožnosti společnosti, se kterou jsem nikdy předtím nepřišel do kontaktu. Chápu, proč firmy ověřování věku zavádějí – čelí regulatorním požadavkům a potřebují zabránit přístupu nezletilých. Přesto ve mně představa, že mám kvůli používání chatbota posílat kopii svého občanského průkazu další soukromé firmě, vyvolává silný odpor.

Nejde ani tak o to, že bych Yoti nedůvěřoval. Jde o princip. Každá další společnost, která zpracovává moje osobní údaje, představuje další místo, kde mohou být data uchovávána, analyzována nebo v budoucnu uniknout. Občanský průkaz obsahuje informace, které nelze jednoduše změnit jako heslo. Jakmile jednou jeho kopii odešlete, ztrácíte nad ní faktickou kontrolu.

Ještě před několika lety by představa, že pro přístup k online službě budu muset nahrát sken občanky, působila absurdně. Dnes se z ní pomalu stává norma. A právě to je možná nejznepokojivější část celé zkušenosti – že jsme si na podobné požadavky začali zvykat, přestože představují další krok k normalizaci sběru citlivých osobních údajů i tam, kde by ještě nedávno nebyl považován za přiměřený.

Když se chatbot začne ptát na občanku

Přiznám se, že mě to překvapilo. Na internetu používám desítky služeb. Některé znají moji platební kartu, jiné mají přístup k mým fotografiím, e-mailům nebo dokumentům. Přesto mezi nimi existovala určitá nepsaná hranice. Pokud jsem si chtěl založit bankovní účet, investovat nebo dělat transakce, očekával jsem, že budu muset prokázat svou totožnost. Když jsem si ale chtěl povídat s chatbotem nebo pracovat na kódu, občanský průkaz mě opravdu nenapadl.

Jenže právě tato hranice se začíná rozpadat.

V posledních měsících stále více provozovatelů AI služeb zavádí ověřování věku nebo identity. Někde pouze při podezření, že účet používá nezletilý člověk, jinde jako podmínku pro přístup k pokročilejším modelům nebo specifickým funkcím. Je to trend, který pravděpodobně nezmizí. Naopak. Lze očekávat, že s přibývající regulací bude podobných požadavků přibývat.

To ale otevírá mnohem širší debatu. Nejde jen o to, jestli má Anthropic právo chtít ověřit můj věk. Jde o otázku, jakou podobu bude mít internet za pět nebo deset let. Bude anonymní používání AI stále možné? Nebo se digitální identita stane vstupenkou ke každé pokročilejší online službě?

Co vlastně znamená KYC

Zkratka KYC znamená Know Your Customer – „Poznej svého zákazníka“. Ve světě financí jde o zcela běžný pojem. Banky musejí vědět, komu vedou účet. Investiční společnosti musí ověřovat identitu klientů. Kryptoměnové burzy už dávno nemohou fungovat pouze na základě e-mailové adresy.

Důvod je jednoduchý. Bez ověření identity by bylo téměř nemožné účinně bojovat proti praní špinavých peněz, financování terorismu, daňovým únikům nebo organizovaným podvodům. Regulace proto finančním institucím ukládá povinnost identifikovat klienta a v některých případech sledovat i původ jeho prostředků.

Regulace přichází

Evropská unie, Spojené státy, Velká Británie i Austrálie postupně přijímají zákony, které mají omezit přístup nezletilých k určitým online službám. Současně vznikají pravidla pro odpovědnost provozovatelů AI systémů.

Firmy se dostávají pod tlak ze dvou stran.

Na jedné straně regulátoři požadují, aby dokázaly zabránit zneužívání jejich modelů. Na straně druhé nesmějí shromažďovat více osobních údajů, než je nezbytné. Splnit oba požadavky současně není jednoduché.

Nejspolehlivější způsob ověření věku je totiž ověření identity.

Právě proto vznikl nový trh společností, které se specializují pouze na digitální identitu. Místo aby každá AI firma vyvíjela vlastní systém, využije externího poskytovatele. Uživatel nahraje občanský průkaz, pořídí selfie, případně krátké video obličeje. Specializovaná firma ověří pravost dokladu i shodu fotografie a AI službě pouze oznámí výsledek.

Teoreticky tedy Anthropic nikdy nemusí získat kopii mé občanky. Prakticky ji ale získá někdo jiný.

Důvěra se přesouvá

A právě zde začíná problém. Nejde o konkrétní společnost. Dnes je to Yoti. Zítra to může být Persona. Pozítří někdo úplně jiný.

Máme důvěřovat další firmě, která tvrdí, že data bezpečně smaže? Že fotografie nebudou použita k jiným účelům? Že nedojde k úniku databáze? Že za pět let firma nezmění obchodní model nebo nebude koupena někým jiným?

Každá jednotlivá firma může být sebeprofesionálnější. Přesto platí jednoduché pravidlo kybernetické bezpečnosti: nejlepší způsob, jak ochránit citlivá data, je vůbec je neshromažďovat.

Občanský průkaz není heslo. Když unikne heslo, stačí ho změnit. Když unikne číslo platební karty, banka vydá novou. Ale datum narození, fotografie obličeje nebo číslo občanského průkazu se mění podstatně hůře.

Ověření věku není totéž co ověření identity

Na celé myšlence mě fascinuje ještě jedna věc.

Anthropic ve skutečnosti nepotřebuje vědět, jak se jmenuji. Nepotřebuje znát moje bydliště, moje rodné číslo, ani jak se jmenuji. Potřebuje vědět jedinou informaci: jestli jsem starší osmnácti let. To jsou dvě úplně odlišné věci.

V kryptografii už řadu let existují technologie, které umožňují prokázat určitou vlastnost, aniž by člověk odhalil svou identitu. Místo otázky „Kdo jste?“ odpovídají na otázku „Splňujete podmínku?“.

Přesto dnes většina ověřovacích systémů funguje opačně. Nejprve zjistí úplnou identitu uživatele a teprve z ní odvodí věk.

Směřujeme k internetu bez anonymity?

Možná je současná vlna KYC pouze začátek.

Pokud budou podobné požadavky přibývat, může se stát, že během několika let bude většina významných AI služeb vyžadovat nějakou formu digitální identity. Ne kvůli platbě. Ne kvůli zákonu proti praní peněz. Ale prostě proto, že je to nejjednodušší způsob, jak splnit regulátorské požadavky. To by znamenalo zásadní proměnu internetu.

Desítky let bylo běžné, že člověk mohl používat většinu online služeb pod přezdívkou. Dnes se stále častěji objevuje představa, že každý účet bude spojen s ověřenou identitou. Možná ne veřejně, ale někde v databázi.

Je to svět, který může být bezpečnější. Ale zároveň je to svět, ve kterém je mnohem obtížnější zůstat anonymní.

Hledání rovnováhy

Nemyslím si, že existuje jednoduché řešení. Rozumím tomu, proč AI společnosti zavádějí ověřování věku. Rozumím regulatorům, kteří chtějí chránit děti. Rozumím i tomu, že generativní AI může být zneužívána způsobem, který jsme si ještě před několika lety neuměli představit.

Přesto bych byl rád, kdyby se v celé debatě více mluvilo o minimalizaci dat.

Neměli bychom automaticky přijmout představu, že nejlepším řešením každého problému je nahrání občanského průkazu. Technologie už dnes umožňují elegantnější přístupy – od anonymních věkových certifikátů přes digitální peněženky identity až po kryptografické důkazy, které umí potvrdit konkrétní vlastnost, aniž by odhalily vše ostatní.

Možná je to právě směr, kterým by se měl internet vydat.

Protože otázka už dávno nezní, jestli budeme svou identitu online ověřovat. Skutečná otázka je jiná: kolik ze své identity budeme muset pokaždé odevzdat.