- dubna 2026 prolomil bezpečnostní výzkumník Paul Moore oficiální evropskou aplikaci pro ověřování věku za dvě minuty. Snímky obličejů z dokladů ukládala nešifrované. Biometrickou autentizaci šlo obejít přepnutím jednoho booleanu v config souboru. Francouzský výzkumník Baptiste Robert to nezávisle potvrdil.
O necelý měsíc později, 6. května, sdílela Výzkumná služba Evropského parlamentu na sociálních sítích lednový briefing o VPN. Označila je za „loophole in the legislation that needs closing". Tedy mezeru, kterou je třeba zacelit, protože děti přes VPN obcházejí ten samý systém ověřování věku, který jiný hacker prolomil v podivně krátkém čase.
A v tuhle chvíli česká média ztratila nervy.
Anatomie titulkové paniky
cnews.cz: „Konec anonymního surfování přes VPN". tiscali.cz: „EU jde po soukromém internetu". centrum.cz/cdr.cz: „Závažný útok na soukromí". V překladu: Brusel zítra zatne.
Reálně? EPRS je think-tank Evropského parlamentu. Píše analytické briefy pro poslance, ne zákony. Materiál ze 6. května není legislativní návrh, je to shrnutí debaty, ve které někdo nahodil tezi a publicistika ji zachytila jako fakt.
Nejstřízlivější hlas v ČR má v tomhle Petr Koubský v rozhlasovém Online Plus. „Orgán demokratické Evropy to udělat nemůže," říká k případnému zákazu. „Drtivá většina podobně radikálních návrhů skončí pod stolem."
Koubský má pravdu v jedné věci. Plošný zákaz VPN je v EU politicky neprůchodný. Naráží na DSA, GDPR, na ekonomický fakt, že VPN potřebují všechny korporace s remote workery. A pokud by k němu náhodou došlo, technicky by ho šlo vynutit jedině přes deep packet inspection na úrovni ISP. Což je infrastruktura, kterou dnes provozují Čína, Rusko a Írán. EU ne. A nikdo soudný nechce, aby ji EU začala stavět.
Jenže Koubský upozorňuje ještě na něco. Pracovní materiál Rady EU z roku 2025 zmiňuje, že členské státy zvažují přidat VPN na seznam služeb spadajících pod data retention. Čili povinné ukládání metadat o připojení. Kdo se kdy odkud kam připojil. Bez obsahu, ale s identitou.
A o tom by se mělo psát. Ne o zákazu, který nepřijde.
Goodhartův zákon pro internetovou regulaci
Když cíl regulace prochází přes proxy ukazatel, ten proxy ukazatel se sám stane cílem a celý smysl regulace se rozpadne. Britský Online Safety Act platí od července 2025. Měl chránit děti před pornografickým obsahem. Reálný výstup? Po jeho zavedení vyletěla stahování VPN aplikací v UK o 1 800 % během prvního měsíce. Proton VPN hlásil nárůst registrací o 1 400 až 2 000 procent v hodinách po zapnutí kontrol. Děti se nepřestaly dívat na porno. Naučily se obcházet věkové kontroly v devíti letech místo třinácti. A jejich rodiče si nainstalovali NordVPN spolu s nimi, protože měli pocit, že British Telecom je sleduje.
Britská Children's Commissioner Rachel de Souza na to v BBC Newsnight reaguje předvídatelně. VPN označuje za „absolutely a loophole that needs closing". Volá po věkovém ověřování pro samotné VPN služby. House of Lords v lednu odhlasoval 207 ku 159 dodatek k Children's Wellbeing and Schools Bill, který by zakázal poskytování VPN dětem. Vrátilo se to do Dolní sněmovny. Není to zákon.
Ale logika je tady jasná. Když ověřování věku funguje špatně, přidej další vrstvu ověřování. Když ani ta nefunguje, přidej třetí. Až nakonec stojí mezi devítiletým dítětem a kdejakým webem tři biometrické skeny, dva systémy national ID a jeden požadavek na verifikaci VPN klienta. Devítileté dítě mezitím používá Tor přes Tails na flash disku, který si vyrobilo podle YouTube návodu.
Goodhart by se bavil.
Děti budou.
Bezpečnost přes obscurantismus, jen obráceně
Co EU reálně řeší, není dětská pornografie. Je to nepříjemný fakt, že po dvou desetiletích politiky „internet pro všechny" se objevuje cosi jako digitální nepřehlednost. Lidé používají Signal. Šifrovaný DNS. WireGuard běžící na vlastní VPS za pět euro měsíčně. Self-hosted instance Nextcloudu. Místo Chromu Brave nebo Mullvad Browser. A státní aparát, který si zvykl, že webový provoz teče přes pět velkých korporací s funkčním legal interface, najednou neví, co se mu děje pod nosem.
Místopředsedkyně Evropské komise Henna Virkkunen to 29. dubna 2026 řekla na tiskové konferenci nahlas. VPN by neměly sloužit k obcházení age verification. Tečka. Že VPN ale slouží primárně k něčemu úplně jinému, třeba k tomu, abych se z hotelové WiFi v Bangkoku připojil bezpečně do firemní infrastruktury, to v jejím prohlášení nezaznělo. Já sám používám WireGuard denně pro připojení k vlastní laboratoři přes Tailscale. Sto procent provozu jde tunelem. A je mi naprosto jedno, jestli tam někde v paketu plave packet, který by někoho v Bruselu naštval.
Tedy bylo mi to jedno. Dokud jsem nečetl Council Working Paper, který Koubský zmiňuje.
Data retention je tichý jed
Logování metadat má jednu vlastnost, kterou plošný zákaz nemá: nedělá rozruch. NordVPN, Mullvad, Proton, všichni budou dál fungovat. Reklama bude dál slibovat anonymitu. Logo zámku v rohu obrazovky bude dál uklidňovat uživatele. Jenom v server room v Bukurešti nebo v Zürichu poběží daemon, který do databáze ukládá: IP X se v 14:23:11 připojila k serveru Y, který má ven adresu Z. Trvalo to 4 hodiny. Přeneslo se 12 GB.
Žádný obsah. Žádné dešifrované zprávy. Jen kdo, kdy, odkud, kam. Což je v digitální stopě často víc, než je obsah samotný. Metadata mají tu nepříjemnou vlastnost, že přežijí všechno end-to-end šifrování světa. Vědí to v NSA. Vědí to vyšetřovatelé. A teď to ví Rada EU.
Pro VPN poskytovatele to znamená dvě možnosti.
Buď vyhoví, a celá jejich marketingová narativa o no-logs policy se stane fikcí. Mullvad dnes hrdě tvrdí, že nezná IP svých uživatelů. V regulovaném scénáři by ji znát museli. Nebo se z EU stáhnou. Což udělá ten lepší kus z nich, jenže pak zbude uživateli volba mezi statně registrovaným provozovatelem s povinným logováním a turkmenstánskou společností s pochybným whois záznamem. Nebudu hádat, co si vybere medián českého uživatele.
A k tomu se přidá ještě jeden detail, který se v české debatě skoro neobjevuje. Open Dialogue Foundation prezidentka Lyudmyla Kozlovska upozorňuje, že přesně tímhle jazykem se argumentuje v autoritářských režimech. „VPN slouží k obcházení zákonů" je rétorická figura, kterou používá Roskomnadzor v Rusku, Ministerstvo informací v Bělorusku a regulátoři v Číně už dvacet let. Když ji začne používat Brusel, nezíská tím morální převahu. Ztrácí ji.
Co s tím
Devatenáct organizací (Mozilla, EFF, Proton, Tor Project, Mullvad a další) poslalo 5. května 2026 britským ministrům otevřený dopis. Cituji volně, protože stojí za to: omezení nástrojů pro ochranu soukromí podkopává schopnost uživatelů pohybovat se po síti bezpečně a budovat digitální gramotnost. Přeloženo do hardwired řeči: vyrobíte děti, které neumí používat HTTPS, ale umí obcházet státní DPI.
V Bruselu se zatím nic neděje. Formálně. EPRS briefing je analytický papír. Council Working Paper je interní pracovní materiál. Henna Virkkunen na jedné tiskovce vyslovila jednu větu. Komise zatím nepředstavila konkrétní návrh.
Jenže když se podíváš na vektory tlaku, na Online Safety Act v UK, Senate Bill 73 v Utahu, australský zákaz sociálních sítí pro děti do šestnácti let, French double-blind verification system, vidíš, že západní demokracie se v posledních dvou letech pomalu přesouvají od regulace obsahu k regulaci samotné infrastruktury anonymity. Není to konspirace. Je to inercie. Každý regulátor řeší svůj malý problém. Skleníkový efekt vznikne sám.
Pokud nás v ČR něco potká, nebude to oznámení „VPN je od dnešního dne zakázána". Bude to novela zákona o elektronických komunikacích, která rozšíří povinnost ukládání provozních a lokalizačních údajů na poskytovatele VPN služeb. Předloženo poslancem, kterého nikdo nezná. Schválena ve třetím čtení v pátek odpoledne. A v pondělí budeš mít metadata svého WireGuard tunelu uložená v centrální databázi po dobu šesti měsíců.
A teď zkus někomu na Twitteru vysvětlit, proč tě to štve.
