A titkos adatgyűjtő: Ki áll valójában a LinkedIn, az OpenAI és társai ellenőrzései mögött?

A forráskód szivárgása felfedi: Mi történik valójában az azonosító adataiddal a Redditen, a Robloxon és a LinkedInen?

Manapság mindenkinek, aki az interneten navigál, egyre inkább igazolnia kell a személyazonosságát. Legyen szó akár a hőn áhított LinkedIn „pipáról”, az OpenAI hatékony MI-modelljeihez való hozzáférésről, a Redditen történő életkor-ellenőrzésről vagy a Robloxon való csevegésről – az útlevélért nyúlás és a kötelező videós szelfi elkészítése egyre inkább normává válik. De miközben a felhasználók azt hiszik, hogy érzékeny biometrikus adataikat közvetlenül a megfelelő platformokra bízzák, egy láthatatlan hatalom működik a háttérben: az amerikai startup, a „Persona”. Több mint 300 millió ellenőrzött személyazonossággal rendelkező, befolyásos befektetők által támogatott vállalat a digitális élet titkos infrastruktúrájává vált. A látszólag kényelmes rendszernek azonban van egy komoly hibája: egy érzékeny forráskód-szivárgás, a kétes adatmegőrzési időszakok és az amerikai hatóságokkal való szoros kapcsolatok komoly adatvédelmi aggályokat vetnek fel. Mi történik valójában az arcunkkal és a személyazonosító okmányainkkal? És miért volt a Discord az egyetlen nagyobb platform, amely a hatalmas felhasználói tiltakozások után bezárt? Vizsgálat indult egy adatóriás rejtett szerverstruktúráival kapcsolatban.

Az internet láthatatlan gerince: Hogyan használják a LinkedIn, a Reddit, az OpenAI, a Roblox és más platformok a perszónákat – és mit jelent ez az adataid számára?

Egyetlen cég, 148 000 ügyfél, 300 millió adatrekord – és alig valaki tud róla

Amikor egy LinkedIn-felhasználó igazolja a profilját, azt hiszi, hogy a LinkedIn-nel beszél. Amikor egy Reddit-felhasználó megerősíti a korát, megbízik a Redditben. Amikor egy Roblox-játékos a kamerába emeli az arcát, azt hiszi, hogy a Roblox az a személy, akivel kommunikál. A valóságban mindezen esetekben ugyanaz a cég van: a Persona Identities, Inc., egy 2018-ban alapított San Franciscó-i startup, amely az internet nagy részének de facto identitás-infrastruktúrájává vált. 2024-re a Persona több mint 300 millió személyazonosság-ellenőrzést hajtott végre, megduplázva ezzel bevételét és ügyfélkörét. A Persona szolgáltatásait használó platformok a modern digitális élet keresztmetszetét jelentik – mégis, a Persona név a legtöbb felhasználó számára teljesen ismeretlen marad.

Ez nem véletlen. A Persona üzleti modellje szándékosan a láthatatlanságra épít: Míg a platformok ápolják a felhasználói kapcsolatokat és építik a bizalmat, a Persona a háttérben végzi a tényleges ellenőrzést. A 2025 áprilisában lezajlott D sorozatú finanszírozási kör utáni 2 milliárd dolláros értékeléssel és olyan befektetőkkel, mint a Founders Fund, a Ribbit Capital és az Index Ventures, a vállalat a világ egyik legjelentősebb magántulajdonban lévő identitástechnológiai vállalata. Ami a felhasználók számára kényelmes ellenőrzési folyamatnak tűnik, valójában egy koncentrált adatgyűjtési infrastruktúra, amely messze túlmutat azon, ami egy egyszerű személyazonosság-ellenőrzéshez szükséges lenne.

Ehhez kapcsolódóan:

• Személyazonosság-ellenőrzés | Az arcod és az adataid nem a tiéid – Anthropic (Claude), LinkedIn és a biometrikus ellenőrzés új gazdasága

LinkedIn: 100 millió ellenőrzött profil – és mi rejlik mögöttük

A LinkedIn volt az egyik első nagyobb platform, amely bevezette a Personát ellenőrzési partnerként. 2025 decemberében a platform meghaladta a 100 millió ellenőrzött profilt világszerte – ez egy mérföldkő, amely jól mutatja, hogy a Persona milyen mélyen beágyazódott már a professzionális web identitás-infrastruktúrájába. A LinkedIn egyértelmű ígéreteket tesz: Az ellenőrzött tagok átlagosan 60 százalékkal több profilmegtekintést és 50 százalékkal több elköteleződést kapnak. Az ellenőrzött céges oldalak 10,9-szer több megtekintést és 7,7-szer több követőt jelentenek. Ezek hatékony ösztönzők – és működnek.

Maga az ellenőrzési folyamat a LinkedIn alkalmazáson keresztül zajlik. A felhasználókat arra kérik, hogy csatlakoztassák eszközüket egy NFC-képes útlevélhez, szkenneljék be a chipet, majd készítsenek egy élő szelfit. A LinkedIn korlátozott adatokat kap: az útlevélben szereplő nevet, az útlevél típusát, a kibocsátó országot, egy hashelt azonosítót és a sikeres ellenőrzés megerősítését. A Persona által ezen a folyamaton túl gyűjtött és feldolgozott adatok azonban lényegesen kiterjedtebbek – és csak a LinkedIn saját dokumentációjában szerepelnek, röviden hivatkozva a Persona saját adatvédelmi irányelveire. A Personán keresztüli LinkedIn-ellenőrzésre felhatalmazott alfeldolgozók közé tartozik az AWS, a Confluent, a DBT, az Elasticsearch, a Google Cloud Platform, a MongoDB, a Sigma Computing és a Snowflake. Az adattárolás európai szervereken, garantáltan megfelelve az uniós jogszabályoknak, nem biztosított.

Az adattörlés kérdése különösen figyelemre méltó. A Persona a LinkedIn dokumentációjában megerősíti, hogy az adatokat az ellenőrzés után törli – de nem határoz meg konkrét időtartamot. Más partnerségek, például a Discorddal kötött partnerségek kapcsán elismerték a akár hét napos tárolási időszakot, ami nyilvánosan ellentmondott a platform állításainak. A Persona kormányzati infrastruktúrájának kiszivárgott forráskódja pedig azt mutatja, hogy a biometrikus arcfelismerési listákat akár három évig – pontosabban 1095 napig – is tárolhatják. A Persona nyilvános kommunikációjában szándékosan homályosan fogalmazza meg, hogy mi vonatkozik a kereskedelmi és mi a kormányzati ügyfelekre.

Reddit: Életkor-ellenőrzés, mint belépési pont a biometrikus ellenőrzéshez

A Reddit a Personát az Egyesült Királyság online biztonsági törvényének (OSA) végrehajtásának részeként vezette be, amely előírta az online platformok életkorának ellenőrzését. Az Egyesült Királyság piaca tesztként szolgált: a korhatáros tartalmakhoz hozzáférni próbáló felhasználókat átirányították a Persona oldalára életkor-ellenőrzés céljából. A Reddit dedikált GYIK oldalán a Persona elmagyarázza, hogy a Reddit utasításai szerint adatfeldolgozóként jár el, csak a születési dátumot és a képadatokat gyűjti, és minden más információt három napon belül töröl. Ez elsőre ésszerűnek tűnik.

A helyzet valójában összetettebb. Azok a Reddit-felhasználók, akik igazolták személyazonosságukat, egy olyan folyamatról számolnak be, amely messze túlmutat az egyszerű életkorbecslésen: NFC-chipes útlevelek szkennelését, élő szelfiket és részletes viselkedési biometrikus adatokat gyűjtöttek – beleértve a gépelési sebességet, a habozást és azt, hogy másolták-e az információkat. Az adatvédelmi aktivisták felfedezték, hogy a Celeste által azonosított Persona forráskód egy FedRAMP által engedélyezett kormányzati szerveren futott, és ellenőrzéseket tartalmazott a FinCEN figyelőlistáival, a politikailag exponált személyek (PEP) listáival és a globális szankciós listákkal szemben. Mindez párhuzamosan fut a Reddit, a LinkedIn és más platformok kereskedelmi ellenőrzési folyamataival – ugyanazon az alapul szolgáló infrastruktúrán. Az Egyesült Királyságban zajló jelentős felhasználói tiltakozásokat követően a Reddit ideiglenesen felfüggesztette az új felhasználók kényszerített Persona-ellenőrzését, bár a már igazolt felhasználók továbbra is a rendszerben maradtak.

OpenAI: A legrégebbi és legátláthatatlanabb kapcsolat

Az OpenAI és a Persona közötti kapcsolat különösen árulkodó – és időrendileg a legkorábbi az összes jelentős platformpartnerség közül. Biztonsági kutatók a tanúsítvány-átláthatósági naplók segítségével felfedezték, hogy az openai-watchlistdb.withpersona.com domain alatt egy dedikált figyelőlista-rendszer 2023 novembere óta aktív – körülbelül 18 hónappal azelőtt, hogy az OpenAI 2025 nyarán nyilvánosan bejelentette a GPT-5 eléréséhez szükséges személyazonosság-ellenőrzés követelményét. Az OpenAI 2024 novemberében csendben hozzáadott egy mondatot az adatvédelmi szabályzatához, amely a harmadik fél szolgáltatók általi személyazonosság- és életkor-ellenőrzésre utal – anélkül, hogy kifejezetten megemlítette volna a Personát.

2024 szeptemberében maga a Persona is közzétett egy oldalt, amelyben elmagyarázta, hogy az OpenAI a Persona segítségével havonta több millió felhasználót ellenőriz, és a felhasználók több mint 99 százalékát másodperceken belül automatikusan ellenőrzik a háttérben. Ez azt jelenti, hogy nem csak az aktív ellenőrzésen áteső felhasználókat érinti a probléma – a háttérellenőrzés folyamatos. Az OpenAI API és a GPT-5-höz hasonló modellek eléréséhez a fejlesztőknek be kell nyújtaniuk személyazonosító okmányukat, és három szelfit kell készíteniük különböző szögekből – balról, jobbról és elölről –, hogy háromdimenziós arcprofilt hozzanak létre. A Forrester Research ezt a döntést a szabályozási nyomásra, a modellek helytelen használatának geopolitikai kockázataira, valamint a legitim vállalati ügyfelek és az államilag támogatott szereplők közötti különbségtétel szükségességére adott válaszként értékelte. A következmény: Bárki, aki a legfejlettebb MI-eszközöket szeretné használni, egy amerikai székhelyű ellenőrző infrastruktúrára kell bíznia az arcát.

Roblox: 151 millió napi felhasználó – és kötelező arcfelismerés

A Roblox a felhasználók számát tekintve a legfigyelemreméltóbb Persona kliens. 2026 januárjában a Roblox bevezette a kötelező életkor-ellenőrzést minden olyan felhasználó számára, aki használni szeretné a platform csevegési funkcióját. Naponta 151 millió aktív felhasználóval ez egy példátlan mértékű, kényszerített biometrikus folyamatot jelent – ​​különösen mivel a felhasználói bázis jelentős részét gyermekek és tinédzserek alkotják. A mechanizmus egyszerű: Aki csevegni szeretne, annak vagy egy videós szelfit kell rögzítenie, amelyet a Persona algoritmikusan elemez a koruk becsléséhez, vagy hivatalos személyazonosító okmányt kell benyújtania.

A Roblox és a Persona hangsúlyozzák, hogy a biometrikus adatokat és képeket a korbecslés után azonnal törlik. Erre az állításra azonban nincsenek független bizonyítékok. A valódi probléma máshol rejlik: a Persona korbecslő technológiája technikai szempontból nem kormeghatározás – arcvonások alapján becsüli meg a kort anélkül, hogy dokumentummal ellenőrizné. Ez azt jelenti, hogy a Roblox felhasználóit biometrikus szkennelésnek vetik alá, amely sem a valódi személyazonosság-ellenőrzés pontosságát, sem a dokumentumalapú ellenőrzés biztonságát nem nyújtja. Ugyanakkor a biometrikus adatokat egy amerikai infrastruktúrába továbbítják – ami jelentős GDPR aggályokat vet fel az uniós felhasználók, különösen a kiskorúak számára. A kiskorúak biometrikus adataira különösen szigorú követelmények vonatkoznak a GDPR 9. cikke és 8. cikke értelmében, amit a Roblox a jelenlegi végrehajtásában nem bizonyított nyilvánosan.

EU-s és német szakértelmünk az üzletfejlesztés, az értékesítés és a marketing területén - Kép: Xpert.Digital

Iparági fókuszterületek: B2B, digitalizáció (AI-tól XR-ig), gépészet, logisztika, megújuló energiák és ipar

További információ itt:

• Szakértői Üzleti Központ

Tematikus központ, amely betekintést és szakértelmet kínál:

• Tudásplatform, amely a globális és regionális gazdaságokat, az innovációt és az iparágspecifikus trendeket fedi le
• Elemzések, betekintések és háttérinformációk gyűjteménye a legfontosabb fókuszterületeinkről
• Szakértelem és információk helye az üzleti és technológiai fejleményekről
• Egy központ a piacokkal, a digitalizációval és az iparági innovációkkal kapcsolatos információkat kereső vállalatok számára

Discord: A legnyilvánosabb elvonulás és amit feltár

A Discord az egyetlen nagyobb vállalat, amely nyilvánosan befejezte a Personával való partnerségét, és egyértelmű magyarázatot adott – ami ritka átláthatósági pillanat az ágazatban. 2026 januárjában a Discord bevezette a Personát életkor-ellenőrzési célokra az Egyesült Királyságban egy nem nyilvános kísérleti program részeként. Amikor a partnerség nyilvánosságra került, hatalmas felhasználói ellenállást váltott ki. A Discord műszaki igazgatója, Stanislav Vishnevskiy elismerte, hogy a vállalat kommunikációja kudarcot vallott. Az igazi eszkaláció akkor következett be, amikor a biztonsági kutatók nemcsak Peter Thiel Alapítói Alapjához fűződő kapcsolatot tárták fel, hanem egy archivált támogatási oldalt is találtak, amely megemlítette, hogy a Persona hét napig őrzi meg az adatokat – ami közvetlenül ellentmond a vállalat korábbi, szinte azonnali törlésről szóló állításainak.

A Discord ezt követően új, egyértelmű követelményrendszert fogalmazott meg minden jövőbeli ellenőrzési partner számára: A biometrikus adatokat teljes egészében a felhasználó eszközén kell feldolgozni, és nem hagyhatják el az eszközt. A Persona kifejezetten nem felelt meg ennek a szabványnak – ezért kizárták a szerződésből. Ez a követelmény mind technikai, mind adatvédelmi szempontból úttörő: az eszközön történő feldolgozást határozza meg a biometrikus életkor-ellenőrzés minimumszabványaként. Az a tény, hogy a Persona egyik másik nagyobb ügyfele sem követelte nyilvánosan ezt a szabványt, jól mutatja, hogy az iparág milyen messze van még ettől a normától. A nehézségeket tovább fokozta, hogy a Discord a Persona-üggyel egyidejűleg egy külön adatvédelmi incidenssel is szembesült: Egy másik életkor-ellenőrző szolgáltatónál körülbelül 70 000 felhasználó hivatalos személyazonosító okmányai kerültek veszélybe – ez a helyzet élénken illusztrálta a biometrikus ellenőrzések harmadik fél szolgáltatóknak való kiszervezésének strukturális kockázatát.

VRChat: Személyazonosság-ellenőrzés a virtuális valóságban

A VRChat, a dedikált nemzetközi felhasználói bázissal rendelkező közösségi virtuális valóság platform, szintén bevezette a Personát életkor-ellenőrző partnerként. Az online platformokra vonatkozó, különösen az Egyesült Királyságban és az EU-ban érvényes szabályozási követelmények szigorodása miatt a VRChat kénytelen volt bevezetni egy életkor-ellenőrző rendszert. A választott rendszer a Persona volt. A közösség reakciója heves volt. A felhasználói fórumokat elárasztották a Persona infrastruktúra részletes elemzései, a Thiel Founders Funddal való kapcsolatra való utalások, valamint a bevezetés újragondolására irányuló kollektív felhívás.

A VRChat hivatalos közleményeiben hangsúlyozza, hogy nem kapnak személyazonosító okmányok képeit vagy arcszkennelt képeket – csak egy hash értéket, amely megerősítő azonosítást biztosít. A Persona azt is állítja, hogy a VRChat-en belül semmilyen információt nem kap a felhasználó személyazonosságáról. Ez összhangban van a Persona saját adatvédelmi architektúrájával, de adatvédelmi szempontból csak részleges megoldást jelent: a Persona maga rendelkezik az összes nyers biometrikus adattal, függetlenül attól, hogy mit osztanak meg a platformmal. A VRChat közösség európai felhasználói helyesen mutatnak rá, hogy az eID technológia – amely lehetővé teszi a korhatár-ellenőrzést biometrikus adatok továbbítása nélkül – létezik biztonságos alternatívaként, de a Persona kifejezetten nem támogatja. Európai adatvédelmi szempontból ez az elutasítás nehezen igazolható.

Upwork: Amikor a személyazonosság-ellenőrzés munkaköri követelménygé válik

Az Upworknél, a világ legnagyobb szabadúszó platformjánál a személyiség-ellenőrzés különösen közvetlen gazdasági hatással bír. A szabadúszóknak igazolniuk kell személyazonosságukat – akár proaktívan 35 Connect (a platform belső pénzneme) befizetésével, akár erőszakkal, amikor kölcsönökre, az Egyesült Államokban meghirdetett állásokra jelentkeznek, vagy a fiók felfüggesztését követően. Azok, akik hét napon belül nem végzik el az ellenőrzést, a fiók felfüggesztését kockáztatják.

Ez több szempontból is figyelemre méltó. Először is, az Upwork közvetlenül összekapcsolja a biometrikus azonosítást a gazdasági részvétellel: Mindenkit, aki dolgozni és fizetést kapni akar, ellenőrizni kell – és ezt egy harmadik fél amerikai infrastruktúráján keresztül végzik. Az EU-ban dolgozó szabadúszók számára ez azt jelenti, hogy biometrikus adataikat egy amerikai jogrendszerbe továbbítják, amire nincs reális alternatíva. Másodszor, az Upwork lehetővé teszi a rutinszerű ismételt ellenőrzéseket: A felhasználók arról számolnak be, hogy többször is felkérik őket személyazonosságuk igazolására, még akkor is, ha nincs látható ok. Harmadszor, az Upwork saját kommunikációja az adatfeldolgozás terjedelmével kapcsolatban homályos: A platform az azonosítást személyazonosság-ellenőrzésként írja le anélkül, hogy pontosan meghatározná a Persona felé irányuló adatfolyamokat vagy az adattárolási szabályzatait.

A rejtett kormányzati infrastruktúra: Amit a forráskód kiszivárgása felfed

A Persona infrastruktúrájának igazán zavaró aspektusa nem az, amit a vállalat nyilvánosan kommunikál, hanem inkább az, amit egy véletlenszerű konfigurációs hiba tárt fel. 2026 februárjában biztonsági kutatók felfedezték, hogy a Persona kormányzati platformjáról származó 53 megabájtnyi forráskód nyilvánosan hozzáférhető volt támadás vagy jogosulatlan hozzáférés nélkül. A Vite build rendszer nyilvánosan elérhetővé tette a forráskódtérképeket – ez egy tervezési hiba, amely a teljes belső architektúrát leleplezte.

Amit a kutatók találtak, felülmúlta a várakozásokat: 2456 forrásfájlt, amelyek 269 különböző ellenőrzést dokumentálnak. A FedRAMP által engedélyezett kormányzati infrastruktúrán, ONYX néven futó platform teljes modulokat tartalmaz a gyanús tevékenységekről szóló jelentések (SAR) közvetlen benyújtásához a FinCEN-hez, az Egyesült Államok Pénzügyminisztériumának pénzügyi nyomozó hálózatához, és annak kanadai megfelelőjéhez, a FINTRAC-hoz. Tartalmaz arcbiometriai adatbázisokat, amelyeket összevetik a figyelőlistákkal, PEP (politikailag exponált személyek) arcfelismerő modulokat és 13 különböző típusú nyomkövető listát, beleértve az arcokat, a böngésző ujjlenyomatait és a geolokációkat. A kód kifejezetten azt mutatja, hogy a biometrikus arcfelismerési listák akár 1095 napig – azaz három évig – is tárolhatók. Ezzel egyidejűleg egy új aldomain, az onyx.withpersona-gov.com jelenik meg a tanúsítványok átláthatósági naplóiban, amely időbelileg kapcsolódik a Fivecast ONYX eszközhöz – egy mesterséges intelligenciával működő megfigyelőeszközhöz, amelyet az ICE 4,2 millió dollárért rendelt meg, és amely kockázatértékeléseket generál a közösségi médiáról és a sötét webről. Hogy ez a névegybeesés véletlen egybeesés vagy strukturális kapcsolat, még nem bizonyított meggyőzően. Az viszont bizonyított, hogy a Persona kormányzati infrastruktúrája ugyanazon a technikai alapokon működik, mint a LinkedInt, a Redditet és az OpenAI-t működtető kereskedelmi infrastruktúra.

A FedRAMP és a Persona kettős szerepe

Egyetlen szempont, amely kevés figyelmet kap a nyilvános vitákban, a Persona FedRAMP tanúsítványa. A FedRAMP – a Szövetségi Kockázat- és Engedélyezési Kezelési Program – az Egyesült Államok rendszere a szövetségi ügynökségek felhőszolgáltatásainak biztonságának tanúsítására. 2025 októberében a Persona megszerezte a FedRAMP Low Impact Authorized tanúsítványt, és jó úton halad a FedRAMP Moderate Ready tanúsítvány felé. Ez azt jelenti, hogy a Persona mostantól akkreditált infrastruktúra-szolgáltató az Egyesült Államok szövetségi ügynökségei számára. A LinkedIn-felhasználókat ellenőrző kereskedelmi platform és a szövetségi ügynökségeknek személyazonosság-ellenőrzést végző kormányzati platform így ugyanazon ernyő alá tartozik – technikailag elkülönítve a telepítések révén, de jogilag és szervezetileg ugyanazon vállalati struktúra alá tartozik.

Az európai felhasználók számára ez kulcsfontosságú, mivel új szintre emeli a CLOUD Act kérdését. A CLOUD Act kötelezi az amerikai vállalatokat, hogy kérésre hozzáférést biztosítsanak az amerikai hatóságoknak – függetlenül a szerver helyétől. Egy olyan vállalat, amely egyidejűleg több millió felhasználó kereskedelmi biometrikus adatait dolgozza fel világszerte, és akkreditált infrastruktúra-szolgáltató az amerikai szövetségi ügynökségek számára, olyan kombinációt képvisel, ahol a kereskedelmi szolgáltatás és a kormányzati infrastruktúra közötti határok strukturálisan elmosódnak. Ez nem gyanú – ez az üzleti modell leírása.

Amit a felhasználóknak tudniuk és tenniük kell

A persona infrastruktúra megértése megváltoztatja azt, ahogyan egy látszólag egyszerű döntést értékelünk: Igazoljam-e a LinkedIn-profilomat? A profilmegtekintések 60 százalékos növekedése csábítóan hangzik. De a valódi kérdés az, hogy mi hasznom belőle? A válasz sokrétű.

Bárki, aki a Personán keresztül igazolja személyazonosságát a LinkedInen, a Redditen, az OpenAI-n vagy a Robloxon, biometrikus adatokat ad át egy amerikai vállalatnak, amely FedRAMP által tanúsított kormányzati infrastruktúra-szolgáltató, és amelyet Peter Thiel Alapító Alapja vezet, amelynek ugyanaz az alapító elnöke, mint a Palantirnak, és amelynek kiszivárgott forráskódja egy olyan megfigyelési infrastruktúrát tár fel, amely messze túlmutat az egyszerű személyazonosság-ellenőrzésen. Az EU-s lakosoknak a GDPR értelmében joguk van a hozzáféréshez, a törléshez és a kifogáshoz. A Personához intézett adattörlési kérelmeket közvetlenül a DSAR-on (Data Subject Access Request) keresztül lehet benyújtani – azonban számos felhasználó arról számolt be, hogy a Persona automatizált és homályos válaszokkal válaszol az ilyen kérésekre.

Maguk a platformok számára a Discord döntéséből adódó tanulság a készüléken történő adatfeldolgozás, mint szabvány, nem pedig kivétel. Az életkor-ellenőrzés nem feltétlenül jelenti azt, hogy a nyers biometrikus adatok egy amerikai szerverinfrastruktúrán haladnak át. Léteznek európai elektronikus személyazonosító rendszerek, nemzeti azonosító pénztárcák és decentralizált ellenőrzési architektúrák technikai alternatívákként. Az a tény, hogy ezeket nem használják, politikai és gazdasági döntés – nem pedig technikai szükségszerűség.

A strukturális kérdés: Ki építi az identitások internetét?

Ez a leltár nem ad válaszokat, hanem inkább egy egyre sürgetőbb kérdést vet fel: Kinek kellene irányítania az internet identitás-infrastruktúráját? 2026-ra a tényleges válasz egy San Franciscó-i magánvállalat lesz, amelyet Peter Thiel finanszíroz, és amely kettős szerepet tölt be: kereskedelmi KYC-szolgáltató és akkreditált amerikai kormányzati infrastruktúra. A LinkedIn 100 millió profilt ellenőrzött ebben a rendszerben. A Reddit brit, és hamarosan EU-szerte nyomás alatt ellenőrzi a korcsoportokat. A Roblox napi 151 millió felhasználót vet alá kötelező arcfelismerésnek. Az OpenAI biometrikus azonosítást igényel a világ legerősebb mesterséges intelligencia modelljeihez való hozzáféréshez.

Ez a koncentráció nem elkerülhetetlen. A gyenge szabályozói ellenőrzés és a nyilvános átláthatóság hiánya mellett meghozott piaci döntések eredménye. Az EU mesterséges intelligencia törvénye, a GDPR és az EU digitális csomagja biztosítja a jogi eszközöket e koncentráció szabályozásához és az európai alternatívák előmozdításához. Ami hiányzik, az a politikai akarat ezek érvényesítéséhez – és a köztudat tudatossága arról, hogy az, hogy ki kezeli a nyilvánosság megítélését, nem technikai részletkérdés, hanem a digitális kor demokratikus önrendelkezésének egyik központi kérdése.