Європейська комісія наклала на соціальну мережу X (колишній Twitter) штраф у розмірі 120 млн євро за порушення вимог регулювання Digital Services Act (DSA). У центрі претензій — система верифікації акаунтів, прозорість реклами та доступ дослідників до публічних даних, що безпосередньо впливають на рівень кібербезпеки та поширення дезінформації в ЄС.
Digital Services Act: посилені обов’язки для дуже великих онлайн-платформ
Digital Services Act, ухвалений у 2022 році, встановлює для дуже великих онлайн-платформ (VLOP) підвищені вимоги до управління системними ризиками. Йдеться не лише про протидію незаконному контенту, а й про зменшення впливу дезінформації, шахрайства та маніпуляцій громадською думкою.
DSA робить акцент на прозорості алгоритмів, рекламних систем та механізмів верифікації. Платформи повинні давати зрозумілу інформацію про те, хто стоїть за контентом і рекламою, як формується стрічка, а також не створювати хибне враження щодо статусу акаунтів.
Розслідування щодо X тривало близько двох років. Єврокомісія аналізувала, як платформа управляє поширенням шкідливого та незаконного контенту, ризиками інформаційних операцій та кібершахрайства. Попередні висновки були представлені компанії ще в липні 2024 року, після чого X отримала формальне рішення про штраф.
Верифікація акаунтів X: коли «синя галочка» вводить в оману
Платна підписка замість реальної перевірки особи
Основна претензія регулятора стосується моделі верифікації акаунтів із «синьою галочкою». За оцінкою Єврокомісії, X формує в користувачів уявлення про офіційну перевірку особи, хоча на практиці значок часто є ознакою платної підписки, а не результатом жорсткої ідентифікації.
DSA не зобов’язує платформи перевіряти особу кожного користувача. Однак акт забороняє подавати статус акаунта як підтвердження особи, якщо фактична верифікація не проводилась. Візуально однакові позначки для різних типів акаунтів у X, на думку регулятора, створюють плутанину та маскують комерційний характер «галочки» під нібито гарантовану автентичність.
Фішинг та імперсонація через статус «псевдоверифікованих» акаунтів
З позиції кібербезпеки така модель верифікації збільшує ефективність фішингу та імперсонації. Користувачі схильні більше довіряти акаунтам із помітним статусним маркером, що відкриває зловмисникам можливість видавати себе за відомі бренди, медіа, політиків чи експертів.
Практика інцидентів у соціальних мережах показує: повідомлення від нібито «верифікованих» профілів частіше спонукають до переходу за посиланнями, введення паролів або фінансових даних. Це підвищує ризики крадіжки облікових записів, поширення шкідливого ПЗ та таргетованих атак на організації й державні структури. Єврокомісія наголошує, що нинішня реалізація верифікації в X ускладнює оцінку справжності акаунтів і полегшує маскування атак під «авторитетні» джерела.
Непрозора рекламна бібліотека X та ризики прихованих кампаній впливу
Друга група порушень пов’язана з відсутністю належної прозорості реклами. DSA зобов’язує великі платформи підтримувати відкритий та зручний для аналізу репозиторій реклами, де можна побачити:
хто є замовником кампанії;
яку аудиторію таргетують;
які повідомлення та формати використано і в який період.
За висновками Єврокомісії, рекламна бібліотека X не відповідає цим стандартам: дані складно шукати, вони погано структуровані, а обробка запитів займає надто багато часу. Це суттєво ускладнює виявлення шахрайських рекламних кампаній, оманливої реклами та скоординованих інформаційних операцій, зокрема напередодні виборів або під час політичних криз.
З погляду кібербезпеки та інформаційної гігієни суспільства така непрозорість означає, що кампанії з дезінформації, маніпулятивний політичний таргетинг і кібершахрайські оголошення важче документувати та блокувати. Це стосується як роботи правоохоронних органів, так і незалежних дослідників, які аналізують екосистему загроз у соцмережах.
Обмежений доступ дослідників до даних: перешкода аналізу системних ризиків
Третя претензія Єврокомісії стосується створення X бар’єрів для дослідників, які працюють із публічними даними платформи. Йдеться про ускладнення доступу до інформації, що потрібна для оцінки системних ризиків — від бот-мереж і фабрик тролів до кампаній переслідувань та масових маніпуляцій.
Такі дані використовуються для виявлення скоординованої неавтентичної активності, фейкових акаунтів, атак на окремих осіб та організації. Обмеження доступу зменшує можливості науковців і громадських організацій своєчасно фіксувати нові тактики зловмисників та розробляти ефективні інструменти протидії.
DSA прямо передбачає, що дуже великі платформи мають забезпечувати «обґрунтований та пропорційний» доступ дослідників до публічних даних, якщо це необхідно для аналізу ризиків для користувачів і суспільства. На думку Єврокомісії, поточна політика X не відповідає цим вимогам.
Строки для виправлення порушень і можливі наслідки для X
Єврокомісія надала X 60 робочих днів для усунення порушень, пов’язаних із системою верифікації, і ще 90 днів — для розробки та подання планів щодо виправлення ситуації з рекламною базою та доступом до даних для дослідників.
Якщо платформа не виконає вимог у встановлений термін, регулятор може ввести додаткові періодичні штрафи. У перспективі це може призвести не лише до зростання фінансових санкцій, а й до жорсткішого регулювання присутності X на європейському ринку.
Історія зі штрафом X демонструє, що кібербезпека сьогодні не обмежується лише технічним захистом. Моделі верифікації, механізми націлення реклами та політика доступу до даних безпосередньо впливають на рівень шахрайства, фішингу та дезінформації. Користувачам має сенс критично ставитися до «значків довіри» в соцмережах, перевіряти джерела інформації та виявляти обережність під час переходу за посиланнями, навіть якщо повідомлення походить від формально «верифікованого» облікового запису. Організаціям варто враховувати ці ризики у своїх політиках безпеки, навчанні персоналу та моніторингу згадок бренду в соціальних мережах.
