Beskedet landade hos ett enda bolag
Den 16 juli 2026 öppnade Ofcom, den brittiska kommunikationsmyndigheten, en formell utredning av de ålderskontrollåtgärder som TikTok Information Technologies UK Ltd använder. Skyldigheten det gäller är section 12 i Online Safety Act 2023, och de skyldigheterna har gällt sedan den 25 juli 2025. En namngiven enhet, en namngiven lagbestämmelse, en myndighet som har bestämt att den informella fasen är över.
Den högsta sanktionen enligt lagen är GBP 18 miljoner eller 10% av den relevanta globala omsättningen, beroende på vilket som är högst. För ett bolag av TikToks storlek är det det andra ledet som räknas, och det första - ungefär EUR 21 miljoner till dagens kurs - är snarare ett golv än ett tak. Ofcom har uppgett att bevisinsamlingen tar minst tre månader och att en uppdatering kommer i oktober 2026.
Läst som en nyhet är detta en plattform under granskning. Läst som en signal är det betydligt bredare, på grund av vad Ofcom valde att ifrågasätta.
Det är metoden som prövas
Ofcoms invändning är inte att TikTok inte gjort någonting. Den är att TikTok förlitar sig på åldersuppskattning - att härleda en användares ålder ur beteende- och profilsignaler som användaren redan sänder ut - i stället för åldersverifiering. Åldersuppskattning finns uttryckligen inte med i Ofcoms vägledning som en metod som kan vara mycket effektiv för ålderskontroll.
Den skillnaden är hela ärendet, och den stannar inte vid ett bolag. En myndighet som öppnar en utredning på premissen att en teknik faller utanför dess egen lista över godtagbara metoder har varnat tekniken själv, inte bara dess mest synliga användare. Varje operatör av en tjänst riktad mot Storbritannien som valde uppskattning bär samma exponering, fast utan rubriken.
Det obekväma för en styrelse är att uppskattning inte ser ut som en lucka. Den ser ut som en kontroll. Den producerar en ålder, den loggar ett beslut, och i ett efterlevnadsunderlag kan den beskrivas som en ålderskontroll. Myndighetens hållning är att beskrivningen inte gör den till en.
Uppskattning valdes för att den inte frågar
Uppskattning blev standard av ett kommersiellt skäl, inte ett tekniskt. Den kräver ingen uppladdning av handling, skapar inget bortfall vid registrering och utlöser inget samtal om biometriskt samtycke som måste förklaras för användare eller för ett dataskyddsombud. Det är den ålderskontroll som inte kostar något högst upp i tratten.
Det är precis där problemet ligger. Den egenskap som gjorde uppskattning attraktiv är den egenskap som gör den otillräcklig: den fungerar genom att inte fråga. En metod byggd för att undvika friktion är per konstruktion en metod byggd för att undvika ögonblicket då en användare påstår något kontrollerbart. Ofcoms vägledning erkänner metoder som skapar det ögonblicket. Uppskattning är utformad för att hoppa över det.
Det kommersiella och det regulatoriska argumentet pekar alltså åt olika håll, och varje operatör som gjorde den avvägningen 2025 gjorde den innan myndigheten visade sina kort. Det är inte ett omdömesfel. Det är en ståndpunkt som nu måste omprövas på pränt.
Kringgåendefällan
Andra halvan av exponeringen kom samma dag, från samma myndighet. Ofcom publicerade den 16 juli 2026 en undersökning som visar att den dagliga VPN-användningen i Storbritannien ungefär har fördubblats sedan ålderskontrollskyldigheterna trädde i kraft: omkring 2,2 miljoner dagliga användare, upp från omkring 1,2 miljoner före den 25 juli 2025. Användarna går runt kontrollerna i ungefär dubbelt så hög takt som tidigare.
Storbritanniens teknikminister Liz Kendall sade att VPN-tjänster varken kommer att åldersspärras eller förbjudas, och att bördan att stoppa kringgående ligger hos plattformarna. Det är ett sammanhängande politiskt val. För en operatör är det samtidigt svårt att ta in: verktyget som används för att slå ut din åldersspärr ligger utanför räckhåll, och du svarar för utfallet ändå.
Lägger man ihop de två halvorna blir efterlevnadsläget skarpare än det först låter. En plattform kan bli ansvarig för en kringgåendegrad den inte styr, med en verifieringsmetod som den kanske inte får förlita sig på. Det är inte vad meningen "vi har lagt till en ålderskontroll" antyder när den dyker upp i ett styrelseunderlag.
Vad som omfattas och vad som inte gör det
Detta är brittisk rätt. Det är UK Online Safety Act 2023, tillämpad av en brittisk myndighet, och den gäller inte i EU. EU:s eget arbete med barnskydd och åldersverifiering går på ett separat spår, och inget i TikTok-utredningen ändrar den rättsliga ställningen för en operatör som bara verkar inom EU.
Det tillämpningsområde som biter är territoriellt, inte bolagsrättsligt. En operatör etablerad var som helst i EU som betjänar brittiska användare omfattas av den brittiska ordningen oavsett var den är registrerad. Och kategorin är bredare än sociala plattformar: alkohol, spel, kosmetik, knivar, finans, dejting och gaming för alla in åldersbegränsat innehåll, produkter eller funktioner på den brittiska marknaden. Vår läsning, framförd som läsning och inte som lag, är att färdriktningen delas på båda sidor om Engelska kanalen, och att uppskattningsbaserad ålderskontroll är den metod som mest sannolikt prövas först.
Åtgärden är smal och konkret. Ta reda på vilken metod för ålderskontroll er tjänst faktiskt vilar på i dag, och om den är en som Ofcoms vägledning erkänner som möjlig att göra mycket effektiv. "Vi har en åldersspärr" är inget svar på den frågan. Ställ den till ert produktteam före Ofcoms uppdatering i oktober 2026, för efter det datumet upphör svaret att vara en planeringsfråga.
Läs vidare: EU skriver om GDPR | Tyskland har nu en utpekad AI-tillsynsmyndighet



