Cloudflare Turnstile, najpopularniejsza dziś alternatywa Google reCAPTCHA, w ostatnim tygodniu zaczął wymagać aktywnego WebGL z pełnym, niemaskowalnym profilem renderowania. W praktyce antybot pobiera unikalne cechy karty graficznej, sterownika i konfiguracji przeglądarki, a wszystko bez wyraźnej zgody użytkownika. Tak powstaje odcisk palca przeglądarki, który identyfikuje konkretny komputer. Konkurencyjny dostawca Friendly Captcha 1 czerwca 2026 opublikował analizę z pięcioma konkretnymi zarzutami wobec zgodności Turnstile z RODO. Każdy, kto ma Turnstile wstawiony na swojej stronie, ma teraz w rękach konkretne pytanie regulacyjne. Zwłaszcza w kontekście obowiązków AI Act dla polskich firm od sierpnia 2026, które dodają kolejną warstwę regulacyjną.
Co dokładnie zmienił Cloudflare
Sygnał płynie z testu opublikowanego przez niezależnego badacza prywatności na blogu hacktivis.me. Pokazuje on, że Turnstile wymaga teraz aktywnego WebGL renderera, a na dodatek odrzuca przeglądarki maskujące parametry karty graficznej. Dla zwykłego użytkownika konsekwencje są dwie. Jeśli zablokujesz WebGL w ustawieniach przeglądarki dla prywatności, capcha cię nie przepuści. Jeśli z kolei używasz wzmocnionych ustawień Firefoxa albo przeglądarek typu Brave w trybie strict, możesz dostać pętlę “nie jestem robotem” bez końca.
Sam mechanizm pobierania odcisku palca przeglądarki działa publicznie od 2014 roku. WebGL Renderer Info ujawnia model karty graficznej oraz sterownik. Dlatego w połączeniu z kilkoma innymi sygnałami (system, wersja przeglądarki, rozdzielczość) wystarczy to do identyfikacji pojedynczego urządzenia. EDPB w wytycznych 2/2023 wyraźnie wskazuje, że odcisk palca w celach innych niż ściśle niezbędne wymaga zgody na podstawie RODO. Cloudflare argumentuje natomiast, że to mechanizm bezpieczeństwa, więc mieści się w wyjątku. Krytycy odpowiadają, że to definicyjny żart – ten sam mechanizm wykrywania, który chroni przed botami, identyfikuje też zwykłych użytkowników bez ograniczeń.
Pięć zarzutów GDPR, które wypłynęły dziś
Friendly Captcha, europejski konkurent Cloudflare w segmencie antybotów, opublikował 1 czerwca 2026 analizę z pięcioma konkretnymi punktami sporu. Nie jest to akademicka opinia, tylko stanowisko dostawcy, który zarabia na compliance, a więc ma w tym jasny interes. Mimo to argumentacja jest twarda, dlatego warto ją odnotować.
Przejrzystość. Cloudflare, według Friendly Captcha, nie podaje precyzyjnej listy sygnałów, które przetwarza Turnstile, ani czasu retencji, ani dokładnego celu poza ogólnym “wykrywaniem botów”. W efekcie operator strony nie ma czym wypełnić swojego obowiązku informacyjnego z artykułu 13 RODO.
Brak dedykowanej polityki prywatności. Cloudflare odsyła bowiem użytkownika i operatora do ogólnej polityki cookies, zamiast publikować osobny dokument dla Turnstile. W efekcie ocena compliance robi się trudniejsza, a składanie całości w jedno spada na barki właściciela sklepu.
Pobieranie odcisku palca przez WebGL bez wyraźnego ujawnienia. Friendly Captcha cytuje analizę pokazującą, że Turnstile pobiera dane GPU mimo braku wzmianki o tym w dostępnej dokumentacji. Z perspektywy EDPB Guidelines 2/2023 stanowi to potencjalny problem.
Odpowiedzialność. Cloudflare w dokumentach prawnych pisze wprost, że operator strony odpowiada w pełni za zgodność całego workflow. Innymi słowy, sklep z Turnstile na froncie nie powie regulatorowi “Cloudflare za to odpowiada”. Ten model umywania rąk jest legalnie skuteczny, jednak biznesowo problematyczny.
Transfer danych. Cloudflare ma serwery w UE i poza nią. Po wyroku Schrems II w TSUE każdy transfer danych osobowych do USA wymaga dodatkowych gwarancji. Dla operatora używającego Turnstile bez konfiguracji “data localization” nie jest jasne, gdzie konkretnie trafiają odciski palca użytkowników z Polski. To pytanie, na które przyjdzie odpowiedzieć w razie kontroli UODO.
Pierwsza Misja AI · Kodożercy
Rozumiesz zagrożenia AI, gdy rozumiesz jak naprawdę działa
Kurs Pierwsza Misja AI ma dedykowaną lekcję o ciemnej stronie AI: halucynacje, deepfakes, manipulacja. Zanim zaczniesz się bać – zacznij rozumieć.
Poznaj pełny program →
Cztery konkretne rzeczy do sprawdzenia w tym tygodniu
Warto najpierw sprawdzić, czy administrator twojej strony ma w ogóle świadomość, że Cloudflare zmienił domyślne zachowanie Turnstile. Bo dla większości polskich e-commerce decyzja “stawiamy antybota” zapadła kiedyś, pewnie po jakimś ataku spamu, a potem nikt już nie wracał do tematu. Tymczasem polityka dostawcy zmienia się i dlatego trzeba ją okresowo audytować.
Kolejna kwestia to obowiązek informacyjny. Jeśli strona zbiera dane fingerprintingowe przez Turnstile, polityka prywatności powinna to opisywać. Generyczne “używamy cookies do celów bezpieczeństwa” nie wystarcza, gdy realnie zbiera się odcisk palca GPU. UODO w ostatnich latach wymierzało kary za znacznie mniej oczywiste naruszenia obowiązku informacyjnego.
Dalej są alternatywy. Na rynku istnieją dostawcy antybotów reklamujący się jako GDPR-friendly z definicji – Friendly Captcha (DE), hCaptcha w trybie enterprise z data residency w EU, mCaptcha (open source), Altcha. Migracja capchy nie jest projektem na pół godziny, ale też nie jest projektem na pół roku. Dla średniego sklepu to dwa-trzy dni roboty wraz z testami. Pytanie biznesowe brzmi, czy ryzyko regulacyjne uzasadnia ten koszt.
Na koniec warto popatrzeć szerzej. Jeśli regulator europejski naprawdę chce egzekwować EDPB Guidelines 2/2023 wobec dużych dostawców, Cloudflare nie będzie pierwszym ani jedynym. Google, Microsoft, Amazon – wszyscy używają technik zbliżonych do pobierania odcisku palca przez WebGL w swoich produktach antybotowych. Dlatego sprawa Turnstile może być sygnałem szerszego ruchu, a nie pojedynczym incydentem.
Podsumowanie
Cloudflare Turnstile zaczął wymagać niemaskowalnego WebGL i w ten sposób stał się punktem zapalnym debaty o granicach fingerprintingu pod RODO. Friendly Captcha, konkurent zarabiający na compliance, ma w tej krytyce interes, ale jego pięć zarzutów to konkretne punkty, na które operatorzy stron powinni mieć odpowiedź. Najuczciwszy ruch dziś dla każdego, kto trzyma Turnstile na froncie, to przejrzeć politykę prywatności, sprawdzić ustawienia data residency u Cloudflare i dopisać sprawę do listy audytu w tym kwartale. Capcha nadal bowiem działa, a większość użytkowników nigdy nie zauważy WebGL profilingu. Natomiast jeden UODO-wski wniosek o wyjaśnienia kosztuje więcej niż dwa dni migracji do alternatywy.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.
