Nach Darstellung von Incode sind weltweit inzwischen mehr als 30 Gesetze zur Altersabsicherung in Kraft. Im Vereinigten Königreich wird die Pflicht zu „hochwirksamen“ Alterskontrollen aus dem Online Safety Act durchgesetzt; Einschränkungen für den Zugang von unter 16-Jährigen zu sozialen Medien sind für das Frühjahr 2027 vorgesehen. In Australien traten Regeln für unter 16-Jährige im Dezember in Kraft, und die Regierung hat signalisiert, die Höchststrafen nach frühen Wellen der Nichtbefolgung auf 99 Millionen Dollar verdoppeln zu wollen. In Brasilien wurde der Digital ECA im März 2026 durchsetzbar, und inzwischen verlangt laut Text etwa die Hälfte der US-Bundesstaaten irgendeine Form der Altersverifikation.
Als praktikablen Weg zur Einhaltung solcher Vorgaben beschreibt Incode die Gesichtsschätzung des Alters. Das Verfahren komme ohne amtlichen Ausweis und ohne Datenbankabfrage aus und sei deshalb für Nutzer aller Altersgruppen geeignet, auch für Menschen ohne Dokumente. Nach Incode-Daten entscheiden sich Nutzer in regulierten Märkten in acht von zehn Fällen für diese Methode statt für andere Verfahren der Altersabsicherung.
Zugleich betont das Unternehmen, dass gerade das Gesicht zu den sensibelsten Daten gehört. Bisher hätten nahezu alle Implementierungen nach demselben Muster funktioniert: Gesicht erfassen, an einen Server senden und dort die Schätzung ausführen. Warum das problematisch sei, begründet Incode unter anderem mit Zahlen des Identity Theft Resource Center. Dessen Jahresbericht zu Datenpannen 2025 verzeichnete für die USA im Vorjahr 3.322 Datenkompromittierungen, einen Höchststand und einen Anstieg um 79 Prozent innerhalb von fünf Jahren; Verstöße in der Lieferkette hätten sich im selben Zeitraum verdoppelt. Dieselbe Organisation stellte laut Text zudem fest, dass 63 Prozent der Verbraucher ernste Bedenken gegenüber der Erfassung biometrischer Daten geäußert haben.
Hinzu komme eine wachsende Bedrohung durch KI-gestützten Betrug. Über mehr als 7 Milliarden Identitätsprüfungen auf seiner Plattform hinweg beobachtet Incode nach eigenen Angaben einen Anstieg sogenannter agentischer Betrugsversuche, also mit Hilfe von KI-Agenten ausgeführter Angriffe. 2024 hätten sie 3 Prozent der Betrugsversuche ausgemacht, im ersten Quartal 2026 bereits 40 Prozent. Incode schätzt, dass der Anteil innerhalb der nächsten 18 Monate 90 Prozent überschreiten wird.
Die nun veröffentlichte Funktion On-Device Age Estimation soll genau an diesem Punkt ansetzen. Zwei Incode-Modelle laufen direkt auf dem Gerät des Nutzers: die Gesichtsaltersschätzung und eine passive Lebenderkennung, die prüfen soll, ob sich eine reale lebende Person und nicht ein Foto, ein Deepfake oder ein wiedergegebenes Video vor der Kamera befindet. Das Gesicht werde lokal analysiert und weder übertragen noch gespeichert. Wenn die Prüfung aus irgendeinem Grund nicht abgeschlossen werden kann, bietet die Plattform dem Nutzer laut Incode automatisch eine andere vom Plattformbetreiber gewählte Verifikationsmethode an.
Damit die Modelle auf gewöhnlichen Geräten laufen können, hat Incode sie nach eigenen Angaben auf etwa ein Zehntel ihrer ursprünglichen Größe komprimiert. Zum Einsatz komme dabei Wissensdestillation, also das Trainieren eines kompakten Modells auf die Urteile eines größeren und genaueren Modells. Die resultierenden Modelle seien klein genug für normale Browser oder Apps und benötigten keine spezielle Hardware.
Vollständig ohne Serverlogik kommt das System allerdings nicht aus. Was das Gerät allein nicht sicher ausschließen könne, sei eine Manipulation der Sitzung selbst, etwa ein eingeschleustes Kamerasignal oder ein manipuliertes Gerät. Deshalb analysiert eine serverseitige Schicht Sitzungsmetadaten, also wann und wie die Sitzung stattfand sowie Merkmale von Gerät und Verbindung, um Einschleusungsangriffe und Manipulationen zu erkennen. Diese Daten enthielten laut Incode keine Gesichts- oder biometrischen Informationen und dienten ausschließlich der Betrugserkennung und Sitzungsintegrität.
Für die Abwehr solcher Angriffe verweist das Unternehmen auf Erfahrungen aus stark angegriffenen Umgebungen wie Banken, Fintechs und dem Gesundheitswesen. Die Sicherheitskomponente erreiche 99 Prozent Erkennung von Täuschungsversuchen über Deepfakes, Injektionsangriffe, Wiederholungsangriffe und physische Täuschung. Derselbe Standard werde von acht der zehn größten US-Banken genutzt. 2026 habe Incode auf seiner Plattform mehr als 1 Million Angriffe auf Gesichtssysteme markiert.
Flankiert wird die Produktankündigung von einem Ausbau der Unternehmensstrategie. Im vergangenen Monat kündigte Incode eine Investition von 100 Millionen Dollar in datenschutzwahrende Identitätsinfrastruktur an und zugleich die Übernahme von Identiq, einem Anbieter kryptografischer Lösungen für datenschutzfreundliche Zusammenarbeit bei der Betrugsabwehr zwischen Organisationen. Identiq habe über fast ein Jahrzehnt und mit mehr als 50 Millionen Dollar eine patentierte Technik entwickelt, mit der Unternehmen Betrugssignale austauschen können, ohne Kundendaten einer dritten Partei offenzulegen. Incode will diese Technologie in seine Plattform integrieren und spricht von einer perspektivischen Reichweite von Milliarden Verifikationen pro Jahr.
