← Blog

Zašto europska AI aplikacija EUStella nije tako europska kako zvuči

Zašto europska AI aplikacija EUStella nije tako europska kako zvuči

TL;DR: Ta europska AI aplikacija EUStella obećava suverenitet podataka, ali usmjerava korisnike kroz američku infrastrukturu — putem Google i Apple društvene prijave te RevenueCata za upravljanje pretplatama: odluke o proizvodu, ne tehnička ograničenja. CLOUD Act omogućuje američkim vlastima da prisile američke tvrtke da predaju podatke bez obzira na lokaciju poslužitelja, a transatlantski Data Privacy Framework prijeti kolapsom nakon što je Trumpova administracija ispraznila nadzorna tijela. Za korisnike koji su odabrali EUStella upravo kako bi izbjegli američku obradu podataka, oznaka «europska» opisuje težnju više nego arhitekturu.

Ta europska AI aplikacija EUStella prodaje se na jednostavnom obećanju: vaši podaci ostaju u Europi, daleko od američkog zakona o nadzoru i korporativnih ekosustava koji ga hrane. To obećanje privlači upravo one korisnike koji su postali skeptični prema velikim američkim platformama. No bliži pogled na podprocesore iza aplikacije otkriva značajnu odluku o proizvodu: opcije društvene prijave koje usmjeravaju podatke kroz američku infrastrukturu identiteta i upravljanje pretplatama putem RevenueCata, tvrtke iz San Francisca. Oboje su izbori, ne ograničenja. Oboje su tvrtke sa sjedištem u SAD-u. Oznaka «europska» pokazuje se opisivati težnju više nego arhitekturu.

Ovaj vodič ispituje kamo korisnički podaci stvarno putuju, zašto lokacija poslužitelja sama po sebi ne znači suverenitet i postoje li europske alternative koje EUStellina vlastita dokumentacija odbacuje kao nedostupne. Odgovori su posebno važni svima koji su odabrali ovu aplikaciju jer ne vjeruju američkoj obradi podataka.

EUStellino europsko obećanje

Ta europska AI aplikacija EUStella, koju razvija bečki startup AI Newsrooms Technology GmbH, pozicionira se kao alternativa dominantnim američkim AI platformama i predstavlja aplikaciju kao suputnika izgrađenog s europskim vrijednostima — poruka koja odjekuje kod korisnika koji oklijevaju povjeriti svoje podatke Silicijskoj dolini.

Marketing vs. sitna slova

Javna priča je jednostavna: europska tvrtka, europska infrastruktura i Opća uredba o zaštiti podataka (GDPR) ugrađeni od početka. To okvir privlači korisnike svjesne privatnosti koji koriste geografiju kao zamjenu za sigurnost. Stranica podprocesora priča složeniju priču.

Što stranica podprocesora stvarno kaže

EUStellino otkrivanje podprocesora, zadnje ažurirano 22. lipnja 2026., otvara se obvezom transparentnosti jasnim jezikom, a ne pravnim žargonom.[1] Tvrtka obećava objasniti, za svakog pružatelja izvan EU-a, zašto «stvarno ne postoji europska alternativa koja može obaviti isti posao.» Tu frazu vrijedi imati na umu dok čitate stvarni popis. Ključne točke stranice su:

  • Podprocesori djeluju prema EUStellinim uputama i ne mogu samostalno koristiti vaše podatke.

  • Članak 28 GDPR-a zahtijeva otkrivanje svih vanjskih procesora.

  • Pružatelji izvan EU-a navedeni su s obrazloženjima za njihovu upotrebu.

  • Popis se ažurira kada se podprocesori dodaju ili značajno mijenjaju.

  • Namijenjeni Business to Business (B2B) klijenti djeluju pod zasebnim, individualno pregovorenim uvjetima.

Ono što stranica ne skriva jest da je nekoliko tih podprocesora američkih tvrtki — i tu europsko obećanje postaje komplicirano.

Američke usluge iza europske fasade

EUStellin popis podprocesora transparentan je o nečemu što ide u suprotnost s osnovnim marketingom proizvoda. Dvije od navedenih usluga trećih strana američke su tvrtke koje upravljaju osjetljivim točkama kontakta s podacima: društvena prijava i upravljanje pretplatama.[1]

Nuditi Sign in with Google i Apple

EUStella koristi Firebase Authentication, ali samo za jedan specifičan put: prijavu Google računom. Ako se registrirate e-poštom i lozinkom, Firebase nikad nije uključen. To je važna nijansa koju njihova stranica podprocesora ispravno opisuje.

No to postavlja drugo pitanje. Ako je EUStella istinski posvećena europskom suverenitetu podataka, zašto uopće nudi Sign in with Google i Sign in with Apple? To je prvo što vide novi korisnici. Obje opcije usmjeravaju vašu prijavu kroz američku infrastrukturu identiteta by design. To nije tehničko ograničenje. To je odluka o proizvodu. Odabrali su dodati te gumbe, znajući da svaki korisnik koji ih dodirne šalje podatke autentifikacije na Google ili Apple poslužitelje.

Kontraargument je praktičnost: društvena prijava smanjuje trenje i poboljšava konverziju. Možda je to istina. Ali to je poslovni kompromis, ne nužnost. Proizvod koji prodaje europske vrijednosti korisnicima svjesnima privatnosti aktivno gura prema američkoj infrastrukturi podataka. Europske alternative autentifikacije rukuju e-poštom, passkeysima i društvenom prijavom bez ovisnosti o SAD-u. Zadržavanje Google i Apple prijave je izbor — i ne pristaje uz poruku o suverenitetu.

RevenueCat za upravljanje pretplatama

Upravljanje pretplatama ide kroz RevenueCat, tvrtku sa sjedištem u San Franciscu. Kada aplikacija mora provjeriti je li vaša pretplata aktivna, potvrditi kupnju kod Applea ili Googlea ili otključati prave značajke za vaš račun, ta logika teče kroz američki komercijalni entitet. Stvarna obrada plaćanja nalazi se jedan sloj iznad RevenueCata: na mobitelu Apple i Google prikupljaju podatke kartice i djeluju kao merchant of record. RevenueCat nikad ne vidi broj vaše kartice. Ono što prima jest pseudonimni korisnički identifikator, vrsta uređaja, status pretplate i podaci o potvrdi kupnje.[1] To su i dalje podaci u američkim rukama i i dalje padaju pod američku pravnu nadležnost.

EUStellina stranica podprocesora procijenila je Adapty i Qonversion kao alternative i ispravno primijetila da su obje registrirane u Delawaru. No ta procjena sužava problem preusko. Pitanje nije postoji li europski klon RevenueCata; pitanje je treba li EUStella uopće SDK za pretplate. Od 2026. Digital Markets Act (DMA) zahtijeva da Apple i Google dopuste aplikacijama da usmjere korisnike na vanjske stranice plaćanja, potpuno zaobilazeći in-app checkout. Korisnik dodirne link, plati putem europskog procesora na web stranici, a aplikacija dodijeli odgovarajuće pravo. Bez RevenueCata, bez američke tvrtke u lancu. Taj put postoji — EUStella ga nije uzeo.

Zašto je to važno: američki zakoni o pristupu podacima

Američki CLOUD Act objašnjen

Clarifying Lawful Overseas Use of Data (CLOUD) Act, donesen 2018., daje američkim vlastima mogućnost da prisile američke tvrtke da predaju podatke koje kontroliraju, bez obzira gdje su fizički pohranjeni.[3] Ta razlika je važna. Podaci na europskom poslužitelju, ali upravljani tvrtkom sa sjedištem u SAD-u, i dalje su dostupni valjanim pravnim nalogom. Kada vaši identifikatori autentifikacije prolaze kroz Firebase ili vaša povijest pretplata je kod RevenueCata — oboje upravljaju američki entiteti — ti zapisi ulaze u taj pravni doseg.

Politička neizvjesnost i Trumpova administracija

Transatlantski okvir podataka koji trenutačno dopušta prijenose između EU-a i SAD-a politički je sporazum, ne trajna činjenica. Njegova dva prethodnika, Safe Harbor i Privacy Shield, ukinuli su europski sudovi. Trenutačni Data Privacy Framework (DPF) već pokazuje iste pukotine.

U siječnju 2025. Trumpova administracija otpustila je demokratske članove i Data Protection Review Courta (DPRC) i Privacy and Civil Liberties Oversight Boarda (PCLOB) — dva tijela na koja se europski korisnici oslanjaju za pravni lijek ako američke obavještajne službe loše postupaju s njihovim podacima. PCLOB imenuje članove DPRC-a; isprazniti oba odjednom ostavilo je cijeli nadzorni lanac bez kvoruma i učinkovito paraliziranim. Također je izvršnoj vlasti dala izravnu kontrolu nad institucijama koje EU adequacy zakon zahtijeva da budu neovisne.[5]

Zatim, u lipnju 2026., Vrhovni sud SAD-a presudio je u Trump v. Slaughter da su zakonske zaštite protiv opoziva članova Federal Trade Commission (FTC) neustavne. FTC je jedno od ključnih nadzornih tijela na koja se oslanja DPF, a EU zakon izričito zahtijeva neovisna tijela za zaštitu podataka. U roku od nekoliko dana NOYB je pozvao Europsku komisiju da ukine DPF kao nevažeći i najavio tužbu za njegovo poništenje.[5]

DPF možda već živi na kredit. Ako bude ukinut, sve Standard Contractual Clause aranžmane koje je EUStella postavila za svoje američke podprocesore trebalo bi ponovno procijeniti, a pravna osnova tih prijenosa podataka bila bi upitna. Za korisnike koji biraju AI aplikaciju upravo zato što ne vjeruju velikim američkim platformama, usmjeravanje bilo kakvih podataka kroz američke tvrtke ponovno uvodi upravo onu izloženost kojoj su pokušavali izbjeći.

Europske alternative koje postoje danas

EUStellina stranica podprocesora tvrdi da «stvarno ne postoji europska alternativa» za neke od njenih američkih usluga.[1] Ta tvrdnja zaslužuje provjeru, jer funkcionalno tržište europskih alata pokriva upravo ove kategorije.

Opcije autentifikacije

BetterAuth je open source biblioteka autentifikacije koja može raditi u cijelosti na infrastrukturi koju developer kontrolira. Hanko nudi self-hosted verziju i cloud opciju s europskom rezidencijom podataka. Zitadel je još jedan open source identity provider izgrađen za self-hosting i cloud opcije, bez obveze usmjeravanja podataka prijave kroz američki sustav. Sva tri rukuju standardnim tijekovima autentifikacije koje bi potrebna bila potrošačka AI aplikacija.

Opcije obrade plaćanja

Slika je nijansiranija nego što EUStellina stranica podprocesora sugerira. Procijenili su Adapty i Qonversion kao alternative RevenueCatu i utvrdili da su obje registrirane u Delawaru. To istraživanje čini se točnim: sredinom 2026. nijedna tvrtka sa sjedištem u EU-u ne nudi production-ready cross-platform mobilni subscription SDK s ekvivalentnim skupom značajki.[1]

No važnije pitanje je je li usmjeravanje pretplata kroz američku tvrtku uopće neizbježno. Od 2026. nije. Digital Markets Act (DMA) sada zahtijeva da Apple i Google dopuste aplikacijama da usmjere korisnike na vanjske stranice plaćanja, potpuno izvan checkout toka App Storea ili Play Storea. Developer može usmjeriti korisnika na web stranicu, naplatiti putem europskog procesora i dodijeliti odgovarajuće pravo u aplikaciji. Bez RevenueCata, bez američkog subscription SDK-a.

Europski procesori plaćanja koji pokrivaju ovaj use case dostupni su i production-ready. Mollie, sa sjedištem u Nizozemskoj, upravlja pretplatama i ponavljajućom naplatom diljem Europe. Frisbii i Stancer dodatne su europske opcije za upravljanje pretplatama. Nijedna ne uključuje ugovorni odnos s američkim matičnim društvom. Da EUStella ponudi web-based tijek pretplate putem jednog od tih procesora, korisnici kojima je važan suverenitet podataka imali bi stvarnu opciju. Ta opcija trenutačno ne postoji u proizvodu.

Pronalaženje suverene infrastrukture

DentroChat održava javni resurs awesome-eu-infra, koji katalogizira europske opcije infrastrukture prema razini suvereniteta. Razlika je važna: neke usluge imaju europsko sjedište, ali koriste američke cloud regije, dok druge nude pravi suverenitet podataka bez američkog korporativnog vlasništva u lancu. Developeri koji grade Europe-first proizvode imaju praktičnu referencu za razumijevanje tih razlika. Alternative postoje. Njihova upotreba odluka je o proizvodu, ne tehnička nemogućnost.

Problem App Storea i Play Storea

Postoji područje gdje je EUStellina ovisnost o SAD-u stvarno teško izbjeći: distribucija. Objavljivanje u Apple App Storeu i Google Playu znači prihvaćanje tih platformi kao gatekeepera — obje američke tvrtke. To je stvarno ograničenje.

Na Androidu je ograničenje blaže nego što izgleda. Trgovine aplikacija trećih strana legitimni su kanal distribucije, a neke su puno prijateljskije prema suverenitetu od Google Playa. F-Droid je najuspostavljenija opcija: besplatno open source spremište Android aplikacija bez Google računa i bez infrastrukture praćenja. Aptoide, sa sjedištem u Lisabonu, europska je alternativa s velikim katalogom. Nijedna ne zamjenjuje doseg Play Storea — ali za proizvod usmjeren prema Europljanima svjesnima privatnosti, listing na F-Droidu ili Aptoideu bio bi vjerodostojan signal. EUStella trenutačno ne nudi nijedan.

iOS je teži problem. Apple održava strogi monopol instalacije aplikacija na svojim uređajima na većini tržišta, a čak i DMA odredbe o sideloadingu primjenjuju se samo unutar EU-a i dolaze s trenjem koje je Apple namjerno ugradio. Za sada je svaka iPhone aplikacija nužno App Store aplikacija. To je stvarno ograničenje, ne EUStellin izbor.

Pravna jamstva nisu suverenitet podataka

Granice ugovorne zaštite

Standard Contractual Clauses (SCCs) predlošci su ugovora odobreni od Europske komisije koji pravno zahtijevaju od američkih procesora da obrađuju EU osobne podatke prema standardima ekvivalentnim GDPR-u.[4] EUStellina dokumentacija podprocesora oslanja se na SCCs za američke pružatelje.[1] Problem je što su SCCs ugovorne obveze, ne tehničke barijere. Obvezuju ponašanje tvrtke na papiru, ali ne mogu nadjačati američki sudski nalog koji prisiljava tvrtku da preda podatke. Podaci i dalje putuju u američku infrastrukturu. Pravna izloženost ostaje.

Kako izgleda potpuni europski suverenitet podataka

Potpuni suverenitet podataka znači da korisnički podaci nikad ne ulaze u jurisdikciju gdje vrijedi američki zakon o nadzoru — ne zato što ugovor kaže da će pružatelj otporiti, nego zato što infrastruktura fizički ne može biti dosegnuta tom vlasti. To zahtijeva europsko vlasništvo i europsko upravljanje end-to-end, uključujući autentifikaciju i naplatu. To je viša letvica od GDPR usklađenosti — i to je letvica koju branding « europska AI » implicitno postavlja. Ugovori štite od zlouporabe. Arhitektura štiti od prisilnog otkrivanja.

Presuda: europska AI aplikacija EUStella

Ta europska AI aplikacija EUStella usklađena je s GDPR-om i izgradio ju je tim koji očito razmišlja o privatnosti. Branding ipak postavlja specifično očekivanje: da vaši podaci ostanu potpuno izvan američkog dosega. Stranica podprocesora transparentna je, pravna dokumentacija detaljna, a namjera djeluje iskreno. No GDPR usklađenost i suverenitet podataka nisu isto, a marketing proizvoda ih miješa.

Ako ste odabrali ovu aplikaciju jer ste htjeli da vaši podaci ostanu potpuno izvan američkog pravnog dosega, arhitektura to ne isporučuje — bez obzira što branding kaže.

Europske alternative za autentifikaciju i obradu plaćanja postoje i rade. Dok EUStella ne zamijeni svoje američke podprocesore stvarno europskim, iskren opis jest aplikacija usmjerena na privatnost izgrađena na djelomično američkoj infrastrukturi.

Reference

  1. Sub-Processors - eustella (eustella.com)

  2. firebase.google.com

  3. aws.amazon.com

  4. www.top.legal