23 de junho de 2026
A proposta do governo do Reino Unido de proibir o uso de redes sociais por menores de 16 anos trouxe a questão da verificação de idade de volta às manchetes.
Quando os requisitos de verificação de idade previstos na Lei de Segurança Online entraram em vigor em 25 de julho de 2025, a intenção era clara e justificável: as crianças deveriam estar mais bem protegidas contra experiências prejudiciais na internet.
Mas a implementação também destacou um desafio que agora está no centro da questão da confiança digital: quando surgem verificações de idade, as formas de contorná-las não demoram a aparecer.
Proton VPN relatou que as inscrições no Reino Unido dispararam cerca de 1.400% com a entrada em vigor das novas regras; a NordVPN registrou um aumento de cerca de 1.000%. Dados da Ofcom mostraram que o uso diário de VPNs no Reino Unido mais que dobrou, chegando a 1,4 milhão de usuários, antes de se estabilizar em cerca de 900 mil — um nível de referência significativamente elevado.
O uso do Tor tem apresentado um padrão semelhante em outros mercados onde a verificação de idade ganhou importância na agenda política; os dados da Austrália, após a implementação de requisitos de verificação de idade nas redes sociais, são um exemplo:
Para deixar claro, as regras também estão funcionando: a Ofcom relatou quedas acentuadas nas visitas do Reino Unido aos maiores sites adultos após a aplicação da lei, e pesquisas mostram que a maioria dos britânicos apoia o objetivo da lei. A questão não é que a verificação de idade não possa funcionar. É que, quando as verificações estão vinculadas a sinais que os usuários podem ocultar, a mesma implementação pode tanto garantir o cumprimento da lei quanto incentivar a burla.
Leis semelhantes no Reino Unido, na Austrália e em vários estados dos EUA revelaram o mesmo desafio fundamental.
A questão não é se as leis de verificação de idade deveriam existir; a questão é se as abordagens atuais para garantir a idade estão revelando uma falha mais ampla na confiança digital.
As VPNs não contornam a verificação, elas contornam o gatilho
A maioria dos sistemas de verificação de idade se baseia na geolocalização do endereço IP para decidir se deve solicitar a verificação ao usuário desde o início. Se um site detectar um endereço IP do Reino Unido, ele aciona uma verificação de idade. Se o endereço IP parecer ter origem fora da jurisdição regulamentada — por exemplo, porque o usuário está conectado por meio de uma VPN —, o processo de verificação nunca é iniciado.
As VPNs não contornam as verificações de idade. Elas contornam a condição sob a qual essas verificações são exigidas.
Isso não é uma falha da tecnologia de verificação de identidade. É um lembrete de que o gatilho é tão importante quanto a verificação em si. Se um fluxo de verificação nunca for acionado, a verificação biométrica robusta, a verificação de documentos ou a detecção de vida nunca terão a chance de cumprir sua função.
Há uma segunda questão de concepção aqui: nem todos os métodos de verificação de idade oferecem o mesmo nível de certeza. Muitas soluções implementadas para atender às leis de verificação de idade são, na verdade, ferramentas de estimativa de idade, que são probabilísticas e podem não oferecer o nível de certeza exigido em contextos de conformidade ou fiscalização de maior risco. Saiba mais em nosso blog sobre verificação de idade versus estimativa.
O governo do Reino Unido citou dados da AVPA que mostram um aumento de 5 milhões de verificações de idade por dia após a implementação do sistema — uma prova concreta de que, para os usuários atingidos, o sistema está funcionando. O que esses números não conseguem refletir são todas as pessoas que nunca passaram por uma verificação, pois uma VPN as colocou fora do escopo do sistema.
Esse é o cerne do problema, resumido em uma frase: nem mesmo a verificação mais rigorosa do mundo pode proteger um fluxo que nunca começa.
Por que isso é importante, além das restrições de idade
Quando alguém usa uma VPN ou o Tor para acessar conteúdo restrito, está utilizando ferramentas das quais as redes organizadas de fraude dependem para:
- Ocultar a localização deles ao abrir contas bancárias fraudulentas
- Contornar os controles de geofencing em corretoras de criptomoedas
- Contornar as sanções fingindo ser clientes de regiões sem restrições
- Realizar a criação em massa de contas a partir de um único local físico
- Teste credenciais roubadas em vários serviços sem acionar verificações de velocidade
A intenção é diferente. Um adolescente tentando acessar uma plataforma não é a mesma coisa que um criminoso abrindo contas para lavagem de dinheiro. Mas o padrão subjacente é o mesmo: ocultar o sinal, evitar o gatilho, contornar o controle.
Essa sobreposição é o motivo pelo qual os filtros de idade são importantes além da segurança infantil. Eles tornam visível para o público em geral um problema de prevenção de fraudes. Nem todo mundo que baixa uma VPN se torna um fraudador. Claro que não. Mas isso serve como um lembrete de como as pessoas recorrem prontamente a ferramentas de contorno — VPNs, proxies, localizações falsificadas — no momento em que um controle parece um obstáculo. Esse conjunto de ferramentas se sobrepõe ao que as operações de fraude utilizam em grande escala, mesmo quando a intenção é completamente diferente.
De VPNs a trocas de rostos: um leque de técnicas de evasão de identidade
Se as VPNs ocultam onde você está, a troca de rostos e os deepfakes ocultam quem você é. As VPNs mostram o que acontece quando os usuários conseguem evitar a verificação. A troca de rostos mostra o que acontece quando os usuários chegam à verificação e tentam se passar por outra pessoa.
Um personagem fictício de videogame passou por uma verificação de idade real. Quando o Discord lançou a verificação de idade por reconhecimento facial, os usuários descobriram que o modo foto do Death Stranding permitia que eles controlassem o rosto de um personagem durante a etapa de “abrir e fechar a boca” para ser aprovado (PC Gamer). A lição por trás da piada: verificações de presença baseadas em ações previsíveis e repetíveis podem ser vulneráveis à reprodução ou imitação. A presença genuína depende de um desafio que não possa ser antecipado ou reutilizado.
Essa mesma trajetória vai muito além de uma solução alternativa no modo de jogo:
- A inteligência de ameaças da iProov registrou um aumento de 1.151% nos ataques de injeção no iOS no segundo semestre de 2025.
- A Deloitte projeta que as perdas decorrentes de fraudes facilitadas por IA generativa nos EUA subirão de US$ 12,3 bilhões em 2023 para US$ 40 bilhões até 2027.
Esses não são problemas isolados. São diferentes manifestações da mesma lógica fraudulenta: se um serviço digital precisa confiar em algo, os invasores tentarão falsificá-lo. A localização pode ser ocultada. Os dispositivos podem ser manipulados. Os documentos podem ser falsificados. Os rostos podem ser trocados. As transmissões de vídeo podem ser adulteradas.
Esse é o espectro da evasão de identidade.
A única âncora de confiança resiliente: a presença humana genuína
Se todos esses sinais de confiança podem ser falsificados, o que resta?
A resposta é a presença humana genuína, comprovada ao vivo, naquele momento.
Tecnologias como o Dynamic Liveness, da iProov, comprovam a presença genuína respondendo a uma pergunta aparentemente simples: trata-se de uma pessoa real, a pessoa certa, presente neste momento? A detecção biométrica robusta de presença ajuda a neutralizar ameaças como gravações, deepfakes, troca de rostos e ataques de injeção.
Na maioria dos cenários de verificação de identidade, abrir uma conta bancária, acessar serviços públicos e concluir o KYC para plataformas financeiras, o gatilho não depende da localização da rede. Quer você esteja se conectando de Londres ou de Lagos, por meio de uma VPN ou não, o sistema ainda exige que você comprove sua identidade com credenciais legítimas, como um documento emitido pelo governo. Nesses casos, a verificação biométrica de vitalidade oferece uma âncora de confiança robusta que as VPNs e o Tor não conseguem contornar.
A verificação de idade é um caso à parte. Quando o gatilho depende inteiramente da geolocalização baseada em IP — “você está em uma jurisdição regulamentada?” —, as VPNs e a rede Tor contornam o sistema antes mesmo que a verificação da presença real possa sequer começar. Isso não é uma falha da tecnologia biométrica; é um lembrete de que o gatilho é tão importante quanto a verificação em si.
O caminho a seguir
A proibição do uso de redes sociais por menores de 16 anos no Reino Unido é um estudo de caso oportuno, mas não representa o quadro completo. Trata-se de um exemplo de uma mudança muito mais ampla no sentido de comprovar a idade, a identidade e o direito de acesso na internet.
Vamos deixar claro: as VPNs e o Tor cumprem funções essenciais. Bloquear essas ferramentas de forma generalizada seria tanto tecnicamente inviável quanto eticamente questionável. O problema não é a existência da infraestrutura de privacidade. É a dependência de mecanismos de fiscalização que essas ferramentas conseguem contornar.
Isso aponta para o rumo que a verificação de idade precisa tomar. Uma verificação excessivamente ligada a um sinal de IP que pode ser falsificado corre o risco de se tornar o elo mais fraco; portanto, o gatilho precisa se aproximar do usuário, e não de sua localização aparente. Isso significa sinais de idade no nível do dispositivo e do sistema operacional, credenciais verificadas e reutilizáveis, além de formas que preservem a privacidade para que uma pessoa comprove sua idade ou identidade uma única vez, sem precisar repetir uma verificação que pode ser burlada por fatores geográficos. É o mesmo princípio por trás da iniciativa da UE em direção às carteiras de identidade digitais: confiança ancorada em uma credencial verificada, não em um sinal de rede.
Nos casos em que a verificação já é obrigatória e não depende da localização — como no setor bancário, no processo de KYC, nos serviços públicos, na recuperação de contas e no trabalho remoto —, a presença física é, atualmente, o ponto de referência mais confiável. A verificação de idade simplesmente comprova o princípio por negação: a validade de uma verificação depende do gatilho que a aciona.
Para ter um desempenho ideal, os sistemas do futuro devem:
- Afaste o gatilho de sinais de rede que possam ser facilmente falsificados
- Dê prioridade a um design que coloque a privacidade em primeiro lugar, utilizando credenciais que preservem a privacidade, para que a verificação não se torne uma armadilha para dados
- Basear a verificação de alto risco na presença humana real
- Organize os controles de segurança em camadas, de modo que a neutralização de um sinal não provoque a falha de todo o sistema
- Minimizar o atrito com o usuário para reduzir o incentivo à evasão
- Projetar tendo em vista comportamentos adversários desde o início
Partamos do princípio de que o sistema será testado. Não porque todos os usuários tenham más intenções, mas porque alguns serão curiosos, outros ficarão frustrados, outros seguirão tutoriais e outros serão criminosos.
O ponto principal é que os serviços digitais precisam, cada vez mais, estabelecer confiança sem a presença física. Eles precisam saber se uma pessoa tem idade suficiente para acessar um serviço, se um cliente ou trabalhador remoto é quem afirma ser, se quem está abrindo uma conta é uma pessoa real ou uma identidade falsa e se o rosto na tela é ao vivo ou gerado por computador.
As brechas na verificação de idade refletem o problema mais amplo da fraude, pois ambas expõem a mesma vulnerabilidade: muitos sistemas digitais ainda confiam em sinais que podem ser falsificados, contornados ou criados artificialmente.
O futuro da confiança digital depende de comprovar o que mais importa: que uma pessoa real esteja efetivamente presente, naquele momento, e autorizada a agir.
- A confiança digital está mudando rapidamente. Para saber mais sobre como ela está sendo posta à prova e reconstruída, inscreva-se no Biometric Beat.
- Agende aqui uma demonstração consultiva do iProov.

