Com novas regras para proteger crianças e adolescentes no ambiente digital após os efeitos do ECA Digital, plataformas passaram a adotar sistemas de verificação de idade por selfie para liberar ou restringir acessos. A proposta parece simples: usar a câmera do celular para estimar a idade do usuário em poucos segundos. Mas, por trás dessa análise, estão tecnologias baseadas em inteligência artificial que nem sempre são precisas — especialmente entre adolescentes — e que também levantam dúvidas sobre privacidade e uso de dados. Para entender como esses sistemas funcionam, quais são os riscos e se eles são realmente eficazes, o TechTudo ouviu especialistas em Direito Digital e proteção de dados. ECA Digital: entenda como a 'Lei Felca' pode afetar os games no Brasil Redes sociais proibidas para menores? Advogado e psicóloga explicam impactos Veja os riscos da verificação de idade na análise de especiailistas em proteção de dados Reprodução O que muda com o ECA Digital na prática? O chamado “ECA Digital”, também conhecido popularmente por Lei Felca, é uma atualização do Estatuto da Criança e do Adolescente voltada ao ambiente online. Na prática, ele cria regras específicas para plataformas digitais, como redes sociais, jogos e aplicativos, que tenham crianças e adolescentes como usuários, ou que possam ser acessados por eles. Para Camila Giacomazzi Camargo, especialista em Direito e Tecnologia, propriedade intelectua e proteção de dados, a Lei é um avanço na proteção de crianças e adolescentes: “Considero importante pontuar que tanto a ECA digital quanto o Decreto Regulamentar da ECA representam um avanço significativo na proteção de crianças e adolescentes no ambiente digital. Anteriormente, não havia uma regulamentação clara sobre o tema. Esse avanço, na verdade, está substancialmente relacionado à responsabilidade das plataformas digitais que oferecem produtos e serviços voltados para crianças e adolescentes, ou que são de acesso provável por eles, no sentido de que elas não podem agir de forma reativa, mas devem tomar uma série de ações e providências preventivas, que estão mais conectadas às questões de governança e cuidados para garantir a proteção efetiva dessas crianças e adolescentes nesse ambiente.” Uma das mudanças mais visíveis é a responsabilização das plataformas. O ECA Digital deixa mais claro que empresas de tecnologia devem prevenir riscos como exposição a conteúdo impróprio, assédio ou exploração, além de manter canais eficazes de denúncia. A exigência de verificação de idade mais rigorosa. Antes, bastava inserir uma data de nascimento; agora, as plataformas passam a ser pressionadas a adotar mecanismos mais confiáveis, como validação por documento ou biometria. Isso altera diretamente a forma de acesso a serviços online e levanta discussões sobre privacidade e segurança de dados. Outra mudança relevante é a obrigatoriedade de mecanismos de supervisão para contas de menores. Dependendo da idade, essas contas devem estar vinculadas a responsáveis legais, que passam a ter ferramentas para monitorar ou limitar o uso, como controle de tempo, interações e compras dentro das plataformas. Isso formaliza um modelo de controle parental que antes era opcional ou limitado. “Observamos uma mudança significativa na responsabilização, antes centralizada na supervisão parental e no controle familiar, mas agora compartilhada entre a sociedade, o poder público e também as plataformas que oferecem serviços", pontua Camila, especialista em proteção de dados. Autodeclaração acabou: o que entra no lugar? Entre as principais mudanças está o fim da autodeclaração para a obrigatoriedade de uma verificação de idade mais rigorosa. “Um dos pontos cruciais desse debate é a questão da verificação da idade, ou seja, a aferição da idade. O decreto distingue claramente os métodos, e, de maneira geral, o que temos é uma mudança importante: a proibição da autodeclaração.”, pontua a advogada Camila. Antes do ECA, era comum que usuários clicassem uma uma opção simples em que afirmavam ser maiores de 18 anos, ou incluir uma outra idade, para acessar conteúdos sensíveis ou serviços. “Hoje, essa declaração está vedada. Não é mais permitido utilizar esse método para aferir a idade. Devemos adotar outros métodos mais robustos, que garantam, de forma segura, a verificação da idade do usuário", explica Camila. A partir de agora a validação por documento ou biometria se tornou uma regra. Adultos terão que provar que são adultos. Plataformas já começaram a implementar novos mecanismos para verificações sob os efeitos do ECA Digital, como vídeos mostrando o rosto e selfies segurando um documendo. Solicitações bem parecidas com as pedidas por bancos para confirmar identidade. Esses novos sistemas são realmente seguros? As novas regras pelas plataformas criaram uma dúvida pertinente: esses novos sistemas são realmente seguros? Por um lado, alguns se preocupam com o risco de vazamento de dados; por outro, há a preocupação de violação das próprias crianças e adolescentes. Segundo Antonielle Freitas, advogada especialista em Proteção de Dados e certificada como Data Protection Officer, os novos sistemas não são totalmente seguros: "Eles podem ser tecnicamente sofisticados, mas segurança aqui não é só “funcionar bem”: envolve acurácia, proteção de dados e governança. Esses sistemas usam biometria facial e IA para estimar idade, o que já é, por si só, um tratamento de dado sensível pela LGPD - Lei Geral de Proteção de Dados". Initial plugin text Risco de vazamento de dados Destrinchando o primeiro ponto, o especialista em Direito Digital , Luiz Fernando Prado, aponta sua visão: “Quando bem implementados, com processamento local no dispositivo e descarte imediato da imagem após a estimativa, oferecem um nível razoável de segurança”.* Para Antonielle, o risco acontece durante o processo: “O ponto mais crítico é o ciclo completo: como a imagem é coletada, se a biometria é de fato extraída, por quanto tempo é armazenada, com quem é compartilhada e com quais finalidades. Se qualquer elo dessa cadeia for frágil, o sistema como um todo deixa de ser seguro.” A insegurança da confirmação de idade por crianças Em uma busca rápida em plataformas de pesquisa, há um aumento considerável em termos como "Como remover meu filho do Family Link?” e “Como remover o Family Link sem permissão?”, o Family Link é principal serviço do Android para controle parental. Ou buscas mais amplas, como: “Como desativar o controle parental?”. O que tem levantado suspeitas de crianças e adolescentes já estarem pesquisando sobre termos para remover o controle dos seus responsáveis. Isso sem contar no uso de VPN para burlar sistemas de verificação de idade e IA que simulam rostos de pessoas mais velhas. “Crianças e adolescentes, muitas vezes, utilizam técnicas cada vez mais sofisticadas: desde o uso da selfie de um adulto até ferramentas de deepfake em tempo real, passando por VPNs para acessar versões de plataformas sem verificação", confirma o advogado. “Muitos sistemas tentam checar se há um rosto “real” na frente da câmera, pedindo para piscar, virar a cabeça, etc. Mas técnicas de fraude ( como vídeos previamente gravados, deepfakes e máscaras de alta qualidade) conseguem driblar verificações menos robustas", complementa Antonielle. Para Padro, o sistema ainda apresenta um gargalo: “No contexto do ECA Digital, a ANPD (Agência Nacional de Proteção de Dados) deverá certificar soluções técnicas de aferição de idade, mas essa regulamentação ainda não existe. Enquanto isso, o mercado opera sem parâmetros e muita cautela deve ser adotada com soluções que possam ser insuficientes ou inseguras.” Initial plugin text Principais falhas e vulnerabilidades Indo direto ao ponto, para o especialista em Direito Digital, Prado, três falhas são destacadas: “Primeira: ataques de spoofing, que é o uso de fotos, vídeos ou deepfakes para enganar o sistema. Sistemas sem detecção de vivacidade robusta são especialmente vulneráveis. Segunda: viés algorítmico. A literatura técnica mostra que a precisão da estimativa facial varia conforme gênero, etnia e condições de iluminação, o que pode gerar tanto falsos positivos (adultos bloqueados) quanto falsos negativos (menores de idade não identificados). Terceira: a própria cadeia de custódia do dado. Se a imagem biométrica for transmitida a um servidor remoto e retida, ela se torna um alvo de alto valor para atacantes.” “A foto ou o template biométrico (uma espécie de “impressão matemática” do rosto) precisa trafegar pela internet e ficar em algum servidor. Se esse ambiente não tiver criptografia adequada, segmentação de banco de dados e controles de acesso rigorosos, vira um alvo valioso para ataques”, confirma a advogada Antonielle. Outras falhas e mais abrangentes também são apontadas por Antonielle, que podem levar a uma falsa sensação de segurança e até bloqueio de conta: “sistemas treinados com bases de dados pouco diversas tendem a errar mais com pessoas negras, indígenas, asiáticas, idosos, pessoas trans e não binárias. Isso pode levar tanto a bloqueios indevidos quanto à falsa sensação de segurança.” A dependência de terceiros é um ponto pouco abordado, mas que pode trazer uma falha importante: “*Muitas plataformas de conteúdo infantil ou redes sociais usam provedores externos de verificação de idade. Isso aumenta os pontos de vulnerabilidade: além de confiar na plataforma final, o usuário passa a depender também da segurança e da ética do prestador de serviço, que, na maioria das vezes ele nem sabe quem é", pontua Antonielle.* O uso de IA para verificação da idade Quando uma plataforma pede a verificação da idade, a imagem capturada pela câmera é analisada por um sistema de reconhecimento facial treinado com milhões de rostos. O que acontece é um processo de estimativa baseado em padrões visuais. Ao mesmo tempo, muitas plataformas usam uma etapa adicional chamada “detecção de vivacidade”. É aquela parte em que o sistema pede para piscar, virar a cabeça ou fazer algum movimento. O objetivo é verificar se existe uma pessoa real na frente da câmera, e não uma foto, vídeo ou tentativa de fraude. Initial plugin text Prado explica que o sistema pode funcionar bem nas extremidades, mas deixa a desejar em outro aspecto: “distinguir uma criança de 8 anos de um adulto de 30 é relativamente simples. O problema está na faixa entre 14 e 18 anos, exatamente onde a verificação é mais crítica. Um adolescente de 16 pode ser estimado como tendo 18 ou 19, passando pelo filtro.". Prado ainda complementa: “além disso, testes empíricos já demonstraram que alguns modelos erram mais com determinados grupos demográficos. Ainda assim, a IA certamente é um dos possíveis mecanismos para diferenciar idade, especialmente com a constante evolução dos modelos que cada dia estão mais poderosos. Resta ver como a ANPD traduzirá isso em requisitos concretos”. Vale ressaltar que a Agência Nacional de Proteção de Dados (ANPD) é o órgão federal brasileiro responsável pela proteção de dados pessoais no país e garante o cumprimento da Lei Geral de Proteção de Dados (LGPD). “Isso faz com que, do ponto de vista regulatório, usar apenas estimativa de idade por IA como critério decisivo para permitir ou barrar acesso a um serviço seja arriscado e potencialmente discriminatório”, conclui Antonielle. Dá para burlar esses sistemas? É possível e demostrado em pesquisadas e testes práticos, “como em uso de fotos e ou vídeos de alta resolução de um adulto, em vez da imagem real do menor; deepfakes e filtros avançados que simulam outro rosto ou envelhecem a aparência; máscaras realistas ou impressão em 3D do rosto de outra pessoa; Compartilhamento de contas ou dispositivos: um adulto faz a verificação, e o menor passa a usar o perfil liberado", exemplifica Antonielle. “Os sistemas mais avançados usam detecção de vivacidade em várias camadas, como análise de textura de pele, reflexo de luz e microexpressões, mas sempre haverá uma corrida entre quem desenvolve a proteção e quem tenta burlar. Não existe sistema 100% infalível.”, comenta a advogada. Initial plugin text Burlar sistema pode trazer consequências legais? Os especialistas explicam foco regulatório do ECA está no dever do fornecer, não no comportamento da criança. “O ECA parte da premissa de que a responsabilidade é compartilhada entre família, Estado e sociedade (incluindo as empresas). Se uma pessoa menor de 12 anos consegue acessar conteúdo proibido, a lei entende que a falha é do sistema ou mesmo dos pais ou responsáveis legais, não da criança", explica Prado. No entanto, para usuários adultos, a regra muda: “se um adulto usa documento falsificado ou adulterado para se passar por outra pessoa, pode haver enquadramento em falsidade ideológica ou uso de documento falso, dependendo do caso. Mas, na prática, mentiras de idade em formulários de sites e redes sociais raramente são tratadas penalmente; o conflito costuma ficar limitado aos termos de uso da plataforma”, explica Antonielle, que compara a um adolescente ou criança burlando o sistema: “adolescentes entre 12 e 18 anos respondem por atos infracionais, não por crimes, e sempre com medidas socioeducativas, nunca como adultos. Ainda assim, acionar o sistema socioeducativo por uso irregular de plataforma digital seria desproporcional e contrário à lógica protetiva do Estatuto da Criança e do Adolescente”. Os riscos de privacidade são reais? Esse é um dos pontos centrais de preocupação e quem vem gerado dúvidas entre internautas. Empresas especializadas em verificação de idade passam a ter acesso a grandes volumes de imagens de rosto, metadados e informações demográficas. Esses dados, se não forem rigidamente regulados, podem ser utilizados para: “treinar outros algoritmos de reconhecimento facial fora do propósito original; criar produtos de análise de comportamento, segmentação de audiência e publicidade hiperpersonalizada; e oferecer “soluções de segurança” para outros setores, expandindo a lógica de vigilância biométrica”, enumera Antonielle. “Sem regras claras de finalidade, transparência, minimização, anonimização e proibição de uso para fins comerciais, a narrativa de “proteger crianças” pode, na prática, servir de porta de entrada para um mercado muito lucrativo de dados sensíveis, inclusive de menores de idade", alerta a advogada Antonielle. Assim como para a advogada, Prado também pontua que esse é um risco concreto: “a ANPD terá papel central aqui, e o setor de tecnologia precisa de regras claras antes que se consolide um ecossistema de verificação sem governança adequada". O que acontece em caso de vazamento de dados? Para os especialistas, o vazamento são, em grande parte, irreversíveis: “Dados biométricos faciais são, por definição, irrevogáveis. Diferentemente de uma senha, você não consegue trocar o seu rosto. Um vazamento de templates biométricos pode viabilizar roubo de identidade, fraudes em sistemas que usam reconhecimento facial (inclusive bancários), e, no caso de menores de idade, criar um acervo permanente que os acompanha pela vida", confirma Prado. Rostos e dados associados podem abrir ainda mais portas para golpes sofisticados que envolvem engenharia social: “Bases biométricas vazadas ou mal utilizadas podem alimentar sistemas de reconhecimento facial em contextos completamente diferentes do original, inclusive em cenários de vigilância massiva, pública ou privada, sem conhecimento ou consentimento do usuário", complementa Antonielle, que vai além: "se esses dados forem combinados com histórico de navegação, interesses e hábitos, podem surgir perfis extremamente detalhados, úteis para publicidade invasiva, discriminação de preços e até exclusões em seguros e crédito no futuro". Existem alternativas mais seguras para verificação de idade? Apesar do método de selfie e biometria serem os mais abordados quando o assunto é a verificação de idade, eles não são os únicos. “A legislação acerta ao não impor um método único. Há várias alternativas, cada uma com seus prós e contras. Do ponto de vista de segurança, as opções mais promissoras incluem credenciais verificáveis, como tokens criptográficos que confirmam apenas se o usuário atende à idade mínima, sem revelar data de nascimento ou identidade, bem como outros tipos de soluções zero-knowledge proof, que permitem provar um fato (ser maior de 18) sem revelar o dado subjacente. O ideal é que a futura regulação da ANPD estabeleça mecanismos de forma proporcional ao risco”, comenta Prado. Já para Camila, esse é um dos grandes desafios do ECA: “Um dos desafios práticos que o ECA impõe é justamente pensar nesses mecanismos. A Autoridade Nacional de Proteção de Dados, responsável pela normatização e fiscalização desse tema no país, terá que analisar, do ponto de vista técnico, quais são as formas mais justas e proporcionais, garantindo que as empresas consigam equilibrar a proteção das crianças e adolescentes com o respeito à privacidade e à inclusão, sem que isso se transforme em vigilância excessiva ou em algum tipo de exclusão.". Entre as alternativas, existem: a checagem de documento oficial, intermediação por terceiros confiáveis, como bancos, operadores e órgãos públicos, e as próprias ferramentas de controle parental. No entanto, “existem alternativas e combinações mais equilibradas, mas nenhuma solução é “perfeita” […] Uma tendência no debate do “ECA Digital” é justamente privilegiar soluções graduais, baseadas em risco e minimização de dados, em vez de transformar a biometria por selfie em regra geral” , finaliza Antonielle. Mais do TechTudo