As verificações de idade em sites estão se tornando um alvo principal para hackers, criando um risco significativo de privacidade e segurança para os usuários. Os métodos utilizados para verificar a idade – incluindo análise de fotografias por IA, pedidos de identificação com fotografia (cartas de condução, passaportes) e verificações de cartões de crédito – geram uma riqueza de dados pessoais que são cada vez mais vulneráveis a violações. Incidentes recentes sublinham a gravidade do problema, levantando questões sobre a eficácia da regulamentação e da aplicação actuais.
A maré crescente de violações
Em outubro de 2025, o Discord, uma popular plataforma de mídia social, sofreu um hack que potencialmente expôs as identidades com fotos de 70.000 usuários. A violação ocorreu através de um prestador de serviços terceirizado, destacando uma fraqueza sistêmica na forma como a verificação de idade é implementada. Da mesma forma, em julho de 2025, o aplicativo Tea, que exige que os usuários enviem documentos de identidade com foto e selfies, também foi hackeado, revelando dados confidenciais do usuário. Estes incidentes demonstram que mesmo as plataformas que cumprem a nova legislação, como a Lei de Segurança Online do Reino Unido, não estão imunes a violações.
Conformidade regulatória versus segurança do mundo real
O impulso para uma verificação de idade mais rigorosa é impulsionado por legislação como a Lei de Segurança Online do Reino Unido, a lei do espaço digital da França e a Lei de Serviços Digitais da UE. Essas leis consideram insuficientes as verificações de idade autodeclaradas e exigem métodos mais robustos, como correspondência de identidade com foto ou verificação de cartão de crédito. No entanto, a realidade é que muitas plataformas dependem de fornecedores terceiros para lidar com estes dados, criando um elo fraco na cadeia de segurança. A alegação do Discord de que não armazena permanentemente documentos de identidade é prejudicada pelo fato de que seu provedor terceirizado foi violado, expondo os dados do usuário de qualquer maneira.
As consequências dos vazamentos de dados
O dano potencial causado pelo vazamento de selfies e identificações com foto é substancial. Os usuários enfrentam roubo de identidade, fraude e crimes cibernéticos cada vez mais sofisticados, possibilitados pela tecnologia deepfake e IA generativa. A disponibilidade de tais dados pessoais amplifica o risco de ataques direcionados e manipulação maliciosa. Além disso, o facto de os fornecedores terceiros estarem frequentemente localizados fora de jurisdições regulamentares estritas (como a UE ou o Reino Unido) torna quase impossível a aplicação da eliminação de dados e dos padrões de segurança.
A necessidade de uma supervisão mais rigorosa
Apesar das orientações de reguladores como o Gabinete do Comissário de Informação do Reino Unido e o Ofcom, as violações do Tea and Discord provam que as medidas atuais são ineficazes na prevenção da retenção de dados ou na imposição da eliminação. O Departamento de Ciência, Inovação e Tecnologia do Reino Unido tentou abordar estas preocupações, reiterando as regras do GDPR que exigem a minimização de dados. No entanto, a realidade é que as plataformas são frequentemente incentivadas a reter dados para fins comerciais, mesmo que isso viole as regulamentações de privacidade.
O caminho a seguir
Para salvaguardar a privacidade dos utilizadores, são essenciais uma supervisão e aplicação mais rigorosas. Os reguladores devem ir além da mera orientação e impor requisitos vinculativos às plataformas e fornecedores terceiros. Isso inclui políticas obrigatórias de exclusão de dados, auditorias regulares de segurança e penalidades severas por não conformidade. A abordagem actual, que assenta na auto-regulação voluntária, revelou-se inadequada. Sem poderes de aplicação genuínos, a verificação de idade online continuará a ser uma mina de ouro para hackers de dados
