Como executar limites de dispositivos sem cookies: prevenção de partilha de conta em conformidade com o RGPD

O rastreamento de dispositivos baseado em cookies falha ao abrigo do RGPD e falha na navegação privada.

Jun 29, 2026 • 12 min read

Mike Kutlu Client-Side Security Consultant

Como executar limites de dispositivos sem cookies: prevenção de partilha de conta em conformidade com o RGPD

Os limites de dispositivos são o mecanismo mais comum para a execução de partilha de conta em plataformas de subscrição. Uma subscrição é válida para um dispositivo, ou dois, ou três. Quando um limiar de contagem de dispositivos é ultrapassado, a execução é activada. Em princípio, esta é uma abordagem simples e directa. Na prática, tem dois problemas que a comprometem na maioria das implementações.

O primeiro é técnico: o rastreamento de dispositivos baseado em cookies é trivialmente derrotado pela limpeza de cookies, pelo uso da navegação privada, ou pelo acesso à plataforma a partir de um browser diferente. Um utilizador que partilha credenciais e que limpa os seus cookies é invisível para o rastreamento de dispositivos baseado em cookies. O limite de dispositivos repõe a zero.

O segundo é legal: o rastreamento de dispositivos baseado em cookies requer consentimento ao abrigo do RGPD para subscritores europeus. Um mecanismo de rastreamento de dispositivos baseado em consentimento cria uma contradição lógica: o subscritor que está a partilhar a sua credencial é também o subscritor que seria mais susceptível de recusar o consentimento para rastreamento de dispositivos, deixando o acordo de partilha não detectado.

O Relatório Global de Pagamentos e Fraude em eCommerce 2026 do Merchant Risk Council concluiu que 64% dos comerciantes reportam um aumento significativo na utilização indevida de primeira parte. As plataformas que operam em mercados europeus precisam de uma abordagem de prevenção de partilha de conta que não dependa de cookies e não requeira consentimento. O fingerprinting de dispositivos na camada de browser que não recolhe dados pessoais fornece isso.

Porque os limites de dispositivos baseados em cookies falham

Resposta rápida: O rastreamento de dispositivos baseado em cookies atribui um identificador persistente a cada dispositivo através de um cookie de browser. Este identificador é apagado quando o utilizador limpa os seus cookies, muda de browser, ou usa a navegação privada. Um utilizador que partilha credenciais e que está ciente disto pode derrotar o limite de dispositivos limpando os cookies antes de cada sessão. Os modos de navegação privada, que são agora o tipo de sessão padrão para muitos utilizadores em dispositivos partilhados ou móveis, descartam os cookies automaticamente. Os limites de dispositivos baseados em cookies são fiáveis apenas contra utilizadores que não estão cientes da gestão de cookies, o que exclui os utilizadores que partilham de forma mais deliberada.

O rastreamento de dispositivos baseado em cookies funciona como identificador persistente para análise de primeira parte e personalização porque a maioria dos utilizadores não limpa os seus cookies e a maioria das plataformas não precisa de executar contagens rigorosas de dispositivos. Nesses contextos, a perda ocasional do identificador de cookie é um problema de qualidade de dados aceitável.

Para a execução de partilha de conta, o modo de falha é fundamental. Um utilizador que partilha e que está motivado para manter o acesso a um produto pelo qual não está a pagar tem um forte incentivo para derrotar o limite de dispositivos. Limpar os cookies é uma operação de um clique em todos os browsers principais. O modo de navegação privada, que limpa todos os identificadores baseados em cookies no final da sessão, está disponível em todas as plataformas. A população de utilizadores com maior probabilidade de partilhar credenciais é a mesma população com maior probabilidade de gerir os seus cookies deliberadamente.

A restrição do RGPD agrava a limitação técnica. Ao abrigo do Artigo 6.º do RGPD, armazenar um identificador persistente no dispositivo de um utilizador através de um cookie requer uma base jurídica válida. Para cookies não essenciais, essa base é o consentimento. O consentimento para rastreamento de partilha de conta é logicamente problemático: um subscritor que está a partilhar a sua credencial tem um incentivo para recusar o consentimento, o que significa que a população que mais precisa de rastrear é também a população com maior probabilidade de recusar. Um sistema de limite de dispositivos baseado em cookies em conformidade com o RGPD que requer consentimento não consegue de forma fiável capturar utilizadores que partilham deliberadamente.

O que o RGPD diz sobre o device fingerprinting na camada de browser

Resposta rápida: O device fingerprinting na camada de browser que deriva um identificador de dispositivo a partir de sinais de configuração de hardware e software, sem armazenar quaisquer dados no dispositivo do utilizador, fica fora do requisito de consentimento de cookies da Directiva ePrivacy porque nenhuns dados são armazenados do lado do cliente. Ao abrigo do RGPD, os dados de configuração do dispositivo processados não são dados pessoais ao abrigo do Considerando 26 se o indivíduo não for identificável apenas a partir dos dados. A prevenção de fraude, incluindo a prevenção de utilização indevida de primeira parte, é reconhecida como interesse legítimo ao abrigo do Considerando 47 e do Artigo 6.º, n.º 1, alínea f) do RGPD.

O requisito de consentimento da Directiva ePrivacy aplica-se ao armazenamento ou acesso a dados no dispositivo de um utilizador. Um cookie é armazenado no dispositivo. Um fingerprint na camada de browser é derivado da leitura da configuração do dispositivo no browser, sem escrever quaisquer dados persistentes no dispositivo. A Directiva ePrivacy não se aplica à leitura de dados de configuração do dispositivo que são necessariamente transmitidos como parte da sessão de navegação.

O Considerando 26 do RGPD estabelece que a informação não é dados pessoais quando o indivíduo não é identificável, tendo em conta todos os meios razoavelmente susceptíveis de serem utilizados. Os sinais de configuração do dispositivo usados para browser fingerprinting, que incluem saída do renderizador GPU, resposta do contexto de áudio, características de renderização canvas, e disponibilidade de fontes, identificam uma configuração de browser e hardware. Por si só, não identificam um indivíduo. Combinados com um início de sessão de conta, identificam que uma configuração específica de dispositivo está associada a uma conta específica. Esta combinação está dentro do contexto da relação de conta, não de um contexto de identidade individual mais amplo.

O Artigo 6.º, n.º 1, alínea f) do RGPD permite o tratamento baseado em interesses legítimos. O Considerando 47 do RGPD identifica explicitamente a prevenção de fraude como base de interesse legítimo: "O tratamento de dados pessoais estritamente necessário para efeitos de prevenção de fraude constitui igualmente um interesse legítimo." A prevenção de partilha de conta é prevenção de utilização indevida de primeira parte, que se enquadra na categoria de interesse legítimo de prevenção de fraude.

A combinação destas disposições significa que o fingerprinting na camada de browser para prevenção de partilha de conta, implementado sem armazenamento do lado do cliente e sem combinar dados de fingerprint com dados pessoais mais amplos além da relação de conta, pode ser operado com base em interesse legítimo ao abrigo do RGPD sem requerer consentimento de cookies.

Como o fingerprinting sem cookies executa limites de dispositivos

Resposta rápida: O fingerprinting na camada de browser da cside deriva um identificador estável do dispositivo a partir de sinais de configuração de hardware e software que são inerentes ao dispositivo: renderizador GPU, contexto de áudio, renderização canvas, conjunto de fontes, e atributos relacionados. Este identificador é estável entre sessões de navegação privada, limpezas de cookies, e reinícios do browser porque é derivado da configuração de hardware e software do dispositivo, não de dados armazenados. Um dispositivo que limpa os seus cookies gera o mesmo fingerprint de antes. Um limite de dispositivos executado sobre este fingerprint não pode ser derrotado pela gestão de cookies.

A estabilidade do fingerprinting na camada de browser em relação ao rastreamento baseado em cookies é a propriedade que o torna adequado para a execução de limites de dispositivos. O identificador do dispositivo é estável porque é derivado de atributos de hardware e software que não mudam quando os cookies são limpos:

Renderizador GPU: a unidade de processamento gráfico do dispositivo produz uma saída de renderização característica que é estável entre sessões e não é afectada pelas definições do browser ou pelo estado dos cookies.
Contexto de áudio: o hardware de processamento de áudio do dispositivo produz uma resposta característica a um teste de processamento de áudio sintético que varia entre configurações de hardware e não é armazenado como cookie.
Renderização canvas: a combinação de GPU, sistema operativo, e renderização de fontes do dispositivo produz uma saída canvas característica que é estável entre sessões.
Disponibilidade e renderização de fontes: o conjunto de fontes instaladas no dispositivo e como são renderizadas varia entre configurações e contribui para um fingerprint estável.

Estes atributos combinam-se para produzir um identificador estável para cada configuração única de hardware e software. Um dispositivo que limpa os seus cookies, muda para navegação privada, ou usa um browser diferente produz o mesmo fingerprint a partir da sua configuração de hardware e software subjacente.

A implicação prática para a execução de limites de dispositivos é que o limite é executado sobre um sinal que o utilizador que partilha não consegue facilmente manipular sem mudar fisicamente de dispositivos, não sobre um sinal que pode ser repostos com um clique num menu.

A arquitectura sem consentimento

Resposta rápida: A arquitectura de detecção de partilha de conta da cside recolhe dados de configuração do dispositivo do lado do servidor a partir de sinais transmitidos como parte da sessão de navegação, sem armazenar qualquer identificador persistente no dispositivo do utilizador. Isto coloca o tratamento fora do requisito de consentimento da Directiva ePrivacy. O tratamento é conduzido ao abrigo do Artigo 6.º, n.º 1, alínea f) do RGPD de interesse legítimo (prevenção de fraude). Não é necessário banner de consentimento de cookies para o componente de detecção de partilha de conta. O tratamento é documentado no aviso de privacidade da plataforma ao abrigo da base de interesse legítimo.

A arquitectura que permite a operação sem consentimento tem três características:

Sem armazenamento do lado do cliente. O fingerprint é derivado do lado do servidor a partir de sinais que são inerentemente transmitidos durante uma sessão de navegação. Não é criado nenhum cookie, entrada de armazenamento local, registo IndexedDB, ou outro armazenamento persistente do lado do cliente. Os sinais do dispositivo são lidos no browser e transmitidos para o pipeline de análise do lado do servidor da cside. Nada é deixado no dispositivo do utilizador.

Documentação de interesse legítimo. O tratamento de dados de configuração do dispositivo para fins de prevenção de fraude é documentado no aviso de privacidade da plataforma ao abrigo do Artigo 6.º, n.º 1, alínea f). Uma Avaliação de Interesse Legítimo (AIL) documenta o equilíbrio entre o interesse da plataforma em prevenir a utilização indevida de primeira parte e o interesse do utilizador na privacidade. Para a prevenção de partilha de conta, a AIL é directa: a plataforma tem um interesse comercial legítimo em fazer cumprir os seus termos de serviço; o tratamento usa dados de configuração do dispositivo que o utilizador transmite necessariamente como parte da sua sessão de navegação; e não é construído nenhum perfil de dados pessoais mais amplo a partir dos sinais.

Tratamento mínimo necessário. Os sinais de configuração do dispositivo recolhidos são o mínimo necessário para produzir um identificador de dispositivo estável para o fim de detecção de partilha de conta. Os sinais não revelam o histórico de navegação do utilizador, localização, ou identidade além do contexto da sessão de browser. Esta proporcionalidade suporta a base de interesse legítimo.

Ao abrigo desta arquitectura, a detecção de partilha de conta pode operar em bases de subscritores europeus sem um requisito de consentimento de cookies, sem um banner de consentimento, e sem a contradição lógica de requerer consentimento dos utilizadores cujo comportamento precisa de detectar.

O que isto significa para as equipas de conformidade e produto

Resposta rápida: As equipas de conformidade que avaliam ferramentas de prevenção de partilha de conta precisam de fazer duas perguntas: a ferramenta armazena identificadores persistentes do lado do cliente (requerendo consentimento de cookies), e a ferramenta recolhe informação pessoalmente identificável além do contexto da sessão de conta (activando obrigações mais amplas do RGPD)? O fingerprinting na camada de browser da cside responde não a ambas. A arquitectura de tratamento é concebida para operar ao abrigo do interesse legítimo sem requerer consentimento, e os sinais de configuração do dispositivo recolhidos não constituem dados pessoais ao abrigo do Considerando 26 do RGPD isoladamente.

Para as equipas de conformidade, os requisitos de documentação para o browser fingerprinting sem cookies na camada de browser ao abrigo do RGPD são:

Actualização do aviso de privacidade: adicionar uma secção descrevendo a base de interesse legítimo para o tratamento de configuração do dispositivo, as categorias de sinais recolhidos, e o fim (prevenção de partilha de conta/prevenção de fraude).
Avaliação de Interesse Legítimo: documentar o teste em três partes: fim (prevenir a utilização indevida de primeira parte), necessidade (os dados de configuração do dispositivo são o mínimo necessário para um identificador de dispositivo estável), e equilíbrio (o interesse do utilizador em não ser rastreado é ultrapassado pelo interesse da plataforma em fazer cumprir os seus termos de subscrição e pela expectativa do utilizador de que a sua subscrição cobre a sua própria utilização).
Acordo de Tratamento de Dados: celebrar um ATD com a cside como subcontratante para os dados de configuração do dispositivo que a cside trata em nome da plataforma.

Para as equipas de produto, a implicação prática é que o sistema de detecção de partilha de conta pode ser implementado e operado sem um fluxo de consentimento de cookies e sem qualquer UI de privacidade voltada para o utilizador específica ao componente de detecção de partilha. A actualização do aviso de privacidade e a AIL são documentos internos; a experiência voltada para o utilizador é inalterada.

A cside é certificada SOC 2. A documentação completa da arquitectura de privacidade, incluindo o modelo de acordo de tratamento de dados e o framework de avaliação de interesse legítimo, está disponível em trust.cside.com.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Não. O consentimento de cookies ao abrigo da Directiva ePrivacy aplica-se ao armazenamento de dados no dispositivo de um utilizador. O fingerprinting na camada de browser da cside lê sinais de configuração do dispositivo que são inerentemente transmitidos durante uma sessão de navegação sem armazenar qualquer identificador persistente no dispositivo do utilizador. O tratamento desses sinais para fins de prevenção de fraude é conduzido ao abrigo do Artigo 6.º, n.º 1, alínea f) do RGPD de interesse legítimo. Não é necessário consentimento de cookies para o componente de detecção de partilha de conta.

O Considerando 26 do RGPD estabelece que a informação não é dados pessoais quando o indivíduo não é identificável apenas a partir dessa informação. Os sinais de configuração do dispositivo (saída do renderizador GPU, resposta do contexto de áudio, características de renderização canvas) identificam uma configuração de browser e hardware, não um indivíduo. Combinados com dados de início de sessão de conta, ligam uma configuração de dispositivo a uma conta de subscrição. O tratamento permanece dentro do contexto da relação de conta. Se os dados de fingerprint são dados pessoais é uma questão específica dos factos que depende dos sinais específicos recolhidos e de como são combinados com outros dados.

O Artigo 6.º, n.º 1, alínea f) do RGPD de interesse legítimo, suportado pelo Considerando 47, que identifica explicitamente a prevenção de fraude como base de interesse legítimo. O interesse de uma plataforma em fazer cumprir os seus termos de serviço de subscrição e prevenir a utilização indevida de primeira parte é um interesse comercial legítimo. O tratamento de configuração do dispositivo para este fim usa os sinais mínimos necessários para produzir um identificador de dispositivo estável e não constrói um perfil de dados pessoais mais amplo.

A documentação consiste em: uma actualização do aviso de privacidade descrevendo a base de interesse legítimo, as categorias de sinais tratados, e o fim; uma Avaliação de Interesse Legítimo documentando o teste em três partes (fim, necessidade, equilíbrio); e um Acordo de Tratamento de Dados com a cside como subcontratante. Estes são documentos de conformidade internos. Não é necessário banner de consentimento voltado para o utilizador nem UI de privacidade para o componente de detecção de partilha de conta.

Usar um browser diferente no mesmo dispositivo produz um conjunto de sinais de configuração de browser diferente e pode produzir um fingerprint diferente, dependendo da extensão da diferença de configuração. Uma VPN muda o sinal de contexto de rede mas não afecta os sinais de configuração de hardware como o renderizador GPU e o contexto de áudio. Um limite de dispositivos executado sobre sinais ao nível do hardware não pode ser derrotado apenas pelo uso de VPN. Usar um dispositivo físico completamente diferente produz um fingerprint diferente.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Como executar limites de dispositivos sem cookies: prevenção de partilha de conta em conformidade com o RGPD

O rastreamento de dispositivos baseado em cookies falha ao abrigo do RGPD e falha na navegação privada.

Principais Plataformas para Monitorização de Scripts de Terceiros em 2026

Seis plataformas comparadas quanto a inventário de scripts de terceiros, deteção de desvios comportamentais, cobertura de comprometimento da supply chain e classificação de risco de fornecedores.

Como parar a partilha de conta em plataformas de gaming: detectar serviços de boosting e venda de contas sem sinalizar agregados familiares

A partilha de conta em gaming assume três formas distintas: boosting, venda de contas, e acesso doméstico.

Client-Side Security para eCommerce e Fintech: As Melhores Plataformas em 2026

Sites de eCommerce e fintech enfrentam skimming Magecart e o PCI DSS 4.0.1. Seis plataformas de client-side security analisadas para proteção de scripts na página de pagamento.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre ferramentas de amostragem que não detectam ataques em tempo de execução

Por Que Razão as Ferramentas de Segurança Baseadas em Amostragem Não Detectam Ataques em Runtime em Plataformas de Jogo

Ferramentas que amostram menos de 10% das sessões foram criadas para auditoria, não para detectar ataques ao vivo em plataformas de jogo.

Como parar a partilha de conta em plataformas de ecommerce: detectar subscrições partilhadas sem bloquear compradores do agregado familiar

A partilha de conta no ecommerce assume três formas distintas: partilha de subscrição de membro, partilha de credenciais de programa de fidelidade e…

Como Detetar e Bloquear Agentes de IA Desconhecidos no Seu Site

Os agentes de IA desconhecidos não têm user-agent e ignoram o robots.txt. Conheça os sinais na camada do navegador que revelam agentes não declarados e como agir sobre eles.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre requisitos de segurança de scripts da UK Gambling Commission

Condições de Licença da UK Gambling Commission e Segurança de Scripts de Terceiros: O Que os Operadores Precisam de Saber

Conformidade LCCP da UKGC exige ambiente técnico seguro. Scripts de terceiros que redirecionam jogadores ou exfiltram dados geram exposição direta.

Partilha de conta em SaaS B2B: como executar o licenciamento por lugar sem bloquear equipas legítimas

A partilha de lugares em SaaS B2B é a forma de abuso de credenciais menos detectada.

Como Bloquear a Automação do Playwright no Seu Site

O Playwright corre navegadores reais que parecem idênticos a humanos na camada de rede. Eis como detetá-lo, e porque o robots.txt e o bloqueio de IP falham.