Blog

Sistema de Verificação de Idade na Internet do Reino Unido explicado para segurança cibernética

O objetivo do Sistema de Verificação de Idade na Internet do Reino Unido é proteger crianças que navegam na internet. Mas essas verificações trazem novos riscos de segurança cibernética e preocupações com privacidade.

Jul 29, 2025 • 6 min read

Simon Wijckmans Founder & CEO

UK-Internet-Age-Verification-Blog-Banner

O governo do Reino Unido criou uma nova lei de verificação de idade por meio da Online Safety Act 2023, que entrou em vigor em 25 de julho de 2025.

Essas regras exigem que os usuários comprovem ter mais de 18 anos antes de acessar determinados conteúdos online. Principalmente sites pornográficos ou plataformas que promovam automutilação, suicídio, transtornos alimentares e outros materiais potencialmente prejudiciais.

O objetivo do Sistema de Verificação de Idade na Internet do Reino Unido é proteger crianças que navegam na internet.

Embora a intenção de proteger crianças seja positiva, a verificação de idade feita de forma precisa frequentemente implica expor informações pessoais sensíveis. Essas verificações trazem novos riscos de segurança cibernética e preocupações com privacidade.

Pop-up de verificação de idade exigindo criação de conta

Como funciona o Sistema de Verificação de Idade na Internet do Reino Unido

Os usuários devem comprovar sua idade para acessar sites com conteúdo adulto ou sites que promovam temas prejudiciais
Os sites devem usar métodos rigorosos para verificar a idade dos usuários, como:

Fazer upload de um documento de identidade (passaporte ou carteira de motorista)
Tirar uma selfie e usar software para verificar a idade por reconhecimento facial
Confirmar a idade com um cartão de crédito ou débito

Plataformas como Reddit, X (Twitter) e outros sites de uso geral devem garantir que menores não consigam visualizar conteúdo adulto.
Sites que não cumprirem as regras podem ser:

Bloqueados no Reino Unido
Multados em até £18 milhões ou 10% da receita global

O que isso significa na prática (e para a segurança cibernética)

1. As pessoas vão usar VPNs para contornar as leis de verificação de idade do Reino Unido

Os sites usam o IP do solicitante para verificar a origem da requisição, o que é facilmente contornado. Para evitar essas verificações, muitos usuários estão recorrendo a VPNs e alterando sua localização para fora do Reino Unido. Dados de busca na App Store já indicam um aumento significativo nos downloads de VPNs após o lançamento da lei.

2. Aumento de sites falsos de VPN, páginas de phishing e malware

Cibercriminosos estão cientes dessa mudança e já estão lançando serviços falsos de VPN voltados a menores de idade e sites de phishing que imitam portais reais de verificação de idade.

Esses sites geralmente contêm spyware, malware ou mineradores de criptomoedas.

Até anúncios patrocinados no Google Search já exibiram links maliciosos que levavam a downloads perigosos no passado. É provável que vejamos isso acontecer novamente.

Isso abre caminho para um aumento expressivo em roubo de identidade, coleta de credenciais e infecções por malware, especialmente entre usuários que tentam evitar a verificação.

3. JavaScript malicioso e abuso de scripts de terceiros

Muitos sites terceirizam as verificações de idade para SDKs de terceiros ou widgets incorporados. Isso introduz riscos massivos na cadeia de suprimentos do lado do cliente. Assim como acontece com outras dependências, invasores podem lançar ataques no estilo Magecart para coletar:

Fotos de documentos de identidade enviadas
Dados de cartão de crédito
Selfies enviadas
Outras informações pessoais

Exemplos de métodos de ataque:

Injeção de tags <script> maliciosas nos fluxos de verificação
Uso de sobreposições falsas de <input> para falsificar formulários de identidade
Manipulação do DOM para exfiltrar dados antes de serem criptografados ou enviados

Tudo isso é bem conhecido no espaço de segurança do lado do cliente, onde se tornou o ataque mais comum — e um que auditorias tradicionais frequentemente deixam passar.

4. Extensões de navegador perigosas

Voltando ao ponto sobre VPNs, usuários que tentam contornar restrições podem instalar extensões de navegador de VPN duvidosas. Recentemente escrevemos exatamente por que extensões de navegador são tão perigosas.

Elas podem:

Sequestrar o tráfego
Injetar anúncios ou links de afiliados
Registrar o histórico de navegação
Ser vendidas a agentes mal-intencionados — o que é prática comum

5. Exploração de APIs e tokens

Onde quer que haja coleta de PII, os ataques aparecem. Como vimos recentemente com o aplicativo Tea, o backend foi comprometido e todos os dados pessoais dos usuários foram vazados. De forma semelhante ao Sistema de Verificação de Idade na Internet do Reino Unido, o Tea também coletava verificação por foto de documento e outras informações pessoais. Como as próprias plataformas são responsáveis por essa verificação de idade, isso simplesmente significa mais alvos para possíveis ataques.

Ameaças futuras que podemos esperar

Tipo de Ameaça	Descrição
Roubo de Identidade via Phishing	Portais falsos de verificação de idade que coletam documentos de identidade enviados
Deepfakes e Troca de Rosto	Selfies roubadas usadas para criar personificações geradas por IA
SDKs Maliciosos de Verificação de Idade	Ataques à cadeia de suprimentos do lado do cliente visando bibliotecas de verificação de idade incorporadas
Vigilância e Rastreamento	Ferramentas de verificação de idade que rastreiam usuários em diferentes sites sob o pretexto de segurança
Honeypots de VPN	VPNs falsas que registram a atividade do usuário e coletam dados pessoais
Credential Stuffing	Credenciais de login reutilizadas roubadas por phishing ou SDKs falsos
Skimming de PII no estilo Magecart	Scripts maliciosos que raspam imagens de documentos e entradas sensíveis de formulários
Ataques de Sobreposição de Formulário	Campos de formulário falsos usados para roubar dados do usuário antes do envio

Boas práticas

Para Usuários:

Use apenas provedores de VPN confiáveis
Nunca faça upload de documentos de identidade em sites não verificados
Evite instalar extensões de navegador de desenvolvedores desconhecidos e certifique-se de que a extensão tenha avaliações positivas e legítimas
Limpe regularmente cookies e dados de sessão. Isso ajuda a reduzir o rastreamento passivo e a exposição a vazamentos de dados entre sites

Para Desenvolvedores:

Audite todas as bibliotecas JavaScript e SDKs de terceiros — no lado do cliente, middleware e servidor
Implemente uma estratégia rigorosa de Content Security Policy (CSP) — se possível
Use Subresource Integrity (SRI) — se possível
Configure Cross-Origin Resource Sharing (CORS)
Previna Cross-Site Scripting (XSS) sanitizando entradas do usuário e usando frameworks de templates seguros
Adicione um sistema de token seguro
Monitore o DOM e as requisições de rede

O cside pode ajudar com vários desses pontos.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

A Online Safety Act 2023 exige que sites que hospedam conteúdo adulto e material potencialmente prejudicial verifiquem se os visitantes têm mais de 18 anos. Isso pode ser feito permitindo que os visitantes façam upload de um documento de identidade emitido pelo governo, estimativa de idade por reconhecimento facial via selfie ou validação de titularidade de cartão de crédito/débito.

Tanto sites com sede no Reino Unido quanto sites internacionais acessíveis no país são obrigados a cumprir a lei. Plataformas que não o fizerem correm o risco de ser bloqueadas ou multadas pela Ofcom (Office of Communications).

Os usuários podem contornar o sistema usando uma VPN para simular que estão fora do Reino Unido. Isso já gerou um aumento expressivo nos downloads de VPNs. Usar uma VPN também não elimina os riscos de segurança cibernética introduzidos por esses sistemas de verificação.

A lei foi criada para proteger crianças, mas traz riscos à privacidade se a verificação for mal implementada. Os usuários precisam fazer upload de dados sensíveis, que podem ser expostos por meio de sites de phishing, VPNs infectadas com malware ou ferramentas de verificação de terceiros comprometidas. Esses sistemas de verificação de idade se tornarão alvos para roubo de identidade e vigilância.

A verificação de idade cria uma nova superfície de ataque para cibercriminosos, especialmente porque muitas plataformas precisaram implementá-la rapidamente para não perder receita. Documentos de identidade são ativos de alto valor. Ataques por meio do sequestro ou da imitação de sistemas de verificação de identidade tendem a aumentar. O uso de informações pessoais sensíveis ficou ainda mais normalizado, o que é, em geral, algo negativo.

Para usuários: tenha cuidado ao fazer upload de documentos de identidade em sites. Sempre verifique se isso é realmente necessário e, quando houver opção, prefira métodos menos arriscados. Roubo de identidade é difícil de reverter; emitir um novo cartão bancário pode ser mais fácil. Se decidir usar uma VPN, opte por provedores confiáveis. Evite instalar extensões de navegador desconhecidas. Desenvolvedores devem tratar o navegador como uma fronteira crítica de segurança, auditando todos os scripts de terceiros e adotando soluções de segurança para o lado do cliente.

A verificação de idade é exigida como parte da Online Safety Act 2023. A nova lei tem como objetivo impedir que crianças acessem conteúdo prejudicial online. Os tipos de conteúdo prejudicial incluem pornografia, bem como material relacionado a automutilação, suicídio e transtornos alimentares.

Qualquer site ou aplicativo que hospede conteúdo adulto ou material considerado prejudicial a crianças deve cumprir a lei. Isso também inclui plataformas sociais onde esse tipo de material pode ser compartilhado, como Reddit, Discord, Bluesky, X/Twitter e similares — atualmente mais de 6.000 plataformas.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Como Prevenir a Criação de Contas Falsas: Porque a Deteção na Camada do Navegador Apanha o que a Verificação de Email Não Vê

A verificação de email confirma que uma caixa de correio existe. Não consegue ver o navegador. Eis porque a deteção na camada do navegador apanha contas falsas que ela não vê.

Ataque à cadeia de suprimentos do Polyfill.io: linha do tempo completa, análise e lições (2024–2026)

Uma linha do tempo completa e documentada do ataque à cadeia de suprimentos do Polyfill.io, da venda do domínio em 2024 às sanções contra a Funnull em 2025, e como removê-lo hoje.

Capa escura do blog cside com fundo de pixels azuis e três marcas de verificação: por que regras de velocidade falham contra agentes de teste de cartão com IA, os sinais do navegador que os expõem e como bloquear o pagamento antes do checkout

Como Bloquear Agentes de Teste de Cartão com IA

Agentes de IA de teste de cartão sondam fluxos de pagamento com navegadores reais. Aprenda os sinais que os expõem antes de concluir uma transação.

Plataforma de segurança cside classificando múltiplas conexões de agentes de IA — detecção de agentes em nível de navegador e gerenciamento de confiança

Como escolher uma solução de detecção de agentes de IA

Um guia de compra em cinco etapas para CISOs que avaliam soluções de detecção de agentes de IA: arquitetura, classificação, perfis de fornecedores e metodologia de POC.

Capa do blog cside mostrando uma interface de navegador filtrando o tráfego de bots e agentes de IA em caminhos confiáveis e bloqueados

Melhores Plataformas de Gestão de Confiança de Bots e Agentes Comparadas (2026)

Forrester define a categoria. cside, DataDome, HUMAN Security, Kasada e Arkose Labs comparadas em camada de detecção, intenção e cobertura agêntica.

escudo de segurança cside a monitorizar o percurso do cursor do browser — deteção de agentes de IA na camada do browser

Como Bloquear o OpenAI Operator no Seu Site

O OpenAI Operator navega no seu site como um utilizador real. Aprenda a detectá-lo com sinais da camada do browser e quando não o deve bloquear.

DBSC versus fingerprint de dispositivo: o que a segurança de sessão do Chrome não cobre

O DBSC do Chrome impede o reuso de cookies roubados, mas é só Chrome, pós-login e sem identidade de dispositivo. Veja a fraude que ele deixa.

Detetar e bloquear o Perplexity Shopper no seu site — blog cside

Como bloquear o Perplexity Shopper no seu site

O Perplexity Shopper navega e compra em sites de retalho em nome de utilizadores Pro. Aprenda a detetar os seus sinais e a governar esse tráfego.

Ilustração de um pedido à API da Claude e de uma resposta devolvida que pertence a outro utilizador, marcada como «a resposta não corresponde ao pedido», entre os logótipos da Anthropic e da cside

Quando uma API de IA devolve a resposta de outro utilizador: caches partilhadas e fugas entre clientes

Um incidente na API da Claude parece ter devolvido respostas de outros utilizadores. Porque é que as caches partilhadas causam fugas entre clientes.

Um token de acesso OAuth 2.0 no centro de um diagrama conectando um dispositivo legítimo ao dispositivo de um atacante

Não foi a MFA que falhou, foi o modelo de confiança: device code phishing e roubo de tokens OAuth (Kali365)

O Kali365 abusa da concessão de autorização de dispositivo do OAuth 2.0 para roubar tokens do Microsoft 365 após MFA. Análise técnica do fluxo, FOCI e detecção.