Blog

Utah SB 73: agora é responsável pelas VPNs dos seus utilizadores

Utah é o primeiro estado dos EUA a responsabilizar operadores quando utilizadores usam VPN para contornar a verificação de idade. Uma lista de bloqueio por IP não resolve isto.

May 05, 2026 • 8 min read

Mike Kutlu Author

Capa escura do blog cside com pontos sobre responsabilidade por bypass com VPN

A Utah Senate Bill 73 entrou em vigor em maio de 2026, tornando Utah o primeiro estado dos EUA a responsabilizar operadores de sites quando utilizadores usam uma VPN ou proxy para contornar verificações de idade. A lei não visa fornecedores de VPN. Visa-o a si, o operador, e não aceita "usaram uma VPN" como defesa.

A NordVPN descreveu a lei como "um paradoxo de conformidade irresolúvel". A Electronic Frontier Foundation chamou-lhe "um jogo técnico de whack-a-mole que provavelmente nenhuma empresa consegue vencer". Ambas descrevem o mesmo problema: a deteção VPN tradicional não funciona suficientemente bem para satisfazer uma norma de responsabilidade por violação.

Foi para isto que a deteção VPN da cside foi criada.

O que a Utah SB 73 exige realmente

Resposta rápida: A Utah SB 73 exige que operadores de sites com conteúdo prejudicial para menores tratem utilizadores fisicamente localizados em Utah como utilizadores de Utah, independentemente de encaminharem o tráfego por uma VPN, proxy ou qualquer outra ferramenta de ocultação de localização. Os operadores continuam responsáveis pelo acesso que ocorre através de uma ligação mascarada. A lei também proíbe operadores de publicarem instruções sobre como usar VPNs para contornar os seus próprios controlos de idade.

A lei altera os requisitos existentes de verificação de idade de Utah para sites com uma "parte substancial de material prejudicial para menores". A adição central é uma regra de localização presumida: um utilizador fisicamente dentro de Utah é legalmente um utilizador de Utah, mesmo que o dispositivo apresente um endereço IP fora de Utah.

Essa única regra muda completamente o problema de conformidade. Antes, a questão era se tinha um controlo de idade. Agora, a questão é se o seu controlo de idade funciona contra utilizadores que tentam ativamente derrotá-lo. Uma lista estática de nós de saída VPN conhecidos não responde de forma fiável a nenhuma das perguntas.

A lei também proíbe operadores de partilharem instruções que ajudem utilizadores a contornar o controlo de idade. Publicar um artigo de ajuda que mencione VPNs no contexto de controlo de acesso passa a ser um risco de responsabilidade separado.

Porque uma lista de bloqueio por IP não resolve isto

Resposta rápida: Listas estáticas de bloqueio VPN falham porque fornecedores comerciais de VPN rodam intervalos de IP mais depressa do que qualquer lista consegue ser atualizada, serviços de proxy residencial encaminham tráfego por IPs reais de consumidores que nunca aparecem em listas de bloqueio, e novos serviços VPN surgem todos os dias. Uma abordagem por lista de bloqueio é reativa por definição. A Utah SB 73 exige deteção que funcione em serviços VPN desconhecidos, não apenas nos catalogados.

A indústria VPN opera em escala. Grandes fornecedores rodam milhões de endereços IP por milhares de nós de saída. Redes de proxy residencial são ainda mais difíceis: encaminham tráfego por endereços IP atribuídos a ligações domésticas reais de banda larga, que são indistinguíveis de utilizadores legítimos apenas pelo endereço IP.

Listas estáticas de bloqueio eram apenas marginalmente adequadas quando o uso de VPN era um comportamento de nicho. Já não são. Depois de a Florida HB3 entrar em vigor em novembro de 2025, o uso de VPN subiu acentuadamente entre a população exata que a lei pretendia controlar, à medida que os utilizadores procuravam contornos. Operadores em Utah devem esperar o mesmo padrão.

A crítica técnica da EFF e da NordVPN está correta num sentido: não se ganha uma guerra de listas de bloqueio. A resposta é deixar de combater isto nos endereços IP.

A vaga crescente de leis estaduais de verificação de idade

Resposta rápida: A Utah SB 73 é a terceira grande lei estadual dos EUA de verificação de idade a criar responsabilidade para operadores, após a Texas HB1181 (confirmada pelo Supremo Tribunal em junho de 2025) e a Florida HB3 (cuja aplicação começou em novembro de 2025). Mais de 25 estados dos EUA aprovaram ou estão a avançar requisitos de verificação de idade. A tendência é consistente: legisladores estão a passar de "construa um portão" para "o portão tem de funcionar de verdade".

A Texas HB1181 exige que sites comerciais em que mais de um terço do conteúdo seja "material sexual prejudicial para menores" verifiquem se os utilizadores têm 18 anos ou mais. O Supremo Tribunal dos EUA confirmou a lei em 27 de junho de 2025 em Free Speech Coalition, Inc. v. Paxton, confirmando que mandatos de verificação de idade para conteúdo adulto são constitucionalmente admissíveis.

A Florida HB3 restringe menores de 14 anos de criarem contas em plataformas abrangidas, exige consentimento parental para jovens de 14 e 15 anos, e obriga à verificação de idade para acesso a material prejudicial. O Tribunal de Recurso do Décimo Primeiro Circuito levantou uma injunção em 25 de novembro de 2025, permitindo que a aplicação completa avançasse.

A Utah SB 73 vai mais longe do que qualquer uma das predecessoras. Texas e Florida criam responsabilidade para sites que não implementam controlo de idade. Utah cria responsabilidade para sites cujos controlos de idade são contornados, incluindo por ferramentas controladas pelo utilizador. É uma norma de conformidade materialmente diferente.

A direção é clara. Legisladores não estão satisfeitos com portões que utilizadores sofisticados conseguem contornar. Operadores que dependiam de uma simples verificação de IP ou de uma lista de bloqueio terão de rever a abordagem.

Como é a deteção comportamental de VPN

Resposta rápida: A deteção comportamental de VPN analisa como um utilizador acede a um site em vez de simplesmente comparar o endereço IP com uma lista de VPN conhecidas. Examina sinais de rede, padrões comportamentais e consistência do dispositivo entre pedidos para identificar uso de VPN e proxy, mesmo de serviços ainda não catalogados em nenhuma lista de bloqueio. A cside processa mais de 100 milhões de pedidos por dia, construindo o reconhecimento de padrões que faz esta abordagem funcionar em escala.

A ideia central é que tráfego VPN e proxy tem assinaturas comportamentais consistentes que persistem mesmo quando os endereços IP mudam. Tráfego encaminhado por uma VPN comporta-se de forma diferente de tráfego orgânico de utilizador ao nível da rede: características do caminho de encaminhamento, padrões de latência e a relação entre atributos declarados e reais do dispositivo trazem sinal.

Tráfego de proxy residencial é mais difícil de detetar apenas por IP, mas não por comportamento. Uma sessão de proxy residencial ainda exibe as assimetrias que resultam de tráfego retransmitido: comportamento temporal, consistência da impressão digital do dispositivo e características de padrão de sessão que diferem de um utilizador na sua própria ligação doméstica.

A deteção VPN da cside identifica este tráfego tanto em serviços VPN comerciais como em proxies residenciais, incluindo serviços que ainda não constam de qualquer lista de bloqueio publicada. Quando uma deteção dispara, os operadores escolhem a resposta: bloquear a sessão imediatamente, exigir verificação adicional como CAPTCHA ou uma etapa 2FA antes de conceder acesso, ou registar a deteção para fins de auditoria de conformidade sem interromper o utilizador.

Essa última opção importa para documentação de responsabilidade. A Utah SB 73, tal como a Texas HB1181, cria risco por violação. Operadores que conseguem demonstrar um programa de deteção e resposta de boa-fé estão numa posição materialmente diferente dos que não conseguem.

O que os operadores devem fazer agora

Resposta rápida: Operadores que gerem conteúdo com restrição de idade em qualquer estado dos EUA devem auditar a sua abordagem atual de deteção VPN com um teste simples: funciona contra proxies residenciais e novos serviços VPN, ou apenas contra nós de saída catalogados? Se a resposta for a segunda, não satisfará uma lei estadual que o responsabiliza por acessos contornados. Substitua ou complemente listas estáticas com deteção comportamental antes do próximo ciclo de aplicação.

Comece com uma auditoria da configuração atual:

O seu fluxo de verificação de idade compara IPs com uma lista de bloqueio, ou analisa comportamento de sessão?
Está a registar deteções VPN num formato que cria uma pista de auditoria de conformidade?
Se um utilizador contornar o seu controlo através de um proxy residencial, o sistema deteta-o?
Está a publicar algum conteúdo no site que explique contornos de acesso com VPN?

Se a resposta à última pergunta for sim, remova-o. A Utah SB 73 proíbe explicitamente operadores de publicarem orientação que facilite o contorno.

Para as restantes perguntas, a resposta honesta da maioria das configurações baseadas em listas de bloqueio é que proxies residenciais e serviços VPN recém-lançados não serão detetados. É essa a lacuna que a deteção comportamental fecha.

Conclusão

A Utah SB 73 muda a pergunta de conformidade de "tem um controlo de idade?" para "o seu controlo de idade funciona realmente contra utilizadores que tentam contorná-lo?". Uma lista de bloqueio por IP responde à primeira pergunta. Não responde à segunda.

A deteção comportamental de VPN é a abordagem que responde. Se gere conteúdo com restrição de idade em qualquer estado dos EUA, este é o momento de auditar se a sua deteção atual satisfaz uma norma de responsabilidade por violação.

Veja como funciona a deteção VPN da cside ou marque uma demo para a ver no seu tráfego.

Author Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

A Utah Senate Bill 73 é uma lei de 2026 que altera os requisitos de verificação de idade online do estado. Responsabiliza operadores de sites quando utilizadores fisicamente localizados em Utah acedem a conteúdo sujeito a restrição etária através de uma VPN ou proxy. O endereço IP do utilizador não importa; a localização física em Utah torna o operador responsável, independentemente de como o utilizador encaminha o tráfego.

Fornecedores de VPN e outros críticos usam essa expressão porque as ferramentas VPN são especificamente concebidas para tornar os utilizadores indetetáveis por endereço IP. Uma lista estática de nós de saída VPN conhecidos não consegue acompanhar fornecedores que rodam milhões de IPs. A lei não é paradoxal se detetar VPNs por comportamento em vez de catálogos de IP, mas não pode ser resolvida apenas com uma lista.

Texas e Florida criam responsabilidade para operadores que não implementam verificação de idade. Utah cria uma camada adicional de responsabilidade: se um utilizador contornar o seu controlo de idade usando uma VPN, continua responsável. É a diferença entre exigir uma fechadura numa porta e exigir que a fechadura mantenha efetivamente as pessoas do lado de fora.

As opções dependem da sua postura de risco. Pode bloquear totalmente o acesso de sessões VPN detetadas, exigir verificação reforçada antes de conceder acesso, ou registar a deteção para uma pista de auditoria de conformidade sem interromper o utilizador. A cside suporta os três modos de resposta e permite que os operadores os configurem por tipo de conteúdo ou jurisdição.

Sim. O tráfego de proxy residencial passa por endereços IP reais de consumidores que nunca aparecem em listas de bloqueio VPN. A abordagem comportamental da cside deteta características de sessão do tráfego proxy independentemente do endereço IP que lhe é atribuído, cobrindo tanto nós de saída VPN comerciais como serviços de proxy residencial.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.

Ilustração do stack de segurança com inferência no dispositivo

A inferência no dispositivo está a chegar ao seu stack de segurança: para melhor e pior

A IA local pode proteger dados sensíveis e reforçar endpoints, mas cria novos riscos de prompt injection, telemetria e navegador.

Capa escura do blog cside com pontos sobre ferramentas de deteção de agentes de IA

4 ferramentas para detetar agentes de IA no seu site (prevenção de fraude)

Comparação de cside, HUMAN Security, DataDome e Cloudflare para deteção de agentes de IA. Veja como cada ferramenta lida com prevenção de fraude, preços e implementação.

Capa escura do blog cside com pontos sobre bloquear bots de teste de cartão com IA

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Agentes de teste de cartão com IA usam browsers reais para validar credenciais roubadas em escala. Saiba como detetá-los e bloqueá-los antes do pagamento.

Capa escura do blog cside com pontos sobre usos e bloqueio de navegadores stealth

O Que São Navegadores Stealth (ou 'Anti-Detect') e Quando Bloqueá-los

Navegadores stealth contornam a deteção de bots. Navegadores anti-detect falsificam impressões digitais. Conheça os sinais que revelam ambos, mesmo quando parecem humanos.

Distintivo SourceForge Spring 2026 Top Performer junto de um gráfico de dashboard cside

cside nomeada SourceForge Spring 2026 Top Performer em segurança do lado do cliente

A cside foi nomeada SourceForge Spring 2026 Top Performer, sinal de confiança dos utilizadores em segurança do lado do cliente.

Capa escura do blog cside com pontos sobre deteção de tráfego de agentes de IA

Como Detectar Agentes de IA no Seu Website | Guia Completo

Este guia aborda a deteção de agentes de IA através de sinais de identidade, rede, navegador e comportamento. Veja métodos gratuitos como análise de logs de servidor e ferramentas especializadas.

Globo de rede azul e ícones de segurança do navegador numa capa escura da cside

cside copreside a segurança antifraude do navegador no W3C

Simon Wijckmans é agora copresidente do AFCG do W3C enquanto a cside ajuda a definir sinais privados contra fraude com IA.