Key takeaways (TL;DR)
 

A Online Safety Act 2023 exige uma garantia “altamente eficaz” de acesso apenas para adultos a fim de proteger menores; a Ofcom fiscaliza o cumprimento.

Sanções por descumprimento: até 10% da receita global ou £18 milhões, além de possível bloqueio no Reino Unido.

Autodeclaração (“tenho 18+”) não basta; são necessárias técnicas como estimativa de idade com suporte de documento + liveness e integrações de identidade com resposta binária.

Padrão recomendado: método primário de baixa fricção (estimativa de idade) + fallback documental em casos duvidosos; privacidade desde a concepção (privacy by design) e mensuração contínua.

A verificação de idade no Reino Unido deixou de ser opcional ou “cosmética”: desde 2025, plataformas que operam no país devem impedir o acesso de menores a conteúdo prejudicial e comprovar isso com métodos “altamente eficazes”, sob supervisão da Ofcom, o regulador nacional de comunicações.

O descumprimento pode levar a multas de até 10% da receita global e até £18 milhões, além de bloqueios e danos reputacionais. Por isso, empresas que atuam no Reino Unido estarão sob escrutínio crescente quanto ao tratamento de dados pessoais e à fluidez da verificação de idade.

Este guia ajuda seus times de produto, jurídico e conformidade a entenderem o novo marco e os critérios para escolher e implementar uma solução de verificação de idade que reduza fricção e acelere a aprovação.

O que mudou com a Online Safety Act e desde quando se aplica

A Online Safety Act 2023 impõe às plataformas um dever claro: impedir o acesso de menores a conteúdos nocivos e comprovar por meio de medidas “altamente eficazes” para restringir o acesso a adultos. A implementação é escalonada: para a Parte 5 (serviços que publicam sua própria pornografia), a obrigação começou em 17 de janeiro de 2025; para a Parte 3 (user-to-user e buscadores), a avaliação de acesso infantil tinha de ser concluída até 16 de abril de 2025 e, a partir de 25 de julho de 2025 — Age Verification Day — todos os serviços que permitem pornografia devem ter controles robustos de idade em produção. Nesse mesmo dia, a Ofcom iniciou as verificações e as primeiras investigações.

Esse arcabouço se apoia nos códigos de proteção infantil e nas diretrizes da Ofcom (janeiro–abril de 2025), que detalham expectativas de eficácia, proporcionalidade e privacidade. A autodeclaração (“sim, tenho 18 anos”) deixou de ser aceita; exige-se evidência técnica: estimativa de idade baseada em biometria e IA, verificação de documento com correspondência facial (Face Match 1:1) e liveness, ou integrações de identidade que retornem um sim/não com mínima troca de dados, como as wallets de identidade. Essas técnicas são válidas quando confiáveis, robustas e monitoradas continuamente.

Em caso de descumprimento, a Ofcom pode aplicar multas de até 10% da receita global ou £18 milhões e solicitar o bloqueio do serviço no Reino Unido. O regulador espera decisões baseadas em risco, documentação, métricas de eficácia e uma implementação privacy by design que não transforme a verificação em gargalo.

Quem precisa verificar a idade? O alcance real (vai além de pornografia)

A obrigação não se limita a “sites adultos”. Desde 25 de julho de 2025, qualquer serviço que publique ou permita pornografia — conteúdo próprio ou gerado por usuários — deve aplicar controles de idade “altamente eficazes” para impedir o acesso de menores. O marco distingue dois casos:

• Parte 5 (fornecedores de pornografia). Serviços que publicam sua própria pornografia: obrigatórios desde 17/01/2025.
• Parte 3 (user-to-user e busca). Redes sociais, comunidades, fóruns, mensageria e motores de busca: tinham de concluir a avaliação de acesso infantil antes de 16/04/2025 e, havendo risco de exposição a conteúdo nocivo (incluindo pornografia), adotar medidas proporcionais, entre elas age assurance.

Na prática, o alcance inclui plataformas UGC com subfóruns/canais +18, serviços de streaming com espaços comunitários onde esse conteúdo possa surgir, motores de busca que indexam e apresentam resultados pornográficos a usuários no Reino Unido e até ferramentas de IA generativa que publicam material sexual explícito dentro do serviço. Onde houver risco razoável de exposição, a Ofcom espera sistemas e processos capazes de prevenir essa exposição — avisos não bastam.

Além de pornografia, os códigos infantis da Parte 3 exigem gestão de riscos de autolesão, suicídio, transtornos alimentares e outros danos a menores. Nesses casos, a garantia de idade combina-se com medidas de design e moderação (ex.: limitar DMs de desconhecidos, ajustar recomendações, ativar safe-search por padrão e controles parentais), conforme o risco.

Métodos para verificar idade: como escolher por risco, privacidade e UX

As diretrizes oficiais reconhecem vários métodos “altamente eficazes” que podem ser combinados em defesa em profundidade:

• Estimativa de idade facial. Com biometria e IA, prevê a faixa etária sem solicitar mais dados nem identificar a pessoa. Baixa fricção.
• Documento + biometria. Confirma maioridade por validação documental e biometria (Face Match 1:1 e liveness). Maior fricção e tratamento de dados sensíveis.
• Cartão de crédito. Um indício de acesso a meios exclusivos de adultos. Cobertura limitada.
• Identidade digital (via wallet de identidade). Retorna apenas um sim/não sobre maioridade, com mínima troca de dados. Forte em privacy by design.
• Sinais de telco ou e-mail. Úteis como complemento, mas insuficientes isoladamente.

A seleção deve equilibrar nível de risco, contexto do conteúdo, jurisdição, privacidade, aceitação do usuário e custo total.

Privacidade em primeiro lugar: cumprir sem guardar dados sensíveis

O regulador e o governo britânico enfatizam proporcionalidade e minimização de dados. Na prática:

• Não armazenar biometria ou documentos se não for necessário.
• Definir retenção mínima com criptografia, segregação e controles de acesso.
• Realizar DPIAs (Avaliações de Impacto à Proteção de Dados), registrar atividades e avaliar fornecedores.
• Mensagens transparentes ao usuário: por que verificar, o que é processado e por quanto tempo.

O objetivo é demonstrar conformidade e gerar confiança sem aumentar a fricção.

Impacto e controvérsia: o que esperar do mercado

Após a entrada em vigor, o governo sinalizou uma mudança significativa na interação de menores com a internet, com checagens de idade em mais superfícies e ajustes algorítmicos para reduzir exposição a conteúdo nocivo. Em paralelo, observou-se maior uso de VPNs para tentar burlar controles; o mandato regulatório ressalta que as plataformas devem prevenir bypasses razoavelmente previsíveis e não promover atalhos. O debate segue entre ONGs que celebram a proteção reforçada e defensores de privacidade e liberdade de expressão que pedem proporcionalidade e transparência. Para as empresas, a conclusão é clara: conformidade prática, auditável e respeitosa à privacidade.

Estimativa de Idade da Didit: verificação sem fricção e com fallback seguro

A solução de Estimativa de Idade da Didit estima a idade do usuário com baixíssima fricção e, quando detecta incerteza, aciona um fallback (documento + biometria) para aumentar a garantia do processo.

A abordagem da Didit prioriza:

• UX sem fricção. Validação de idade em segundos, reduzindo abandono.
• Maior taxa de aprovação. Menos passos e menos fricção elevam a conclusão.
• Fallback seguro. Atende zonas cinzentas com verificações mais fortes, equilibrando privacidade e risco.
• Privacidade desde a concepção. Arquitetura que minimiza a coleta e retorna respostas binárias quando possível.

No lado da integração, a Didit permite começar a verificar a idade em minutos via links de verificação (No Code) ou APIs, oferecendo flexibilidade ao seu fluxo. É especialmente indicado onde conversão é crítica e cada atrito pesa no resultado.

Conheça os detalhes técnicos do recurso de Estimativa de Idade na nossa documentação técnica.

Conclusão: uma verificação de idade que muda o jogo no Reino Unido

O novo marco exige resultados mensuráveis: menores longe de conteúdo nocivo sem sacrificar a privacidade nem prejudicar a experiência do usuário. A fórmula vencedora combina métodos de baixa fricção com fallbacks de alta certeza, observabilidade e evidências. A Estimativa de Idade da Didit segue essa linha: reduz fricção, acelera a aprovação e adiciona garantias quando necessário, com privacy by design desde a arquitetura.

<!-- FAQ 2 -->
<div class="faq-item">
  <input type="checkbox" id="faq-2" class="faq-checkbox">
  <label for="faq-2" class="faq-question">
    <span>O que a Ofcom considera “altamente eficaz”?</span>
    <span class="faq-icon"></span>
  </label>
  <div class="faq-answer">
    <div class="faq-answer-text">
      Soluções capazes de determinar com confiabilidade se um usuário é menor, com <em>liveness</em>, controles <em>anti-spoofing</em>, mensuração contínua e mitigação de vieses. Inclui <em>age verification</em> e <em>age estimation</em>.
    </div>
  </div>
</div>

<!-- FAQ 3 -->
<div class="faq-item">
  <input type="checkbox" id="faq-3" class="faq-checkbox">
  <label for="faq-3" class="faq-question">
    <span>Aviso “18+” ou <em>age gate</em> básico é suficiente?</span>
    <span class="faq-icon"></span>
  </label>
  <div class="faq-answer">
    <div class="faq-answer-text">
      Não. A autodeclaração deixou de ser aceitável: exige-se evidência técnica.
    </div>
  </div>
</div>

<!-- FAQ 4 -->
<div class="faq-item">
  <input type="checkbox" id="faq-4" class="faq-checkbox">
  <label for="faq-4" class="faq-question">
    <span>Que evidências devo manter para auditoria?</span>
    <span class="faq-icon"></span>
  </label>
  <div class="faq-answer">
    <div class="faq-answer-text">
      DPIAs, decisões de design, métricas (taxa de aprovação, falsos positivos/negativos, tempo de verificação), logs de incidentes e relatórios de eficácia.
    </div>
  </div>
</div>

<!-- FAQ 5 -->
<div class="faq-item">
  <input type="checkbox" id="faq-5" class="faq-checkbox">
  <label for="faq-5" class="faq-question">
    <span>VPNs anulam a verificação?</span>
    <span class="faq-icon"></span>
  </label>
  <div class="faq-answer">
    <div class="faq-answer-text">
      Não. Espera-se prevenir <em>bypasses</em> razoavelmente previsíveis e agir sobre padrões de evasão.
    </div>
  </div>
</div>

<!-- FAQ 6 -->
<div class="faq-item">
  <input type="checkbox" id="faq-6" class="faq-checkbox">
  <label for="faq-6" class="faq-question">
    <span>Como isso afeta a conversão?</span>
    <span class="faq-icon"></span>
  </label>
  <div class="faq-answer">
    <div class="faq-answer-text">
      Depende do método. Fluxos de baixa fricção como <em>age estimation</em> tendem a reduzir abandono; por isso o padrão primário + <em>fallback</em>.
    </div>
  </div>
</div>

<!-- FAQ 7 -->
<div class="faq-item">
  <input type="checkbox" id="faq-7" class="faq-checkbox">
  <label for="faq-7" class="faq-question">
    <span>Qual método escolher segundo meu perfil de risco?</span>
    <span class="faq-icon"></span>
  </label>
  <div class="faq-answer">
    <div class="faq-answer-text">
      Para UGC ou conteúdo imprevisível: <em>age estimation</em> como primário e <em>fallback</em> documental para casos duvidosos.
      Para compras pontuais: cartão/<em>open banking</em> como sinal adicional.
      Em cenários de alto risco intrínseco (serviço publica pornografia), a verificação documental pode predominar.
    </div>
  </div>
</div>

<!-- FAQ 8 -->
<div class="faq-item">
  <input type="checkbox" id="faq-8" class="faq-checkbox">
  <label for="faq-8" class="faq-question">
    <span>Como conciliar <em>privacy by design</em> com <em>age assurance</em>?</span>
    <span class="faq-icon"></span>
  </label>
  <div class="faq-answer">
    <div class="faq-answer-text">
      Com minimização de dados, respostas binárias quando possível, retenção limitada, criptografia e transparência ao usuário, além de DPIAs e seleção rigorosa de fornecedores.
    </div>
  </div>
</div>