Verificação de idade no Reino Unido: o que exige a lei, métodos “altamente eficazes” e como os implementar com fricção mínima

Key takeaways (TL;DR)
 

A Online Safety Act 2023 exige uma garantia de acesso apenas a adultos “altamente eficaz” para proteger menores; a Ofcom supervisiona o cumprimento.

Sanções por incumprimento: até 10% das receitas globais ou £18m e possível bloqueio no Reino Unido.

A autodeterminação “tenho 18+” já não chega; exigem-se técnicas como estimativa de idade com suporte de documento + liveness e integrações de identidade com resposta binária.

Padrão recomendado: método primário de baixa fricção (estimativa de idade) + fallback documental em casos duvidosos; privacy by design e medição contínua.

A verificação de idade no Reino Unido deixou de ser opcional ou cosmética: desde 2025, as plataformas que operam em UK devem impedir o acesso de menores a conteúdo nocivo e demonstrá-lo com métodos “altamente eficazes”, sob a supervisão da Ofcom, o regulador nacional das comunicações.

O não cumprimento pode levar a multas até 10% das receitas globais e até £18 milhões, além de bloqueios de serviço e danos reputacionais. Por isso, as empresas que operam no Reino Unido estarão sob escrutínio crescente quanto ao tratamento de dados pessoais e à fluidez dos seus controlos de verificação de idade.

Este artigo ajuda as suas equipas de produto, jurídica e de conformidade a compreenderem o novo quadro e os critérios para escolher e implementar uma solução de verificação de idade que reduza fricção e acelere a aprovação.

O que mudou com a Online Safety Act e desde quando se aplica

A Online Safety Act 2023 estabelece um dever claro para as plataformas: impedir o acesso de menores a conteúdos nocivos e prová-lo através de medidas “altamente eficazes” em restringir o acesso a adultos. O calendário é faseado: para a Parte 5 (serviços que publicam a sua própria pornografia), a obrigação começou em 17 de janeiro de 2025; para a Parte 3 (user-to-user e motores de pesquisa), a avaliação de acesso infantil tinha de estar concluída até 16 de abril de 2025 e, desde 25 de julho de 2025 — Age Verification Day — todos os serviços que permitem pornografia devem ter controlos de idade robustos em produção. Nesse mesmo dia, a Ofcom iniciou as verificações e as primeiras investigações.

Este enquadramento apoia-se nos códigos de proteção infantil e na orientação da Ofcom (janeiro–abril de 2025), que clarificam expectativas quanto a eficácia, proporcionalidade e privacidade. A autodeterminação (“Sim, tenho 18 anos”) deixa de ser aceitável; exige-se evidência técnica: estimativa de idade baseada em biometria e IA, verificação documental com correspondência facial (Face Match 1:1) e liveness, ou integrações de identidade que devolvam um sim/não com mínima transferência de dados, como as identity wallets. Estas técnicas são válidas quando são fiáveis, robustas e monitorizadas continuamente.

Em caso de incumprimento, a Ofcom pode aplicar multas até 10% das receitas globais ou £18 milhões, além de solicitar o bloqueio do serviço no Reino Unido. O regulador espera decisões baseadas no risco, documentação, métricas de eficácia e uma implementação privacy by design que não transforme a verificação num estrangulamento.

Quem tem de verificar a idade? O verdadeiro alcance (para lá da pornografia)

A obrigação não se limita a “sites para adultos”. Desde 25 de julho de 2025, qualquer serviço que publique ou permita pornografia — conteúdo próprio ou gerado por utilizadores — deve aplicar controlos de idade “altamente eficazes” para impedir o acesso de menores. O quadro distingue dois casos:

• Parte 5 (fornecedores de pornografia). Serviços que publicam a sua própria pornografia: obrigatórios desde 17/01/2025.
• Parte 3 (user-to-user e pesquisa). Redes sociais, comunidades, fóruns, mensagens e motores de pesquisa: tinham de concluir a avaliação de acesso infantil antes de 16/04/2025 e, quando houver risco de exposição a conteúdos nocivos (incluindo pornografia), aplicar medidas proporcionais, entre elas age assurance.

Na prática, o alcance inclui plataformas UGC com subfóruns ou canais +18, serviços de streaming com espaços comunitários onde esse conteúdo possa surgir, motores de pesquisa que indexam e apresentam resultados pornográficos a utilizadores no Reino Unido e até ferramentas de IA generativa que publicam material sexual explícito no serviço. Sempre que exista um risco razoável de exposição, a Ofcom espera sistemas e processos capazes de prevenir essa exposição — não bastam avisos.

Para além da pornografia, os códigos infantis da Parte 3 obrigam a gerir riscos de autolesão, suicídio, perturbações alimentares e outros danos a menores. Nestes casos, a garantia de maioria de idade combina-se com medidas de design e moderação (p.ex., limitar mensagens privadas de desconhecidos, ajustar recomendações, ativar safe-search por defeito e controlos parentais), em função do risco.

Métodos para verificar a idade: como escolher segundo risco, privacidade e UX

As orientações oficiais reconhecem vários métodos “altamente eficazes” que podem ser combinados numa defesa em profundidade:

• Estimativa de idade facial. Com biometria e IA, prevê a faixa etária do utilizador sem pedir mais informação nem identificar a pessoa. Baixa fricção.
• Documento + Biometria. Confirma a maioria de idade através de validação documental e biometria (Face Match 1:1 e liveness). Implica maior fricção e gestão de dados sensíveis.
• Cartão de crédito. Um indício de acesso a meios reservados a adultos. Cobertura limitada.
• Identidade digital (via identity wallet). Permite devolver apenas um sim/não sobre a maioria de idade, com mínima partilha de dados. Sólido do ponto de vista privacy by design.
• Sinais telco ou email. Úteis como complemento, mas insuficientes por si só.

A seleção deve equilibrar nível de risco, contexto de conteúdo, jurisdição, privacidade, aceitação dos utilizadores e custo total.

Privacidade primeiro: cumprir sem armazenar dados sensíveis

O regulador e o governo britânico sublinham proporcionalidade e minimização de dados. Na prática:

• Não armazenar biometria ou documentos se não for necessário.
• Definir a retenção mínima de informação, com encriptação, segregação e controlos de acesso.
• Executar DPIAs (Avaliação de Impacto sobre a Proteção de Dados), registos de atividades e avaliações de fornecedores.
• Mensagens transparentes ao utilizador: porquê a verificação, o que é processado e por quanto tempo.

O objetivo é demonstrar conformidade e gerar confiança sem aumentar a fricção.

Impacto e polémica: o que esperar do mercado

Após a entrada em vigor, o governo apontou para uma mudança significativa na interação dos menores com a internet, com controlos de idade a alargarem-se a mais superfícies e algoritmos ajustados para reduzir a exposição a conteúdos nocivos. Em paralelo, observou-se um aumento do uso de VPNs para tentar contornar controlos; o mandato regulatório sublinha que as plataformas devem prevenir bypasses razoavelmente previsíveis e não promover atalhos. O debate prossegue entre ONGs que valorizam a proteção reforçada e defensores da privacidade e da liberdade de expressão que exigem proporcionalidade e transparência. Para as empresas, a conclusão é clara: conformidade prática, rastreável e respeitadora da privacidade.

Estimativa de Idade da Didit: verificação sem fricção e com fallback seguro

A solução de Estimativa de Idade da Didit estima a idade do utilizador com muito baixa fricção e, quando deteta incerteza, ativa um fallback (documento + biometria) para aumentar a segurança do processo.

A abordagem da Didit prioriza:

• UX sem fricção. Validação de idade em segundos, minimizando o abandono.
• Aceitação mais rápida. Menos passos e menos fricção aumentam a taxa de conclusão.
• Respaldo seguro. O fallback responde com maior certeza nas zonas cinzentas, equilibrando privacidade e risco.
• Privacy by design. Arquitetura pensada para minimizar dados e devolver respostas binárias quando aplicável.

Ao nível de integração, a Didit permite começar a verificar a idade dos seus utilizadores em poucos minutos, através de links de verificação (No Code) ou APIs, oferecendo flexibilidade aos processos. É especialmente indicado para plataformas onde a conversão é crítica e cada fricção impacta o negócio.

Conheça os detalhes técnicos da funcionalidade de Estimativa de Idade na nossa documentação técnica.

Conclusão: uma verificação de idade que muda o jogo no Reino Unido

O novo quadro exige resultados mensuráveis: menores longe de conteúdos nocivos sem sacrificar a privacidade nem penalizar a UX. A fórmula eficaz combina métodos de baixa fricção com fallbacks de alta certeza, observabilidade e evidências. A Estimativa de Idade da Didit segue este modelo: reduz fricção, acelera a aceitação e acrescenta garantias quando necessário, com privacy by design desde a arquitetura.