Verificação de idade que realmente funciona: o plano 30-60-90 do CTO

Bruxelas lançou um aplicativo de checagem de idade; hackers o quebraram em dois minutos. Isso não é um problema da Europa. É um padrão: checagens frágeis no cliente, tokens previsíveis e ausência de testes adversariais. Se você lidera um produto sob pressão por controle de acesso por idade em 2026 — social, games, fintech, marketplaces de UGC ou qualquer coisa que toque o UK Online Safety Act, COPPA ou EU DSA — você está a uma implementação descuidada de virar manchete e receber um e-mail do regulador.

Vamos resolver isso com um framework de decisão e um plano realista de 30-60-90 dias. Nada de ensaio de compliance. Um plano de engenharia que você consegue executar.

Primeiros princípios: o que “bom” significa

• Comece pelo modelo de ameaças: Você está se defendendo de menores motivados com tempo livre, adultos buscando anonimato, fazendas automatizadas e modders com dispositivos rooteados. Assuma que usam LLMs para automatizar e iterar exploits. O uso ofensivo de IA é um fato da vida agora — exploits recentes mostram que bugs pequenos mais uma ferramenta de IA podem escalar danos rapidamente.
• Verificado no servidor, resistente a adulteração: Nunca confie no estado do cliente para decisões finais. Tokens devem ser de curta duração, vinculados ao público-alvo e verificados no servidor ou na borda. Pressuponha que o JavaScript é transparente para o seu atacante.
• Minimização de dados por design: Armazene prova da prova, não PII bruta. Se um fornecedor puder manter documentos e você só guardar atestações assinadas, faça isso.
• Instrumentado e mensurável: Acompanhe falsa aceitação/negação, taxas de desafio, funis de nova tentativa e indicadores de bot. Você não consegue melhorar o que não mede.
• Falhe com segurança: Na dúvida, limite o acesso de forma graciosa, não com barreiras frágeis de bloqueio total que empurram usuários a procurar bypass por frustração.

Escolha seu nível de garantia antes de escolher o fornecedor

Defina a garantia de que você precisa e a fricção que tolera. Não existe fluxo mágico que seja ao mesmo tempo zero-fricção e à prova de balas.

1. Autodeclaração + controles do dispositivo (Baixa garantia, Baixa fricção)
   Adequado para classificação de conteúdo de baixo risco. Pense em filtros de conteúdo, não em barreiras legais de idade. Implemente ganchos para controles parentais e nudges honestos. Espere alta taxa de contorno por usuários motivados.
2. Gate por instrumento de pagamento (Média garantia, Média fricção)
   Verifique um cartão de titular adulto via captura de US$0 ou autorização de US$1 por meio de um PSP (ex.: Stripe). Isso geralmente filtra menores, mas falha para cartões compartilhados ou pré-pagos. Custo: ~US$0,05–US$0,30 por checagem; configuração em 1–2 sprints.
3. Documento + selfie KYC (Alta garantia, Alta fricção)
   Use um fornecedor regulado (ex.: Onfido, Veriff, Persona, Trulioo) para verificar ID governamental com prova de vivacidade. Custo típico: US$1–US$3 por verificação, maior em regiões difíceis. Espere 85–92% de conclusão na primeira tentativa no mobile com boa UX. Armazene atestações, não imagens.
4. eID / MNO / identidade bancária (Muito alta garantia, Fricção variável)
   Onde disponível, use eID governamental (eIDAS, BankID), checagens via operadora móvel (MNO) ou atestações de idade baseadas em banco. Melhor para mercados regulados; cobertura varia muito; integração pode levar mais tempo, mas oferece a defesa mais forte.

Mapeie o acima para sua exposição regulatória:

• COPPA (US): Se você coleta intencionalmente dados de menores de 13 anos, precisa de consentimento verificável dos pais. Verificação baseada em pagamento ou ID atende ao nível exigido; autodeclaração não.
• UK Online Safety Act: Barreiras a conteúdo nocivo para menores provavelmente exigem garantia mais forte que autodeclaração; reguladores vão buscar fundamentação e testes documentados.
• EU DSA/AVMSD e regimes locais: Espere variações; documente seu DPIA (Data Protection Impact Assessment) e os controles de minimização.

O que quebrou em dois minutos? Os suspeitos de sempre

Não precisamos de post-mortems vazados para adivinhar a classe de bugs que derrubam checagens de idade rapidamente:

• Confiança apenas no cliente: Flags em LocalStorage, toggles por query ou qualquer fluxo controlado apenas por JS sem verificação no servidor.
• Tokens previsíveis ou passíveis de replay: JWTs de longa duração sem audience, nonce ou rotação; HMACs sem vinculação ao contexto.
• Sem vivacidade: Upload de foto aceito como “selfie”, ou desafio de vivacidade renderizado mas não vinculado à sessão no servidor.
• Open redirect / caminhos de bypass: Rotas alternativas para conteúdo que pulam o middleware.
• Inconsistência na borda/CDN: Configuração de cache servindo conteúdo protegido para a coorte errada devido a ausência de cabeçalhos Vary ou escopo de cookies incorreto.

Arquitetura de referência (verificada no servidor, com minimização de dados)

• Middleware na borda primeiro: Na CDN ou em função de edge, verifique a presença de um token “age-ok” de curta duração e vinculado ao público-alvo. Se ausente, roteie para um endpoint de início de verificação. Nunca sirva conteúdo protegido antes dessa checagem.
• Broker de verificação: Um serviço que orquestra os fluxos (pagamento, ID, eID). Ele emite uma sessão de uso único, registra os resultados dos fornecedores e gera um token de atestação (assinado, TTL de 5–30 min, vinculado ao hash do dispositivo + conta + classe de conteúdo).
• Limite de PII: Terceirize o tratamento de PII bruta para o fornecedor quando possível. Armazene apenas: ID de referência no fornecedor, timestamp, jurisdição, resultado (aprovado/reprovado/revisão) e uma assinatura/recibo desacoplado.
• Engine de risco: Mantenha uma allowlist de métodos de alta garantia por mercado. Eleve para checagens mais fortes com base em sinais: novo dispositivo, Tor/VPN, emulador, entropia de cliques anormal, reintentos rápidos.
• Observabilidade: Emita métricas: taxa de conclusão, abandono por etapa, estimativas de falsa aceitação/negação (via QA manual periódico), reintentos de ataque por IP/hash de dispositivo e latência do fornecedor.

O teste do hack de 2 minutos: 12 formas de bypass que você deve bloquear no dia um

1. Alterar qualquer flag óbvia no cliente (localStorage/sessionStorage) e recarregar o conteúdo protegido.
2. Reexecutar o callback de verificação com status=“pass.” modificado.
3. Solicitar conteúdo protegido via URL direta do asset que contorna o middleware.
4. Usar uma versão em cache de uma página protegida a partir de cache compartilhado ou snapshot de buscador.
5. Modificar a claim “age” de um JWT sem verificação (chute do segredo HS256, alg=none).
6. Falsificar user agent/dispositivo para pular um gate exclusivo de mobile.
7. Enviar uma selfie impressa ou foto estática para testar vivacidade.
8. Usar um emulador para burlar desafios de vivacidade baseados em movimento.
9. Repetir a verificação a partir de múltiplas contas no mesmo dispositivo até aparecer um caminho fraco.
10. Atingir endpoints regionais onde o gate está mal configurado (EN vs. FR vs. BR).
11. Aproveitar um open redirect ou a página de sucesso do checkout para emitir um token sem checagem.
12. Abusar de chaves de cache da CDN para obter uma resposta tokenizada para outra identidade.

Se qualquer uma dessas funcionar no seu ambiente de staging hoje, você não tem um gate — você tem teatro.

30-60-90 dias: entregue algo defensável sem matar a conversão

Dia 0–30: Torne real e mensurável

• Defina a garantia por mercado: Mínima em mercados de baixo risco, gate por pagamento em médio risco, documento+face em alto risco, eID onde for exigido. Escreva isso.
• Levante um gate na borda: Bloqueie rotas protegidas sem um token assinado, de curta duração e vinculado à audiência. Adicione um HTML de fallback explicando por que a verificação é necessária.
• Escolha um fornecedor por método: Pagamento (seu PSP), documento+face (faça uma shortlist de 2, rode um bake-off de latência e taxa de aprovação nos seus 3 principais mercados), eID (específico por país). Mirar P95 de ponta a ponta < 7 segundos para documento+face em 4G.
• Implemente o broker de verificação: Interface única que normaliza resultados e emite o token de atestação. Vincule tokens a: ID da conta, hash do dispositivo, geolocalização IP aproximada e classe de conteúdo.
• Minimização de dados: Garanta que fornecedores armazenem PII; você armazena apenas recibos assinados + metadados. Criptografe em repouso; retenção de 30–90 dias, salvo exigência legal maior.
• Modo sombra: Execute prompts de verificação mas não bloqueie conteúdo por 1–2 semanas; meça conversão e latência técnica. Isso dá baseline sem irritar usuários.
• Smoke tests de red team: Rode a lista das 12 formas de bypass semanalmente. Corrija qualquer sucesso em até 72 horas.

Dia 31–60: Endureça e alinhe com reguladores

• Adicione vivacidade e defesas anti-replay: Se usar documento+face, garanta desafios vinculados ao servidor e anti-spoofing (prompts de piscar/virar, análise de textura). Bloqueie emuladores na etapa de vivacidade.
• DPIA e trilha de auditoria: Documente fluxos de dados, contratos com fornecedores, retenção e controles de segurança. Registre decisões de verificação com recibos assinados, mas evite armazenar PII bruta.
• Risco adaptativo: Eleve para checagens mais fortes quando sinais dispararem (ex.: saída Tor, mudança súbita de localidade ou churn de fingerprint de dispositivo). Mantenha um orçamento diário para checagens fortes a fim de controlar custo.
• Consistência na borda: Adicione invalidação de cache e cabeçalhos Vary para o token do gate; valide configurações regionais.
• Fluxos de suporte para usuários legítimos: Implemente uma fila de revisão manual para 0,5–1% dos casos; SLA de conclusão < 24h; publique um formulário de apelação.
• Ajuste de conversão: UI mobile-first, copy clara (“Por que pedimos”) e indicador de progresso. Bons fluxos rotineiramente atingem 85–92% de conclusão no smartphone; você também chega lá.

Dia 61–90: Escale, monitore e convide atacantes (nos seus termos)

• Bloqueio em produção: Habilite o gate rígido onde o mercado exigir; mantenha gate sombra ou suave em outros até bater os KPIs.
• Bug bounty ou programa privado: Convide divulgação responsável. Ofereça US$500–US$5.000 por bypasses do gate e de resultados de verificação de identidade.
• Plantão e dashboards: Alertas para quedas/altas de taxa de aprovação > 5%, picos de latência do fornecedor > 2x o baseline ou clusters de reintento do mesmo dispositivo/faixa de IP.
• Re-bake-off periódico de fornecedores: Trimestral. Avalie acurácia, latência e deriva de custo. Fornecedores mudam modelos; sua garantia degrada se você não acompanhar.
• Exercício de mesa com Jurídico/Políticas: Simule uma matéria na imprensa e uma consulta do regulador. Garanta produzir artefatos em 48 horas: DPIA, arquitetura, logs e prova dos controles do fornecedor.

Fricção vs. fraude vs. custo: um reality check rápido

• Custo do gate por pagamento: US$0,05–US$0,30 por checagem; alta cobertura; garantia limitada; risco mínimo de PII.
• Custo do KYC documento+face: US$1–US$3 por aprovação; em algumas regiões US$5+; garantia forte; ônus maior de privacidade (terceirize para o fornecedor).
• Latência do fornecedor: Bons fluxos mobile têm P95 de 5–7s; qualquer coisa >10s derruba a conclusão. Meça em Android de entrada sobre 4G nos seus principais mercados, não só na Bay Area no Wi‑Fi.
• Deslocamento da fraude: O gate empurra agentes maliciosos para revenda de contas e sequestro de sessão. Coordene com segurança de conta (2FA, vinculação de dispositivo, detecção de anomalias).

Privacidade e conformidade sem auto-sabotagem

• Minimize PII: Armazene atestações, não documentos. Se reguladores pedirem, mostre recibos do fornecedor e seu DPIA — não um bucket cheio de passaportes.
• Roteamento sensível à região: Cumpra promessas de residência de dados. Use regiões do fornecedor que correspondam à localização do usuário; evite transferências silenciosas transfronteiriças.
• Disciplina de retenção: 30–90 dias para recibos, salvo exigência legal maior. Chaves de apagamento criptográfico ajudam a provar deleção.
• Controles de acesso: Trate logs de verificação como sensíveis. Controles no estilo SOC 2: menor privilégio, logs de auditoria imutáveis e revisões de acesso trimestrais.

Por que isso falha na prática: antipadrões organizacionais

• Teatro de segurança: Lançar um modal bonito sem gate no servidor porque “precisamos disso neste trimestre”. Isso te rende manchete, não tempo.
• Compliance desvinculado da engenharia: Políticas que não batem com o fluxo real. Se o Jurídico não consegue apontar o caminho no código, você não tem conformidade — você tem papelada.
• Sem testes adversariais: QA valida o caminho feliz; ninguém tenta quebrar. Seus atacantes vão.
• Religião de fornecedor único: Fornecedores mudam acurácia, preço e ToS. Construa um broker para trocar provedores sem reescrever tudo.

Realidade de recursos e cronograma

Você não precisa de uma org de trust-and-safety com 20 pessoas para fazer isso. Um time núcleo focado entrega um v1 defensável em 6–10 semanas:

• Core: 1 backend sênior, 1 frontend sênior, 1 SRE com foco em segurança, 0,5 produto/UX, 0,5 engenheiro de segurança (aconselhamento). Adicione um counsel de privacidade para revisão do DPIA.
• Fusos horários: Com uma equipe nearshore baseada no Brasil você tem 6–8 horas de sobreposição com o horário dos EUA, suficiente para iteração rápida e red teaming diário.
• Custo: Implementar gate por pagamento + documento+face via fornecedores é 20–30% mais barato com um squad nearshore versus equipe apenas nos EUA, e você evita o atraso de múltiplos trimestres de P&D de KYC in-house.

Governança: o que colocar no dashboard do CTO

• Taxa de aprovação por método e mercado: Meta de primeira aprovação no documento+face ≥ 85% no mobile nos principais mercados; alertas para variações de −5%.
• Mix de garantia: Parcela de usuários por método (auto, pagamento, documento+face, eID). Conheça sua postura real de risco.
• Latência mediana e P95: Por classe de dispositivo e rede. Correlacione picos com abandono.
• Tentativas de bypass: Número de dispositivos únicos disparando regras de bypass; reintentos por dispositivo/IP.
• Saúde dos fornecedores: Deltas semanais de acurácia/latência; SLAs contratuais; avisos de incidentes.
• Higiene de privacidade: Chamados abertos de acesso a dados de verificação; exceções de retenção; transferências transfronteiriças.

O que parar de fazer esta semana

• Confiar apenas em e-mail ou SMS como prova de idade.
• Servir conteúdo protegido enquanto “aguarda o callback”.
• Aceitar selfies sem vivacidade vinculada ao servidor.
• Deixar o produto lançar um gate só em JS “para o demo”. O demo vira produção.
• Assinar um contrato de KYC de fornecedor único por cinco anos antes de medir taxa de aprovação e latência no seu tráfego real.

Em resumo

Verificação de idade não é um problema impossível. É um problema de engenharia com modos de falha claros e trade-offs viáveis. Bruxelas se queimou em dois minutos porque enviou a confiança para o cliente e pulou testes adversariais. Não faça o mesmo. Escolha seu nível de garantia, faça do servidor a fonte da verdade, terceirize PII bruta e meça tudo. Dá para lançar um gate difícil de burlar — e ainda manter a conversão em patamares razoáveis.

Pontos-chave

• Escolha primeiro a garantia por mercado; depois escolha fornecedores. Não há gate único para todos.
• Tokens verificados no servidor, de curta duração e vinculados à audiência na borda são inegociáveis.
• Armazene atestações, não documentos. Minimização é sua melhor defesa de privacidade.
• Rode a suíte do “hack de 2 minutos” semanalmente; corrija em até 72 horas o que passar.
• Modo sombra por 1–2 semanas dá métricas reais de aprovação/abandono antes de bloquear.
• Espere US$1–US$3 por checagem documento+face; mire P95 de latência abaixo de 7 segundos no mobile.
• Construa um broker de verificação para poder trocar fornecedores sem reescrever tudo.
• Convide atacantes nos seus termos: bug bounty e sprints de red team vencem auditorias motivadas por Twitter.