Back to Blog
5 min read
kyccompliancedeepfakeidentityregulation

Lei Felca e o Desafio do KYC: Quando a Identidade Digital se Torna um Risco

A nova Lei Felca exige verificação de identidade digital robusta, mas o cenário atual mostra que até personagens de videogame conseguem burlar sistemas de KYC. Entenda os riscos e desafios para as plataformas brasileiras.

By Murilo Hoffmann from VerXus Team

Read the English version

O cenário regulatório brasileiro acaba de ganhar um novo marco: a Lei nº 15.211/2025, popularmente conhecida como Lei Felca. Embora o debate público tenha focado na proteção de menores, o impacto operacional para plataformas de tecnologia e redes sociais é profundo.

O ponto central? A obrigatoriedade de mecanismos robustos de verificação de idade e identidade. No entanto, enquanto o regulador aperta o cerco, tanto o crime organizado quanto usuários comuns escalam suas armas. O campo de batalha agora é o KYC (Know Your Customer), e o inimigo atende por nomes como Deepfake, Engenharia Social e, curiosamente, Skyrim (sim, o jogo de RPG).

O que a Lei Felca exige na prática?

A Lei Felca não é apenas uma recomendação. Ela estabelece obrigações claras (Art. 24) para provedores de serviços de TI:

  • Vínculo Parental: Contas de menores de 16 anos devem estar obrigatoriamente vinculadas a um responsável legal.

  • Verificação Contínua: Plataformas devem aprimorar constantemente seus mecanismos de verificação para identificar usuários em desconformidade.

  • Responsabilidade Direta: Multas de até 10% do faturamento, limitadas a R$ 50 milhões por infração.

Essa pressão força as empresas a implementarem processos de KYC mais rigorosos. Mas, no ambiente digital, "saber quem é o cliente" tornou-se uma tarefa técnica hercúlea.

O Caso K-ID: Quando um RPG vence a Cibersegurança

Se você pensa que ataques de KYC Bypass exigem supercomputadores ou modelos de IA extremamente eficientes, o caso recente envolvendo a plataforma K-ID (especializada justamente em verificação de idade para segurança infantil) prova o contrário.

Ver publicação no Xx.com/NP__Oficial/status/2034431391128014964

Um atacante conseguiu subverter completamente o sistema de verificação utilizando a tela do RaceMenu, um mod de customização de personagens do jogo Skyrim. Ao manipular o modelo 3D em tempo real para simular movimentos faciais básicos, o sistema de liveness foi enganado por um personagem de videogame.

O Diagnóstico: O sistema falhou ao não distinguir a textura e os artefatos de uma renderização de jogo de uma captura de vídeo real. Isso demonstra que, se um motor gráfico de 2011 pode enganar um KYC moderno, o uso de IA generativa e Deepfakes (como alertado pela Kaspersky) eleva o risco a um nível existencial para as plataformas.

A Barreira de Entrada: O Custo da Conformidade

Implementar essas camadas de proteção não é apenas um desafio técnico, mas também financeiro. O custo unitário de cada verificação de KYC, somado à infraestrutura de processamento de dados e ao licenciamento de softwares de biometria, torna-se inviável para muitas iniciativas e startups brasileiras.

Muitas vezes, o valor para validar cada usuário consome a margem de lucro de pequenos projetos, criando um cenário onde a conformidade regulatória serve como uma barreira de entrada intransponível. Para essas iniciativas menores, o dilema é cruel: ou investem um capital que não possuem em soluções de compliance, ou operam sob o risco de multas que podem aniquilar o negócio.

A Anatomia do KYC Bypass

Para entender como incidentes como o do K-ID acontecem, precisamos olhar para as táticas de bypass:

  • Liveness Bypass: O emprego de conteúdos sintéticos ou renderizados em tempo real para mimetizar reações fisiológicas. O uso do RaceMenu do Skyrim ilustra o abismo técnico: o sistema aceita a renderização como "prova de vida" por não validar a integridade da fonte de captura ou a profundidade real do objeto.

  • Injection Attacks: O atacante injeta um fluxo de vídeo (seja de um jogo ou de um deepfake) diretamente na interface da câmera via drivers virtuais, ignorando totalmente a captura física do hardware.

  • Engenharia Social (Phishing de KYC): Criminosos criam sites falsos que simulam processos de verificação de identidade. A vítima, acreditando estar cumprindo a Lei Felca, fornece voluntariamente fotos de alta resolução do rosto e documentos, que são posteriormente usados para alimentar ataques de account takeover.

O Dilema: Experiência do Usuário vs. Segurança

Aqui reside o desafio para o C-Level. A Lei Felca exige uma barreira de entrada, mas o mercado exige fricção mínima. Se o processo de KYC for complexo demais, o usuário abandona a plataforma; se for simples demais, o sistema sucumbe a ataques de bypass.

A proteção moderna precisa olhar além da imagem:

  1. Análise de Metadados e Hardware: Identificar se o sinal vem de uma câmera física legítima ou de uma câmera proveniente de um software, como o OBS Studio.

  2. Biometria Comportamental: Analisar como o usuário interage com o dispositivo, identificando padrões não humanos.

  3. Detecção de Artefatos de Renderização: Camadas de defesa que identifiquem texturas sintéticas ou padrões de iluminação típicos de motores gráficos e IAs.

Conclusão

A Lei Felca coloca a identidade digital no centro da estratégia de conformidade no Brasil. Contudo, cumprir a lei exige mais do que um formulário. Em um cenário onde sistemas de segurança são derrotados por personagens de RPG e dados são roubados via engenharia social, a robustez de uma plataforma é medida pela sua capacidade de distinguir o real do sintético.

Para as empresas, o recado é claro: o KYC estático morreu. O futuro pertence a quem implementar verificações dinâmicas, resistentes à era da IA generativa e aos truques de injeção digital.

Referências