Blog de WatchGuard

Go to 

O debate sobre a proteção de menores online alarga-se

Proteger os menores online é essencial, mas as verificações de idade ao nível da infraestrutura podem criar riscos de segurança, privacidade e operação.

A proteção dos menores online tornou-se uma das discussões políticas mais urgentes — e complexas — do atual panorama digital. À medida que a tecnologia evolui, cresce também a necessidade de criar ambientes digitais mais seguros. Reguladores, plataformas e líderes de segurança partilham esse objetivo. No entanto, a forma como procuramos alcançá-lo está a entrar numa nova fase, muito mais intrincada.

Estamos a começar a ultrapassar os controlos ao nível das plataformas para avançar para algo mais profundo: a intervenção direta na própria infraestrutura digital. Embora esta evolução seja compreensível, levanta uma questão crítica: estaremos a resolver o problema ou a introduzir novos riscos no processo?

Da responsabilidade das plataformas ao controlo da infraestrutura

Durante anos, a abordagem dominante para proteger menores concentrou-se nas plataformas. Redes sociais, fornecedores de conteúdos e serviços online eram responsáveis por aplicar restrições etárias e moderar o que os utilizadores podiam aceder. Apesar das suas limitações, este modelo manteve-se relativamente circunscrito.

O que observamos agora é uma mudança de ambição. Novas propostas, como as que surgem na Califórnia e no Reino Unido, procuram integrar a verificação de idade nos sistemas operativos ou restringir ferramentas, como as VPN, que permitem contornar determinados controlos. Trata-se de muito mais do que uma evolução gradual das políticas: é uma alteração estrutural na forma como o controlo é aplicado em todo o ecossistema digital.

Do ponto de vista conceptual, o objetivo é claro: reduzir a fragmentação e colmatar lacunas na aplicação das regras. Contudo, sob a perspetiva da segurança e da operação, transferir estes controlos para a infraestrutura altera profundamente o perfil de risco.

O desafio de implementar controlo à escala

Na prática, transformar estas ideias em mecanismos eficazes está longe de ser simples.

Tomemos como exemplo as restrições às VPN. As tecnologias VPN são diversas e abrangem múltiplos protocolos e arquiteturas que, frequentemente, são indistinguíveis do tráfego encriptado normal. Isto torna a sua deteção fiável inerentemente difícil. Mais importante ainda, estas mesmas tecnologias são essenciais para utilizações legítimas, especialmente em ambientes empresariais, onde o acesso remoto seguro é fundamental.

Tentar limitar a utilização de VPN, sobretudo através de controlos técnicos generalizados, pode provocar perturbações não intencionais. Uma medida concebida para proteger um grupo de utilizadores pode acabar por afetar a continuidade operacional de outro.

Mais importante ainda, se a verificação de idade for corretamente implementada ao nível da conta de utilizador, as VPN não a conseguem contornar. Uma VPN pode permitir que um menor aparente estar a aceder a partir de um país sem as mesmas exigências legais de verificação etária, mas não impede que um sistema de verificação associado à conta funcione corretamente. Se uma conta exigir verificação de idade durante o processo de criação, pouco importa a localização a partir da qual o utilizador acede: a verificação continuará a ser aplicada. Em suma, as VPN têm muito pouca relevância quando falamos de uma verificação de idade devidamente implementada.

Uma tensão semelhante existe nas propostas que pretendem integrar a verificação de idade ao nível do sistema operativo. Embora esta abordagem possa reduzir inconsistências entre plataformas, introduz uma nova camada de dependência e centralização. Os sistemas teriam de gerar, gerir e partilhar sinais relacionados com a idade dos utilizadores, potencialmente envolvendo dados sensíveis, entre dispositivos, aplicações e serviços.

Do ponto de vista de um CIO, isto levanta preocupações familiares: governação de dados, interoperabilidade, adoção da implementação e, sobretudo, a criação de um novo alvo de elevado valor para cibercriminosos.

Quando a proteção cria novos riscos

Uma das dinâmicas recorrentes na cibersegurança é que controlos bem-intencionados podem deslocar o risco em vez de o eliminar.

Restringir o acesso a ferramentas amplamente utilizadas, como VPN destinadas ao consumidor final, não elimina a vontade de contornar restrições. Pelo contrário, pode levar os utilizadores a recorrer a alternativas menos visíveis e menos seguras. Isto pode aumentar involuntariamente a exposição a malware ou a serviços fraudulentos, produzindo precisamente o efeito contrário ao pretendido.

Da mesma forma, centralizar atributos sensíveis, como a verificação de idade, cria riscos de concentração. Qualquer sistema responsável pela gestão destes dados torna-se naturalmente mais atrativo para atacantes. Caso seja comprometido, o impacto vai além da exposição de dados: compromete a confiança no próprio mecanismo de controlo.

Não se trata de cenários extremos. São consequências previsíveis quando as intervenções se aprofundam na infraestrutura central sem um equilíbrio adequado.

Uma questão de eficácia, não de intenção

Não existem dúvidas quanto às intenções subjacentes a estas iniciativas. A proteção dos menores online é uma responsabilidade partilhada e merece atenção contínua.

O desafio está na execução.

Do ponto de vista operacional, os controlos ao nível da infraestrutura enfrentam limitações inerentes. Nenhum mecanismo consegue impedir todas as formas de contorno. A aplicação das regras pode entrar em conflito com utilizações legítimas. E cada camada adicional de controlo introduz inevitavelmente mais complexidade.

Isto levanta uma preocupação mais ampla: poderemos estar a aumentar a fricção, tornando os sistemas mais difíceis de utilizar ou gerir, sem alcançar ganhos proporcionais em termos de segurança.

Rumo a um modelo de segurança mais sustentável

Se há uma lição que os profissionais de segurança aprenderam ao longo dos anos, é que a resiliência raramente resulta de um único controlo. Surge antes de abordagens multicamada, adaptáveis e equilibradas entre proteção, usabilidade e risco.

Neste contexto, um caminho mais sustentável passaria por combinar medidas técnicas com consciência contextual. Em vez de depender exclusivamente de verificações etárias estáticas, os sistemas poderiam incorporar sinais comportamentais e padrões de utilização. Em vez de centralizar dados sensíveis, a arquitetura poderia permanecer distribuída, reduzindo o impacto de qualquer ponto único de falha.

É igualmente importante preservar ferramentas, como as VPN, que desempenham funções legítimas de segurança e privacidade. Eliminá-las ou restringi-las sem a devida ponderação pode enfraquecer o ecossistema digital no seu conjunto.

Por fim, nenhuma solução será bem-sucedida de forma isolada. A colaboração entre reguladores, fornecedores de tecnologia e a comunidade de segurança é essencial para conceber abordagens que sejam simultaneamente eficazes e exequíveis.

Conclusão: desenhar soluções para a realidade, não para a perfeição

O debate sobre a proteção dos menores online está a entrar numa fase mais complexa e consequente. À medida que os controlos se aprofundam na infraestrutura, aumentam também os riscos — não apenas em termos de eficácia, mas igualmente de privacidade, segurança e confiança.

O objetivo não deve ser criar sistemas perfeitos e impenetráveis. Isso não é realista nem alcançável. Em vez disso, devemos concentrar-nos na construção de mecanismos proporcionais, resilientes e alinhados com a forma como a tecnologia é realmente utilizada.

Porque, na cibersegurança, a intenção é apenas o ponto de partida. O que verdadeiramente importa é a forma como essas intenções resistem às condições do mundo real.

Archivado bajo: Cybersecurity Insights, Modelos de Segurança, Privacidade de Dados e Compliance, Privacidade de Dados, Regulamentos, Gerenciamento de Riscos