BunQr Labs – Blog

Lei Felca, ECA Digital e atribuição de identidade no Brasil

O que muda para operações de OSINT na surface web a partir de março de 2026

Em 17 de setembro de 2025 foi sancionada a Lei nº 15.211/2025, o chamado Estatuto Digital da Criança e do Adolescente. Após a redução do prazo de vacatio legis por medida provisória, ela passa a produzir efeitos em 17 de março de 2026.

Paralelamente, o PL 3924/2025 — associado ao debate público sob o rótulo de “Lei Felca” — reforça a direção regulatória: aumento de deveres das plataformas, ampliação de responsabilização e fortalecimento de mecanismos de identificação e governança.

Independentemente do ruído político, existe um fato estrutural: o Brasil está consolidando um ambiente onde plataformas precisam demonstrar capacidade de verificação de idade, controle de acesso e rastreabilidade suficiente para fins de compliance.

Para quem opera OSINT ativo na surface web, isso altera premissas básicas. E aqui é importante delimitar o escopo: estamos falando de plataformas reguladas, que operam formalmente no Brasil — redes sociais, fóruns, aplicativos, serviços digitais mainstream. Isso não se aplica à darkweb por razões óbvias: lá não há jurisdição direta, não há obrigação regulatória nacional eficaz e não há expectativa de compliance estruturado.

Os três cenários possíveis de aplicação prática nas plataformas

A lei não determina um único modelo técnico. Ela impõe obrigação de resultado. Como as plataformas implementarão isso pode variar, mas três cenários são plausíveis.

1. Verificação privada de identidade ou idade

Nesse modelo, a conta continua pública sob pseudônimo, mas a plataforma exige algum tipo de validação robusta internamente. A identidade real não aparece para os usuários, mas passa a estar vinculada nos sistemas do provedor. Esse é o cenário mais provável no curto prazo.

Para operações de OSINT ativo, isso significa que o sock puppet continua existindo externamente, mas deixa de ser estruturalmente anônimo. A plataforma sabe quem está por trás. Em eventual requisição judicial, essa identidade pode ser revelada, e obviamente o risco aqui não é exposição automática; o risco é atribuição formal possível.

2. Verificação progressiva ou condicionada a funcionalidades

Plataformas podem optar por exigir validação apenas para determinadas ações: monetização, criação de grupos, envio massivo de mensagens, publicidade, acesso a certos recursos ou categorias de conteúdo.

Nesse cenário, contas já existentes podem continuar operando parcialmente, mas terão funcionalidades limitadas até que cumpram exigências de verificação.

Para quem usa persona operacional para interagir com alvo, isso cria um ponto de fricção: ou valida a conta (aceitando vinculação formal), ou opera com restrição.

3. Verificação forte ou biométrica

Embora ainda não seja regra geral, há discussões no Brasil sobre reconhecimento facial ou mecanismos mais robustos de identificação para acesso a redes sociais. Caso esse modelo avance, múltiplas personas desvinculadas de identidade formal tornam-se tecnicamente e juridicamente inviáveis.

Esse seria o cenário de maior ruptura: o sock puppet clássico deixa de ser ferramenta viável em plataformas reguladas.

E criar o sock puppet fora do Brasil?

Tecnicamente, ainda existiria a possibilidade de criar e operar uma persona originária de outro país, utilizando VPNs, camadas adicionais de anonimização e evitando qualquer vínculo direto com infraestrutura brasileira. Em tese, isso poderia afastar a aplicação direta das exigências regulatórias nacionais sobre aquela conta específica.

No entanto, essa alternativa precisa ser analisada com maturidade operacional. Se o teor da operação envolver interação com alvos brasileiros, linguagem regionalizada, contexto local ou qualquer elemento que indique atuação no Brasil, a dissonância geográfica passa a ser um vetor de detecção. Uma persona que aparenta estar sediada no exterior, mas interage consistentemente dentro de contexto brasileiro, pode gerar inconsistências comportamentais e suspeitas tanto para o alvo quanto para a própria plataforma. Em outras palavras, tentar escapar da atribuição regulatória deslocando artificialmente a origem da conta pode, dependendo do caso, comprometer o próprio OPSEC da persona.

O que pode acontecer com contas anônimas já existentes

A partir de março de 2026, plataformas terão obrigação de demonstrar conformidade com a lei. Isso significa que contas criadas antes da vigência podem ser submetidas a novos fluxos de validação.

Não há previsão automática de cancelamento em massa. O que tende a ocorrer é:

  • exigência posterior de comprovação de idade;
  • limitação de funcionalidades até validação;
  • revisão manual ou automatizada de contas em categorias sensíveis;
  • suspensão em caso de recusa ou inconsistência.

A lógica é simples: nenhuma empresa sujeita a multa relevante vai manter brechas operacionais que comprometam sua capacidade de provar que está cumprindo a lei.

O impacto real para operadores de OSINT na surface

O erro seria interpretar isso como “fim do sock pupet”. Não é. Mas é o fim do modelo convencional de sock puppet anônimo baseado apenas em separação técnica.

Se a plataforma pode exigir validação formal, o operador precisa assumir que:

  • a identidade pode ser conhecida internamente pelo provedor;
  • logs podem ser retidos dentro de arquitetura de compliance (os logs já existem, e por isso o cuidado com a anonimização sempre foi crucial);
  • a atribuição pode ocorrer sob ordem judicial.

Isso não significa que toda operação será exposta. Significa que o risco deixa de ser apenas técnico e passa a ser estrutural.

A mudança de paradigma

Até aqui, o foco era evitar rastreabilidade técnica. A partir de 2026, o foco passa a ser governar a atribuição possível.

A pergunta deixa de ser “como permanecer ilegível?” e passa a ser “quem será formalmente atribuível se a verificação for exigida?”.

Isso exige maturidade institucional, forte planejamento de inteligência e desenho prévio de papéis, especialmente em ambientes corporativos ou de investigação estruturada.

E a privacidade do indivíduo comum?

Existe outra discussão, igualmente relevante, que extrapola o contexto de operações de inteligência: o impacto dessas exigências na privacidade de cidadãos comuns, na retenção de dados sensíveis e no risco de centralização de informações pessoais em plataformas privadas.

Essa é uma preocupação legítima e profunda. Mas ela merece tratamento próprio.

Neste texto, o foco foi exclusivamente o impacto regulatório sobre operações de OSINT ativo na surface web brasileira a partir da entrada em vigor da Lei 15.211/2025 em março de 2026.

No próximo artigo, a análise será voltada especificamente à privacidade dos indivíduos, aos riscos sistêmicos de concentração de dados e às implicações de longo prazo para liberdade digital no Brasil.

Publicado

em

por

Vinicius Vieira

Tags:

, ,

Powered by
Cookies necessários ativam recursos essenciais do site como logins seguros e ajustes de preferências de consentimento. Eles não armazenam dados pessoais.
Nenhum
Cookies funcionais suportam recursos como compartilhamento de conteúdo em redes sociais, coleta de feedback e ativação de ferramentas de terceiros.
Nenhum
Cookies analíticos rastreiam interações dos visitantes, fornecendo insights sobre métricas como número de visitantes, taxa de rejeição e fontes de tráfego.
Nenhum
Cookies de publicidade entregam anúncios personalizados baseados em suas visitas anteriores e analisam a eficácia das campanhas publicitárias.
Nenhum
Powered by