As novas leis de verificação da era adotadas por governos ao redor do mundo estão levando muitos usuários a instalarem redes virtuais privadas gratuitas para burlar as verificações de identidade, segundo uma análise recente. Os regulamentos exigem que as plataformas verifiquem a idade dos usuários por meio de métodos como upload de documentos ou digitalizações faciais, com muitos sites obrigando os usuários a cumprir antes de conceder acesso. Embora a intenção seja proteger menores de conteúdos nocivos, as regras podem estar incentivando adultos e jovens a usarem serviços gratuitos de VPN não regulamentados que envolvem riscos significativos de dados pessoais.
Com a entrada em vigor dos mandatos de verificação de idade, os downloads de VPNs dispararam nas jurisdições afetadas, especialmente entre os serviços gratuitos. Na Apple App Store, por exemplo, vários dos principais aplicativos gratuitos de VPN foram bem classificados em regiões que implementam as regras. Pesquisadores descobriram que muitos desses provedores de VPN gratuita não revelam os países onde estão registrados, mantêm políticas de privacidade pouco claras e podem direcionar o tráfego dos usuários por canais inseguros ou monetizados por publicidade. O apelo de burlar as verificações pode, portanto, vir ao custo de maior exposição ao rastreamento, coleta de dados e malware.
Serviços gratuitos de VPN frequentemente respondem à demanda dos usuários monetizando dados de navegação ou injetando scripts de publicidade. Alguns já foram demonstrados anteriormente redirecionando atividades de comércio eletrônico, expor usuários a redes de anúncios agressivas ou operar em jurisdições com proteções de privacidade fracas. Como os usuários que as adotam frequentemente confiam que estão alcançando mais privacidade, a incompatibilidade cria uma falsa sensação de segurança. Embora as leis de verificação tentem reduzir o risco de privacidade ao reduzir o acesso de menores, a consequência não intencional pode estar levando os usuários a serviços que carecem de responsabilidade ou proteção robusta.
Governos e observadores do setor afirmam que a transição para o acesso online com restrição de idade é complexa. Leis em larga escala, como a Lei de Segurança Online do Reino Unido ou mandatos similares na França, Austrália e vários estados dos EUA, exigem que as plataformas implementem verificações de idade “altamente eficazes”. Essas verificações podem incluir envio de fotos ou documentos de identidade, estimativas biométricas ou verificações de assinantes de rede. Muitos usuários resistem ao nível de informações pessoais exigidas e veem os prompts de verificação como invasivos. Como resultado, alguns usuários recorrem a VPNs que os fazem parecer estar em uma jurisdição sem tais verificações.
Especialistas em privacidade alertam que usar uma VPN não torna o usuário invisível. VPNs gratuitas ainda podem registrar comportamentos do usuário, expor metadados, vazar endereços IP ou permitir rastreamento por terceiros. Um usuário que tenta evitar fornecer um ID pode acabar entregando seus dados para outro serviço não confiável. Em contraste, os serviços oficiais de verificação de idade devem seguir as regras locais de proteção de dados e frequentemente fornecem trilhas de auditoria ou mecanismos de supervisão. Assim, o cálculo de riscos muda quando os usuários trocam um tipo de verificação de conformidade por outro conjunto de vulnerabilidades de privacidade.
Para pessoas que enfrentam desafios de verificação, existem várias estratégias mais seguras. Uma opção é usar um serviço pago de VPN confiável que publique uma política clara de não registros, esteja baseado em uma jurisdição amigável à privacidade e tenha sido submetido a auditorias independentes. Outra é avaliar se a plataforma realmente exige identificação ou se existe uma alternativa alternativa, como comprovar a idade por meio de uma transação de cartão de crédito ou um histórico de conta conhecido. Os usuários também devem avaliar se confiam nas práticas de privacidade do provedor de verificação e se a minimização de dados é aplicada. Se um usuário optar por enviar informações pessoais, deve revisar a política de privacidade, verificar os limites de retenção de dados e usar autenticação de dois fatores na conta.
Os reguladores também estão começando a inspecionar a indústria de verificação de idade em busca de riscos potenciais. Alguns governos anunciaram revisões das empresas que fornecem serviços de verificação de identidade, e agências de fiscalização estão examinando se os dados biométricos ou de identificação dos usuários estão armazenados de forma segura ou compartilhados com entidades não relacionadas. À medida que a verificação de idade se expande, os órgãos fiscales enfatizam que as proteções de privacidade devem permanecer em vigor e que táticas de evasão, como o uso de VPNs, podem sinalizar que o sistema é excessivamente oneroso. O design futuro de políticas pode exigir métodos menos intrusivos, como estimativa anônima de idade ou soluções de dados mínimos.
Embora as leis de verificação de idade visem reduzir a exposição a conteúdos inadequados para menores, o efeito secundário pode ser o crescimento de um ecossistema de serviços de VPN gratuitos que são menos transparentes e menos seguros. Usuários que buscam evitar verificações de identidade devem reconhecer que a evasão não é inerentemente mais segura e pode levar a uma maior exposição ao uso indevido dos dados. O desafio mais amplo será equilibrar os objetivos de proteção à criança com os direitos à privacidade dos adultos e garantir que os sistemas de verificação não transferam riscos em vez de mitigá-los.