Reino Unido aperta o laço ao redor das VPNs

A Lei de Segurança Online (Online Safety Act, ou OSA) do Reino Unido, que força companhias de tecnologia a implementarem medidas para proteger menores de idade na internet, está se voltando contra o único serviço que vinha sendo ignorado pela legislação, as VPNs.

• Reino Unido: bloquear VPN é "autoritarismo digital"
• Meio Bit Explica: Como funciona uma VPN

Mal vistas pelo governo há muito tempo, elas viriam sendo usadas por crianças e adolescentes, segundo legisladores, como um loop para acessarem pr0n e outros conteúdos impróprios, que agora querem ver fechado em definitivo.

Governo britânico disse no passado que não pretendia fazer nada contra VPNs; aparentemente, mudaram de ideia (Crédito: Stefan Coders/Pixabay)

O problema de forçar VPNs a se adequarem à OSA, conforme apontado por profissionais de segurança online, é que isso não pode ser feito sem adotar um nível de autoritarismo digital similar ao de países que controlam o acesso à net com mão-de-ferro, como China e Rússia, e mesmo estes não conseguem impedir completamente que seus cidadãos consumam o que não deveriam.

Reino Unido vs. VPNs, outra vez

A OSA, aprovada em 2023 e implementada em julho de 2025, prevê diversas medidas com o foco em "proteger as criancinhas dos males da internet": provedores, redes sociais, games e plataformas diversas são obrigados a monitorar todo o seu conteúdo, seja ele próprio e/ou criado pelos usuários, bloquear tudo o que for ligado a pornografia infantil, e impedir que menores acessem materiais impróprios, via um sistema de verificação de idade.

A lei trabalha em paralelo a outra de 2016, a Lei de Poderes Investigativos (Investigatory Powers Act, ou IPA, mas não a cerveja), ou "Lei dos Xeretas" que, entre outras coisas, força provedores e companhias de comunicação a armazenarem o histórico de navegação não detalhado de seus clientes, por 12 meses.

Tanto a IPA quanto a OSA são referidas no Reino Unido como exemplos de vigilantismo estatal, onde tudo o que um cidadão faz, consome, compra ou visualiza na internet é registrado, armazenado, e eventualmente pode ser disponibilizado às autoridades para escrutínio, a qualquer momento. A segunda é mais abrangente, pois vale para qualquer companhia de tecnologia e serviços que opera na terra do Rei, seja ela britânica ou não. Sites, plataformas de streaming, lojas digitais, games, redes sociais, you name it.

Mensageiros instantâneos e outros serviços que envolvem criptografia de ponta a ponta, por sua vez, são obrigados a implementarem "portas da frente" de uso exclusivo por autoridades, e que devem ser protegidas contra invasores, o que não faz sentido algum: uma vez que você cria uma brecha, ela VAI ser explorada por hackers e outros.

Isso gerou uma briga entre o governo britânico e a Apple, que se recusava veementemente a abrir o iCloud, enquanto do outro lado, os britânicos justificam o ato como necessário para proteger menores e combater atos de terrorismo; nesse sentido, Londres diz que precisa ter acesso aos dados de todos os donos de iGadgets no mundo inteiro, não só dos locais.

Como resultado, a maçã removeu a criptografia completamente no Reino Unido, ao que o governo diz que não satisfaz a Lei, porque continua impedido de fuçar nos conteúdos do iCloud de usuários fora de suas fronteiras.

Mais uma vez... confia (Crédito: Nate Beeler/The Columbus Dispatch)

Como mencionado antes, o principal objetivo da OSA é impedir que menores acessem conteúdo impróprio, plataformas e serviços são obrigados a filtrarem conteúdos e implementarem recursos de verificação de idade, que adolescentes conseguiram driblar usando documentos alheios, ou gambiarras para vencer algoritmos de reconhecimento facial.

As VPNs desde o início eram vistas de soslaio, por inicialmente não serem submetidas à OSA; elas são usadas por aqueles que não querem ser identificados na internet, principalmente adultos vistos como alvos por figuras de autoridade em governos autoritários de verdade; aliadas a softwares como o Tor, elas foram essenciais em movimentos passados como a Primavera Árabe.

O caldo entornou em agosto de 2025, quando o gabinete da comissária da Infância para a Inglaterra, Dame Rachel de Souza, publicou um relatório (cuidado, PDF) alertando que o consumo de pr0n por menores aumentou entre 2023 e 2025, e apontou as VPNs como culpadas, quando sites como o PornHub e redes sociais como X e Reddit, que possuem bastante conteúdo adulto, passaram a exigir verificação de idade.

A solução, segundo a comissária, é fechar o loop e forçar as redes privadas a seguirem a OSA, passando a identificar todos os usuários, e bloquear totalmente o acesso de menores.

O que Souza não menciona, o acesso a pr0n na internet do Reino Unido é bloqueado por padrão para todo mundo, um adulto é obrigado a se humilhar e solicitar o desbloqueio à sua operadora, e obviamente a maioria prefere usar uma rede privada, membros do Parlamento inclusos. Não obstante, forçar a coleta de dados de identificação, que podem e serão repassados a autoridades quando conveniente, mina todo o propósito de existência das VPNs.

Na época em que o relatório foi publicado, a ONG Open Rights Group (ORG), voltada a proteger os direitos digitais dos cidadãos britânicos, defendeu a manutenção das VPNs, dizendo que crianças não as usam, e adolescentes o fazem para permanecerem anônimos, especialmente em games.

Especialistas em direito digital dizem que o Reino Unido não só não tem como controlar o que as pessoas acessam na internet (nem mesmo a China consegue com 100% de eficácia), como a proposta de restringir VPNs não pode ser efetuada sem que o país descambe para o vigilantismo estatal.

Para Dame Rachel de Souza, comissária da Infância do Reino Unido, menores não podem acessar VPNs, e usuários adultos devem ser identificados (Crédito: Divulgação/GOV.UK)

Inicialmente o governo não parecia disposto a perseguir a ideia, mas o relatório do gabinete de Souza fez o estardalhaço previsto e suficiente para parlamentares se moverem na direção contrária, o que nos traz ao presente: no dia 30 de outubro de 2025, a subsecretária de Economia Digital do Departamento de Ciência, Inovação e Tenologia, Baronesa Lloyd, disse que "nada está descartado" no que se refere a proteger menores de conteúdos nocivos na internet.

Dias depois, em 10 de novembro, o OFCOM (Escritório de Comunicações), o órgão de regulação de telecomunicações e o equivalente britânico da Anatel, admitiu ao site TechRadar que faz uso de uma ferramenta de terceiros não revelada, que aparentemente envolve IAs generativas, para monitorar o tráfego em VPNs no país.

Em 14 de novembro, Lloyd e outros membros da Câmara dos Lordes apresentaram uma proposta de lei, visando o bem-estar social e educacional das crianças e adolescentes que, entre suas cláusulas, proíbe completamente o acesso a VPNs por menores de 18 anos. A Baronesa JURA que a intenção não é banir redes privadas completamente, mas o "nada está descartado" leva a outro entendimento.

O governo britânico reconhece que VPNs são úteis de várias formas: Ryan Polk, diretor de Políticas da Internet Society, menciona o uso por empresas para garantir logins seguros de funcionários, a proteção de fontes por jornalistas, comunicação entre membros de comunidades marginalizadas, etc., enquanto outros profissionais apontam que as banir seria praticamente impossível de implementar por completo.

O que deve acontecer, no entanto, são as VPNs serem sujeitas à OSA e forçadas a verificar a idade dos usuários, barrar menores, coletar dados e armazená-los; outra medida, já adotada por serviços de streaming, é bloquear o acesso de redes privadas, o que seria outra dificuldade de ser implementada a sites que podem ser acessados no Reino Unido, em tese, toda a internet.

Se chegar a esse ponto, empresas terão que escolher entre cumprir a determinação de bloquear VPNs, ou barrar todo o acesso vindo de usuários no Reino Unido e sair da terra do Rei, o que se reverteria em prejuízos enormes; Polk chama isso de "escolha impossível", além de ser um absurdo completo.

Especialistas alertam que restringir VPNs forçarão usuários a recorrerem a soluções menos seguras, como servidores proxy, ou ferramentas como o Tor e serviços de P2P (leia-se Locadora), além de apelarem para métodos e gambiarras se passando por adultos. A proposta de restringir o uso faria mais mal do que bem, mas é difícil prever uma resolução mais a favor dos usuários a essa altura, com o parlamento britânico justificando suas ações como meios de proteger os menores.

Fonte: TechRadar, The Verge