Voltar para o Blog
Palácio de Westminster, sede do Parlamento do Reino Unido
Regulação de IA

Reino Unido impõe lei contra deepfakes Grok AI esta semana

Medida acelera a criminalização da criação de deepfakes íntimos e torna o tema prioridade no Online Safety Act, com Ofcom pressionando a X e possíveis multas bilionárias.

Danilo Gato

Danilo Gato

Autor

13 de janeiro de 2026
11 min de leitura

Introdução

O Reino Unido decidiu impor a lei do Reino Unido contra deepfakes do Grok AI já nesta semana, fechando a principal brecha que permitia a criação de imagens íntimas falsas sem que isso fosse crime. A decisão vem após a onda de conteúdos gerados com o Grok, chatbot de IA integrado à plataforma X, e coloca sob holofotes a responsabilidade das empresas de tecnologia e dos modelos de IA.

O recado do governo britânico foi objetivo. Além de ativar o novo crime de criação de deepfakes íntimos previsto no Data Act, o tema será incluído como ofensa prioritária no Online Safety Act, exigindo que plataformas previnam, removam rápido e demonstrem mitigação de risco. A Ofcom, regulador do setor, já abriu frente de investigação sobre o papel da X no caso, com poderes para impor multas de até 10 por cento da receita global ou 18 milhões de libras, o que for maior.

O artigo aprofunda o que muda em termos legais, como a Ofcom deve aplicar as regras, o que se espera de plataformas e desenvolvedores de IA, e como equipes de produto e segurança podem se adequar. Também contextualiza com dados, declarações oficiais e comparações internacionais para transformar o noticiário em plano prático de ação.

O que exatamente muda na lei, e por que agora

A legislação britânica já tratava o compartilhamento não consensual de imagens íntimas como crime, incluindo material gerado por IA. Faltava, porém, o ato de criar ou solicitar a criação de deepfakes íntimos. O Data Act, aprovado em 2025, trouxe esse novo delito, mas faltava a sua entrada em vigor. O governo confirmou que o crime passará a valer já nesta semana e que o tema será classificado como ofensa prioritária no Online Safety Act, elevando o nível de obrigação das plataformas.

O gatilho foi a escalada de abusos com o Grok AI na X. A Secretaria de Estado de Ciência, Inovação e Tecnologia, Liz Kendall, afirmou na Câmara dos Comuns em 12 de janeiro de 2026 que o conteúdo que circulou é repugnante e ilegal, e que plataformas precisam ser responsabilizadas. A fala veio acompanhada da orientação de que criar, tentar criar ou ameaçar compartilhar deepfakes íntimos é crime, e que a fiscalização se intensificará.

Para quem opera produtos digitais, a implicação prática é clara. O Online Safety Act não se limita a remover conteúdos após denúncia. A partir do momento em que a criação de deepfakes íntimos se torna crime, as plataformas precisam provar que avaliaram riscos, implementaram barreiras técnicas e operacionais, e calibraram seus modelos e fluxos de moderação para impedir que a funcionalidade seja usada para abuso, não importa se a postagem é pública ou privada.

O papel da Ofcom, e por que a X está no centro do caso

A Ofcom anunciou apuração formal da conduta da X diante da proliferação de imagens manipuladas e sexualizadas por IA, incluindo casos envolvendo menores. O inquérito avalia se a plataforma avaliou riscos, mitigou de forma efetiva e removeu o conteúdo ilegal. Caso conclua pela não conformidade, o regulador pode aplicar multas pesadas ou até ordenar o bloqueio do serviço no Reino Unido em situações extremas.

Além da investigação, a classificação do crime como prioridade no Online Safety Act eleva o patamar de diligência exigido. Plataformas precisam demonstrar avaliação contínua de risco, controles de idade, ferramentas de denúncia acessíveis e tempo de resposta mensurável. A Ofcom também espera governança de modelos de IA e logs de auditoria que permitam rastrear abuso, inclusive no caso de edições de imagens via prompts de texto.

A X, por sua vez, afirmou que remove conteúdo ilegal e suspende permanentemente contas envolvidas. Implementou mudanças recentes, como limitar certos recursos de geração de imagens a assinantes pagos. O governo considerou insuficiente, já que a mitigação não pode depender de paywall, e a responsabilidade permanece diante de falhas exploráveis por usuários gratuitos ou de terceiros.

![Fachada do Parlamento do Reino Unido]

Como a nova regra atinge empresas de IA e plataformas

Quando a criação vira crime, o risco jurídico não recai apenas sobre o usuário mal-intencionado. Fornecedores de modelos e plataformas que expõem interfaces de geração e edição de imagem passam a ter obrigações verificáveis. A diretriz do governo é que empresas não disponibilizem ferramentas que permitam a criação ou facilitem a propagação desse tipo de abuso. Isso inclui pipelines de geração, edição e upload, além de recursos de compartilhamento.

Na prática, algumas medidas tendem a virar padrão mínimo de conformidade:

  • Filtragem de entrada, com bloqueio robusto para nomes próprios, faces detectadas e prompts sexualizados que indiquem nudez, crianças, violência ou coerção, em qualquer idioma suportado.
  • Classificadores multimodais de saída, capazes de identificar nudez, “nudificação” artificial, padrões de rosto colado e manipulações profundas, antes do conteúdo ser exibido ao usuário.
  • Checagem documental para recursos sensíveis, com verificação de maioridade e consentimento em fluxos de upload de conteúdo íntimo, e impossibilidade de edição de fotos de terceiros sem autorização explícita.
  • Hashing perceptual e parcerias com entidades como Internet Watch Foundation, para deduplicar e derrubar material conhecido ou variantes geradas por IA, inclusive com matching multimodal.

O ponto central, do ponto de vista de engenharia, é reduzir o recall de abuso sem sacrificar o uso legítimo. Isso sugere adoção de guardrails no modelo base, filtros externos em cascata e, quando aplicável, revisão humana em lotes de alto risco. A responsabilização prevista no Online Safety Act cobra justamente evidência desse esforço, com relatórios periódicos e auditorias técnicas.

O que contar para o conselho: riscos financeiros e reputacionais

As multas previstas pelo regime britânico podem alcançar 10 por cento do faturamento global da empresa ou 18 milhões de libras, o que for maior. Além da multa, ordens de conformidade podem impor mudanças técnicas custosas, auditorias independentes e limites operacionais temporários. O custo reputacional tende a crescer quando o caso envolve mulheres, meninas e menores de idade, um foco explícito das declarações oficiais e da cobertura da imprensa.

Há risco regulatório transnacional. Uma plataforma que define padrões globais mais altos para se adequar ao Reino Unido pode ter benefícios colaterais nos Estados Unidos e na União Europeia, que também pressionam por respostas mais firmes. O paralelo mais recente nos EUA é a lei federal TAKE IT DOWN Act, promulgada em 19 de maio de 2025, que obriga plataformas a remover “deepfakes íntimos visuais” não consensuais. Embora o escopo e os mecanismos difiram, a direção é a mesma, e alinhar políticas evita retrabalho.

Caso prático: o que aprendizados do Grok AI indicam para times de produto

O Grok AI foi usado para “nudificar” fotos de mulheres e meninas e para gerar imagens que simulam situações de abuso. Mesmo após restrições, relatos mostraram que usuários gratuitos conseguiam contornar barreiras com edições ou prompts indiretos. O aprendizado para times de produto é que limitar recursos a assinantes não é controle de risco, e que cada canal de entrada e saída precisa de política, filtragem e telemetria de abuso próprios.

Tarefas críticas incluem:

  • Mapear jornadas de abuso. Prompt direto para nudez, upload de foto de terceiro, request para “remover roupas”, edição de imagem via botão de “editar”, tudo vira hipótese de teste.
  • Instrumentar métricas de risco. Taxa de prompts bloqueados, falsos negativos por amostra auditada, tempo de derrubada, reincidência por usuário, detecções por vetor de entrada.
  • Implementar “kill switches” por feature e por segmento de usuário, permitindo desligar rapidamente editores, uploads em lote ou APIs externas quando houver incidente.
  • Rodar avaliações de red teaming com múltiplos idiomas, gírias e codinomes de conteúdo explícito, incluindo variações fonéticas e misspellings.

![Logotipo da Ofcom, regulador que pode multar plataformas]

Métricas e governança que o regulador espera ver

A Ofcom e outros reguladores tendem a pedir três camadas de evidência: avaliação de risco, mitigação e resultados. Para avaliação, espera-se documentação que quantifique a exposição à criação e ao compartilhamento de deepfakes íntimos por idade, gênero e superfícies do produto. Na mitigação, o foco recai em guardrails de IA, moderação humana e automação reativa. Nos resultados, métricas de remoção e reincidência, com auditorias externas, são diferenciais.

Aplicações práticas para iniciar já:

  • Atualizar o Data Protection Impact Assessment com cenários de geração e edição não consensual de imagens, e especificar controles de consentimento e maioridade.
  • Exigir verificação extra para uso de modelos de edição voltados a retratos, com bloqueio de rostos de terceiros e whitelists para uso artístico legítimo.
  • Criar fluxos de denúncia com atendimento dedicado para vítimas de deepfakes, priorizando remoção e preservação de evidências para a polícia.
  • Treinar a equipe de trust and safety para triagem de conteúdo gerado por IA, com guias para sinais específicos de “nudificação” e colagem de rostos.
  • Publicar relatórios de transparência com campos específicos sobre deepfakes íntimos, incluindo métricas de prompts bloqueados e de conteúdos prevenidos.

Discurso público e liberdade de expressão, o ponto de equilíbrio

O governo ressaltou que a medida não é sobre restringir a liberdade de expressão, e sim sobre proteger vítimas de abusos que violam sua dignidade. O equilíbrio passa por calibrar filtros e políticas para mirar o conteúdo íntimo não consensual, sem atingir paródias, sátiras ou edições consentidas. A classificação como ofensa prioritária exige que as plataformas adotem mitigação proativa, porém baseada em critérios técnicos, auditoráveis e proporcionais ao risco.

A experiência recente mostra que respostas reativas não acompanham a velocidade de ferramentas generativas. A partir de agora, a expectativa regulatória é de design responsável por padrão, com consentimento, maioridade, logs e auditorias que podem ser apresentados em prazos curtos. Para modelos de código aberto usados comercialmente, vale formalizar salvaguardas adicionais, como fine-tuning com reforço negativo para prompts de abuso e filtros especializados plugados ao runtime.

Comparações internacionais e leitura estratégica

Mesmo com diferenças de escopo, a direção é convergente. O Reino Unido impõe a lei do Reino Unido contra deepfakes do Grok AI com foco em criação e compartilhamento, a Ofcom investiga a X e pressiona por mitigação end-to-end, e o governo considera até rever o uso oficial da própria X para comunicação. Nos EUA, a lei federal TAKE IT DOWN reforça a obrigação de remoção de deepfakes íntimos. O alinhamento regulatório sugere que investir em guardrails robustos agora reduz passivos futuros e melhora a sustentabilidade do produto.

Para players globais, a implicação é clara. As políticas precisam escalar entre jurisdições, e a arquitetura de segurança deve ser modular, com políticas e classificadores atualizáveis rapidamente. Treinar modelos e equipes para detectar abuso multimodal se torna vantagem competitiva, não custo. E a governança de IA deixa de ser documento para auditoria anual e passa a ser rotina operacional que previne incidentes de manchete.

![Logotipo da X, plataforma no centro da investigação da Ofcom]

O que fazer amanhã: checklist de conformidade para times de IA e produto

  • Rever os termos de uso para proibir explicitamente criação, tentativa de criação e compartilhamento de deepfakes íntimos, com sanções claras e comunicação in-app.
  • Implantar filtros de entrada e saída com dupla checagem, combinando listas de palavras, detectores visuais e modelos de linguagem com instruções de segurança calibradas para falsos negativos.
  • Bloquear edições envolvendo faces detectadas sem prova de consentimento e maioridade. Manter trilhas de auditoria com hash de imagens e prompts associados, com retenção mínima alinhada à lei britânica.
  • Integrar bases de hash de CSAM e deepfakes conhecidos, e criar pipeline de resposta a incidentes com contato direto com a IWF e autoridades locais.
  • Monitorar métricas de abuso em painéis de risco, com limites que disparam ações automáticas, desde fricção adicional até suspensão e revisão humana obrigatória.
  • Publicar semestralmente relatórios de transparência com indicadores específicos sobre deepfakes, incluindo número de prompts bloqueados e tempo médio de derrubada.

Conclusão

A imposição imediata da lei do Reino Unido contra deepfakes do Grok AI altera o jogo. O que era considerado lacuna jurídica passa a ser crime na origem, e a Ofcom ganha terreno para exigir mitigação proativa. A mensagem para plataformas e desenvolvedores é que segurança por design e governança de IA deixaram de ser diferenciais e viraram requisitos operacionais. A janela para ajustes é curta, e quem estiver preparado tende a reduzir riscos, custos e ruído público.

O caso Grok AI expôs que a combinação de modelos potentes com fluxos de produto pouco protegidos cria um vetor de abuso rápido e escalável. A resposta regulatória britânica é firme e sinaliza tendência global. Adotar guardrails técnicos, processos de moderação inteligentes e métricas claras não só atende a lei, como protege usuários e a própria marca em um ambiente de inovação que continuará acelerando.

Tags

segurança digitalmoderação de conteúdoprivacidadeconformidade regulatória