Os códigos QR não são uma evolução, mas sim um passo atrás
O novo mecanismo de desafio do Google reformula a verificação de dispositivos – um conceito amplamente rejeitado em 2023 sob o nome de Integridade do Ambiente Web.
O Google Cloud Fraud Defense impede o acesso de humanos
Os utilizadores do GrapheneOS, LineageOS, CalyxOS ou Firefox para o Android falham automaticamente na verificação – não por serem bots, mas porque não utilizam o software da Google.
Segurança à custa da privacidade dos dados
Todos os desafios do Fraud Defense encaminham a verificação através da infraestrutura do Google, levantando questões por responder sobre a recolha de dados e a conformidade com a privacidade.
O Friendly Captcha não precisa de códigos QR
A verificação de prova de trabalho é executada inteiramente no navegador – sem certificação de dispositivo, sem dependência do Google, sem utilizadores bloqueados. Experimentar agora ›
O que é o Google Cloud Fraud Defense?
No evento Google Cloud Next, realizado a 22 de abril de 2026, a Google anunciou o Google Cloud Fraud Defense, apresentando-o como a próxima geração da sua tecnologia reCAPTCHA.
O objetivo declarado da evolução do reCAPTCHA é bem conhecido: distinguir humanos de bots. O Cloud Fraud foi concebido para proteger os sites contra ataques automatizados e reduzir a fraude naquilo a que o Google chama de “a web segura e agênica” — um ambiente em que agentes de IA autónomos interagem cada vez mais com serviços digitais, a par dos utilizadores humanos.
A mudança visível é o mecanismo de desafio CAPTCHA. O Google afasta-se do tradicional reCAPTCHA v2 ou v3 desafios de reconhecimento de imagem. Em vez de pedir aos utilizadores que identifiquem passadeiras ou hidrantes, o Google Cloud Fraud Defense introduz um desafio de código QR. O utilizador digitaliza-o com o seu telemóvel. O telemóvel confirma a presença humana. O acesso é concedido.
Parece uma melhoria limpa em relação aos puzzles de imagem para utilizadores legítimos. Mas o mecanismo real não é o código QR – é o que acontece quando o telefone o digitaliza. A crítica já reagiu.
Como Funciona – A Realidade Técnica
Quando um utilizador digitaliza o código QR do Google Cloud Fraud Defense, o seu dispositivo comunica com a infraestrutura do Google para verificar a presença humana. De acordo com Requisitos do próprio Google, o sistema funciona com base em:
Dispositivos Android modernos com os Serviços do Google Play instalados
Um iPhone ou iPad recente com o sistema operativo iOS 16.4 ou posterior
A versão iOS não requer software adicional. A versão Android requer o Google Play Services – a camada de software de código fechado da Google que funciona em dispositivos Android certificados.
É nesse requisito único que os problemas começam.
Quem fica trancado para fora
Qualquer dispositivo Android sem os Serviços do Google Play não passa na verificação do Google Cloud Fraud Defense. Isto inclui:
GrapheneOS: o fork Android com segurança reforçada recomendado pela Electronic Frontier Foundation, utilizado por jornalistas, advogados e ativistas em ambientes de alto risco
CalyxOS e LineageOS: distribuições Android orientadas para a privacidade, utilizadas por milhões de utilizadores em todo o mundo
Firefox para Androidque não aparece na lista de navegadores suportados pelo Google para o Fraud Defense
Estes não são casos extremos. Eles representam os utilizadores com maior probabilidade de se importar com a forma como um site lida com os seus dados – e os menos propensos a apresentar qualquer risco real de fraude. Conforme relatado por PrivacidadePerspicaz e documentado em pormenor nos fóruns XDA, a implementação já suscitou grande preocupação entre as comunidades preocupadas com a privacidade.
Para os operadores de websites, a implicação comercial é simples: cada utilizador que optou conscientemente por sair do ecossistema do Google é automaticamente tratado como suspeito. Este não é puramente um resultado de segurança. É também um resultado de ecossistema.
Críticos traçam paralelos com a integridade do ambiente web
Defensores da privacidade e investigadores de segurança estabeleceram paralelos diretos entre o Google Cloud Fraud Defense e uma proposta que a Google fez – e depois retirou – três anos antes.
Em junho de 2023, o Google propôs Integridade do Ambiente Web (WEI) ao projeto Chromium: um mecanismo que teria permitido aos websites verificar se o navegador e o dispositivo de um utilizador eram hardware certificado pelo Google. Órgãos de normalização, a Mozilla e a Electronic Frontier Foundation rejeitaram-no prontamente. A Mozilla declarou a proposta “vai contra os interesses dos utilizadores’ e ”cria uma internet fechada, controlada pelos fornecedores de sistemas operativos e dispositivos“. A EFF apelidou-o de ”O Plano do Chrome para o DRM da Web“. O Google retirou a proposta poucas semanas depois.
Os críticos argumentam agora que o Google Cloud Fraud Defense alcança resultados estruturalmente semelhantes - condicionando o acesso à web à certificação do dispositivo - desta vez como um produto comercial em vez de uma proposta de norma pública. O próprio Google não reconheceu qualquer ligação entre o Fraud Defense e o WEI, e enquadra o produto exclusivamente como uma plataforma de prevenção de fraudes.
Questões sobre Recolha e Privacidade de Dados
O Google afirma que a Defesa Contra Fraude do Google Cloud usa “processamento de dados que preserva a privacidade” e descreve a sua transição para um modelo de Processador de Dados a partir de 2 de abril de 2026, dando aos operadores de websites “controlo direto sobre os dados dos utilizadores”. A Google descreve também a recolha de “telemetria anonimizada” em milhares de milhões de interações para alimentar os seus modelos de deteção.
No entanto, os defensores da privacidade levantam questões às quais a documentação pública da Google não responde de forma exaustiva: que sinais ao nível do dispositivo são recolhidos durante um teste do Google Cloud Fraud Defense, durante quanto tempo são conservados e se podem ser utilizados para criar identificadores persistentes entre sites. Dado que a verificação está ligada ao hardware certificado do dispositivo, em vez de uma sessão cookie, os críticos argumentam que esta arquitetura levanta questões sobre o potencial de atribuição duradoura – mesmo que esse não seja o objetivo declarado do Google.
Para operadores de sítios web sujeitos a RGPD, isto cria uma questão prática de conformidade: compreender exatamente que dados fluem através do Google Cloud Fraud Defense, com que base legal, e como documentá-lo numa política de privacidade.
Será que Impede Realmente os Bots?
O caso de segurança para o mecanismo de desafio de QR do Google Cloud Fraud Defense merece ser analisado em duas frentes.
Bypass automático: Investigadores de segurança notaram que um código QR apresentado num ecrã pode ser digitalizado por uma câmara apontada para esse ecrã – uma automação simples alcançável com hardware comum. De acordo com um discussão no Hacker News Após o lançamento, um comentador estimou que um dispositivo compatível com Android, capaz de passar na verificação, pode ser adquirido por aproximadamente $30, tornando a certificação baseada em hardware um custo fixo viável para operações profissionais de bots em grande escala.
Risco de comportamento do utilizador: Um profissional de resposta a incidentes na mesma Fio do Hacker News levantou uma preocupação separada: a Defesa contra Fraude treina os utilizadores a digitalizar códigos QR para aceder a websites. As campanhas de phishing exploram rotineiramente comportamentos de utilizadores treinados. O mesmo hábito que ajuda um utilizador a passar num desafio legítimo de Defesa contra Fraude do Google Cloud pode torná-lo mais suscetível a um código QR malicioso apresentado no mesmo contexto.
O que significa isto para os operadores de websites
Os operadores a considerar a Defesa contra Fraude deparam-se com um conjunto de questões práticas:
Obrigações de conformidade
A integração da Defesa Contra Fraudes significa encaminhar a verificação dos seus utilizadores através da infraestrutura do Google. Compreender a base legal para esse processamento de dados, documentá-la com precisão na sua política de privacidade e garantir que cumpre os requisitos do RGPD continua a ser da sua responsabilidade. A transição do Google para um modelo de Processador de Dados é um passo em frente, mas o quadro de conformidade ainda requer trabalho ativo dos operadores.
Risco de conversão
Todos os utilizadores que não conseguem completar a verificação são uma interação perdida – e no comércio eletrónico, esse custo aumenta rapidamente. Como os ataques de bots afectar a conversão do e-commerce e receita.
Os utilizadores preocupados com a privacidade, aqueles que utilizam ROMs personalizadas para o Android e os utilizadores do Firefox para o Android irão falhar silenciosamente – não por serem bots, mas porque utilizam software que não faz parte da arquitetura de certificação do Google.
Dependência de fornecedor
A Defesa contra Fraudes liga a sua proteção de bots diretamente à infraestrutura do Google e aos requisitos de certificação. Alterações nos preços do Google, na lista de dispositivos suportados ou nas políticas afetam a sua camada de proteção sem a sua intervenção.
Estrutura de custos
O serviço de Defesa contra Fraudes é gratuito até 10 000 avaliações (Essentials), tem um custo de $8,00 por cada 1000 no plano Premium e requer um compromisso de 12 meses no nível Enterprise. Como é que isto se compara com Preços do reCAPTCHA?
Uma abordagem diferente: Proof-of-Work sem certificação do dispositivo
A alternativa à verificação baseada em dispositivo não é uma segurança mais fraca. É um modelo de segurança totalmente diferente.
Sistemas de prova de trabalho como Friendly Captcha a emissão de desafios criptográficos que requerem esforço computacional diretamente no navegador do utilizador. Um único humano a resolver um desafio tem um custo negligenciável. Uma quinta de bots a executar sessões concorrentes enfrenta custos computacionais exponencialmente crescentes com cada tentativa adicional. Agentes de IA, que consomem ciclos de GPU para operar, enfrentam a mesma estrutura de custos independentemente da sua sofisticação.
Não há envolvimento de identificador de hardware ou scan de código QR. Nenhuma camada de certificação determina quem pode participar. Utilizadores no GrapheneOS, Firefox, ou qualquer outro navegador e dispositivo completam a verificação sem atrito – porque o mecanismo nunca pergunta, em primeiro lugar, qual dispositivo estão a utilizar.
O Friendly Captcha processa apenas o que é necessário para a deteção de bots, aplica a anonimização automática e a eliminação no prazo de 30 dias e mantém todos os dados na infraestrutura da UE. A conformidade com o RGPD está integrada na arquitetura, não sendo deixada a cargo dos operadores para que a implementem posteriormente.
Conclusão
O Google Cloud Fraud Defense apresenta-se como uma evolução significativa do reCAPTCHA, concebido especificamente para uma Web cada vez mais navegada tanto por humanos como por agentes de IA autónomos. A sua inteligência contra fraudes à escala do Google e a proteção unificada da jornada do utilizador são capacidades genuínas.
Ao mesmo tempo, o produto levanta questões legítimas que os operadores de websites devem considerar antes de o integrar: que utilizadores são estruturalmente excluídos, que dados fluem para o Google durante a verificação e como são documentadas as obrigações de cumprimento. Os críticos traçam uma linha da Proteção contra Fraudes até à Integridade do Ambiente Web – um enquadramento que o Google rejeita, mas que reflete um debate mais amplo sobre quem controla o acesso à web aberta.
A proteção contra bots não requer saber que tipo de hardware os seus utilizadores possuem. A Friendly Captcha demonstra isso todos os dias – sem bloquear o acesso a ninguém, sem depender da infraestrutura de certificação de um único fornecedor e com práticas de dados claras e auditáveis que tornam a conformidade um processo simples, em vez de algo que tenha de ser reconstruído a posteriori.
FAQ
Sim. A Google confirmou que os clientes atuais do reCAPTCHA passam automaticamente a ser clientes do Fraud Defense, sem necessidade de migração. As chaves de site e integrações existentes permanecem exatamente como estão – não é necessário tomar nenhuma medida e os preços não sofrem alterações.
Não. Quando o sistema decide contestar uma sessão, é necessário um telemóvel Android com os Serviços do Google Play versão 25.41.30 ou superior instalados. Isto significa que o Google Cloud Fraud Defense obrigará os utilizadores de dispositivos sem serviços do Google – como o GrapheneOS, o CalyxOS ou o LineageOS – a falhar automaticamente na verificação, mesmo que sejam utilizadores legítimos.
A Google posiciona o Fraud Defense como a próxima evolução do reCAPTCHA, expandindo-se para além da deteção de bots para se tornar uma plataforma de confiança mais abrangente. Para além da proteção contra bots, o Fraud Defense inclui a deteção de apropriação de contas, a prevenção de SMS toll fraud, a defesa de transações e ferramentas especificamente concebidas para a web agênica. O reCAPTCHA continua a ser a camada de defesa contra bots no âmbito da plataforma mais abrangente do Fraud Defense.
A Google introduziu um modelo de Processador de Dados para Defesa contra Fraudes a partir de 2 de abril de 2026, que confere aos operadores de websites um controlo mais direto sobre os dados dos utilizadores. No entanto, a conformidade não é automática: os operadores continuam responsáveis por documentar fluxos de dados, estabelecer uma base legal e atualizar as suas políticas de privacidade. As questões em aberto relativamente à recolha de sinais ao nível do dispositivo e à retenção de dados significam que são os operadores – e não a Google – que carregam o ónus da conformidade.
English 
German 
French 
Spanish 
Italian 
Portuguese