Forbes, a mais conceituada revista de negócios e economia do mundo.
O YouTube acaba de expandir sua ferramenta de detecção de imagem e semelhança para incluir políticos, jornalistas e autoridades governamentais. O sistema funciona como um “Content ID” para rostos humanos: os indivíduos cadastrados enviam uma verificação de identidade, o YouTube cria um perfil de referência e cada novo upload é rastreado contra essa base. É a defesa contra deepfakes em nível de plataforma mais significativa implementada até hoje, e a premissa por trás dela é sólida.
Essa última parte é o que importa. Não para o YouTube. Para você.
Quando uma grande plataforma prova que a detecção em escala é tecnicamente viável e comercialmente aplicável, isso muda o patamar da conversa sobre o que se espera que organizações que lidam com evidências de áudio ou vídeo façam.
Não sou advogado e isto não é um aconselhamento jurídico, mas, do ponto de vista prático, uma vez que uma capacidade como essa existe e é demonstrada publicamente, fica mais difícil para qualquer organização argumentar que não tinha um caminho razoável para implementar algo semelhante. Gestores de risco, departamentos jurídicos e profissionais de seguros devem prestar atenção, porque esse debate já começou.
Por Que o Sistema do YouTube Funciona, e o Seu Provavelmente Não
A abordagem do YouTube tem sucesso pelo mesmo motivo que uma comparação forense funciona: ela possui um original conhecido para comparar. Os usuários cadastrados fornecem um documento de identidade e um vídeo de “selfie”. O YouTube cria um perfil de referência. A detecção torna-se um problema de “combinação” (matching), e não um problema de detecção em campo aberto. Essa distinção faz uma diferença enorme.
Sistemas de detecção que tentam identificar deepfakes sem um parâmetro de referência enfrentam um desafio totalmente diferente. Pesquisas do NIST avaliando sistemas forenses contra deepfakes gerados por IA descobriram que o desempenho no mundo real fica significativamente atrás das condições de laboratório.
Pesquisas independentes corroboram isso: o benchmark Deepfake-Eval-2024, que testou modelos contra deepfakes reais que circulam na rede, descobriu que o desempenho cai drasticamente em comparação com ambientes de teste controlados. O YouTube pula esse problema ao usar uma referência conhecida. A maioria dos ambientes corporativos não consegue fazer o mesmo.
Quando seu CFO entra em uma videochamada e instrui o controller a autorizar uma transferência bancária, não há uma camada de referência. Nenhum perfil de cadastro. Nenhum parâmetro para comparar em tempo real. Foi exatamente o que aconteceu no caso da empresa Arup: um vídeo em deepfake personificou o CFO e vários colegas em uma chamada, e US$ 25 milhões saíram pelo ralo em 15 transações. Os atacantes não venceram um sistema de detecção. Simplesmente não havia um.
A ferramenta do YouTube também tem lacunas que valem nota. Ela detecta rostos, não vozes. Um clone de áudio convincente não a acionaria. Os próprios dados de cadastro poderiam, teoricamente, ser contaminados com uma identidade sintética bem elaborada. Se a implementação de detecção mais robusta do planeta tem essas limitações, as organizações que estão construindo sua postura de defesa do zero começam bem atrás.
O “Dever de Diligência” Está Mudando
O cenário jurídico e regulatório está se movendo em uma única direção. A Lei de Responsabilidade de Deepfakes (Deepfake Liability Act), apresentada em dezembro de 2025 nos EUA, propõe vincular as proteções da Seção 230 a um dever de diligência definido para plataformas que hospedam mídia sintética não consensual. Se ou como essa legislação avançará é algo para os advogados acompanharem, mas a direção da viagem é clara.
Os tribunais já estão agindo em questões relacionadas. Um tribunal da Califórnia emitiu sanções terminais no caso Mendones v. Cushman and Wakefield após flagrar um vídeo gerado por IA apresentado como prova. Analistas jurídicos e advogados que atuam nessa área argumentam cada vez mais que, à medida que a capacidade de detecção se torna demonstravelmente disponível, as organizações que não implementarem salvaguardas podem ver essa lacuna se tornar relevante em discussões sobre negligência e dever de cuidado.
Eu trabalho com perícia digital, não com direito, mas, do meu ponto de vista, o padrão é consistente: uma vez que se prova que uma tecnologia existe em escala, as expectativas sobre sua adoção costumam vir logo atrás. O YouTube acabou de provar a capacidade. O resto da conversa já está em andamento.
Isso é Mais do Que um Problema de Cibersegurança
É aqui que a maioria das organizações erra o foco. A defesa contra deepfakes é entregue à equipe de segurança cibernética, tratada como um problema de resposta a incidentes e gerenciada dentro desse fluxo. Isso é insuficiente e, em alguns casos, é o caminho errado.
Já escrevi anteriormente sobre como o áudio em deepfake representa uma crise de evidências que vai muito além de chamadas de golpes. O mesmo princípio se aplica ao vídeo. Quando um áudio ou vídeo fabricado vai parar em um processo judicial, em um sinistro de seguro ou em uma disputa formal, você não está mais no território da cibersegurança. Você está no território da perícia digital. As perguntas são outras. As ferramentas são outras. Os riscos são outros.
Na cibersegurança, o objetivo é interromper um ataque. Na perícia, o objetivo é provar o que aconteceu. Isso exige capacidades diferentes, e a maioria das organizações construiu apenas a primeira — se é que construiu alguma.
As Duas Camadas da Defesa contra Deepfakes
Um framework que realmente funciona exige duas capacidades distintas que devem estar conectadas.
A primeira é a triagem. Ferramentas de detecção baseadas em IA fazem a triagem de áudio e vídeo em massa, sinalizando conteúdos que mostram sinais de manipulação antes que eles avancem para um processo de sinistro, uma ação judicial ou uma decisão de negócio.
Organizações que lidam com grandes volumes de evidências enviadas, comunicações gravadas ou interações de vídeo da diretoria precisam dessa camada ativa. Seu objetivo é reduzir o volume de fraudes para algo gerenciável e capturar problemas antes que se tornem catastróficos. É imperfeito. Vai deixar passar coisas. Mas continua sendo a linha de frente necessária.
A segunda camada é a escalada forense. Quando algo é sinalizado, ou quando o risco é alto o suficiente para que apenas um alerta seja insuficiente, um perito digital examina a evidência real. É aqui que a maioria das pessoas entende errado o que a autenticação exige. Analisar o arquivo de áudio ou vídeo em si é apenas parte do trabalho. Mas autenticar verdadeiramente uma prova para fins legais exige ir até o dispositivo. O celular. O notebook. O equipamento de gravação. O que quer que tenha supostamente capturado o conteúdo.
Um perito examina evidências no nível do dispositivo: a estrutura do arquivo, os metadados, os registros de tempo (timestamps) e os vestígios deixados pela forma e pelo momento em que o arquivo foi criado. Existem arquivos que corroboram o local e a hora da gravação? Os metadados coincidem com as circunstâncias alegadas? A estrutura do arquivo é consistente com uma gravação nativa ou mostra sinais de ter sido introduzido no dispositivo por uma fonte externa? É isso que produz conclusões que se sustentam no tribunal. Essa é a diferença entre dizer que algo parece suspeito e ser capaz de provar que não é autêntico.
O que vejo constantemente no meu trabalho forense são organizações que chegam depois que o estrago foi feito, sem o dispositivo original, sem os dados preservados e sem cadeia de custódia. Nesse ponto, o trabalho do perito torna-se exponencialmente mais difícil e o resultado é muito menos garantido. Uma evidência que nunca foi preservada adequadamente no momento do incidente é, muitas vezes, uma evidência que não pode ser totalmente autenticada depois.
O Que as Empresas Devem Fazer Agora
Os passos práticos derivam diretamente desse framework de duas camadas:
- Construa ou adquira capacidade de triagem. Ferramentas de detecção de IA para vídeo e áudio estão disponíveis, são imperfeitas e estão melhorando. A ferramenta específica importa menos do que ter uma e integrá-la aos fluxos de trabalho onde o conteúdo fabricado tem mais probabilidade de aparecer: evidências recebidas, canais de comunicação executiva, envios de sinistros e autorizações de transações de alto valor.
- Estabeleça um caminho de escalada forense antes de precisar dele. Saiba quais recursos de perícia digital você acionará quando algo for sinalizado e os riscos exigirem provas. Esse relacionamento deve existir antes de um incidente, não ser montado durante um.
- Preserve a evidência antes de qualquer outra coisa. O arquivo original do dispositivo original é o que torna o exame forense possível. Um vídeo encaminhado, uma cópia compactada, um print de tela — geralmente são insuficientes para a análise que importa. A cadeia de custódia para evidências de áudio e vídeo precisa ser tratada com a mesma seriedade que qualquer outra prova material.
- Documente sua postura de detecção. O argumento de responsabilidade civil que está sendo construído em torno da detecção de deepfakes baseia-se no que uma organização sabia, quais ferramentas existiam e o que ela escolheu implementar. Organizações que podem demonstrar uma abordagem deliberada e documentada para detecção e escalada estão em uma posição materialmente diferente daquelas que não podem.
O Que a Detecção em Escala do YouTube Significa para o Seu Negócio
O YouTube provou que a detecção em escala é tecnicamente viável. Isso é útil para o YouTube. O que ele provou para todos os outros é que o argumento da “inviabilidade técnica” tem data de validade.
A tecnologia de detecção é imperfeita, e a implementação empresarial é mais complexa do que em uma plataforma com ambiente de upload controlado e um pool de referência conhecido. Mas ferramentas comerciais existem, o setor está se desenvolvendo rapidamente e o argumento de que a detecção simplesmente não pode ser feita não se sustenta mais.
As organizações que tratarem a defesa contra deepfakes apenas como um problema de cibersegurança ficarão expostas quando evidências fabricadas surgirem em um processo judicial e elas não tiverem um caminho de escalada forense.
Aquelas que construírem as duas camadas — triagem na ponta e perícia humana na retaguarda — serão as que estarão posicionadas para realmente provar o que aconteceu quando for necessário. Porque em um tribunal ou em um processo de seguro, não basta dizer que algo pareceu suspeito. Você tem que provar.
*Reportagem originalmente publicada em Forbes.com
