Deepfakes: de problema ético a obrigação legal — o que muda em 2026

Em janeiro de 2026, o Senado dos Estados Unidos aprovou por unanimidade o DEFIANCE Act, criando pela primeira vez um direito federal de ação para vítimas de deepfakes não consensuais. Meses antes, a União Europeia finalizou o EU AI Act com obrigações de rotulagem que entram em vigor em 2 de agosto de 2026 — com multas de até €35 milhões ou 7% do faturamento global. Em 47 dos 50 estados americanos, legislações específicas sobre deepfakes já estão em vigor. A mensagem é inequívoca: deepfakes deixaram de ser um problema ético abstrato para se tornarem uma obrigação legal concreta.

1. O problema em escala

A capacidade de gerar conteúdo sintético — vídeos, áudios e imagens indistinguíveis do real — evoluiu de curiosidade tecnológica a ameaça sistêmica em menos de cinco anos. Ferramentas de geração de mídia por IA se tornaram acessíveis, baratas e assustadoramente convincentes.

Os números ilustram a dimensão do problema:

• Desinformação política: Deepfakes de candidatos e autoridades públicas se multiplicaram em ciclos eleitorais recentes ao redor do mundo, da Índia à Argentina, dos Estados Unidos ao Brasil.
• Exploração de imagem: Relatórios da Reality Defender e do BISI (British Institute for Standards in AI) apontam que a esmagadora maioria dos deepfakes circulando online envolve conteúdo íntimo não consensual, vitimizando desproporcionalmente mulheres.
• Fraude corporativa: Casos documentados de clonagem de voz e vídeo para autorizar transferências bancárias fraudulentas já somam centenas de milhões de dólares em prejuízos globais.
• Erosão da confiança: Talvez o efeito mais perverso — quando qualquer conteúdo pode ser fabricado, até conteúdo legítimo passa a ser questionado. É o chamado "dividendo do mentiroso".

Diante dessa realidade, legisladores em múltiplas jurisdições chegaram à mesma conclusão: autorregulação não é suficiente. A resposta tem sido uma onda regulatória sem precedentes, que está redefinindo as obrigações legais de quem desenvolve, distribui ou utiliza sistemas de IA generativa.

2. EU AI Act: rotulagem obrigatória a partir de agosto de 2026

O Regulamento Europeu de Inteligência Artificial (EU AI Act) é a legislação mais abrangente já produzida sobre IA no mundo. Seu Artigo 50 estabelece obrigações específicas para conteúdo gerado por IA, com vigência a partir de 2 de agosto de 2026.

O que o Artigo 50 exige:

• Rotulagem em formato legível por máquina: Todo conteúdo gerado ou substancialmente modificado por IA deve ser marcado de forma que seja "detectável como artificialmente gerado ou manipulado". A marcação deve ser embutida no próprio arquivo (metadados, marca d'água digital), não apenas em disclaimers visuais.
• Obrigação de transparência: Provedores de sistemas de IA generativa devem garantir que seus outputs carreguem essa marcação. Isso vale para texto, imagem, áudio e vídeo.
• Detecção obrigatória para plataformas: Grandes plataformas digitais devem implementar mecanismos para detectar e sinalizar conteúdo sintético — mesmo quando originado fora de seus sistemas.

As penalidades por descumprimento são severas: até €35 milhões ou 7% do faturamento anual global, o que for maior. Para uma big tech com receita de US$ 100 bilhões, a multa máxima poderia chegar a US$ 7 bilhões.

O impacto extraterritorial é significativo. Assim como o GDPR transformou práticas de privacidade globalmente, o EU AI Act tende a estabelecer um patamar mínimo internacional. Empresas brasileiras que exportam serviços digitais para a Europa — ou que utilizam modelos de IA treinados por provedores europeus — precisarão demonstrar conformidade.

3. DEFIANCE Act: deepfakes como violação federal nos EUA

Em janeiro de 2026, o Senado dos Estados Unidos aprovou por unanimidade o DEFIANCE Act (Disrupt Explicit Forged Images and Non-Consensual Edits Act). A aprovação unânime em um Congresso notoriamente polarizado sinaliza o quanto a questão transcende divisões partidárias.

O que o DEFIANCE Act estabelece:

• Direito federal de ação civil: Vítimas de deepfakes íntimos não consensuais podem processar criadores e distribuidores em tribunais federais, com indenizações de até US$ 150.000 por violação — ou o valor real dos danos, se maior.
• Responsabilidade de quem distribui: Não apenas quem cria, mas quem conscientemente distribui deepfakes não consensuais pode ser responsabilizado.
• Proteção de menores ampliada: Penalidades agravadas quando as vítimas são menores de idade.

O DEFIANCE Act se soma a um ecossistema regulatório estadual já robusto. 47 dos 50 estados americanos já possuem legislação específica sobre deepfakes — apenas Alasca, Missouri e Novo México ainda não legislaram sobre o tema. Essa cobertura quase total é notável para um país onde a regulação de tecnologia costuma avançar lentamente no nível federal.

Segundo análise do TechPolicy.Press, a aceleração legislativa nos estados ganhou impulso adicional após a controvérsia envolvendo o Grok, ferramenta de IA da xAI, que gerou imagens realistas de figuras públicas sem consentimento — episódio que expôs as limitações da autorregulação da indústria.

4. O panorama global: uma onda regulatória coordenada

A regulação de deepfakes não é fenômeno restrito a Estados Unidos e Europa. Uma verdadeira onda global está tomando forma:

• China: Desde 2023, a regulação de "síntese profunda" (深度合成) exige rotulagem obrigatória de conteúdo gerado por IA, com fiscalização ativa pela Cyberspace Administration of China.
• Coreia do Sul: Aprovou em 2024 legislação que criminaliza a criação e distribuição de deepfakes sexuais, com penas de até 5 anos de prisão.
• Reino Unido: O Online Safety Act inclui deepfakes íntimos como conteúdo ilegal, com obrigações de remoção para plataformas.
• Índia: Após deepfakes de celebridades e políticos viralizarem durante as eleições de 2024, o governo intensificou regulamentações via IT Act, exigindo rotulagem e remoção rápida.
• Padrões técnicos: A C2PA (Coalition for Content Provenance and Authenticity), com membros como Adobe, Microsoft, Google e BBC, está desenvolvendo padrões abertos de autenticação de conteúdo que devem se tornar referência para conformidade regulatória global.

O padrão emergente é claro: rotulagem técnica obrigatória + responsabilização legal de criadores e distribuidores + obrigações de detecção para plataformas. Jurisdições que ainda não legislaram sobre deepfakes estão, em grande medida, correndo para fazê-lo.

5. O Brasil: TSE como pioneiro — e o que ainda falta

O Brasil tem uma posição singular neste debate. O Tribunal Superior Eleitoral (TSE) proibiu o uso de deepfakes em campanhas eleitorais para as eleições de 2026, tornando-se um dos primeiros tribunais eleitorais do mundo a estabelecer regras específicas. A medida inclui a obrigação de rotulagem de conteúdo gerado por IA em propaganda eleitoral e a proibição de manipulação digital que distorça a imagem ou a voz de candidatos.

No entanto, a regulação brasileira ainda apresenta lacunas importantes:

• Escopo limitado ao eleitoral: As regras do TSE valem apenas para o contexto de campanhas. Deepfakes usados para fraude financeira, exploração de imagem ou desinformação fora do período eleitoral não são alcançados por essa proteção específica.
• PL 2338 em tramitação: O principal projeto de lei sobre IA no Brasil ainda não foi aprovado. Embora contenha disposições sobre transparência e rotulagem, sua tramitação permanece lenta diante da velocidade com que a tecnologia avança.
• Ausência de padrões técnicos: Diferente do EU AI Act, que especifica rotulagem "em formato legível por máquina", a regulação brasileira atual não define padrões técnicos para detecção e marcação de conteúdo sintético.
• Marco Civil e LGPD como base parcial: Embora o Marco Civil da Internet e a LGPD ofereçam fundamentos para proteção de imagem e dados pessoais, nenhum dos dois foi desenhado para lidar com conteúdo sintético gerado por IA — e a jurisprudência nessa área ainda é incipiente.

O risco para o Brasil é ficar em uma posição reativa: avançado na regulação eleitoral, mas defasado na proteção mais ampla que cidadãos e empresas necessitam. A experiência internacional mostra que regulações abrangentes — como o EU AI Act e o DEFIANCE Act — criam ecossistemas de conformidade que impulsionam investimento em tecnologias de detecção, padrões de rotulagem e boas práticas corporativas. Sem um marco regulatório equivalente, empresas brasileiras que operam globalmente terão que se adaptar a padrões estrangeiros sem contar com referência doméstica.

O que fazer agora

Para empresas e organizações que utilizam IA generativa, a mensagem é clara: a conformidade com padrões de rotulagem e detecção de deepfakes não é mais opcional. Recomendações práticas incluem:

• Mapear uso interno de IA generativa: Identificar todos os pontos em que sua organização gera ou manipula conteúdo com IA.
• Implementar rotulagem técnica: Adotar padrões como C2PA para marcação de proveniência de conteúdo, antecipando-se às exigências legais.
• Estabelecer políticas de uso aceitável: Definir diretrizes claras sobre o que pode e o que não pode ser feito com ferramentas de IA generativa dentro da organização.
• Monitorar a evolução regulatória: Acompanhar a tramitação do PL 2338, as novas resoluções do TSE e as exigências do EU AI Act que podem impactar operações com alcance internacional.

A governança de IA, e em particular a governança de conteúdo sintético, está se tornando um dos pilares centrais de compliance corporativo em 2026. Organizações que se anteciparem estarão melhor posicionadas — tanto do ponto de vista regulatório quanto reputacional.

Quer acompanhar a evolução regulatória de IA no Brasil e no mundo? Inscreva-se na newsletter do IBGIA para receber análises como esta diretamente no seu email. E se você é profissional, pesquisador ou legislador interessado em governança de IA, conheça as formas de se associar ao IBGIA e contribuir para o avanço da regulação responsável no Brasil.