Tutorial TécnicoLei FELCAPasso a PassoEm vigor: 18/03/2026

Tutorial: Como Adequar Sua Empresa à Lei FELCA — Passo a Passo Completo

Q: Preciso verificar o CPF a cada login ou só no cadastro?

Na maioria dos casos, a verificação no cadastro é suficiente — você registra que o usuário foi verificado e não precisa repetir a cada login. Para plataformas de conteúdo adulto de alto risco, pode ser recomendável verificar também em sessões novas após longo período de inatividade. Consulte seu jurídico sobre o caso específico.

Q: O que fazer com usuários estrangeiros que não têm CPF?

A Lei FELCA se aplica a plataformas que operam no Brasil e a usuários brasileiros. Para usuários estrangeiros, a lei permite mecanismos alternativos de verificação de maioridade compatíveis com LGPD. Na prática, muitas plataformas verificam pelo IP + documento local. Consulte o regulamento específico da ANPD para seu setor.

Q: Quanto tempo leva para integrar a API FlagCheck?

A integração básica (age-check via CPF) pode ser feita em menos de 1 hora por um desenvolvedor. É uma única chamada POST com CPF no body e retorno JSON com is_adult true/false. A integração de liveness (CPF + selfie) é um pouco mais complexa mas ainda assim simples, geralmente 1-2 dias.

Q: O CPF do usuário fica armazenado na FlagCheck?

Não. A FlagCheck não armazena CPFs. Cada chamada é processada em tempo real e descartada. Para fins de auditoria da Lei FELCA, recomendamos que você armazene apenas um hash SHA-256 do CPF junto com o resultado da verificação e timestamp — isso prova compliance sem expor dado pessoal.

Q: O que acontece se o CPF for de um menor de idade?

A API retorna is_adult: false. Os campos age e date_of_birth são omitidos para proteger dados de menor (LGPD). Você deve bloquear o acesso e, opcionalmente, informar o usuário que a plataforma é restrita a maiores de 18 anos.

Q: Preciso de liveness (selfie) ou só CPF é suficiente?

Depende do seu setor. Para a maioria das plataformas, o age-check via CPF já atende a Lei FELCA. Para conteúdo adulto, apostas e plataformas de alto risco, o liveness (CPF + selfie com face match na base biométrica oficial) oferece maior proteção — especialmente contra uso de CPF de terceiros.

A Lei FELCA (Lei 15.211/2025) entrou em vigor. Sua plataforma precisa verificar a maioridade dos usuários brasileiros antes de dar acesso ao conteúdo. Este guia mostra exatamente o que fazer — do campo de CPF no formulário até a chamada de API e o retorno JSON.

13 de março de 2026•10 min de leitura•FlagCheck

⚠️ Lei em vigor agora

A Lei FELCA entrou em vigor em 18 de março de 2026. Plataformas não adequadas estão sujeitas a multas de até R$ 50 milhões por infração ou 10% do faturamento anual. A adequação técnica pode ser feita em dias.

O Que Muda na Prática no Seu Site

Antes da Lei FELCA, qualquer pessoa podia criar uma conta com email e senha — sem nenhuma verificação de quem é essa pessoa. Um menor de 12 anos poderia se cadastrar em uma plataforma de apostas, conteúdo adulto ou rede social sem qualquer barreira.

Com a Lei FELCA, isso acabou. O fluxo de cadastro e — em alguns casos — o fluxo de login precisam incluir uma etapa de verificação de maioridade. A forma mais prática, rápida e com menor fricção para o usuário é a verificação via CPF.

❌ Antes — Proibido a partir de agora

• Cadastro só com email + senha
• Acesso anônimo a conteúdo adulto
• Auto-declaração de maioridade ("Tenho 18 anos")
• Checkbox "Sou maior de 18"
• Nenhuma verificação de identidade

✅ Depois — Exigido pela Lei FELCA

• Campo de CPF no cadastro
• Verificação em base oficial do governo
• Bloqueio automático de menores
• Registro auditável da verificação
• (Opcional) Selfie + face match para alto risco

Passo a Passo: Implementação Completa

Adicione o Campo de CPF no Formulário de Cadastro

O primeiro passo é simples: adicione um campo de CPF ao seu formulário de cadastro, antes de criar a conta. Este campo é obrigatório e deve ser validado no front antes de submeter.

<input

type="text"

id="cpf"

name="cpf"

placeholder="000.000.000-00"

maxlength="14"

required

/* Dica: aplique máscara de CPF no front */

/* e valide o dígito verificador antes de submeter */

O CPF pode ser coletado junto com os outros dados do cadastro. Não precisa ser uma tela separada — mas deve ser obrigatório.

Obtenha Sua API Key FlagCheck

Crie sua conta em app.flagcheck.com.br/api/login ou entre em contato pelo api@flagcheck.com.br. Você receberá uma API key no formato flc_xxxxxxxxxxxx.

Sua API key aparece no painel após criação da conta. Guarde em uma variável de ambiente — nunca no código-fonte.

API_KEY=flc_sua_chave_aqui

Faça a Chamada de Verificação (Age Check)

No momento do cadastro, antes de criar o usuário no seu banco de dados, faça uma chamada POST para a API FlagCheck com o CPF informado. A resposta chega em menos de 2 segundos.

# cURL — Age Check

curl -X POST \

https://api.flagcheck.com.br/api/felca/age-check \

-H "X-API-Key: flc_sua_chave_aqui" \

-H "Content-Type: application/json" \

-d '{ "cpf": "111.222.333-44" }'

# Python

import requests

response = requests.post(

"https://api.flagcheck.com.br/api/felca/age-check",

headers={

"X-API-Key": "flc_sua_chave_aqui",

"Content-Type": "application/json"

json={"cpf": "111.222.333-44"}

)

data = response.json()

// Node.js / JavaScript

const res = await fetch(

"https://api.flagcheck.com.br/api/felca/age-check",

{

method: "POST",

headers: {

"X-API-Key": process.env.FLAGCHECK_API_KEY,

"Content-Type": "application/json"

body: JSON.stringify({ cpf: "111.222.333-44" })

}

)

const data = await res.json()

Interprete a Resposta JSON

A API retorna um JSON estruturado. O campo principal é data.is_adult — true libera o acesso, false bloqueia.

// ✅ Adulto — libera acesso

{

"success": true,

"data": {

"is_adult": true,

"age": 32,

"date_of_birth": "1993-05-14",

"document": { "type": "CPF", "valid": true }

"meta": { "request_id": "felca_a1b2c3...", "timestamp": "..." }

}

// 🚫 Menor de idade — bloqueia (LGPD: age/dob omitidos)

{

"success": true,

"data": {

"is_adult": false,

"age": null,

"date_of_birth": null,

"document": { "type": "CPF", "valid": true }

}

// Lógica de decisão no seu backend

if (data.success && data.data.is_adult) {

// ✅ criar conta e liberar acesso

} else {

// 🚫 bloquear — retornar erro 403

return res.status(403).json({

error: "Acesso restrito a maiores de 18 anos."

})

}

Registre a Verificação para Auditoria (LGPD)

A Lei FELCA exige que você consiga comprovar que verificou a maioridade dos usuários. Armazene um registro de auditoria — mas nunca o CPF em texto puro. Use um hash SHA-256.

// Registro de auditoria — banco de dados

INSERT INTO age_verifications (

user_id,

cpf_hash, -- SHA-256 do CPF, nunca o CPF puro

is_adult, -- true/false

request_id, -- ID retornado pela API (rastreabilidade)

verified_at -- timestamp

)

O request_id retornado pela API FlagCheck permite rastrear qualquer verificação caso auditado pela ANPD.

Opcional: Liveness + Biometria para Alto Risco

Para plataformas de conteúdo adulto, apostas ou qualquer site onde um menor poderia usar o CPF de um pai ou familiar, o liveness check adiciona uma camada crítica: além de verificar a maioridade pelo CPF, confirma por biometria facial que a pessoa é de fato o titular — comparando a selfie com a foto oficial do governo.

# Liveness — CPF + selfie (base64)

curl -X POST \

https://api.flagcheck.com.br/api/felca/liveness \

-H "X-API-Key: flc_sua_chave_aqui" \

-H "Content-Type: application/json" \

-d '{ "cpf": "111.222.333-44", "selfie": "<base64_jpeg>" }'

// Resposta — adulto + face match confirmado

{

"is_adult": true,

"face_match": {

"matched": true,

"confidence": 96.0,

"photo_available": true

}

Resumo do Fluxo Completo

Usuário preenche cadastro

email, senha, CPF — campo obrigatório

Seu backend chama a API FlagCheck

POST /api/felca/age-check com o CPF

FlagCheck consulta base oficial do governo

Receita Federal — resposta em < 2s

Retorno: is_adult true ou false

JSON estruturado com request_id para auditoria

Seu sistema decide

true → cria conta | false → bloqueia com mensagem

Registra verificação no seu banco

cpf_hash + is_adult + request_id + timestamp

Erros e Respostas da API

Alguns casos não são cobrados e devem ser tratados na sua lógica:

HTTP	Código	Motivo	Cobrado?
200	—	Sucesso — is_adult: true ou false	✅ Sim
422	INVALID_CPF	CPF inválido pelo dígito verificador	❌ Não
402	INSUFFICIENT_BALANCE	Saldo insuficiente na conta	❌ Não
404	DOCUMENT_NOT_FOUND	CPF não encontrado, falecido ou inexistente	❌ Não
422	CPF_INVALID_STATUS	CPF cancelado, nulo ou suspenso	❌ Não
503	SERVICE_UNAVAILABLE	Indisponibilidade temporária	❌ Não

API em produção — integração imediata

Implemente em Horas, Não em Semanas

A API FlagCheck usa fonte oficial do governo brasileiro — a mesma base da Receita Federal. Um endpoint, um CPF, um retorno JSON. Comece agora.

Ver Documentação Interativa →Login / Criar Conta →api@flagcheck.com.br

Sem contrato · Sem setup · Pague por uso

Perguntas Frequentes

Preciso verificar o CPF a cada login ou só no cadastro?+

Na maioria dos casos, a verificação no cadastro é suficiente — você registra que o usuário foi verificado e não precisa repetir a cada login. Para plataformas de conteúdo adulto de alto risco, pode ser recomendável verificar também em sessões novas após longo período de inatividade. Consulte seu jurídico sobre o caso específico.

O que fazer com usuários estrangeiros que não têm CPF?+

A Lei FELCA se aplica a plataformas que operam no Brasil e a usuários brasileiros. Para usuários estrangeiros, a lei permite mecanismos alternativos de verificação de maioridade compatíveis com LGPD. Na prática, muitas plataformas verificam pelo IP + documento local. Consulte o regulamento específico da ANPD para seu setor.

Quanto tempo leva para integrar a API FlagCheck?+

A integração básica (age-check via CPF) pode ser feita em menos de 1 hora por um desenvolvedor. É uma única chamada POST com CPF no body e retorno JSON com is_adult true/false. A integração de liveness (CPF + selfie) é um pouco mais complexa mas ainda assim simples, geralmente 1-2 dias.

O CPF do usuário fica armazenado na FlagCheck?+

Não. A FlagCheck não armazena CPFs. Cada chamada é processada em tempo real e descartada. Para fins de auditoria da Lei FELCA, recomendamos que você armazene apenas um hash SHA-256 do CPF junto com o resultado da verificação e timestamp — isso prova compliance sem expor dado pessoal.

O que acontece se o CPF for de um menor de idade?+

A API retorna is_adult: false. Os campos age e date_of_birth são omitidos para proteger dados de menor (LGPD). Você deve bloquear o acesso e, opcionalmente, informar o usuário que a plataforma é restrita a maiores de 18 anos.

Preciso de liveness (selfie) ou só CPF é suficiente?+

Depende do seu setor. Para a maioria das plataformas, o age-check via CPF já atende a Lei FELCA. Para conteúdo adulto, apostas e plataformas de alto risco, o liveness (CPF + selfie com face match na base biométrica oficial) oferece maior proteção — especialmente contra uso de CPF de terceiros.