Lei FELCAFace IDBiometriaVigência: 17/03/2026

Verificação Facial e Face ID para a Lei FELCA: Como Funciona e Por Que é Necessário

A verificação facial com liveness detection é a camada mais segura de compliance para a Lei FELCA (Lei 15.211/2025). Ela resolve o problema que o CPF sozinho não consegue: impedir que um menor use o documento de um adulto para acessar plataformas restritas. Entenda como funciona, para quem é obrigatório e como integrar via API antes de 17 de março de 2026.

LEI FELCA — VIGÊNCIA EM 17 DE MARÇO DE 2026

Verificação facial é o método mais seguro para plataformas de alto risco

Apostas · Conteúdo adulto · Serviços financeiros · Qualquer plataforma onde falsidade ideológica é crítica

Por Que o CPF Sozinho Não Basta

A verificação de CPF confirma que o titular do documento é maior de 18 anos e que o cadastro na Receita Federal está regular. É um mecanismo confiável, rápido e aceito pela Lei FELCA. Mas tem um ponto cego: ela não garante que a pessoa na frente da tela é o titular do CPF.

Um adolescente pode usar o CPF do pai, da mãe, de um irmão mais velho ou de qualquer adulto que conheça. O sistema valida o CPF — que pertence a um adulto — e libera o acesso. Para plataformas de baixo risco, essa limitação é aceitável. Para plataformas de alto risco, é uma brecha crítica.

O cenário que a verificação facial resolve:

Uma plataforma de apostas esportivas solicita CPF no cadastro. Um menor de 17 anos informa o CPF do pai. O sistema valida: CPF regular, titular maior de 18 anos. Acesso liberado. O menor aposta, perde dinheiro, e a plataforma enfrenta autuação pela ANPD por ter permitido o acesso sem verificação suficiente.

A verificação facial com liveness detection fecha essa brecha: a selfie ao vivo é comparada com a biometria do titular do CPF. Se não houver match, o acesso é bloqueado — independentemente do CPF informado.

Como Funciona a Verificação Facial (Face ID) na Prática

O fluxo completo de verificação facial para compliance com a Lei FELCA:

1

Usuário informa CPF

A plataforma solicita o CPF. A API consulta a Receita Federal e confirma que o titular é maior de 18 anos e o documento está regular.

2

Selfie ao vivo (liveness detection)

A câmera frontal é ativada. O sistema solicita movimentos — piscar, virar a cabeça, sorrir — para confirmar que é uma pessoa real, ao vivo, e não uma foto ou vídeo.

3

API compara selfie com biometria do CPF

A imagem capturada é enviada para a API de Face ID, que compara com os dados biométricos oficialmente vinculados ao titular do CPF informado.

4

Retorno: match ou no-match

A API retorna o resultado em tempo real: match (pessoa é o titular do CPF), no-match (pessoa não é o titular) e score de confiança. A plataforma decide o fluxo seguinte.

5

Acesso liberado ou bloqueado

Match com score acima do limiar: acesso liberado. No-match ou score baixo: acesso negado, com opção de verificação alternativa ou análise manual.

Para Quem o Face ID é Obrigatório ou Recomendado?

🔴Obrigatório / Alto risco

  • Plataformas de apostas (bets)
  • Conteúdo adulto explícito (18+)
  • Jogos com apostas em dinheiro real
  • Serviços financeiros com onboarding digital

🟡Recomendado / Médio risco

  • Streaming com conteúdo 18+
  • Redes sociais com interações adultas
  • E-commerce de produtos restritos (álcool, tabaco)
  • Plataformas de games com compras em dinheiro

🟢Opcional / Baixo risco

  • Streaming de entretenimento geral
  • Apps educacionais
  • Jogos sem apostas financeiras
  • Redes sociais gerais

🔵Verificação adaptativa

  • Aplicar Face ID só ao tentar acessar conteúdo 18+
  • Acionar Face ID em comportamento suspeito
  • Exigir re-verificação em intervalos periódicos
  • Face ID apenas em novo dispositivo/IP

LGPD e Dados Biométricos: Como Tratar Corretamente

Dados biométricos são dados pessoais sensíveis pela LGPD (Lei 13.709/2018) e exigem tratamento especial. A coleta sem conformidade pode gerar autuações independentes da Lei FELCA.

Consentimento explícito

O usuário deve consentir, de forma clara e específica, com a coleta e uso dos dados biométricos antes da captura.

Minimização de dados

Armazenar apenas o hash biométrico, nunca a imagem bruta da selfie. Eliminar automaticamente após verificação.

Prazo de retenção

Definir e comunicar o prazo de retenção dos dados. Excluir automaticamente após o período informado.

Criptografia

Dados biométricos devem ser criptografados em trânsito (TLS 1.3) e em repouso (AES-256) em todos os sistemas.

Direito de exclusão

O usuário pode solicitar exclusão dos dados biométricos a qualquer momento. A plataforma deve atender em até 15 dias.

Responsabilidade do provedor

Provedores de API como o FlagCheck assumem a conformidade técnica como operadores de dados, reduzindo o risco da plataforma.

Integração via API: O Que é Necessário Tecnicamente

A integração do Face ID via API do FlagCheck é projetada para desenvolvedores: documentação completa, SDK para web e mobile, e ambiente sandbox para testes sem custo.

SDK Web (JavaScript)

Componente pronto para captura de selfie com liveness no browser. Compatível com todos os navegadores modernos via WebRTC.

SDK Mobile (iOS/Android)

Biblioteca nativa para apps iOS e Android. Integração em menos de 1 dia de desenvolvimento.

API REST pura

Para sistemas customizados: endpoint REST que recebe a imagem processada e retorna match/score em tempo real.

Lei FELCA entra em vigor em 17/03/2026

Integre Face ID e Verificação de CPF na Sua Plataforma

O FlagCheck oferece API de verificação de maioridade via CPF (base Receita Federal, resposta em menos de 2 segundos) e API de Face ID com liveness detection e biometria — prontos para produção.

CPF + Maioridade

Resposta em menos de 2 segundos

Liveness Detection

Selfie ao vivo + anti-spoofing

Match Biométrico

Comparação com dados oficiais

Falar com Especialista →Ver Documentação API →Login / Criar Conta →api@flagcheck.com.br

Integração em dias · SDK documentado · Sandbox gratuito para testes

Conheça a Plataforma Completa FlagCheck

Além da verificação de idade, conheça nossa plataforma completa de verificação de red flags — antecedentes criminais, processos e score de risco.

Verificar Antecedentes Agora

Perguntas Frequentes — Verificação Facial e Face ID para a Lei FELCA

O que é liveness detection?
Liveness detection (detecção de vivacidade) é a tecnologia que garante que a selfie tirada durante a verificação facial é de uma pessoa real, ao vivo — e não de uma foto estática, vídeo gravado ou máscara. O sistema solicita que o usuário faça movimentos específicos (piscar, virar a cabeça, sorrir) e analisa em tempo real se há sinais biológicos de vida. Isso impede que alguém use a foto de outra pessoa para se passar por ela.
Por que o Face ID é mais seguro do que só verificar o CPF?
A verificação de CPF confirma que o titular do documento é maior de 18 anos — mas não garante que a pessoa que está na frente da tela é de fato esse titular. Um menor pode usar o CPF do pai, da mãe ou de qualquer adulto que conheça para acessar uma plataforma restrita. O Face ID adiciona a camada biométrica: compara a selfie ao vivo do usuário com a biometria registrada no documento vinculado ao CPF. Se não houver match, o acesso é bloqueado — independentemente do CPF informado.
A lei exige Face ID ou o CPF já é suficiente?
A Lei FELCA não especifica exatamente quais tecnologias devem ser usadas — ela exige "mecanismos confiáveis de verificação de idade". A verificação de CPF é suficiente para a maioria das plataformas. O Face ID torna-se obrigatório ou altamente recomendado para plataformas de alto risco: casas de apostas (bets), plataformas de conteúdo adulto explícito e qualquer serviço onde o risco de falsidade ideológica seja elevado. A regulamentação técnica em finalização pelo Ministério da Justiça deve trazer mais clareza sobre os requisitos por segmento.
Como os dados biométricos são tratados pela LGPD?
Dados biométricos são classificados como dados pessoais sensíveis pela LGPD (Lei 13.709/2018) e exigem tratamento especial. A plataforma deve: obter consentimento explícito e informado do usuário antes da coleta, minimizar o dado coletado (armazenar apenas o hash biométrico, não a imagem bruta), definir prazo de retenção e eliminação automática, garantir criptografia em trânsito e em repouso, e disponibilizar canal para o usuário solicitar exclusão dos dados. Provedores de API como o FlagCheck assumem a conformidade técnica com a LGPD na camada de processamento.
A verificação facial funciona em dispositivos mais antigos?
Sim. A verificação facial via API funciona em qualquer dispositivo com câmera frontal, independentemente da geração. A captura da selfie é feita pelo navegador ou app da plataforma usando tecnologias padrão (JavaScript + WebRTC no browser, SDK nativo no app), e o processamento ocorre na nuvem, onde está a inteligência de liveness e match. Dispositivos mais antigos podem ter câmera de resolução menor, o que pode afetar ligeiramente a precisão — mas os algoritmos modernos são robustos a variações de qualidade de imagem.
O Face ID pode ser feito pelo celular do usuário?
Sim, e é a forma mais comum de implementação. O usuário abre a câmera frontal do celular, realiza o processo de liveness detection (movimentos solicitados pela interface) e a selfie é enviada para a API de verificação. Todo o processo leva entre 10 e 30 segundos. Pode também ser feito via desktop com webcam. A integração é feita pela plataforma usando o SDK ou a API REST do provedor de Face ID.
Qual a precisão da verificação facial?
As tecnologias modernas de reconhecimento facial e liveness detection atingem taxas de precisão acima de 99% para match real e taxas de falsa rejeição (FRR) abaixo de 1% em condições normais de iluminação. O maior desafio são ambientes com iluminação muito precária ou câmeras de qualidade muito baixa. Por isso, a interface deve orientar o usuário sobre as condições ideais para a captura. A API do FlagCheck retorna também um score de confiança para cada verificação, permitindo à plataforma definir o limiar de aceitação.
O que acontece se a selfie não bater com o documento?
Se o match entre a selfie ao vivo e a biometria vinculada ao CPF for negativo (abaixo do limiar de confiança configurado), a API retorna um status de não-match. A plataforma deve então negar o acesso e orientar o usuário. Em casos de múltiplas falhas, a plataforma pode solicitar verificação alternativa (envio de documento) ou bloquear temporariamente a conta para análise manual. O FlagCheck retorna o score detalhado, permitindo fluxos personalizados.
Verificação facial é necessária para todos os usuários ou só suspeitos?
Depende do nível de risco da plataforma. Para plataformas de alto risco (apostas, conteúdo adulto), a verificação facial deve ser aplicada a todos os usuários no cadastro — não apenas aos suspeitos. Para plataformas de risco médio, é possível implementar verificação adaptativa: aplicar Face ID apenas quando a verificação de CPF retorna dados inconsistentes, quando há comportamento suspeito ou quando o usuário tenta acessar conteúdo restrito pela primeira vez.
Como integrar Face ID via API ao meu sistema?
A integração do Face ID via API do FlagCheck funciona em três etapas: (1) a plataforma solicita um token de sessão ao endpoint de autenticação; (2) o usuário realiza a captura de selfie via SDK web/mobile fornecido pelo FlagCheck, que aplica o liveness detection localmente e envia a imagem processada para a API; (3) a API retorna o resultado — match/no-match, score de confiança e status da verificação — em tempo real via webhook ou resposta síncrona. A documentação completa e o ambiente sandbox estão disponíveis para desenvolvedores.

O que é liveness detection?

Liveness detection (detecção de vivacidade) é a tecnologia que garante que a selfie tirada durante a verificação facial é de uma pessoa real, ao vivo — e não de uma foto estática, vídeo gravado ou máscara. O sistema solicita que o usuário faça movimentos específicos (piscar, virar a cabeça, sorrir) e analisa em tempo real se há sinais biológicos de vida. Isso impede que alguém use a foto de outra pessoa para se passar por ela.

Por que o Face ID é mais seguro do que só verificar o CPF?

A verificação de CPF confirma que o titular do documento é maior de 18 anos — mas não garante que a pessoa que está na frente da tela é de fato esse titular. Um menor pode usar o CPF do pai, da mãe ou de qualquer adulto que conheça para acessar uma plataforma restrita. O Face ID adiciona a camada biométrica: compara a selfie ao vivo do usuário com a biometria registrada no documento vinculado ao CPF. Se não houver match, o acesso é bloqueado — independentemente do CPF informado.

A lei exige Face ID ou o CPF já é suficiente?

A Lei FELCA não especifica exatamente quais tecnologias devem ser usadas — ela exige "mecanismos confiáveis de verificação de idade". A verificação de CPF é suficiente para a maioria das plataformas. O Face ID torna-se obrigatório ou altamente recomendado para plataformas de alto risco: casas de apostas (bets), plataformas de conteúdo adulto explícito e qualquer serviço onde o risco de falsidade ideológica seja elevado. A regulamentação técnica em finalização pelo Ministério da Justiça deve trazer mais clareza sobre os requisitos por segmento.

Como os dados biométricos são tratados pela LGPD?

Dados biométricos são classificados como dados pessoais sensíveis pela LGPD (Lei 13.709/2018) e exigem tratamento especial. A plataforma deve: obter consentimento explícito e informado do usuário antes da coleta, minimizar o dado coletado (armazenar apenas o hash biométrico, não a imagem bruta), definir prazo de retenção e eliminação automática, garantir criptografia em trânsito e em repouso, e disponibilizar canal para o usuário solicitar exclusão dos dados. Provedores de API como o FlagCheck assumem a conformidade técnica com a LGPD na camada de processamento.

A verificação facial funciona em dispositivos mais antigos?

Sim. A verificação facial via API funciona em qualquer dispositivo com câmera frontal, independentemente da geração. A captura da selfie é feita pelo navegador ou app da plataforma usando tecnologias padrão (JavaScript + WebRTC no browser, SDK nativo no app), e o processamento ocorre na nuvem, onde está a inteligência de liveness e match. Dispositivos mais antigos podem ter câmera de resolução menor, o que pode afetar ligeiramente a precisão — mas os algoritmos modernos são robustos a variações de qualidade de imagem.

O Face ID pode ser feito pelo celular do usuário?

Sim, e é a forma mais comum de implementação. O usuário abre a câmera frontal do celular, realiza o processo de liveness detection (movimentos solicitados pela interface) e a selfie é enviada para a API de verificação. Todo o processo leva entre 10 e 30 segundos. Pode também ser feito via desktop com webcam. A integração é feita pela plataforma usando o SDK ou a API REST do provedor de Face ID.

Qual a precisão da verificação facial?

As tecnologias modernas de reconhecimento facial e liveness detection atingem taxas de precisão acima de 99% para match real e taxas de falsa rejeição (FRR) abaixo de 1% em condições normais de iluminação. O maior desafio são ambientes com iluminação muito precária ou câmeras de qualidade muito baixa. Por isso, a interface deve orientar o usuário sobre as condições ideais para a captura. A API do FlagCheck retorna também um score de confiança para cada verificação, permitindo à plataforma definir o limiar de aceitação.

O que acontece se a selfie não bater com o documento?

Se o match entre a selfie ao vivo e a biometria vinculada ao CPF for negativo (abaixo do limiar de confiança configurado), a API retorna um status de não-match. A plataforma deve então negar o acesso e orientar o usuário. Em casos de múltiplas falhas, a plataforma pode solicitar verificação alternativa (envio de documento) ou bloquear temporariamente a conta para análise manual. O FlagCheck retorna o score detalhado, permitindo fluxos personalizados.

Verificação facial é necessária para todos os usuários ou só suspeitos?

Depende do nível de risco da plataforma. Para plataformas de alto risco (apostas, conteúdo adulto), a verificação facial deve ser aplicada a todos os usuários no cadastro — não apenas aos suspeitos. Para plataformas de risco médio, é possível implementar verificação adaptativa: aplicar Face ID apenas quando a verificação de CPF retorna dados inconsistentes, quando há comportamento suspeito ou quando o usuário tenta acessar conteúdo restrito pela primeira vez.

Como integrar Face ID via API ao meu sistema?

A integração do Face ID via API do FlagCheck funciona em três etapas: (1) a plataforma solicita um token de sessão ao endpoint de autenticação; (2) o usuário realiza a captura de selfie via SDK web/mobile fornecido pelo FlagCheck, que aplica o liveness detection localmente e envia a imagem processada para a API; (3) a API retorna o resultado — match/no-match, score de confiança e status da verificação — em tempo real via webhook ou resposta síncrona. A documentação completa e o ambiente sandbox estão disponíveis para desenvolvedores.