A lei SB 73 de Utah entra em vigor em 6 de maio de 2026, tornando-se o primeiro estado dos EUA a responsabilizar legalmente sites comerciais por usuários que acessam conteúdo com restrição de idade através de uma VPN ou proxy para forjar sua localização geográfica. A lei não regula apenas o conteúdo que os sites podem exibir - ela visa diretamente o uso de ferramentas de anonimização como mecanismo de evasão, criando uma responsabilidade que atinge plataformas em qualquer lugar do mundo.
O que a SB 73 realmente diz sobre as VPNs
A inovação central da lei é jurisdicional: em vez de depender da geolocalização por endereço IP, que qualquer VPN pode mudar em segundos, a SB 73 responsabiliza os sites pela presença física dos usuários em Utah. Um site é responsável independentemente de o endereço IP do usuário ser resolvido para Utah, desde que esse usuário esteja fisicamente no estado. Esta é uma rutura fundamental com a forma como a jurisdição na Internet funcionou durante décadas.
O estatuto vai além. Os sites estão explicitamente proibidos de fornecer instruções, links ou encorajamento para o uso de serviços VPN para contornar os requisitos de verificação de idade. Linkar para um guia de "como usar uma VPN" - ou mesmo mencionar as VPNs como uma solução em um FAQ - torna-se uma potencial exposição legal sob a lei. Assinada pelo governador de Utah em 19 de março de 2026, as disposições de verificação de idade e VPN da SB 73 entram em vigor em 6 de maio, com um imposto de consumo separado de 2% sobre a receita de conteúdo adulto entrando em vigor em 1 de outubro de 2026.
A armadilha de responsabilidade da EFF: Sem saída limpa para as plataformas
A Electronic Frontier Foundation descreveu a SB 73 como uma "armadilha de responsabilidade" - uma lei estruturada de modo que a conformidade técnica é efetivamente impossível sem impor custos significativos aos usuários que não têm nada a ver com Utah. Como nenhuma tecnologia pode verificar com certeza se um usuário atrás de uma VPN de alta qualidade está fisicamente localizado no estado, os sites enfrentam uma escolha binária sem meio-termo.
A primeira opção é bloquear todos os intervalos de endereços IP de VPN conhecidos globalmente. Isso cortaria o acesso de usuários legítimos de VPN em todo o mundo - jornalistas, defensores da privacidade, trabalhadores remotos e qualquer pessoa que simplesmente prefira a navegação criptografada - que não têm conexão com Utah e não representam preocupação regulatória. A segunda opção é exigir um documento de identidade emitido pelo governo ou verificação biométrica de idade de 100% de seus visitantes, independentemente de onde esses visitantes estejam localizados. Ambos os resultados constroem uma infraestrutura que não era exigida anteriormente: um cria uma lista de bloqueio global de VPNs; o outro cria um banco de dados entre sites ligando a identidade real ao comportamento de navegação.
Quais sites são afetados e como é a conformidade
A SB 73 aplica-se a entidades comerciais onde uma "parcela substancial" do conteúdo é classificada como prejudicial a menores - na prática, principalmente plataformas de conteúdo adulto. Para satisfazer o padrão de "verificação de idade razoável", espera-se que os sites usem identidades emitidas pelo governo, sistemas biométricos de estimativa de idade ou serviços de verificação de identidade de terceiros. Todos os três métodos exigem a coleta de dados pessoais sensíveis de cada usuário que precise provar sua idade - não apenas os menores.
As disposições específicas para VPN, no entanto, criam pressão indireta para uma categoria muito mais ampla de sites. Qualquer site que queira evitar a responsabilidade de Utah enquanto evita o custo da verificação universal de identidade tem uma única opção realista: bloquear inteiramente os intervalos de IP de VPN. Pesquisadores de segurança e grupos de liberdades civis observam que as listas de bloqueio de VPN são inerentemente imprecisas, bloqueando frequentemente usuários legítimos, redes corporativas e nós de saída Tor ao lado do tráfego de VPN que pretendem atingir.
Utah no contexto nacional: mais de 25 estados e crescendo
Mais de 25 estados dos EUA aprovaram leis de verificação de idade desde 2022. Nebraska (LB 383, em vigor em 1 de julho de 2026), Virgínia Ocidental (HB 4412, em vigor em 12 de junho de 2026), Ohio (HB 96) e Flórida (HB 3) estão entre os estados com requisitos ativos ou pendentes. O cenário jurídico está se movendo em direção a uma colcha de retalhos onde as plataformas devem satisfazer o padrão do estado mais restritivo para operar nacionalmente sem exposição à responsabilidade.
O que distingue a SB 73 é o seu alvo explícito na evasão baseada em VPN. Nenhuma outra lei estadual inseriu diretamente o uso de VPN em uma estrutura de responsabilidade para a conformidade com a verificação de idade. A lei parece desenhada, em parte, para combater o surto documentado na adoção de VPNs que se seguiu a mandatos anteriores de verificação de idade - inclusive no próprio Utah, onde os downloads de VPN dispararam após a legislação anterior. Os legisladores efetivamente escalaram: se os usuários podem contornar a primeira lei com uma VPN, tornam o próprio uso de VPN um gatilho para a responsabilidade da plataforma.
O que a SB 73 significa para os usuários de VPN
Uma VPN continua sendo essencial para proteger seu tráfego de rede, criptografar dados em redes públicas e proteger sua navegação do seu ISP e de rastreadores de terceiros. Nada disso muda sob a SB 73. O que muda é o ambiente regulatório no qual o uso de VPN ocorre.
A SB 73 marca uma mudança qualitativa na forma como os legisladores tratam o uso de VPN: não como um crime para o usuário, mas como um multiplicador de responsabilidade para a plataforma. O resultado prático para usuários preocupados com a privacidade é o aumento do bloqueio. À medida que mais estados adotam o modelo de Utah - baseando as obrigações de conformidade na presença física em vez da localização do IP - as plataformas enfrentarão uma pressão crescente para tratar as conexões VPN como não verificáveis e, portanto, arriscadas. O espaço onde uma VPN preserva tanto o acesso quanto o anonimato diminuirá com cada estado que seguir o exemplo de Utah.
Cobertura relacionada em vpnlab.io
A onda de conformidade com a verificação de idade continua a remodelar o cenário da privacidade globalmente:
- UE considera que Meta violou o DSA: Instagram e Facebook falham em manter crianças menores de 13 anos fora das plataformas - as conclusões preliminares da Comissão Europeia contra a Meta mostram como os reguladores de ambos os lados do Atlântico estão exigindo a mesma coisa: garantia de idade ligada à identidade que torna o acesso anônimo impossível.
- Apple acaba de transformar o Apple ID em uma identidade: iOS 26.4 traz verificação de idade obrigatória no Reino Unido - quando a camada de verificação se move para o sistema operacional, nem mesmo uma VPN muda a equação.
- Sony força verificação de idade no PlayStation no Reino Unido e Irlanda: Sem identidade, sem jogos - plataformas de hardware lançando requisitos de identidade mostram a mesma tendência atingindo dispositivos com raízes offline.
