As escolas adoram uma boa foto, seja de uma excursão a um castelo, de uma cerimônia de entrega de prêmios de ciências ou de um dia de esportes capturado de três ângulos diferentes. Por duas décadas, imagens comemorativas como essas foram publicadas diretamente nos sites das escolas, acompanhadas de uma legenda com o nome e a série do aluno. Mas esses dias já ficaram para trás, porque estamos na internet de 2026 e não podemos ter coisas boas.
Conforme noticiado inicialmente pelo Guardian, especialistas estão agora pedindo às escolas que retirem essas fotos do ar. De acordo com a Agência Nacional contra o Crime do Reino Unido, a Internet Watch Foundation e um órgão consultivo chamado Early Warning Working Group (EWWG), chantagistas têm coletado fotos escolares comuns, processando-as em deepfake baseadas em IA para produzir material de abuso sexual infantil (CSAM) e exigindo pagamento para manter as imagens fora da internet.
Uma escola, 150 imagens
No final do ano passado, cibercriminosos entraram em contato com uma escola secundária britânica não identificada com essa exigência. A IWF classificou 150 das imagens resultantes como CSAM, de acordo com a legislação britânica, e gerou impressões digitais para cada imagem, para que as principais plataformas pudessem bloquear novos envios.
A IWF não revelou o nome da escola nem da delegacia de polícia, e não acredita que este tenha sido um caso isolado. O EWWG afirma que é “apenas uma questão de tempo” até que mais escolas enfrentem exigências semelhantes.
A ministra britânica responsável pela proteção infantil, Jess Phillips, classificou isso como uma “ameaça emergente profundamente preocupante”. Em fevereiro de 2025, o Reino Unido tornou-se o primeiro país a proibir ferramentas de IA projetadas especificamente para gerar material de abuso sexual infantil (CSAM).
Como chegamos até aqui
Essa ameaça não surgiu da noite para o dia e não se limita ao Reino Unido. Trata-se da evolução de uma ameaça de longa data: a sextorsão, quando alguém usa imagens íntimas para chantagear você. Tradicionalmente, a sextorsão dependia de imagens íntimas reais que eram roubadas ou compartilhadas, mas deepfake mudou tudo.
O Centro de Denúncias de Crimes na Internet (IC3) do FBI registrou mais de 16 mil denúncias de sextorsão no primeiro semestre de 2021, com prejuízos superiores a US$ 8 milhões. Em junho de 2023, o órgão alertou que o modus operandi havia mudado: os criminosos estavam usando fotos comuns de redes sociais para criar imagens explícitas falsas e extorquir menores.
A Childline, linha de apoio infantil do Reino Unido, tem observado mudanças semelhantes à medida que deepfake se tornam mais acessíveis. A organização já registra muitos casos de sextorsão a cada ano, muitos deles envolvendo crianças que foram manipuladas a compartilhar imagens íntimas de si mesmas. Agora, a organização está recebendo ligações de crianças que estão recebendo imagens deepfake de si mesmas, sem qualquer contato prévio.
Uma garota de 15 anos, por exemplo, recebeu uma foto falsa de nudez “muito convincente”, criada a partir de suas Instagram .
Até novembro de 2025, as denúncias recebidas pela IWF sobre material de abuso sexual infantil gerado por IA mais que dobraram em relação ao ano anterior, passando de 199 para 426. As meninas representaram 94% das vítimas. Os casos denunciados incluíram crianças desde recém-nascidos até crianças de dois anos, segundo a organização.
O ecossistema em torno dessas ferramentas é industrial. Em abril de 2025, um pesquisador descobriu um bucket do AWS S3 exposto, pertencente ao aplicativo sul-coreano “nudify” GenNomis, contendo 93.485 imagens geradas por IA, juntamente com as instruções que as produziram.
O que está sendo comunicado às escolas
A recomendação do EWWG é substituir fotos em close-up e identificáveis por imagens tiradas à distância, imagens desfocadas ou fotos tiradas de costas. O grupo também recomenda que as escolas removam os nomes completos das legendas, façam uma revisão das imagens existentes e solicitem aos pais que assinem novamente os formulários de consentimento.
Na verdade, o documento recomenda que as escolas repensem se realmente precisam publicar fotos das crianças na internet.
Algumas escolas já tomaram medidas. De acordo com o Guardian, a Loughborough Schools Foundation, um grupo de três escolas particulares que compartilham um site, removeu completamente as imagens de alunos identificáveis no ano passado.
O Gabinete do Comissário de Informação do Reino Unido (ICO) afirma que “em geral, ainda esperaria que você oferecesse aos pais a opção de recusa” ao publicar uma foto identificável de uma criança, mas ressalta que isso não equivale legalmente a um consentimento, cujos requisitos são mais rigorosos.
A situação fica mais complexa nos Estados Unidos, onde os estados costumam ter suas próprias leis sobre a privacidade dos alunos. De modo geral, porém, de acordo com a Privacy Direitos Educacionais e Privacy da Família (FERPA), as instituições de ensino costumam classificar fotos identificáveis dos alunos na categoria de “informações de diretório”. Essa categoria também abrange nome, endereço, número de telefone, data e local de nascimento, participação em atividades e esportes oficialmente reconhecidos, e datas de frequência.
De acordo com a FERPA, as instituições de ensino podem divulgar esse tipo de informação, a menos que o responsável pela criança opte expressamente por não permitir tal divulgação. Elas são obrigadas a notificar o responsável quando pretendem divulgar essas informações, mas esse procedimento pode não se aplicar indefinidamente após o aluno deixar a instituição.
Isso significa que as fotos e informações dos alunos podem permanecer online muito tempo depois de as famílias presumirem que elas já foram removidas.
O que acontece a seguir
No Reino Unido, o serviço “Report Remove” da Childline permite que crianças denunciem imagens ou vídeos explícitos seus que tenham sido publicados na internet. O serviço recebeu 394 denúncias de chantagem de menores de 18 anos no ano passado, um aumento de um terço em relação a 2024.
Enquanto isso, o governo do Reino Unido está alterando o Projeto de Lei sobre Crime e Policiamento, obrigando as plataformas a remover imagens íntimas sinalizadas em até 48 horas, sob pena de multas equivalentes a 10% da receita global.
Prevemos uma corrida entre os órgãos reguladores e os cibercriminosos que utilizam inteligência artificial. No momento, os invasores ainda precisam localizar as fotos manualmente. A preocupação é que esse processo possa em breve se tornar automatizado, permitindo que os criminosos coletem nomes e fotos de sites de escolas e plataformas de mídia social em grande escala.
Para os pais, a forma mais simples de proteção pode ser limitar o número de fotos identificáveis dos filhos disponíveis na internet. Isso inclui estar atento não apenas à escola do seu filho, mas também aos clubes esportivos, às atividades extracurriculares e às contas nas redes sociais.
