As escolas adoram uma boa fotografia, seja de uma visita a um castelo, de uma cerimónia de entrega de prémios de ciências ou de um dia de desporto captado de três ângulos diferentes. Durante duas décadas, imagens comemorativas como estas foram publicadas diretamente nos sites das escolas, acompanhadas de uma legenda com o nome e a turma do aluno. Mas esses dias já lá vão, porque estamos na Internet de 2026 e não podemos ter coisas boas.
Conforme noticiado inicialmente pelo Guardian, os especialistas estão agora a exortar as escolas a retirarem essas fotografias. De acordo com a Agência Nacional contra o Crime do Reino Unido, a Internet Watch Foundation e um órgão consultivo denominado Early Warning Working Group (EWWG), os chantagistas têm recolhido fotografias escolares comuns, processando-as através de deepfake baseadas em IA para produzir material de abuso sexual infantil (CSAM) e exigindo pagamentos para manter as imagens fora da Internet.
Uma escola, 150 imagens
No final do ano passado, os cibercriminosos contactaram uma escola secundária britânica, cujo nome não foi revelado, com essa exigência. A IWF classificou 150 das imagens resultantes como CSAM, nos termos da legislação britânica, e gerou impressões digitais para cada imagem, para que as principais plataformas pudessem bloquear novos uploads.
A IWF não revela o nome da escola nem da força policial, e não acredita que este tenha sido um caso isolado. O EWWG afirma que é «apenas uma questão de tempo» até que mais escolas se deparem com exigências semelhantes.
A ministra britânica responsável pela proteção infantil, Jess Phillips, classificou-a como uma «ameaça emergente profundamente preocupante». Em fevereiro de 2025, o Reino Unido tornou-se o primeiro país a proibir ferramentas de IA concebidas especificamente para gerar material de abuso sexual infantil (CSAM).
Como chegámos até aqui
Esta ameaça não surgiu da noite para o dia e não se limita ao Reino Unido. Trata-se da evolução de uma ameaça que já existe há muito tempo: a sextorsão, quando alguém utiliza imagens íntimas para chantagear a vítima. Tradicionalmente, a sextorsão baseava-se em imagens íntimas reais que eram roubadas ou partilhadas, mas deepfake mudou tudo.
O Centro de Denúncias de Crimes na Internet (IC3) do FBI registou mais de 16 000 denúncias de sextorsão no primeiro semestre de 2021, com prejuízos que ultrapassaram os 8 milhões de dólares. Em junho de 2023, o FBI alertou que o modus operandi tinha mudado: os atacantes estavam a utilizar fotos comuns das redes sociais para criar imagens explícitas falsas e extorquir menores.
A Childline, linha de apoio infantil do Reino Unido, tem registado mudanças semelhantes à medida que deepfake se tornam mais acessíveis. A organização já regista muitos casos de sextorsão todos os anos, muitos deles envolvendo crianças que foram manipuladas a partilhar imagens íntimas de si próprias. Agora, a organização está a receber chamadas de crianças a quem estão a ser enviadas imagens deepfake de si próprias, sem qualquer contacto prévio.
Uma rapariga de 15 anos, por exemplo, recebeu uma foto falsa de nudez «muito convincente», criada a partir Instagram suas Instagram .
Em novembro de 2025, os relatos da IWF sobre material de abuso sexual infantil gerado por IA tinham mais do que duplicado em relação ao ano anterior, passando de 199 para 426. As meninas representavam 94% das vítimas. Os casos relatados incluíam crianças desde recém-nascidos até aos dois anos de idade, segundo a organização.
O ecossistema em torno destas ferramentas é de natureza industrial. Em abril de 2025, um investigador descobriu um bucket do AWS S3 exposto, pertencente à aplicação sul-coreana «nudify» GenNomis, que continha 93 485 imagens geradas por IA, juntamente com os prompts que as produziram.
O que está a ser comunicado às escolas
A recomendação do EWWG é substituir fotos em grande plano e identificáveis por imagens tiradas à distância, imagens desfocadas ou fotos tiradas de costas. Aconselha também as escolas a removerem os nomes completos das legendas, a reverem as imagens existentes e a pedirem aos pais que voltem a assinar os formulários de consentimento.
Na verdade, aconselha as escolas a reconsiderarem se é mesmo necessário publicar fotos das crianças na Internet.
Algumas escolas já tomaram medidas. Segundo o Guardian, a Loughborough Schools Foundation, um grupo de três escolas privadas que partilham um site, retirou completamente as imagens de alunos identificáveis no ano passado.
O Gabinete do Comissário de Informação do Reino Unido (ICO) afirma que «em geral, continuaria a esperar que se oferecesse aos pais a possibilidade de recusar» ao publicar uma fotografia identificável de uma criança, mas salienta que, do ponto de vista jurídico, isso não equivale a consentimento, cujos requisitos são mais rigorosos.
A situação torna-se mais complexa nos EUA, onde os estados costumam ter as suas próprias leis relativas à privacidade dos alunos. Em termos gerais, porém, ao abrigo da Privacy Direitos Educacionais e Privacy da Família (FERPA), as escolas costumam incluir fotografias identificáveis dos alunos na categoria de «informações de diretório». Esta categoria abrange também o nome, a morada, o número de telefone, a data e o local de nascimento, a participação em atividades e desportos oficialmente reconhecidos, bem como as datas de frequência.
Nos termos da FERPA, as escolas podem divulgar este tipo de informação, a menos que o responsável legal da criança se oponha expressamente a tal. As escolas têm de notificar o responsável legal quando pretendem divulgar essa informação, mas esse processo pode não se aplicar indefinidamente após o aluno deixar a escola.
Isso significa que as fotos e os dados dos alunos podem permanecer online muito tempo depois de as famílias pensarem que já foram apagados.
O que acontece a seguir
No Reino Unido, o serviço «Report Remove» da Childline permite que as crianças denunciem imagens ou vídeos explícitos de si próprias que tenham sido publicados online. O serviço recebeu 394 denúncias de chantagem por parte de menores de 18 anos no ano passado, o que representa um aumento de um terço em relação a 2024.
Entretanto, o governo britânico está a alterar a Lei sobre Criminalidade e Polícia, obrigando as plataformas a remover imagens íntimas que tenham sido sinalizadas no prazo de 48 horas, sob pena de multas correspondentes a 10 % da receita global.
Prevemos uma corrida entre as entidades reguladoras e os cibercriminosos que utilizam IA. Neste momento, os atacantes ainda têm de procurar manualmente as fotografias. A preocupação é que este processo possa em breve tornar-se automatizado, permitindo aos criminosos recolher nomes e fotografias em grande escala a partir de sites de escolas e plataformas de redes sociais.
Para os pais, a forma mais simples de proteger os filhos pode ser limitar o número de fotografias identificáveis que estão disponíveis online. Isso implica estar atento não só à escola do seu filho, mas também aos clubes desportivos, às atividades extracurriculares e às contas nas redes sociais.
