Google lança verificação por gestos de mão no reCAPTCHA: biometria em tempo real sem armazenamento de dados

O Google não está só atualizando o reCAPTCHA: está redesenhando a fronteira entre humano, bot e agente de IA com um novo tipo de prova de presença, agora baseada em movimento físico em tempo real. A verificação por gestos de mão não é um desafio isolado, mas um componente tático do Google Cloud Fraud Defense, plataforma lançada oficialmente no Cloud Next de 22 de abril de 2026 para lidar com a 'web agêntica'. Ela processa vídeos curtos (sem áudio) para extrair 21 pontos articulares das mãos, não imagens, não rostos, não identidades. O dado gerado é efêmero: apagado imediatamente após a inferência, sem persistência ou transferência. Isso muda o jogo técnico: em vez de analisar comportamento de navegação ou padrões de clique (facilmente simuláveis por LLMs avançados), o sistema exige uma ação física que depende de coordenação neuromuscular, algo ainda fora do alcance de agentes de IA autônomos em ambiente aberto.

Por trás disso, há uma mudança estrutural de responsabilidade: desde 2 de abril de 2026, o Google passou de 'controlador' para 'processador de dados' no reCAPTCHA. Ou seja, quem implanta o serviço, site, app, banco, agora responde legalmente pelo tratamento dos dados, incluindo a justificativa GDPR/Lei Geral de Proteção de Dados. E isso não é teórico: exige revisão imediata de políticas de privacidade, documentação da base legal e avaliação de impacto, especialmente se o gesto for exigido em fluxos sensíveis como login ou pagamento.

A cobertura CEVIU de 7 de maio já sinalizava o Cloud Fraud Defense como a 'próxima evolução' do reCAPTCHA, mas naquela data, era uma arquitetura anunciada, sem detalhes operacionais. Hoje, a verificação por gestos é funcional, integrada ao produto e documentada publicamente (atualização em 11 de junho). Também houve uma mudança concreta de papel jurídico: a transição para 'processador de dados', confirmada em 2 de abril, agora tem consequências práticas para equipes de segurança e compliance. Antes, o Google carregava parte da responsabilidade; agora, ela está toda no lado do cliente, o que transforma a adoção do recurso de um ajuste técnico em uma decisão de governança.

Isso importa porque ataques automatizados estão migrando para camadas mais altas: não só bots de força bruta, mas agentes de IA que simulam comportamento humano com alta fidelidade, inclusive preenchendo formulários e resolvendo desafios clássicos. O gesto de mão é uma barreira física que não pode ser contornada por lógica de software. Mas o custo é alto: exige permissão de câmera, gera novos vetores de ataque (ex.: exploração de APIs de mídia), e exclui usuários com deficiências motoras ou dispositivos restritos (como GrapheneOS, que bloqueia Play Services). Empresas precisam decidir: trocar usabilidade e inclusão por uma camada extra de detecção? E, mais urgente: sua política de privacidade já reflete que você agora é o único controlador desses dados de vídeo efêmeros?