Impressão digital de dispositivo em um mundo pós-cookie: o mapa regulatório e técnico de 2026
Os cookies de terceiros estão sumindo e a impressão digital está mais escrutinada do que nunca. O que mudou em 2026, tecnicamente (ITP, Privacy Sandbox) e legalmente (GDPR, ePrivacy), e por que a antifraude de origem própria se destaca.
A expressão "mundo pós-cookie" reúne duas histórias muito diferentes em uma só, e essa confusão causa a maior parte do mal-entendido sobre se a impressão digital de dispositivo ainda é viável em 2026. Uma história é técnica: os navegadores restringiram e depois removeram os cookies de terceiros, e criaram mecanismos substitutos. A outra é legal: os reguladores esclareceram que a impressão digital é regida pelas mesmas regras dos cookies. Ambas as histórias são reais, ambas importam, e ambas são frequentemente mal interpretadas como "a impressão digital morreu", quando o que elas de fato estabelecem é muito mais específico.
Este texto mapeia as duas — o que mudou nos navegadores, o que diz a lei e como as duas coisas interagem — com um fio condutor consistente: a finalidade da identificação, e não o mecanismo, é o que determina tanto a viabilidade técnica quanto a sustentação legal. O público são as partes interessadas de privacidade, jurídico e engenharia que decidem se e como implantar inteligência de dispositivos.
O que o "mundo pós-cookie" realmente removeu
A mudança pós-cookie removeu os cookies de terceiros — o mecanismo de rastreamento entre sites — enquanto deixou intacto o estado de origem própria e a identificação de dispositivo de origem própria. Essa distinção é o fato isolado mais importante para avaliar a impressão digital, e é justamente o que mais se perde.
Um cookie de terceiros é definido por um domínio diferente daquele na barra de endereços, e permite que esse terceiro reconheça um usuário em todos os sites não relacionados onde seu código roda. Esse é o motor da publicidade comportamental entre sites, e é o que os navegadores desmontaram. Um cookie de origem própria — definido pelo site que você está de fato visitando, legível apenas por esse site — nunca foi o alvo e continua funcionando.
Os navegadores avançaram em cronogramas diferentes com mecanismos diferentes, mas a direção foi uniforme: eliminar o estado de terceiros entre sites, preservar a relação de origem própria.
Safari (Intelligent Tracking Prevention). O ITP da Apple bloqueia cookies de terceiros por padrão desde 2020 e apertou progressivamente os tempos de vida do armazenamento de origem própria para estados definidos por script, a fim de limitar contornos de rastreamento. O ITP mira especificamente no caso de uso de rastreamento entre sites.
Firefox (Enhanced Tracking Protection / Total Cookie Protection). O Firefox bloqueia cookies de rastreamento de terceiros por padrão e particiona o armazenamento por site, de modo que um terceiro recebe um pote de cookies separado em cada site, em vez de uma identidade compartilhada entre todos eles. Mais uma vez — a ligação entre sites é o alvo.
Chrome (Privacy Sandbox). O caminho do Chrome foi mais longo e mais contestado. Em vez de simplesmente bloquear os cookies de terceiros, o Google construiu o Privacy Sandbox — um conjunto de APIs com escopo de finalidade (Topics para sinais de interesse, Protected Audience para remarketing, Attribution Reporting para medição de conversão) destinado a entregar resultados de publicidade sem identificadores entre sites. O lançamento, o cronograma de descontinuação e o status exato da escolha para o usuário mudaram repetidamente ao longo de 2024–2026, mas a intenção arquitetural se manteve: substituir o identificador entre sites por mecanismos agregados e com escopo de privacidade. O impacto sobre a impressão digital especificamente é abordado em Impacto do Privacy Sandbox.
Cada um desses mecanismos mira na mesma coisa: um terceiro reconhecendo um usuário entre sites que ele não possui. Nenhum deles mira — nem poderia mirar, sem quebrar a web — em um site reconhecendo seus próprios visitantes em suas próprias páginas. É nessa brecha que vive a impressão digital antifraude.
A impressão digital antifraude de origem própria é um caso de uso diferente
A impressão digital para prevenção de fraudes é, por natureza, de origem própria e restrita a um único site: uma plataforma identifica seus próprios visitantes em suas próprias páginas para tomar decisões de segurança. Isso é categoricamente diferente do caso de uso de publicidade entre sites que os navegadores desmontaram, e os mecanismos do navegador não o restringem — porque não podem, sem quebrar funcionalidades essenciais das quais todo site depende.
Considere o que um navegador teria que quebrar para impedir a identificação de dispositivo de origem própria. Ele teria que impedir que um site lesse as características do navegador que renderiza suas próprias páginas — tamanho da tela, idioma, o comportamento de temporização e renderização que um site precisa para funcionar, a pilha de rede com a qual ele já está conversando. Esses não são ganchos de rastreamento; são a superfície básica sobre a qual uma aplicação web funciona. Restringi-los quebra funcionalidades legítimas, então os navegadores restringem a combinação entre sites e o abuso desses sinais, não a observação deles pela própria origem.
É por isso que a distinção entre dispositivo e cookie importa. Um sistema antifraude que identifica um dispositivo recorrente em uma única plataforma não está reconstruindo um cookie de terceiros — está fazendo algo que os cookies de terceiros nunca fizeram bem de qualquer forma: produzir uma identidade estável, resistente à limpeza, para a finalidade de segurança do próprio site. E fazendo isso sem cookies nenhum, o que contorna toda a questão da descontinuação dos cookies.
O veredito de viabilidade técnica é, portanto, direto: as mudanças pós-cookie nos navegadores reduzem a impressão digital entre sites (mais difícil, mais restrita) e deixam a impressão digital antifraude de origem própria essencialmente intacta. Um sistema antifraude que dependesse do compartilhamento de sinais entre sites estaria em apuros; um construído em torno da identidade de dispositivo de origem própria não está.
O que o GDPR e a ePrivacy realmente dizem sobre impressão digital
A legislação europeia trata a impressão digital de dispositivo do mesmo modo que trata os cookies: ela regula pela finalidade e pelo acesso ao dispositivo do usuário, não pela tecnologia específica. A impressão digital não escapa das regras por não ser um cookie, e também não cai automaticamente sob elas — a análise gira em torno do porquê você está fazendo isso.
Dois instrumentos se aplicam, e operam em sequência.
A Diretiva ePrivacy (Artigo 5(3)) rege o ato de armazenar informações no, ou obter acesso a informações já armazenadas no, equipamento terminal de um usuário. Essa é a "lei dos cookies", mas seu texto é neutro em relação à tecnologia — cobre "informações" e "acesso", que os reguladores (e a orientação do Comitê Europeu de Proteção de Dados) leram consistentemente como incluindo técnicas de impressão digital que acessam características do dispositivo. Portanto, ler sinais de um dispositivo está dentro do escopo da ePrivacy, independentemente de haver ou não um cookie envolvido.
De forma crítica, o Artigo 5(3) contém isenções. O consentimento não é exigido quando o acesso é estritamente necessário seja para transmitir uma comunicação, seja para prestar um serviço explicitamente solicitado pelo usuário. Segurança e prevenção de fraudes das quais o serviço solicitado pelo usuário genuinamente depende têm uma base real para a isenção de estritamente necessário — ponto ao qual retornaremos adiante.
O GDPR rege o processamento de quaisquer dados pessoais resultantes. Uma impressão digital de dispositivo capaz de individualizar uma pessoa é dado pessoal, então seu processamento precisa de uma base legal sob o Artigo 6. As bases relevantes para o trabalho antifraude são os interesses legítimos (Artigo 6(1)(f)) — e os próprios considerandos do GDPR nomeiam explicitamente a prevenção de fraudes como um interesse legítimo — e, quando aplicável, a obrigação legal. É aqui que vivem os mecanismos detalhados de conformidade: limitação de finalidade, minimização de dados, transparência, limites de retenção e uma avaliação documentada de interesses legítimos. O formato prático de uma implantação em conformidade está descrito em Impressão digital de dispositivo em conformidade com o GDPR.
Os dois instrumentos se empilham: a ePrivacy decide se você precisa de consentimento para acessar o dispositivo, o GDPR decide se você tem uma base legal para processar o que obteve. Para a prevenção de fraudes, o caminho plausível é a isenção de estritamente necessário da ePrivacy somada aos interesses legítimos do GDPR — mas esse caminho tem condições, e não é automático.
A impressão digital antifraude precisa de consentimento?
Depende da finalidade, e a divisão é nítida: a impressão digital para publicidade, análise ou rastreamento entre sites precisa de consentimento; a impressão digital estritamente necessária a um serviço de prevenção de fraudes solicitado pelo usuário tem uma base genuína para operar sem o mesmo opt-in. O mecanismo é idêntico em ambos os casos — o tratamento legal diverge inteiramente com base no porquê.
Para as finalidades de publicidade e análise, não há argumento sério: é exatamente para isso que a exigência de consentimento da ePrivacy foi escrita, não é estritamente necessário a nenhum serviço que o usuário tenha pedido, e precisa de consentimento prévio e informado como precisaria qualquer cookie de rastreamento.
Para a prevenção de fraudes, o argumento a favor da isenção de estritamente necessário é real, mas condicional. Ele se sustenta com mais força quando:
- A impressão digital é genuinamente necessária para entregar um serviço que o usuário solicitou — proteger seu login, proteger seu pagamento, impedir o roubo de sua conta. A segurança faz parte do que o usuário está pedindo ao usar o serviço.
- O processamento é limitado à finalidade de segurança e não reaproveitado para marketing, criação de perfil ou qualquer coisa que o usuário não solicitou. A limitação de finalidade está fazendo trabalho de verdade aqui; no momento em que a mesma impressão digital alimenta a publicidade, o argumento da isenção desmorona.
- A coleta de dados é minimizada ao que a finalidade de segurança precisa, a retenção é limitada, e o processamento é documentado e transparente (divulgado no aviso de privacidade, mesmo que o consentimento não seja a base).
Isso não é uma brecha e não deve ser tratado como uma. É uma isenção vinculada à finalidade que sobrevive apenas enquanto a finalidade permanecer delimitada. Um sistema antifraude que silenciosamente compartilha seus sinais em um grafo de anúncios já não está fazendo processamento de segurança estritamente necessário, e perde a isenção. A posição durável é uma implantação antifraude que é, e permanece, exatamente o que afirma ser: de origem própria, com finalidade de segurança, minimizada e separada do marketing.
Nada disso é aconselhamento jurídico, e a aplicação exata depende da jurisdição, das implementações nacionais da ePrivacy, das regras setoriais e do seu processamento específico — a análise aqui é o formato regulatório geral, e uma implantação real precisa de sua própria avaliação de interesses legítimos e da revisão de um advogado.
A arquitetura durável
A arquitetura que sobrevive tanto à mudança técnica quanto à legal é aquela para a qual a impressão digital focada em fraude já estava convergindo: de origem própria, ponderada em favor de sinais do lado do servidor, com finalidade limitada à segurança e independente de mecanismos entre sites.
Três compromissos de design decorrem do mapa acima.
Apoie-se em sinais de origem própria e do lado do servidor. As mudanças nos navegadores restringem com mais força as sondagens do lado do cliente entre sites. Sinais do lado do servidor — impressões digitais da pilha de rede, características do TLS, comportamento da conexão — são observados a partir da sua própria infraestrutura conforme o usuário se conecta ao seu serviço, são inerentemente de origem própria, e não estão sujeitos às restrições do lado do cliente que os navegadores estão apertando. Um sistema ponderado em favor desses sinais envelhece melhor do que um construído sobre sondagens do lado do cliente que podem ser cerceadas.
Mantenha a finalidade delimitada e visível. A viabilidade legal depende inteiramente de permanecer dentro da finalidade de segurança. Isso significa não reaproveitar sinais antifraude para marketing, não construir um grafo entre sites, divulgar o processamento no aviso de privacidade, minimizar a coleta e limitar a retenção. Isso não é sobrecarga de conformidade acrescentada depois — são as condições sob as quais toda a abordagem é legal.
Não dependa do compartilhamento de sinais entre sites para o veredito central. A inteligência entre clientes, anonimizada e agregada, pode fortalecer a detecção, mas a identidade primária do dispositivo deve se sustentar apenas em sinais de origem própria, para que o sistema não repouse sobre os mecanismos entre sites que são tanto tecnicamente restritos quanto legalmente exigentes de consentimento.
Um sistema de impressão digital antifraude construído assim é genuinamente pós-cookie: ele não usa cookies, não precisa deles, não depende de estado de terceiros e não desmorona quando o próximo recurso de prevenção de rastreamento é lançado — porque, para começar, ele nunca esteve fazendo rastreamento entre sites.
A Tracio é construída exatamente com esse formato. A identidade é de origem própria e sem cookies, ponderada entre sinais de rede do lado do servidor e sinais de dispositivo do lado do cliente, com finalidade limitada a decisões de segurança e fraude, e não alimenta um grafo de publicidade. Ela é projetada para permanecer estável através das mudanças de privacidade dos navegadores porque não depende dos mecanismos entre sites que essas mudanças miram. Para os mecanismos detalhados de conformidade, consulte o guia de implantação em conformidade com o GDPR; o glossário cobre os conceitos subjacentes.
Quer ver como uma identidade de dispositivo de origem própria e com finalidade de segurança se encaixa na sua postura de privacidade e conformidade?
Comece seu teste grátis — 2.500 verificações grátis, sem cartão de crédito. Agende uma demonstração para revisar a arquitetura e o tratamento de dados com nossa equipe.