Política e Regulamentação

O que a "marca d'água de IA" realmente significa — e por que é mais difícil do que parece

Uncutly Editorial · 15 de julho de 2026 · 9 min de leitura

Gráfico oficial da C2PA mostrando uma foto com o selo Content Credentials e o painel de dados de proveniência que ela carrega
Official social-share graphic — c2pa.org

Quando o AI Act da UE exige que os provedores marquem o conteúdo gerado em um “formato legível por máquina… detectável como gerado artificialmente”, a lei deliberadamente não diz como. Ela define uma exigência, não uma tecnologia. Na prática, essa exigência é atendida por um pequeno número de sistemas técnicos reais, desenvolvidos ao longo de anos, cada um com capacidades genuínas e uma forma específica e bem documentada de falhar. Duas abordagens dominam: padrões de metadados assinados criptograficamente, como as Content Credentials da C2PA, e sinais invisíveis embutidos diretamente nos pixels ou no texto, como o SynthID do Google DeepMind. Saber como cada um funciona de fato — e, mais útil ainda, como cada um falha — é o que separa presumir que um rótulo de “marca d’água” significa algo duradouro de entender exatamente o que ele pode e não pode prometer.

Duas coisas bem diferentes são chamadas de “marca d’água”

O termo é usado de forma imprecisa, mas as duas abordagens dominantes resolvem o problema de maneiras quase opostas. As Content Credentials da C2PA anexam um registro assinado — quem criou o conteúdo, com qual ferramenta, quais edições ocorreram desde então — como um pacote de dados separado que viaja junto com o arquivo. Marcas d’água estatísticas como o SynthID não anexam nada separado; elas alteram os próprios valores dos pixels, ou as probabilidades de seleção de tokens, no exato momento da geração, de modo que a “marca” é inseparável do conteúdo em si. Uma se assemelha a um certificado autenticado grampeado a um documento. A outra se assemelha mais a uma assinatura tecida nas fibras do papel. Ambas são chamadas de marca d’água. Não têm quase mais nada em comum, nem mesmo a forma como falham.

Como uma Content Credential é de fato anexada

A C2PA — a Coalition for Content Provenance and Authenticity, apoiada por mais de 6.000 organizações associadas, incluindo Adobe, Google, Microsoft, Amazon, Meta, Sony, BBC, OpenAI e Truepic — define um fluxo de trabalho em três etapas. Um “claim generator” (software ou hardware) reúne um conjunto de declarações sobre o conteúdo: dispositivo de captura, ferramentas de edição usadas, manifestos anteriores dos quais ele descende. Essas declarações se tornam uma “claim”, que é assinada com a chave privada do criador em formato COSE, respaldada por um certificado X.509 emitido por uma autoridade certificadora confiável. O pacote assinado — o manifesto — é encapsulado em um contêiner JUMBF e incorporado ao arquivo, tornando-se o que a marca voltada ao consumidor chama de Content Credential: o pequeno ícone “cr” que você talvez já tenha visto no canto de uma imagem, que abre um painel mostrando quando o conteúdo foi criado, o que foi editado e quem assinou. Fundamentalmente, essa cadeia é projetada para sobreviver a edições legítimas — se uma ferramenta compatível abre uma imagem com credencial, a edita e a assina novamente, o novo manifesto pode referenciar o anterior, construindo um histórico auditável em vez de apagá-lo.

Painel de Content Credentials mostrando dados de proveniência — data, edições e atividades, e assinante — anexado a uma foto ao longo de edições sucessivas

O problema: o manifesto vive no arquivo, não na imagem

A C2PA oferece duas formas de vincular um manifesto a um ativo, e a mais forte também é a mais frágil. Um “hard binding” é um hash criptográfico dos bytes exatos do arquivo; mude um único byte — recomprima, redimensione, salve novamente em outro formato — e o hash deixa de corresponder, fazendo a validação falhar. Isso é proposital: serve para sinalizar adulteração. Mas também significa que o manuseio rotineiro e totalmente inocente de um arquivo — uma plataforma recodificando um upload para economizar largura de banda, um aplicativo salvando novamente em qualidade inferior — pode quebrar essa vinculação com a mesma eficácia que uma edição maliciosa. Um “soft binding”, derivado de uma impressão digital perceptual (perceptual fingerprint) do conteúdo em vez dos seus bytes brutos, é mais durável e pode ajudar a redescobrir um manifesto por meio de um serviço de busca mesmo depois que a cópia incorporada é removida — mas é uma garantia mais fraca, e depende da existência dessa infraestrutura de busca e de ela ser efetivamente consultada. E existe ainda o modo de falha que não exige nenhuma ferramenta de edição: a captura de tela. Uma captura de tela não copia os bytes de um arquivo nem seu contêiner JUMBF incorporado — ela renderiza pixels novamente por meio da pilha gráfica do sistema operacional e captura uma imagem inteiramente nova, sem nenhuma memória dos metadados do arquivo original. Some-se a isso a prática conhecida das grandes plataformas de remover por padrão os metadados EXIF e XMP dos uploads, por razões de privacidade e economia de banda que são anteriores a toda essa discussão, e uma credencial baseada em contêiner tem várias formas absolutamente comuns de desaparecer antes mesmo de alguém tentar esconder algo.

Embutindo o sinal diretamente no conteúdo

A segunda abordagem existe justamente para sobreviver ao que derruba a primeira. O SynthID e sistemas comparáveis embutem um sinal estatístico imperceptível diretamente nos valores dos pixels durante a geração de imagens ou vídeos, ou nas probabilidades de seleção de tokens durante a geração de texto — não anexado ao lado do conteúdo, mas distribuído por dentro dele. Como o sinal viaja na própria informação visual ou textual, e não em um contêiner à parte, ele é projetado para persistir através de cortes, redimensionamentos, recompressões, conversões de formato e — ao contrário de um manifesto de metadados — capturas de tela, já que os pixels capturados ainda carregam a perturbação. A escala de implantação em meados de 2026 é real: o Google afirma que o SynthID já marcou com marca d’água mais de 10 bilhões de conteúdos, e agora vem ativado por padrão no Gemini, Imagen, Veo e Lyria; desde maio de 2026, a OpenAI firmou parceria com o Google para embutir o SynthID em imagens do ChatGPT, DALL·E, Codex e da API da OpenAI, com Kakao e ElevenLabs também aderindo, e a implantação se estendendo à Busca e ao Chrome.

Robusto não é o mesmo que inquebrável

A contrapartida é que verificar uma marca d’água estatística não é uma checagem criptográfica de sim/não que qualquer pessoa possa refazer de forma independente — é preciso passar o conteúdo por um detector, tipicamente proprietário e controlado pelo fornecedor, que retorna um nível de confiança em vez de uma certeza: presente, ausente ou incerto. Essa dependência de um detector caixa-preta é uma fragilidade. Uma segunda é que o próprio sinal pode ser atacado diretamente. Marcas d’água em texto, como o SynthID-Text, já se mostraram vulneráveis a paráfrases, com ataques sofisticados relatados como capazes de reduzir a precisão de detecção a níveis próximos do acaso. Para imagens, um ataque de “regeneração por difusão” (diffusion regeneration) — codificar a imagem em um espaço latente, injetar ruído e reconstruí-la por meio de um processo de difusão reversa — produz uma saída visualmente idêntica ao olho humano, mas que não carrega mais o sinal estatístico original, e isso não é um exercício teórico: já existem publicamente ferramentas de código aberto mantidas ativamente, criadas especificamente para remover SynthID, credenciais C2PA e rótulos EXIF/XMP de “feito com IA” de imagens. Por baixo de tudo isso há ainda uma contrapartida de engenharia inevitável: tornar uma marca d’água mais robusta contra ataques tende a degradar visivelmente a qualidade da saída, e nenhum esquema atual resolveu totalmente essa tensão — por isso os fornecedores calibram para uma resiliência razoável contra o manuseio comum, não para resistência máxima contra um adversário determinado.

A lacuna que nenhuma das duas abordagens consegue fechar

Os dois sistemas compartilham uma limitação que nada tem a ver com corte de imagem ou paráfrase: a marcação d’água é opcional no nível do software, e ela só marca a saída de um sistema que optou por implementá-la. Uma ferramenta de geração local, de pesos abertos, pode simplesmente não incluir o código de marca d’água, e nada no formato do arquivo, na lei ou na física da situação pode fazer uma marca aparecer em um conteúdo no qual um gerador nunca a inseriu. Isso funciona nos dois sentidos para quem tenta usar essas marcas como sinal de confiança: a ausência de uma credencial ou de uma marca d’água detectável não é prova de que o conteúdo não foi gerado por IA, e a presença de uma marca válida não é prova de que o conteúdo é preciso, autorizado, ou exibido em seu contexto original — uma fotografia real, genuinamente editada e assinada corretamente em cada etapa, ainda pode induzir ao erro. Uma credencial comprova uma cadeia de custódia, não honestidade. O próprio Code of Practice do AI Office da UE reconhece isso implicitamente ao prescrever uma abordagem em múltiplas camadas — metadados, marca d’água invisível e registro de logs juntos — em vez de endossar um único mecanismo, porque os reguladores que redigiram as diretrizes técnicas sabem que nenhuma camada isolada cobre todos os modos de falha por conta própria.

Então a exigência de rotulagem é realmente aplicável?

É aqui que o quadro técnico se conecta ao jurídico. A obrigação de marcação legível por máquina do artigo 50(2) do AI Act da UE é genuinamente verificável na origem: um regulador ou auditor pode inspecionar se um sistema de geração anexa um manifesto, um sinal invisível, ou ambos, no momento em que o conteúdo é produzido, e os provedores atendem a esse critério ou não — essa parte da lei tem poder técnico real. O que a lei não consegue fazer é garantir que a marca ainda esteja legível em qualquer cópia do conteúdo que finalmente chegue a um espectador, três republicações, duas capturas de tela e uma recompressão depois. Nada na regulação alcança essa distância porque nada na tecnologia subjacente alcança essa distância, e isso não é uma falha de redação — é um reflexo honesto do que esses sistemas conseguem e não conseguem fazer. Isso não torna a exigência inútil: um mundo em que a maior parte do conteúdo de IA carrega um sinal detectável, ainda que imperfeito, no momento da publicação, é um ponto de partida significativamente melhor para plataformas e pesquisadores que constroem pipelines de detecção do que a quase total ausência de marcação que existia poucos anos atrás. Mas isso significa que a leitura sensata de uma alegação de “com marca d’água” ou “rotulado” não é “isto é garantidamente rastreável” — é “isto foi marcado no momento em que foi criado, e se isso sobreviveu até chegar até você é uma questão separada que essa tecnologia nunca foi construída para responder com certeza”.

Os detalhes regulatórios e técnicos acima refletem informações disponíveis publicamente em meados de julho de 2026 — verifique as especificações e exigências vigentes antes de tomar decisões que dependam delas. Este artigo é uma informação geral, não um aconselhamento jurídico ou de conformidade técnica.