JanitorAI anuncia bloqueio do serviço para usuários do Reino Unido por causa da regulação da Online Safety Act

 (blog.janitorai.com)
2 pontos por GN⁺ 2025-07-22 | 1 comentários | Compartilhar no WhatsApp
  • A JanitorAI, plataforma de chatbot em que usuários criam personagens de IA personalizados para conversar, anunciou oficialmente o bloqueio do serviço no Reino Unido (Inglaterra, Escócia, País de Gales e Irlanda do Norte) a partir de 24 de julho
  • O motivo são as regulações excessivas da Online Safety Act do Reino Unido e o alto ônus jurídico e financeiro (multa de até 18 milhões de libras, além da possibilidade de responsabilização criminal da equipe de gestão)
  • Obrigações em nível de grandes empresas, como avaliação de risco jurídico, implementação de sistema de autenticação biométrica e revisão jurídica contínua, também são aplicadas a serviços menores, criando uma barreira de entrada real para plataformas de pequeno porte
  • A JanitorAI descreveu a despedida da comunidade do Reino Unido como uma "decisão inevitável para proteger a equipe" e afirma que busca várias alternativas para cumprir as regras no futuro, como verificação de menores
  • Os usuários não sofrerão outras desvantagens além do bloqueio de acesso; sem exclusão de conta, a restrição será aplicada apenas a acessos por IP do Reino Unido

Aviso de bloqueio do serviço e contexto

  • A JanitorAI anunciou que pretende bloquear o acesso dentro do Reino Unido a partir de 24 de julho de 2025 às 23:59 (UTC)
  • O aviso foi feito às pressas, apenas 4 dias antes, e a empresa pediu desculpas aos usuários britânicos

Impacto da Online Safety Act do Reino Unido

  • A equipe do serviço havia interpretado mal o conteúdo da Online Safety Act, mas percebeu tardiamente que não se tratava apenas de moderação simples de conteúdo, e sim da aplicação de regulações em nível de grandes empresas a todas as plataformas
  • São impostas obrigações em grau inviável para pequenos operadores, como avaliação de risco jurídico, autenticação biométrica (ex.: Persona, adotado pelo Reddit — US$ 1,5 por pessoa) e revisão jurídica constante
  • Em caso de descumprimento, pode haver multa de até 18 milhões de libras e responsabilidade criminal da administração (inclusive possibilidade de prisão)

Impossibilidade de conformidade e críticas à política

  • Com cerca de 250 páginas de legislação, mais de 3.000 páginas de diretrizes da Ofcom e a ausência de exceções para plataformas pequenas, a conformidade é, na prática, impossível
  • Surgem críticas de que o governo britânico se apresenta como polo de inovação, mas na prática criou uma estrutura em que apenas grandes empresas como o Google conseguem resistir

Impacto para os usuários e orientações

  • A partir de 24 de julho, quem acessar a JanitorAI a partir de um IP do Reino Unido verá uma página de bloqueio
  • As contas de residentes do Reino Unido não serão excluídas; será aplicada apenas a restrição de acesso
  • Se o usuário contornar o bloqueio, a responsabilidade legal se aplica apenas ao provedor do serviço (plataforma), sem punição legal para o usuário

Planos futuros e posicionamento

  • A JanitorAI afirma que não desistiu completamente do mercado britânico e está buscando ativamente medidas adicionais de conformidade, como verificação de menores
  • Junto com a preocupação de que "muitas plataformas inovadoras tomarão a mesma decisão" e de que "o Reino Unido está escolhendo se isolar da inovação global", a empresa pediu a usuários e governo participação em petições por uma reavaliação da regulação
  • A equipe da JanitorAI enfatiza que se trata de uma medida temporária de bloqueio e mantém aberta a possibilidade de retomar o serviço caso cumpra os requisitos no futuro

Esclarecimento de equívocos (FAQ)

  • Usuários do Reino Unido não serão punidos por usar a JanitorAI; sanções criminais e multas se aplicam apenas aos operadores da plataforma
  • Não é exclusão de conta; aplica-se apenas o bloqueio de acesso por IP do Reino Unido
  • Se o usuário acessar por outros meios, isso fica a seu critério pessoal, e é reafirmado que não há desvantagem legal

Leituras relacionadas

1 comentários

 
GN⁺ 2025-07-22
Comentários no Hacker News

  • Conheço bem o ambiente empresarial na Europa e no Reino Unido. É a mesma coisa não só no governo, mas também em lugares como grandes bancos. Contratam dois tipos de funcionários: os que realmente fazem o trabalho e os que colocam o máximo possível de obstáculos em nome de gestão de risco, compliance, segurança e regulação (RCSR). Contratam gente de RCSR em volume três vezes maior que o das áreas técnicas. Essas pessoas despejam milhares de páginas de diretrizes, tornando o avanço do trabalho praticamente impossível. Nosso time técnico também está há 4 meses esperando apenas a aprovação para testar um upgrade de banco de dados. A alta gestão não consegue contrariar o pessoal de RCSR, que detém poder como sacerdotes da igreja medieval. Eles veem como risco tudo que se move, sem nenhum objetivo ligado a resultados reais. Os gestores acreditam que o RCSR ajuda no controle, mas na prática só aumenta o trabalho sem sentido, e a empresa acaba presa num muro que ela mesma construiu

    • Quanto mais intensa a vigilância de RCSR, pior a segurança real fica. O time de políticas não entende bem de tecnologia e se fixa em coisas pouco importantes, desperdiçando energia de desenvolvimento. Por exemplo, para seguir a diretriz da CIS de “não armazenar segredos em variáveis de ambiente” no k8s, nosso time teve de passar 2 semanas alterando charts do Helm. Isso só vira um fardo de manutenção daqui para frente e quase não traz ganho real de segurança. Nesse tempo, poderíamos ter implementado medidas muito mais úteis, como políticas de rede ou CSP. Nos níveis mais altos do processo, só existem matrizes que olham risco e impacto, sem qualquer avaliação do esforço real investido e dos resultados. No fim, sobra trabalho sem sentido em vez de engenharia

    • Imagino que seja essa a sensação. Na prática, os engenheiros tendem a ser insensíveis a dados. Como os frameworks legais geralmente são criados por pessoas que não conhecem o trabalho de verdade, existem muitas leis horríveis. Mas no mundo real, se você viola a lei, alguém sempre pode processar você, então é preciso estar sempre atento. Nos EUA, especialmente, qualquer pessoa pode abrir processo com base nessas leis. Claro, na maior parte dos casos os requisitos de compliance em si não são tão complicados em teoria, mas entram em conflito com a prática de desenvolvimento de software, que parte do pressuposto de uso livre de dados, e por isso ficam ainda mais irritantes. Antes, quando era só um blog público, isso pesava menos, mas agora entram em jogo informações médicas, financeiras etc. de alguém, e se algo der errado pode surgir um caso tipo Cambridge Analytica, então o peso da responsabilidade é muito maior. É difícil, mas como engenheiros precisamos reconhecer as consequências e a responsabilidade do que construímos. Essa falta de consciência causa os grandes acidentes do setor

    • Os EUA também têm um problema parecido, embora menos grave. Ninguém pode entrar em conflito com os departamentos de compliance. Se surgir um processo, a pergunta vira “por que você ignorou a orientação do time de compliance?”, e até a proteção jurídica da empresa pode desmoronar. O time de compliance não tem interesse em fazer o negócio avançar, e por outro lado a operação também não vê incentivo em seguir regras. No fim, o risco de processo sempre empurra tudo para uma abordagem cautelosa que prioriza compliance

    • Não é um problema restrito à Europa. Já trabalhei em empresas nos EUA muito parecidas. O problema é a estrutura de incentivos: existe o medo de que até uma infração regulatória leve possa fazer a empresa fechar as portas (a gestão parte dessa premissa), e não há punição por deixar de cumprir a missão real. Então não fazer nada acaba virando a escolha racional

    • Você disse que está esperando há 4 meses pela aprovação para testar o upgrade do banco, mas eu já reclamava quando levava um dia até aplicar uma mudança em produção. Na empresa anterior, eram 4 horas. Se os sistemas e processos de automação forem bem feitos, parece que a maioria das mudanças poderia ter aprovação rápida. É frustrante ver a reação organizacional de aumentar sempre o número de pessoas com poder de dizer “NÃO” sempre que há um problema ou mudança regulatória

  • Não gosto da abordagem do Reino Unido para segurança online e acho que ela é pouco realista. As leis sempre parecem escritas por alguém que imprimiria e-mails para ler. Ainda assim, “plataforma pequena = isenção” não é necessariamente algo sensato. Se a ideia é proteger crianças, então conteúdo nocivo, como incentivo ao suicídio, é um problema independentemente do tamanho da plataforma. Lugares pequenos e pouco conhecidos, como certos sites de chan, podem até ser mais perigosos

    • Pequenos negócios não querem uma isenção total, e sim ao menos conseguir cumprir a regulação sem precisarem ser uma grande empresa. Por exemplo, no caso do imposto sobre embalagens plásticas, empresas como a Amazon montam equipes para lidar bem com isso, mas pequenos autônomos podem sair no prejuízo só pelo peso administrativo. Se empresas abaixo de certo faturamento tivessem uma estrutura de taxa fixa com menor carga administrativa, daria para preservar a intenção original e evitar danos reais

    • O problema é a eficiência da lei. Se para evitar o impacto de asteroides você obrigar todos os prédios a terem telhados de concreto de 1 metro de espessura, no fim os prédios pequenos só ficam sobrecarregados e os grandes quase não sentem nada. Mesmo parecendo absurdo, regulações desse tipo acabam expulsando pequenos negócios do mercado e deixando vivos só os grandes, com capital para suportar isso. Quanto menor a tolerância ao risco da sociedade como um todo, mais naturalmente vem junto o fenômeno da captura regulatória em favor das grandes empresas

    • O Reino Unido é um exemplo clássico de como a regulação de tecnologia funciona na prática. Também percebi que recentemente aumentou muito no Hacker News o número de comentários pedindo regulação. Especialmente quando surgem reclamações sobre erros em LLMs ou geração de conteúdo parecido com material protegido por direitos autorais, a reação costuma ser “vamos regular”, “vamos punir”. Muita gente acha que, ao introduzir regulação, só as grandes empresas serão punidas e os consumidores passarão a desfrutar de produtos perfeitos. Mas na prática, regulações duras fazem as empresas se retirarem do país, e os usuários continuam usando o serviço via VPN. As empresas evitam países regulatórios ou encerram a operação. Quando alguém aponta os efeitos colaterais da regulação, a resposta fácil é “era só isentar as pequenas empresas”. Quanto mais de perto se vê regulação tecnológica pesada no mundo real, mais gente passa a odiá-la

    • O objetivo final da regulação online no Reino Unido muitas vezes acaba sendo a “vigilância”. Não há muito pensamento sobre como os dados serão usados, mas projetos de lei voltados à vigilância são levados adiante de forma obsessiva

  • Casos como este continuam acontecendo repetidamente, como em https://www.thehamsterforum.com/threads/big-sad-forum-news-online-safety-act.2091/ (para constar, no Reino Unido até um fórum de amantes de hamsters acaba se tornando ilegal)

    • Quando o thehamsterforum chega a sugerir que todos migrem para o Instagram, dá para entender por que as grandes empresas até gostam dessas leis. Quanto mais regulação, maior a barreira de entrada, e só as grandes empresas com equipes internas de advogados acabam qualificadas para participar do mercado

    • Fico curioso sobre por que o fórum conseguiu voltar a operar depois de ter feito “alguma coisa nova”. Dizem que passaram a cumprir a regulação com mudança nos termos de uso e adoção de novas ferramentas de moderação, mas queria muito saber a que conclusão chegaram para considerar que o risco deixou de existir, e se essas ferramentas realmente são suficientes

    • O fórum continua funcionando até agora, então fico me perguntando se a postagem original estava errada

    • Parece explicar por que o café da série Fleabag soa mais normal (embora porquinhos-da-índia e hamsters sejam diferentes)

  • Não sei bem que tipo de serviço é esse, mas ao entrar no site vi que é um serviço 18+ e que “pornografia infantil, representação sexual de menores, violência gráfica excessiva, bestialidade e violência sexual” são proibidas. Não concordo 100% com toda a Online Safety Act, mas esse tipo de serviço claramente parece exigir uma avaliação de risco separada

    • Lendo só a matéria, pareceu problemático, mas ao olhar o site diretamente, a explicação me pareceu insuficiente e havia fatores de risco, então parece mesmo que algum tipo de regulação é necessário. Só fico curioso se outros serviços com risco bem menor também acabam afetados da mesma forma

    • Pelo que eu sei, a principal função desse serviço é oferecer aos usuários modelos de IA com censura mínima. Só conteúdo ilegal é proibido (e “ilegal” aqui inclui não apenas leis do governo, mas também regras de processadoras de pagamento como Visa/Mastercard), então praticamente vale tudo. Provavelmente há muito conteúdo sexual por causa da demanda do mercado adulto, não por característica intrínseca do serviço

    • A reclamação deles, ao que dizem, não é tanto sobre a avaliação de risco em si, mas sobre o escopo dessa avaliação e o custo excessivo

  • Há uma frase dizendo que “encontrar uma forma de acessar o site é responsabilidade do usuário, e o usuário não será punido”. Se o operador realmente está preocupado com responsabilidade legal, não deveria ter deixado esse tipo de frase, porque isso enfraquece aquela postagem e a credibilidade do esforço de conformidade

    • Na prática, é quase impossível impedir alguém de usar VPN. A não ser que o governo controle todos os provedores de internet, e nem o Reino Unido conseguiria ir tão longe assim com facilidade. Em um país normal, o operador do site não pode ser responsabilizado por isso

    • O operador deixou claro que pretende reentrar no mercado do Reino Unido e buscar conformidade total com as regras. Apenas interpretou mal o alcance da regulação e bloqueou o serviço no Reino Unido, então é uma medida temporária

  • É muito frustrante que leis e regulações não levem em conta o tamanho do fornecedor. Sempre tratam os grandes players como vilões e tentam ganhar popularidade com o argumento de “precisamos proteger as crianças”, mas na prática isso favorece as grandes empresas. Só as grandes conseguem arcar com todos os custos, como assessoria jurídica, e acabam tomando o mercado inteiro. Com o AI Act vai acontecer a mesma coisa: tanto pequenas e médias empresas quanto consumidores devem sair prejudicados

    • Na prática, essa lei até leva o tamanho do fornecedor em conta, mas o problema é que a linha de base em si foi feita para grandes empresas. É uma estrutura moldada por anos de lobby dos grandes. Oficialmente, o Reino Unido parece ter pouca corrupção, mas quando se observa como as decisões realmente são tomadas, a corrupção parece bastante comum. Essa lei quase não tem apoio popular. Sempre usam crianças em campanhas de mídia de jornais e afins, mas o conteúdo real da lei está longe da intenção original. Há eleições, mas as políticas não mudam

    • É captura regulatória. O impacto sobre pequenos negócios também é um resultado intencional

  • Há uma explicação da legislação aqui: https://www.gov.uk/government/publications/online-safety-act-explainer/online-safety-act-explainer#who-the-act-applies-to. Pelo que li, a Amazon precisaria de verificação de idade para mais de 80% do estoque total de livros, e pelos 20% restantes ainda teria responsabilidade por causa da definição extremamente ampla de “experiência online apropriada para a idade das crianças”. Como a janitorai apontou, essa lei se aplica a eles e também a todo o conteúdo que produzem. Bloquear o acesso ao mercado do Reino Unido provavelmente é a melhor resposta. Pelo que entendi, a lei não parece se aplicar a sites primários sem interação entre visitantes. Por exemplo, um blog sem comentários estaria ok

  • Pelo meu entendimento superficial da lei, achei que ela só se aplicasse a serviços com alguns milhões de usuários britânicos https://www.onlinesafetyact.net/analysis/categorisation-of-services-in-the-online-safety-act. Não sei se isso realmente se aplica a esse site ou se entendi tudo errado (não sou advogado)

    • Isso é um critério para impor exigências adicionais. Todos (a menos que entrem em alguma exceção específica) têm “deveres de proteção do usuário”. Só de ouvir isso já parece vir uma avalanche de exigências administrativas complexas e caras. E para descobrir se você se enquadra numa isenção, ainda precisa gastar com advogado. A própria lei é vaga e cheia de zonas cinzentas inesperadas. Não é um “ruling”, é a lei e seus regulamentos de implementação. PDF relacionado: https://www.ofcom.org.uk/siteassets/resources/documents/consultations/category-1-10-weeks/263963-categorisation-research-and-advice/categorisation-research-and-advice.pdf

    • O checklist da Ofcom para verificar se o serviço se enquadra não usa esse critério; parece bastar ter um único cliente pagante no Reino Unido https://ofcomlive.my.salesforce-sites.com/formentry/RegulationChecker

    • É difícil lidar com a própria ideia de que “pessoas do nosso país acessaram seu site”, e por isso nosso país acha que pode reivindicar jurisdição sobre esse servidor (hospedado no exterior) e até sobre o operador (morando fora), inclusive com possibilidade de punição criminal

    • A fonte não fala de como a lei realmente está sendo aplicada, mas sim do que foi proposto em 2024

    • Leis enormes com centenas de páginas sempre têm muitos pontos cegos. Ultimamente o Reino Unido virou um país que realmente prende pessoas por “crimes” online, então acabou surgindo até esse tipo de lei absurda

  • Por causa de coisas assim, parece que a internet inteira está caminhando para uma crise em estilo Kessler Syndrome, um efeito dominó de detritos espaciais. Nos EUA também, os 50 estados estão tentando regular IA por conta própria; originalmente a OBBB tentaria controlar isso por 10 anos, mas falhou. Agora cada estado pode criar sua própria regulação. Cumprir todas as regras diferentes ao redor do mundo está ficando quase impossível

    • Se o custo operacional subir demais, no fim só restarão alguns poucos sites gigantes no mundo todo, enquanto centenas de sites pequenos sobreviverão com bloqueio por região. O ciberespaço também não pode ser independente no fim das contas, já que depende de ganhar dinheiro e de usar mecanismos do mundo real, como verificação de identidade https://www.eff.org/cyberspace-independence

    • A balcanização da internet é um desfecho inevitável. A alternativa seria os países entregarem a soberania sobre infraestrutura hoje essencial para o exterior, e os governos não vão fazer essa escolha. Quando a internet era só hobby, isso até dava para tolerar, mas agora ela é a base da vida, então já não é mais aceitável entregar a soberania da infraestrutura a governos estrangeiros e big techs

    • Sempre que essa conversa sobre “balcanização da internet” entra no debate público, eu acabo sendo favorável a essa tendência. Acho que esse tipo de comunicação global instantânea só pode ser permitido depois que a humanidade estiver preparada para lidar com a responsabilidade que ele traz

  • Eu também talvez precise bloquear visitantes do Reino Unido ao usar o Marginalia Search. Como desenvolvedor solo, não consigo bancar todas as exigências legais :-/

    • Aliás, se você entrar na página de status, o serviço aparece normal mas marcado como “indisponível”. Esse tipo de falha tudo bem! https://status.marginalia.nu