By Deepfakes já não são só “internet”: entraram no risco reputacional de marcas, no jornalismo e até em entregas de publicidade. Em 2026, a defesa eficaz não é uma app milagrosa — é um processo de autenticidade: proveniência + logs + validação, com limites assumidos.
Do “detetar” ao “provar”: a mudança de mentalidade
Deteção é estatística (e falha). Prova é cadeia: quem captou, quem editou, que versões existiram e quem assinou cada passo. É aqui que entra a proveniência com padrões como C2PA/Content Credentials — metadados assinados criptograficamente que registam a história do asset.
4 camadas que funcionam no mundo real
1) Proveniência (C2PA) — “bilhete de identidade” do ficheiro
Benefício: consegues mostrar origem e alterações de forma verificável.
Spec: Content Credentials = estrutura assinada e “tamper-evident” com histórico e declarações sobre criação/edição.
Uso real: entrega a cliente/plataforma com credenciais preservadas para auditoria.
2) Watermarking — útil, mas não é escudo total
Benefício: marcação (visível ou invisível) ajuda a sinalizar/atribuir.
Mas: metadados e marcas podem ser removidos por plataformas ou reencodes, por isso não podes depender só disto.
3) Cadeia de custódia — o que salva em crise
Benefício: quando alguém contesta, tens rasto.
Prática: hashes por versão, storage imutável (WORM onde fizer sentido), permissões, logs de export e de upload, e naming consistente (v1/v2/final_final é o caminho para o desastre).
4) Verificação forense — para “suspeito”, não para rotina
Benefício: análise de artefactos, inconsistências e padrões ajuda a levantar bandeiras.
Limite: vai dar falsos positivos (grão, motion blur, efeitos criativos) e falsos negativos (modelos cada vez melhores). Ou seja: serve para triagem e investigação, não para carimbar “100% real”.
O que a UE começa a exigir (e porquê interessa a pós)
O AI Act prevê obrigações de transparência para conteúdo gerado/manipulado (deepfakes) e a Comissão Europeia está a operacionalizar isso com um Code of Practice de marcação e rotulagem. Para pós-produtoras, isto traduz-se em política interna: quando declarar, como marcar, e como guardar prova de origem.
Checklist rápido (para ontem)
Exportar masters com proveniência preservada quando possível (C2PA).
Guardar logs + hashes das versões-chave (offline e online).
Definir “pontos de assinatura”: quem aprova o quê e quando.
Tratar detecção automática como apoio, não como veredicto.
Fecho: tal como o QC não evita todos os problemas, mas evita os caros, a autenticidade em 2026 não promete perfeição — promete algo mais valioso: conseguir provar, com sangue-frio, o que aconteceu ao teu ficheiro desde a câmara até ao upload. Quem é que na tua equipa “assina” essa história?
Leituras rápidas (proveniência e limites reais)
The Verge
Sora is showing us how broken deepfake detection is
27/10/2025
The Verge
Cloudflare is making it easier to track authentic images online
03/02/2025
The Verge
Adobe’s new app helps credit creators and fight AI fakery
24/04/2025