FCC Endurece Regras Contra Robocalls e Transfere Pressão para as Operadoras

A Federal Communications Commission (FCC) está avançando com um conjunto de medidas que representam uma mudança de paradigma no combate a robocalls nos Estados Unidos. A abordagem anterior focava principalmente em punir os originadores das chamadas, que frequentemente operavam de jurisdições difíceis de alcançar. A nova estratégia mira a infraestrutura que torna essas operações possíveis: as próprias operadoras de telecomunicações. As novas regras exigem que operadoras reforcem significativamente seus processos de identificação de clientes (KYC), aumentem a rastreabilidade das chamadas ao longo de toda a cadeia de transmissão e armazenem dados por períodos mais longos para uso em investigações criminais e administrativas. ## O que muda na prática O coração da nova regulação é a responsabilização das operadoras intermediárias. No modelo atual, uma chamada robocall frequentemente passa por múltiplas operadoras antes de chegar ao destino final, e cada salto dilui a responsabilidade. A FCC está exigindo que cada elo dessa cadeia implemente o protocolo STIR/SHAKEN, que permite autenticar a identidade do originador da chamada e impede a falsificação de identificador de chamadas (caller ID spoofing). Operadoras que não implementarem os controles exigidos passam a responder não apenas pelas chamadas que originam, mas também por aquelas que transitam por sua infraestrutura sem a devida verificação. O modelo de multas por chamada ilegal é particularmente significativo: o volume de robocalls nos EUA é medido em bilhões de chamadas por ano, e multas individuais que podem parecer pequenas em valor unitário escalam rapidamente para exposições financeiras que ameaçam a viabilidade de operadoras negligentes. ## Além da fraude financeira O que tornou o tema urgente é a extensão do problema para além de golpes financeiros e spam comercial. Investigações recentes do Departamento de Justiça e do FBI documentaram o uso de redes de robocalls em operações de tráfico de drogas, golpes organizados internacionalmente, crimes violentos coordenados e casos de tráfico humano. As chamadas são usadas tanto para recrutamento e controle de vítimas quanto para coordenação entre membros de grupos criminosos que evitam canais de comunicação mais monitorados. Esse contexto transformou o que era tratado como questão de proteção ao consumidor em uma questão de segurança nacional, o que explica a aceleração regulatória e o apoio bipartidário que as medidas têm recebido no Congresso americano. ## O Brasil e a Anatel seguem direção parecida No Brasil, a Agência Nacional de Telecomunicações (Anatel) já opera com mecanismos similares, embora com diferentes graus de maturidade. O programa "Não Me Perturbe", que permite ao usuário bloquear chamadas de telemarketing, foi um primeiro passo. Mais relevante é o sistema de bloqueio de chamadas abusivas implementado nas operadoras brasileiras e os avanços na autenticação de chamadas, que seguem a mesma lógica do STIR/SHAKEN americano. A Anatel publicou em 2023 regulamentação específica obrigando operadoras a bloquear chamadas com origem falsificada e implementar sistemas de detecção de padrões anômalos de discagem. O resultado prático tem sido positivo: o volume de reclamações sobre chamadas indesejadas caiu consistentemente nos últimos dois anos, segundo dados do próprio órgão. O ponto de atenção é que a regulação brasileira ainda não chegou ao nível de granularidade que a FCC está implementando em termos de KYC para clientes corporativos que usam serviços de chamadas em volume. Empresas de telemarketing, prestadores de serviços de voz sobre IP e agregadores de chamadas operam com obrigações de verificação de identidade menos exigentes do que as que a regulação americana está construindo. ## Por que isso importa para segurança cibernética Robocalls e engenharia social por voz são vetores de ataque subestimados no debate de segurança. Vishing (voice phishing) cresceu 550% entre 2021 e 2025 segundo dados da APWG, impulsionado pela disponibilidade de ferramentas de clonagem de voz por IA que tornam difícil distinguir uma ligação fraudulenta de uma legítima. A infraestrutura de telecomunicações que permite robocalls em escala é a mesma que permite campanhas de vishing sofisticadas contra funcionários de empresas, tentativas de fraude contra idosos e operações de engenharia social que precedem ataques técnicos mais complexos. Regular essa infraestrutura é, em última análise, regular parte da superfície de ataque que organizações de todos os tamanhos enfrentam.