Tutorial TécnicoLei FELCAPasso a PassoEm vigor: 18/03/2026

Tutorial: Como Adequar Sua Empresa à Lei FELCA — Passo a Passo Completo

A Lei FELCA (Lei 15.211/2025) entrou em vigor. Sua plataforma precisa verificar a maioridade dos usuários brasileiros antes de dar acesso ao conteúdo. Este guia mostra exatamente o que fazer — do campo de CPF no formulário até a chamada de API e o retorno JSON.

13 de março de 202610 min de leituraFlagCheck

⚠️ Lei em vigor agora

A Lei FELCA entrou em vigor em 18 de março de 2026. Plataformas não adequadas estão sujeitas a multas de até R$ 50 milhões por infração ou 10% do faturamento anual. A adequação técnica pode ser feita em dias.

O Que Muda na Prática no Seu Site

Antes da Lei FELCA, qualquer pessoa podia criar uma conta com email e senha — sem nenhuma verificação de quem é essa pessoa. Um menor de 12 anos poderia se cadastrar em uma plataforma de apostas, conteúdo adulto ou rede social sem qualquer barreira.

Com a Lei FELCA, isso acabou. O fluxo de cadastro e — em alguns casos — o fluxo de login precisam incluir uma etapa de verificação de maioridade. A forma mais prática, rápida e com menor fricção para o usuário é a verificação via CPF.

❌ Antes — Proibido a partir de agora

  • • Cadastro só com email + senha
  • • Acesso anônimo a conteúdo adulto
  • • Auto-declaração de maioridade ("Tenho 18 anos")
  • • Checkbox "Sou maior de 18"
  • • Nenhuma verificação de identidade

✅ Depois — Exigido pela Lei FELCA

  • • Campo de CPF no cadastro
  • • Verificação em base oficial do governo
  • • Bloqueio automático de menores
  • • Registro auditável da verificação
  • • (Opcional) Selfie + face match para alto risco

Passo a Passo: Implementação Completa

1

Adicione o Campo de CPF no Formulário de Cadastro

O primeiro passo é simples: adicione um campo de CPF ao seu formulário de cadastro, antes de criar a conta. Este campo é obrigatório e deve ser validado no front antes de submeter.

<!-- Exemplo HTML — campo CPF no cadastro -->
<input
type="text"
id="cpf"
name="cpf"
placeholder="000.000.000-00"
maxlength="14"
required
/>
/* Dica: aplique máscara de CPF no front */
/* e valide o dígito verificador antes de submeter */

O CPF pode ser coletado junto com os outros dados do cadastro. Não precisa ser uma tela separada — mas deve ser obrigatório.

2

Obtenha Sua API Key FlagCheck

Crie sua conta em app.flagcheck.com.br/api/login ou entre em contato pelo api@flagcheck.com.br. Você receberá uma API key no formato flc_xxxxxxxxxxxx.

Sua API key aparece no painel após criação da conta. Guarde em uma variável de ambiente — nunca no código-fonte.

API_KEY=flc_sua_chave_aqui
3

Faça a Chamada de Verificação (Age Check)

No momento do cadastro, antes de criar o usuário no seu banco de dados, faça uma chamada POST para a API FlagCheck com o CPF informado. A resposta chega em menos de 2 segundos.

# cURL — Age Check
curl -X POST \
https://api.flagcheck.com.br/api/felca/age-check \
-H "X-API-Key: flc_sua_chave_aqui" \
-H "Content-Type: application/json" \
-d '{ "cpf": "111.222.333-44" }'
# Python
import requests
response = requests.post(
"https://api.flagcheck.com.br/api/felca/age-check",
headers={
"X-API-Key": "flc_sua_chave_aqui",
"Content-Type": "application/json"
},
json={"cpf": "111.222.333-44"}
)
data = response.json()
// Node.js / JavaScript
const res = await fetch(
"https://api.flagcheck.com.br/api/felca/age-check",
{
method: "POST",
headers: {
"X-API-Key": process.env.FLAGCHECK_API_KEY,
"Content-Type": "application/json"
},
body: JSON.stringify({ cpf: "111.222.333-44" })
}
)
const data = await res.json()
4

Interprete a Resposta JSON

A API retorna um JSON estruturado. O campo principal é data.is_adulttrue libera o acesso, false bloqueia.

// ✅ Adulto — libera acesso
{
"success": true,
"data": {
"is_adult": true,
"age": 32,
"date_of_birth": "1993-05-14",
"document": { "type": "CPF", "valid": true }
},
"meta": { "request_id": "felca_a1b2c3...", "timestamp": "..." }
}
// 🚫 Menor de idade — bloqueia (LGPD: age/dob omitidos)
{
"success": true,
"data": {
"is_adult": false,
"age": null,
"date_of_birth": null,
"document": { "type": "CPF", "valid": true }
}
}
// Lógica de decisão no seu backend
if (data.success && data.data.is_adult) {
// ✅ criar conta e liberar acesso
} else {
// 🚫 bloquear — retornar erro 403
return res.status(403).json({
error: "Acesso restrito a maiores de 18 anos."
})
}
5

Registre a Verificação para Auditoria (LGPD)

A Lei FELCA exige que você consiga comprovar que verificou a maioridade dos usuários. Armazene um registro de auditoria — mas nunca o CPF em texto puro. Use um hash SHA-256.

// Registro de auditoria — banco de dados
INSERT INTO age_verifications (
user_id,
cpf_hash, -- SHA-256 do CPF, nunca o CPF puro
is_adult, -- true/false
request_id, -- ID retornado pela API (rastreabilidade)
verified_at -- timestamp
)

O request_id retornado pela API FlagCheck permite rastrear qualquer verificação caso auditado pela ANPD.

6

Opcional: Liveness + Biometria para Alto Risco

Para plataformas de conteúdo adulto, apostas ou qualquer site onde um menor poderia usar o CPF de um pai ou familiar, o liveness check adiciona uma camada crítica: além de verificar a maioridade pelo CPF, confirma por biometria facial que a pessoa é de fato o titular — comparando a selfie com a foto oficial do governo.

# Liveness — CPF + selfie (base64)
curl -X POST \
https://api.flagcheck.com.br/api/felca/liveness \
-H "X-API-Key: flc_sua_chave_aqui" \
-H "Content-Type: application/json" \
-d '{ "cpf": "111.222.333-44", "selfie": "<base64_jpeg>" }'
// Resposta — adulto + face match confirmado
{
"is_adult": true,
"face_match": {
"matched": true,
"confidence": 96.0,
"photo_available": true
}
}

Resumo do Fluxo Completo

1

Usuário preenche cadastro

email, senha, CPF — campo obrigatório

2

Seu backend chama a API FlagCheck

POST /api/felca/age-check com o CPF

3

FlagCheck consulta base oficial do governo

Receita Federal — resposta em < 2s

4

Retorno: is_adult true ou false

JSON estruturado com request_id para auditoria

5

Seu sistema decide

true → cria conta | false → bloqueia com mensagem

6

Registra verificação no seu banco

cpf_hash + is_adult + request_id + timestamp

Erros e Respostas da API

Alguns casos não são cobrados e devem ser tratados na sua lógica:

HTTPCódigoMotivoCobrado?
200Sucesso — is_adult: true ou false✅ Sim
422INVALID_CPFCPF inválido pelo dígito verificador❌ Não
402INSUFFICIENT_BALANCESaldo insuficiente na conta❌ Não
404DOCUMENT_NOT_FOUNDCPF não encontrado, falecido ou inexistente❌ Não
422CPF_INVALID_STATUSCPF cancelado, nulo ou suspenso❌ Não
503SERVICE_UNAVAILABLEIndisponibilidade temporária❌ Não

Lei FELCA — Prazo: 17/03/2026

Adeque Sua Plataforma — Independente do Setor

API de verificação de maioridade: uma integração, compliance total.

🆔

CPF + Maioridade

Resposta em menos de 2 segundos

🤳

Face ID Liveness

Anti-spoofing + biometria

🏢

Multi-setor

Apostas, jogos, conteúdo adulto, redes sociais

Integração em dias · Sandbox grátis · Suporte dedicado · api@flagcheck.com.br

Perguntas Frequentes

Preciso verificar o CPF a cada login ou só no cadastro?+
Na maioria dos casos, a verificação no cadastro é suficiente — você registra que o usuário foi verificado e não precisa repetir a cada login. Para plataformas de conteúdo adulto de alto risco, pode ser recomendável verificar também em sessões novas após longo período de inatividade. Consulte seu jurídico sobre o caso específico.
O que fazer com usuários estrangeiros que não têm CPF?+
A Lei FELCA se aplica a plataformas que operam no Brasil e a usuários brasileiros. Para usuários estrangeiros, a lei permite mecanismos alternativos de verificação de maioridade compatíveis com LGPD. Na prática, muitas plataformas verificam pelo IP + documento local. Consulte o regulamento específico da ANPD para seu setor.
Quanto tempo leva para integrar a API FlagCheck?+
A integração básica (age-check via CPF) pode ser feita em menos de 1 hora por um desenvolvedor. É uma única chamada POST com CPF no body e retorno JSON com is_adult true/false. A integração de liveness (CPF + selfie) é um pouco mais complexa mas ainda assim simples, geralmente 1-2 dias.
O CPF do usuário fica armazenado na FlagCheck?+
Não. A FlagCheck não armazena CPFs. Cada chamada é processada em tempo real e descartada. Para fins de auditoria da Lei FELCA, recomendamos que você armazene apenas um hash SHA-256 do CPF junto com o resultado da verificação e timestamp — isso prova compliance sem expor dado pessoal.
O que acontece se o CPF for de um menor de idade?+
A API retorna is_adult: false. Os campos age e date_of_birth são omitidos para proteger dados de menor (LGPD). Você deve bloquear o acesso e, opcionalmente, informar o usuário que a plataforma é restrita a maiores de 18 anos.
Preciso de liveness (selfie) ou só CPF é suficiente?+
Depende do seu setor. Para a maioria das plataformas, o age-check via CPF já atende a Lei FELCA. Para conteúdo adulto, apostas e plataformas de alto risco, o liveness (CPF + selfie com face match na base biométrica oficial) oferece maior proteção — especialmente contra uso de CPF de terceiros.