Ves al contingut principal
Didit recapta 7,5M $ per construir la infraestructura per a identitat i frau
Didit
Torna al blog
Blog · 16 d’abril del 2026

Anthropic ara sol·licita el teu passaport: a fons en el nou requisit KYC de Claude (CA)

Anthropic va implementar silenciosament la verificació d'identitat a Claude l'abril de 2026, requerint passaports i selfies en directe a través de Persona.

Per DiditActualitzat el
anthropic-claude-kyc-identity-verification.png

El 15 d'abril de 2026, Anthropic va publicar silenciosament un nou article de suport titulat "Verificació d'identitat a Claude." Sense publicació al blog. Sense anunci. Només una pàgina del centre d'ajuda explicant que a alguns usuaris se'ls demanaria ara que proporcionessin un document d'identitat amb foto emès pel govern i que es fessin una selfie en directe per continuar utilitzant Claude.

En poques hores, captures de pantalla van aparèixer a X. La reacció es va dividir clarament en dos camps: defensors de la privacitat que ho van veure com una invasió de la privacitat, i investigadors de seguretat de l'IA que argumentaven per aquest moviment des de fa més d'un any. Ambdues parts tenen raó en part. El que és més interessant és el que la implementació revela sobre cap a on es dirigeix l'IA de frontera.

Què ha implementat realment Anthropic

La mecànica és senzilla. A un nombre selecte d'usuaris de Claude –no tots, no encara– se'ls demana que verifiquin la seva identitat abans d'accedir a certes funcions. El procés es realitza a través de Persona Identities, una plataforma de verificació d'identitat amb seu a San Francisco.

Se us sol·licita que proporcioneu:

  • Un document d'identitat amb foto emès pel govern original i físic (passaport, llicència de conduir o document d'identitat nacional)
  • Una selfie en directe capturada amb la càmera

No s'accepten fotocòpies, identificacions digitals emmagatzemades a carteres mòbils ni identificacions temporals en paper. El procés dura uns minuts.

Anthropic és explícit sobre el tractament de dades. Les imatges de la identificació i les selfies són recopilades i conservades per Persona, no per Anthropic. Les dades estan encriptades en trànsit i en repòs. No s'utilitzen per a l'entrenament del model. Persona està contractualmente limitada a finalitats de verificació i prevenció de frau, i Anthropic només accedeix als registres de verificació quan cal.

La finalitat declarada a l'article d'ajuda: "per prevenir abusos, fer complir les nostres polítiques d'ús i complir amb les obligacions legals".

Per què ara

La temporalitat no és casual. El febrer de 2026, Anthropic va publicar un dels articles de recerca de seguretat de l'IA més importants de l'any: Detectant i prevenint atacs de destil·lació.

Les conclusions van ser extraordinàries. Tres laboratoris d'IA xinesos –DeepSeek, Moonshot AI i MiniMax– havien realitzat col·lectivament més de 16 milions d'intercanvis amb Claude a través d'aproximadament 24.000 comptes fraudulents. La finalitat era la destil·lació del model: utilitzar les sortides de Claude com a dades d'entrenament per a models més barats i més febles.

La desglossació per laboratori:

  • MiniMax: més de 13 milions d'intercanvis, centrats en la codificació d'agents i l'orquestració d'eines
  • Moonshot AI: més de 3,4 milions d'intercanvis, dirigits al raonament d'agents, la codificació i la visió artificial
  • DeepSeek: més de 150.000 intercanvis, extreient capacitats de raonament i generant "alternatives censurades a consultes políticament sensibles"

Aquests no eren usuaris casuals provant l'API. Eren operacions d'extracció a escala industrial utilitzant arquitectures de "cluster hidra" –xarxes expansives de comptes falsos distribuïts a través de múltiples APIs i proveïdors de núvol per evadir els límits de velocitat per compte i la detecció d'anomalies. Una sola xarxa de proxies gestionava simultàniament més de 20.000 comptes fraudulents, barrejant les sol·licituds de destil·lació amb el trànsit legítim per mantenir-se invisible.

La resposta d'Anthropic va arribar en capes. Primer, classificadors i impressió digital del comportament per detectar patrons de destil·lació dins del trànsit de l'API en directe. En segon lloc, compartició d'intel·ligència amb altres laboratoris, proveïdors de núvol i autoritats. En tercer lloc –i aquesta és la part que va produir directament la implementació de Persona– "endurir la verificació per a comptes educatius, de recerca i de startups sovint utilitzats per crear accessos fraudulents."

Aquest enduriment ara s'està estenent als usuaris finals.

Les tres raons reals per a la KYC a Claude

El llenguatge públic d'Anthropic cita "seguretat i compliment". Això és cert, però incomplet. Hi ha tres problemes diferents que la KYC de Claude està dissenyada per resoldre.

1. Destil·lació i robatori de propietat intel·lectual

Els models de frontera costen centenes de milions de dòlars per entrenar. La diferència de capacitat entre un model de frontera i una còpia destil·lada és, per a moltes tasques, petita. Si qualsevol persona amb una targeta de crèdit pot crear un compte fals i extreure milions de rastreigs de raonament d'alta qualitat, l'economia de l'entrenament de models de frontera col·lapsa.

La KYC no impedeix completament la destil·lació. Un adversari determinat encara pot reclutar mules, comprar comptes verificats en mercats grisos o encaminar-se a través de clients legítims. Però augmenta el cost per compte fraudulent de aproximadament zero a una quantitat mesurable i fa que les xarxes de comptes siguin rastrejables posteriorment. Això canvia significativament les economies de l'atac.

2. Seguretat i ús catastròfic

La Política d'escalat responsable d'Anthropic comprometeix l'empresa a controls d'accés gradualment més forts a mesura que els models s'apropen a llindars de capacitat que podrien millorar significativament les amenaces biològiques, químiques, nuclears o cibernètiques. Per a les capacitats de Nivell de Seguretat de l'IA 3 (NSS-3), els controls de "coneix el teu client" no són un valor afegit, sinó una part del compromís de desplegament declarat.

La verificació d'identitat és el nivell mínim de qualsevol programa KYC. Sense això, tot control posterior –límits d'ús, diligència deguda del client, cribatge de sancions, monitorització d'activitats sospitoses– es basa en arena movedissa. Anthropic ha estat senyalitzant aquesta direcció des de 2024. La implementació de Persona és simplement el pas operatiu.

3. Pressió reguladora

La Llei d'IA de la UE és d'aplicació. L'Institut de Seguretat de l'IA del Regne Unit té acords de prova formals amb laboratoris de frontera. L'ordre executiva dels EUA sobre l'IA exigeix informes per als models formats per sobre de llindars de càlcul específics. Més important encara, els proveïdors d'IA de propòsit general s'estan introduint cada vegada més a la mateixa categoria de compliment que les institucions financeres: són infraestructura i els proveïdors d'infraestructura han de saber qui són els seus clients.

Anthropic no està esperant un mandat explícit. Està construint la postura de compliment que espera necessitar en 12 a 24 mesos.

La reacció i per què és parcialment enganyosa

La reacció immediata en línia va ser desfavorable. Un comentari a Decrypt ho va emmarcar com "has canviat a Claude per por a la vigilància. Ara vol el teu passaport." La preocupació és legítima: un xat d'IA és més íntim que la majoria dels serveis d'internet i la idea de vincular les converses a una identificació governamental verificada és incòmoda.

Però les objeccions específiques mereixen un escrutini.

  • "La meva identificació s'envia a les dades d'entrenament." Això està explícitament contradit per la política d'Anthropic. Les identificacions i les selfies estan a Persona, no a Anthropic, i estan contractualmente excloses de l'entrenament del model.
  • "Anthropic emmagatzemarà la meva cara biomètrica per sempre." La conservació de Persona està regida per les instruccions contractuals d'Anthropic i els marcs reguladors en què opera Persona (SOC 2 Tipus II, ISO 27001 i RGPD).
  • "Per què he de demostrar que sóc un humà a una empresa d'IA?" Perquè l'empresa d'IA és legalment responsable de prevenir que el model s'utilitzi per a la proliferació d'armes, material de maltractament sexual infantil, fluxos de treball d'entitats sancionades i robatori de propietat intel·lectual industrial. Cap d'aquests controls funciona sense una identificació.

La preocupació real, no abordada, és l'expansió de l'abast. Avui és "certains usuaris, certes funcions". Demà podria ser tots els usuaris. Anthropic no s'ha compromès amb un límit d'abast i l'article d'ajuda és deliberadament ambigu sobre els desencadenants. Aquesta és una bretxa de transparència legítima i és on s'hauria de centrar la pressió de la societat civil.

Què significa això per a altres laboratoris de frontera

Anthropic no està sola, però va ser la primera a implementar la KYC per als usuaris finals. OpenAI ja exigeix verificació de l'organització per accedir a determinats models i funcions. Google DeepMind ha endurit la verificació de l'API de Gemini per a nivells avançats. La llicència de Llama de Meta sempre ha exclòs determinades entitats, tot i que l'aplicació és irregular.

La direcció és uniforme. L'accés al model de frontera es converteix en una activitat regulada per la indústria, amb el mateix cicle de vida de "coneix el teu client, monitoritza el teu client, informa sobre el teu client" amb el qual els bancs, els intermediaris i les borses de criptomonedes ja viuen.

Podeu esperar el següent en els propers 18 mesos:

  1. Verificació d'identitat universal per als nivells de l'API de pagament a tots els laboratoris de frontera principals
  2. Diligència reforçada –origen dels fons, ús previst, beneficiaris reals– per als clients empresarials i d'inferència massiva
  3. Cribatge de sancions i controls d'exportació integrats a la creació de compte i la monitorització contínua
  4. Equivalents d'informes d'activitats sospitoses –empremtes digitals del comportament i indicadors de destil·lació– compartits entre laboratoris, proveïdors de núvol i governs
  5. Re-verificació periòdica en el moment de la renovació o els llindars de volum

Aquesta és la pila de compliment que els serveis financers van construir durant quatre dècades, comprimida en un desplegament de 18 mesos.

Com pensa Didit sobre això

A Didit, hem estat construint infraestructura de verificació d'identitat per a aquest moment exacte. Servim a borses de criptomonedes, fintechs, mercats i, cada vegada més, a plataformes d'IA, i el patró és el mateix en tots ells. Un producte arriba a l'escala, atreu abusos i de sobte necessita provar qui són els seus usuaris sense destruir el flux de registre.

Algunes observacions des de l'altre costat de la conversa KYC:

  • La fricció mata la conversió, però l'abús no verificat mata el producte. La resposta correcta és la verificació basada en el risc –no tots els usuaris al registre, però desencadenants selectius com ara la desbloqueig de funcions, els llindars de volum o els senyals d'anomalia. La implementació actual d'Anthropic sembla exactament així.
  • Les dades d'identitat són un passiu si les mantens, un actiu si col·labores. Anthropic va triar Persona. Aquesta és la forma correcta. L'empresa producte bàsica es manté fora del negoci de la custòdia biomètrica.
  • La KYC és el nivell mínim, no el sostre. La monitorització del comportament, la intel·ligència del dispositiu i la detecció a nivell de xarxa fan la major part del treball diari. La verificació d'identitat et dóna alguna cosa a la qual vincular aquests senyals.
  • La transparència és el avantatge competitiu. Els usuaris accepten la verificació si la raó és clara i el tractament de dades s'explica. L'article d'ajuda d'Anthropic és decent en aquest sentit i millorarà sota pressió.

El quadre més ampli

Que Claude demani el teu passaport resulta sorprenent perquè estem acostumats a l'IA com a una eina sense fricció i anònima. Aquesta era està acabant. Els models de frontera són prou valuosos econòmicament i estratègicament que la capa d'accés al voltant d'ells semblarà més un producte financer regulat que un motor de cerca.

Pots discutir si això és bo o no. El que no està en qüestió és que està passant i Anthropic acaba de donar el tret de sortida.

Si sou un fundador que construeix sobre APIs LLM, tres conclusions pràctiques:

  1. Assumeix que l'accés verificat es converteix en la predeterminada. Construeix el teu producte amb la suposició que els teus usuaris necessitaran identitats verificades a upstream i la teva pròpia postura KYC haurà de coincidir.
  2. Tria el teu proveïdor tenint en compte el tractament de dades. Si la teva capa d'IA transmet la identitat a un tercer, aquest tercer forma ara part de la teva superfície de compliment. Fes les preguntes difícils.
  3. Construeix amb una verificació basada en el risc. No tots els usuaris, no totes les sessions –però prou fricció en els moments adequats per dissuadir el patró d'atac de 24.000 comptes que Anthropic acaba de documentar.

La forma de l'accés a l'IA el 2027 es va previsualitzar en un article de suport que ningú va llegir. Presta atenció a aquest.

---

Didit proporciona infraestructura de verificació d'identitat per a plataformes d'IA, fintechs, borses de criptomonedes i mercats. KYC bàsic a 0,30 $ per verificació, sense mínims, 220+ països admesos. Comença de forma gratuïta.

are you ready for free kyc.png

Infraestructura per a identitat i frau.

Una API per a KYC, KYB, monitorització de transaccions i anàlisi de carteres. Integra-la en 5 minuts.

Comença de francParla amb nosaltres
Demana a una IA que resumeixi aquesta pàgina
KYC d'Anthropic per a Claude: Passaport + Selfie Obligatori.