Ves al contingut principal
Didit recapta 7,5M $ per construir la infraestructura per a identitat i frau
Didit
Torna al blog
Blog · 16 d’abril del 2026

Compliment en l'Era dels LLM: El Nou Marc Normatiu per a Plataformes d'IA (CA)

Les plataformes d'IA estan subjectes a les mateixes obligacions de compliment que els bancs i les plataformes de criptomonedes. Llei d'IA de la UE, DSA, RGPD, KYC, AML: tot el conjunt d'obligacions normatives que les empreses.

Per DiditActualitzat el
compliance-in-the-llm-era.png

Fa cinc anys, les obligacions de compliment d'una empresa d'IA cabien en una sola pàgina. Una política de privacitat, unes condicions d'ús, potser una cookie banner i, si tenies precaució, un acord de processament de dades del RGPD. Això era tot. La IA es tractava com a programari, i el programari es tractava lleugerament.

L'abril de 2026, aquest món ha desaparegut.

Una plataforma d'IA que es llança avui opera dins d'un conjunt normatiu superposat que inclou la Llei d'IA de la UE, la Llei de Serveis Digitals, el RGPD, normes específiques del sector (finances, salut, educació), controls d'exportació, requisits de verificació d'edat, requisits de traçabilitat del contingut i, cada vegada més, obligacions explícites d'estil KYC/AML sobre qui pot accedir als models i què poden fer amb ells. L'últim llançament d'Anthropic de la verificació amb passaport i selfie a Claude és un símptoma visible d'aquest canvi. No serà l'últim.

Aquesta publicació mapeja el conjunt normatiu que les empreses d'IA han de complir ara, explica què ha canviat en els últims 18 mesos i presenta una arquitectura pràctica per construir un producte que pugui resistir l'escrutini regulatori sense destruir l'experiència del desenvolupador.

Què ha canviat

Quatre coses van passar, aproximadament en paral·lel, entre finals de 2024 i principis de 2026.

En primer lloc, els reguladors es van posar al dia. La Llei d'IA de la UE va entrar en vigor amb un desplegament per etapes que va començar l'agost de 2024, amb obligacions per a models d'IA d'ús general a l'agost de 2025 i obligacions per a sistemes d'alt risc a l'agost de 2026. El Regne Unit va crear l'Institut de Seguretat de la IA amb acords formals de proves. L'ordre executiva dels EUA sobre la IA va crear llindars d'informe per a grans execucions d'entrenament. Brasil, Japó, Corea del Sud, Singapur i els Emirats Àrabs Units van publicar tots marcs d'IA. La Xina ja exigia la verificació d'identitat per a la IA generativa des de 2023.

En segon lloc, les plataformes d'IA es van convertir en sistemàticament importants. Claude, ChatGPT, Gemini i Grok ara se situen en el flux de treball de desenes de milions d'empleats d'empreses i centenes de milions de consumidors. Aquesta escala desencadena les obligacions de la "plataforma en línia molt gran" (VLOP) de la Llei de Serveis Digitals a la UE, els règims de protecció del consumidor a diverses jurisdiccions i la gravetat general de "si es trenca, es trenquen moltes coses".

En tercer lloc, els vectors d'abús van madurar. Frau de deepfake, clonació de veu, phishing automatitzat, creació d'identitats sintètiques, destil·lació de models, extracció de drets d'autor, generació de CSAM, estafes agents: tot va passar de prova de concepte a operacions industrials. Tots els reguladors tenen ara una llista d'incidents reals a què apuntar quan redacten normes.

En quart lloc, la indústria es va quedar sense excuses. Durant la major part de 2023 i 2024, les empreses d'IA van argumentar amb èxit que l'autoregulació i els compromisos voluntaris eren suficients. L'any 2026, amb evidències clares de destil·lació a escala industrial, frau de deepfake que assoleix milers de milions de pèrdues anuals i xatbots d'IA implicats en suïcidis d'adolescents i estafes d'imitació, aquest argument ja no és vàlid.

El resultat és que el compliment de la IA ja no és un pensament addicional a nivell de producte. És una preocupació arquitectònica, a l'alçada de l'escalabilitat i la seguretat.

El conjunt normatiu el 2026

Una plataforma d'IA que opera en els principals mercats ha de gestionar ara les següents capes, simultàniament.

Llei d'IA de la UE

La primera llei integral d'IA en vigor. Les principals obligacions per categoria:

  • Models d'IA d'ús general (GPAI): documentació de transparència, resums de dades d'entrenament, política de drets d'autor, documentació tècnica disponible per als desplegadors finals. Els models amb "risc sistèmic" (entrenats per sobre del llindar de 10^25 FLOP) tenen obligacions addicionals: avaluació de risc sistèmic, red-teaming, informes d'incidents greus, proteccions de ciberseguretat.
  • Sistemes d'IA d'alt risc: sistemes de gestió de riscos, governança de dades, documentació tècnica, manteniment de registres, supervisió humana, requisits d'exactitud i robustesa, seguiment post-comercialització. S'aplica a la IA en ocupació, crèdit, assegurances, educació, infraestructures crítiques, aplicació de la llei i molt més.
  • IA de risc limitat (chatbots, deepfakes): obligacions de transparència: els usuaris han de saber que interactuen amb la IA, i el contingut sintètic s'ha d'etiquetar.
  • IA prohibida: puntuació social, identificació biomètrica en temps real en espais públics (amb excepcions estretes), reconeixement d'emocions al lloc de treball/educació, policia predictiva basada exclusivament en la creació de perfils, rastreig de reconeixement facial no dirigit.

Les sancions arriben fins al 7% de la facturació anual mundial per a la IA prohibida, 3% per a altres infraccions.

Llei de Serveis Digitals (DSA)

S'aplica a qualsevol plataforma en línia que serveixi usuaris de la UE. Els xatbots d'IA amb una escala significativa desencadenen les obligacions de la "plataforma en línia molt gran" (VLOP): avaluacions de risc sistèmic, auditories independents, informes de transparència, accés a dades dels investigadors, obligacions de moderació de contingut, mecanismes de resposta a crisis. Sanció màxima: 6% de la facturació mundial.

RGPD

Encara és el règim de privacitat fonamental per a qualsevol producte d'IA que toqui dades personals de la UE. Punts de pressió específics de la IA:

  • Base legal per a les dades d'entrenament. L'extracció de contingut web públic per a l'entrenament de models està sota litigi actiu en múltiples jurisdiccions de la UE.
  • Dret a l'oblit. Com es "elimina" una persona d'un model entrenat? L'aplicació activa d'això encara està emergint.
  • Automatització de la presa de decisions (Article 22). Es desencadena quan les sortides de la IA afecten materialment les persones. Requereix opcions de revisió humana.
  • Minimització de dades. Difícil de conciliar amb l'entrenament de models fonamentals en conjunts de dades massius.

L'EDPB (Consell Europeu de Protecció de Dades) va emetre una opinió el desembre de 2024 que aclareix alguns d'aquests punts, però l'aplicació és desigual entre els estats membres i activa.

Normes específiques del sector

La IA utilitzada en sectors regulats recull automàticament les obligacions sectorials:

  • Finances: MiFID II, PSD2/PSD3, directrius de l'EBA sobre la IA en la puntuació creditícia, orientació de la FINRA sobre la IA, circulars de la CFPB sobre la discriminació algorítmica
  • Salut: MDR (reglamentació mèdica de la UE) per a la IA diagnòstica, orientació de la HIPAA i la FDA als EUA
  • Educació: lleis de protecció de dades dels estudiants (FERPA als EUA, lleis a nivell estatal)
  • Ocupació: Llei Local de Nova York 144, categoria d'alt risc de la Llei d'IA de la UE per a eines de contractació, orientació de l'EEOC sobre la discriminació algorítmica
  • Assegurances: butlletí model de la NAIC sobre la IA, regulació a nivell estatal

Una plataforma d'IA que permet als clients empresarials desplegar-se en qualsevol d'aquests sectors hereta una part de l'obligació.

Controls d'exportació

La IA és d'ús dual. Els EUA han controlat l'exportació de determinades GPU avançades des de 2022, han ampliat els controls als pesos del model per sota de determinats llindars de capacitat i manté restriccions de la Llista d'entitats sobre l'accés a la tecnologia d'IA dels EUA per part de actors estrangers específics. La UE té controls d'exportació sobre articles d'ús dual, inclosa la IA, en virtut del Reglament d'ús dual de la UE. Això es manifesta com una obligació de compliment en a qui pots vendre accés a l'API, quins clients superen les comprovacions de sancions i quins models es poden desplegar en quines jurisdiccions.

KYC, AML i controls d'accés

La incorporació més recent al conjunt normatiu, i la que menys preparada està la majoria de les empreses d'IA. Factors impulsors:

  • Polítiques d'Escalament Responsable dels laboratoris fronterers (ASL-3 i superior requereixen KYC)
  • Defensa contra atacs de destil·lació (vegeu la divulgació de febrer de 2026 d'Anthropic)
  • Selecció de controls d'exportació (requereix clients identificats)
  • Prevenció d'abusos (CSAM, millora d'armes, frau)
  • Convergència regulatòria amb fintech (la infraestructura d'IA es tracta cada vegada més com a infraestructura financera)

El resultat pràctic és que les plataformes d'IA estan construint programes KYC: verificació d'identitat, comprovació de sancions, comprovació de la propietat beneficiària, monitorització d'activitats sospitoses: que s'assemblen molt a les que ja fan les empreses de fintech i les plataformes de criptomonedes.

Verificació d'edat

Esdevé ràpidament obligatòria en els principals mercats. La Llei de Seguretat en Línia del Regne Unit, les implementacions dels estats membres de la UE de la restricció d'edat del contingut, les lleis a nivell estatal dels EUA (Utah, Louisiana, Texas i altres) i les polítiques de la plataforma com els requisits de l'App Store d'Apple empenten en la mateixa direcció: els productes amb contingut per a adults, serveis financers, elements de disseny addictius o un risc significatiu per als menors han de verificar l'edat.

Per als xatbots d'IA, això es manifesta com a accés restringit per edat a certes capacitats, proteccions al voltant de les interaccions dels menors i, en algunes jurisdiccions, prohibicions de determinats comportaments del model en presència d'usuaris menors d'edat.

Traçabilitat del contingut i filigrana

La Llei d'IA de la UE exigeix que el contingut sintètic estigui etiquetat. L'ordre executiva dels EUA sobre la IA va demanar a NIST que desenvolupés estàndards d'autenticació de contingut. L'especificació C2PA (Coalition for Content Provenance and Authenticity) s'està convertint en un estàndard de la indústria de facto. Se'espera que les plataformes d'IA que generin imatges, àudio i vídeo incrustin senyals de traçabilitat criptogràfica en les sortides.

L'arquitectura de compliment que funciona

Si estàs construint un producte d'IA el 2026, el conjunt normatiu anterior pot semblar paralitzant. No ha de ser així. L'idea clau: el compliment per a la IA és un problema arquitectònic, no un problema polític. Les polítiques escrites, els avisos de privacitat i els DPAs són necessaris, però lluny de ser suficients. Els controls s'han de cablejar al producte.

Aquí teniu l'arquitectura mínima que funciona per a una plataforma d'IA moderna.

Capa d'identitat i accés

Cada usuari, cada sessió, cada trucada a l'API passa per una capa que sap:

  • Qui és l'usuari (nivell de verificació)
  • On és (jurisdicció)
  • Quin nivell d'accés té (gratuït, de pagament, empresarial, amb restriccions de capacitat)
  • Com és el seu perfil de risc (comportamental, històric, dispositiu)

Aquesta és la mateixa capa que gestiona el KYC, la selecció d'AML, les comprovacions de sancions, la verificació d'edat i la selecció de controls d'exportació. Construiu-lo una vegada, cablegeu-lo a cada superfície del producte.

Components tècnics:

  • Verificació de documents amb detecció de presència en les actualitzacions de nivell
  • Selecció de sancions, PEP, mitjans adversos en la creació del compte
  • Impressió digital del dispositiu i monitorització del comportament per a la puntuació de risc en curs
  • Monitorització contínua amb desencadenadors de reverificació

Didit és un proveïdor construït per exactament aquesta forma: pagament per comprovació, cobertura global, verificació ràpida, API nativa d'IA.

Capa de seguretat del contingut

Filtrat d'entrada, filtrat de sortida, detecció d'abús, escaneig de CSAM, protecció de drets d'autor i senyals de traçabilitat del contingut. Aquesta és la ubicació on la seguretat del model es troba amb l'obligació normativa. Capacitats específiques:

  • Classificació de peticions per a categories d'abús (CSAM, millora d'armes, frau, autolesió)
  • Classificació de sortida coincident amb les mateixes categories
  • Coincidència de hash amb contingut conegut dolent (NCMEC, bases de dades de drets d'autor)
  • Filigrana i traçabilitat C2PA per a mitjans generats
  • Suite de regressió de red-team per a jailbreaks coneguts

Capa d'auditoria i informes

Els reguladors exigeixen cada vegada més informes estructurats. Construiu la infraestructura de registre d'auditoria per donar-hi suport des del primer dia:

  • Cada decisió amb un impacte material registrada amb entrades, sortides, versió del model, petició i nivell d'usuari
  • Pipeline d'informe d'incidents connectat a l'escalada interna i la presentació regulatòria externa
  • Generació d'informes de transparència (mètriques agregades i anonimitzades sobre banderes, prohibicions, refusals)
  • Infraestructura d'accés a la investigació per a les peticions d'accés a dades a l'estil DSA
  • Paquets de proves preparats per a l'exportació per a marcs de compliment específics (documentació tècnica de la Llei d'IA de la UE, ISO 42001, SOC 2)

Enrutament de jurisdicció

S'apliquen regles diferents en llocs diferents. Un sol codi base ha de gestionar:

  • Usuaris de la UE sota el RGPD, la Llei d'IA de la UE, la DSA
  • Usuaris del Regne Unit sota el RGPD del Regne Unit, la Llei de Seguretat en Línia, la regulació de la IA del Regne Unit
  • Usuaris dels EUA sota la col·lecció d'estats (CCPA/CPRA de Califòrnia, llei d'IA de Utah, Llei d'IA de Colorado, Llei Local 144 de Nova York)
  • Usuaris brasilers sota la LGPD i l'impulsant llei d'IA
  • Usuaris xinesos sota les regles d'IA generativa de la CAC

La capa de compliment dirigeix les peticions, aplica les restriccions jurisdiccionals i gestiona la residència de dades. Això no és opcional per a les plataformes globals.

Capa de govern del model

Específicament per a laboratoris de frontera, però cada vegada més per a qualsevol empresa que construïa sobre models:

  • Targetes de model amb procedència de dades d'entrenament, resultats d'avaluació, limitacions conegudes
  • Informes de red-team per a models de risc sistèmic
  • Resposta a incidents per a falles de comportament del model
  • Control de versions per als models implementats en contextos regulats
  • Documentació del desplegador final (les obligacions de transparència de la Llei d'IA de la UE es transfereixen per la cadena de subministrament)

Errors comuns, i com evitar-los

Tractar el compliment com un document polític

L'error més car de tots. Un avís de privacitat bellament escrit no fa res si el producte no aplica les regles descrites. Construiu l'aplicació a l'arquitectura, i després descriviu-la a la política, no al revés.

Assumir que l'autoatestació n'hi ha prou

"Els usuaris han de tenir més de 18 anys" en les vostres condicions d'ús no compleix les obligacions de verificació d'edat. "Els usuaris poden no utilitzar el nostre producte per a finalitats il·legals" no compleix les obligacions de prevenció de CSAM. Necessites verificació, no autoatestació.

Esperar la claredat normativa

Les regulacions no es tornen menys estrictes amb el temps. Cada ronda de clarificació ha reforçat les obligacions, no les ha relaxades. Construir per a la Llei d'IA de la UE de 2025 avui vol dir ja estar per darrere de les provisions d'alt risc de 2026. Construiu per a la interpretació més estricta.

Guardar les dades biomètriques i d'identitat per vosaltres mateixos

Aquest és un negoci de custòdia especialitzat i regulat. Si no sou un proveïdor de KYC, no us convertiu en un per accident. Utilitzeu un proveïdor dedicat (Persona, Onfido, Didit) per a les dades d'identitat i manteniu-vos a la banda correcta de la línia de controlador/processador de dades.

Tractar la seguretat i el compliment com a elements separats

Són la mateixa funció, amb audiències diferents. El vostre programa de red-team és part de la vostra documentació de risc sistèmic de la Llei d'IA de la UE. El vostre classificador CSAM és part de les vostres obligacions de la DSA. La selecció de sancions és part de la vostra postura de control d'exportacions. La governança integrada és eficient. La governança segmentada garanteix buits.

Subestimar el cost de compliment de les vendes empresarials

Els clients empresarials exigiran proves: SOC 2 Tipus II, ISO 27001, ISO 42001 (específic de la IA), acords de processament de dades, llistes de subtractistes, proves de residència de dades jurisdiccionals. No construir aquests elements el primer any costa mesos de tractes empresarials el segon any.

Com és bona la IA el 2026

Una plataforma d'IA ben arquitecturada el 2026 té, com a mínim:

  • Verificació d'identitat basada en riscos cablejada a cada límit de capacitat i nivell
  • Selecció de sancions i controls d'exportació en la creació del compte i de forma recurrent
  • Verificació d'edat en qualsevol superfície on els menors s'enfrontin a un risc important
  • Infraestructura de seguretat del contingut: filtrat d'entrada, filtrat de sortida, escaneig de CSAM, filigrana
  • Registres d'auditoria i informes de transparència capaços d'alimentar les presentacions regulatòries sense una enginyeria heroica
  • Enrutament conscient de la jurisdicció i controls de residència de dades
  • Una funció de seguretat i governança que informa a la direcció, integrada amb el producte i l'enginyeria, no afegida
  • Govern del model documentat: targetes, avaluacions, informes de red-team, resposta a incidents
  • Diligència raonable del proveïdor en cada model, eina i proveïdor de dades de la pila
  • Monitorització activa dels patrons d'abús: destil·lació, frau, escorxament, suplantació d'identitat

Aquesta és una inversió d'enginyeria important. També és no negociable per a qualsevol empresa d'IA que vulgui operar a escala en mercats regulats.

El conjunt normatiu és el producte

L'instint dels creadors d'IA és tractar el compliment com a una càrrega: l'impost que pagues per enviar el teu "producte real". El 2026, aquesta visió és incorrecta. El conjunt normatiu és cada vegada més part del producte. Els clients empresarials trien els venedors en funció de la postura de compliment. Els reguladors obren l'accés als mercats en funció de les proves de compliment. Els usuaris confien en les plataformes que mostren el seu treball.

Les empreses d'IA que guanyen els propers cinc anys seran les que tractin el conjunt normatiu de la mateixa manera que les empreses d'infraestructura tracten el temps d'activitat: com a preocupació d'enginyeria de primera classe, amb inversió, eines i atenció de la direcció per igual.

L'implementació silenciosa de la verificació de passaport i selfie d'Anthropic a Claude no és una aberració. És una vista prèvia. Totes les plataformes d'IA importants acabaran al mateix lloc, ja sigui per adopció voluntària o per compulsió regulatòria. Les empreses que s'hi arribin primer i ho facin bé es guanyaran un avantatge durador. Les que esperin passaran la segona meitat de la dècada remodelant-se sota pressió.

El compliment no és l'enemic de la innovació de la IA. L'abús sense control, els models opacs i la incertesa regulatòria sí que ho són. Construir l'arquitectura descrita anteriorment és com la indústria s'ha de guanyar el dret a seguir construint la propera generació de capacitat.

---

Didit construeix infraestructura de verificació d'identitat, selecció d'AML i compliment per a productes d'IA natius. 220+ països, 14.000+ tipus de documents, 0,30 $ per verificació, sense mínims. Comença gratis o parla amb l'equip.

are you ready for free kyc.png

Infraestructura per a identitat i frau.

Una API per a KYC, KYB, monitorització de transaccions i anàlisi de carteres. Integra-la en 5 minuts.

Comença de francParla amb nosaltres
Demana a una IA que resumeixi aquesta pàgina
Compliment IA: Guia Normativa 2026.