Salta al contingut principal
Didit recapta 2 milions de dòlars i s'uneix a Y Combinator (W26)
Didit
Protecció contra la presa de control de comptes

Atura la presa de control de comptes amb una comprovació facial. Augmenta la seguretat en el moment en què el risc augmenta.

Un pas biomètric en els moments exactes que els atacants intenten atacar: transferències, restabliment de contrasenyes, inicis de sessió en dispositius nous. Veredicte en menys de dos segons, al voltant de 0,13 $ per esdeveniment. 500 verificacions gratuïtes cada mes.

Comença de francLlegeix la documentació
Amb el suport de
Y Combinator
GBTC Finance
Bondex
Crnogorski Telekom
UCSF Neuroscape
Shiply
Adelantos

Confiat per més de 2.000 organitzacions a tot el món.

Una pila abstracta fosca de presa de control de comptes: quatre panells translúcids de vidre fosc flotants en perspectiva 3D sobre negre pur, travessats per una línia vertical lluminosa de color blau Didit i emmarcats per quatre suports d'escàner brillants. Cada panell conté un petit motiu abstracte de color blanc pàl·lid de la recepta del pas a pas.

Com ataquen els atacants

Contrasenyes robades. Sessions robades. Tria una cara en el seu lloc.

Els atacs de farciment de credencials, intercanvi de SIM i cookies de sessió robades passen per alt les contrasenyes i els codis d'un sol ús. Canvia'ls per un pas a pas de Didit en el moment de l'acció — 0,10 $ per trucada, veredicte en menys de dos segons, 500 gratuïts cada mes.

Com funciona

Des de la inscripció fins a l'usuari verificat en quatre passos.

  1. Pas 01

    Crea el flux de treball

    Tria les comprovacions que vulguis: identificació, prova de vida, coincidència facial, sancions, adreça, edat, telèfon, correu electrònic, preguntes personalitzades. Arrossega-les a un flux al tauler de control o publica el mateix flux a la nostra API. Ramifica segons les condicions, executa proves A/B, no cal codi.

  2. Pas 02

    Integra

    Integra de forma nativa amb el nostre SDK web, iOS, Android, React Native o Flutter. Redirigeix a una pàgina allotjada. O simplement envia un enllaç al teu usuari — per correu electrònic, SMS, WhatsApp, a qualsevol lloc. Tria el que s'adapti a la teva pila.

  3. Pas 03

    L'usuari passa pel flux

    Didit allotja la càmera, les indicacions d'il·luminació, el traspàs mòbil i l'accessibilitat. Mentre l'usuari està en el flux, puntuam més de 200 senyals de frau en temps real i verifiquem cada camp amb fonts de dades autoritzades. Resultat en menys de dos segons.

  4. Pas 04

    Rebràs els resultats

    Els webhooks signats en temps real mantenen la teva base de dades sincronitzada en el moment en què un usuari és aprovat, rebutjat o enviat a revisió. Consulta l'API sota demanda. O obre la consola per inspeccionar cada sessió, cada senyal i gestionar els casos a la teva manera.

Construït per a la recepta · Preu com a infraestructura

Sis capacitats. Un pas addicional. ~$0.13 per esdeveniment.

La defensa ATO és una composició, no una única comprovació. Activa cada capacitat per flux de treball al Creador de fluxos de treball, o composa-les en línia a través de l'API.
Llegiu la documentacióObteniu una clau API
01 · Activador de pas addicional

Tu tries el moment. Didit fa la verificació.

La política de pas addicional resideix al Workflow Builder: transferència d'alt valor, restabliment de contrasenya, pagament a una nova destinació, inici de sessió amb un nou dispositiu, anomalia geogràfica. Pre-filtreu amb l'anàlisi de dispositius i IP si només voleu la verificació facial quan els senyals de xarxa semblin arriscats. No cal tornar a desplegar per canviar les regles.
Mòdul d'Orquestrador de fluxos de treball
02 · Pas addicional biomètric

Un pas addicional. Veredicte en menys de dos segons.

El mateix motor biomètric que l'usuari va passar en el registre: detecció d'atacs de presentació (PAD) iBeta de nivell 1 més coincidència facial 1:1 amb el retrat emmagatzemat. 0,10 $ per sessió. Resistent al phishing i als intercanvis de SIM. Menys de dos segons de punta a punta en Android de gamma baixa.
Mòdul d'autenticació biomètrica
03 · Coincidència facial 1:1 vs registre

L'objectiu de comparació és el retrat emmagatzemat de l'usuari.

La coincidència facial 1:1 compara cada selfie de pas addicional amb el retrat de registre emmagatzemat de l'usuari. Retorna una puntuació de similitud de 0 a 1,0 més advertències; el llindar és ajustable per flux de treball. Un selfie robat no pot passar: l'objectiu està bloquejat a la inscripció original, no a una imatge acabada de capturar.
Mòdul de coincidència facial 1:1
04 · Defensa contra deepfakes

Impressió. Reproducció. Màscara. Deepfake. Tot bloquejat.

Provat independentment a iBeta i certificat amb PAD de nivell 1 segons el catàleg complet ISO/IEC 30107-3. Bloqueja fotos impreses, reproduccions de pantalla, màscares de paper/silicona/làtex, atacs de morphing i deepfakes generats per IA del propietari del compte. Reprovat cada any.
Mòdul de vivacitat
05 · Pre-verificació d'IP i dispositiu

VPN, centre de dades, Tor — senyalitzats abans de la verificació facial.

Puntueu l'adreça IP (Protocol d'Internet) de l'usuari i la empremta digital del dispositiu abans que s'activi el pas addicional. Retorna una puntuació de risc de 0 a 100 més banderes de VPN, proxy, Tor, centre de dades, país i ASN. 0,03 $ per verificació, menys de 100 ms. Ometeu el pas addicional en dispositius de confiança + xarxa de baix risc.
Mòdul d'anàlisi de dispositius i IP
06 · Decisió del webhook

Un webhook. Tres branques. Fet.

Un webhook signat arriba amb el veredicte: Aprovat, Rebutjat, En revisió, No finalitzat. Verifiqueu X-Signature-V2 amb HMAC SHA-256 abans de llegir el cos. Mateixa càrrega útil en cada pas addicional; ramifiqueu l'acció original en conseqüència. Més de 200 senyals de frau detectats sense cost addicional.
Referència del webhook
Integra

Una sessió. Un webhook signat. Tres branques.

Obre el pas a pas contra el flux de treball biomètric. Llegeix el veredicte signat. Ramifica l'acció.
POST /v3/session/Pas addicional
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "workflow_id": "wf_ato_step_up",
    "vendor_data": "user-42",
    "metadata": { "trigger": "high_value_transfer" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Creat{ "session_url": "verify.didit.me/..." }
Bloqueja l'acció fins que el webhook aterri status: Approved.docs →
POST /webhooks/diditVeredicte
// X-Signature-V2 verified upstream
if (càrrega útil.status === "Aprovat") {
  desbloquejaAcció(càrrega útil.dades_proveïdor);
} altrament si (càrrega útil.status === "Rebutjat") {
  registraAdvertiments(càrrega útil.liveness.advertiments);
  bloquejaIAlerta(càrrega útil.dades_proveïdor);
}
200D'acordestat Aprovat · Rebutjat · En revisió · No finalitzat
Verifica X-Signature-V2 abans de llegir la càrrega útil.docs →
Integració preparada per a l'agent

Envia la defensa de presa de control de comptes en una sola indicació.

Enganxa a Claude Code, Cursor, Codex, Devin, Aider o Replit Agent. Omple la teva pila. L'agent connecta el disparador, obre la sessió d'escalada, verifica el webhook i ramifica l'acció original.
didit-integration-prompt.md
You are integrating Didit account-takeover defence into an application that already has the user signed in. Your job: when a sensitive action fires (large transfer, password reset, payout to a new destination, new-device login, geo anomaly), gate it on a Didit biometric step-up. One API call. One signed webhook. Three branches.

WHY THIS SHAPE
  - Credential stuffing, SIM-swap, and stolen-session-cookie attacks all walk past passwords and SMS one-time codes. A face check at the moment of the sensitive action does not.
  - Didit runs Passive Liveness (the user is alive, present, not a deepfake) plus 1:1 Face Match against the portrait captured at sign-up. A stolen selfie cannot pass — the comparison target is locked to the original enrollment.
  - $0.10 per step-up (Biometric Authentication module) + $0.03 IP pre-check (optional) = around $0.13 per event. Sub-two-second verdict on entry-level Android. 500 verifications free every month.

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
  - A webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header using your webhook secret.
 HMAC-SHA256 verification MUST run against the raw body bytes (the raw payload as Didit sent it) BEFORE any JSON parsing — re-serialising the parsed body changes whitespace and key order, which invalidates the signature.  - A Workflow Builder workflow that bundles Passive Liveness + Face Match 1:1 (with the user's stored sign-up portrait as the comparison target). Optionally compose Device & IP Analysis ahead of the step-up to pre-gate the check.
  - Persist the user's sign-up portrait — either base64 on your side, or rely on Didit's stored enrollment via vendor_data lookup.

STEP 1 — Decide WHEN to step up (your code, not Didit's)
  Run your usual fraud signals. Common triggers worth a biometric step-up:
    - Wire / crypto transfer above the user's daily limit
    - Password / email reset on a session less than 24h old
    - Payout to a bank account or wallet seen for the first time
    - Login from a new device or new country
    - Velocity anomaly — N actions of type T within window W

  Cheap pre-check (optional, ~100ms, $0.03):
    - Score the user's IP via Device & IP Analysis. If the IP is a residential trusted address with a low risk score AND the device fingerprint matches the user's trusted device, skip the step-up. Otherwise run Step 2.

STEP 2 — Create a biometric step-up session
  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body:
    {
      "workflow_id": "<wf id bundling Passive Liveness + Face Match 1:1>",
      "vendor_data": "<your user id, max 256 chars>",
      "callback": "https://<your-app>/ato/step-up/callback",
      "metadata": {
        "trigger": "high_value_transfer",
        "action_id": "<your internal action reference>"
      },
      "portrait_image": "<base64 JPEG of the user's stored sign-up portrait, ≤ 1 MB — REQUIRED when the workflow has FACE_MATCH active; the step-up matches the new live selfie against this stored reference>"
    }

  Response: 201 Created with a hosted session URL. Redirect the user there inline (or open it in a webview / Didit mobile SDK). The action stays BLOCKED on your side until the signed webhook lands.

STEP 3 — Read the signed webhook on completion
  Didit POSTs the decision to your callback. Verify X-Signature-V2 (HMAC SHA-256 of the raw request body using your webhook secret) BEFORE reading the JSON.

  Payload (excerpted):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved" },
      "face":     { "status": "Approved", "similarity_score": 0.94 },
      "ip_analysis": { "status": "Approved", "score": 11 }
    }

  Session status enum (exact case, Title Case With Spaces): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

STEP 4 — Branch the original action on status
  Approved      → unblock the sensitive action. Log session_id + similarity score on the audit trail.
  In Review     → hold the action, route to a human review queue.
  Declined      → block the action, log liveness warnings (mask / deepfake / replay / morph), alert the user.
  Not Finished  → invite the user to retry with a fresh session URL.
  Expired       → resend the link; the original session has timed out.
  Abandoned     → the user closed the flow before completing; resend the link.

STEP 5 — (Optional) Pull the full decision payload
  GET https://verification.didit.me/v3/session/{session_id}/decision/
  Headers:
    x-api-key: <your api key>
  Returns the same payload as the webhook plus the structured signals (liveness warnings, face-match similarity, IP / device flags). Use for analyst review.

WEBHOOK EVENT NAMES
  - Sessions: standard session webhook (one endpoint, status field tells you where in the lifecycle).
  - Verify X-Signature-V2 (HMAC SHA-256) on every payload.

CONSTRAINTS
  - Session statuses use Title Case With Spaces (Approved, In Review). Never use UPPER_SNAKE_CASE for session verdicts — that's the Transactions API and lives in a different surface.
  - 1:1 face match's comparison target is the user's STORED sign-up portrait, not a freshly captured one. A stolen selfie cannot pass.
  - iBeta Level 1 Presentation Attack Detection (PAD) certified against the full ISO/IEC 30107-3 catalogue — print, replay, paper / silicone / latex mask, deepfake, morph.
  - The Workflow Builder is where you choose the modules in the step-up — change them in the console without redeploying.
  - 200+ fraud signals are surfaced on every session at no extra cost — read them off the decision payload, don't re-query.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/core-technology/biometric-auth/overview
  - https://docs.didit.me/core-technology/ip-analysis/overview
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
Necessites més context? Consulta la documentació completa del mòdul.docs.didit.me →
Compliment per disseny

Obre un nou país amb un clic. Nosaltres fem la feina difícil.

Obrim les filials locals, assegurem les llicències, realitzem les proves de penetració, obtenim les certificacions i ens alineem amb cada nova regulació. Per enviar verificacions en un nou país, activa un interruptor. Més de 220 països en funcionament, auditats i provats trimestralment — l'únic proveïdor d'identitat que un govern d'un estat membre de la UE ha qualificat formalment com més segur que la verificació presencial.
Llegir el dossier de seguretat i compliment
Entorn de proves financer de la UE
Tesoro · SEPBLAC · BdE
ISO/IEC 27001
Seguretat de la informació · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
Alineat amb la UE per disseny

Nombres de prova

Nombres de prova
  • iBeta L1
    Detecció d'atacs de presentació certificada independentment — re-provada cada any.
  • <0s
    Veredicte d'escalada de principi a fi en Android de gamma baixa.
  • ~$0.13
    Per esdeveniment — $0.10 d'escalada biomètrica més $0.03 de pre-verificació d'IP opcional.
  • 0
    Verificacions gratuïtes cada mes, en cada compte.
Tres nivells, una llista de preus

Comença gratis. Paga per ús. Escala a Enterprise.

500 verificacions gratuïtes cada mes, per sempre. Pagament per ús per a la producció. Contractes personalitzats, residència de dades i SLA (Acords de Nivell de Servei) a Enterprise.
Gratuït

Gratuït

0 $ / mes. No es requereix targeta de crèdit.

  • Paquet KYC gratuït (Verificació d'identitat + Prova de vida passiva + Coincidència facial + Anàlisi de dispositius i IP) — 500 / mes, cada mes
  • Usuaris bloquejats
  • Detecció de duplicats
  • Més de 200 senyals de frau en cada sessió
  • KYC reutilitzable a tota la xarxa Didit
  • Plataforma de gestió de casos
  • Constructor de fluxos de treball
  • Documents públics, sandbox, SDK, servidor MCP (Model Context Protocol)
  • Suport de la comunitat
Comença gratis
Més popular
Paga per ús

Basat en l'ús

Paga només pel que utilitzes. Més de 25 mòduls. Preus públics per mòdul, sense quota mínima mensual.

  • KYC complet per 0,33 $ (ID + Biomètric + IP / Dispositiu)
  • Més de 10.000 conjunts de dades AML — sancions, PEPs, mitjans adversos
  • Més de 1.000 fonts de dades governamentals per a la validació de bases de dades
  • Monitorització de transaccions per 0,02 $ per transacció
  • KYB en viu per 2,00 $ per negoci
  • Cribratge de carteres per 0,15 $ per comprovació
  • Flux de verificació de marca blanca — la teva marca, la nostra infraestructura
Veure la llista completa de preusComença gratis
Empreses

Empreses

MSA i SLA personalitzats. Per a grans volums i programes regulats.

  • Contractes anuals
  • MSA, DPA i SLA personalitzats
  • Canal dedicat de Slack i WhatsApp
  • Revisors manuals a demanda
  • Condicions de revenda i marca blanca
  • Funcions exclusives i integracions amb socis
  • CSM assignat, revisió de seguretat, suport de compliment
Parla amb nosaltres

Comença gratis → paga només quan s'executa una comprovació → desbloqueja Enterprise per a un contracte personalitzat, SLA o residència de dades.

FAQ

Preguntes freqüents

Relacionat

Mòduls + fluxos de treball relacionats

Infraestructura per a la identitat i el frau.

Una API per a KYC, KYB, monitorització de transaccions i anàlisi de carteres. Integra-ho en 5 minuts.

Comença de francParla amb nosaltres
Demana a una IA que resumeixi aquesta pàgina