Salta al contingut principal
Didit recapta 2 milions de dòlars i s'uneix a Y Combinator (W26)
Didit
PSD3 · Autenticació reforçada de client

Dos factors SCA. Un toc.

L'autenticació biomètrica (0,10 $) més l'anàlisi de dispositius i IP (0,03 $) proporcionen dos factors SCA de grau PSD3 en una única sol·licitud. Resistent al phishing. Reemplaçament directe de la contrasenya d'un sol ús per SMS.

Comença de francLlegeix la documentació
Amb el suport de
Y Combinator
GBTC Finance
Bondex
Crnogorski Telekom
UCSF Neuroscape
Shiply
Adelantos

Confiat per més de 2.000 organitzacions a tot el món.

Una il·lustració abstracta fosca i cinematogràfica de conformitat: quatre panells translúcids de vidre fosc flotants en perspectiva 3D sobre un llenç negre pur, travessats per una línia vertical lluminosa de color blau Didit i emmarcats per quatre suports d'escàner brillants. Cada panell conté un petit motiu abstracte de color blanc pàl·lid (arcs d'empremtes dactilars, oval facial, silueta de telèfon, forma de cadenat) que representa l'autenticació biomètrica reforçada de client.

Per què s'està retirant l'SMS OTP

A prova de SIM-swap. A prova de phishing. $0.13 per autenticació.

La PSD3 està eliminant gradualment la contrasenya d'un sol ús per SMS com a factor d'autenticació reforçada de client. L'SCA biomètrica vinculada al dispositiu de Didit bloqueja l'intercanvi de SIM, el phishing en temps real i la intercepció SS7, a 0,13 $ per autenticació, veredicte en menys de dos segons, preparat per a l'enllaç dinàmic. 500 verificacions gratuïtes cada mes.

Com funciona

Des de la inscripció fins a l'usuari verificat en quatre passos.

  1. Pas 01

    Crea el flux de treball

    Tria les comprovacions que vulguis: identificació, prova de vida, coincidència facial, sancions, adreça, edat, telèfon, correu electrònic, preguntes personalitzades. Arrossega-les a un flux al tauler de control o publica el mateix flux a la nostra API. Ramifica segons les condicions, executa proves A/B, no es requereix codi.

  2. Pas 02

    Integra

    Integra de forma nativa amb el nostre SDK per a Web, iOS, Android, React Native o Flutter. Redirigeix a una pàgina allotjada. O simplement envia a l'usuari un enllaç, per correu electrònic, SMS, WhatsApp, a qualsevol lloc. Tria el que s'adapti a la teva pila.

  3. Pas 03

    L'usuari passa pel flux

    Didit allotja la càmera, les indicacions d'il·luminació, el traspàs mòbil i l'accessibilitat. Mentre l'usuari està en el flux, puntuam més de 200 senyals de frau en temps real i verifiquem cada camp amb fonts de dades autoritzades. Resultat en menys de dos segons.

  4. Pas 04

    Rebràs els resultats

    Els webhooks signats en temps real mantenen la teva base de dades sincronitzada en el moment en què un usuari és aprovat, rebutjat o enviat a revisió. Consulta l'API sota demanda. O obre la consola per inspeccionar cada sessió, cada senyal i gestionar els casos a la teva manera.

Dissenyat per a SCA · Preu com a infraestructura

Dos factors. Una sol·licitud. $0.13 per autenticació.

L'autenticació reforçada de client real no és una única comprovació, és una recepta. Activa les exempcions per flux de treball. Puja a una clau de maquinari en senyals de risc. Sense redesplegament.
Llegeix la documentacióObtén una clau API
01 · Factors SCA

Dos factors. Categories diferents.

Inherència (prova de vida passiva + coincidència facial 1:1) més possessió (el dispositiu vinculat de l'usuari). Grau PSD3 per defecte. Factor de coneixement (PIN, contrasenya) opcional i configurable per flux de treball.
Mòdul d'autenticació biomètrica
02 · Enllaç dinàmic

Una aprovació. Vinculada a la quantitat + beneficiari.

Per als pagaments, el desafiament d'autenticació incrusta la quantitat exacta i el beneficiari. L'usuari els veu a la pròpia sol·licitud biomètrica. Qualsevol manipulació invalida l'aprovació, integrada al PSR.
Referència de l'API de sessions
03 · Per què l'SMS OTP es retira

Resistent al phishing per disseny.

El frau de canvi de SIM, els kits de phishing en temps real, la intercepció SS7, tot això derrota la contrasenya d'un sol ús per SMS. La biometria vinculada al dispositiu amb enllaç d'origen bloqueja tots els atacs comuns que l'Autoritat Bancària Europea va assenyalar en la seva opinió SCA de 2024.
Prevenció de la presa de control de comptes
04 · Motor d'exempcions

Exempcions, calibrades per flux de treball.

Remot de baix valor inferior a 30 EUR, punt de venda sense contacte inferior a 50 EUR, recurrent idèntic, beneficiari de confiança, nivells d'anàlisi de risc de transacció. Tot editable al Workflow Builder sense codi.
Orquestrador de fluxos de treball
05 · Més de 200 senyals per autenticació

Més de 200 senyals en cada autenticació.

Empremta digital del dispositiu, geolocalització IP, detecció de VPN / proxy / centre de dades, indicador de dispositiu nou, deriva de comportament. Puja automàticament a una clau de maquinari quan el risc superi el teu llindar.
Mòdul d'anàlisi de dispositius i IP
06 · Economia

$0.13 per auth, not $0.04 plus SIM-swap loss.

Autenticació biomètrica de 0,10 $ + anàlisi de dispositius i IP de 0,03 $ = 0,13 $ per autenticació reforçada de client. La contrasenya d'un sol ús per SMS costa entre 0,04 $ i 0,07 $, a més de les fallades de lliurament, els reintents i l'exposició a la pèrdua per intercanvi de SIM que els reguladors estan tenint en compte en la PSD3.
Preus
Integra

Una sessió. Un toc. Un webhook.

Obre la sessió amb l'import + el beneficiari. L'usuari aprova al seu telèfon. El webhook signat confirma la vinculació.
POST /v3/session/Inici de sessió
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "purpose": "login" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Createstat Aprovat · Rebutjat · En revisió
Passeu el selfie d'inscripció KYC com a portrait_image. Sense reinscripció.docs →
POST /v3/session/Pagament
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "amount": "247.50", "payee_account": "ES91…1332" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Createl webhook retorna la quantitat + el beneficiari per a la verificació
L'usuari veu l'import + el beneficiari a la pròpia sol·licitud biomètrica. Enllaç dinàmic.docs →
Integració preparada per a l'agent

Envia un flux SCA de PSD3 en una sola petició.

Enganxa a Claude Code, Cursor, Codex, Devin, Aider o Replit Agent. Omple la teva pila. L'agent construeix el flux de treball, connecta l'enllaç dinàmic, munta l'SDK i envia una autenticació forta de client en cinc minuts.
didit-integration-prompt.md
You are integrating Didit's Strong Customer Authentication into a payment service provider, bank, EMI, or wallet to satisfy PSD3 / the Payment Services Regulation (PSR). Two factors in one prompt:

  1. Inherence — Biometric Authentication: Passive Liveness + Face Match 1:1 against the user's previously-enrolled KYC selfie.
  2. Possession — Device & IP Analysis: 200+ real-time fraud signals binding the auth to the user's known device.

Pricing (verified live 2026-05-16):
  - Biometric Authentication: $0.10 per auth
  - Device & IP Analysis: $0.03 per auth
  - Total: $0.13 per Strong Customer Authentication
  - First 500 verifications free every month, forever
  - Re-uses the enrolled selfie from the original KYC — no re-enrolment

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
  - Webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header.
  - A workflow_id from the no-code Workflow Builder configured as a Biometric Authentication workflow (Passive Liveness + Face Match 1:1 + Device & IP Analysis).
  - The user has previously completed a Didit KYC (the same enrolled selfie backs every subsequent auth).

STEP 1 — Open an authentication session

  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body (for login auth):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/auth/callback",
      "metadata": {
        "purpose": "login",
        "session_id": "<your front-end session id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor; OMIT only if the workflow is liveness-only>"
    }

  Body (for payment with dynamic linking):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/payment/callback",
      "metadata": {
        "purpose": "payment",
        "amount": "247.50",
        "currency": "EUR",
        "payee_account": "ES9121000418450200051332",
        "payee_name": "<merchant or recipient>",
        "transaction_reference": "<your internal transaction id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor>"
    }

  Response: 201 Created with the hosted session URL. Push the URL to the user via deep-link / push notification / in-app sheet.

STEP 2 — User completes the biometric auth

  The user sees one prompt on their phone (or via the Didit SDK in your native app). Three things happen on the same screen:

  1. The amount + payee are displayed (dynamic linking — the user explicitly approves THIS amount to THIS payee for payments).
  2. Passive Liveness defeats screen replay, printed photo, mask, deepfake.
  3. Face Match 1:1 matches the new selfie against the enrolled KYC selfie.

  Device & IP Analysis runs server-side on the session. Sub-2-second median verdict.

STEP 3 — Read the signed webhook on the auth verdict

  Didit POSTs to your callback. Session statuses (Title Case With Spaces):

  Body (excerpted):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved" },
      "face": { "status": "Approved", "similarity_score": 0.94 },
      "ip_analysis": { "status": "Approved", "vpn_detected": false, "datacenter_ip": false },
      "metadata_echo": {
        "amount": "247.50",
        "payee_account": "ES9121000418450200051332"
      }
    }

  Status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

  Verify the X-Signature-V2 header BEFORE reading the body — HMAC SHA-256 of the raw bytes with your webhook secret.

  For payments, verify that metadata_echo.amount and metadata_echo.payee_account match the values you passed in. If they do not, REJECT the payment — it's a dynamic-linking violation.

STEP 4 — Branch on verdict

  Approved   → unlock the action (login, payment, account change).
  In Review  → hold the action, route to manual review queue.
  Declined   → block, log the attempt, surface a friendly "try again" to the user.
  Resubmitted → the user re-submitted after a soft fail (poor lighting, occlusion); proceed if the latest status is Approved.

STEP 5 — Retrieve the full decision later

  GET https://verification.didit.me/v3/session/{sessionId}/decision/
  Headers:
    x-api-key: <your api key>

  Returns the full payload: liveness verdict (iBeta Level 1 anti-spoof certified), Face Match similarity score, device fingerprint, IP geolocation, VPN / proxy / datacenter flags, 200+ fraud-signal score, dynamic-linking echo, HMAC signature.

  Use this for the audit-trail surface a regulator examines on Strong Customer Authentication coverage.

STEP 6 — Step up on risk

  When Device & IP Analysis surfaces a high-risk signal (new device + high-value payment, VPN/proxy on a login, geolocation jump), your workflow can step up to:

  - A separate hardware-key challenge (FIDO2 / WebAuthn)
  - A trusted-beneficiary whitelist confirmation
  - A manual-review hold

  Encode the step-up policy in the no-code Workflow Builder — no redeploy required.

WEBHOOK EVENT NAMES
  - Sessions: status changes flow through the standard session webhook.
  Verify X-Signature-V2 on every payload.

CONSTRAINTS
  - Session statuses use Title Case With Spaces. Never UPPER_SNAKE_CASE on a session.
  - Dynamic linking is REQUIRED for payments — pass amount + payee in metadata, verify the echo on the webhook.
  - The enrolled selfie that backs every SCA is the one captured during the user's original KYC — no separate enrolment step.
  - PSD3 / PSR exemptions (low-value remote < EUR 30, contactless point-of-sale < EUR 50, recurring identical, trusted beneficiary, Transaction Risk Analysis tiers) are configured per workflow in the Business Console.
  - Default record retention is 5 years per the EU AML and payments rules.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/sessions-api/retrieve-session
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
Necessites més context? Consulta la documentació completa del mòdul.docs.didit.me →
Compliment per disseny

Obre un nou país amb un clic. Nosaltres fem la feina difícil.

Obrim les filials locals, assegurem les llicències, realitzem les proves de penetració, obtenim les certificacions i ens alineem amb cada nova regulació. Per enviar verificacions en un nou país, activa un interruptor. Més de 220 països en funcionament, auditats i provats trimestralment — l'únic proveïdor d'identitat que un govern d'un estat membre de la UE ha qualificat formalment com més segur que la verificació presencial.
Llegir el dossier de seguretat i compliment
Entorn de proves financer de la UE
Tesoro · SEPBLAC · BdE
ISO/IEC 27001
Seguretat de la informació · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
Alineat amb la UE per disseny

Números de prova

Números de prova
  • $0.00
    Per autenticació forta de client — Autenticació biomètrica + Anàlisi de dispositius i IP.
  • <0s
    Veredicte d'autenticació de punta a punta per sessió, en Android de nivell d'entrada.
  • 0+
    Senyals de frau en temps real avaluats en cada autenticació — VPN, centre de dades, deriva de geolocalització, deriva de dispositiu.
  • 0
    Verificacions gratuïtes cada mes, en cada compte.
Tres nivells, una llista de preus

Comença gratis. Paga per ús. Escala a Enterprise.

500 verificacions gratuïtes cada mes, per sempre. Pagament per ús per a la producció. Contractes personalitzats, residència de dades i SLA (Acords de Nivell de Servei) a Enterprise.
Gratuït

Gratuït

0 $ / mes. No es requereix targeta de crèdit.

  • Paquet KYC gratuït (Verificació d'identitat + Prova de vida passiva + Coincidència facial + Anàlisi de dispositius i IP) — 500 / mes, cada mes
  • Usuaris bloquejats
  • Detecció de duplicats
  • Més de 200 senyals de frau en cada sessió
  • KYC reutilitzable a tota la xarxa Didit
  • Plataforma de gestió de casos
  • Constructor de fluxos de treball
  • Documents públics, sandbox, SDK, servidor MCP (Model Context Protocol)
  • Suport de la comunitat
Comença gratis
Més popular
Paga per ús

Basat en l'ús

Paga només pel que utilitzes. Més de 25 mòduls. Preus públics per mòdul, sense quota mínima mensual.

  • KYC complet per 0,33 $ (ID + Biomètric + IP / Dispositiu)
  • Més de 10.000 conjunts de dades AML — sancions, PEPs, mitjans adversos
  • Més de 1.000 fonts de dades governamentals per a la validació de bases de dades
  • Monitorització de transaccions per 0,02 $ per transacció
  • KYB en viu per 2,00 $ per negoci
  • Cribratge de carteres per 0,15 $ per comprovació
  • Flux de verificació de marca blanca — la teva marca, la nostra infraestructura
Veure la llista completa de preusComença gratis
Empreses

Empreses

MSA i SLA personalitzats. Per a grans volums i programes regulats.

  • Contractes anuals
  • MSA, DPA i SLA personalitzats
  • Canal dedicat de Slack i WhatsApp
  • Revisors manuals a demanda
  • Condicions de revenda i marca blanca
  • Funcions exclusives i integracions amb socis
  • CSM assignat, revisió de seguretat, suport de compliment
Parla amb nosaltres

Comença gratis → paga només quan s'executa una comprovació → desbloqueja Enterprise per a un contracte personalitzat, SLA o residència de dades.

FAQ

Preguntes freqüents

Relacionat

Mòduls + fluxos de treball relacionats

Infraestructura per a la identitat i el frau.

Una API per a KYC, KYB, monitorització de transaccions i anàlisi de carteres. Integra-ho en 5 minuts.

Comença de francParla amb nosaltres
Demana a una IA que resumeixi aquesta pàgina