Saltar al contenido principal
Didit recauda $2M y se une a Y Combinator (W26)
Didit
PSD3 · Autenticación reforzada de cliente

Dos factores SCA. Un toque.

La autenticación biométrica ($0.10) más el análisis de dispositivo e IP ($0.03) ofrecen dos factores SCA de grado PSD3 en una única solicitud. Resistente al phishing. Reemplazo directo de la contraseña de un solo uso por SMS.

Empezar gratisLeer la documentación
Respaldado por
Y Combinator
GBTC Finance
Bondex
Crnogorski Telekom
UCSF Neuroscape
Shiply
Adelantos

Con la confianza de más de 2.000 organizaciones en todo el mundo.

Una ilustración cinematográfica abstracta oscura de cumplimiento: cuatro paneles translúcidos flotantes de vidrio oscuro en perspectiva 3D sobre un lienzo negro puro, atravesados por una línea vertical luminosa Didit Blue y enmarcados por cuatro soportes de escáner brillantes. Cada panel lleva un pequeño motivo abstracto de color blanco pálido (arcos de huellas dactilares, óvalo facial, silueta de teléfono, forma de candado) que representa la autenticación biométrica reforzada de cliente.

Por qué la OTP por SMS está siendo retirada

A prueba de SIM-swap. A prueba de phishing. $0.13 por autenticación.

PSD3 está eliminando gradualmente la contraseña de un solo uso por SMS como factor de Autenticación Reforzada de Cliente. La SCA biométrica vinculada al dispositivo de Didit bloquea el intercambio de SIM, el phishing en tiempo real y la interceptación SS7, a $0.13 por autenticación, veredicto en menos de dos segundos, lista para vinculación dinámica. 500 verificaciones gratuitas cada mes.

Cómo funciona

Desde el registro hasta el usuario verificado en cuatro pasos.

  1. Paso 01

    Crear el flujo de trabajo

    Elija las comprobaciones que desee: ID, prueba de vida, coincidencia facial, sanciones, dirección, edad, teléfono, correo electrónico, preguntas personalizadas. Arrástrelas a un flujo en el panel de control o publique el mismo flujo en nuestra API. Ramifique en condiciones, ejecute pruebas A/B, no se requiere código.

  2. Paso 02

    Integrar

    Incorpore de forma nativa con nuestro SDK para Web, iOS, Android, React Native o Flutter. Redirija a una página alojada. O simplemente envíe a su usuario un enlace, por correo electrónico, SMS, WhatsApp, en cualquier lugar. Elija lo que se adapte a su pila.

  3. Paso 03

    El usuario pasa por el flujo

    Didit aloja la cámara, las señales de iluminación, la transferencia móvil y la accesibilidad. Mientras el usuario está en el flujo, puntuamos más de 200 señales de fraude en tiempo real y verificamos cada campo con fuentes de datos autorizadas. Resultado en menos de dos segundos.

  4. Paso 04

    Usted recibe los resultados

    Los webhooks firmados en tiempo real mantienen su base de datos sincronizada en el momento en que un usuario es aprobado, rechazado o enviado a revisión. Consulte la API bajo demanda. O abra la consola para inspeccionar cada sesión, cada señal y gestionar los casos a su manera.

Diseñado para SCA · Con precio de infraestructura

Dos factores. Una solicitud. $0.13 por autenticación.

La Autenticación Reforzada de Cliente real no es una única comprobación, es una receta. Active exenciones por flujo de trabajo. Pase a una clave de hardware en las señales de riesgo. Sin volver a implementar.
Leer la documentaciónObtener una clave API
01 · Factores SCA

Dos factores. Diferentes categorías.

Inherencia (prueba de vida pasiva + coincidencia facial 1:1) más posesión (el dispositivo vinculado del usuario). Grado PSD3 por defecto. Factor de conocimiento (PIN, contraseña) opcional y configurable por flujo de trabajo.
Módulo de autenticación biométrica
02 · Vinculación dinámica

Una aprobación. Vinculada al monto + beneficiario.

Para los pagos, el desafío de autenticación incorpora el monto exacto y el beneficiario. El usuario los ve en la propia solicitud biométrica. Cualquier manipulación invalida la aprobación, integrada en el PSR.
Referencia de la API de sesiones
03 · Por qué la OTP por SMS se está retirando

Resistente al phishing por diseño.

El fraude de intercambio de SIM, los kits de phishing en tiempo real, la interceptación SS7, todo esto derrota la contraseña de un solo uso por SMS. La biometría vinculada al dispositivo con enlace de origen bloquea todos los ataques comunes que la Autoridad Bancaria Europea señaló en su opinión de SCA de 2024.
Prevención de la toma de control de cuentas
04 · Motor de exención

Exenciones, calibradas por flujo de trabajo.

Remoto de bajo valor inferior a 30 EUR, punto de venta sin contacto inferior a 50 EUR, idéntico recurrente, beneficiario de confianza, niveles de análisis de riesgo de transacciones. Todo editable en el Creador de flujos de trabajo sin código.
Orquestador de flujos de trabajo
05 · Más de 200 señales por autenticación

Más de 200 señales en cada autenticación.

Huella digital del dispositivo, geolocalización IP, detección de VPN / proxy / centro de datos, indicador de nuevo dispositivo, desviación de comportamiento. Ascienda a una clave de hardware automáticamente cuando el riesgo supere su umbral.
Módulo de análisis de dispositivos e IP
06 · Economía

$0.13 per auth, not $0.04 plus SIM-swap loss.

$0.10 Autenticación biométrica + $0.03 Análisis de dispositivo e IP = $0.13 por Autenticación Reforzada de Cliente. La contraseña de un solo uso por SMS cuesta $0.04-$0.07 más fallos de entrega, reintentos y la exposición a pérdidas por intercambio de SIM que los reguladores están valorando en PSD3.
Precios
Integrar

Una sesión. Un toque. Un webhook.

Abra la sesión con el importe + beneficiario. El usuario aprueba en su teléfono. El webhook firmado confirma la vinculación.
POST /v3/session/Iniciar sesión
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "purpose": "login" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Creadoestado Aprobado · Rechazado · En revisión
Pase la selfie de inscripción KYC como portrait_image. Sin reinscripción.documentos →
POST /v3/session/Pago
$ curl -X POST https://verification.didit.me/v3/session/ \
  -H "x-api-key: $DIDIT_API_KEY" \
  -d '{
    "workflow_id": "wf_sca_biometric",
    "vendor_data": "user-42",
    "metadata": { "amount": "247.50", "payee_account": "ES91…1332" },
    // base64 KYC enrolment selfie, ≤ 1MB
    "portrait_image": "/9j/4AAQSkZJRgABAQE..."
  }'
201Creadoel webhook devuelve el importe + el beneficiario para su verificación
El usuario ve la cantidad + el beneficiario en la propia solicitud biométrica. Vinculación dinámica.documentos →
Integración lista para el agente

Implemente un flujo SCA de PSD3 en una sola instrucción.

Pegue en Claude Code, Cursor, Codex, Devin, Aider o Replit Agent. Rellene su pila. El agente construye el flujo de trabajo, conecta la vinculación dinámica, monta el SDK e implementa una autenticación reforzada de cliente funcional en cinco minutos.
didit-integration-prompt.md
You are integrating Didit's Strong Customer Authentication into a payment service provider, bank, EMI, or wallet to satisfy PSD3 / the Payment Services Regulation (PSR). Two factors in one prompt:

  1. Inherence — Biometric Authentication: Passive Liveness + Face Match 1:1 against the user's previously-enrolled KYC selfie.
  2. Possession — Device & IP Analysis: 200+ real-time fraud signals binding the auth to the user's known device.

Pricing (verified live 2026-05-16):
  - Biometric Authentication: $0.10 per auth
  - Device & IP Analysis: $0.03 per auth
  - Total: $0.13 per Strong Customer Authentication
  - First 500 verifications free every month, forever
  - Re-uses the enrolled selfie from the original KYC — no re-enrolment

PRE-REQUISITES
  - Production API key from https://business.didit.me (sandbox key in 60 seconds, no credit card).
  - Webhook endpoint with HMAC SHA-256 verification of the X-Signature-V2 header.
  - A workflow_id from the no-code Workflow Builder configured as a Biometric Authentication workflow (Passive Liveness + Face Match 1:1 + Device & IP Analysis).
  - The user has previously completed a Didit KYC (the same enrolled selfie backs every subsequent auth).

STEP 1 — Open an authentication session

  POST https://verification.didit.me/v3/session/
  Headers:
    x-api-key: <your api key>
    Content-Type: application/json
  Body (for login auth):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/auth/callback",
      "metadata": {
        "purpose": "login",
        "session_id": "<your front-end session id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor; OMIT only if the workflow is liveness-only>"
    }

  Body (for payment with dynamic linking):
    {
      "workflow_id": "<wf id for SCA biometric auth>",
      "vendor_data": "<your user id>",
      "callback": "https://<your-app>/payment/callback",
      "metadata": {
        "purpose": "payment",
        "amount": "247.50",
        "currency": "EUR",
        "payee_account": "ES9121000418450200051332",
        "payee_name": "<merchant or recipient>",
        "transaction_reference": "<your internal transaction id>"
      },
      "portrait_image": "<base64 JPEG of the user's KYC enrolment selfie, ≤ 1 MB — REQUIRED for SCA's inherence factor>"
    }

  Response: 201 Created with the hosted session URL. Push the URL to the user via deep-link / push notification / in-app sheet.

STEP 2 — User completes the biometric auth

  The user sees one prompt on their phone (or via the Didit SDK in your native app). Three things happen on the same screen:

  1. The amount + payee are displayed (dynamic linking — the user explicitly approves THIS amount to THIS payee for payments).
  2. Passive Liveness defeats screen replay, printed photo, mask, deepfake.
  3. Face Match 1:1 matches the new selfie against the enrolled KYC selfie.

  Device & IP Analysis runs server-side on the session. Sub-2-second median verdict.

STEP 3 — Read the signed webhook on the auth verdict

  Didit POSTs to your callback. Session statuses (Title Case With Spaces):

  Body (excerpted):
    {
      "session_id": "<uuid>",
      "vendor_data": "<your user id>",
      "status": "Approved",
      "liveness": { "status": "Approved" },
      "face": { "status": "Approved", "similarity_score": 0.94 },
      "ip_analysis": { "status": "Approved", "vpn_detected": false, "datacenter_ip": false },
      "metadata_echo": {
        "amount": "247.50",
        "payee_account": "ES9121000418450200051332"
      }
    }

  Status enum (exact case): Approved | Declined | In Review | Resubmitted | Expired | Not Finished | Kyc Expired | Abandoned.

  Verify the X-Signature-V2 header BEFORE reading the body — HMAC SHA-256 of the raw bytes with your webhook secret.

  For payments, verify that metadata_echo.amount and metadata_echo.payee_account match the values you passed in. If they do not, REJECT the payment — it's a dynamic-linking violation.

STEP 4 — Branch on verdict

  Approved   → unlock the action (login, payment, account change).
  In Review  → hold the action, route to manual review queue.
  Declined   → block, log the attempt, surface a friendly "try again" to the user.
  Resubmitted → the user re-submitted after a soft fail (poor lighting, occlusion); proceed if the latest status is Approved.

STEP 5 — Retrieve the full decision later

  GET https://verification.didit.me/v3/session/{sessionId}/decision/
  Headers:
    x-api-key: <your api key>

  Returns the full payload: liveness verdict (iBeta Level 1 anti-spoof certified), Face Match similarity score, device fingerprint, IP geolocation, VPN / proxy / datacenter flags, 200+ fraud-signal score, dynamic-linking echo, HMAC signature.

  Use this for the audit-trail surface a regulator examines on Strong Customer Authentication coverage.

STEP 6 — Step up on risk

  When Device & IP Analysis surfaces a high-risk signal (new device + high-value payment, VPN/proxy on a login, geolocation jump), your workflow can step up to:

  - A separate hardware-key challenge (FIDO2 / WebAuthn)
  - A trusted-beneficiary whitelist confirmation
  - A manual-review hold

  Encode the step-up policy in the no-code Workflow Builder — no redeploy required.

WEBHOOK EVENT NAMES
  - Sessions: status changes flow through the standard session webhook.
  Verify X-Signature-V2 on every payload.

CONSTRAINTS
  - Session statuses use Title Case With Spaces. Never UPPER_SNAKE_CASE on a session.
  - Dynamic linking is REQUIRED for payments — pass amount + payee in metadata, verify the echo on the webhook.
  - The enrolled selfie that backs every SCA is the one captured during the user's original KYC — no separate enrolment step.
  - PSD3 / PSR exemptions (low-value remote < EUR 30, contactless point-of-sale < EUR 50, recurring identical, trusted beneficiary, Transaction Risk Analysis tiers) are configured per workflow in the Business Console.
  - Default record retention is 5 years per the EU AML and payments rules.

Read the docs:
  - https://docs.didit.me/sessions-api/create-session
  - https://docs.didit.me/sessions-api/retrieve-session
  - https://docs.didit.me/integration/webhooks

Start free at https://business.didit.me — sandbox key in 60 seconds, 500 verifications free every month, no credit card.
¿Necesita más contexto? Consulte la documentación completa del módulo.docs.didit.me →
Cumplimiento por diseño

Abre un nuevo país con un clic. Nosotros hacemos el trabajo duro.

Abrimos las filiales locales, aseguramos las licencias, realizamos las pruebas de penetración, obtenemos las certificaciones y nos alineamos con cada nueva regulación. Para enviar verificaciones en un nuevo país, activa un interruptor. Más de 220 países en vivo, auditados y probados trimestralmente — el único proveedor de identidad que un gobierno de un estado miembro de la UE ha calificado formalmente como más seguro que la verificación en persona.
Leer el dossier de seguridad y cumplimiento
Sandbox financiero de la UE
Tesoro · SEPBLAC · BdE
ISO/IEC 27001
Seguridad de la información · 2026
SOC 2 · Type I
AICPA · 2026
iBeta Level 1 PAD
NIST / NIAP · 2026
GDPR
EU 2016/679
DORA
EU 2022/2554
MiCA
EU 2023/1114
AMLD6 · eIDAS 2.0
Alineado con la UE por diseño

Números de prueba

Números de prueba
  • $0.00
    Por autenticación reforzada de cliente — Autenticación biométrica + Análisis de dispositivo e IP.
  • <0s
    Veredicto de autenticación de extremo a extremo por sesión, en Android de nivel básico.
  • 0+
    Señales de fraude en tiempo real evaluadas en cada autenticación — VPN, centro de datos, desviación de geolocalización, desviación de dispositivo.
  • 0
    Verificaciones gratuitas cada mes, en cada cuenta.
Tres niveles, una lista de precios

Empiece gratis. Pague por uso. Escale a Enterprise.

500 verificaciones gratuitas cada mes, para siempre. Pago por uso para producción. Contratos personalizados, residencia de datos y SLAs (Acuerdos de Nivel de Servicio) en Enterprise.
Gratis

Gratis

$0 / mes. No se requiere tarjeta de crédito.

  • Paquete KYC gratuito (Verificación de ID + Prueba de vida pasiva + Coincidencia facial + Análisis de dispositivo e IP) — 500 / mes, cada mes
  • Usuarios en lista negra
  • Detección de duplicados
  • Más de 200 señales de fraude en cada sesión
  • KYC reutilizable en la red Didit
  • Plataforma de gestión de casos
  • Constructor de flujos de trabajo
  • Documentos públicos, sandbox, SDKs, servidor MCP (Model Context Protocol)
  • Soporte comunitario
Empiece gratis
Más popular
Pago por uso

Basado en el uso

Pague solo por lo que usa. Más de 25 módulos. Precios públicos por módulo, sin tarifa mínima mensual.

  • KYC completo por $0.33 (ID + Biométrico + IP / Dispositivo)
  • Más de 10,000 conjuntos de datos AML — sanciones, PEPs, medios adversos
  • Más de 1,000 fuentes de datos gubernamentales para la Validación de Bases de Datos
  • Monitoreo de Transacciones por $0.02 por transacción
  • KYB en vivo por $2.00 por negocio
  • Análisis de Billetera por $0.15 por verificación
  • Flujo de verificación de marca blanca — su marca, nuestra infraestructura
Ver lista completa de preciosEmpezar gratis
Empresarial

Empresarial

MSA y SLA personalizados. Para grandes volúmenes y programas regulados.

  • Contratos anuales
  • MSA, DPA y SLA personalizados
  • Canal dedicado de Slack y WhatsApp
  • Revisores manuales bajo demanda
  • Términos de revendedor y marca blanca
  • Funciones exclusivas e integraciones con socios
  • CSM asignado, revisión de seguridad, soporte de cumplimiento
Hable con nosotros

Empiece gratis → pague solo cuando se ejecute una verificación → desbloquee Enterprise para un contrato personalizado, SLA o residencia de datos.

FAQ

Preguntas frecuentes

Relacionado

Módulos + flujos de trabajo relacionados

Infraestructura para la identidad y el fraude.

Una API para KYC, KYB, monitoreo de transacciones y detección de billeteras. Intégrelo en 5 minutos.

Empieza gratisHabla con nosotros
Pide a una IA que resuma esta página