Saltar para o conteúdo principal
Didit angaria 7,5 milhões de dólares para construir a infraestrutura para identidade e fraude
Didit
Voltar ao blog
Blog · 16 de abril de 2026

A Anthropic Passou a Pedir o Seu Passaporte: O Que Mudou no Novo Requisito de KYC do Claude (PT-PT)

A Anthropic implementou, discretamente, a verificação de identidade no Claude em abril de 2026, exigindo passaportes e selfies ao vivo através da Persona.

Por DiditAtualizado
anthropic-claude-kyc-identity-verification.png

Em 15 de abril de 2026, a Anthropic publicou, silenciosamente, um novo artigo de suporte intitulado "Verificação de identidade no Claude." Sem publicação num blogue. Sem anúncio. Apenas uma página de centro de ajuda a explicar que alguns utilizadores seriam agora convidados a fornecer um documento de identificação oficial com fotografia e a tirar uma selfie ao vivo para continuar a usar o Claude.

Em poucas horas, capturas de ecrã foram partilhadas no X. A reação dividiu-se nitidamente em dois campos: defensores da privacidade que viam isto como uma extensão da vigilância, e investigadores de segurança da IA que defendiam esta medida há mais de um ano. Ambos os lados estão parcialmente certos. O mais interessante é o que o lançamento revela sobre o rumo da IA de ponta.

O Que a Anthropic Realmente Implementou

A mecânica é simples. Utilizadores selecionados do Claude — nem todos, ainda não — são convidados a verificar a sua identidade antes de aceder a certas funcionalidades. O processo é gerido pela Persona Identities, uma plataforma de verificação de identidade sediada em São Francisco.

Os utilizadores são solicitados a fornecer:

  • Um documento de identificação oficial com fotografia, original e físico (passaporte, carta de condução ou cartão de identificação nacional)
  • Uma selfie ao vivo capturada na câmara

Fotocópias, documentos de identificação digitais armazenados em carteiras móveis e documentos de identificação temporários em papel são todos rejeitados. O processo demora alguns minutos.

A Anthropic é explícita em relação ao tratamento de dados. As imagens do documento de identificação e as selfies são recolhidas e guardadas pela Persona, não pela Anthropic. Os dados são encriptados durante a transmissão e em repouso. Não são utilizados para a formação do modelo. A Persona está contratualmente limitada a fins de verificação e prevenção de fraudes, e a Anthropic acede aos registos de verificação apenas quando necessário.

O objetivo declarado no artigo de ajuda: "prevenir abusos, fazer cumprir as nossas políticas de utilização e cumprir as obrigações legais."

Porquê Agora

O momento não é aleatório. Em fevereiro de 2026, a Anthropic publicou uma das peças de investigação de segurança de IA mais importantes do ano: Detectar e prevenir ataques de destilação.

As conclusões foram notáveis. Três laboratórios de IA chineses — DeepSeek, Moonshot AI e MiniMax — tinham coletivamente realizado mais de 16 milhões de interações com o Claude através de aproximadamente 24.000 contas fraudulentas. O objetivo era a destilação do modelo: usar as saídas do Claude como dados de treino para modelos mais baratos e mais fracos.

A análise por laboratório:

  • MiniMax: mais de 13 milhões de interações, focadas na codificação de agentes e na orquestração de ferramentas
  • Moonshot AI: mais de 3,4 milhões de interações, direcionadas ao raciocínio de agentes, à codificação e à visão computacional
  • DeepSeek: mais de 150.000 interações, extraindo capacidades de raciocínio e gerando "alternativas seguras para questões politicamente sensíveis"

Estes não eram utilizadores casuais a testar a API. Eram operações de extração em escala industrial, usando arquiteturas de "cluster hydra" — redes extensas de contas falsas distribuídas por várias APIs e fornecedores de nuvem para evitar limites de taxa por conta e deteção de anomalias. Uma única rede de proxies estava a gerir mais de 20.000 contas fraudulentas simultaneamente, misturando pedidos de destilação com tráfego legítimo para permanecer invisível.

A resposta da Anthropic foi em camadas. Primeiro, classificadores e impressão digital comportamental para detetar padrões de destilação no tráfego da API ao vivo. Segundo, partilha de informações com outros laboratórios, fornecedores de nuvem e autoridades. Terceiro — e esta é a parte que produziu diretamente o lançamento da Persona — "apertar a verificação para contas de educação, investigação e startups frequentemente usadas para criar acesso fraudulento."

Este aperto está agora a chegar aos utilizadores finais.

As Três Razões Reais para o KYC no Claude

A linguagem pública da Anthropic cita "segurança e conformidade". Isso é verdade, mas incompleto. Existem três problemas distintos que o KYC do Claude foi concebido para resolver.

1. Destilação e Roubo de Propriedade Intelectual

Os modelos de ponta custam centenas de milhões de dólares para treinar. A diferença de capacidade entre um modelo de ponta e uma cópia destilada é, para muitas tarefas, pequena. Se qualquer pessoa com um cartão de crédito puder criar uma conta falsa e retirar milhões de rastreios de raciocínio de alta qualidade, a economia do treino de modelos de ponta desmorona.

O KYC não impede totalmente a destilação. Um adversário determinado ainda pode recrutar “mules”, comprar contas verificadas em mercados cinzentos ou encaminhar através de clientes legítimos. Mas aumenta o custo por conta fraudulenta de aproximadamente zero para um valor mensurável e torna as redes de contas rastreáveis posteriormente. Isso muda significativamente a economia do ataque.

2. Segurança e Uso Catastrófico

A Política de Escalamento Responsável da Anthropic compromete a empresa a controlos de acesso progressivamente mais fortes à medida que os modelos se aproximam de limiares de capacidade que poderiam melhorar significativamente as ameaças biológicas, químicas, nucleares ou cibernéticas. Para capacidades de Nível de Segurança de IA 3 (ASL-3), os controlos de "conheça o seu cliente" não são um bónus — fazem parte do compromisso de implementação declarado.

A verificação de identidade é o limite de qualquer programa KYC. Sem ela, todos os controlos a jusante — limites de utilização, diligência devida do cliente, rastreio de sanções, monitorização de atividades suspeitas — são construídos sobre areia movediça. A Anthropic sinalizou esta direção desde 2024. O lançamento da Persona é simplesmente o passo operacional.

3. Pressão Regulatória

A Lei da IA da UE está em vigor. O Instituto de Segurança da IA do Reino Unido tem acordos de teste formais com laboratórios de ponta. A ordem executiva dos EUA sobre IA exige a comunicação para modelos treinados acima de limiares de computação específicos. Mais importante, os fornecedores de IA de uso geral estão a ser cada vez mais empurrados para a mesma categoria de conformidade que as instituições financeiras: são infraestruturas e os fornecedores de infraestruturas têm de saber quem são os seus clientes.

A Anthropic não está à espera de um mandato explícito. Está a construir a postura de conformidade que espera precisar em 12 a 24 meses.

A Reação e Porque É Parcialmente Equivocada

A reação imediata online foi pouco amigável. Um comentário no Decrypt enquadrou-o como "mudou para o Claude por medo da vigilância. Agora ele quer o seu passaporte." A preocupação é legítima — um chat de IA é mais íntimo do que a maioria dos serviços de Internet e a ideia de ligar conversas a um documento de identificação oficial verificado é desconfortável.

Mas as objeções específicas merecem escrutínio.

  • "O meu documento de identificação vai para os dados de treino." Isto é explicitamente contradito pela política da Anthropic. Os documentos de identificação e as selfies permanecem com a Persona, não com a Anthropic, e são contratualmente excluídos do treino do modelo.
  • "A Anthropic vai guardar a minha biometria facial para sempre." A retenção da Persona é regida pelas instruções contratuais da Anthropic e pelas estruturas regulatórias sob as quais a Persona opera (SOC 2 Type II, ISO 27001 e RGPD).
  • "Por que preciso provar que sou humano para uma empresa de IA?" Porque a empresa de IA é legalmente responsável por impedir que o modelo seja usado para proliferação de armas, material de abuso sexual infantil, fluxos de trabalho de entidades sancionadas e roubo de propriedade intelectual industrial. Nenhum desses controlos funciona sem identificação.

A preocupação real, não abordada, é a extensão do âmbito. Hoje é "certos utilizadores, certas funcionalidades". Amanhã pode ser todos os utilizadores. A Anthropic não se comprometeu com um limite de âmbito e o artigo de ajuda é deliberadamente vago sobre os gatilhos. Esta é uma lacuna de transparência legítima e é onde a pressão da sociedade civil deve se concentrar.

O Que Isto Significa para Outros Laboratórios de Ponta

A Anthropic não está sozinha, mas foi a primeira a implementar o KYC para utilizadores finais. A OpenAI já exige verificação da organização para aceder a certos modelos e funcionalidades. A Google DeepMind apertou a verificação da API Gemini para níveis avançados. A licença Llama da Meta sempre excluiu certas entidades, embora a aplicação seja irregular.

A direção é uniforme. O acesso ao modelo de ponta está a tornar-se uma atividade regulamentada, com o mesmo ciclo de vida "conheça o seu cliente, monitore o seu cliente, reporte o seu cliente" com o qual bancos, corretores e bolsas de criptomoedas já vivem.

Espere o seguinte nos próximos 18 meses:

  1. Verificação de identidade universal para níveis de API pagos em todos os principais laboratórios de ponta
  2. Diligência devida aprimorada — origem dos fundos, uso pretendido, propriedade beneficiária — para clientes empresariais e em massa
  3. Rastreio de sanções e controlo de exportações integrados à criação de contas e monitorização contínua
  4. Relatórios de atividades suspeitas equivalentes — impressões digitais comportamentais e indicadores de destilação partilhados entre laboratórios, fornecedores de nuvem e governos
  5. Reverificação periódica nos limiares de renovação ou volume

Este é o conjunto de conformidade que os serviços financeiros construíram ao longo de quatro décadas, comprimido num lançamento de 18 meses.

O Que a Didit Pensa Sobre Isto

Na Didit, temos vindo a construir infraestruturas de verificação de identidade para este momento exato. Atendemos plataformas de IA, fintechs, bolsas de criptomoedas e cada vez mais — e o padrão é o mesmo em todas elas. Um produto atinge a escala, atrai abusos e, de repente, precisa de provar quem são os seus utilizadores sem destruir o fluxo de registo.

Algumas observações do outro lado da conversa sobre o KYC:

  • O atrito mata a conversão, mas o abuso não verificado mata o produto. A resposta certa é a verificação baseada no risco — não todos os utilizadores no registo, mas gatilhos direcionados, como desbloqueios de funcionalidades, limiares de volume ou sinais de anomalia. O lançamento atual da Anthropic parece exatamente assim.
  • Os dados de identidade são um passivo se os mantiver, um trunfo se fizer parceria. A Anthropic escolheu a Persona. Essa é a forma certa. A empresa de produto principal mantém-se fora do negócio da custódia biométrica.
  • O KYC é o limite, não o teto. A monitorização comportamental, a inteligência de dispositivos e a deteção de nível de rede fazem a maior parte do trabalho diário. A verificação de identidade dá-lhe algo a que ligar esses sinais.
  • A transparência é a vantagem competitiva. Os utilizadores aceitam a verificação se a razão for clara e o tratamento dos dados for especificado. O artigo de ajuda da Anthropic é razoável neste aspeto e ficará melhor sob pressão.

O Panorama Geral

O pedido do Claude pelo seu passaporte parece chocante porque estamos habituados à IA como uma ferramenta anónima e sem atrito. Essa era está a acabar. Os modelos de ponta são economicamente e estrategicamente valiosos o suficiente para que a camada de acesso ao redor deles se assemelhe a um produto financeiro regulamentado, em vez de um motor de pesquisa.

Pode argumentar se isto é bom ou não. O que não está em questão é que está a acontecer e a Anthropic acabou de dar o tiro de partida.

Se é um fundador a construir em APIs LLM, três conclusões práticas:

  1. Assuma que o acesso verificado se torna o padrão. Construa o seu produto com base na premissa de que os seus utilizadores precisarão de identidades verificadas a montante e a sua própria postura de KYC terá de corresponder.
  2. Escolha o seu fornecedor com atenção ao tratamento de dados. Se a sua camada de IA encaminhar a identidade para terceiros, esse terceiro fará agora parte da sua superfície regulamentar. Faça as perguntas difíceis.
  3. Construa com verificação baseada no risco. Não todos os utilizadores, não todas as sessões — mas atrito suficiente nos momentos certos para dissuadir o padrão de ataque de 24.000 contas que a Anthropic acaba de documentar.

A forma como o acesso à IA se parecerá em 2027 foi antecipada num artigo de suporte que ninguém leu. Preste atenção a esse.

---

A Didit fornece infraestruturas de verificação de identidade para plataformas de IA, fintechs, bolsas de criptomoedas e mercados. KYC principal a 0,30€ por verificação, sem mínimos, mais de 220 países suportados. Comece gratuitamente.

are you ready for free kyc.png

Infraestrutura para identidade e fraude.

Uma API para KYC, KYB, Monitorização de Transações e Rastreio de Carteiras. Integre em 5 minutos.

Começar grátisFale connosco
Peça a uma IA para resumir esta página
KYC da Anthropic para o Claude: Passaporte + Selfie Obrigatórios.