Проверка на самоличността | Вашето лице и вашите данни не са ваши – Anthropic (Claude), LinkedIn и новата икономика на биометричния контрол

Моля за лична карта! Как платформите с изкуствен интелект поемат пълен контрол над нашите дигитални идентичности

Тайната сила на данните: Как Anthropic, LinkedIn и OpenAI аутсорсват лицата ни на трети страни

Тези, които искат да използват съвременни системи с изкуствен интелект, вече не плащат само с абонаментни такси, а все по-често с най-чувствителните данни, които притежаваме: нашата биометрична идентичност. Последната мярка на Anthropic, компанията, стояща зад известния асистент с изкуствен интелект Клод, бележи повратна точка в дигиталната инфраструктура. За да използва определени функции, системата вече изисква официален документ за самоличност със снимка, съчетан със селфи на живо. Това, което се представя на външния свят като безобидна, необходима стъпка за хигиена на платформата и предотвратяване на злоупотреби, при по-внимателно разглеждане се оказва минно поле за поверителност на данните. Това е така, защото биометричните данни не попадат при самата Anthropic, а при Persona - американски доставчик на външни услуги, дълбоко вкоренен в инвеститорската мрежа на компанията за наблюдение Palantir на Питър Тийл, която също така се занимава с проверка за гиганти като LinkedIn и OpenAI. Следната статия хвърля светлина върху това рисковано преплитане на новата икономика на идентичността, обяснява неразрешимия конфликт между американския CLOUD Act и европейския GDPR и показва защо компаниите сега спешно трябва да преосмислят своята стратегия за изкуствен интелект, за да избегнат попадане в капан на екзистенциална отговорност и зависимост.

Свързано с това:

• Германските въоръжени сили се отказват от Palantir и проучват алтернативи: Almato (Щутгарт), Orcrist (Берлин) и Chapsvision (Париж)

Когато доверието се превръща в стока: Как платформите с изкуствен интелект поемат контрола над дигиталните идентичности

Anthropic, компанията, стояща зад асистента за изкуствен интелект Claude, въведе мярка в началото на април 2026 г., която предизвика значителен дебат в индустрията: задължително удостоверяване на самоличността за избрани потребители, използващи официален документ за самоличност със снимка и селфи на живо. Всеки, който желае да използва Claude в определени ситуации, трябва да премине през биометричен процес, провеждан от външен доставчик, базиран в САЩ. Това решение е технически тривиално, но политически и икономически има широкообхватно значение – и засяга въпроси, които се простират далеч отвъд хигиената на платформата. Anthropic не е сама в това: LinkedIn, Reddit, Discord и OpenAI използват една и съща инфраструктура, един и същ доставчик на услуги и една и съща инвеститорска мрежа. И в това се крие истинският проблем.

Оценка, пазарна мощ и отговорност на системно важната инфраструктура

За да се разберат последиците от това решение, е необходимо първо да се разгледа текущата пазарна позиция на Anthropic. През февруари 2026 г. компанията, основана през 2021 г. от бивши изследователи на OpenAI, приключи кръг на финансиране от серия G на стойност 30 милиарда долара, постигайки оценка след инвестиране от 380 милиарда долара – вторият по големина кръг на частно финансиране в историята на технологичната индустрия, надминат само от кръга от 40 милиарда долара на OpenAI. Годишните приходи възлизат на 14 милиарда долара, като приходите само от инструмента за разработчици Claude Code надхвърлят годишния темп от 2,5 милиарда долара през февруари 2026 г. Приблизително 80 процента от приходите идват от корпоративни клиенти.

Оценката предполага приходи от около 27 – високо, но не и изключително високо ниво в настоящата инвестиционна среда за изкуствен интелект. Amazon е най-големият единичен инвеститор с приблизително 8 милиарда долара, наред със сингапурския суверенен фонд GIC и Coatue Management като водещи инвеститори. Founders Fund, инвестиционното дружество на Питър Тийл, съвместно ръководеше рунда. Това означава, че Anthropic вече не е стартираща компания в традиционния смисъл, а системно важен доставчик на инфраструктура за хиляди компании по целия свят. Именно този статус прави решението относно проверката на самоличността толкова забележително: компания, която предоставя основна инфраструктура за корпоративен изкуствен интелект, делегира събирането на биометрични потребителски данни на външен доставчик от САЩ, без да изгражда собствена архитектура за защита на данните, съответстваща на европейското законодателство.

Персонажни идентичности: Тихият гръбнак на икономиката на дигиталната идентичност

Доставчикът на верификация, избран от Anthropic, е Persona Identities, стартираща компания от Сан Франциско, специализирана в решения за „Познай своя клиент“ (KYC) и верификация на самоличността. През април 2025 г. Persona приключи кръг на финансиране от Серия D на стойност 200 милиона долара, постигайки оценка от 2 милиарда долара. Кръгът беше ръководен съвместно от Founders Fund и Ribbit Capital, с участието на съществуващи инвеститори като BOND, Coatue, First Round Capital и Index Ventures. Само през 2024 г. компанията извърши над 300 милиона верификации на самоличността, като едновременно с това удвои приходите и клиентската си база. Сред клиентите ѝ са Reddit, LinkedIn, OpenAI, Discord, Roblox и много други големи платформи. По този начин Persona се превърна в де факто инфраструктура за идентичност за големи части от англоезичния интернет.

Това, което доминира в публичната дискусия обаче, е инвеститорският пейзаж. Founders Fund е инструментът на Петер Тийл, немско-американският предприемач и рисков капиталист, който е съосновател на PayPal през 1998 г., създава Palantir Technologies през 2003 г. и управлява Founders Fund от 2005 г. Тийл е председател на надзорния съвет на Palantir - позиция, която той заема непрекъснато от самото създаване на компанията. Според различни доклади Founders Fund държи приблизително 10 процента от Persona и е ръководил както кръговете на финансиране Series C, така и Series D. Особено поразително е, че според подробен анализ Persona изброява около 17 подизпълнители, включително AWS, Google, OpenAI, Stripe, Twilio - и потенциално самата Anthropic. LinkedIn, според собствените си твърдения, получава само малка част от тези данни: име, година на раждане, резултат от проверката и редактирана версия на идентификационния номер. Много по-изчерпателният набор от данни остава при Persona.

Архитектурата на взаимозависимостта: Повече от просто взаимоотношения с инвеститори

В този момент е необходимо по-нюансирано разграничение, такова, което често се пропуска в публичния дебат. Опростеното уравнение „Тийл инвестира в Persona, следователно Palantir има достъп до данните на Persona“ е неточно. Питър Тийл не е основател, изпълнителен директор или лице, вземащо оперативни решения в Persona. Founders Fund притежава миноритарен дял и няма доказан оперативен контрол върху политиките за данни на Persona.

Това, което дава основателна причина за безпокойство обаче, е структурното ниво: Founders Fund, като основен инвеститор, ръководи най-значимите кръгове на финансиране и по този начин притежава така наречените информационни права – договорен достъп до ключови бизнес фигури, развитие на клиентите и стратегическо ръководство. Тийл едновременно с това е председател на Palantir, чийто цялостен бизнес модел е изграден върху обединяването на хетерогенни набори от данни в съгласувани профили за идентичност и поведение. Изследователи по сигурността, анализиращи системите на Persona в хода на публични дебати, откриха близо 2500 публично достъпни front-end файла на оторизиран от правителството на САЩ сървър – файлове, които разкриват 269 различни проверки за верификация на потребител, включително разпознаване на лица спрямо списъци с издирвани лица и проверки спрямо списъци с политически видни лица. В този смисъл бизнес моделите на Palantir и Persona са архитектурно допълващи се: Persona произвежда проверени биометрични идентификационни котви, докато Palantir създава инфраструктурата за обединяване и анализ на данни. Не е документиран трансфер на данни между двете компании. Но структурата на управление създава информационна близост, която не може да бъде игнорирана при обработката на биометрични данни от милиони потребители.

Реалността на Палантир: От партньор в разузнаването до инфраструктура на германската полиция

За да завършим контекста, е важно да разгледаме действителните операции на Palantir. Компанията е основана през 2003 г., предимно с начално финансиране от звеното за рисков капитал на ЦРУ, In-Q-Tel. Оригиналният ѝ основен продукт, платформата Gotham, се използва за анализ и обединяване на хетерогенни набори от данни за правоприлагащите и разузнавателните агенции. Службата за имиграция и митнически контрол на САЩ (ICE) използва Palantir повече от десетилетие за своята система за управление на разследващи случаи (ICM).

През април 2025 г. Palantir получи договор на стойност приблизително 30 милиона долара от ICE за разработване на операционната система за жизнения цикъл на имиграцията (ImmigrationOS) – система, фокусирана върху депортирането, която генерира алгоритмични оценки за доверие за решения за депортиране и обобщава данни от различни източници. Последващ договор на стойност приблизително 30 милиона долара за поддръжка на системата беше възложен през октомври 2025 г. Само от встъпването в длъжност на Тръмп в началото на 2025 г. Palantir е получила милиарди долари във федерални договори.

Европейското внедряване вече е в напреднал етап: софтуерът Palantir се използва от баварската полиция под името VeRA, от полицията на Хесен под името HessenData и от полицията на Северен Рейн-Вестфалия. Експертите по защита на данните описват съществуващото рамково споразумение, което позволява на всички федерални провинции да използват системата без нова тръжна процедура, като „нарушение на сигурността“ със структурна зависимост. Това повдига фундаментален правен въпрос: Като американска компания, Palantir е обвързана от Закона за облачните технологии на САЩ (US CLOUD Act), който задължава американските компании да предоставят на правителството на САЩ достъп до данни, независимо от местоположението на сървъра – конфликт, който не може да бъде структурно разрешен чрез договорни клаузи.

Случаят с Discord: Предупредителен знак, който Anthropic умишлено игнорира

Структурните рискове, свързани с Persona, вече бяха публично обсъждани преди решението на Anthropic. Discord използваше Persona за проверка на самоличността и възрастта и веднага се сблъска с масова негативна реакция от страна на потребителите. Критиките произтичаха от комбинацията от връзката с Thiel и липсата на прозрачност по отношение на обработката на данни. Едновременно с това стана ясно, че друг доставчик на услуги за проверка на възрастта, който Discord използваше за някои от своите потребители, е компрометирал приблизително 70 000 официални документа за самоличност – инцидент, който внезапно подчерта присъщите рискове от възлагането на биометрична проверка на самоличността на външни доставчици.

Изследователи по сигурността, анализиращи системите на Persona по време на този дебат, откриха гореспоменатите публично достъпни frontend файлове на оторизирана от FedRAMP правителствена крайна точка - сървър, обозначен с кодови имена на активни разузнавателни програми. Главният изпълнителен директор на Persona, Рик Сонг, описа разкритите файлове като публично достъпен код без последици за сигурността. Discord прекрати партньорството си с Persona веднага след дебата и премина към други доставчици. Фактът, че Anthropic въпреки това избра същия доставчик на услуги само седмици след този широко разпространен инцидент, е умишлено стратегическо решение - и трябва да се анализира като такова. Това предполага, че за Anthropic съображенията за съответствие и възможността за бързо внедряване са имали предимство пред рисковете за репутацията и поверителността на данните.

Какво обещава Anthropic – и какви остават пропуски

Официалната комуникация на Anthropic относно проверката на самоличността е забележително защитна. Компанията подчертава, че данните за самоличност не се използват за обучение на модели, че се събира само минимално необходимата информация за проверка и че всяко споделяне с трети страни се осъществява изключително с Persona и се основава на законови изисквания. Anthropic се описва като „Администратор на данни“, определящ правилата за продължителността и целта на използване, докато Persona действа като обработващ данни. Проверката може да бъде задействана не само от целенасочен достъп до специфични функции, но и от „рутинни проверки за целостта“ – което означава, че въздействието е независимо от ситуацията.

Anthropic изрично не посочва периода на съхранение – колко дълго копията на личните документи и селфитата действително се съхраняват – в своите публични комуникации. Това е значителна информационна празнина, тъй като биометричните данни се считат за данни от специална категория съгласно законодателството на ЕС, както е определено в член 9 от GDPR, и са предмет на засилени задължения за защита на данните. Няма център за данни в ЕС, няма гарантирано съхранение на данни в рамките на ЕС, а единственото правно основание за прехвърляне на данни към САЩ са Стандартните договорни клаузи (SCCs). Това, което Persona всъщност събира от потребителите, далеч надхвърля простото сравнение: в допълнение към името, паспортната снимка, геометрията на лицето и данните от NFC чипа от паспорта се събират и IP адрес, тип устройство, данни за местоположение и поведенчески данни – включително колко дълго потребителят се колебае или дали копира информация.

Нашият опит в областта на развитието на бизнеса, продажбите и маркетинга в ЕС и Германия - Изображение: Xpert.Digital

Фокусни области в индустрията: B2B, дигитализация (от AI до XR), машиностроене, логистика, възобновяеми енергийни източници и промишленост

Повече информация тук:

• Експертен бизнес център

Тематичен център, предлагащ анализи и експертиза:

• Платформа за знания, обхващаща глобалните и регионалните икономики, иновациите и специфичните за индустрията тенденции
• Колекция от анализи, прозрения и обща информация от ключовите ни области на фокус
• Място за експертиза и информация за актуалните развития в бизнеса и технологиите
• Център за компании, търсещи информация за пазари, дигитализация и иновации в индустрията

Законът CLOUD срещу GDPR: Неразрешимият правен конфликт

Действителната ефективност на стандартните договорни клаузи е значително ограничена след решението по делото Schrems II на Европейския съд през юли 2020 г. Въпреки че Рамката за поверителност на данните между ЕС и САЩ предоставя допълнително правно основание от юли 2023 г., тази рамка е предмет и на факта, че американските компании са обект на Закона за националната сигурност и раздел 702 от FISA – т.е. на държавно наблюдение, което коренно противоречи на защитата на основните права в Европа.

Основният проблем тук е пряк конфликт на закони: Член 48 от GDPR е недвусмислен – решенията на чуждестранни органи, изискващи от администратор на лични данни да прехвърли лични данни, се признават само ако се основават на международно споразумение. Законът CLOUD не се основава на такова споразумение – той умишлено ги заобикаля. На практика това означава, че доставчик на облачни услуги от САЩ, който спазва разпореждане на Закона CLOUD и прехвърля данни на европейски клиенти на американските органи, нарушава GDPR. Ако не спазва, той нарушава законодателството на САЩ. Този конфликт е структурен и не може да бъде разрешен чрез договорни клаузи или стандартни договорни клаузи. В този контекст стандартните договорни клаузи не гарантират защита, а по-скоро служат като правен параван.

Свързано с това:

• Защита от Закона CLOUD – Отдалечаване от американските облаци: Airbus планира да се оттегли и спира достъпа до чувствителни данни

Подценен риск от отговорност за компаниите на работното място

За компаниите, използващи Claude в бизнес контекст, възниква незабавен въпрос. GDPR задължава администраторите на данни да демонстрират изрично правно основание за всеки случай на обработка на данни. Биометричните данни попадат в специалните категории данни съгласно член 9 от GDPR, чието обработване по принцип е забранено, освен ако не се прилага едно от тясно дефинираните изключения. Освен това, системите с изкуствен интелект, които обработват биометрични данни, задействат задължението за провеждане на оценка на въздействието върху защитата на данните (DPIA) съгласно член 35 от GDPR – задължение, което според черния списък на Германската конференция за защита на данните се прилага изрично за използването на изкуствен интелект за обработка на лични данни.

Законът на ЕС за изкуствения интелект значително затяга тази правна рамка от август 2026 г. Биометричната дистанционна идентификация в реално време в обществени пространства е забранена от февруари 2025 г. Системите за проверка на самоличността, базирани на изкуствен интелект, доколкото се използват за чувствителни решения, могат да бъдат класифицирани като високорискови системи с изкуствен интелект и след това подлежат на строги изисквания за сертифициране, задължения за прозрачност и задължения за човешки надзор. Нарушенията могат да бъдат наказвани с глоби до 35 милиона евро или 7 процента от годишния глобален оборот – по-висок максимум, отколкото съгласно GDPR. В САЩ правната ситуация е рискована и от бизнес гледна точка: Законът за поверителност на биометричната информация на Илинойс (BIPA) предоставя правото на съдебен иск дори без доказателство за действителни щети и предвижда обезщетение от 1000 долара за небрежно нарушение и 5000 долара за умишлено нарушение – потенциално екзистенциална отговорност за компании, които използват Claude в ежедневната си дейност.

Контрол на платформата чрез идентификация: Предприемаческата логика зад него

Решението на Anthropic не може да се оценява единствено от гледна точка на поверителността на данните – то следва разумна бизнес логика. Платформите с изкуствен интелект по целия свят са изправени пред нарастващ регулаторен натиск за предотвратяване на злоупотреби. Нарастващото използване на езикови модели за генериране на фишинг материали, дезинформация и неконсенсусни синтетични материали принуждава доставчиците да прилагат контрамерки, които надхвърлят обикновената сигурност на модела.

Проверката на самоличността е очевиден механизъм за сегментиране на потребителите в този контекст: проверените потребители получават достъп до по-мощни функции; непроверените потребители се поддържат на регулирана базова версия. Това съответства на установения freemium модел, но е свързано с биометрични данни. За компания с оценка от 380 милиарда долара и над 80 процента корпоративни клиенти, възможността за внедряване на подробен контрол върху потребителите е значително стратегическо предимство. Освен това, Anthropic се позиционира като компания, фокусирана върху сигурността – изрично се диференцирайки от OpenAI. Проверката на самоличността играе роля в този наратив: тя може да бъде комуникирана като приемане на отговорност за потенциални рискове за сигурността, въпреки че едновременно с това създава нови рискове за поверителността на данните. Това е класически пример за това как реториката за сигурност се използва за легитимиране на мерки, които са проблематични от гледна точка на поверителността на данните.

Обвързаност с доставчик: Подценяваната стратегическа заплаха за компаниите

Отвъд специфичния аспект на поверителността на данните, случаят с Anthropic Persona илюстрира по-фундаментален проблем, който често се подценява в корпоративното управление: зависимостта от специфична платформа за изкуствен интелект и нейните екосистемни партньори. Компаниите, които са изградили своята инфраструктура за изкуствен интелект изцяло върху Claude, са изправени пред ситуация, известна в литературата като „обвързване с доставчик“. Тази зависимост произтича не предимно от договорни клаузи, а от техническа интеграция: специализирани API, собствени архитектури на подкани, специфични за модела фина настройка и вградени вътрешни работни процеси правят смяната на платформи скъпа и отнемаща време.

Стратегическата заплаха се проявява именно когато доставчикът въвежда едностранни промени – било то ново изискване за достъп, като например биометрична проверка, увеличение на цената, преразгледана политика за ползване или геополитически мотивирано оттегляне от пазара. За компаниите, които са изградили основните си процеси върху един-единствен доставчик на ИИ, подобни промени вече не са опция за договаряне, а оперативен риск. Липсата на стратегия за излизане е признат сериозен недостатък в управлението на ИТ; в областта на ИИ това е още по-критично поради сложността на зависимостите. Отделно, Службата за отчетност на правителството на САЩ вече посочи пропуски в защитата на данните във федералното управление на ИИ и класифицира концентрацията на чувствителни данни за самоличност при доставчици на трети страни като системен риск.

Независимостта на модела като архитектурен принцип на дигиталната устойчивост

Концептуално правилният отговор на описаната тук рискова ситуация е независима от модела архитектура на изкуствения интелект (ИИ). Този принцип е установен в облачната инфраструктура от години: Многооблачни стратегии, които разпределят натоварванията между множество доставчици, минимизират зависимостите и позволяват бързо превключване в случай на прекъсване. Същият принцип важи и за LLM архитектурите. Независимата от модела ИИ инфраструктура технически изисква оркестрационният слой – т.е. агентните системи, работните процеси и интеграциите – да бъде абстрахиран от съответната имплементация на модела. Стандартизираните API създават първоначална преносимост; истинската независимост на модела в дългосрочен план обаче изисква последователно разработване на специален слой за абстракция: ИИ шлюзова архитектура, която третира моделите като взаимозаменяеми модули.

Моделите с отворен код играят все по-важна роля в тази стратегия. Llama 4 и Mistral Large почти са достигнали нивото на производителност на търговските гранични модели в много случаи на употреба. Компаниите, които инвестират днес във възможността за работа с локални или облачни модели, изграждат стратегическа устойчивост, което означава, че следващото едностранно решение за платформа от доставчик вече няма да е необходимо да се оценява от нулата.

Съответствие с GDPR: Какво трябва да направят компаниите сега

Препоръчителният начин на действие за компаниите, използващи Claude, е ясно структуриран. Първо, трябва да се определи дали техните собствени служители или системи са или биха могли да бъдат засегнати от изискването за проверка на самоличността. Тъй като Anthropic може да задейства и проверка като част от рутинни проверки за почтеност, не може да се изключи въздействие, независимо от конкретната ситуация.

Впоследствие трябва да бъдат изпълнени задълженията за защита на данните: Всеки, който използва Claude като обработващ лични данни по смисъла на GDPR, трябва да гарантира, че съществува валидно споразумение за обработка на данни с Anthropic. За прехвърлянето на данни към Persona като подизпълнител трябва да има оценки на въздействието върху прехвърлянето на данни (TIAs). Оценките на въздействието върху защитата на данните трябва да бъдат актуализирани, тъй като биометричните данни изискват изрично съгласие или друго тясно дефинирано правно основание съгласно член 9 от GDPR. Включването на длъжностното лице по защита на данните на компанията не е незадължителна предпазна мярка, а правно задължение. На европейските компании се препоръчва също да проверят дали управляваните от клиента ключове за криптиране са технически осъществими – защото само този подход ефективно предотвратява достъпа на властите в САЩ до съдържанието на данните чрез Закона CLOUD.

По-голямата картина: Кой контролира инфраструктурата на утрешния ден

Случаят с Anthropic Persona е повече от въпрос на поверителност – това е поучителен разказ за концентрацията на власт в дигиталната инфраструктура на 21-ви век. Няколко тясно свързани компании все повече контролират инфраструктурата за идентичност в интернет: Persona извършва 300 милиона проверки годишно, а Reddit, LinkedIn, OpenAI и сега Claude използват една и съща система. Инвеститорите в тези компании – Founders Fund, Coatue, Index Ventures – имат дялове едновременно в много от тези платформи.

Не е конспиративно мислене, а структурен анализ, да се запитаме: Кой има интерес да може да свързва проверени биометрични данни за самоличност с поведенчески данни от милиони потребителски взаимодействия? И кой би имал технологичния капацитет и институционалния интерес да обедини тези точки от данни? Основната компетентност на Palantir е именно това сливане на данни – а неговият председател-основател е най-значимият инвеститор във водещия доставчик на услуги за проверка на самоличността в интернет. Европейският отговор на тази концентрация на власт вече е залегнал в Закона на ЕС за изкуствения интелект и GDPR, но на практика той често е недофинансиран и не се прилага достатъчно добре. Европейските надзорни органи имат възможността и задължението да подложат системата за проверка на самоличността на Anthropic на задълбочена проверка – тази проверка отдавна е насрочена.

Технологичната промяна изисква институционален баланс

Мярката за проверка на самоличността на Anthropic сама по себе си не е скандална. Други големи платформи прилагат подобни процедури и целта за предотвратяване на злоупотреби е легитимна. Липсва обаче пропорционалност: процедура, която оставя възможно най-малък отпечатък върху данните, обработва се в рамките на правната рамка на ЕС и предоставя прозрачна информация за продължителността, местоположението и целта на обработката. Собствената комуникация на Anthropic относно периода на съхранение остава умишлено неясна – констатация, която е неприемлива за биометрични данни, принадлежащи към специална категория съгласно GDPR.

Истинското послание на този епизод е структурно: В свят, където асистентите с изкуствен интелект са се превърнали в инфраструктура на милиони работни процеси, решенията на техните оператори вече не са вътрешен въпрос на компанията. Те са инфраструктурни решения с обществени последици – и трябва да бъдат прозрачни и регулирани съответно. Компаниите, които разчитат на Клод, не трябва да чакат следващата едностранна стъпка, за да започнат да търсят алтернативи. Устойчивостта започва с независимостта на модела – и независимостта на модела започва днес.