Colectorul secret de date: Cine se află de fapt în spatele verificărilor LinkedIn, OpenAI și altele

O scurgere de cod sursă dezvăluie: Ce se întâmplă de fapt cu datele tale de identificare pe Reddit, Roblox și LinkedIn

Oricine navighează pe internet astăzi trebuie din ce în ce mai mult să își dovedească identitatea. Fie că este vorba de râvnitul „marcaj de verificare” de pe LinkedIn, de accesul la puternicele modele de inteligență artificială ale OpenAI, de verificarea vârstei pe Reddit sau de conversațiile pe Roblox – folosirea pașaportului și realizarea obligatoriului selfie video devin noua normalitate. Însă, în timp ce utilizatorii cred că își încredințează datele biometrice sensibile direct platformelor respective, o putere invizibilă operează în fundal: startup-ul american „Persona”. Cu peste 300 de milioane de identități verificate, compania, susținută de investitori influenți, a devenit infrastructura secretă a vieții digitale. Însă sistemul aparent convenabil are un defect major: o scurgere de cod sursă sensibil, perioade de păstrare a datelor discutabile și legături strânse cu autoritățile americane ridică serioase preocupări legate de confidențialitatea datelor. Ce se întâmplă cu adevărat cu fețele și ID-urile noastre? Și de ce a fost Discord singura platformă majoră care a închis platforma după protestele masive ale utilizatorilor? O investigație asupra structurilor ascunse ale serverelor unui gigant al datelor.

Coloana vertebrală invizibilă a internetului: Cum folosesc LinkedIn, Reddit, OpenAI, Roblox și alte platforme personajele - și ce înseamnă asta pentru datele tale

O companie, 148.000 de clienți, 300 de milioane de înregistrări de date — și aproape nimeni nu știe despre asta

Când un utilizator LinkedIn își verifică profilul, crede că vorbește cu LinkedIn. Când un utilizator Reddit își confirmă vârsta, are încredere în Reddit. Când un jucător Roblox își ridică fața spre cameră, o face crezând că Roblox este persoana cu care interacționează. În realitate, este vorba de aceeași companie în toate aceste cazuri: Persona Identities, Inc., un startup cu sediul în San Francisco, fondat în 2018, care a devenit infrastructura de identitate de facto pentru mari părți ale internetului. Până în 2024, Persona finalizase peste 300 de milioane de verificări ale identității, dublându-și atât veniturile, cât și baza de clienți. Platformele care utilizează serviciile Persona se citesc ca o secțiune transversală a vieții digitale moderne - și totuși, numele Persona rămâne complet necunoscut majorității utilizatorilor.

Nu este o coincidență. Modelul de afaceri al Persona se bazează în mod deliberat pe invizibilitate: în timp ce platformele cultivă relațiile cu utilizatorii și construiesc încredere, Persona se ocupă de verificarea propriu-zisă în fundal. Cu o evaluare de 2 miliarde de dolari după runda de finanțare Seria D din aprilie 2025 și investitori precum Founders Fund, Ribbit Capital și Index Ventures, compania se numără printre cele mai importante companii private de tehnologie a identității din întreaga lume. Ceea ce utilizatorilor le pare un proces de verificare convenabil este, în realitate, o infrastructură concentrată de colectare a datelor care depășește cu mult ceea ce ar fi necesar pentru o simplă verificare a identității.

Legat de asta:

• Verificarea identității | Fața și datele tale nu îți aparțin – Anthropic (Claude), LinkedIn și noua economie a controlului biometric

LinkedIn: 100 de milioane de profiluri verificate — și ce se ascunde în spatele lor

LinkedIn a fost una dintre primele platforme majore care a introdus Persona ca partener de verificare. În decembrie 2025, platforma a depășit 100 de milioane de profiluri verificate la nivel mondial - o piatră de hotar care demonstrează cât de profund este deja înrădăcinată Persona în infrastructura de identitate a webului profesional. LinkedIn face promisiuni clare: membrii verificați primesc, în medie, cu 60% mai multe vizualizări ale profilului și cu 50% mai multă implicare. Paginile verificate ale companiilor raportează de 10,9 ori mai multe vizualizări și de 7,7 ori mai mulți urmăritori. Acestea sunt stimulente puternice - și funcționează.

Procesul de verificare propriu-zis are loc prin intermediul aplicației LinkedIn. Utilizatorilor li se solicită să își conecteze dispozitivul la un pașaport compatibil NFC, să scaneze cipul și apoi să își facă un selfie live. Ceea ce primește LinkedIn este limitat: numele așa cum apare în pașaport, tipul pașaportului, țara emitentă, un identificator hash și confirmarea faptului că verificarea a fost reușită. Cu toate acestea, ceea ce colectează și procesează Persona dincolo de acest proces este considerabil mai extins - și este abordat doar în documentația proprie a LinkedIn, cu o scurtă referire la politica de confidențialitate proprie a Persona. Subcontractanții autorizați pentru verificarea LinkedIn prin intermediul Persona includ AWS, Confluent, DBT, Elasticsearch, Google Cloud Platform, MongoDB, Sigma Computing și Snowflake. Stocarea datelor pe servere europene cu conformitate legală garantată a UE nu este asigurată.

Problema ștergerii datelor este deosebit de remarcabilă. Persona confirmă în documentația sa LinkedIn că datele sunt șterse după verificare - dar nu specifică un interval de timp concret. În contextul altor parteneriate, de exemplu cu Discord, a fost recunoscută o perioadă de stocare de până la șapte zile, ceea ce a contrazis public declarațiile platformei. Iar codul sursă scurs al infrastructurii guvernamentale a Persona dezvăluie că listele faciale biometrice pot fi stocate până la trei ani - mai precis, 1.095 de zile. Ceea ce se aplică clienților comerciali și ce se aplică clienților guvernamentali este menținut în mod deliberat vag în comunicările publice ale Persona.

Reddit: Verificarea vârstei ca punct de intrare în controlul biometric

Reddit a introdus Persona ca parte a implementării Legii privind siguranța online (OSA) din Regatul Unit, care a impus verificarea vârstei pentru platformele online. Piața din Regatul Unit a servit drept caz de testare: utilizatorii care încercau să acceseze conținut restricționat în funcție de vârstă erau redirecționați către Persona pentru verificarea vârstei. Pe pagina de Întrebări frecvente dedicată Reddit, Persona explică faptul că acționează ca un procesator de date conform instrucțiunilor Reddit, colectează doar data nașterii și datele de imagine și șterge toate celelalte informații în termen de trei zile. Acest lucru pare inițial rezonabil.

Situația este, de fapt, mai complexă. Utilizatorii Reddit care și-au verificat identitățile raportează un proces care depășește cu mult simpla estimare a vârstei: au fost colectate scanări cu cipuri NFC ale pașapoartelor, selfie-uri live și date biometrice comportamentale detaliate - inclusiv viteza de tastare, ezitarea și dacă informațiile sunt copiate. Activiștii pentru confidențialitate au descoperit că codul sursă Persona identificat de Celeste rula pe un server guvernamental autorizat de FedRAMP și includea verificări pe listele de supraveghere FinCEN, listele persoanelor expuse politic (PEP) și listele de sancțiuni globale. Toate acestea se desfășoară în paralel cu procesele de verificare comercială pentru Reddit, LinkedIn și alte platforme - pe aceeași infrastructură subiacentă. În urma protestelor semnificative ale utilizatorilor din Marea Britanie, Reddit a suspendat temporar verificarea forțată a Persona pentru utilizatorii noi, deși utilizatorii deja verificați au rămas în sistem.

OpenAI: Cea mai veche și mai opacă conexiune

Relația dintre OpenAI și Persona este deosebit de revelatoare - și, cronologic, cea mai veche dintre toate parteneriatele majore ale platformelor. Cercetătorii în domeniul securității au descoperit, prin intermediul jurnalelor de transparență a certificatelor, că un sistem dedicat de liste de supraveghere sub domeniul openai-watchlistdb.withpersona.com era activ din noiembrie 2023 - cu aproximativ 18 luni înainte ca OpenAI să anunțe public o cerință de verificare a identității pentru a accesa GPT-5 în vara anului 2025. OpenAI adăugase discret o propoziție la politica sa de confidențialitate în noiembrie 2024, referindu-se la verificarea identității și a vârstei de către furnizori terți - fără a menționa explicit Persona.

În septembrie 2024, Persona a publicat o pagină în care explica faptul că OpenAI folosește Persona pentru a verifica lunar milioane de utilizatori, peste 99% dintre utilizatori fiind verificați automat în fundal în câteva secunde. Aceasta înseamnă că nu doar utilizatorii care sunt supuși activ verificării sunt afectați - verificarea antecedentelor este continuă. Pentru a accesa API-ul OpenAI și modele precum GPT-5, dezvoltatorii trebuie să își introducă actul de identitate și să facă trei selfie-uri din unghiuri diferite - stânga, dreapta și față - pentru a crea un profil facial tridimensional. Forrester Research a evaluat această decizie ca un răspuns la presiunea de reglementare, riscurile geopolitice ale utilizării greșite a modelelor și necesitatea de a distinge între clienții corporativi legitimi și actorii sponsorizați de stat. Consecința: oricine dorește să utilizeze cele mai avansate instrumente de inteligență artificială trebuie să își încredințeze fața unei infrastructuri de verificare din SUA.

Roblox: 151 de milioane de utilizatori zilnic — și o scanare facială obligatorie

Roblox este, în ceea ce privește numărul de utilizatori, cel mai remarcabil client Persona. În ianuarie 2026, Roblox a introdus verificarea obligatorie a vârstei pentru toți utilizatorii care doresc să utilizeze funcția de chat a platformei. Cu 151 de milioane de utilizatori activi zilnic, acesta reprezintă un proces biometric impus la o scară fără precedent - mai ales că o parte semnificativă a bazei de utilizatori este formată din copii și adolescenți. Mecanismul este simplu: oricine dorește să discute trebuie fie să înregistreze un selfie video, pe care Persona îl analizează algoritmic pentru a-i estima vârsta, fie să prezinte un act de identitate oficial.

Roblox și Persona subliniază faptul că datele și imaginile biometrice sunt șterse imediat după estimarea vârstei. Cu toate acestea, nu există verificări independente ale acestei afirmații. Adevărata problemă se află în altă parte: tehnologia de estimare a vârstei oferită de Persona nu este, din punct de vedere tehnic, o verificare a vârstei - estimează vârsta pe baza trăsăturilor faciale fără a o verifica cu un document. Aceasta înseamnă că utilizatorii Roblox sunt supuși unei scanări biometrice care nu oferă nici acuratețea unei verificări reale a identității, nici securitatea verificării bazate pe documente. În același timp, datele biometrice sunt transferate către o infrastructură din SUA - ceea ce ridică preocupări semnificative legate de GDPR pentru utilizatorii din UE, în special pentru minori. Datele biometrice ale minorilor sunt supuse unor cerințe deosebit de stricte în temeiul articolului 9, coroborat cu articolul 8 din GDPR, lucru pe care Roblox nu l-a demonstrat public în implementarea sa actuală.

Domenii de interes industrial: B2B, digitalizare (de la IA la XR), inginerie mecanică, logistică, energii regenerabile și industrie

Mai multe informații aici:

• Centru de afaceri de experți

Un centru tematic care oferă perspective și expertiză:

• Platformă de cunoștințe care acoperă economiile globale și regionale, inovația și tendințele specifice industriei
• O colecție de analize, perspective și informații generale din principalele noastre domenii de interes
• Un loc pentru expertiză și informații despre evoluțiile actuale din afaceri și tehnologie
• Un hub pentru companiile care caută informații despre piețe, digitalizare și inovații industriale

Discord: Cea mai publică retragere și ce dezvăluie ea

Discord este singura companie importantă care a încheiat public parteneriatul cu Persona, oferind o explicație explicită - un moment rar de transparență în acest sector. În ianuarie 2026, Discord a lansat Persona în Regatul Unit pentru verificarea vârstei, ca parte a unui program pilot nedivulgat. Când parteneriatul a devenit public, a stârnit o reacție negativă masivă din partea utilizatorilor. CTO-ul Discord, Stanislav Vishnevskiy, a recunoscut că firma a eșuat în comunicare. Adevărata escaladare a venit atunci când cercetătorii în domeniul securității nu numai că au descoperit legătura cu Fondul Fondatorilor al lui Peter Thiel, dar au găsit și o pagină de asistență arhivată care menționa că Persona păstrează datele timp de șapte zile - contrazicând direct declarațiile anterioare ale companiei despre ștergerea aproape instantanee.

Ulterior, Discord a formulat un set nou și clar de cerințe pentru toți viitorii parteneri de verificare: Datele biometrice trebuie procesate în întregime pe dispozitivul utilizatorului și nu trebuie să părăsească dispozitivul. Persona nu a îndeplinit în mod explicit acest standard - și, prin urmare, a fost exclusă din contract. Această cerință este revoluționară atât din punct de vedere tehnic, cât și din punct de vedere al protecției datelor: definește procesarea pe dispozitiv ca fiind standardul minim pentru verificarea biometrică a vârstei. Faptul că niciunul dintre ceilalți clienți majori ai Persona nu a solicitat public acest standard demonstrează cât de departe este încă industria de această normă. Pe lângă dificultăți, Discord se confrunta și cu o încălcare separată a securității datelor, concomitent cu cazul Persona: la un alt furnizor de verificare a vârstei, documentele oficiale de identitate a aproximativ 70.000 de utilizatori au fost compromise - o situație care a ilustrat în mod viu riscul structural al externalizării verificărilor biometrice către furnizori terți.

VRChat: Verificarea identității în realitatea virtuală

VRChat, platforma de realitate virtuală socială cu o bază internațională dedicată de utilizatori, a implementat și Persona ca partener pentru verificarea vârstei. Din cauza cerințelor de reglementare tot mai mari pentru platformele online - în special în Regatul Unit și UE - VRChat a fost obligată să implementeze un sistem de verificare a vârstei. Sistemul ales: Persona. Reacția comunității a fost aprigă. Forumurile utilizatorilor au fost inundate de analize detaliate ale infrastructurii Persona, referințe la conexiunea cu Thiel Founders Fund și un apel colectiv de reconsiderare a implementării.

VRChat subliniază în comunicările sale oficiale că nu primește imagini ale documentelor de identitate sau scanări faciale - doar o valoare hash care confirmă verificarea. De asemenea, Persona susține că nu primește nicio informație despre identitatea utilizatorului în cadrul VRChat. Acest lucru se aliniază cu arhitectura proprie de protecție a datelor a Persona, dar din perspectiva confidențialității datelor, este doar o soluție parțială: Persona însăși deține toate datele biometrice brute, indiferent de ceea ce este partajat cu platforma. Utilizatorii europeni ai comunității VRChat subliniază pe bună dreptate că tehnologia eID - care permite verificarea vârstei fără a transmite date biometrice - există ca o alternativă sigură, dar nu este susținută în mod explicit de Persona. Din perspectiva protecției datelor la nivel european, această respingere este dificil de justificat.

Upwork: Când verificarea identității devine o cerință profesională

La Upwork, cea mai mare platformă de freelanceri din lume, verificarea identității are un impact economic deosebit de direct. Freelancerii sunt obligați să își verifice identitatea - fie proactiv prin plata a 35 de Connects (moneda internă a platformei), fie prin forțare atunci când solicită împrumuturi, locuri de muncă specifice SUA sau după suspendarea contului. Cei care nu finalizează verificarea în termen de șapte zile riscă suspendarea contului.

Acest lucru este remarcabil din mai multe puncte de vedere. În primul rând, Upwork leagă direct verificarea biometrică de participarea economică: oricine dorește să lucreze și să fie plătit trebuie să fie verificat - iar acest lucru se face prin intermediul unei infrastructuri americane terțe. Pentru freelancerii din UE, aceasta înseamnă transferul datelor lor biometrice către un sistem juridic american, pentru care nu există o alternativă realistă. În al doilea rând, Upwork permite reverificări de rutină: utilizatorii raportează că li se cere să își verifice identitatea de mai multe ori, chiar și atunci când nu există un motiv aparent. În al treilea rând, propria comunicare a Upwork cu privire la domeniul de aplicare al prelucrării datelor este vagă: platforma descrie verificarea ca o verificare a identității fără a specifica fluxurile exacte de date către Persona sau politicile sale de stocare a datelor.

Infrastructura guvernamentală ascunsă: Ce dezvăluie scurgerea de informații despre codul sursă

Aspectul cu adevărat tulburător al infrastructurii Persona nu este ceea ce compania comunică public, ci mai degrabă ceea ce a dezvăluit o eroare aleatorie de configurare. În februarie 2026, cercetătorii în domeniul securității au descoperit că 53 de megaocteți de cod sursă de pe platforma guvernamentală a Persona erau accesibili publicului, fără niciun atac sau acces neautorizat. Sistemul de compilare Vite lăsase hărțile codului sursă disponibile publicului - o eroare de design care a expus întreaga arhitectură internă.

Ceea ce au descoperit cercetătorii a depășit așteptările: 2.456 de fișiere sursă care documentează 269 de verificări diferite. Platforma, care rulează pe infrastructura guvernamentală autorizată de FedRAMP sub numele ONYX, conține module complete pentru trimiterea directă a Rapoartelor de Activitate Suspectă (SAR) către FinCEN, rețeaua de investigații financiare a Departamentului Trezoreriei SUA, și omologul său canadian, FINTRAC. Aceasta dispune de baze de date biometrice faciale care sunt comparate cu liste de supraveghere, module de recunoaștere facială PEP (Persoane Expuse Politic) și 13 tipuri diferite de liste de urmărire, inclusiv fețe, amprente de browser și geolocații. Codul arată explicit că listele biometrice ale fețelor pot fi stocate până la 1.095 de zile - adică trei ani. Simultan, un nou subdomeniu numit onyx.withpersona-gov.com apare în jurnalele de transparență a certificatelor, care este legat temporal de instrumentul Fivecast ONYX - un instrument de supraveghere bazat pe inteligență artificială pe care ICE l-a comandat pentru 4,2 milioane de dolari și care generează evaluări de risc ale rețelelor sociale și ale dark web-ului. Nu a fost demonstrat în mod concludent dacă această coincidență a numelui este o coincidență sau o conexiune structurală. Ceea ce este dovedit, însă, este că infrastructura guvernamentală a Persona funcționează pe aceeași bază tehnică ca și infrastructura comercială care alimentează LinkedIn, Reddit și OpenAI.

Rolul dublu al FedRAMP și Persona

Un aspect care primește puțină atenție în discuțiile publice este certificarea FedRAMP a Persona. FedRAMP - Programul Federal de Management al Riscului și Autorizării - este sistemul american de certificare a securității serviciilor cloud pentru agențiile federale. În octombrie 2025, Persona a obținut certificarea FedRAMP Low Impact Authorized și este pe cale să obțină certificarea FedRAMP Moderate Ready. Aceasta înseamnă că Persona este acum un furnizor acreditat de infrastructură pentru agențiile federale din SUA. Platforma comercială care verifică utilizatorii LinkedIn și platforma guvernamentală care oferă verificări de identitate agențiilor federale se află astfel sub aceeași umbrelă - separate tehnic prin implementări, dar legal și organizațional sub aceeași structură corporativă.

Pentru utilizatorii europeni, acest lucru este crucial deoarece duce problema CLOUD Act la un nou nivel. CLOUD Act obligă companiile americane să acorde acces la date autorităților americane la cerere - indiferent de locația serverului. O companie care procesează simultan date biometrice comerciale de la milioane de utilizatori din întreaga lume și este un furnizor acreditat de infrastructură pentru agențiile federale americane reprezintă o combinație în care granițele dintre serviciile comerciale și infrastructura guvernamentală sunt structural neclare. Aceasta nu este o suspiciune - este o descriere a modelului de afaceri.

Ce ar trebui să știe și să facă utilizatorii

Înțelegerea infrastructurii persona schimbă modul în care evaluăm o decizie aparent simplă: Ar trebui să-mi verific profilul LinkedIn? Creșterea cu 60% a numărului de vizualizări ale profilului pare tentantă. Dar adevărata întrebare este: Ce câștig eu din asta? Răspunsul este multilateral.

Oricine își verifică identitatea prin intermediul Persona pe LinkedIn, Reddit, OpenAI sau Roblox predă date biometrice unei companii americane care este un furnizor de infrastructură guvernamentală certificat FedRAMP, condus de Founders Fund al lui Peter Thiel, care are același președinte fondator ca și Palantir și al cărui cod sursă, dezvăluit ulterior, dezvăluie o infrastructură de supraveghere care depășește cu mult simpla verificare a identității. Rezidenții UE au dreptul de acces, ștergere și obiecție în temeiul GDPR. Cererile de ștergere a datelor către Persona pot fi trimise direct prin DSAR (Data Subject Access Request - Cerere de acces al subiectului datelor) - cu toate acestea, mai mulți utilizatori raportează că Persona răspunde la astfel de solicitări cu răspunsuri automate și vagi.

Pentru platformele în sine, lecția constă în decizia Discord: procesarea pe dispozitiv ca standard, nu excepție. Verificarea vârstei nu trebuie să însemne că datele biometrice brute trec printr-o infrastructură de server din SUA. Sistemele europene de identificare electronică, portofelele naționale de identitate și arhitecturile descentralizate de verificare există ca alternative tehnice. Faptul că acestea nu sunt utilizate este o decizie politică și economică - nu o necesitate tehnică.

Întrebarea structurală: Cine construiește Internetul identităților?

Acest inventar nu oferă răspunsuri, ci ridică o întrebare care devine din ce în ce mai urgentă: Cine ar trebui să controleze infrastructura de identitate a internetului? Până în 2026, răspunsul de facto este o companie privată din San Francisco, finanțată de Peter Thiel, cu un rol dublu de furnizor comercial KYC și infrastructură acreditată a guvernului SUA. LinkedIn a verificat 100 de milioane de profiluri în cadrul acestui sistem. Reddit verifică cohortele de vârstă sub presiunea britanică și, în curând, la nivelul întregii UE. Roblox supune 151 de milioane de utilizatori zilnic unei scanări faciale obligatorii. OpenAI necesită verificare biometrică pentru accesul la cele mai puternice modele de inteligență artificială din lume.

Această concentrare nu este inevitabilă. Este rezultatul unor decizii de piață luate sub un control reglementar slab și cu o lipsă de transparență publică. Legea UE privind inteligența artificială, GDPR și Pachetul digital al UE oferă instrumentele juridice pentru a reglementa această concentrare și a promova alternative europene. Ceea ce lipsește este voința politică de a le aplica – și conștientizarea publicului că problema cine gestionează imaginea sa publică nu este un detaliu tehnic, ci o problemă centrală a autodeterminării democratice în era digitală.