top of page
whmcs.png
Under attack?

The Watchers: Cum a devenit verificarea identitară biometrică o infrastructură globală de supraveghere financiară și clasificare automată



Arhitectura de verificare identitară și screening biometric descrisă în „The Watchers”

Analiză tehnică, juridică și geopolitică aplicată României și Uniunii Europene

ZebraByte Research Division – Cybersecurity, AML & Data Protection

1. Introducere și delimitare

În februarie 2026 a fost publicat un document tehnic amplu intitulat „The Watchers”, care descrie existența unei infrastructuri asociate companiei Persona și utilizată în relație cu OpenAI

. Autorii susțin că au identificat endpoint-uri dedicate pentru screening împotriva listelor de sancțiuni, module de comparare biometrică facială cu persoane expuse politic (PEP), funcționalități de generare și transmitere SAR către Financial Crimes Enforcement Network și STR către FINTRAC, precum și existența unui deployment guvernamental cu statut FedRAMP.

În acest raport tratăm informațiile din document ca fiind reale la nivel tehnic și analizăm implicațiile sistemice. Scopul nu este apărarea vreunei entități, ci evaluarea impactului asupra drepturilor fundamentale, asupra regimului de protecție a datelor și asupra ecosistemului românesc.

2. Arhitectura descrisă – o infrastructură de clasificare identitară la scară globală


, infrastructura ar include un serviciu separat de tip „watchlistdb” găzduit în Google Cloud, distinct de infrastructura principală a companiei. Această separare este semnificativă, deoarece în practică, sistemele de screening AML care operează liste sensibile (OFAC, UE, ONU, liste interne) sunt izolate pentru a respecta cerințe de securitate și compartimentare.

Mai mult, documentul descrie existența unor fișiere JavaScript source map expuse public, conținând cod TypeScript complet, inclusiv modele de date și enum-uri pentru 269 verificări distincte



. Dacă aceste sourcemap-uri au fost accesibile public, acest lucru reprezintă o deficiență majoră de configurare DevSecOps, dar și o sursă rară de transparență asupra mecanismelor interne.

Din analiza structurii, sistemul ar realiza:

  • captură ID guvernamental (inclusiv NFC în unele cazuri),

  • captură selfie cu liveness detection,

  • extragere de embedding biometric,

  • comparare cu baze PEP inclusiv la nivel facial,

  • screening sancțiuni globale,

  • screening adverse media,

  • screening crypto prin integrare Chainalysis,

  • re-screening automat la interval configurabil,

  • menținere liste biometrice până la trei ani.

Aceasta nu este doar verificare de identitate. Este o infrastructură de evaluare a riscului identitar cu posibilitate de integrare în fluxuri de intelligence financiar.


3. Screening PEP facial – implicații

În mod tradițional, screening-ul PEP se realizează nominal, prin compararea numelui și a datei nașterii cu liste de persoane expuse politic, conform recomandărilor FATF (Financial Action Task Force). FATF Guidance on PEP (2013, actualizat 2023) nu impune și nici nu recomandă potrivirea biometrică facială.

Dacă sistemul descris compară selfie-ul utilizatorului cu imagini publice din baze precum Wikidata sau alte surse PEP


, atunci avem o extindere a conceptului de PEP screening într-o zonă mult mai intruzivă.

În Uniunea Europeană, datele biometrice utilizate pentru identificare unică intră sub incidența articolului 9 GDPR. Prelucrarea lor este permisă doar în condiții stricte. În România, ANSPDCP a sancționat în trecut utilizarea biometriei fără justificare proporțională.

Mai mult, Directiva (UE) 2015/849 privind prevenirea spălării banilor (AMLD4), modificată prin AMLD5 și AMLD6, impune screening PEP, dar nu autorizează explicit potrivire facială biometrică.

Prin urmare, dacă un cetățean român ar fi clasificat drept „similar PEP” pe baza unui scor biometric, acest lucru ar ridica probleme privind:

  • proporționalitatea măsurii,

  • dreptul la explicație (art. 15 GDPR),

  • dreptul de a contesta decizii automate (art. 22 GDPR).


4. SAR și STR – integrare financiară

Documentul descrie existența unor module pentru transmiterea directă de SAR către Financial Crimes Enforcement Network și STR către FINTRAC

.

FinCEN este agenția de intelligence financiar a Departamentului Trezoreriei SUA, responsabilă de colectarea și analiza rapoartelor de activitate suspectă. FINTRAC îndeplinește rol similar în Canada.

În România, echivalentul este ONPCSB, conform Legii 129/2019. Transmiterea automată de date către o autoritate străină ar necesita:

  • temei legal explicit,

  • acord de transfer internațional,

  • respectarea mecanismelor GDPR privind transferul în țări terțe.

După invalidarea Privacy Shield de către CJUE în cauza Schrems II (C-311/18), transferul de date către SUA este condiționat de evaluare suplimentară și garanții adecvate.


5. Re-screening recurent și monitorizare pasivă

Existența unui parametru „recurring-enabled” în configurațiile de screening

sugerează posibilitatea de re-evaluare automată periodică.

Aceasta implică monitorizare continuă, nu doar verificare punctuală.

În România, o astfel de practică ar trebui declarată explicit în politica de confidențialitate și justificată prin obligație legală AML.


6. Integrarea AI prin API OpenAI

Documentul menționează existența unui modul „AskAI” care utilizează API-ul OpenAI

.

Integrarea unui model AI într-un sistem care procesează date biometrice și SAR ridică probleme suplimentare:

  • Ce date sunt transmise modelului?

  • Sunt ele anonimizate?

  • Există jurnalizare și audit?

Conform viitorului AI Act (Regulamentul UE privind inteligența artificială), sistemele AI utilizate în evaluarea riscului financiar sau în clasificare biometrică pot intra în categoria „high-risk AI systems”.


7. Retenția de trei ani


Documentul indică retenție maximă de trei ani pentru liste faciale

.

GDPR impune principiul limitării stocării (art. 5 alin. 1 lit. e). Retenția trebuie justificată prin scop legitim și proporționalitate.

În România, orice retenție extinsă de date biometrice ar necesita DPIA și justificare legală clară.


8. Impact geopolitic și regional

Menționarea blocării Ucrainei în contextul accesului la servicii ridică întrebări privind alinierea cu listele OFAC, deși Ucraina nu este sancționată integral

.

Pentru România, stat membru UE și vecin direct al Ucrainei, aplicarea unor filtre geopolitice suplimentare ar putea afecta cetățeni rezidenți, refugiați sau persoane cu dublă cetățenie.


9. Concluzie generală

Dacă infrastructura descrisă este operațională conform documentului

, atunci avem un sistem care:

  • colectează biometrie facială,

  • realizează potrivire PEP inclusiv facială,

  • menține liste biometrice,

  • efectuează re-screening automat,

  • integrează mecanisme de raportare financiară,

  • utilizează AI în fluxul de analiză.

Pentru România, implementarea sau integrarea unui astfel de sistem ar necesita:

  • audit tehnic independent,

  • DPIA detaliat,

  • mecanism de contestare,

  • transparență completă,

  • analiză de transfer internațional de date.

În absența acestor măsuri, riscurile juridice, constituționale și reputaționale ar fi substanțiale.

Partajați această postare
Etichete
Arhivează

 
 
 

Comentarii

Evaluat(ă) cu 0 din 5 stele.
Încă nu există evaluări
Adaugă o evaluare
bottom of page