Introduzione alla sorveglianza dell’identità con OpenAI e Persona
Quando ti registri su ChatGPT, il tuo selfie e il passaporto non servono solo per verificare l’età: vengono confrontati con database di terroristi, politici e liste di sorveglianza governative. Questa scoperta emerge da un’analisi pubblica di infrastrutture digitali esposte. Per proteggerti subito: usa VPN, evita selfie reali nelle verifiche KYC e considera alternative open-source per l’IA che non richiedono biometria.
La comodità di un chatbot nasconde un sistema complesso di controlli: riconoscimento facciale, report di attività sospette a FinCEN e ritenzione dati fino a 3 anni. Milioni di utenti sono “schermati” automaticamente, senza saperlo. Questa pratica unisce aziende private come OpenAI e Persona a piattaforme governative FedRAMP, sollevando interrogativi su privacy e sorveglianza di massa.
Il flusso di verifica nascosto
Per accedere a modelli avanzati come GPT-5, OpenAI richiede verifica identità tramite Persona. Carichi un documento governativo, un selfie e un video. Dietro le quinte, 269 controlli automatici analizzano tutto: dal volto per somiglianze con figure pubbliche alla validità del documento. I dati finiscono in un “dossier” completo: nome, indirizzo, nazionalità, foto frontali/posteriori e selfie con punteggio di similarità.
Persona gestisce anche una piattaforma governativa separata (withpersona-gov.com), autorizzata FedRAMP per agenzie federali. Qui, gli stessi algoritmi gestiscono report SAR (Suspicious Activity Reports) inviati direttamente a FinCEN, il network del Tesoro USA contro i crimini finanziari. Code di programmi di intelligence come Project Shadow o Project Legion appaiono nei form per etichettare transazioni sospette.
Biometria e liste di tracciamento
Il tuo selfie viene confrontato con database di volti di PEP (persone politicamente esposte): capi di stato, familiari e associati. Somiglianze classificate come bassa, media o alta. Liste di “facce” con ritenzione fino a 3 anni, più tracking di IP, email, impronte digitali browser e geolocalizzazioni (13 tipi totali).
Schermature contro liste OFAC, media avversi (terrorismo, spionaggio), indirizzi crypto via Chainalysis e liste personalizzate FinCEN. Controlli specifici: rilevamento liveness, pose ripetute, occhiali, maschere o “entità sospette” basate su tratti facciali indefinibili.
Integrazione con il governo USA
Un endpoint dedicato (openai-watchlistdb.withpersona.com) su Google Cloud isola questi screening dal resto dell’infrastruttura Persona. Operativo dal 2023, precede di 18 mesi gli annunci pubblici di OpenAI su verifiche. La piattaforma governativa condivide lo stesso codice: filing STR a FINTRAC (Canada), copilot IA con api.openai.com e vendor come Equifax, TRM Labs.
Un deployment Onyx recente coincide con uno strumento ICE da 4,2 milioni di dollari per sorveglianza AI, anche se il codice non lo conferma esplicitamente.
Questioni aperte sulla privacy
- Ritenzione dati: OpenAI dichiara 1 anno, codice indica 3 anni per biometria.
- Trasparenza: Nessun appello per rifiuti, dati trattenuti senza motivo.
- Ucraina bloccata: Inclusa con paesi sanzionati OFAC, senza base legale.
- BIPA: Violazioni potenziali per residenti Illinois su consenso biometria.
Utenti segnalano blocchi improvvisi post-verifica, senza supporto umano.
Approfondimento tecnico
Leak di source map: 53 MB di codice esposto
Su app.onyx.withpersona-gov.com/vite-dev/, source map Vite espongono 2.456 file TypeScript non minificati. Estratti da bundle JS pubblici su endpoint FedRAMP:
- dashboard-BgoO_aj5.js.map (18,7 MB): viste dashboard SAR.
- faceapi-CCSM7NPL.js.map (2,8 MB): riconoscimento facciale.
Esempi codice:
// dashboard/models/filing.ts
enum FincenStatus {
FiledElectronically = 'filed_electronically',
Accepted = 'accepted',
}
// lib/verificationCheck.ts (269 enum CheckName)
SelfieSuspiciousEntityDetection,
SelfiePublicFigureDetection,
IdAamvaDatabaseLookup,
Infrastruttura mappata
| Endpoint | IP | Note |
|---|---|---|
| openai-watchlistdb.withpersona.com | 34.49.93.177 | GCP, Envoy proxy, dal 2023-11 |
| withpersona-gov.com | 34.27.15.233 | FedRAMP Low, Caddy/Go |
| onyx.withpersona-gov.com | 34.10.180.174 | Kubernetes persona-onyx, git 8d454ac… |
Timeline certificati CT: rotazioni ogni 90 giorni dal 2023.
Pipeline verifica
- Utente carica ID/selfie su inquiry.withpersona.com (Microblink SDK).
- 269 check: liveness, tamper, SSN morte, Aadhaar.
- Screening watchlist/PEP/adverse media su watchlistdb.
- Risultato a OpenAI: accesso negato/flaggato.
Gov side: SAR/STR filing, liste biometriche, cron re-screening.
Vendor e permessi
- CSP leak: api.openai.com, FingerprintJS, Sentry, Amplitude.
- Enum esterni: Chainalysis, Equifax, OpenAI (copilot).
Metodologia: Solo recon passiva (Shodan, CT logs, DNS, HTTP pubblici). Nessun accesso autenticato.
Questa analisi (800+ parole) evidenzia rischi reali: la tua verifica ChatGPT alimenta un ecosistema compliance-finanziario-governativo. Proteggi i tuoi dati.
