A automação na banca e nas fintechs já não se limita a processos internos ou a robôs que executam tarefas repetitivas. Cada vez mais, os clientes irão delegar decisões e transações a agentes de inteligência artificial capazes de comparar ofertas, ativar serviços ou movimentar dinheiro entre instituições — tudo enquanto estão offline.
Este cenário, que há alguns anos parecia ficção científica, é hoje uma realidade emergente. E com ele surge um desafio que nenhuma instituição pode ignorar: a responsabilidade delegada. Se um agente pode executar transações de ponta a ponta em nome de um cliente, o risco deixa de estar centrado exclusivamente na identidade humana. Agora, a pergunta crítica é: quem responde quando algo corre mal?
A transição de KYC (Know Your Customer) para KYA (Know Your Agent) não é apenas conceptual. Representa uma mudança estrutural na forma como as instituições financeiras devem gerir a identidade, a autorização e a rastreabilidade num mundo cada vez mais automatizado.
De KYC a KYA: evolução natural do controle de identidade
Durante décadas, as instituições financeiras basearam seus sistemas de controle no KYC: identificar o cliente, verificar sua identidade, monitorar sua atividade e manter evidências de cada transação. Essa abordagem funcionava porque o titular da conta e o ator eram a mesma pessoa.
Em um ambiente onde os agentes atuam de forma autônoma, essa simetria desaparece. Agora, a instituição interage com um ator não humano, que possui autoridade delegada e pode executar operações complexas de forma independente. O KYA surge como a evolução natural do KYC: não substitui a verificação da identidade humana, mas adiciona uma camada de controle sobre os agentes que atuam em seu nome.
O objetivo do KYA é responder a perguntas como: qual agente está atuando atualmente? Sob qual autoridade? Quais são seus limites operacionais? E como posso comprovar isso perante um auditor ou regulador?
Delegação autônoma e os riscos associados
A incorporação de agentes de IA introduz riscos que não existiam no modelo tradicional. Um agente legítimo pode operar dentro das permissões atribuídas e, ainda assim, executar ações que gerem exposição indevida, erros operacionais ou violações regulatórias.
Isso não é hipotético. Estudos recentes sobre a gestão de identidades não humanas mostram que muitas organizações têm visibilidade limitada sobre contas de serviço, tokens ou chaves de API. Se hoje já existem dificuldades para controlar essas identidades internas, o risco se multiplica quando agentes autônomos externos operam em nome de clientes reais, ampliando a superfície de responsabilidade.
O problema está no fato de que esses agentes atuam com autoridade delegada: o titular da conta confia neles para tomar decisões em seu nome, e a instituição financeira continua sendo responsável perante auditores e reguladores por cada ação executada.
A superfície de risco é um ecossistema de atores interdependentes, cada um com capacidade de executar ações de alto impacto. Além disso, esses riscos não se limitam a perdas financeiras diretas. As consequências podem se manifestar em:
- Descumprimento regulatório, como a falta de evidência sobre autorização ou rastreabilidade das operações.
- Exposição a fraudes internas e externas, onde agentes comprometidos podem executar transações maliciosas sem disparar alertas tradicionais.
- Impacto reputacional, caso não seja possível demonstrar a clientes ou reguladores que controles adequados foram exercidos sobre cada ação.
Nesse contexto, o risco deixa de ser apenas tecnológico; passa a ser de accountability. A instituição financeira deve garantir que cada ação do agente possa ser atribuída, validada e auditada, independentemente de o cliente ter delegado autoridade.
Governança e visibilidade: a base da confiança
Gerir agentes autônomos exige ir além dos controles convencionais. A confiança não pode ser construída apenas sobre a presunção de que o agente atuará corretamente; deve existir uma infraestrutura de governança clara, capaz de rastrear, validar e auditar cada decisão automatizada.
Entre os elementos críticos estão:
- Verificação robusta da identidade humana: A pessoa que delega autoridade deve estar plenamente autenticada por métodos de identidade digital confiáveis e verificados.
- Autenticação e registro da delegação: Cada autorização deve ser documentada, com evidência criptograficamente verificável, de modo que seja possível demonstrar a auditores e reguladores a intenção e o alcance da delegação.
- Definição de limites claros de operação: Os agentes devem operar com permissões explícitas, restrições sobre transações críticas e políticas de acesso diferenciadas conforme risco, tipo de operação e perfil do cliente.
- Escalonamento em operações críticas: Para ações de alto impacto, como movimentação de fundos, alterações de credenciais ou acesso a informações sensíveis, devem ser implementados mecanismos de step-up, validação adicional ou intervenção humana obrigatória.
- Rastreabilidade integral e evidência auditável: Cada interação do agente deve ser registrada, incluindo o agente específico, usuário, ação executada, políticas aplicadas e exceções, permitindo reconstruir qualquer evento com precisão.
Nesse ecossistema, a identidade digital e a biometria desempenham um papel estratégico. A Facephi oferece uma solução integral que unifica verificação de identidade, prevenção de fraude e capacidades de compliance/AML, garantindo que cada ação delegada possa ser verificada e auditada, fornecendo evidências sólidas a auditores e reguladores e assegurando conformidade com padrões globais de rastreabilidade, controle e supervisão.
Preparação estratégica diante de agentes autônomos
As organizações que compreenderem e gerirem adequadamente esta nova camada de responsabilidade transformarão um risco potencial em uma vantagem competitiva. A chave está em estabelecer um plano de controle sólido que integre:
- Sinais de confiança robustos.
- Políticas de autorização claras.
- Mecanismos de escalonamento para operações de alto risco.
- Evidência auditável de cada ação relevante.
As instituições que adotarem esses princípios estarão melhor posicionadas para cumprir regulamentações internacionais, como o EU AI Act, DORA, ou as últimas atualizações em AML/CFT, mantendo ao mesmo tempo confiança e resiliência operacional frente a fraudes, erros e eventos críticos.