Know Your Human: A Lacuna KYC nos Pagamentos Agênticos

Em abril de 2026, o Fundo Monetário Internacional publicou um documento que passou despercebido para a maioria das equipes de compliance. A Nota FMI 2026/004 — Como a IA Agêntica Vai Transformar os Pagamentos — identificou formalmente os agentes de IA autônomos como uma ameaça estrutural para os marcos de verificação de identidade que sustentam os sistemas financeiros globais.

A preocupação do FMI é precisa. Os procedimentos KYC e a autenticação multifator, adverte o documento, "dependem de ação humana explícita." Quando agentes de IA capazes de executar pagamentos, iniciar transferências e gerenciar contas atuam de forma autônoma em nome de um usuário, esse pressuposto fundamental colapsa. O humano que passou pelo processo de KYC original pode não ter nenhuma relação com a transação subsequente.

Não é um problema teórico. Segundo a LexisNexis Risk Solutions, o tráfego agêntico — interações autônomas de IA com sistemas financeiros e de e-commerce — cresceu 450 por cento em 2025. A Microsoft Security confirmou em fevereiro de 2026 que 80 por cento das empresas do Fortune 500 operam agentes de IA ativos. A FIS, uma das maiores processadoras de pagamentos do mundo, lançou sua plataforma de pagamentos agênticos em maio de 2026. A transição já está em andamento. A infraestrutura de compliance não acompanhou o ritmo.

Por Que o KYC Tradicional Foi Projetado para Humanos

Os marcos de KYC foram projetados em torno de um pressuposto específico: um ser humano inicia uma interação financeira, apresenta credenciais e é verificado uma única vez no ponto de entrada. As interações subsequentes carregam confiança implícita porque humanos se comportam de formas reconhecíveis e delimitadas. Anomalias são detectáveis. A responsabilidade é atribuível.

Os agentes de IA desmantelam sistematicamente cada uma dessas propriedades.

Quando um usuário delega autoridade financeira a um agente de IA — autorizando-o a pagar faturas, executar operações, reservar viagens ou gerenciar assinaturas — o agente pode iniciar dezenas ou centenas de transações sem nenhum envolvimento humano adicional. Cada uma dessas transações pode cruzar limites regulatórios que normalmente acionariam uma nova verificação. Cada uma gera uma questão de responsabilidade que os marcos existentes não conseguem resolver claramente.

Considere o que acontece quando um agente de IA, atuando sob uma autorização ampla, executa uma sequência de transferências de criptoativos em rápida sucessão. Sob o MiCA, cada transferência deve ter um principal humano verificado e rastreável. Sob o Regulamento de Transferências de Fundos, os dados da regra de viagem devem acompanhar cada transação. Mas o humano que originou a autorização verificou sua identidade no onboarding, meses antes. Seu perfil de risco atual e seus padrões comportamentais não estão sendo avaliados em tempo real.

A Biometric Update identificou isso como uma mudança setorial em maio de 2026: os serviços financeiros estão sendo empurrados em direção a uma "identidade contínua" — um modelo onde a identidade não é um evento que ocorreu no onboarding, mas um estado validado mantido ao longo de todo o ciclo de vida do cliente.

Know Your Human: O Novo Paradigma de Compliance

A resposta do setor a essa lacuna tem um nome. A PYMNTS cunhou o termo Know Your Human (KYH) para descrever o padrão de compliance que coloca o humano verificado e consentido no centro de cada cadeia de transações agênticas.

O KYH não substitui o KYC. É uma camada que estende a verificação de identidade tradicional para abordar três modos de falha específicos criados pelo comércio agêntico.

Verificação de autoridade delegada. Quando um usuário autoriza um agente de IA a agir em seu nome, o KYH exige consentimento explícito e documentado que especifica o escopo da delegação. O agente pode estar autorizado a pagar contas de serviços públicos abaixo de R$ 2.500 por mês — não a executar compras de ações ou iniciar transferências internacionais. A delegação delimitada e verificável é o primitivo de compliance que o KYH introduz.

Validação contínua. Uma única verificação KYC no onboarding é estruturalmente insuficiente quando um agente atuará de forma autônoma por meses ou anos. Os marcos KYH exigem confirmação contínua de que o humano verificado permanece no controle da delegação — e que as transações do agente permanecem dentro do envelope comportamental autorizado. Quando um agente começa a operar de formas que divergem do padrão estabelecido do humano, o sistema deve pausar e solicitar nova verificação.

Rastreabilidade para resolução de disputas. Quando uma transação executada por um agente de IA é contestada, o registro de compliance deve reconstruir uma cadeia completa de responsabilidade: O humano verificado autorizou este agente? A ação específica estava dentro do escopo autorizado? Em que ponto a linha de base comportamental divergiu? Sem essa trilha de auditoria, estornos, investigações regulatórias e investigações de fraude tornam-se legalmente irresolvíveis.

Para uma análise detalhada do lado da máquina desse problema — como verificar a própria identidade do agente e suas permissões — consulte nossa análise de Know Your Agent (KYA): Verificação de Identidade de Agentes IA.

A Exposição Regulatória

Para os prestadores de serviços de pagamento, essa lacuna gera responsabilidade concreta. A análise da Addleshaw Goddard de fevereiro de 2026 concluiu que os prestadores enfrentam "maior risco de responsabilidade se não puderem validar se uma transação foi devidamente autorizada," especialmente onde os marcos existentes "foram projetados em torno do comportamento humano, não de agentes autônomos."

As entidades reguladas na UE enfrentam exposição em múltiplas camadas. Sob o PSD3 e o Regulamento de Serviços de Pagamento, os requisitos de autenticação forte do cliente foram projetados para ações iniciadas por humanos. Se a autenticação humana inicial satisfaz os requisitos SCA para transações agênticas subsequentes é uma questão não resolvida. A Autoridade Bancária Europeia ainda não emitiu orientação específica para fluxos de pagamentos agênticos.

Sob o RLBC e o MiCA, a obrigação é mais direta: cada transação deve estar conectada a um principal humano verificado com um perfil de risco atualizado. As arquiteturas KYC atuais — projetadas para um mundo de transações iniciadas por humanos — não satisfazem esse requisito para a atividade agêntica autônoma.

Além da regulação, há o vetor de fraude. Um atacante que comprometa a sessão de um agente de IA, ou que manipule as instruções do agente por meio de ataques de injeção de prompts, pode executar transações financeiras que parecem tecnicamente autorizadas — porque estão dentro da delegação humana original — enquanto servem a fins completamente fraudulentos.

Como É uma Arquitetura de Identidade Agêntica Conforme

Fechar a lacuna do Know Your Human exige rearquitetar a camada de identidade em torno da delegação, não apenas da verificação.

Dimensão	KYC Tradicional	Know Your Human
Momento de verificação	Uma vez, no onboarding	Continuamente, ao longo do ciclo de vida do agente
Sujeito	Identidade humana	Identidade humana + escopo autorizado do agente
Registro de autorização	Credencial de conta	Documento de delegação com restrições de escopo
Transações de alto risco	O humano se re-autentica	O agente pausa, o humano reautoriza a ação específica
Trilha de auditoria	Registro de sessão	Registro de transações vinculado ao registro de delegação
Detecção de anomalias	Linha de base comportamental humana	Linha de base agêntica dentro do escopo autorizado

Um sistema de identidade agêntica conforme deve fazer quatro coisas. Primeiro, capturar a delegação no momento da autorização — o escopo dessa autoridade deve ser registrado com a mesma precisão legal que um documento de identidade KYC. Segundo, aplicar o escopo na execução — cada transação agêntica deve ser validada contra a delegação registrada antes de prosseguir. Terceiro, manter um modelo comportamental em tempo real — desvios do padrão autorizado do humano devem acionar a re-verificação. Quarto, produzir uma trilha de auditoria contínua — cada ação agêntica rastreável até a autorização humana que a permitiu.

Esta é a arquitetura que os Agentes de IA da Joinble foram projetados para suportar — não apenas verificar quem é um humano, mas manter a responsabilidade contínua e rastreável de cada ação realizada em seu nome.

Para uma análise mais aprofundada de como os sistemas multi-agente lidam com decisões de compliance sem intervenção humana, consulte KYC Agêntico: Como Agentes de IA Autônomos Estão Substituindo Revisões Manuais.

O Cronograma: Agir Antes que as Diretrizes Cheguem

O FMI publicou seu aviso em abril de 2026. A FIS lançou sua plataforma de pagamentos agênticos em maio de 2026. O ciclo de implantação está à frente do ciclo de orientação regulatória por uma margem que cresce, não que se reduz.

As organizações que construírem infraestrutura Know Your Human de forma proativa — antes de o BCE emitir orientação SCA para fluxos agênticos, antes de a ESMA esclarecer as obrigações MiCA para transferências iniciadas por IA, antes que a primeira ação de fiscalização estabeleça precedente de responsabilidade — enfrentarão uma carga de remediação significativamente menor do que as que esperarem.

O padrão histórico do compliance KYC oferece uma lição consistente: o custo de construir infraestrutura de identidade reativamente, sob pressão regulatória e com evidências preservadas para investigação, é uma ordem de grandeza maior do que o custo de construí-la corretamente desde o início.

---

Perguntas Frequentes

O que é Know Your Human (KYH)? Know Your Human é um marco de compliance que estende o KYC tradicional para cobrir agentes de IA atuando em nome de um humano. Exige delegação de autoridade documentada, validação contínua de que o humano permanece no controle, e uma trilha de auditoria completa vinculando cada transação agêntica ao humano autorizante.

Por que o KYC tradicional falha para transações agênticas? O KYC tradicional verifica uma identidade humana em um único ponto no tempo. Uma vez concluído, o agente de IA do humano pode executar transações de forma autônoma sem nenhuma verificação de identidade adicional. Não existe nenhum mecanismo no KYC padrão para verificar se cada ação agêntica está dentro do escopo autorizado pelo humano verificado.

O que o FMI disse sobre agentes de IA e KYC? A Nota FMI 2026/004, publicada em 22 de abril de 2026, adverte que agentes de IA capazes de executar pagamentos expõem lacunas no KYC e na autenticação multifator, que "dependem de ação humana explícita." O FMI recomenda desenvolver marcos de identidade confiáveis e padrões interoperáveis para verificação de delegação agêntica.

Como o Know Your Human difere do Know Your Agent (KYA)? O KYA se concentra em verificar a máquina — estabelecer uma identidade digital para o agente e certificar o que ele está tecnicamente autorizado a fazer. O KYH se concentra em manter a responsabilidade do humano verificado ao longo de cada transação que o agente executa em seu nome. Ambos são necessários; nenhum por si só é suficiente.

Quais marcos regulatórios regem atualmente os pagamentos agênticos na UE? Os pagamentos agênticos estão sujeitos ao PSD3, ao Regulamento de Serviços de Pagamento, ao RLBC e ao MiCA para transferências de criptoativos. Nenhum foi projetado pensando em agentes autônomos, e orientações regulatórias específicas para fluxos de pagamentos agênticos ainda não foram emitidas pela ABE ou ESMA até maio de 2026.

Como sei se meu sistema KYC está preparado para transações agênticas? Faça três perguntas: Seu sistema captura o escopo de qualquer delegação de agente de IA concedida por usuários verificados? Ele valida cada transação agêntica contra esse registro de delegação antes da execução? Ele produz uma trilha de auditoria que vincula cada ação agêntica ao humano autorizante? Se a resposta a alguma delas for não, sua arquitetura KYC tem uma lacuna agêntica.