Este é o segundo artigo da série de três que publico no NeoFeed sobre comércio agêntico. O primeiro descreveu como uma transação agêntica acontece de ponta a ponta, com atenção ao detalhe técnico que sustenta tudo. Aquele texto encerrou com um gancho aberto. Disse ali que, sem identificar o agente com confiança, o mandato fica sem âncora. Este artigo trata exatamente disso.
Know Your Agent, ou KYA, é o nome que vem ganhando tração para a nova categoria de práticas que responde a uma pergunta aparentemente simples: “Este software que está iniciando uma transação em meu nome é mesmo quem diz ser e está autorizado a fazer isso?”
Como no texto anterior, descrevo aqui o quadro como o entendi depois de estudar o material disponível. KYA está em formação acelerada, com publicação acadêmica recente e iniciativas institucionais ainda embrionárias. Algumas peças vão se mover.
Conhecer o agente não é a mesma coisa que conhecer o cliente
Quem trabalha com pagamentos conhece bem o KYC (Know Your Customer). É a prática regular de identificar e verificar pessoas que se relacionam com instituições financeiras: confere documento, valida biometria, cruza com listas de sanções, monitora comportamento ao longo do tempo.
Existe há cinco décadas, está consolidado em leis e normas, é uma indústria estabelecida com fornecedores especializados e custa bilhões por ano ao sistema financeiro global. No Brasil, faz parte da operação de qualquer instituição autorizada pelo Bacen.
KYA é o problema análogo, mas o sujeito é diferente. Não é uma pessoa, é um software. Não é uma plataforma de IA tomada de modo genérico (ChatGPT, Gemini, Claude, Copilot, Perplexity); é uma instância específica com identidade própria, executando em uma infraestrutura específica, sob a operação de uma empresa específica. As perguntas que precisam de resposta são parecidas com as do KYC, mas a natureza das respostas muda.
Quem opera o agente — qual empresa o desenvolve e mantém? Que infraestrutura suporta sua operação? Que modelo de IA está por trás? Como o comportamento desse agente foi testado e como é monitorado em produção? Que mudanças ele recebe ao longo do tempo, e quem aprova essas mudanças? Quando o agente toma uma decisão que está fora do mandato, há rastro auditável de por que tomou? Há mecanismo de revogação imediata se o comportamento divergir do esperado?
A diferença mais importante talvez seja temporal. KYC, em sua origem, era evento único reforçado por monitoramento de transações. Você abria conta, fornecia documentos, era verificado, e dali em diante o monitoramento focava no que você fazia, não no que você era.
KYA não comporta esse desenho, porque um software pode ser alterado por update, troca de modelo, mudança de operador, sem que nada visível ao usuário mude. O KYA precisa ser contínuo na natureza do próprio agente, não apenas no comportamento dele.
O conceito tem linhagem mais sólida do que parece
Um problema do termo KYA é que parece, à primeira vista, mais uma sigla inventada por marketing de fornecedor. Não é. Tem rastro acadêmico e institucional consistente, ainda que recente.
A primeira formulação consistente do conceito aparece em 2024, no livro Money in the Metaverse, em que David Birch e Victoria Richardson tratam da necessidade de uma infraestrutura de identidade digital que cubra também os bots.
O acrônimo KYA ainda não estava cristalizado ali, mas o problema estava posto. Em fevereiro de 2025, Tomer Jordi Chaffer, pesquisador da Faculdade de Direito da McGill, publicou no SSRN o paper Know Your Agent: Governing AI Identity on the Agentic Web, com framework próprio voltado à identidade de agentes em web descentralizada — primeiro registro acadêmico formal do termo.
Em setembro do mesmo ano, Birch voltou ao tema em coautoria com Jelena Hoffart, da Mastercard, no paper Know Your Agent: Enabling Autonomous Financial Services, publicado no Journal of Digital Banking. É esse último que se firmou como referência da indústria para KYA aplicado a pagamentos e serviços financeiros.
A institucionalização começou em fevereiro de 2026, quando o NIST, instituto americano de padrões e tecnologia, lançou pelo NCCoE uma iniciativa específica sobre confiabilidade de agentes de IA. O CAISI, Center for AI Standards and Innovation, também passou a tratar do tema.
Em abril de 2026, a Cloud Security Alliance publicou levantamento sobre incidentes de segurança envolvendo agentes de IA em ambientes corporativos — financiado pela Token Security, vale registrar, mas com metodologia da própria CSA.
Não é tema folclórico. É categoria emergente que está sendo construída em paralelo por academia, órgãos de padronização e mercado. O Brasil ainda não está nesse debate, e essa é uma das observações importantes deste artigo.
A economia agêntica não escala sem essa peça
Vale parar e considerar por que a categoria importa, agora, em termos práticos.
Imagine um cenário em que 5% dos pagamentos online no Brasil são iniciados por agentes em dois anos. Em volume, são alguns bilhões de reais por mês. Sem identificação confiável dos agentes operantes, três problemas escalam rapidamente.
Primeiro, a fraude. Um agente impostor que se passa por uma plataforma legítima, ou um agente comprometido por ataque, pode iniciar transações dentro de mandatos legítimos, e o sistema não tem como distinguir.
Segundo, a atribuição em disputa. Se uma compra mal feita acontece, a quem se atribui responsabilidade? Ao agente, ao cliente que configurou o mandato, à plataforma operadora? Sem identidade rastreável, a cadeia de responsabilidade se rompe.
Se uma compra mal feita acontece, a quem se atribui responsabilidade?
Terceiro, o rastro auditável para fins regulatórios e de chargeback. Bacen, lojistas, emissores, todos precisam de evidência verificável de quem fez o quê.
KYA não é, em outras palavras, uma camada acessória. É precondição operacional para que o modelo agêntico opere em escala com algum nível razoável de segurança jurídica e técnica. Bandeiras já entenderam isso.
Como mencionei no artigo anterior, Visa e Mastercard estão criando seus próprios mecanismos de registro e verificação de agentes na rede. Mas o que essas empresas fazem é apenas uma parte do KYA, focada em quem está autorizado a operar nas redes delas.
O conceito mais amplo — que envolve verificação contínua, monitoramento de comportamento, governança de operadores — vai além do que uma bandeira individual pode fazer sozinha.
O Brasil tem fornecedores em posição privilegiada
Aqui aparece uma das observações mais relevantes deste texto, especialmente para quem opera no setor de identidade digital.
O Brasil construiu, ao longo dos últimos quinze anos, um ecossistema robusto de fornecedores de KYC e verificação de identidade. São empresas que processam, em volume, identidades de centenas de milhões de pessoas físicas e jurídicas brasileiras, com integração à Receita Federal, cartórios e órgãos de trânsito, bases de comportamento, scores de risco, biometria e infraestrutura para operar em alta volumetria.
Algumas são especializadas em onboarding, outras em monitoramento contínuo, outras em verificação de documentos ou em score de risco. O conjunto é denso, e essa densidade não é trivial em termos internacionais.
Estender capacidades de KYA é um movimento natural para essas empresas. As habilidades centrais — verificação de identidade, monitoramento contínuo, integração via API — são as mesmas. O que muda é o objeto: passa a ser também um software, não apenas uma pessoa. Algumas dessas empresas já começaram a olhar para o tema, embora ainda sem produto consolidado.
A janela competitiva é interessante por uma razão específica. O Brasil tem um ecossistema de KYC mais avançado do que muitos mercados desenvolvidos, em termos de cobertura, integração e custo.
Se o KYA emerge como categoria internacional, e se os primeiros padrões ainda estão em formação, há espaço para que fornecedores brasileiros não apenas atendam o mercado local, mas exportem expertise. Não é um movimento garantido. Depende de capacidade técnica para abraçar a categoria, de articulação com bandeiras e emissores, e de alinhamento com a regulação que vier.
A regulação brasileira ainda não nomeou o problema
O Bacen tem base legal para se manifestar sobre o tema. A Lei 12.865/2013, que regula arranjos de pagamento, e a competência geral sobre identificação de iniciadores de transações dão base para que se manifeste sobre como agentes de IA podem operar como iniciadores. Até agora, não houve manifestação pública específica sobre KYA. O foco da casa está em Pix, em Open Finance, no Drex. O comércio agêntico, e em particular a identidade dos agentes, não entrou na agenda regulatória declarada.
A CVM tem envolvimento mais lateral. Se agentes começarem a operar em mercados financeiros, com decisão de compra e venda de ativos, entra em cena. Não é um cenário imediato, mas vai chegar.
O CADE pode entrar pela porta da concorrência. Se o KYA se concentrar em poucos operadores globais — algo plausível, dado que as bandeiras já estão criando seus próprios mecanismos — há risco competitivo. O órgão tem histórico de intervenção em estruturas de mercado em pagamentos.
O Código de Defesa do Consumidor já oferece base para questões de responsabilidade por compras feitas por agentes em escopo questionável. A aplicação dessa base em casos concretos ainda não tem jurisprudência consolidada, mas vai aparecer.
A janela é a seguinte. O Brasil pode escolher antecipar o tema, com regulação proativa que reconheça a especificidade do KYA antes que padrões importados se consolidem. Ou pode esperar e adotar o que vier de fora.
A primeira opção é mais difícil, mas tem precedente: foi assim que o Pix se tornou diferenciador internacional, com o Bacen tomando posição antecipada e moldando o que veio. A segunda é mais cômoda, mas tende a deixar o mercado brasileiro como adotante de padrão alheio. A escolha é estratégica e ainda não foi feita.
Identificar o agente é precondição técnica. Mas o comércio agêntico, no horizonte de cinco anos, vai redistribuir valor entre as camadas do ecossistema. Plataformas de IA, bandeiras, emissores e lojistas estão em disputa silenciosa por posição estratégica que, no fim, define quem é o dono do cliente no novo modelo. No próximo e último artigo desta série, trato dessa disputa.
* Edson Santos é especialista em meios de pagamento com mais de 25 anos de experiência. Sócio da Colink Business Consulting, conselheiro e advisor estratégico de empresas dos setores financeiro e de tecnologia. É autor de “Do Escambo à Inclusão Financeira” e coautor de “Payments 4.0 — As forças que estão transformando o mercado brasileiro”.
