| A LEGFONTOSABB RÖVIDEN A KYA-keretrendszer: A „Know Your Agent” (KYA) egy jövőbe mutató architektúra-paradigma, amelynek célja, hogy az Agentic Commerce keretében jogbiztonságosan koordinálja a tranzakciók mesterséges intelligencia-rendszereknek történő delegálását. A mesterséges intelligencia (MI) fegyverkezési versenye: Az RTR legújabb tanulmánya (2026) egy technológiai erőpróbát tár fel. Míg az MI automatikusan növeli a támadási vektorok számát, addig az MI-alapú védelem a determinisztikus kriptográfiával kombinálva biztosítja a szükséges védelmet. Kettős védelem: mind az eIDAS 2.0 EUDI-Wallet, mind a legkorszerűbb, biometrikus védelemmel ellátott AutoIdent-eljárások képesek a „Human in the Loop” elvet manipulációbiztos horgonypontként megteremteni. A megbízó felek felelőssége: A megbízó feleknek (pl. bankoknak) kötelezően el kell végezniük egy botokra vonatkozó kockázatelemzést, hogy a KYA-ellenintézkedéseket dinamikusan az adott szerződéses értékhez igazítsák. |
Bevezetés és jelenlegi helyzet: A bizalmi folyamatok fejlődése
A digitális tranzakciós felületek középpontjában hagyományosan az identitások egyértelmű megállapítása áll. A KYC (Know Your Customer) és a KYB (Know Your Business) szabályozási keretei az elmúlt években kényszerítették az ellenőrzési eljárások fejlődését. Míg az erőforrás-igényes VideoIdent-eljárást a skálázhatóság hiánya miatt operatív szempontból kifutó modellnek kell tekinteni, egyre több ultramodern AutoIdent-megoldás jelenik meg a piacon. Emellett az európai gazdaság izgatottan várja az eIDAS 2 keretében bevezetett EUDI-pénztárcák hatását.
Ezeket az eddig lineáris bizalmi folyamatokat jelenleg a mesterséges intelligencia strukturális szintű, mélyreható integrációja alakítja át. A nagy teljesítményű LLM-eken alapuló rendszerek segítségével mára már teljes felhasználói útvonalakat lehet autonóm módon összehangolni. Ez a kezdeti adatgyűjtéstől egészen a rendkívül érzékeny munkafolyamatok előkészítéséig terjed, mint például a számlanyitás vagy az aszinkron online tranzakciók kezdeményezése. A gép ezekben a forgatókönyvekben helyettesítő közvetítőként működik, amely előre strukturálja a tranzakciós adatokat és előkészíti azokat a végleges lezáráshoz.
A KYA-fogalom: híd a mesterséges intelligencia általi automatizálás és az eIDAS-megfelelés között
Ebből a technológiai dinamikából származik a „KYA” (Know Your Agent) koncepció. Puszta nyelvtani szempontból a kifejezés elsőre kétértelműnek tűnik: míg a KYC pontosan megfogalmazza azt a szabályozási kötelezettséget, hogy azonosítani kell a másik felet (az ügyfelet), addig a KYA szó szerinti értelemben azt jelenti, hogy ellenőrizni kell a saját, általunk alkalmazott ügynököt. Ezen felül a gyakorlatban fennáll a keveredés veszélye a már kialakult digitális identitási térben, ahol az emberi ellenőröket – például az AutoIdent-eredmények kézi utóellenőrzése során – az iparágon belül hagyományosan szintén „ügynököknek” nevezik.
Ha azonban a KYA-t a kialakulóban lévő „Agentic Commerce” és „Agentic Banking” strukturális keretrendszerének tekintjük, akkor a koncepció valódi, jövőbe mutató jelentőségét nyeri el. Itt nem arról a paradox tervről van szó, hogy a szoftverbotoknak önálló, az embertől független jogi személyiséget tulajdonítsunk.
A KYA inkább azt a technológiai architektúrát írja le, amely biztosítja, hogy az automatizált tranzakciós lánc bármely szakaszában egy ellenőrzött „Human in the Loop” viselje a végső felelősséget. A KYA így áthidalja azt a kritikus rést, amely az autonóm gépi előkészítés és a jogilag biztonságos emberi jóváhagyás között fennáll.
Hogyan működhet a KYA technikai szempontból: a kriptográfiai delegálás mechanizmusa
Az architektúra alapvető tétele, hogy a mesterséges intelligencia-ügynökök műveleteit elszigetelt infrastruktúra-rétegekben kell összehangolni, és a pontos telemetriai adatokat dedikált végpontokba kell továbbítani. Mielőtt egy bot által előkészített művelet – például egy B2B-fizetés kezdeményezése vagy üzleti szempontból kritikus adatok továbbítása – véglegesen végrehajtásra kerülne, kriptográfiailag biztosított biztonsági mechanizmusoknak kell működésbe lépniük az ügynök „alkotójának” bevonásával.
Konkrétan ez azt jelenti, hogy a mesterséges intelligencia-ügynök műveletét kriptográfiai aláírással látják el, és ezt az aláírást diszkrét munkamenet-kulcsok segítségével elválaszthatatlanul összekapcsolják egy természetes személy biztonságosan igazolt személyazonosságával. Annak érdekében, hogy ezt az emberi identitási komponenst manipulációbiztosan integrálják a munkafolyamatba, a modern rendszerek kettős alapra épülnek. A hamarosan bevezetésre kerülő eIDAS 2.0 EUDI-pénztárca mellett a fejlett AutoIdent-eljárások is kulcsszerepet játszanak
Az emberi felhasználó valós idejű biometrikus élőlény-felismerésének és az azt követő, tokenalapú kapcsolódásnak az AI-ügynökhöz való kombinációja biztosítja, hogy a gép ne a semmiből cselekedjen, hanem legitim, kriptográfiailag hitelesített meghatalmazottként működjön.
Optimális felkészülés a hatékony KYA-folyamatokra: az EUDI-Wallet
Az EUDI-Wallet egyedülálló architektúrájának köszönhetően ez a technológia az AI-korszak egyik legfontosabb bizalmi alapjává válik. A KYA (Know Your Agent) kontextusában az EUDI-Wallet különösen elegáns módon fogja biztosítani a jogilag biztonságos kapcsolatot egy cselekvő ügynök és egy természetes személy között. Először az ügynök hitelesíti magát a banknál egy speciális képviseleti megbízás (Representation Attestation) vagy egy minősített elektronikus attribútumigazolást (QEAA) mutat be, aminek segítségével a bank felismeri a megbízottat, és e tanúsítványon keresztül érvényesítheti a természetes személyhez fűződő, kriptográfiailag biztosított kapcsolatát. A tranzakció végleges lezárásához a bank aláírási kérést küld a pénztárcának, mire a természetes személy újabb erős hitelesítéssel megerősíti a műveletet, és helyi vagy távoli módon kiváltott minősített elektronikus aláírással (QES) jogilag kötelező érvényűen jóváhagyja azt.
Kockázatmegosztás: a „megbízott szervek” felelőssége
A KYA-ökoszisztémában egy kritikus, gyakran elhanyagolt szempont a megbízó felek (Relying Parties, például bankok, biztosítók vagy e-kereskedelmi platformok) alapvető felelőssége a tranzakciók lebonyolításában. Architektúra és folyamatok szintjén elsősorban az ő felelősségük két alapvető ellenőrzés bevezetése:
a) Felhasználói hitelesítés (botok és emberek megkülönböztetése): A megbízó szervezetnek fejlett telemetriai és API-elemzések segítségével képesnek kell lennie annak megállapítására, hogy egy interakciót eredetileg ember kezdeményezett és készített elő, vagy azt részben autonóm módon egy bot vagy mesterséges intelligencia indította el és készítette elő.
b) Tranzakcióalapú kockázatelemzés: A megbízott szervezeteknek olyan dinamikus kockázati modellt kell bevezetniük, amely meghatározza, hogy mely szerződéses érték vagy érzékenységi szint felett válik a szigorú KYA-igazolás a tranzakció végrehajtásának kötelező feltételévé.
Míg egy egyszerű, alacsony kockázatú tranzakció minimális kriptográfiai igazolással és utólagos, aszinkron jóváhagyással is megoldható, addig a rendkívül érzékeny műveletek – mint például a számlanyitás, a hitelszerződések megkötése vagy jelentős eszközátutalások – feltétlenül további, szinkron biztonsági intézkedéseket igényelnek. Itt nem lehet semmiféle mozgástér: a KYA-igazolásnak ezen a küszöbön szigorú, biometrikus vagy hardveres újraazonosítást kell kikényszerítenie az emberi megbízó részéről, hogy kizárható legyen az identitáslopás kompromittált ügynökök által.
A Trust Space-ben zajló párbaj: MI kontra MI és az aszimmetrikus fegyverkezési verseny
Az ilyen robusztus architektúrák abszolút szükségessége a rendkívül dinamikus fenyegetési helyzetből fakad, amely a védekező és a támadó mesterséges intelligencia közötti közvetlen erőpróbaként nyilvánul meg. Az A-SIT Plus által 2026-ban a Rundfunk und Telekom Regulierungs-GmbH (RTR) megbízásából közzétett „A mesterséges intelligencia alapú fenyegetések által a bizalmi szolgáltatókra jelentett biztonsági kockázatok” című tanulmány strukturális szinten elemzi ezt a fegyverkezési versenyt.
A mesterséges intelligencia ebben az összefüggésben kétélű kardként működik:
- A mesterséges intelligencia mint gyorsító és védelmező: A védelmi oldalon a mesterséges intelligencia jelentős hatékonyságnövelési lehetőségeket kínál. Lehetővé teszi a fejlett rendellenesség-felismerést, a komplex támadási minták valós idejű elemzését (pl. a modern biztonsági operációs központokban), valamint a multimodális biometrikus valós idejű élőlény-ellenőrzések végrehajtását a modern AutoIdent-eljárások keretében. A Trust Space megerősítésére gyakorolt pozitív hatása kétségtelen.
- A mesterséges intelligencia mint támadó: Ugyanakkor a generatív mesterséges intelligencia eddig ismeretlen mértékben átalakítja a kockázati környezetet. Drasztikusan csökkenti a kiberbűnözők számára a technológiai belépési korlátokat, automatizálja a kártékony kódok generálását, és nagyméretű csalási forgatókönyvek megvalósítását teszi lehetővé. Az RTR-tanulmány (2026) különösen kritikusnak minősíti az olyan AI-alapú megtévesztéseket, mint a deepfake-ek, a szintetikus identitások, valamint a fejlett megjelenítési és prompt-injection támadások, amelyek célja a vizuális azonosító jellemzők és a gépi tanulási modellek célzott manipulálása (pl. adatmérgezés révén).
Ennek az algoritmikus fegyverkezési versenynek a rendszerszintű megoldása egy egyértelmű irányítási rendszerben és két determinisztikus védelmi pillér kombinációjában rejlik. Az eIDAS 2.0 EUDI Wallet hardveralapú kulcstárolás (Secure Elements) révén kompromisszummentes, matematikai védelmet nyújt a mesterséges intelligencián alapuló hamisítási támadások ellen.
Ehhez kiegészítésképpen a modern, mesterséges intelligenciával támogatott AutoIdent-eljárások pótolják a területen fennmaradó hiányosságot: fejlett élőlény-felismerést és eszközalapú hitelesítéseket alkalmaznak, hogy másodpercek alatt kétséget kizáróan igazolják az emberi horgonypontot a munkafolyamatban. Ez a két megközelítés együttesen lehetővé teszi a megbízó szervezetek számára, hogy az ügynökalapú folyamatokat úgy engedélyezzék, hogy a botok tevékenysége és az emberi hitelesítés közötti elválasztó réteg szabályozási és kriptográfiai szempontból is ellenálljon.
Következtetés: A KYA értékes továbbfejlesztés a digitális identitás területén
Összefoglalva elmondható: a KYA sokkal több, mint egy múló marketing-szlogen – ez egy értékes, evolúciós koncepció, amely közvetlenül a KYC bevált alapjaira épül. A KYC továbbra is a bizalmi architektúrák pótolhatatlan magját képezi, a KYA azonban kiegészíti ezt a magot a mesterséges intelligencia korszakában megvalósuló biztonságos gépi felhatalmazás dimenziójával.
Pontosan ezen a területen dolgozik a sproof aktívan innovatív koncepciók kidolgozásán. A cél olyan architektúrák kialakítása, amelyek segítségével a mesterséges intelligencia-ügynökök jogbiztonságos, manipulációval szemben ellenálló és a szabályozási előírásoknak megfelelő módon kapcsolódhatnak természetes személyekhez és azok minősített elektronikus aláírásaihoz (QES).
Hogy lesznek-e valaha teljesen autonóm ügynökök, amelyek emberi megbízó bármiféle beavatkozása nélkül jogérvényesen hitelesíthetik a Level of Assurance (LoA) „High” biztosítási szinttel jogilag érvényes tranzakciókat engedélyezhetnek, az még távoli jövő zenéje – de az oda vezető út feltétlenül az ember és a gép intelligens összekapcsolásán, valamint a megbízó szervek által végzett kockázatalapú érvényesítésen keresztül vezet, ahogyan azt a KYA már ma is felvázolja.
GYIK a témával kapcsolatban
-
+–Milyen felelősséget vállalnak a bankok és a megbízott szervek a KYA keretében?A megbízó szervezeteknek technikailag ellenőrizniük kell, hogy egy tranzakciót bot vagy ember kezdeményezett-e. Ezenkívül kockázatelemzés útján meg kell határoznia, hogy… többet
A megbízó szervezeteknek technikailag ellenőrizniük kell, hogy egy tranzakciót bot vagy ember kezdeményezett-e. Ezenkívül kockázatelemzés útján meg kell határoznia, hogy melyik szerződéses értéktől kezdve kötelező a kifejezett kriptográfiai KYA-igazolás (ember–gép kapcsolat).
-
+–Hogyan biztosíthatják az AutoIdent-eljárások a „Human in the Loop” elv érvényesülését a mesterséges intelligencia-ügynökök esetében?A modern AutoIdent-eljárások mesterséges intelligencián alapuló biometrikus és élőlény-ellenőrzéseket (PAD az ISO/IEC 30107-3 szabvány szerint) alkalmaznak a felhasználó fizikai jelenlétének… többet
A modern AutoIdent-eljárások mesterséges intelligencián alapuló biometrikus és élőlény-ellenőrzéseket (PAD az ISO/IEC 30107-3 szabvány szerint) alkalmaznak a felhasználó fizikai jelenlétének és jogosultságának valós idejű ellenőrzésére. Ezt a kriptográfiai tokent ezután szorosan összekapcsolják az ügyintéző munkafolyamatával.
-
+–Mit mond az RTR 2026-os tanulmánya a mesterséges intelligencia terén folyó versenyfutásról az identitáskezelési szektorban?Az RTR tanulmánya rámutat arra, hogy a mesterséges intelligencia (AI) multiplikátor szerepet játszik: az automatizált deepfake-ek és behatolási támadások révén… többet
Az RTR tanulmánya rámutat arra, hogy a mesterséges intelligencia (AI) multiplikátor szerepet játszik: az automatizált deepfake-ek és behatolási támadások révén csökkenti a támadók előtt álló akadályokat. A védelemnek ezért feltétlenül az AI-alapú felügyelet és a determinisztikus, hardveralapú kriptográfia (például az eIDAS-eljárások) kombinációjára kell támaszkodnia.
Készítse fel identitás-infrastruktúráját az „Agentic Banking” korszakára. Tudja meg a sproof szakértőitől, hogyan építheti be jogilag biztonságosan a komplex mesterséges intelligencia-alapú munkafolyamatokat tranzakcióalapú kockázatelemzések, az eIDAS-nak megfelelő aláírások és a legkorszerűbb azonosítási eljárások segítségével. Vegye fel a kapcsolatot szakértőinkkel most →
