| NAJWAŻNIEJSZE INFORMACJE W SKRÓCIE Framework KYA: „Know Your Agent” (KYA) to przyszłościowy paradygmat architektoniczny, którego celem jest zapewnienie zgodności z przepisami prawa przy koordynowaniu delegowania transakcji do systemów sztucznej inteligencji w ramach handlu agencyjnego. Wyścig zbrojeń w dziedzinie sztucznej inteligencji: najnowsze badanie RTR (2026) potwierdza, że toczy się technologiczna rywalizacja. Podczas gdy sztuczna inteligencja automatycznie zwiększa skalę wektorów ataku, systemy obronne oparte na sztucznej inteligencji w połączeniu z kryptografią deterministyczną stanowią niezbędną tarczę ochronną. Podwójna ochrona: Zarówno portfel EUDI zgodny z eIDAS 2.0, jak i najnowocześniejsze, zabezpieczone biometrycznie procedury AutoIdent są w stanie ustanowić czynnik ludzki (Human in the Loop ) jako punkt odniesienia odporny na manipulacje. Odpowiedzialność podmiotów polegających na certyfikacie: Podmioty polegające na certyfikacie (np. banki) muszą bezwzględnie wdrożyć analizę ryzyka dostosowaną do konkretnego bota, aby dynamicznie dostosowywać środki zaradcze w ramach procesu KYA do aktualnej wartości umowy. |
Wprowadzenie i stan obecny: Ewolucja procesów budowania zaufania
W centrum cyfrowych przestrzeni transakcyjnych tradycyjnie znajduje się jednoznaczna weryfikacja tożsamości. Ramy regulacyjne dotyczące KYC (Know Your Customer) i KYB (Know Your Business) wymusiły w ostatnich latach nieuniknioną ewolucję procedur weryfikacyjnych. Podczas gdy wymagająca dużych zasobów procedura VideoIdent musi być uznana za model operacyjny schodzący z rynku ze względu na brak skalowalności, na rynku pojawia się coraz więcej najnowocześniejszych rozwiązań typu AutoIdent. Ponadto europejska gospodarka z niecierpliwością oczekuje na wpływ portfeli EUDI w ramach eIDAS 2.
Te dotychczasowe, liniowe procesy budowania zaufania ulegają obecnie zmianie w wyniku głębokiej integracji sztucznej inteligencji na poziomie strukturalnym. Dzięki systemom opartym na wydajnych modelach LLM można obecnie w sposób autonomiczny koordynować całe ścieżki użytkownika. Obejmuje to wszystko, od wstępnego gromadzenia danych po przygotowanie wysoce wrażliwych procesów, takich jak otwieranie rachunków lub inicjowanie asynchronicznych transakcji internetowych. W tych scenariuszach maszyna pełni rolę pośrednika, który wstępnie strukturyzuje dane transakcyjne i przygotowuje je do ostatecznego zamknięcia.
Pojęcie KYA: pomost między automatyzacją opartą na sztucznej inteligencji a zgodnością z rozporządzeniem eIDAS
Z tej dynamiki technologicznej wywodzi się koncepcja „KYA” (Know Your Agent). Przy czysto powierzchownej analizie językowej termin ten wydaje się początkowo niejednoznaczny: podczas gdy KYC precyzyjnie określa regulacyjny obowiązek identyfikacji drugiej strony (klienta), KYA w dosłownym znaczeniu sugeruje konieczność weryfikacji własnego agenta. Ponadto w praktyce istnieje ryzyko pomyłki w ugruntowanej przestrzeni tożsamości cyfrowej, gdzie weryfikatorzy – na przykład podczas ręcznej kontroli wyników AutoIdent – są tradycyjnie określani w branży również jako „agenci”.
Jeśli jednak potraktować KYA jako strukturalne ramy dla powstającego handlu agentycznego (Agentic Commerce) i bankowości agentycznej (Agentic Banking), koncepcja ta ujawnia swoje prawdziwe, przyszłościowe znaczenie. Nie chodzi tu o paradoksalne dążenie do przyznania botom programowym samodzielnej osobowości prawnej, niezależnej od człowieka.
KYA opisuje raczej architekturę technologiczną, która gwarantuje, że w każdym momencie zautomatyzowanego łańcucha transakcji ostateczną odpowiedzialność ponosi zweryfikowana osoba („Human in the Loop”). KYA wypełnia zatem kluczową lukę między autonomicznym przygotowaniem przez maszynę a zgodną z prawem autoryzacją dokonywaną przez człowieka.
Jak może działać KYA z technicznego punktu widzenia: mechanizm delegacji kryptograficznej
Główną tezą tej architektury jest to, że działania agentów sztucznej inteligencji muszą być koordynowane w odizolowanych warstwach infrastruktury, a precyzyjne dane telemetryczne muszą być przekazywane do dedykowanych punktów końcowych. Zanim działanie przygotowane przez bota – takie jak zainicjowanie płatności B2B lub przesłanie danych o kluczowym znaczeniu dla działalności – zostanie ostatecznie wykonane, muszą zadziałać zabezpieczone kryptograficznie mechanizmy bezpieczeństwa z udziałem „twórcy” agenta.
W praktyce oznacza to, że działanie agenta AI jest podpisywane kryptograficznie, a podpis ten jest nierozerwalnie powiązany z zabezpieczoną tożsamością osoby fizycznej za pomocą dyskretnych kluczy sesyjnych. Aby w sposób zabezpieczony przed manipulacją włączyć ten element tożsamości ludzkiej do przepływu pracy, nowoczesne systemy opierają się na podwójnej podstawie. Oprócz przyszłego portfela EUDI w ramach eIDAS 2.0 kluczową rolę odgrywają zaawansowane procedury AutoIdent
Połączenie biometrycznego rozpoznawania obecności użytkownika w czasie rzeczywistym oraz następującego po nim powiązania opartego na tokenie z agentem AI gwarantuje, że maszyna nie działa w próżni, lecz jako uprawniony, autoryzowany kryptograficznie pełnomocnik.
Optymalne przygotowanie do usprawnionych procesów KYA: portfel EUDI
Ze względu na wyjątkową architekturę portfela EUDI technologia ta stanie się jednym z najważniejszych elementów budujących zaufanie w erze sztucznej inteligencji. W kontekście KYA portfel EUDI w szczególnie elegancki sposób zapewni prawnie bezpieczne połączenie między działającym agentem a osobą fizyczną. Najpierw agent uwierzytelnia się w banku, przedstawiając specjalne pełnomocnictwo (Representation Attestation) lub kwalifikowanego elektronicznego zaświadczenia o atrybutach (QEAA), dzięki czemu bank rozpoznaje agenta i może zweryfikować jego zabezpieczone kryptograficznie powiązanie z osobą fizyczną za pośrednictwem tego certyfikatu. Aby ostatecznie sfinalizować transakcję w ostatnim etapie, bank wysyła żądanie podpisu do portfela, po czym osoba fizyczna potwierdza operację poprzez ponowne silne uwierzytelnienie i autoryzuje ją w sposób prawnie wiążący za pomocą QES wygenerowanego lokalnie lub zdalnie.
Alokacja ryzyka: Odpowiedzialność „organów powierniczych”
Kluczowym, często pomijanym aspektem ekosystemu KYA jest fundamentalna odpowiedzialność podmiotów polegających na systemie (Relying Parties, takich jak na przykład banki, ubezpieczyciele czy platformy handlu elektronicznego) w trakcie realizacji transakcji. Na poziomie architektury i procesów to przede wszystkim na nich spoczywa odpowiedzialność za wdrożenie dwóch podstawowych mechanizmów weryfikacyjnych:
a) Weryfikacja podmiotu (rozróżnienie między botem a człowiekiem): Instytucja ufająca musi być w stanie ustalić, na podstawie zaawansowanej analizy danych telemetrycznych i interfejsów API, czy interakcja została zainicjowana i przygotowana pierwotnie przez człowieka, czy też w sposób częściowo autonomiczny przez bota lub sztuczną inteligencję.
b) Analiza ryzyka oparta na transakcjach: Instytucje zaufania muszą wdrożyć dynamiczny model ryzyka, który określa, od jakiej wartości kontraktu lub jakiego poziomu wrażliwości rygorystyczne potwierdzenie zgodności z zasadami KYA staje się bezwzględnym warunkiem realizacji transakcji.
Podczas gdy prosta transakcja o niskim ryzyku może obejść się przy minimalnych dowodach kryptograficznych i późniejszym asynchronicznym zatwierdzeniu, operacje o wysokim stopniu wrażliwości, takie jak otwarcie konta, zawarcie umów kredytowych lub znaczące transfery aktywów, wymagają bezwzględnie dodatkowych, synchronicznych środków bezpieczeństwa. Nie może tu być żadnego pola manewru: na tym etapie weryfikacja KYA musi wymuszać ścisłą, biometryczną lub sprzętową ponowną autoryzację osoby fizycznej, aby wykluczyć kradzież tożsamości przez zkompromitowanych agentów.
Pojedynek w Trust Space: AI kontra AI i asymetryczny wyścig zbrojeń
Absolutna konieczność stosowania tak solidnych architektur wynika z wysoce dynamicznej sytuacji zagrożeniowej, która przejawia się w postaci bezpośredniej rywalizacji między defensywną a ofensywną sztuczną inteligencją. Opublikowane w 2026 roku przez A-SIT Plus na zlecenie Rundfunk und Telekom Regulierungs-GmbH (RTR) badanie pt. „Zagrożenia dla bezpieczeństwa dostawców usług zaufania wynikające z zagrożeń opartych na sztucznej inteligencji” analizuje ten wyścig zbrojeń na poziomie strukturalnym.
W tym kontekście sztuczna inteligencja działa jak miecz obosieczny:
- Sztuczna inteligencja jako czynnik przyspieszający i zabezpieczający: w zakresie bezpieczeństwa sztuczna inteligencja oferuje znaczny potencjał w zakresie zwiększenia wydajności. Umożliwia zaawansowane wykrywanie anomalii, analizę złożonych wzorców ataków w czasie rzeczywistym (np. w ramach nowoczesnych centrów operacji bezpieczeństwa), a także przeprowadzanie multimodalnych biometrycznych testów żywości w czasie rzeczywistym w ramach nowoczesnych procedur AutoIdent. Jej pozytywny wpływ na wzmocnienie przestrzeni zaufania jest realny.
- Sztuczna inteligencja jako atakujący: Jednocześnie generatywna sztuczna inteligencja zmienia krajobraz zagrożeń w dotąd nieznanym stopniu. Znacznie obniża ona technologiczne bariery wejścia dla cyberprzestępców, automatyzuje generowanie złośliwego kodu i umożliwia realizację scenariuszy oszustw na ogromną skalę. W badaniu RTR (2026) jako szczególnie krytyczne oceniono oszustwa oparte na sztucznej inteligencji, takie jak deepfake’i, syntetyczne tożsamości oraz zaawansowane ataki typu „presentation injection” i „prompt injection”, których celem jest celowa manipulacja wizualnymi cechami identyfikacyjnymi oraz modelami uczenia maszynowego (np. poprzez zatruwanie danych).
Systemowym rozwiązaniem pozwalającym wyjść z tego algorytmicznego wyścigu zbrojeń jest jasna struktura zarządzania oraz połączenie dwóch deterministycznych filarów ochrony. Portfel eIDAS 2.0 EUDI, dzięki sprzętowemu przechowywaniu kluczy (Secure Elements), zapewnia bezkompromisową, matematyczną ochronę przed atakami typu spoofing opartymi na sztucznej inteligencji.
Uzupełnieniem tego są nowoczesne, oparte na sztucznej inteligencji procedury AutoIdent, które wypełniają pozostałą lukę w tej dziedzinie: wykorzystują one zaawansowane wykrywanie obecności żywej osoby oraz certyfikaty oparte na urządzeniach, aby w ciągu kilku sekund bezsprzecznie zweryfikować obecność człowieka w procesie. Połączenie obu tych ścieżek umożliwia organom zaufania zatwierdzanie procesów opartych na agentach w taki sposób, aby warstwa oddzielająca działania botów od ludzkiej legitymacji była zgodna z przepisami i spełniała wymagania kryptograficzne.
Podsumowanie: KYA jako cenne osiągnięcie w dziedzinie tożsamości cyfrowej
Podsumowując, można stwierdzić, że KYA to znacznie więcej niż tylko ulotny marketingowy modny termin – to cenna, ewolucyjna koncepcja, która opiera się bezpośrednio na sprawdzonych fundamentach KYC. KYC pozostaje niezastąpionym rdzeniem architektur zaufania, jednak KYA rozszerza ten rdzeń o wymiar bezpiecznego delegowania zadań maszynom w erze sztucznej inteligencji.
Właśnie w tym obszarze firma sproof aktywnie pracuje nad innowacyjnymi koncepcjami. Celem jest stworzenie architektur, które pozwolą na powiązanie agentów sztucznej inteligencji z osobami fizycznymi i ich QES w sposób zgodny z prawem, odporny na manipulacje i zapewniający zgodność z przepisami.
To, czy i kiedy kiedykolwiek pojawią się w pełni autonomiczne podmioty, które bez żadnego udziału ludzkiego zleceniodawcy będą mogły prawnie autoryzować transakcje o poziomie pewności (LoA) „High”, leży jeszcze w odległej przyszłości – jednak droga do tego celu prowadzi koniecznie przez inteligentne połączenie człowieka i maszyny oraz weryfikację opartą na ryzyku, dokonywaną przez zaufane podmioty, tak jak już dziś nakreśla to firma KYA.
Najczęściej zadawane pytania na ten temat
-
+–Jaką odpowiedzialność ponoszą banki i instytucje zaufania w ramach KYA?Podmioty powiernicze muszą przeprowadzić weryfikację techniczną w celu ustalenia, czy transakcja została zainicjowana przez bota, czy przez osobę fizyczną. Ponadto… więcej
Podmioty powiernicze muszą przeprowadzić weryfikację techniczną w celu ustalenia, czy transakcja została zainicjowana przez bota, czy przez osobę fizyczną. Ponadto muszą one na podstawie analizy ryzyka określić, od jakiej wartości umowy wymagane jest bezwzględnie przedstawienie wyraźnego kryptograficznego dowodu KYA (potwierdzenie interakcji człowiek-maszyna).
-
+–W jaki sposób metody AutoIdent mogą zapewnić obecność czynnika ludzkiego („Human in the Loop”) w przypadku agentów opartych na sztucznej inteligencji?Nowoczesne metody AutoIdent wykorzystują oparte na sztucznej inteligencji testy biometryczne i weryfikację żywości (PAD zgodnie z normą ISO/IEC 30107-3) w… więcej
Nowoczesne metody AutoIdent wykorzystują oparte na sztucznej inteligencji testy biometryczne i weryfikację żywości (PAD zgodnie z normą ISO/IEC 30107-3) w celu weryfikacji fizycznej obecności i uprawnień użytkownika w czasie rzeczywistym. Ten token kryptograficzny jest następnie trwale powiązany z procesem pracy agenta.
-
+–Co wynika z badania RTR z 2026 roku na temat wyścigu zbrojeń w dziedzinie sztucznej inteligencji w sektorze tożsamości?Badanie przeprowadzone przez RTR pokazuje, że sztuczna inteligencja działa jak czynnik wzmacniający: obniża bariery dla atakujących dzięki zautomatyzowanym deepfake’om i… więcej
Badanie przeprowadzone przez RTR pokazuje, że sztuczna inteligencja działa jak czynnik wzmacniający: obniża bariery dla atakujących dzięki zautomatyzowanym deepfake’om i atakom typu injection. W związku z tym systemy obronne muszą koniecznie opierać się na połączeniu monitoringu wspomaganego przez sztuczną inteligencję oraz deterministycznej kryptografii sprzętowej (takiej jak procedury eIDAS).
Przygotuj swoją infrastrukturę tożsamości na erę bankowości agentowej. Dowiedz się od ekspertów z firmy sproof, jak zapewnić zgodność z przepisami w zakresie złożonych procesów opartych na sztucznej inteligencji dzięki analizom ryzyka opartym na transakcjach, podpisom zgodnym z rozporządzeniem eIDAS oraz najnowocześniejszym metodom identyfikacji. Umów się teraz na rozmowę z ekspertem →
