O conceito KYA: Como as infraestruturas eIDAS podem proteger os agentes de IA autónomos

Introdução e situação atual: A evolução dos processos de confiança

No centro dos espaços de transações digitais está, tradicionalmente, a identificação inequívoca das identidades. O quadro regulamentar para o KYC (Know Your Customer) e o KYB (Know Your Business) obrigou , nos últimos anos, a uma evolução inevitável dos procedimentos de verificação. Enquanto o processo VideoIdent, que consome muitos recursos, tem de ser considerado um modelo operacional em fase de descontinuação devido à falta de escalabilidade, surgem cada vez mais no mercado soluções AutoIdent de última geração. Além disso, a economia europeia aguarda ansiosamente o impacto das carteiras EUDI ao abrigo do eIDAS 2.

Estes processos de confiança, até agora lineares, estão atualmente a ser transformados pela integração profunda da Inteligência Artificial a nível estrutural. Com sistemas baseados em LLMs potentes, já é possível orquestrar de forma autónoma percursos completos do utilizador. Isto vai desde a recolha inicial de dados até à preparação de fluxos de trabalho altamente sensíveis, como a abertura de contas ou o início de transações online assíncronas. Nestes cenários, a máquina atua como um intermediário substituto, que pré-estrutura os dados das transações e os prepara para a conclusão final.

O conceito de KYA: uma ponte entre a automatização por IA e a conformidade com o eIDAS

É desta dinâmica tecnológica que surge o conceito «KYA» (Know Your Agent). Numa análise linguística puramente superficial, o termo parece, à primeira vista, ambivalente: enquanto o KYC formula com precisão a obrigação regulamentar de identificar a outra parte (o cliente), o KYA implica, no sentido literal da palavra, a necessidade de validar o próprio agente utilizado. Além disso, na prática, surge um risco de confusão no espaço de identidade digital já estabelecido, onde os verificadores humanos – por exemplo, na verificação manual dos resultados do AutoIdent – também são tradicionalmente designados como «agentes» dentro do setor.

No entanto, se entendermos o KYA como um quadro estrutural para o emergente «Agentic Commerce» e o «Agentic Banking», o conceito revela a sua verdadeira relevância voltada para o futuro. Não se trata aqui do projeto paradoxal de atribuir aos bots de software uma personalidade jurídica autónoma, independente dos seres humanos.

Na verdade, o KYA descreve a arquitetura tecnológica que garante que, em qualquer momento de uma cadeia de transações automatizada, um «Human in the Loop» verificado assuma a responsabilidade final. O KYA preenche, assim, a lacuna crítica entre a preparação autónoma por parte das máquinas e a autorização humana com segurança jurídica.

Como é que o KYA pode funcionar do ponto de vista técnico: a mecânica da delegação criptográfica

A ideia central desta arquitetura é que as ações dos agentes de IA têm de ser orquestradas em camadas de infraestrutura isoladas e que os dados de telemetria precisos têm de ser enviados para pontos finais dedicados. Antes de uma ação preparada pelo bot — como o lançamento de um pagamento B2B ou a transmissão de dados críticos para o negócio — ser finalmente executada, têm de ser acionados mecanismos de segurança criptograficamente protegidos, com a participação do «criador» do agente.

Concretamente, isto significa que: a ação do agente de IA é assinada criptograficamente e essa assinatura é indissociavelmente ligada à identidade protegida de uma pessoa singular através de chaves de sessão discretas. Para integrar esta componente de identidade humana no fluxo de trabalho de forma a garantir que não seja manipulada, os sistemas modernos baseiam-se numa estrutura dupla. Além da futura carteira EUDI do eIDAS 2.0, os processos AutoIdent altamente desenvolvidos desempenham um papel fundamental

A combinação entre a deteção biométrica em tempo real da presença do utilizador humano e uma ligação subsequente, baseada em tokens, ao agente de IA garante que a máquina não atua no vazio, mas sim como um representante legítimo e criptograficamente autorizado.

Perfeitamente preparada para processos KYA simplificados: a carteira EUDI

Devido à arquitetura única da carteira EUDI, esta tecnologia vai tornar-se um dos principais pilares de confiança na era da IA. No contexto do KYA, a carteira EUDI vai conseguir, de forma particularmente elegante, estabelecer uma ligação juridicamente segura entre um agente e uma pessoa singular. Primeiro, o agente autentica-se junto do banco, apresentando um mandato de representação específico (Representation Attestation) ou um certificado eletrónico qualificado de atributos (QEAA), o que permite ao banco reconhecer o agente e validar a sua ligação criptograficamente garantida à pessoa singular através desse certificado. Para concluir definitivamente a transação na última etapa, o banco envia um pedido de assinatura para a carteira, após o que a pessoa singular confirma o processo através de uma nova autenticação forte e autoriza a transação de forma juridicamente vinculativa por meio de uma assinatura eletrónica qualificada (QES) acionada localmente ou remotamente.

Alocação de riscos: a responsabilidade das «entidades de confiança»

Um aspeto crítico, muitas vezes negligenciado no ecossistema KYA, é a responsabilidade fundamental das entidades confiantes (Relying Parties, como, por exemplo, bancos, seguradoras ou plataformas de comércio eletrónico) na execução de uma transação. A nível arquitetónico e processual, cabe-lhes, em primeiro lugar, estabelecer duas verificações essenciais:

a) Verificação do agente (detecção de bots vs. humanos): A entidade de confiança tem de ser capaz de determinar, através de análises avançadas de telemetria e API, se uma interação foi iniciada e preparada originalmente por um ser humano ou de forma parcialmente autónoma por um bot ou por uma IA.

b) Análise de risco baseada nas transações: as entidades confiantes têm de implementar um modelo de risco dinâmico que determine a partir de que valor contratual ou nível de sensibilidade é que uma comprovação rigorosa do KYA passa a ser um requisito obrigatório para a execução da transação.

Enquanto uma transação simples e de baixo risco pode passar com provas criptográficas mínimas e uma aprovação assíncrona posterior, operações altamente sensíveis, como a abertura de uma conta, a celebração de contratos de crédito ou transferências significativas de ativos, exigem obrigatoriamente medidas de segurança adicionais e síncronas. Aqui não pode haver margem para dúvidas: a verificação KYA tem de impor, nesta fase, uma reautenticação rigorosa do titular, seja por meios biométricos ou com suporte de hardware, para excluir o roubo de identidade por parte de agentes comprometidos.

O duelo no Trust Space: IA vs. IA e a corrida ao armamento assimétrica

A necessidade absoluta de arquiteturas tão robustas resulta de um panorama de ameaças altamente dinâmico, que se manifesta como um confronto direto entre a IA defensiva e a IA ofensiva. O estudo «Riscos de segurança para prestadores de serviços de confiança decorrentes de ameaças baseadas em IA», publicado em 2026 pela A-SIT Plus a pedido da Rundfunk und Telekom Regulierungs-GmbH (RTR), analisa esta corrida ao armamento a nível estrutural.

Neste contexto, a IA funciona como uma faca de dois gumes:

• A IA como aceleradora e defensora: no que diz respeito à defesa, a IA oferece um potencial significativo de eficiência. Permite a deteção altamente sofisticada de anomalias, a análise em tempo real de padrões de ataque complexos (por exemplo, nos modernos Centros de Operações de Segurança) e a realização de verificações biométricas multimodais de autenticidade em tempo real, no âmbito dos modernos processos de identificação automática (AutoIdent). O seu impacto positivo no reforço do «Trust Space» é real.
  
• A IA como agressora: ao mesmo tempo, a IA generativa está a alterar o panorama de riscos numa escala até agora desconhecida. Reduz drasticamente as barreiras tecnológicas à entrada de cibercriminosos, automatiza a geração de código malicioso e permite cenários de fraude em grande escala. O estudo da RTR (2026) considera particularmente críticas as fraudes baseadas em IA, como deepfakes, identidades sintéticas e ataques sofisticados de apresentação e injeção de prompts, que visam manipular de forma específica características visuais de identificação e modelos de aprendizagem automática (por exemplo, através do «data poisoning»).

A solução sistémica para esta corrida ao armamento algorítmica reside numa governação clara e na combinação de dois pilares de proteção determinísticos. A carteira eIDAS 2.0 EUDI oferece, através do armazenamento de chaves suportado por hardware (Secure Elements), uma proteção matemática sem compromissos contra ataques de spoofing baseados em IA.

Em complemento a isso, os métodos modernos de identificação automática (AutoIdent), apoiados por IA, preenchem a lacuna que ainda existe neste domínio: utilizam deteção avançada de vitalidade e certificações baseadas em dispositivos para verificar, em questão de segundos e sem margem para dúvidas, o ponto de referência humano no fluxo de trabalho. Ambas as abordagens, em conjunto, permitem que as entidades de confiança aprovem processos baseados em agentes, de forma a que a separação entre a ação do bot e a legitimação humana seja válida tanto do ponto de vista regulamentar como criptográfico.

Conclusão: o KYA é um avanço valioso no domínio da identidade digital

Em resumo, pode-se afirmar que o KYA é muito mais do que apenas uma palavra da moda passageira no mundo do marketing – é um conceito evolutivo valioso que se baseia diretamente nos alicerces comprovados do KYC. O KYC continua a ser o núcleo insubstituível das arquiteturas de confiança, mas o KYA alarga esse núcleo à dimensão da delegação automatizada segura na era da IA.

É exatamente nesta área que a sproof está a trabalhar ativamente em conceitos inovadores. O objetivo é criar arquiteturas que permitam ligar agentes de IA a pessoas singulares e às suas assinaturas eletrónicas qualificadas (QES) de forma juridicamente segura, resistente à manipulação e em conformidade com as normas.

Se e quando é que alguma vez haverá agentes totalmente autónomos, capazes de autorizar legalmente transações com o Nível de Garantia (LoA) «Elevado» – mas o caminho para lá passa obrigatoriamente pela integração inteligente entre o ser humano e a máquina, bem como pela validação baseada no risco por parte das entidades de confiança, tal como a KYA já esboça hoje em dia.

Perguntas frequentes sobre o tema

Prepara a tua infraestrutura de identidade para a era do Agentic Banking. Descobre com os especialistas da sproof como integrar fluxos de trabalho complexos de IA de forma juridicamente segura, através de análises de risco baseadas em transações, assinaturas em conformidade com o eIDAS e métodos de identificação de última geração. Marca já uma chamada com um especialista →