Koncept KYA: Kako lahko infrastrukture eIDAS zaščitijo avtonomne agente umetne inteligence

Uvod in trenutno stanje: Razvoj procesov za vzpostavljanje zaupanja

V središču digitalnih transakcijskih prostorov je tradicionalno nedvoumno ugotavljanje identitet. Regulativni okvir za KYC (Know Your Customer) in KYB (Know Your Business) je v zadnjih letih prisilil k nujnemu razvoju postopkov preverjanja. Medtem ko je treba postopek VideoIdent, ki zahteva veliko virov, zaradi pomanjkanja prilagodljivosti obravnavati kot operativno zastarelo rešitev, na trg vstopa vedno več najsodobnejših rešitev AutoIdent. Poleg tega evropsko gospodarstvo z zanimanjem pričakuje vpliv EUDI-denarnic v okviru uredbe eIDAS 2.

Ti doslej linearni procesi vzpostavljanja zaupanja se trenutno spreminjajo zaradi globoke integracije umetne inteligence na strukturni ravni. S sistemi, ki temeljijo na zmogljivih modelih velikega jezika (LLM), je zdaj mogoče avtonomno usklajevati celotne poti uporabnikov. To sega od začetnega zbiranja podatkov do priprave izredno občutljivih delovnih tokov, kot sta odprtje računa ali sprožitev asinhronih spletnih transakcij. V teh scenarijih stroj deluje kot namestnik posrednika, ki predhodno strukturira podatke o transakcijah in jih pripravi za končno sklenitev.

Pojem KYA: most med avtomatizacijo z umetno inteligenco in skladnostjo z uredbo eIDAS

Iz te tehnološke dinamike izhaja koncept »KYA« (Know Your Agent). Pri zgolj površinski jezikoslovni analizi se izraz na prvi pogled zdi dvoumen: medtem ko KYC natančno opredeljuje regulativno obveznost identifikacije sogovornika (stranke), KYA v neposrednem pomenu besede nakazuje potrebo po preverjanju lastnega agenta. Poleg tega v praksi obstaja nevarnost zamenjave v uveljavljenem prostoru digitalne identitete, kjer se človeški pregledovalci – na primer pri ročnem naknadnem preverjanju rezultatov AutoIdent – v okviru panoge tradicionalno prav tako imenujejo »agenti«.

Če pa KYA razumemo kot strukturni okvir za nastajajoči »Agentic Commerce« in »Agentic Banking«, ta koncept razvije svojo pravo, v prihodnost usmerjeno pomembnost. Pri tem ne gre za paradoksalen namen, da bi programskim botom pripisali samostojno pravno osebnost, ločeno od človeka.

KYA namreč opisuje tehnološko arhitekturo, ki zagotavlja, da v vsakem trenutku avtomatizirane transakcijske verige končno odgovornost nosi preverjen »človek v krogu« (Human in the Loop). KYA tako zapolnjuje kritično vrzel med avtonomno strojno pripravo in pravno zanesljivo človeško avtorizacijo.

Kako lahko KYA tehnično deluje: Mehanizem kriptografskega pooblastila

Osnovna teza te arhitekture je, da je treba dejanja agentov umetne inteligence usklajevati v izoliranih infrastrukturnih plasteh, natančne telemetrijske podatke pa posredovati v namenske končne točke. Preden se dejanje, ki ga je pripravil bot – na primer sprožitev plačila B2B ali prenos poslovno kritičnih podatkov –, končno izvede, morajo začeti delovati kriptografsko zavarovani varnostni mehanizmi, v katere je vključen »ustvarjalec« agenta.

Konkretno to pomeni: dejanje agenta umetne inteligence je kriptografsko podpisano, ta podpis pa je prek diskretnih ključev seje neločljivo povezan z zaščiteno identiteto fizične osebe. Da bi to komponento človeške identitete vključili v delovni tok na način, ki preprečuje manipulacije, sodobni sistemi temeljijo na dvojnem temelju. Poleg prihajajoče denarnice EUDI v okviru eIDAS 2.0 ključno vlogo igrajo tudi visoko razviti postopki AutoIdent

S kombinacijo biometričnega prepoznavanja živosti človeškega uporabnika v realnem času in naknadne vezave na agenta umetne inteligence na podlagi žetona se zagotovi, da stroj ne deluje v vakuumu, temveč kot legitimni, kriptografsko pooblaščeni zastopnik.

Optimalna rešitev za poenostavljene KYA-postopke: EUDI-Wallet

Zaradi edinstvene arhitekture denarnice EUDI bo ta tehnologija postala eden najpomembnejših temeljev zaupanja v dobi umetne inteligence. V okviru KYA bo denarnica EUDI še posebej elegantno vzpostavila pravno zanesljivo povezavo med pooblaščenim zastopnikom in fizično osebo. Najprej se zastopnik pri banki avtentificira tako, da predloži posebno pooblastilo za zastopanje (potrdilo o zastopstvu) ali kvalificirano elektronsko potrdilo o atributih (QEAA), s čimer banka prepozna zastopnika in lahko prek tega potrdila preveri njegovo kriptografsko zavarovano povezavo s fizično osebo. Da bi v zadnjem koraku transakcijo dokončno zaključili, banka pošlje zahtevo za podpis v denarnico, nakar fizična oseba postopek potrdi s ponovno močno avtentifikacijo in ga pravno zavezujoče avtorizira s kvalificiranim elektronskim podpisom (QES), sproženim lokalno ali na daljavo.

Porazdelitev tveganj: Odgovornost »pooblaščenih organov«

Ključni, a pogosto spregledani vidik v ekosistemu KYA je temeljna odgovornost zaupajočih strani (Relying Parties, kot so na primer banke, zavarovalnice ali platforme za elektronsko trgovanje) pri izvedbi transakcije. Na arhitekturni in procesni ravni je v prvi vrsti njihova odgovornost, da vzpostavijo dva ključna preverjanja:

a) Preverjanje udeležencev (razlikovanje med botom in človekom): Organ, ki mu je zaupano, mora biti sposoben z naprednimi telemetričnimi analizami in analizami API ugotoviti, ali je interakcijo prvotno sprožil in pripravil človek ali pa jo je delno avtonomno sprožil in pripravil bot oziroma umetna inteligenca.

b) Analiza tveganja na podlagi transakcij: Pooblaščeni organi morajo uvesti dinamični model tveganja, ki določa, od katere vrednosti pogodbe ali stopnje občutljivosti naprej je stroga dokumentacija KYA obvezna predpostavka za izvedbo transakcije.

Medtem ko za preprosto transakcijo z nizkim tveganjem zadostujejo minimalni kriptografski dokazi in naknadna asinhrona potrditev, pa izredno občutljivi postopki, kot so odprtje računa, sklenitev kreditnih pogodb ali pomembni prenosi sredstev, nujno zahtevajo dodatne, sinhrone varnostne ukrepe. Tu ne sme biti nobenega manevrskega prostora: dokazilo KYA mora na tej stopnji zahtevati strogo, biometrično ali s strojno opremo podprto ponovno avtentifikacijo človeškega naročnika, da se izključi kraja identitete s strani kompromitiranih agentov.

Dvoboj v Trust Space: AI proti AI in asimetrična oboroževalna tekma

Absolutna nujnost takšnih robustnih arhitektur izhaja iz izredno dinamičnega stanja groženj, ki se kaže kot neposredno merjenje moči med obrambno in ofenzivno umetno inteligenco. Študija »Varnostna tveganja za ponudnike zaupanja vrednih storitev zaradi groženj, povezanih z umetno inteligenco«, ki jo je leta 2026 objavila družba A-SIT Plus v naročilu družbe Rundfunk und Telekom Regulierungs-GmbH (RTR), analizira to tekmovanje v oboroževanju na strukturni ravni.

Umetna inteligenca v tem kontekstu deluje kot dvorezni meč:

• Umetna inteligenca kot pospeševalec in zaščitnik: na področju obrambe umetna inteligenca omogoča znatne možnosti za povečanje učinkovitosti. Omogoča visoko razvito zaznavanje anomalij, analizo kompleksnih vzorcev napadov v realnem času (npr. v sodobnih centrih za varnostne operacije) ter izvajanje multimodalnih biometričnih preverjanj živosti v realnem času v okviru sodobnih postopkov avtomatske identifikacije. Njen pozitiven vpliv na utrjevanje »Trust Space« je dejanski.
  
• Umetna inteligenca kot napadalec: Hkrati generativna umetna inteligenca spreminja razmere na področju tveganj v doslej neznanem obsegu. Drastično znižuje tehnološke ovire za vstop kiberkriminalcev, avtomatizira ustvarjanje zlonamerne kode in omogoča izvajanje prevar v velikem obsegu. Študija RTR (2026) kot posebej kritične ocenjuje prevare, podprte z umetno inteligenco, kot so deepfakes, sintetične identitete ter visoko razviti napadi s predstavitvijo in vbrizgavanjem ukazov, katerih cilj je ciljno manipuliranje vizualnih identifikacijskih značilnosti in modelov strojnega učenja (npr. z zastrupljanjem podatkov).

Sistemski izhod iz te algoritmične oboroževalne tekme leži v jasnem upravljanju in kombinaciji dveh determinističnih zaščitnih stebrov. EUDI Wallet eIDAS 2.0 z shranjevanjem ključev v strojni opremi (Secure Elements) ponuja brezkompromisno, matematično zaščito pred napadi lažnega predstavljanja, ki temeljijo na umetni inteligenci.

V dopolnitev temu sodobni postopki AutoIdent, podprti z umetno inteligenco, zapolnjujejo preostalo vrzel na tem področju: uporabljajo napredno zaznavanje živosti in potrditve na podlagi naprav, da v nekaj sekundah brez dvoma preverijo človeško referenčno točko v delovnem toku. Oba pristopa skupaj omogočata pooblaščenim organom, da odobrijo procese, ki temeljijo na agentih, tako da ločevalna plast med delovanjem botov in človeško legitimacijo vzdrži regulativne in kriptografske zahteve.

Zaključek: KYA kot pomemben napredek na področju digitalne identitete

Skratka, lahko ugotovimo: KYA je veliko več kot le minljiv marketinški izraz – gre za dragocen evolucijski koncept, ki neposredno temelji na preizkušenih temeljih KYC. KYC ostaja nenadomestljivo jedro arhitektur zaupanja, KYA pa to jedro razširja z dimenzijo varnega avtomatiziranega pooblastila v dobi umetne inteligence.

Prav na tem stičišču podjetje sproof aktivno razvija inovativne koncepte. Cilj je vzpostaviti arhitekture, ki omogočajo pravno varno, proti manipulaciji odporno in skladno z zakonodajo povezovanje agentov umetne inteligence s fizičnimi osebami in njihovimi QES.

Ali in kdaj bodo sploh kdaj obstajali popolnoma avtonomni agenti, ki bodo brez kakršnega koli posredovanja človeškega naročnika lahko veljavno avtorizirali transakcije z ravnjo zanesljivosti (LoA) »High« – je še daleč v prihodnosti; vendar pa pot do tega nujno vodi prek inteligentne povezave med človekom in strojem ter preverjanja na podlagi tveganja s strani zaupanja vrednih organov, kot jih KYA že danes opisuje.

Pogosta vprašanja na to temo

Pripravite svojo infrastrukturo za upravljanje identitet na novo obdobje »Agentic Banking«. Od strokovnjakov iz podjetja sproof izvedite, kako lahko z analizo tveganj na podlagi transakcij, podpisi, skladnimi z uredbo eIDAS, in najsodobnejšimi postopki identifikacije pravno varno vpeljete zapletene delovne tokove umetne inteligence. Dogovorite se za pogovor s strokovnjakom →