2026–2027 AML & Identidade Digital: por que estamos diante de uma revolução estrutural no KYC

AML-KYC: uma mudança estrutural, não uma evolução incremental

Os anos de 2026 e 2027 não representarão simplesmente mais um marco regulatório para os departamentos de compliance. Eles representarão um ponto de inflexão estrutural para a identidade digital, o onboarding de clientes, os pagamentos e as infraestruturas de confiança em toda a Europa e provavelmente muito além.

O que está chegando não é uma onda. É um tsunami.

No centro dessa transformação está o regulamento eIDAS revisado (eIDAS 2.0), que determina que, até dezembro de 2026, todos os Estados-Membros da União Europeia disponibilizem pelo menos uma European Digital Identity Wallet (EUDIW). Até dezembro de 2027, a obrigação de aceitar essas carteiras se estenderá não apenas às administrações públicas, mas também às grandes plataformas online e às entidades privadas reguladas, incluindo bancos, operadoras de telecomunicações e empresas de serviços públicos.

Em paralelo, 2027 também marcará a plena aplicabilidade do novo Anti-Money Laundering Regulation (AMLR), supervisionado pela nova Autoridade Europeia de Combate à Lavagem de Dinheiro (AMLA). Os Regulatory Technical Standards (RTS) já estão em consulta pública, indicando que o perímetro de compliance está se tornando mais rigoroso ao mesmo tempo em que a infraestrutura digital está sendo redesenhada.

A isso se soma a rápida evolução das fraudes impulsionadas por inteligência artificial, dos fluxos biométricos baseados em NFC, dos sistemas agenticos e de uma nova economia em que não apenas indivíduos (KYC), mas também empresas (KYB) e agentes autônomos (KYA) precisam ser verificados, monitorados e considerados confiáveis.

Por fim, identidade e pagamentos – por muito tempo tratados como domínios adjacentes – estão convergindo. Discussões globais recentes, incluindo contribuições relevantes de instituições internacionais e consórcios industriais europeus, sugerem que a fusão entre identidade digital e infraestruturas de pagamento pode abrir novos modelos de inclusão financeira, segurança e eficiência econômica.

As implicações para o onboarding são profundas. Para provedores de serviços de confiança, setores regulados e plataformas digitais, os próximos dois anos redefinirão escala, interoperabilidade e vantagem competitiva.

Da disponibilidade à adoção: o verdadeiro desafio da European Digital Identity Wallet

Até dezembro de 2026, os Estados-Membros da UE deverão oferecer aos cidadãos acesso a uma European Digital Identity Wallet. O regulamento coloca a infraestrutura em movimento. No entanto, disponibilidade não significa necessariamente adoção.

A Europa já viu essa dinâmica antes.

Considere o SPID italiano (Sistema Pubblico di Identità Digitale). Introduzido em 2016, o SPID levou quase uma década para alcançar uma parcela significativa da população (hoje quase 100%, considerando as gerações mais jovens). A adoção só acelerou quando casos de uso concretos se tornaram indispensáveis: declarações fiscais, serviços relacionados à pandemia, benefícios públicos e serviços digitais da administração pública. A infraestrutura por si só não impulsionou o crescimento, foi a utilidade.

A Comissão Europeia estabeleceu uma meta ambiciosa: 80% dos cidadãos da UE utilizando uma solução de identidade digital até 2030. Alcançar esse objetivo exige mais do que prazos regulatórios. Exige um ecossistema convincente de serviços que torne a carteira indispensável.

A EUDIW conterá atributos de identidade, credenciais e certificações que poderão ser compartilhados de forma seletiva. Contudo, seu potencial transformador reside na capacidade de reduzir atritos no onboarding e na autenticação transfronteiriça. Se implementada adequadamente, poderá eliminar procedimentos KYC repetitivos, permitir confiança portátil e simplificar transações internacionais.

A maioria dos novos casos de uso que estão surgindo em torno da carteira não se baseia apenas na prova de identidade, mas na troca controlada de atributos específicos, qualificação profissional, residência, função corporativa, titularidade efetiva, faixas ou limites de renda, credenciais de seguro, certificações de IBAN. Os atributos são a verdadeira revolução da EUDIW. Eles permitem divulgação seletiva, minimização de dados e verificação específica por finalidade, transformando fundamentalmente a forma como os processos de onboarding e compliance são concebidos.

Para que essa revolução possa escalar, entretanto, a emissão e a verificação de atributos precisam ser economicamente sustentáveis. Por isso é essencial projetar modelos transacionais de verificação de atributos que criem incentivos claros para emissores, verificadores e relying parties.

Na Namirial, estamos na linha de frente na definição dos habilitadores que tornam esses modelos transacionais de atributos sustentáveis em grande escala, exatamente o tipo de modelo que já demonstrou sucesso em esquemas de identidade digital adotados nacionalmente, como SPID na Itália, itsme na Bélgica, BankID nos países nórdicos ou Evrotrust na Bulgária. Esses ecossistemas demonstram que, quando a verificação é sustentada por estruturas econômicas viáveis, a adoção acontece e as infraestruturas de confiança se tornam duradouras.

Ainda assim, a adoção depende de três fatores críticos:

1. Casos de uso convincentes no setor privado
2. Experiência do usuário fluida
3. Confiança em segurança e proteção de dados

Sem esses elementos, a carteira corre o risco de se tornar um instrumento formal de compliance, em vez de um companheiro digital do dia a dia.

Dezembro de 2027: o momento da aceitação obrigatória

Se 2026 diz respeito à disponibilidade, 2027 diz respeito à obrigação.

A partir de dezembro de 2027, conforme o artigo 5f do regulamento eIDAS revisado (eIDAS 2.0), as administrações públicas deverão aceitar a European Digital Identity Wallet. Mais importante ainda, a mesma disposição estende essa obrigação às grandes plataformas online designadas pela legislação da UE e às entidades privadas reguladas, como bancos, operadoras de telecomunicações e empresas de serviços públicos, que também serão obrigadas a aceitá-la para autenticação e identificação.

Isso mudará drasticamente o cenário competitivo.

As grandes plataformas – Google, Amazon, Meta – terão de integrar os padrões europeus de identidade em seus fluxos de autenticação. Os setores regulados precisarão redesenhar suas jornadas de onboarding para incorporar a verificação de identidade baseada em carteira. A questão não será mais se aceitar a carteira, mas como integrá-la de forma a melhorar a experiência do cliente mantendo a conformidade regulatória.

Para os bancos, isso pode significar que o processo de onboarding de novos clientes passe do envio de documentos e captura biométrica para a recuperação de credenciais e a divulgação seletiva de atributos. Para operadoras de telecomunicações, o registro de SIM e a ativação de clientes podem se tornar processos nativos da carteira. Para empresas de serviços públicos, assinatura de contratos e adesão a serviços podem se tornar quase instantâneas. Tudo isso significa menores custos de aquisição de clientes, maiores taxas de conversão, maior segurança e melhores jornadas de cliente. E já vimos isso com eIDs existentes, onde o tempo de onboarding caiu de minutos para segundos, com aumento significativo na taxa de conversão do funil.

Então… obrigado, Papai Noel!

A obrigação de aceitar a carteira criará efetivamente uma camada continental de interoperabilidade de identidade. No entanto, essa nova camada não será estática: nos próximos cinco a dez anos, as organizações precisarão de processos de onboarding e autenticação flexíveis e modulares capazes de lidar com diferentes tipos de fluxos – desde simples provas de identidade até verificações complexas de múltiplos atributos – acomodando diferentes preferências dos usuários sobre como compartilhar credenciais e gerenciar consentimento.

Os vencedores serão aqueles capazes de projetar arquiteturas adaptativas que orquestrem dinamicamente dados de identidade, atributos e divulgações controladas pelo usuário, aproveitando estrategicamente a carteira e o KYC em vez de tratá-los como mera exigência regulatória.

AMLR e AMLA: a conformidade agora em nível europeu

Ao mesmo tempo, 2027 marcará a aplicabilidade do novo Anti-Money Laundering Regulation (AMLR), diretamente aplicável nos Estados-Membros a partir de julho de 2027 e supervisionado pela nova Autoridade Europeia de Combate à Lavagem de Dinheiro (AMLA).

Isso não é uma atualização menor. Trata-se de uma harmonização sistêmica das obrigações de AML em toda a Europa.

Os Regulatory Technical Standards (RTS), atualmente em consulta pública, indicam um movimento em direção a avaliações de risco mais granulares, due diligence harmonizada e obrigações de reporte mais robustas. Em particular, o artigo 22 do AMLR reforça o quadro de customer due diligence (CDD) ao esclarecer os requisitos para identificação e verificação de clientes e beneficiários finais, enquanto o correspondente artigo 7 do projeto de RTS de CDD especifica com maior detalhe os padrões operacionais e técnicos que as entidades obrigadas devem seguir ao se basearem em meios de identificação digital e serviços de confiança.

A mudança de uma abordagem baseada em diretivas para um regulamento diretamente aplicável reduz a fragmentação e aumenta a convergência da supervisão. Em última análise, o objetivo do legislador é criar processos de identificação e compliance que possam ser utilizados em toda a União Europeia, reduzindo a necessidade de interpretações nacionais fragmentadas ou de localizações específicas de supervisão — como as historicamente observadas com autoridades como a BaFin na Alemanha (ver também o artigo do escritório Bird & Bird “Germany: Video identification only as a fallback: EBA is shifting to eIDAS”) ou a SEPBLAC na Espanha, e promovendo um verdadeiro mercado único para identidade digital e conformidade AML.

Para os processos de onboarding, isso significa que as entidades obrigadas precisarão adotar uma abordagem baseada em risco e orientada ao contexto, combinando diferentes meios de identificação de acordo com o caso de uso específico, o perfil de risco e a jornada do cliente.

Em alguns cenários, pode ser apropriado confiar no European Digital Identity Wallet e em atestados eletrônicos qualificados; em outros, esquemas eID notificados nacionalmente ou sistemas domésticos de identidade digital existentes podem continuar sendo preferíveis; em outras situações ainda, pode ser necessária verificação biométrica, detecção de vivacidade (liveness) ou medidas reforçadas de due diligence, respeitando os requisitos atualizados provenientes dos futuros RTS de CDD.

Portanto, também para o AMLR, o Papai Noel está chegando e até mesmo no verão de 2027.

De forma crucial, as instituições precisarão documentar e justificar essas escolhas perante suas autoridades competentes, demonstrando que o fluxo de identificação selecionado é proporcional, está em conformidade com o artigo 22 do AMLR e com os respectivos RTS, e está alinhado com seu framework interno de avaliação de risco:

• maior escrutínio sobre a confiabilidade da verificação de identidade
• requisitos mais claros para monitoramento contínuo
• expectativas mais fortes em relação a trilhas de auditoria digitais
• maior responsabilidade para setores de alto risco

A interação entre o AMLR e o European Digital Identity Wallet é onde a revolução se torna evidente. Se as carteiras fornecerem atributos de identidade de alto nível de garantia e credenciais verificáveis, elas podem servir como entradas padronizadas nos processos AML. No entanto, as instituições continuarão responsáveis pela avaliação de risco.

Em outras palavras, as carteiras podem simplificar a aquisição de dados, mas não eliminam a responsabilidade de compliance.

As organizações capazes de combinar onboarding baseado em wallet com análise de risco impulsionada por IA, detecção de fraude e monitoramento contínuo definirão a próxima geração de ecossistemas de onboarding conformes — capazes não apenas de satisfazer os reguladores, mas também de vencer a batalha da experiência do cliente.

O campo de batalha da fraude: IA contra IA

A identidade digital está sob ataque.

A inteligência artificial generativa tornou identidades sintéticas, vídeos deepfake e campanhas automatizadas de phishing mais sofisticados e escaláveis do que nunca. Os fraudadores agora operam com ferramentas que rivalizam com tecnologias de nível corporativo.

Mas a mesma revolução da IA também fornece contramedidas.

Detecção avançada de vivacidade, biometria comportamental, detecção de ataques de injeção e ataques de apresentação, além de sistemas de pontuação de risco em tempo real, estão se tornando cada vez mais capazes de identificar manipulações sintéticas. O campo de batalha está se transformando em IA contra IA.

Nesse ambiente, o onboarding precisa equilibrar três objetivos concorrentes:

1. segurança contra fraudes avançadas
2. conformidade regulatória
3. experiência do cliente sem fricção

Historicamente, aumentar a segurança significava aumentar a fricção. A promessa da identidade baseada em carteira é reduzir a fricção mantendo altos níveis de garantia. Em vez de capturar dados biométricos repetidamente, as instituições podem confiar em credenciais previamente verificadas armazenadas na carteira.

Entretanto, a fraude não desaparece, ela se desloca. Os atacantes podem visar processos de emissão de carteiras, roubo de credenciais ou engenharia social.

Nesse contexto, o uso de tecnologias biométricas avançadas torna-se cada vez mais indispensável para garantir prova de identidade remota de alta garantia e combater ataques sofisticados baseados em IA, como deepfakes e identidades sintéticas.

Por essa razão, a conformidade com padrões técnicos rigorosos e certificações independentes está se tornando um fator crítico de confiança para todo o ecossistema. Frameworks como ETSI TS 119 461 v2.1.1, que define requisitos atualizados para serviços confiáveis de prova de identidade remota, são essenciais para garantir confiabilidade, segurança e aceitação regulatória em toda a Europa.

É também por isso que, na Namirial, investimos significativamente na obtenção da certificação ETSI 119 461, reforçando nosso compromisso de fornecer tecnologias de verificação de identidade que atendam aos mais altos padrões europeus, ao mesmo tempo em que suportam onboarding digital escalável e seguro.

Além dos indivíduos: KYB e o surgimento do Business Wallet

A revolução não se limita aos indivíduos.

Os processos de Know Your Business (KYB) continuam sendo notoriamente complexos, especialmente em operações transfronteiriças. Estruturas corporativas, titularidade efetiva e requisitos documentais criam fricção e atrasos.

O conceito emergente de Business Wallet – armazenando credenciais corporativas verificáveis, certificados de registro, atestações de titularidade efetiva e documentação de conformidade – pode simplificar drasticamente o onboarding B2B.

Um framework europeu padronizado para identidade empresarial permitiria:

• onboarding mais rápido de fornecedores
• acesso simplificado a serviços financeiros para PMEs
• autenticação corporativa transfronteiriça

Em um mercado único que busca fortalecer a soberania digital e a competitividade europeia, reduzir a fricção nos processos KYB poderia desbloquear um valor econômico significativo.

Na Namirial, acreditamos fortemente que o Business Wallet não é apenas uma evolução técnica dos processos de KYB, mas um pilar estratégico para o futuro da Europa, permitindo comércio transfronteiriço confiável, fortalecendo a soberania digital e fornecendo a PMEs e grandes empresas uma infraestrutura de identidade escalável e interoperável adequada para a próxima década de integração econômica.

KYA: identificando agentes na economia agentica

A ascensão de agentes autônomos baseados em IA introduz uma nova dimensão: Know Your Agent (KYA).

À medida que sistemas de inteligência artificial passam a atuar cada vez mais em nome de indivíduos e empresas – executando transações, negociando contratos e iniciando pagamentos – surge uma nova pergunta: como identificar, autenticar e autorizar atores não humanos?

As discussões da indústria já estão explorando identidades confiáveis para agentes de IA. O conceito envolve atribuir credenciais verificáveis aos agentes, vinculá-los a entidades legais responsáveis e garantir rastreabilidade.

Sem um framework robusto de confiança, a economia agentica corre o risco de se tornar um terreno fértil para automação irresponsável e fraude.

O framework europeu de identidade digital oferece uma oportunidade única para definir padrões para identidades de agentes desde cedo. Se Business Wallets e Digital Identity Wallets puderem interagir com credenciais de agentes, a Europa poderá influenciar normas globais para transações de IA responsáveis.

Identidade e pagamentos: uma convergência estratégica

Historicamente, verificação de identidade e pagamentos evoluíram em paralelo. Mas essa convergência está se acelerando.

Carteiras digitais capazes de armazenar credenciais de identidade junto com instrumentos de pagamento criam oportunidades para processos de onboarding e transações integrados. Strong Customer Authentication (SCA), conformidade AML e autorização de pagamentos podem se tornar partes de uma experiência unificada.

É exatamente por isso que, dentro do Architecture and Reference Framework (ARF) da EUDI Wallet, começamos a ver referências explícitas a mecanismos de SCA e à capacidade de gerenciar tokens de transação de forma segura e interoperável. No horizonte regulatório, espera-se que a mesma abertura e neutralidade tecnológica seja refletida no futuro quadro da Payment Services Regulation (PSR) e da PSD3, permitindo que carteiras de identidade interajam nativamente com ecossistemas de pagamento e suportem fluxos transacionais compatíveis e centrados no usuário em toda a Europa.

Discussões globais recentes destacam a importância de conectar sistemas de identidade digital às infraestruturas de pagamento para melhorar a inclusão financeira e reduzir fraudes. Essa perspectiva é refletida no relatório recente do Banco Mundial “ID Meets Instant: Enabling Trusted, Inclusive Fast Payments through Digital ID” (fevereiro de 2026), bem como no non-paper do Webuild Consortium, “Trusted Identities for AI Agents – An Opportunity for Europe”, que defende um alinhamento estratégico entre identidades digitais confiáveis, capacidades transacionais e competitividade europeia.

Quando a identidade é confiável e portátil, serviços financeiros podem ser oferecidos mais rapidamente e a custos menores.

No entanto, combinar identidade e pagamentos também levanta questões de governança, privacidade e responsabilidade. Uma separação clara de funções, o consentimento do usuário e a minimização de dados devem permanecer centrais. Além disso, a alocação de responsabilidades entre emissores de carteiras, provedores de serviços de pagamento, relying parties e emissores de atributos deve ser claramente definida: Quem é responsável em caso de uso fraudulento de credenciais, tokens de transação comprometidos, atributos incorretos ou falhas nos fluxos de autenticação?

À medida que as camadas de identidade e pagamento convergem, a segurança jurídica sobre os modelos de responsabilidade será tão importante quanto a interoperabilidade técnica, garantindo que a inovação não ultrapasse a responsabilidade. É justamente nos detalhes técnicos – dentro da evolução do Architecture and Reference Framework e, sobretudo, no desenho final e nas interpretações da PSR e PSD3 – que essa alocação de responsabilidades e a interação prática entre as camadas de identidade e pagamento se tornarão mais claras, definindo o verdadeiro equilíbrio operacional entre inovação, risco e responsabilidade.

Escala como fator decisivo

Infraestruturas de confiança exigem investimentos significativos.

Construir sistemas de identidade compatíveis, manter defesas de cibersegurança, integrar detecção de fraude baseada em IA e garantir interoperabilidade transfronteiriça exige recursos substanciais.

Escala não é opcional, é fundamental.

Grandes Trust Service Providers, Qualified Trust Service Providers (QTSP) e players estabelecidos no setor de identidade estão particularmente bem posicionados para apoiar esse ecossistema. Eles combinam expertise regulatória, capacidade tecnológica e resiliência operacional.

Em um mercado fragmentado, atores menores podem ter dificuldade em acompanhar o ritmo das mudanças regulatórias e da inovação tecnológica. Por isso, consolidação e parcerias estratégicas são prováveis.

O papel dos líderes de confiança no novo ecossistema

À medida que a Europa entra nessa fase transformadora, os Trust Service Providers desempenham um papel central.
Eles atuam como:

• emissores de certificados qualificados e credenciais
• provedores de soluções de identificação remota
• integradores de infraestrutura de carteiras digitais
• facilitadores de conformidade para setores regulados

Sua missão se expande além da simples prestação de serviços técnicos. Eles se tornam arquitetos de ecossistemas de confiança digital.

Nesse ambiente, inovação deve coexistir com confiabilidade. A conformidade regulatória não pode ser um pensamento posterior – deve ser incorporada desde o design. Na Namirial, estamos investindo fortemente nesses fluxos emergentes de identidade e pagamentos, desenvolvendo soluções de KYC e onboarding que permitem que nossos maiores clientes gerenciem a complexidade regulatória, técnica e operacional que os aguarda na próxima década.

Acreditamos que apenas plataformas flexíveis, interoperáveis e construídas com o princípio de compliance-by-design podem realmente apoiar instituições que enfrentam obrigações convergentes de eIDAS, AMLR e pagamentos.

Temos orgulho de que nossa plataforma Namirial Onboarding já nos posicionou como um líder reconhecido nos mercados regulados de verificação de identidade, demonstrando nossa capacidade de combinar identificação com alto nível de garantia, verificação biométrica avançada, suporte a esquemas eID, futuras carteiras digitais e capacidades de orquestração escaláveis, em ambientes onde conformidade e experiência do cliente devem caminhar lado a lado.

O ponto de inflexão de 2026–2027

Quando historiadores da transformação digital olharem para trás, 2026–2027 poderá ser visto como o momento em que a Europa passou de iniciativas fragmentadas de identidade digital para uma arquitetura unificada de confiança.

A emissão obrigatória de carteiras digitais, a obrigação de aceitá-las, a aplicação do AMLR sob supervisão da AMLA, o amadurecimento das defesas contra fraude baseada em IA, o surgimento de Business Wallets e os primeiros passos rumo à identidade de agentes criam uma convergência raramente vista na história regulatória.

Para as organizações, complacência não é uma opção, mas o objetivo final é transformar regulamentação em vantagem competitiva.

A preparação exige:

• alinhamento estratégico de roadmaps
• investimento em tecnologia e arquiteturas adaptativas
• coordenação entre compliance, IT e unidades de negócio

Quem se mover primeiro moldará o ecossistema. Quem esperar terá de se adaptar a ele.

Conclusão: surfando o tsunami

Um tsunami redefine litorais.

A revolução da identidade digital e do onboarding entre 2026 e 2027 redefinirá infraestruturas de confiança, compliance regulatória e experiência do cliente em toda a Europa.

Para as organizações, a mensagem é clara: a preparação precisa começar agora. As instituições devem começar mapeando suas futuras arquiteturas de onboarding, avaliando como fluxos EUDI Wallet, esquemas eID nacionais e verificação biométrica podem coexistir dentro de plataformas de orquestração flexíveis. Devem reavaliar os seus modelos de risco à luz do Artigo 22 do AMLR e das RTS emergentes, investir em detecção de fraude baseada em IA e em tecnologias biométricas certificadas, e garantir que os seus sistemas estejam preparados para lidar com verificação baseada em atributos e autenticação baseada em carteiras digitais. Tão importante quanto isso, devem alinhar as equipas de compliance, TI, produto e experiência do cliente para redesenhar as jornadas de onboarding de forma que estejam prontas para os requisitos regulatórios e, ao mesmo tempo, centradas no cliente.

No centro dessa transformação está uma verdade simples: a confiança precisa ser escalável.

As organizações capazes de combinar rigor regulatório, excelência tecnológica e escala continental não apenas sobreviverão ao tsunami, elas definirão o novo litoral da Europa digital.

Como Namirial, estamos prontos para apoiar nossos clientes nos próximos passos estratégicos, ajudando-os a navegar pela complexidade regulatória, transformação tecnológica e novos paradigmas de confiança que definirão o futuro digital da Europa.