Toc toc. Quem é? Uma nova camada de confiança. Onboarding e agentes de IA

Duas coisas me fizeram parar para pensar nos últimos meses. Na superfície, elas não têm nada a ver uma com a outra. Mas, olhando mais de perto, contam a mesma história.

A primeira é sobre cinema. Hoje, um filme completo pode ser produzido inteiramente com IA: atores que não existem, rostos, vozes, microexpressões indistinguíveis da realidade. Tecnicamente, não precisamos mais de atores de carne e osso para fazer um filme. E ainda assim, quando isso é feito em larga escala, os atores reais, aqueles cujos traços e vozes estão sendo “emprestados” pela IA, terão de autorizar esse uso. A IA consegue fazer tudo sozinha. Mas não sem permissão.

A segunda é sobre robôs. Alguns anos atrás, nós os víamos tropeçar em degraus simples. Hoje eles andam, se movimentam, executam tarefas complexas, às vezes além do que um corpo humano consegue fazer. Um deles pode me ajudar a dobrar roupas em casa? Provavelmente sim, e ninguém vai pedir um documento de identidade para ele. Mas posso enviar um robô para retirar um pacote nos correios? Para pagar usando meu cartão de crédito? Para abrir uma conta bancária em meu nome? A resposta, hoje, é não. Não porque a tecnologia não seja capaz disso, mas porque falta a peça mais importante: uma camada que diga “este agente está autorizado a agir em nome daquele ser humano”.

Dois cenários muito diferentes, o mesmo problema fundamental: a IA está se tornando cada vez mais autônoma, mas autonomia sem autorização não é confiança. É risco.

E nos processos digitais que desenhamos todos os dias, onboarding de clientes, ativação de serviços, assinatura de contratos, esse problema já chegou.

Will Smith e Sonny em I, Robot (2004): “Um robô pode escrever uma sinfonia? Um robô pode transformar uma tela em uma obra-prima?” “E você?”

A cena inverte o clássico teste de Turing: não é o ser humano julgando a máquina, mas a máquina expondo os limites daquele que a está julgando. Exigir que a criatividade artística seja a prova definitiva da humanidade é um critério que excluiria a maior parte dos próprios seres humanos: a definição revela seu caráter arbitrário no exato momento em que é usada para excluir alguém.

É o motivo de Frankenstein reinterpretado em uma chave contemporânea: a criatura expondo a hipocrisia de seu criador, demonstrando uma consciência moral mais clara do que a daquele que a construiu. E o eco de Blade Runner é inconfundível: também ali eram as máquinas que forçavam seus interrogadores a se perguntarem se a diferença entre humano e artificial era ontológica ou apenas uma convenção conveniente.

A verdadeira inversão é que a pergunta “o que faz de você humano?” deixa de ser retórica. Ela se torna desconfortável, porque não existe uma resposta que realmente se sustente.

Quem está realmente do outro lado do seu onboarding?

Quando projetamos nossos fluxos de onboarding alguns anos atrás, tínhamos uma única figura em mente: uma pessoa real do outro lado da tela inserindo seus dados. Na pior das hipóteses, uma pessoa desonesta se passando por outra. Tudo o que veio depois, KYC, videoidentificação, verificação documental, foi construído em torno desse modelo mental.

Hoje, por trás de uma solicitação de onboarding, podem existir pelo menos quatro atores muito diferentes:

• Um ser humano legítimo, o caso clássico para o qual o KYC foi criado.
• Um ser humano fraudulento, usando documentos roubados, impersonação e engenharia social.
• Um agente de IA legítimo, operando em nome de uma pessoa real, cada vez mais comum e prestes a explodir em escala.
• Um agente de IA fraudulento, encadeando ataques autônomos, deepfakes, identidades sintéticas e spoofing de dispositivos em uma velocidade e custo que nenhum ser humano consegue igualar.

O problema é que o KYC tradicional, projetado para os dois primeiros casos, não consegue distinguir o terceiro do quarto. E não consegue por uma razão simples: ele nunca foi pensado para reconhecer uma inteligência artificial, muito menos para decidir se essa inteligência está autorizada a agir.

“O KYC foi projetado para um mundo em que sempre havia um ser humano do outro lado. Esse mundo não existe mais.”

Do KYC ao KYA: o que muda e por que o nível de exigência aumenta

Know Your Customer já não é suficiente. A pergunta muda: quem está agindo, em nome de quem e com qual legitimidade? É uma mudança de paradigma que poderíamos chamar de KYA – Know Your Agent, e ela traz consequências muito práticas:

• O que você verifica muda: não apenas a identidade de uma pessoa, mas a legitimidade da cadeia de delegação “humano → agente”.
• O modelo de ameaça se amplia: além das ameaças clássicas, documentos falsificados, ataques de apresentação, deepfakes, agora enfrentamos ataques agentivos, bots autônomos que orquestram fraudes de ponta a ponta.
• A âncora da confiança se desloca: do documento de identidade para todo o contexto ao redor da interação.

Esse último ponto é, na minha visão, o mais importante e o mais subestimado. Por isso vale a pena dedicar um momento a ele.

Antes, a confiança vivia no documento. Agora, ela vive na cadeia.

Durante duas décadas, o onboarding foi construído em torno de uma ideia aparentemente simples: confiar no documento. Verificar se o documento é verdadeiro, comparar o rosto do documento com o rosto diante da câmera, cruzar os dados com uma base antifraude. É um modelo profundamente orientado ao ser humano do outro lado: cada controle pressupõe uma pessoa diante da câmera, segurando suas próprias credenciais. As camadas biométricas e de eID, incluindo wallets, eram extensões naturais da mesma lógica: quanto mais conseguimos provar quem é o titular, mais podemos confiar na transação.

Essa lógica funcionava porque sempre havia um ser humano do outro lado, segurando uma credencial física ou qualificada. Retire essa premissa e toda a âncora da confiança colapsa sobre algo estreito demais.

Em um mundo KYA, a âncora da confiança precisa se expandir, drasticamente. O documento de identidade ainda pode ser uma peça do quebra-cabeça, mas não é mais o quebra-cabeça inteiro. A confiança agora precisa ser construída a partir de um conjunto muito mais amplo de sinais:

• Sinais do dispositivo
• Indícios comportamentais
• Pegada digital
• Inteligência documental e AML

Por trás de cada um desses rótulos existe uma constelação de dados: fingerprint de hardware e parâmetros de rede do dispositivo utilizado; o ritmo com que os campos são preenchidos, a forma como o cursor se move, padrões de copiar e colar; os rastros digitais deixados por uma pessoa na internet, idade e reputação do e-mail, validação do telefone, presença social; e, claro, as verificações documentais e screenings nos quais sempre confiamos. Nenhum desses sinais é decisivo sozinho. Juntos, porém, desenham um retrato da interação que nenhum documento isolado jamais poderia oferecer: centenas de sinais coletados silenciosamente, avaliados por IA em tempo real e alimentando um mecanismo adaptativo de regras que decide, para este usuário neste contexto, se deve permitir, desafiar ou bloquear.

E quando um agente entra em cena, um quinto pilar se junta aos demais:

• Cadeia de delegação: quem autorizou o agente a agir, com qual escopo e como essa autorização pode ser verificada de ponta a ponta.

O modelo mental precisa se inverter. A confiança não é mais uma propriedade do documento que estou segurando. Ela é uma propriedade da cadeia de evidências que consigo montar ao redor da interação. O documento é um elo. O dispositivo é outro. O comportamento é outro. A delegação, quando há um agente envolvido, é mais um elo. Nenhum deles, sozinho, é suficiente. Juntos, são muito mais resilientes do que o documento jamais foi isoladamente.

Não se trata de substituir o KYC. Trata-se de expandi-lo, aceitando que a premissa fundadora, “há um ser humano do outro lado segurando uma credencial verificável”, já não é sempre verdadeira.

Um desafio que já está aqui, não no futuro

Quando menciono KYA em conversas, às vezes percebo uma reação do tipo “interessante, mas parece ficção científica”. Os dados contam uma história diferente.

• 442 bilhões de dólares: perdas globais estimadas com fraudes financeiras em 2025, segundo o mais recente Global Financial Fraud Threat Assessment da Interpol.
• 4,5 vezes mais lucrativa: a fraude impulsionada por IA hoje gera aproximadamente quatro vezes e meia mais retorno do que a fraude tradicional, com o mesmo esforço.
• 35% das organizações sofreram incidentes envolvendo deepfakes no último ano.
• 61% das empresas possuem agentes de IA em produção, e a Gartner relata que 59% deles operam fora do perímetro de supervisão formal de segurança.

O aspecto mais desconfortável desse cenário não são os números em si, mas o quão barato o ataque se tornou. Há um ano, gerar um vídeo deepfake convincente exigia tempo, poder computacional e dinheiro. Hoje, qualquer pessoa com um notebook e uma chamada de vídeo gravada consegue produzir um em minutos, gratuitamente. E o próximo passo já chegou: identidades sintéticas, rostos que parecem completamente reais, mas não pertencem a ninguém. Nenhum vazamento, nenhum roubo, nenhuma pessoa real para verificar. Um vetor de fraude que escala com uma única chamada de API.

Traduzindo: a superfície de ataque cresceu, está automatizada e economicamente muito mais atraente do que antes. Isso não é um cenário hipotético. É o presente.

Enquanto as equipes de segurança correm atrás dessa onda, as equipes de negócio continuam, corretamente, focadas na pergunta que sempre importou: como evitar perder conversões?

Três forças, um equilíbrio que não pode ser quebrado

Toda plataforma de onboarding vive em uma tensão constante entre três forças:

1. Reduzir fraudes, fechando a porta para atacantes cada vez mais sofisticados e rápidos.
2. Aumentar conversão, sem perder usuários legítimos no caminho.
3. Atingir o nível correto de compliance, nem permissivo demais, nem excessivamente complexo para o caso de uso.

Cada decisão tomada em uma dessas alavancas inevitavelmente afeta as outras. Adicionar um controle reduz fraudes, mas desacelera o fluxo. Simplificar o fluxo aumenta a conversão, mas pode deixar um controle exposto. Um compliance “mínimo” pode proteger de forma insuficiente casos de alto risco.

A chegada dos agentes de IA amplifica todas essas tensões. Novos “matadores” de conversão específicos dos fluxos guiados por agentes estão surgindo:

• APIs que não são agent-friendly: o onboarding exige interação com interface, e o agente não sabe onde clicar.
• Ausência de trust chain: hoje não existe um padrão para verificar quem autorizou um agente a fazer o quê.
• Ausência de um modelo de delegação: falta um framework para a transferência “humano → agente” e vice-versa, quando uma aprovação explícita do humano é necessária.
• Ausência de feedback loop: quando algo falha, o agente não consegue interpretar o erro e tentar novamente de forma inteligente.

Quando um agente de IA falha em um fluxo de onboarding, ele não reclama no seu fórum. Não liga para o suporte. Ele simplesmente vai embora. E, junto com ele, vai embora a transação.

MCP: a língua franca entre agentes de IA e camadas de confiança

MCP – Model Context Protocol é um padrão aberto que permite que modelos e agentes de IA descubram, compreendam e invoquem as capacidades de um sistema externo de forma declarativa, sem que desenvolvedores precisem orquestrar integrações REST linha por linha.

É a mudança que descrevo como a passagem da integração imperativa para a orquestração declarativa:

• Imperativo: digo ao sistema exatamente o que fazer, passo a passo. Semanas de código glue, lógica if-else frágil e um ciclo de release para cada mudança.
• Declarativo: digo ao agente o que quero alcançar. O agente descobre capacidades disponíveis em tempo de execução, decide como combiná-las e gerencia erros e retries sozinho. O que antes exigia semanas de integração se torna configuração.

No papel, o MCP é um enorme facilitador para agentes. Mas, e este é o ponto que quero enfatizar, MCP sozinho não basta. Um padrão aberto é uma porta. Se atrás dessa porta não existir uma camada de confiança decidindo quem entra, o que pode fazer e como suas ações são rastreadas, tudo o que fizemos foi facilitar a vida dos atacantes.

| Não apenas MCP. MCP com uma camada de confiança.

Esse é o princípio que incorporamos ao Namirial OnBoarding MCP Server: o padrão aberto é a forma, mas a substância é a garantia de compliance, identidade verificada e trilha de auditoria no nível de um Qualified Trust Service Provider europeu.

Concretamente, quando um agente de IA se conecta ao nosso servidor MCP para orquestrar um fluxo de onboarding:

1. Ele se autentica por meio do My Namirial SSO: cada ação é rastreável até uma identidade corporativa real, não uma API key compartilhada, mas a mesma identidade que o usuário possui no portal.
2. Ele herda as permissões do seu operador: o agente não pode fazer nada que seu operador humano já não possa fazer na plataforma. Nenhuma escalada de privilégios por meio de prompt injection.
3. Ele recebe automaticamente a configuração regulatória da jurisdição: as regras de KYC italianas são diferentes das alemãs ou espanholas. O servidor aplica automaticamente as regras corretas de acordo com o país e o tipo de cliente.
4. Ele gera uma trilha de auditoria compatível com o AI Act: cada chamada de ferramenta é registrada com contexto conversacional, identidade do agente, timestamps e hashing resistente a adulteração, pronta para reguladores.

O resultado prático para quem integra é que um simples prompt em linguagem natural como “Crie uma solicitação de onboarding KYC para um cliente individual italiano e gere um link de verificação com QR code” é traduzido em uma cadeia de chamadas de API certificadas, governadas e rastreáveis. O que, visto de fora, parece uma simples verificação de identidade é, na verdade, uma jornada adaptativa e inteligente passo a passo: a plataforma decide quais controles aplicar, em qual ordem e quando escalar, de acordo com o contexto de cada interação. O desenvolvedor se concentra no workflow de negócio; os controles de eIDAS, AMLR e AI Act são aplicados do lado do servidor, sem precisar ser reimplementados para cada novo agente.

Existe outra nuance importante que vale destacar. A camada de confiança não exclui o integrador do fluxo, ela trabalha junto com ele. Ao longo de toda a jornada de onboarding, a plataforma emite eventos aos quais o system integrator pode reagir: acionando verificações adicionais, exibindo uma mensagem personalizada ao usuário ou pedindo que ele refaça uma etapa. O integrador coopera para entregar uma transação bem-sucedida; o que ele não pode fazer é enfraquecer o compliance garantido ponta a ponta pela plataforma.

“Quanto mais capaz a IA se torna, mais crítica se torna a capacidade de confiar nela.”

Em outras palavras: o agente acelera, mas a confiança nunca é delegada.

O que isso significa para quem projeta onboarding hoje

Quando converso com CIOs, CISOs e Heads de Digital, há uma frase que aparece repetidamente: “nosso onboarding funciona há anos, por que deveríamos mudá-lo?”

Minha resposta é simples. Não precisamos mudar o onboarding. Precisamos mudar a forma como pensamos o onboarding. Durante anos, a premissa predominante em toda a indústria foi a de que existia apenas um tipo de contraparte do outro lado: um ser humano segurando uma credencial verificável. Essa premissa já não é sempre verdadeira. O público do outro lado agora é plural, humanos, agentes, híbridos, e nossos fluxos precisam ser capazes de receber todos eles, com o nível correto de assurance para cada caso.

Três princípios orientadores, vindos da experiência prática:

• Não é o cliente que precisa se adaptar à plataforma. É a plataforma que precisa se adaptar ao contexto. Modularidade, configurabilidade, certificação: a mesma infraestrutura precisa ser capaz de oferecer tanto uma ativação de serviço de baixa fricção quanto uma Assinatura Eletrônica Qualificada com o mais alto nível de assurance, apenas por configuração.
• Confiança é uma cadeia, não um checkpoint. Ela não pode residir em uma única etapa, verificação documental, liveness, OTP. Ela precisa ser construída a partir de toda a interação, documento, dispositivo, comportamento, pegada digital, delegação, e avaliada em tempo real. Apenas uma cadeia consegue resistir aos agentes de IA; um único checkpoint jamais conseguirá.
• Auditoria é um requisito de design, não uma reflexão posterior. Com o AI Act em vigor e reguladores começando a exigir evidências de decisões conduzidas por IA, registrar quem fez o quê e por quê faz parte do produto, não é apenas um nice-to-have.

O ponto central, em uma frase

Podemos continuar chamando isso de “onboarding”, mas o que realmente estamos construindo é algo maior: um sistema de confiança capaz de determinar, em tempo real, quem realmente está do outro lado, um ser humano, um agente, uma cadeia legítima de delegações ou um ataque automatizado, e conceder a cada um o nível correto de confiança.

A IA pode fazer muitas coisas em nosso nome. Mas não sem permissão.

Cabe a nós, como indústria, construir a infraestrutura capaz de emitir, verificar e, acima de tudo, garantir essa permissão.

Quer ver como isso funciona na prática?

Na Namirial, construímos uma plataforma de onboarding modular, abertamente componível por agentes de IA por meio do Namirial OnBoarding MCP Server. Se você está desenhando o seu próximo fluxo de onboarding, vamos conversar: descubra o Namirial Onboarding.

E se você achou este artigo útil, compartilhe-o ou deixe um comentário no LinkedIn. KYA é uma conversa que estamos começando agora, e eu gostaria de ouvir muitas vozes diferentes sobre ela.