Chcesz porozmawiać z autorem artykułu?
Know Your Agent (KYA) w erze Machine Customer - jak banki budują zaufanie do agentów AI
18 lut 2026 / 7min
W świecie, w którym klientem coraz częściej jest algorytm, bank musi poznać nie tylko człowieka, ale też jego agenta.
Jeśli prognozy Gartnera się potwierdzą, to do 2030 r. agenci AI będą inicjować lub współdecydować o zakupach wartych ok. 30 bilionów dolarów, a firmy będą widzieć w nich źródło ok. 20–21% przyszłych przychodów.
To trzecia fala cyfrowej akwizycji, w której „klientem” coraz częściej jest algorytm działający wyłącznie na danych i logice oferty. Warunkiem dopuszczenia Machine Customer do procesów i transakcji jest KYA (Know Your Agent) – nowy odpowiednik KYC (Know Your Customer – „poznaj swojego klienta”) dla agentów. W tekście pokazujemy, dlaczego ta zmiana redefiniuje relację z klientem i jak banki mogą utrzymać przewagę, gdy decyzja zaczyna zapadać poza ich interfejsem.
KYA po wejściu Machine Customer – dlaczego to temat krytyczny?
Wejście w erę Machine Customer sprawia, że Know Your Agent (KYA) staje się dla banków tematem pierwszej potrzeby. Agent AI przejmuje rolę interfejsu i „bramkarza” dostępu do klienta: to on analizuje oferty, filtruje je według celu użytkownika i coraz częściej będzie wpływał na finalny wybór, a w kolejnych etapach także na samą transakcję. W takim modelu bank nie może dopuścić do procesów anonimowego lub nieweryfikowalnego agenta, bo bez KYA nie ma bezpiecznych decyzji i transakcji agentowych. Skala wyzwania jest nowa, gdyż agent działa szybciej i częściej niż człowiek, generuje wielokrotnie więcej zapytań i decyzji, więc każde niedopatrzenie w identyfikacji czy autoryzacji kumuluje ryzyko wykładniczo, a nie liniowo.
Dodatkową presję narzucają regulacje. EU AI Act i DORA wymagają realnej kontroli nad systemami AI, audytowalności ich działań oraz możliwości wyjaśnienia decyzji w sposób zrozumiały dla człowieka i regulatora. Dlatego w tej serii warto jasno postawić tezę: KYA jest warunkiem wejścia w świat agentowych transakcji, podobnie jak KYC było fundamentem bezpiecznej, masowej bankowości cyfrowej. Bez tego kroku trudno mówić o skali, zaufaniu i przewadze konkurencyjnej w świecie, w którym coraz częściej to algorytm, a nie człowiek, staje się „klientem” banku.
Czym jest KYA i czym różni się od KYC
Know Your Agent (KYA) to zestaw procedur i mechanizmów, które pozwalają bankowi zweryfikować nie-ludzkiego uczestnika rynku, czyli agenta AI działającego w imieniu klienta. Najprościej: to odpowiednik KYC, ale dla agentów. Różnica jest jednak fundamentalna. KYC sprawdza tożsamość i wiarygodność człowieka. KYA musi ocenić jednocześnie i człowieka i oprogramowanie, które go reprezentuje. Bank nie może założyć, że agent „z definicji” działa poprawnie. Musi wiedzieć, kto nim steruje, jaki ma cel i jakimi uprawnieniami dysponuje. W praktyce oznacza to konieczność weryfikacji kilku kluczowych rzeczy:
tożsamości agenta;
tego, kto jest jego właścicielem i ponosi odpowiedzialność za działanie;
celu działania;
zakresu uprawnień, czyli mandatu i limitów;
integralności wersji, czyli informacji, czy agent nie został zmodyfikowany w sposób, który zmienia jego zachowanie.
Ważny kontekst technologiczny jest taki, że KYA to praktyczne rozszerzenie klasycznego IAM (Identity & Access Management) w banku. Skoro IAM od lat zarządza tożsamością i dostępem ludzi oraz systemów, to w świecie Machine Customer potrzebujemy analogicznej warstwy dla agentów. Stąd pojęcie AIAM (AI Identity & Access Management), związane z KYA: mechanizmu, który zarządza tożsamością agenta AI, jego dostępem do usług banku, mandatami, limitami oraz pełną audytowalnością działań. Bez tego bank nie ma narzędzi, by bezpiecznie dopuścić agentów do procesów, które dotąd były wyłącznie „ludzkie”.
„Cyfrowy paszport agenta” – co powinno znaleźć się w standardzie KYA
KYA w praktyce opiera się na idei „cyfrowego paszportu agenta”, czyli zestawu informacji, które agent AI musi przedstawić bankowi, zanim uzyska dostęp do usług i podejmowania działań w imieniu klienta.
Taki paszport powinien zawierać:
Kluczowe są również dowody integralności i bezpieczeństwa oprogramowania. Bank musi mieć pewność, że agent działa na zatwierdzonej, niezmienionej wersji. Do tego dochodzi pełny ślad audytowy decyzji oraz możliwość jasnego wyjaśnienia działań agenta w języku zrozumiałym dla człowieka. Krótko mówiąc, paszport musi być czytelny dla banku, przejrzysty dla klienta i spełniający wymogi dowodowe regulatora.
Warto zauważyć, że w cyfrowej gospodarce „paszporty” produktów funkcjonują już dziś jako standard. e-commerce opisuje oferty tak, by były zrozumiałe dla maszyn poprzez metadane, schematy, cyfrowe karty produktu, feedy. Skoro produkty mają swoje cyfrowe paszporty, to agenci, którzy je wybierają i kupują, tym bardziej powinni je posiadać. Bez tego nie da się zbudować zaufania ani uruchomić automatyzacji transakcji na dużą skalę, ponieważ bank nie będzie wiedział, z kim tak naprawdę „rozmawia” i komu powierza decyzje.
Brak wspólnego standardu KYA na rynku
Dziś największym hamulcem rozwoju Machine Customer w finansach nie jest technologia agentów, tylko brak wspólnego standardu KYA – i równie istotnie, aktualna architektura większości systemów bankowych, która wciąż jest projektowana pod człowieka, a nie pod masowe, automatyczne zapytania agentów. Różni dostawcy AI rozwijają swoje rozwiązania równolegle, a każdy z nich stosuje inne metody identyfikacji i autoryzacji agenta. W efekcie pojawia się problem interoperacyjności. Bank nie ma jednego, przewidywalnego sposobu „rozpoznania” agenta i oceny, czy może mu zaufać. To przekłada się na bardzo konkretne skutki biznesowe.
- Po pierwsze, deficyt zaufania blokuje procesy agentowe, ponieważ instytucje wstrzymują decyzje o dopuszczaniu agentów do działań transakcyjnych, bo ryzyko jest trudne do oszacowania.
- Po drugie, rośnie ryzyko podszywania się botów i nadużyć w imieniu klientów, co w świecie automatycznych decyzji może eskalować szybciej niż w kanałach obsługiwanych przez ludzi.
- Po trzecie, brak standardów powoduje, że koszty compliance przesuwają się na późny etap, często dopiero po incydencie, czyli w momencie, gdy naprawa problemu wymaga równoległych działań technologicznych, prawnych i operacyjnych, a bank ponosi jednocześnie wysokie koszty finansowe oraz ryzyko poważnych strat wizerunkowych.
Co ważne, luka będzie się pogłębiać, bo płatności agentowe rozwijają się szybciej niż standardy tożsamości. Visa, Mastercard i PayPal budują już infrastrukturę pod agentic commerce, a brak uzgodnionej warstwy KYA sprawi, że presja na banki będzie rosła. Agenci zaczną pojawiać się w ekosystemie transakcyjnym, zanim rynek wypracuje zasady zaufania.
Z perspektywy IAM oznacza to także, że nie istnieje dziś wspólna warstwa „federacji tożsamości agentów”, analogiczna do tej, którą IAM wypracował przez lata dla ludzi i usług cyfrowych. Dopóki taka federacja nie powstanie, każdy bank będzie musiał budować własne reguły zaufania do agentów, co spowolni adaptację i zwiększy koszt wejścia w erę Machine Customer.
Jak bank ma podejść do zarządzania tożsamością nie-ludzką (AIAM)
W praktyce zarządzanie tożsamością nie-ludzką (AIAM) powinno być traktowane jako naturalne rozwinięcie tego, co bank już ma w obszarze IAM (Identity & Access Management). Różnica polega na tym, że zamiast wyłącznie ludzi i systemów, bank musi objąć kontrolą także agentów AI działających w imieniu klienta. To oznacza kilka konkretnych elementów do zbudowania lub rozszerzenia.
Po pierwsze, potrzebny jest rejestr agentów, czyli formalne „dopisanie” nie-ludzkich tożsamości do świata bankowego, np. poprzez rozszerzenie CIF (Customer Information File – centralny profil klienta, podstawowy rejestr danych o kliencie - tożsamość, relacje, produkty, statusy), fundament obsługi i KYC.
Po drugie, bank musi umieć nadawać agentom granularne uprawnienia (mandaty): precyzyjnie określone role, limity, zakres działań i możliwość natychmiastowego cofnięcia zgody, dokładnie tak, jak IAM zarządza rolami i politykami dostępu dla użytkowników.
Po trzecie, konieczna jest ciągła weryfikacja integralności agenta (czy działa w zatwierdzonej wersji i nie został zmieniony) oraz monitoring zachowań powiązany z politykami ryzyka specyficznymi dla agentów, bo ich tempo i skala działania są inne niż człowieka.
Całość powinna być osadzona na istniejącym IAM-owym governance, ale rozszerzona o typowo agentowe wymagania: kontrolę integralności, możliwość prześledzenia decyzji oraz szybkie „odcięcie” mandatu w razie nieprawidłowości. Taki model AIAM/KYA staje się warunkiem bezpiecznego uruchomienia Agentic API i automatycznych transakcji realizowanych przez Machine Customer.
Warto przy tym podkreślić, że AIAM/KYA nie jest obszarem, który bank może zrealizować w pełnej izolacji. Podobnie jak w przypadku KYC, zarządzanie tożsamością agentów będzie oparte na współdzielonym modelu zaufania, w którym bank definiuje zasady dostępu, mandaty i odpowiedzialność regulacyjną, a część poświadczeń pochodzi od dostawców agentów, tożsamości cyfrowej i infrastruktury zaufania. Rola banku polega na egzekwowaniu tych zasad w swoich procesach i systemach, a nie na samodzielnym „utrzymywaniu” całej tożsamości agenta. Tylko taki model pozwala skalować agentowe procesy bez utraty kontroli i zgodności.
eIDAS 2.0 i VC jako fundament KYA w bankowości
eIDAS 2.0 wprowadza w UE Europejski Portfel Tożsamości Cyfrowej (EUDI Wallet), czyli wspólną infrastrukturę do przechowywania i okazywania wiarygodnych poświadczeń tożsamości oraz atrybutów w formie cyfrowej. W praktyce te poświadczenia będą funkcjonować jako Verifiable Credentials (VC) – kryptograficznie podpisane „dowody”, które można bezpiecznie przekazać do weryfikacji, ujawniając tylko wymagane informacje.
To może stać się naturalnym fundamentem dla KYA (Know Your Agent). Zanim agent AI dostanie dostęp do usług lub transakcji, przedstawia bankowi zestaw VC potwierdzających kim jest agent, czyj interes reprezentuje, jakie ma mandaty i limity oraz że działa w niezmienionej, zaufanej wersji. Bank weryfikuje te poświadczenia automatycznie i dopiero wtedy dopuszcza agenta do operacji w ustalonym zakresie.
Wniosek: eIDAS 2.0 może dać narzędzia, by uporządkować tożsamość agentów w skali całej Unii. Bez takiej wspólnej, weryfikowalnej warstwy KYA trudno będzie zbudować zaufanie i uruchomić agentowe procesy transakcyjne na dużą skalę.
Dlaczego KYA wymaga współpracy całego rynku
Skuteczne wdrożenie KYA wymaga równoległej gotowości po stronie instytucji finansowych: od sposobu rejestrowania agentów jako odrębnych tożsamości, przez mechanizmy nadawania i odwoływania mandatów, aż po audytowalność, wyjaśnialność i odporność cyberbezpieczeństwa na masową automatyzację.
Co więcej, aby „paszporty agentów” były użyteczne w skali rynku, muszą być czytelne i porównywalne między instytucjami – inaczej każdy bank zbuduje własny, niekompatybilny model zaufania.
Dlatego KYA jest nie tylko wyzwaniem technologicznym, ale też zadaniem dla całego ekosystemu: regulatorów, dostawców technologii, integratorów i samych banków.
Poniższa checklista pomoże bankom szybko ocenić, które elementy są już gotowe, a które powinny stać się priorytetem wdrożeniowym w kolejnych krokach.
|
Jeśli na któreś z tych pytań odpowiedź brzmi „jeszcze nie”, oznacza to raczej etap wczesnej gotowości niż zaniedbanie. KYA pozostaje dziś obszarem kształtującym się na styku technologii, regulacji i standardów rynkowych, które będą narzucane również ponad poziomem pojedynczego banku.
Tym bardziej warto już teraz uwzględnić ten temat w długoterminowej roadmapie architektonicznej i regulacyjnej, tak aby instytucja mogła świadomie przygotować się na moment, w którym ramy KYA zostaną formalnie ustandaryzowane przez regulatorów i rynek.
Podmiot, który zdefiniuje standard zaufania do agentów AI, będzie w praktyce kształtował zasady dostępu do klienta. Jeśli banki nie zaangażują się w ten obszar wspólnie, w ramach inicjatyw konsorcyjnych i rynkowych, rolę tę przejmą schematy płatnicze lub globalni gracze technologiczni. W takim scenariuszu bank ryzykuje ograniczenie swojej pozycji do dostawcy infrastruktury transakcyjnej, z mniejszym wpływem na warstwę relacji i decyzji klienta.