
El Fondo Monetario Internacional (FMI) acaba de publicar su primera publicación oficial nota sobre agentic AI en pagos. El cambio de titular: los reguladores deberían pasar de Conozca a su cliente para conocer a su agente, con “identidades verificables obligadas para bots financieros vinculados a entidades jurídicas”.
El marco es sólido. Pero los estándares que el FMI avala no van a cumplir. Conozca a su agente en cualquier sentido significativo. Ellos verifican al agente. Ellos verifican el mandato. Dejan intacto al humano real detrás de la acción.
Davidovic y Tourpe argumentan que los sistemas de pago y los agentes de IA funcionan de manera opuesta. Los rieles de pago se basan en las reglas, la finalidad y la auditabilidad. Cada transacción está ligada a un linaje claro y a un resultado irrevocable. La IA es probabilística por diseño, por lo que el mismo indicador puede producir diferentes salidas de una ejecución a la siguiente.
La solución es la separación arquitectónica:
El razonamiento probabilístico se mantiene aguas arriba. La autorización y la liquidación se mantienen deterministas. KYA vive en Layer 2, junto identidad, mandatos y cumplimiento. El encuadre es lo suficientemente limpio como para que la industria lo recoja, y lo merece.
Mire lo que el documento respalda para la capa 2: Mandatos AP2, registros de agentes ERC-8004, OAuth, OpenID Connect y credenciales verificables. En conjunto, estas primitivas se suman a firmas criptográficas, búsquedas de registro y permisos asignados a un trabajo específico. Cada uno de ellos responde una pregunta diferente a la que realmente plantearán los mayores casos de fraude.
Cuando un agente envía un Reclamación de seguro de $50,000 en nombre de un asegurado, hay tres cosas que deben verificarse:
Los estándares en el papel manejan los dos primeros limpiamente. El tercero es el agujero.
La brecha no se abre en todas las transacciones. Una compra de una máquina expendedora de $4 bajo un mandato de asignación diaria no necesita una re-verificación del humano. La facturación recurrente de SaaS bajo una autorización existente tampoco lo hace. La brecha se abre en la brecha entre la creación de mandatos y la ejecución de alto riesgo, cuando un agente intenta una acción, el usuario no habría autorizado específicamente en la configuración.
No todas las acciones de los agentes necesitan escalar hacia lo humano, y la mayoría no debería. Un agente de programación que traslada una reunión, un agente de compras que reordena el tóner de impresora dentro de un límite mensual de $200, un agente comercial reequilibra dentro de límites preestablecidos: esto es exactamente para lo que están los mandatos y los estándares anteriores los manejan de manera limpia. La brecha se abre en el momento en que una acción excede las suposiciones incorporadas en el mandato original. Esa es la fila que nombra la Tabla 3, y el punto donde realmente importa la cuestión humana.
La propia matriz de riesgos del FMI lo muestra directamente. La primera fila de nombres de la Tabla 3 “autorización estructural versus transaccional” como una falla del mercado. Los titulares de cuentas delegan mandatos amplios. Los agentes ejecutan pagos sin instrucciones en el nivel de transacción. La trazabilidad de la autorización se descompone.
El trabajo concede el punto en una sola frase enterrada en el sector público recomendaciones:
“Los modelos tradicionales de fraude se basan en patrones de comportamiento humano, que se vuelven ineficaces cuando las transacciones son iniciadas por agentes autónomos. Por lo tanto, el desarrollo de marcos de autenticación que verifiquen tanto la identidad del agente de IA como la autoridad delegada del usuario sigue siendo clave”.
La verificación de la identidad del usuario y la verificación de autoridad delegada se indican como esenciales. A continuación, el papel sigue adelante.
KYC comenzó como cheques de papeleo en la década de 1970. Se convirtió en escaneo de documentos en la década de 1990. Evolucionó hacia la detección de la vivividad en la década de 2010. Sólo ahora se está volviendo continua y dinámica. Cada generación descubrió que la primitiva anterior era necesaria pero no suficiente.
KYA comienza hoy donde KYC comenzó hace cincuenta años, en registros y firmas. Fundacionales por sí mismos. No es suficiente.
El ciclo se comprimirá, pero la curva de madurez aún aplica. El trabajo que importa durante los próximos 24 meses se sienta en la costura entre la creación del mandato y la ejecución que excede la autorización original del usuario. Ahí es donde reverificación, escalamiento y renovación de autoridad necesidad de vivir.
El documento del FMI es un buen punto de partida. Lea el modelo de tres capas. Utilícelo. A continuación, haga la pregunta que el documento no especifica: cuando un agente que actúa sobre un mandato desencadena una acción que excede su alcance declarado, ¿qué verifica lo humano?
De ahí de donde vendrán tus pérdidas por fraude en 2027.
¿Listo para cerrar la brecha de verificación humana antes de que se convierta en un elemento de línea de fraude? Explore cómo Incode asegura las transacciones iniciadas por el agente con garantía continua de identidad.