Identidade de agente é o novo PCI: como distinguir o bot que compra do bot que frauda

O instinto da maioria dos times de antifraude diante de um robô comprando é bloquear, e em 2026 esse instinto passou a custar dinheiro. A sessão de agente de IA não é a ameaça que era há um ano; é, em média, a sessão que converte melhor e cresce mais rápido. O problema deixou de ser barrar máquina e virou um problema mais difícil: distinguir o robô que compra de boa-fé do robô que frauda, quando os dois batem na sua porta usando o mesmo cartão.

A tese contraintuitiva é que identidade de agente virou o novo PCI. Por anos, a conformidade de pagamento girou em torno de proteger o número do cartão. Agora o número do cartão não é mais o ponto frágil: o ponto frágil é provar que o software que segura esse cartão tem permissão para gastá-lo, com qual limite e por quanto tempo. A confiança não pode ser inferida da posse de credencial; precisa ser concedida, escopada e aplicada em código.

Em 10 de junho de 2026, Visa e Mastercard lançaram, no mesmo dia, as camadas de identidade de agente que redesenham esse perímetro. Este guia desce ao detalhe do que cada uma faz, de como a delegação com escopo funciona e do que o varejista brasileiro precisa mudar na antifraude antes da próxima temporada de alta.

Por que a posse de credencial não prova mais autorização?

Resposta direta: porque o agente é um delegado, não o titular, e a delegação precisa ser provada em vez de presumida. Um cartão na mão de um software não diz nada sobre quem autorizou aquela compra, com qual teto e por quanto tempo. O sistema precisa verificar o mandato, não só a validade da credencial.

A frase que organiza a nova doutrina apareceu nos princípios que Visa e Mastercard adotaram e vale repetir: a confiança não pode ser inferida, deve ser concedida, escopada e aplicada em código. Concedida quer dizer que o titular autorizou explicitamente aquele agente. Escopada quer dizer que a autorização tem limites de valor, de prazo e de vendedor. Aplicada em código quer dizer que esses limites são verificados pela máquina na hora da transação, não confiados à boa-fé.

Esse desenho responde a um vetor de fraude novo. Quando um agente compra com o cartão de alguém, surge um tipo inédito de disputa, batizado de confusão agêntica: o titular contesta uma compra que o agente fez e que ele não esperava. Em um cenário em que a fraude card-not-present global é projetada em US$ 28,1 bilhões para 2026, 40% acima de 2023, e a friendly fraud responde por cerca de 75% das disputas nos EUA, a contestação de compras agênticas não previstas é exatamente o tipo de buraco que cresce sem controle se a autorização não for verificável.

Cartão na mão de um agente não é autorização, é só um número. Autorização é o mandato que o titular concedeu, com limite e prazo, e que a máquina consegue verificar antes de aprovar. Quem confunde os dois está protegendo a credencial errada.

O que Visa e Mastercard lançaram em 10 de junho de 2026?

Resposta direta: as duas bandeiras lançaram no mesmo dia suas camadas de identidade de agente. A Visa apresentou o Agent Score e o Agentic Directory dentro do Intelligent Commerce; a Mastercard apresentou o Agent Pay for Machines, com mais de 30 parceiros e liquidação em cartões, contas e stablecoins. Juntas, transformaram a bandeira em fonte de confiança sobre o robô, não só sobre o cartão.

A Visa anunciou o Intelligent Commerce no Visa Payments Forum em San Francisco. O Agent Score, parte da família New Generation, avalia se os sites de varejistas estão prontos para navegação por agentes e se o próprio agente é um participante legítimo. O Agentic Directory funciona como um diretório de agentes e comerciantes verificados pela Visa, e o Intelligent Commerce Connect é o on-ramp agnóstico de rede que aceita pagamentos iniciados por múltiplos protocolos. No mesmo 10 de junho, a Visa anunciou parceria com a OpenAI para que agentes iniciem compras com cartão via pagamentos tokenizados (Visa Newsroom, 10/06/2026).

A Mastercard lançou no mesmo dia o Agent Pay for Machines, plataforma para agentes realizarem pagamentos seguros em cartões, contas bancárias e stablecoins, com suporte a micropagamentos de frações de centavo em alta frequência e baixa latência. Foram mais de 30 parceiros no lançamento, incluindo Coinbase, Stripe e Adyen, com credenciais de agente registradas nas blockchains Polygon, Solana e Base. A plataforma se constrói sobre o Mastercard Agent Pay de 2025, que usa tokens de agente como extensão do MDES (Mastercard Press Release, 10/06/2026).

A tabela abaixo separa o que cada camada de identidade resolve, com a fonte datada de cada uma.

Camada de identidade	O que verifica	Lançamento e fonte	Vetor de risco que cobre
Visa Agent Score	Se agente e site são participantes legítimos	Visa, 10/jun/2026	Agente não verificado iniciando compra
Visa Agentic Directory	Lista de agentes e comerciantes verificados	Visa, 10/jun/2026	Impersonação de agente conhecido
Mastercard Agent Pay for Machines	Credencial de agente em blockchain, token com escopo	Mastercard, 10/jun/2026	Pagamento máquina-a-máquina sem rastro
Trusted Agent Protocol	Registro do agente como entidade autorizada	Visa Intelligent Commerce Connect, abr/2026	Agente sem mandato concedido
Web Bot Auth	Assinatura criptográfica de origem do bot	Consolidado em fev/2026	User-agent falsificado

Como funciona a delegação com escopo na prática?

Resposta direta: a delegação com escopo é a autorização que o titular concede ao agente delimitada por valor máximo, prazo de validade e vendedores permitidos, registrada como credencial verificável. Em vez de dar ao agente acesso pleno ao cartão, o titular emite um mandato estreito que a máquina verifica antes de cada transação.

A delegação resolve o problema que a posse de credencial cria. O modelo de referência tem três mandatos assinados, formalizados como W3C Verifiable Credentials no AP2 doado à FIDO Alliance: o mandato de intenção, que prova o que o titular pediu; o mandato de carrinho, que prova o que está sendo comprado; e o mandato de pagamento, que prova a autorização do gasto. Cada um é uma credencial que o agente carrega e que o varejista ou a bandeira pode verificar.

O escopo é o que transforma autorização em segurança. Um mandato pode autorizar o agente a gastar até determinado valor, em determinada janela de tempo, com determinados vendedores, e nada além disso. Se o agente tentar exceder qualquer um desses limites, a transação é recusada porque o escopo é aplicado em código, não na confiança. É o mesmo princípio dos tokens de pagamento com escopo que detalhamos no guia Pagamentos por máquina e tokenização agêntica, aplicado à camada de identidade em vez da de dinheiro.

Essa arquitetura é o que permite que a confiança seja graduada. Um agente verificado, presente no diretório da bandeira, com mandato válido e dentro do escopo, é uma sessão de baixo risco que merece aprovação rápida. Um agente que não assina, não aparece em diretório ou tenta operar fora do escopo é exatamente o que a antifraude precisa barrar. A delegação com escopo dá ao varejista a régua para separar os dois.

Como distinguir o bot legítimo do bot malicioso?

Resposta direta: pela assinatura criptográfica e pela presença em diretórios verificados, nunca pelo user-agent declarado, que é trivial de falsificar. A defesa consolidada é o Web Bot Auth, que comprova a origem do agente por assinatura em HTTP, somado à consulta de diretórios como o Agentic Directory da Visa.

A escala do problema de impersonação é concreta. A DataDome registrou cerca de 8 bilhões de requests de agentes de IA em janeiro e fevereiro de 2026, e dentro desse volume encontrou 2,4% de impersonação do PerplexityBot e mais de 16 milhões de requests falsificados como Meta-ExternalAgent. Em paralelo, o tráfego de bots com IA aumentou 300% no último ano, e o setor de commerce registrou mais de 25 bilhões de requisições de bots em dois meses. O user-agent, que muitas operações ainda usam como filtro, é justamente o campo que o atacante mente.

A resposta técnica madura é o Web Bot Auth, padrão de assinaturas criptográficas em HTTP que se consolidou em fevereiro de 2026 com adoção de Cloudflare, Akamai, DataDome e Fingerprint. Em vez de confiar no que o bot diz ser, o servidor verifica uma assinatura que só o agente autêntico consegue produzir. Bot legítimo assina e se identifica; bot malicioso não consegue forjar a assinatura e cai no filtro.

Para o varejista brasileiro de moda, calçados ou joalheria, a consequência operacional é dupla. De um lado, o tráfego de agente legítimo precisa ser reconhecido e tratado como cliente de alto valor, porque é a sessão que converte melhor. De outro, o tráfego de impersonação precisa ser barrado sem fricção para o agente bom. O erro caro, repetimos, não é deixar passar o fraudador, é bloquear o agente legítimo junto com ele e perder a venda que mais valia. A camada de identidade de agente conecta-se à fundação de catálogo legível por máquina e ao território de operação e conformidade de uma plataforma como a Onclick, onde antifraude, fiscal e dados de produto vivem no mesmo motor.

O que a identidade de agente significa para quem cobra no Pix?

A discussão de identidade de agente parece distante de quem opera num país onde o Pix domina, mas não é. O Pix é um instrumento de pagamento iniciado a partir de uma autorização, e a pergunta de quem está autorizando vale para ele exatamente como vale para o cartão. Quando um agente de IA inicia um pagamento, seja em cartão tokenizado, seja por um futuro arranjo de iniciação, a operação precisa saber se a delegação que sustenta aquela ordem é legítima e está dentro do escopo concedido.

O que muda no Brasil é a camada onde o controle precisa morar. Como ainda não há, em meados de 2026, um diretório nacional de agentes equivalente ao Agentic Directory da Visa para o ambiente Pix, o varejista brasileiro depende mais da verificação de origem por assinatura e da trilha de mandato do que de um registro central de bandeira. Na prática, isso reforça a recomendação: adote Web Bot Auth para reconhecer o agente que chega pela superfície da loja e exija mandato verificável antes de tratar qualquer ordem de pagamento como autorizada, independentemente do instrumento por baixo.

O que muda no perímetro de risco do varejista?

Resposta direta: muda o ponto de verificação. O perímetro deixa de ser apenas o número do cartão e o comportamento da sessão humana, e passa a incluir a identidade do agente, o mandato que ele carrega e a assinatura que comprova sua origem. Quem não move o perímetro fica cego para a metade nova do tráfego.

O novo driver de chargeback de 2026 ilustra o deslocamento. A confusão agêntica, contestação de compras feitas por agentes que o titular não esperava, é um tipo de disputa que não existia e que a verificação de mandato resolve na origem: se o titular concedeu o mandato com escopo, a compra está autorizada e documentada; se não concedeu, a transação nem deveria ter passado. A trilha de auditoria dos mandatos assinados é, ao mesmo tempo, defesa de fraude e defesa de disputa.

A identidade em três camadas é o modelo de referência que o varejista deve internalizar. Primeira camada, os mandatos assinados via AP2 e FIDO como credenciais verificáveis, que provam a autorização. Segunda camada, os tokens com escopo, como os Agentic Tokens da Mastercard e o AP4M rodando em Polygon, Solana e Base, que limitam o gasto. Terceira camada, o Web Bot Auth, que autentica a origem do agente. As três se somam, e cada uma cobre um vetor que as outras não cobrem.

O que decidir nesta semana

• Pare de tratar todo tráfego de máquina como ameaça: classifique agentes por assinatura e presença em diretório verificado, e crie uma trilha de baixa fricção para o agente legítimo, que é a sessão que mais converte.
• Adote verificação de origem por assinatura criptográfica em vez de filtro por user-agent: o cabeçalho é falsificável, e o Web Bot Auth já é padrão entre os principais provedores de proteção.
• Mapeie sua exposição à confusão agêntica: identifique onde uma compra feita por agente pode gerar contestação do titular e exija mandato verificável como condição de aprovação para reduzir o chargeback na origem.
• Acompanhe Agent Score e Agentic Directory como insumo de decisão de risco: a bandeira agora oferece um sinal de confiança sobre o agente, e ignorá-lo é descartar informação que reduz fraude sem aumentar atrito.
• Documente a delegação com escopo nas suas regras: defina como sua operação reconhece valor máximo, prazo e vendedor permitido de um mandato, porque esse é o controle que separa autorização real de posse de credencial.

A leitura de 2027 é que identidade de agente vira higiene tão básica quanto o PCI é hoje. À medida que a interoperabilidade entre protocolos amadurece em 2027 e 2028 e o share de transações agênticas avança rumo aos 15% a 17% do e-commerce projetados para 2030, a verificação de quem é o agente deixa de ser diferencial e vira pré-requisito de operar. O varejista que estrutura agora as três camadas de identidade entra na próxima fase com antifraude calibrada para o tráfego que cresce; o que adia vai descobrir, no pico de uma temporada, que está bloqueando suas melhores vendas e aprovando suas piores disputas ao mesmo tempo.