Pagamento por máquina sem expor o cartão: tokens com escopo, AP2 e a conciliação da compra agêntica

Aceitar o pagamento de um agente de IA é a parte fácil. A infraestrutura para isso já existe, é segura e não expõe o cartão do cliente a ninguém. O problema que vai surpreender o varejista brasileiro não está na cobrança; está no que vem depois dela: conciliar uma transação que nenhum humano executou na hora e defender o chargeback de uma compra que o titular jura não ter pedido.

A tese contraintuitiva é que o pagamento por máquina inverteu o lugar do risco. Por décadas, o ponto de medo foi o instrumento de pagamento, o número do cartão que não podia vazar. Com tokens de escopo, o instrumento ficou protegido por desenho: o agente paga sem nunca ver a credencial. O risco migrou para a borda contábil e jurídica da transação, onde a conciliação e a disputa acontecem, e é exatamente para onde poucos times estão olhando.

Este guia desce ao detalhe dos primitivos de pagamento agêntico, dos Shared Payment Tokens da Stripe ao Machine Payments Protocol e ao AP2, mostra como o escopo protege o instrumento e termina no problema que realmente vai pesar no caixa: conciliar e defender a compra feita por máquina.

Como um agente paga sem ver o número do cartão?

Resposta direta: por meio de um token de pagamento compartilhado que carrega a autorização, não a credencial. O Shared Payment Token da Stripe deixa o agente cobrar com a permissão do comprador e o método preferido, sem que o número do cartão apareça para o agente em momento algum. O segredo que o agente segura é um substituto limitado, não o instrumento real.

O Shared Payment Token é o primitivo de pagamento do Agentic Commerce Protocol, anunciado por Stripe e OpenAI em setembro de 2025 justamente para resolver esse ponto. A ideia é separar duas coisas que o modelo antigo confundia: a permissão de cobrar e o número do cartão. O token transporta a permissão; o número permanece com o emissor e o processador, fora do alcance do agente.

Essa separação muda o cálculo de dano. Quando o segredo que circula é o número do cartão, um vazamento dá ao atacante acesso amplo, utilizável em qualquer lugar até o cartão ser cancelado. Quando o segredo que circula é um token com escopo, um vazamento dá ao atacante apenas o que o escopo permite, e nada além. O instrumento de pagamento fica protegido por construção, não por vigilância.

O número do cartão vazado serve para qualquer compra. O token com escopo serve só para a compra que ele foi emitido para autorizar. Mudar o segredo que circula é a forma mais barata de reduzir o tamanho da fraude possível.

Por que o escopo é a peça central do token?

Resposta direta: porque o escopo transforma um segredo amplo em um segredo estreito. Cada token de pagamento agêntico é limitado por vendedor, por valor máximo e por janela de tempo, de modo que ele só serve para a transação que foi criado para autorizar. Sem escopo, um token seria apenas mais uma credencial reutilizável; com escopo, ele é um mandato de uso único na prática.

O princípio que governa o desenho é o mesmo da camada de identidade: a confiança não pode ser inferida, deve ser concedida, escopada e aplicada em código. Aplicado ao pagamento, isso significa que o token nasce amarrado a um vendedor específico, a um teto de valor e a um prazo de validade, e que esses limites são verificados pela máquina na hora da cobrança, não confiados ao comportamento do agente.

Os limites de escopo cobrem os três vetores que mais doem. O escopo por vendedor impede que um token emitido para uma loja seja usado em outra. O escopo por valor impede que uma autorização de compra pequena vire uma compra grande. O escopo por tempo impede que um token capturado seja reutilizado dias depois. Cada limite fecha uma porta que o número de cartão deixava aberta.

Essa lógica de escopo conversa diretamente com a camada de identidade e delegação que detalhamos no guia Identidade, delegação e trust de agentes: o mandato concedido pelo titular define o escopo, e o token o carrega. As duas camadas se encaixam, e o conjunto dos protocolos que as sustentam aparece no guia UCP, ACP, AP2 e MCP por dentro.

O que são AP2, Machine Payments Protocol e os tokens de bandeira?

Resposta direta: são os trilhos que padronizam o pagamento por máquina em diferentes formatos. O AP2 formaliza a autorização como mandatos assinados, o Machine Payments Protocol da Stripe e da Tempo habilita micropagamentos de alta frequência, e os Agentic Tokens das bandeiras registram a credencial do agente como entidade autorizada. Cada um cobre um tipo de transação que os outros não cobrem bem.

O AP2, Agent Payments Protocol do Google, é a camada de mandato. Em abril de 2026, o Google lançou a v0.2 e doou o protocolo à FIDO Alliance, formalizando três mandatos assinados como W3C Verifiable Credentials: o de intenção, o de carrinho e o de pagamento, com stablecoins tratadas como cidadãs de primeira classe. Esses mandatos são a documentação criptográfica da autorização, e voltaremos a eles na seção de conciliação porque são também a defesa de disputa.

O Machine Payments Protocol, da Stripe em parceria com a Tempo, surgiu em fevereiro de 2026 para um tipo de pagamento que o cartão tradicional não comporta bem: micropagamentos de frações de centavo em alta frequência. O Mastercard Agent Pay for Machines, lançado em 10 de junho de 2026 com mais de 30 parceiros, persegue o mesmo caso, com liquidação em cartões, contas e stablecoins e credenciais de agente registradas em Polygon, Solana e Base. Esses trilhos abrem o pagamento máquina-a-máquina de baixa latência, em que um agente paga outro por um serviço ou dado.

A tabela abaixo organiza os primitivos de pagamento agêntico, o que cada um habilita e a fonte datada.

Primitivo de pagamento	O que habilita	Trilho e fonte datada	Proteção de credencial
Shared Payment Token (Stripe)	Agente cobra sem ver o cartão	ACP, Stripe/OpenAI, set/2025	Token com escopo no lugar do número
Mandatos AP2 (Google)	Autorização assinada e auditável	AP2 v0.2 doado à FIDO, abr/2026	W3C Verifiable Credentials
Machine Payments Protocol	Micropagamento de frações de centavo	Stripe/Tempo, fev/2026	Liquidação máquina-a-máquina
Mastercard Agent Pay for Machines	Pagamento em cartão, conta e stablecoin	Mastercard, 10/jun/2026	Agentic Token em blockchain
Visa Intelligent Commerce Connect	Aceita pagamento de 4 protocolos	Visa, abr/2026	On-ramp tokenizado agnóstico

Como conciliar uma transação feita por agente?

Resposta direta: amarrando cada pagamento à trilha de mandatos que o autorizou. A conciliação da compra agêntica não se faz só pelo extrato de cobrança, e sim pela cadeia que liga intenção, carrinho e pagamento, porque é essa cadeia que prova o que foi comprado, por ordem de quem e com qual autorização.

A dificuldade é real porque a transação agêntica quebra a premissa contábil antiga. No modelo humano, há uma sessão, um carrinho, um clique de compra e um pagamento, todos próximos no tempo e atribuíveis a uma pessoa. No modelo agêntico, o agente pode pesquisar, montar carrinho e pagar em momentos e contextos diferentes, e a operação precisa reconstruir essa sequência para fechar as contas e responder a auditorias fiscais, especialmente num país onde a nota fiscal eletrônica amarra a operação.

Os mandatos assinados são o que torna a conciliação possível. O mandato de intenção registra o que o titular pediu, o de carrinho registra o que foi montado e o de pagamento registra a autorização do gasto, cada um como credencial verificável. Conciliar é casar o pagamento recebido com esses três registros, e a operação que guarda essa trilha consegue fechar o caixa com a mesma confiança de uma venda humana. Esse é o ponto em que a agenda agêntica encontra o território de operação, integração e conformidade fiscal de uma plataforma como a Onclick, onde pagamento, pedido e fiscal precisam fechar no mesmo motor.

A conciliação também é a base da medição. Sem amarrar a transação ao agente que a originou, o varejista não consegue medir o KPI que importa nessa camada, que a ontologia deste portal nomeia como aderência ao escopo do token, taxa de disputa e acurácia de liquidação. Quem não concilia direito não sabe nem quanto vendeu por agente nem quanto perdeu em disputa.

Por que a reforma tributária torna a conciliação ainda mais crítica?

O Brasil entra na era do pagamento agêntico ao mesmo tempo em que reescreve a própria espinha fiscal. Com o avanço do CBS e do IBS e a chegada do split payment, em que o tributo é separado e recolhido no próprio momento da liquidação, a transação deixa de ser apenas um evento de caixa e passa a ser um evento fiscal que se desdobra na hora. Isso eleva o custo de uma conciliação frouxa: uma compra agêntica mal amarrada não é só uma linha difícil de fechar, é uma operação cujo recolhimento e cuja nota podem ficar inconsistentes.

A consequência prática é que a trilha de mandato vira insumo fiscal, não só contábil. A mesma cadeia que prova intenção, carrinho e pagamento para defender uma disputa é a que sustenta a emissão correta da nota e a apuração do tributo sobre a venda iniciada por agente. Para o varejista especializado, garantir que pagamento, pedido e documento fiscal fechem no mesmo motor deixa de ser conforto e vira condição de operar sem passivo, exatamente o tipo de costura que uma camada de operação e conformidade fiscal precisa resolver por baixo da experiência.

Qual o verdadeiro risco de chargeback na compra por agente?

Resposta direta: a confusão agêntica, contestação de uma compra que o agente fez e que o titular não esperava, é o driver de chargeback novo de 2026, e ele é quase indefensável sem a trilha de mandatos. O risco não está em receber o pagamento; está em provar, depois, que aquela compra foi autorizada.

O contexto de fraude amplifica o problema. A fraude card-not-present global é projetada em US$ 28,1 bilhões para 2026, 40% acima de 2023, e a friendly fraud responde por cerca de 75% das disputas nos EUA. A confusão agêntica entra como um vetor adicional dentro desse universo já tenso: quando o titular não reconhece uma compra feita por um agente, ele abre disputa, e o varejista precisa de prova de autorização para não comer o prejuízo.

A defesa é a trilha de auditoria dos mandatos. Se a operação guardou os mandatos de intenção, carrinho e pagamento, ela tem como demonstrar que o titular concedeu a autorização, com escopo definido, e que a compra ficou dentro desse escopo. Essa documentação inverte o jogo da disputa: em vez de uma transação anônima difícil de defender, o varejista apresenta uma cadeia assinada que prova consentimento. Por isso a frase que organiza esta camada é que conciliar e documentar valem tanto quanto receber.

Há ainda um vetor de chargeback que o escopo previne na origem, antes de qualquer disputa. Um token capturado e usado fora do vendedor, acima do valor ou depois do prazo simplesmente não passa, porque o escopo é verificado em código no momento da cobrança. Isso fecha a porta para a fraude que reutilizaria uma credencial vazada, e deixa a confusão agêntica como o risco residual a tratar com documentação. O desenho separa, de propósito, dois problemas distintos: o uso indevido do instrumento, resolvido pelo escopo, e a contestação legítima do titular, resolvida pela trilha de mandato. Confundir os dois leva o varejista a investir defesa no lugar errado.

O que decidir nesta semana

• Adote pagamento por token com escopo em vez de qualquer arranjo que exponha credencial ao agente: o Shared Payment Token e equivalentes de bandeira já protegem o instrumento por construção, e essa é a base mínima de segurança.
• Guarde a trilha de mandatos de cada compra agêntica: registre intenção, carrinho e pagamento como a documentação que vai conciliar a transação e defender o chargeback de confusão agêntica.
• Reveja sua conciliação para o caso em que compra e pagamento não acontecem na mesma sessão: a transação agêntica quebra a premissa de tempo e atribuição da venda humana, e o fechamento precisa reconstruir a sequência.
• Meça a camada com os KPIs certos: aderência ao escopo do token, taxa de disputa e acurácia de liquidação dizem se a sua operação agêntica está saudável, muito mais do que o volume bruto de transações.
• Decida onde liquidar antes de habilitar micropagamento: Machine Payments Protocol e tokens de bandeira abrem liquidação em cartão, conta e stablecoin, e a escolha do trilho muda custo, conciliação e exposição fiscal.

A leitura de 2027 é que o pagamento por máquina deixa de ser exótico e vira rotina contábil, com a conciliação como a verdadeira competência diferenciadora. À medida que os mandatos assinados via AP2 e FIDO se padronizam e as bandeiras consolidam a liquidação multitrilho, aceitar o pagamento do agente vira commodity, e o que separa operações boas de ruins passa a ser a capacidade de conciliar e defender a compra agêntica sem fricção. Para o varejista brasileiro, que ainda vai integrar a nota fiscal eletrônica e a reforma tributária a esse fluxo, a vantagem de quem estruturar a trilha de mandato agora é entrar em 2027 com o caixa fechando e a disputa defensável, enquanto os retardatários descobrem, no primeiro chargeback agêntico, que receberam um pagamento que não conseguem provar.