O perímetro de segurança do varejo mudou de pergunta. Por duas décadas o lojista perguntou se o visitante era humano ou robô. Em 2026, com agentes de IA fazendo compras reais, a pergunta passou a ser outra: este agente tem autorização verificável para agir em nome de quem diz representar? Quem ainda bloqueia tudo por captcha luta a guerra anterior. E barra cliente bom.
A tese é direta. Antifraude eficaz não vive em uma caixa-preta externa, descolada da operação. Vive embarcada, lendo o pedido sobre a mesma fonte única de estoque, cliente e fiscal. O score de risco que ignora o histórico de pedido e o padrão de pagamento da própria loja pontua no escuro. E erra para os dois lados: barra o legítimo, libera o fraudulento.
O que muda na fraude com agentes de compra?
Muda a natureza do tráfego e o vetor de ataque. A DataDome mediu cerca de 8 bilhões de requests de agentes de IA em janeiro e fevereiro de 2026, com 2,4% de impersonação do PerplexityBot e mais de 16 milhões de requests falsificados como Meta-ExternalAgent (DataDome, jan-fev/2026). Surgiu até um chargeback novo. A confusão agêntica, contestação de compras feitas por agentes que o titular não esperava.
A defesa se reorganizou em camadas verificáveis. O Web Bot Auth, assinaturas criptográficas no nível do protocolo HTTP, consolidou-se com Cloudflare, Akamai, DataDome e Fingerprint detectando agentes autorizados (Web Bot Auth, fevereiro de 2026). O AP2, do Google, doado à FIDO Alliance, leva o mandato de compra ao formato de Verifiable Credential, prova criptográfica de que o consumidor delegou aquela transação (AP2/FIDO Alliance, abril de 2026). A identidade de agente virou o novo PCI: pré-requisito inegociável para aceitar a compra, assim como o PCI-DSS virou pré-requisito para aceitar cartão.
| Camada | O que verifica | Referência (2026) |
| Mandato assinado | O consumidor delegou esta compra | AP2/FIDO, W3C VC |
| Token com escopo | Categoria, valor e janela permitidos | Agentic Tokens das bandeiras |
| Autenticação HTTP | O agente é autorizado, não falsificado | Web Bot Auth |
Como pontuar risco sem barrar o cliente legítimo?
Lendo o pedido em contexto, no momento em que ele entra. A antifraude embarcada cruza o pedido com o saldo de estoque, o histórico do cliente, o meio de pagamento e a regra fiscal, tudo na mesma base. O sinal de fraude raramente é uma variável só. É o conjunto. Endereço novo, ticket fora do padrão, item de alto giro em quantidade atípica, tudo junto.
O contexto brasileiro favorece quem opera embarcado. A tokenização já é regra: 95% das transações Visa no país são tokenizadas (Mastercard, fevereiro de 2026). O Pix Automático, com recorrência em vigor desde maio de 2026, autoriza débito por mandato, o que dá uma trilha de autorização explícita ao agente de recompra (Banco Central, Pix Automático, maio de 2026). O Mastercard Agent Pay já opera no Brasil desde o início de 2026. O token com escopo do agente é a evolução natural dessa trilha de tokenização já madura.
O score embarcado lê sinais que a caixa-preta externa não vê. O histórico de compra do cliente naquela loja, o canal de origem do pedido, o padrão de ticket por categoria, a coerência entre item pedido e perfil. Esses dados vivem na operação, não no serviço terceiro. Por isso a antifraude que mora na retaguarda decide melhor: ela conhece o cliente. A que mora fora vê só a transação isolada, sem memória.
A regra de pontuação combina o conjunto, nunca uma variável só. Endereço novo sozinho não é fraude. Endereço novo, ticket três vezes acima do padrão do cliente, item de alto giro em quantidade atípica e meio de pagamento incomum, tudo junto, é sinal forte. O modelo embarcado pesa o conjunto contra o histórico real, e é essa composição que reduz o falso positivo que barra o cliente bom. Pontuar isolado é errar nos dois sentidos.
[FALTA EVIDÊNCIA: citação atribuída a executivo de antifraude ou de bandeira, com nome, cargo e organização reais, sobre identidade de agente como novo PCI. Buscar em release público de Visa, Mastercard, DataDome ou Cloudflare de 2026.]
Há um ponto que os painéis importados ignoram. A fraude no Brasil tem cara local. O parcelamento sem juros, o crediário próprio e o Pix dividem o risco de formas que o modelo treinado em cartão internacional não captura. Por isso a pontuação precisa ler o meio de pagamento brasileiro, não só a bandeira. (Pelo menos no que se observa nas operações multicanal.)
Caixa-preta externa × antifraude embarcada
Score externo isolado
- Decide sem ver o estoque e o cliente
- Barra cliente legítimo por falta de contexto
- Lógica opaca, difícil de auditar
- Latência e custo por consulta
Embarcada na operação
- Pontua sobre a fonte única de dados
- Lê pedido, cliente e fiscal juntos
- Regra auditável e ajustável
- Decisão em tempo real no pedido
Como a identidade do agente vira controle obrigatório?
Pela mesma lógica que tornou a tokenização obrigatória. O perímetro passou a exigir autorização verificável em três camadas que precisam coexistir: o mandato assinado prova que o consumidor delegou a compra; o token com escopo limita categoria, valor e janela; a autenticação HTTP identifica o agente como autorizado, não falsificado (DataDome; AP2/FIDO; Web Bot Auth, 2026). Falhar em uma camada abre a brecha que as outras tentam fechar.
O token com escopo merece atenção do varejista brasileiro. As bandeiras emitem credenciais de pagamento limitadas ao que o agente pode fazer, e essa é a evolução natural da tokenização que já cobre 95% das transações Visa no país (Mastercard, fevereiro de 2026). O Mastercard Agent Pay opera no Brasil desde o início de 2026, e o Agent Pay for Machines, anunciado em junho de 2026, liquida transações máquina-a-máquina com parceiros locais como Getnet/Santander (Mastercard, junho de 2026). A infraestrutura de defesa chegou antes da lei.
O número de impersonação assusta menos pelo percentual e mais pela escala. Sobre 8 bilhões de requests, 2,4% de PerplexityBot falso são milhões de tentativas, e os 16 milhões de requests forjados como Meta-ExternalAgent confirmam o vetor (DataDome, jan-fev/2026). O agente virou alvo de falsificação justamente porque virou comprador. Bloquear o agente real para parar o falso é jogar fora a receita boa com a ruim.
A confusão agêntica força um desenho novo de disputa. Quando o titular contesta uma compra que o agente fez sem que ele esperasse, a culpa não é óbvia. O mandato assinado resolve a ambiguidade: ou existe prova criptográfica da delegação, ou a transação não deveria ter passado. Por isso o mandato verificável tende a virar requisito contratual entre marketplaces, adquirentes e merchants em 2027. Quem armazena a trilha de autorização vence a contestação. Quem não armazena, paga.
Por que o risco mudou de figura
Por que a antifraude pertence à retaguarda, não a um adendo?
Porque o dado que melhor prevê fraude já está na operação. O pedido que chega pelo hub de integração carrega o canal de origem, o SKU, o valor e o cliente. A retaguarda que unifica esses dados consegue pontuar com contexto que a ferramenta externa não enxerga. A fraude que escapa quase sempre é a que cruza a fronteira entre dois sistemas que não se falam.
O fluxo ilustra o ponto. O pedido nasce no canal, o hub o normaliza com SKU, valor, frete e dados fiscais, e a antifraude lê esse pacote já enriquecido. A loja com saldo único sabe se o item existe; a loja com dados fragmentados aceita pedido de produto que não tem e depois cancela, o que confunde o próprio modelo de risco. Estoque que não confere também é sinal de fraude poluído. A higiene operacional é pré-requisito da boa pontuação.
A governança fecha o desenho. A ANPD virou agência reguladora pela MP 1.317/2025, com multa de até 2% do faturamento (ANPD, 2026), então governança de dados de pagamento e de cliente já é exigível mesmo sem lei específica de IA. Os guardrails precisam ser codificados, não escritos em política de gaveta: teto de gasto por agente, restrição de categoria e escalação humana acima de um limiar de valor ou risco. A Gartner reforça a urgência: mais de 40% dos projetos de IA agêntica serão cancelados até 2027 por falta de controle (Gartner, projeção 2027).
Como equilibrar atrito e aprovação no Brasil?
Calibrando pelo contexto, não pelo medo. Barrar demais custa venda; liberar demais custa chargeback. O equilíbrio vem de ler o pedido na operação: cliente recorrente com histórico limpo passa direto, pedido atípico escala para revisão humana. A escalação humana é o guardrail que protege os dois lados, e ela só funciona se o sistema souber distinguir o padrão do desvio, o que exige a fonte única.
O agente legítimo precisa de caminho livre. Bloquear todo tráfego automatizado por captcha, na era em que agentes autorizados compram de verdade, é recusar receita boa. O Web Bot Auth resolve isso ao distinguir o agente autorizado do falsificado no nível do protocolo (Web Bot Auth, fevereiro de 2026). A loja aceita o PerplexityBot real e recusa os 2,4% que o impersonam (DataDome, 2026). Precisão, não muralha. A defesa madura deixa passar quem deve passar.
Tokenização das transações no Brasil
O que o varejista deve codificar antes da lei?
Os limites do mandato, em código que roda. Governança eficaz de agentes se faz por policy-as-code, regras que o sistema aplica em tempo de execução, não em política de gaveta. Teto de orçamento por agente e por janela. Restrição de categoria do que o agente pode comprar. Escalação humana acima de um limiar de valor ou risco. Esses três guardrails, ancorados no mandato assinado, definem o que passa e o que para.
A trilha de auditoria fecha o ciclo. Cada decisão do agente, cada autorização e cada escalação precisa ficar registrada, porque é essa trilha que vence a contestação e prova a conformidade. A governança se estrutura em três fases: design, que define escopo e política; runtime, que aplica o limite em tempo real; e assurance, que audita e prova. Sem a fase de assurance, a loja não consegue demonstrar que agiu certo quando o chargeback chega.
No Brasil, esse rigor já é exigível por outra porta. A LGPD, fiscalizada pela ANPD com multa de até 2% do faturamento (ANPD, 2026), cobra governança de dados de cliente e de pagamento independentemente de lei específica de IA. Quem codifica guardrails e mantém trilha de autorização atende às duas frentes de uma vez. A governança vira critério de seleção de fornecedor e de adquirente, tendência que se firma em 2027.
A trilha de mandato também protege a reputação no marketplace. O cancelamento por suspeita de fraude derruba a nota do seller tanto quanto o cancelamento por ruptura, e os grandes canais apertam os índices de cancelamento usando IA para rankear vendedores (ABComm/NIQ, 2026). A antifraude precisa, então, do duplo cuidado: barrar o fraudador sem gerar cancelamento do cliente bom. Precisão na pontuação vira, na prática, defesa de reputação de canal.
A decisão de 2026 é tratar verificação de agente e score de risco como controle obrigatório da operação, no mesmo patamar do PCI, e não como item de roadmap. Ancorar o score na fonte única, ler o meio de pagamento brasileiro e codificar os guardrails. Para entender a pilha de protocolos que carrega o mandato verificável, veja comércio agêntico e protocolos. Para preparar os dados que alimentam o score, leia backend legível por máquina, e para a base de pagamento e identidade, a camada agêntica do e-commerce.