W systemie finansowym istnieje zasada KYC — Know Your Customer. Bank który otwiera konto musi zweryfikować tożsamość klienta, sprawdzić historię, ocenić ryzyko. To obowiązek prawny który chroni system przed praniem pieniędzy, finansowaniem terroryzmu i oszustwami. Bez KYC nie ma transakcji.
Agenty AI realizują dziś transakcje finansowe w imieniu ludzi. Kupują, rezerwują, płacą, subskrybują. Robią to autonomicznie, bez każdorazowego potwierdzenia przez człowieka. I robią to przez systemy płatnicze które były projektowane z założeniem że po drugiej stronie jest człowiek którego tożsamość można zweryfikować.
KYC dla agentów nie istnieje. Jeszcze.
Czym jest KYA
KYA (Know Your Agent) to framework weryfikacji tożsamości agentów AI w kontekście transakcji finansowych — analogia do KYC (Know Your Customer) stosowanego w systemach bankowych — zaproponowany przez Skyfire jako standard który pozwala systemom płatniczym zidentyfikować i ocenić ryzyko agenta realizującego transakcję w imieniu użytkownika.
Dlaczego agent to nie człowiek w kontekście płatności
Człowiek który płaci kartą ma historię transakcji, profil behawioralny, geolokalizację, device fingerprint. System antyfraudowy wie że ta karta jest zwykle używana w Warszawie, w dni robocze, na zakupy poniżej 500 zł. Transakcja o 3 w nocy z Singapuru za 5000 zł dostaje flag.
Agent AI który płaci w imieniu użytkownika nie ma historii transakcji jako agent. Może działać w nocy. Może działać z serwerów w dowolnej lokalizacji. Może realizować setki transakcji naraz dla różnych użytkowników. Jego „profil behawioralny” jest pusty — albo co gorsza — wygląda dokładnie jak wzorzec fraudu.
Systemy antyfraudowe zoptymalizowane pod ludzkie zachowanie masowo blokują legalne transakcje agentów. Albo — jeśli agent potrafi sfałszować ludzki profil — nie blokują fraudu który wygląda jak człowiek.
KYA w implementacji Skyfire
Skyfire — startup z San Francisco który pozyskał 9,1 miliona dolarów od VCs w 2025 roku — zaproponował KYA jako część swojej infrastruktury agentic payments. W modelu Skyfire:
Agent rejestruje się w systemie KYA podając: kto go stworzył, w czyim imieniu działa, jakie ma uprawnienia transakcyjne, jaki jest limit wydatków. KYA weryfikuje te informacje przez mechanizmy podobne do Web Bot Auth i ANS. Agent dostaje certyfikat tożsamości który jest dołączany do każdej transakcji.
System płatniczy zamiast oceniać „czy to wygląda jak człowiek” ocenia „czy to jest zweryfikowany agent z właściwymi uprawnieniami do tej transakcji”. Inna logika antyfraudowa, właściwa dla nowego typu aktora.
KYA a istniejące standardy
KYA nie zastępuje KYC — uzupełnia go. Agent który realizuje transakcję działa w imieniu konkretnego człowieka który ma swoje KYC w banku. KYA dodaje warstwę: „ten agent jest autoryzowany przez tego człowieka do transakcji tego typu do tej kwoty”.
Visa TAP (Trusted Agent Protocol) i Mastercard Agent Pay — ogłoszone w marcu 2026 — mają wbudowane mechanizmy weryfikacji agentów które działają na podobnych założeniach co KYA. Web Bot Auth pojawia się jako komponent weryfikacji tożsamości przy transakcjach agentowych w obu protokołach.
Stan standardu
KYA jest propozycją Skyfire, nie ratyfikowanym standardem. Ale problem który adresuje jest realny i rośnie z każdym nowym protokołem agentic commerce. Instant Checkout, Copilot Checkout, UCP, ACP — wszystkie zakładają że agent może realizować transakcje. Żaden nie definiuje jak system płatniczy ma zweryfikować tożsamość i uprawnienia agenta w ustandaryzowany sposób. KYA próbuje wypełnić tę lukę.