Három egymástól független forrás – egy fintech stratéga, egy identitás-szakértő és a világ legnagyobb kiberbiztonsági konferenciája – ugyanarra a következtetésre jutott pár nap leforgása alatt: az AI-ügynökök identitáskezelése a pénzügyi szektor következő alapinfrastruktúrája.
Három szál, egy csomópont
Panagiotis Kriaris, a pénzügyi innováció egyik legismertebb LinkedIn-kommentátora, az Unzer fintech vezetője, friss posztjában fogalmazta meg a tézisét:
az identitás a pénzügyi szolgáltatások legfélreértettebb rétege, amely most válik alapvető infrastruktúrává.
Kriaris három korszakot rajzolt fel – személyes azonosítás, digitális onboarding, majd ellenőrzött identitás -, és a negyedik fázist vetítette előre: az autonóm ügynökök identitását.
Ugyanezt a kérdést feszegeti írásaiban és előadásaiban David Birch, az iparág egyik legtekintélyesebb identitás-szakértője, aki tavaly novemberben bevezette a Know-Your-Agent (KYA) fogalmat. A felvetése egyszerű és nyugtalanító:
hogyan hitelesíti magát egy AI-ügynök, ha a felhasználó nincs ott, hogy megnyomjon egy gombot vagy odatartsa az ujját?
A harmadik szál az RSAC 2026 konferenciáról érkezett, ahol a Cisco, a Microsoft, az Okta és az 1Password egyaránt bejelentette:
az AI-ügynököket teljes értékű identitásként kezelik.
A Microsoft bevezette az Entra Agent ID-t, a Cisco a Duo Agentic Identity csomaggal épített dedikált ügynökidentitás-kezelést, az 1Password Unified Access pedig az emberi és gépi credential-ek egységes kezelését célozza.
Az üzenet egyértelmű: az identitáskezelés (IAM) lesz az autonóm AI közös vezérlőfelülete.
A Mastercard már szabványt csinált belőle
A Mastercard 2026 márciusában nyílt szabványként publikálta a Verifiable Intent keretrendszert, amelyet a Google-lal közösen fejlesztett.
A rendszer három elemet köt össze egyetlen, kriptográfiailag hitelesített rekordba: ki a kártyabirtokos, aki az ügynököt megbízta; mi volt a pontos utasítás; és milyen tranzakció született belőle.
A Verifiable Intent a FIDO Alliance, az EMVCo, az IETF és a W3C meglévő szabványaira épül – nem kér új infrastruktúrát. Latin-Amerikában a Mastercard 17 processzor és kibocsátó partnernél – köztük az Itaú, a Santander, a Bancolombia és a Davivienda – már éles agentic fizetéseket futtat ezzel a megközelítéssel. A Google, az Adyen, a Fiserv, a Worldpay, az IBM és a Checkout.com is támogatja a kezdeményezést.
Mi az a Verifiable Intent?
A Mastercard és a Google által fejlesztett nyílt szabvány, amely az AI-ügynökök által kezdeményezett tranzakcióknál igazolja a vásárlói szándékot.
Három dolgot rögzít egyetlen, kriptográfiailag hitelesített rekordban: (1) a felhasználó személyazonosságát, aki az ügynököt felhatalmazta, (2) a pontos utasítást, amelyet az ügynök kapott, és (3) a kereskedőnél létrejött tranzakció részleteit.
A szabvány specifikációja elérhető a verifiableintent.dev oldalon, és meglévő fizetési infrastruktúrára épül.
Az 50:1-es arány, ami mindent megváltoztat
Az Orca Security friss adatai szerint egy átlagos felhőalapú vállalati környezetben a nem emberi identitások (szolgáltatásfiókok, API-kulcsok, botok, ügynökök) már most 50:1 arányban felülmúlják az emberi felhasználókat.
A Cloud Security Alliance és az Oasis Security közös felmérése szerint a szervezetek 92 százaléka nem bízik abban, hogy a meglévő identitáskezelő rendszerei képesek kezelni az AI-ügynökök kockázatait. 78 százaléknak nincs dokumentált szabályzata ügynökidentitások létrehozására vagy visszavonására.
Ez a pénzügyi szektorban különösen aggasztó. Ha egy AI-ügynök tranzakciót indít, hitelt ajánl vagy kockázatot értékel, a szabályozó jogosan kérdezi:
ki ez az entitás, milyen jogosultsággal rendelkezik, és hogyan lehet az egész folyamatot auditálni?
A DORA és az EU AI Act metszéspontjában éppen ezek a kérdések válnak élessé.
A buktatók nem technológiaiak
A legnagyobb akadály nem a technológia hiánya. A Mastercard megmutatta, hogy meglévő infrastruktúrával meg lehet oldani az ügynökhitelesítést.
Az igazi buktató a szervezeti felkészültség.
A Saviynt 2026-os CISO AI Risk Report-ja szerint a biztonsági vezetők 47 százaléka már tapasztalt váratlan vagy jogosulatlan ügynökviselkedést, de mindössze 5 százalékuk bízik abban, hogy egy kompromittált ügynököt meg tudna fékezni.
Az ügynökidentitás nem egyszerűen egy újabb felhasználói fiók. Az ügynökök delegált jogosultsággal működnek, láncolatban hívnak meg más ügynököket, és valós időben hoznak döntéseket.
A hagyományos „felhasználónév plusz jelszó” modell erre alkalmatlan – új megközelítés kell, amely az identitást, a szándékot és a cselekvési jogkört együtt kezeli.
Mi a helyzet itthon?
A hazai pénzintézetek túlnyomó többségének nincs identitáskezelési szabályzata AI-ügynökökre. Ez önmagában nem meglepő, hiszen globálisan is friss a téma, és itthon az ügynökalapú automatizáció még a kísérleti szakaszban van.
David Birch kérdése pontosan az, amit minden hazai banki döntéshozónak fel kellene tennie:
ha az ügynök dönt, és nincs ott az ember a visszaigazoláshoz, ki felel, és milyen rendszer bizonyítja a szándékot?
DORA, AI-alapú fenyegetések, valós incidensek – Kiberreziliencia szekció
TechShow X. jubileumi konferencia, 2026. október, Várkert Bazár. Részletek és korai regisztráció: TechShow X.
