FIDO Alliance, Google e Mastercard criam padrão para agentes de IA no comércio eletrônico

Agentes de IA que fazem compras por você estão saindo do estágio de conceito. A questão não é mais "será que vão", mas "como será seguro" — e esta é a questão que a FIDO Alliance, Google e Mastercard estão enfrentando.

Por Que Isso Se Tornou Urgente

As compras autônomas não são mais um experimento. A OpenAI lançou o Operator: um agente que controla um navegador em tempo real, procura produtos, seleciona itens e clica em "Pagar" sem intervenção humana. O Google apresentou o Agent Mode no Chrome, a Anthropic está testando Computer Use, e dezenas de startups estão incorporando funcionalidades similares em buscas e navegadores.

O problema é que não existe um padrão único de autenticação para agentes de IA durante transações. Cada empresa resolve isso independentemente — ou ignora completamente. Enquanto as compras por agentes permanecem uma função de nicho, os riscos são gerenciáveis.

Quando essa capacidade aparecer em cada smartphone, o custo da falta de coordenação recairá sobre os usuários.

• Um agente faz compras sem consentimento explícito do usuário
• Um invasor intercepta a sessão do agente e realiza transações não autorizadas
• Um agente cai em uma loja falsa de phishing e transmite dados do cartão
• Múltiplos agentes concorrentes duplicam o mesmo pedido
• A ausência de limites de gastos leva a despesas imprevistas

Quem Assumiu a Tarefa

A FIDO Alliance — uma organização sem fins lucrativos que criou os padrões passkey e autenticação sem senha, que hoje são apoiados pela Apple, Google, Microsoft e a maioria dos grandes bancos — anunciou uma parceria com Google e Mastercard. O objetivo: desenvolver um padrão aberto para autenticar agentes de IA ao realizar operações de pagamento — um protocolo que vinculará identificação do agente, consentimento do usuário e infraestrutura de pagamento em uma única cadeia segura. Esta não é a primeira vez que a FIDO Alliance assume uma tarefa de grande escala.

Alguns anos atrás, códigos SMS pareciam uma parte integral do banco online. Hoje, passkeys estão os substituindo em todas as grandes plataformas. É precisamente a parceria com Apple, Google e Microsoft que transformou passkeys de um projeto acadêmico em uma mudança de mercado real — sem a participação de atores de infraestrutura desse nível, qualquer padrão permanece uma recomendação no papel.

O Google controla Chrome e Android — a maioria das compras online do mundo passa por essas plataformas. O Mastercard gerencia uma das maiores redes de pagamento, processando bilhões de transações anualmente. Juntos, eles fecham toda a cadeia: autenticação → navegador → transação.

Como a Proteção Pode Funcionar

As especificações específicas ainda estão em desenvolvimento, mas a lógica arquitetônica é clara a partir dos padrões anteriores da FIDO Alliance: um protocolo aberto disponível para qualquer desenvolvedor, não uma solução proprietária de uma corporação. Elementos-chave prováveis:

• Tokens delegados — um agente recebe uma chave limitada e de uso único, em vez de acesso permanente aos dados do cartão
• Verificação contextual — o sistema de pagamento confirma que a operação é iniciada por um agente autorizado dentro de parâmetros pré-acordados
• Limites explícitos — o usuário define um orçamento, lojas permitidas e categorias de produtos
• Registro de auditoria — cada ação do agente é registrada e permanece disponível para revisão

Se o padrão for adotado por grandes plataformas e redes de pagamento, os desenvolvedores de agentes terão que apoiá-lo — é assim que funciona a padronização de infraestrutura: as regras são estabelecidas por quem controla a infraestrutura.

O Que Isso Significa

A corrida pelos agentes de IA autônomos está em pleno andamento, e a indústria finalmente está reconhecendo: a velocidade da implantação sem padrões de segurança cria riscos reais para os usuários. A iniciativa da FIDO Alliance, Google e Mastercard é uma tentativa de estabelecer regras antes que as transações por agentes se tornem massivas e caras. Se os padrões pegarem, fazer um agente pedir produtos ou comprar passagens aéreas será mais seguro do que inserir dados do cartão manualmente em um site desconhecido.