A Estônia planeja permitir que agentes de inteligência artificial tenham suas próprias identidades digitais, em uma iniciativa que busca tornar verificável e auditável a atuação desses sistemas quando executarem tarefas em nome de pessoas. A proposta é apoiada pelo conselho consultivo Eesti.ai e prevê o desenvolvimento de códigos de identificação que poderão ser utilizados por agentes de IA para realizar ações mediante algum processo de autorização e delegação de tarefas, ainda não detalhado.

A iniciativa coloca o país em uma posição de destaque no debate sobre como regular sistemas autônomos capazes de agir em ambientes digitais. A Estônia, já conhecida por sua forte adoção de serviços digitais, afirma que a criação de identidades para agentes de IA ajudaria a esclarecer quem está agindo, em nome de quem, com quais permissões e sob qual responsabilidade.

A discussão surge em um momento em que pesquisadores, empresas e governos tentam lidar com a falta de infraestrutura técnica, jurídica e operacional para agentes de IA. No mês passado, pesquisadores ligados à OWASP propuseram o Agent Name Service, voltado à descoberta e interoperabilidade entre agentes. Outro projeto semelhante é o DNS for AI Discovery, que também busca criar mecanismos para identificação e localização de agentes em ambientes digitais.

Essas iniciativas, porém, têm foco mais técnico, funcionando como uma espécie de infraestrutura de base para descoberta, comunicação e integração entre plataformas. A proposta da Estônia avança em outra direção: a preocupação central está em autorização, responsabilização e controle. Para o governo estoniano, identidades digitais e permissões limitadas podem evitar cenários em que pessoas sejam obrigadas a conceder poderes amplos demais a agentes de IA, com risco de perda de direitos ou de delegação excessiva.

O primeiro-ministro Kristen Michal afirmou que, no futuro, a IA realizará cada vez mais tarefas digitais em nome dos cidadãos, como compilar relatórios, preparar declarações ou interagir com sistemas de informação. Segundo ele, será necessário deixar claro quem age em nome de quem, com quais direitos e quem será o responsável final pelas ações realizadas.

Ao anunciar o movimento, a Estônia se apresenta como o primeiro país a criar identidades digitais para agentes de IA. A proposta dialoga com um debate global mais amplo sobre o papel de sistemas autônomos em transações, decisões administrativas e atividades digitais com efeitos concretos no mundo real.

Duas semanas antes, o presidente da Argentina, Javier Milei, defendeu uma ideia semelhante em um artigo publicado no Financial Times. Ele apoiou uma legislação para permitir a existência de “corporações não humanas”, gerenciadas por software e com responsabilidade limitada. Para Milei, a responsabilidade limitada não seria um luxo para essas entidades, mas uma condição necessária para sua própria existência.

A discussão sobre responsabilidade em sistemas automatizados não é nova. Décadas atrás, a IBM adotou uma posição oposta ao afirmar, em um manual de treinamento de 1979, que um computador nunca poderia ser responsabilizado e, por isso, nunca deveria tomar uma decisão de gestão. A frase voltou a ser citada em um post de 2025 da própria IBM, mas o autor Doug Bonderud adotou um tom menos definitivo ao questionar se a IA deveria ser usada em decisões gerenciais. Para ele, a resposta talvez seja sim, mas o uso de IA em parte dessas decisões parece praticamente inevitável.

Enquanto governos estudam mudanças legais para permitir que agentes de IA operem com algum grau de autonomia, empresas privadas já começaram a definir suas próprias regras. A varejista Target revisou seus termos e condições no início deste ano e incluiu uma seção chamada Agentic Commerce and Delegated Access. O texto estabelece que compras e outras ações tomadas por um agente de comércio agentivo autorizado pelo usuário serão consideradas transações autorizadas pelo próprio cliente.

A American Express adotou uma abordagem diferente ao tratar da responsabilidade em casos de comércio agentivo. Em abril, ao apresentar seu kit de desenvolvimento para agentic commerce, a empresa informou que, no futuro, se um cliente autorizar um agente de IA a fazer uma compra e esse agente enviar à American Express a intenção de compra autenticada do usuário, a companhia protegerá clientes elegíveis contra cobranças relacionadas a erros do agente de IA.

Essas posições mostram como o mercado ainda não tem consenso sobre quem deve assumir o risco quando um agente autônomo age de forma incorreta. Em um modelo, a responsabilidade recai sobre o usuário que autorizou o agente. No outro, a empresa financeira sinaliza disposição para proteger o cliente em determinadas situações, desde que a intenção autenticada de compra tenha sido enviada pelo agente.

O problema jurídico foi analisado no artigo preliminar “AI Agents and the Law”, dos professores Mark Riedl e Deven Desai, do Georgia Institute of Technology. Eles observam que, quando agentes de IA passam a ter capacidade de agir de forma a alterar o estado do mundo — por exemplo, realizando transações de comércio eletrônico, e não apenas gerando respostas que dependem de uma ação humana posterior —, as preocupações com danos se tornam mais urgentes.

Os autores destacam que o direito está relativamente bem preparado para lidar com conflitos envolvendo agentes humanos, mas não com todas as possibilidades abertas por agentes de software. Embora a ciência da computação e o direito usem o conceito de “agente”, um agente de software não é equivalente a um agente humano. No caso de pessoas, a lei pode impor punições financeiras ou até criminais quando há má conduta. O mesmo não se aplica diretamente a um sistema de software.

Até agora, empresas de IA têm buscado limitar sua responsabilidade por danos causados por sistemas automatizados, mas nem sempre com sucesso. No Canadá, um tribunal responsabilizou a Air Canada por informações incorretas fornecidas por um chatbot. Na Alemanha, outro tribunal responsabilizou o Google por conteúdo impreciso gerado pelo AI Overview.

Esses casos indicam que a responsabilização por ações ou informações produzidas por sistemas de IA já começou a ser testada nos tribunais, mesmo antes de haver regras plenamente consolidadas para agentes autônomos. A criação de identidades digitais, como propõe a Estônia, pode se tornar uma peça importante para auditoria, rastreabilidade e atribuição de responsabilidade em ambientes onde softwares executam tarefas em nome de pessoas, empresas ou governos.

Ainda deve levar tempo até que regras sobre agentes de IA sejam definidas e harmonizadas entre diferentes países. Questões como autorização, responsabilidade civil, limites de atuação, revogação de permissões, auditoria e punição por danos continuam em aberto. No curto prazo, porém, identificadores digitais podem ajudar a diferenciar agentes confiáveis de sistemas problemáticos e permitir que ações indevidas sejam atribuídas a uma entidade específica, mesmo que essa entidade não seja humana.