AP2 i mandaty — jak Google chce uwierzytelniać zgodę użytkownika

Kiedy to nie człowiek klika „kup teraz”, tylko agent AI działający w jego imieniu, pojawia się fundamentalne pytanie: skąd sprzedawca, bank i sieć płatnicza mają wiedzieć, że ta transakcja naprawdę odpowiada woli użytkownika? Odpowiedzią Google jest AP2 (Agent Payments Protocol) — i jego sednem są mandaty.

W skrócie: AP2 wprowadza trzy podpisane kryptograficznie mandaty — intent (czego chce użytkownik), cart (co konkretnie złożył agent) i payment (ile i u kogo zostanie obciążone). Razem tworzą one weryfikowalny łańcuch dowodowy zgody: od intencji człowieka, przez działanie agenta, aż po obciążenie. Mandat to po prostu cyfrowy dowód, że agent miał prawo wydać Twoje pieniądze — i że zrobił to dokładnie tak, jak mu pozwoliłeś.

Czym jest AP2 i skąd się wziął?

AP2 to otwarty protokół ogłoszony przez Google we wrześniu 2025 roku, rozwijany z udziałem szerokiego grona partnerów — od sieci kartowych, przez procesory płatności, po dostawców infrastruktury krypto. Pełną specyfikację publikuje ap2-protocol.org, a kontekst biznesowy opisuje ogłoszenie na blogu Google Cloud.

Protokół powstał, by rozwiązać problem, którego klasyczny checkout nigdy nie musiał stawiać. Dzisiejsze systemy płatności zakładają, że po drugiej stronie ekranu siedzi człowiek, który widzi koszyk, akceptuje kwotę i przechodzi uwierzytelnienie. Agent AI łamie to założenie — działa autonomicznie, czasem asynchronicznie (kupuje, gdy cena spadnie albo gdy produkt wróci do magazynu), i pomiędzy zgodą użytkownika a samym obciążeniem może minąć sporo czasu. AP2 nie zastępuje sieci kartowych ani rozliczeń; jest warstwą zaufania i autoryzacji, którą można na nich nadbudować.

Co istotne, AP2 jest projektowany jako rozszerzenie ekosystemu A2A (Agent-to-Agent) i MCP (Model Context Protocol). Tam, gdzie A2A i MCP opisują, jak agenci się komunikują i sięgają po narzędzia, AP2 dokłada brakujący element: jak agent może zapłacić w sposób, który wytrzyma kontrolę banku i regulatora.

Czym właściwie jest mandat?

Mandat w AP2 to podpisane kryptograficznie poświadczenie (credential), które zapisuje konkretny zakres zgody i jej parametry. Można o nim myśleć jak o cyfrowym pełnomocnictwie z wbudowanym, niepodrabialnym podpisem — tyle że bardzo precyzyjnym i ograniczonym do jednej sprawy.

Trzy cechy odróżniają go od zwykłej „zgody przez kliknięcie”:

• Jest weryfikowalny — każda strona transakcji (sprzedawca, sieć, bank) może niezależnie sprawdzić podpis i upewnić się, że mandat nie został zmieniony.
• Jest zakresowy — opisuje dokładnie, na co zezwolono, a nie udziela agentowi nieograniczonego dostępu do portfela.
• Tworzy ślad audytowy — pozostaje trwałym dowodem, kto, co i kiedy autoryzował.

To właśnie ten ostatni punkt jest kluczem do regulacji, do której wrócimy niżej.

Trzy mandaty: intent, cart i payment

Sercem AP2 jest rozbicie jednej „zgody na zakup” na trzy oddzielne, łączące się ze sobą warstwy. Każda odpowiada na inne pytanie i jest podpisana osobno.

Mandat	Na co odpowiada	Kto go zwykle inicjuje
Intent mandate	Czego chce użytkownik i w jakich granicach	Człowiek (zgoda wyjściowa)
Cart mandate	Co konkretnie agent złożył i po jakiej cenie	Agent + sprzedawca
Payment mandate	Ile i u kogo zostanie obciążone	Agent, instrument płatniczy, sieć

Intent mandate zapisuje intencję człowieka. To tutaj definiujesz, czego oczekujesz i jakie warunki brzegowe obowiązują — na przykład „kup te buty w rozmiarze 42, jeśli cena spadnie poniżej 300 zł” albo „zamów wybrane składniki na kolację, nie przekraczając budżetu”. Intent mandate jest fundamentem łańcucha: bez niego agent nie ma podstawy, by działać.

Cart mandate powstaje, gdy agent przekuwa intencję w konkretny koszyk. Zawiera dokładną listę pozycji, ceny, sprzedawcę i warunki — czyli co rzeczywiście zostanie kupione. Podpis na tym etapie wiąże agenta i sprzedawcę: udowadnia, że koszyk odpowiada temu, co uzgodniono, i że nie został po cichu zmodyfikowany między złożeniem a zapłatą.

Payment mandate dotyczy samego obciążenia — ile i przez który instrument płatniczy oraz sieć. To ten mandat trafia w stronę systemu płatności i sygnalizuje mu, że za transakcją stoi agent działający w ramach udzielonej zgody, a nie przypadkowy, podejrzany ruch.

Razem te trzy warstwy tworzą łańcuch dowodowy: intencja człowieka → koszyk złożony przez agenta → obciążenie u sprzedawcy lub w sieci. Każde ogniwo można zweryfikować niezależnie, a jeśli któreś nie pasuje do poprzedniego, transakcja nie domyka się prawidłowo. Jeśli chcesz zobaczyć, jak ten mechanizm wygląda od strony praktycznego ograniczania uprawnień agenta, warto sięgnąć po nasz materiał o ustawianiu limitów i zakresu działania agenta.

Po co w ogóle podpisywać zgodę? Bo wymaga jej prawo

Mandaty nie są technicznym ozdobnikiem. Ich realnym celem jest dowód zgody wobec prawa i reguł płatniczych.

Europejski reżim PSD2 wymaga silnego uwierzytelnienia klienta (SCA) i jasnego przypisania odpowiedzialności za transakcję. Gdy płaci agent, klasyczne pytanie „czy klient autoryzował tę płatność?” nie znika — staje się trudniejsze. Bank i sprzedawca muszą umieć wykazać, że za obciążeniem stała autentyczna, świadoma zgoda człowieka, a nie błąd modelu, halucynacja czy przejęty agent. Mandaty AP2 dostarczają właśnie takiego, możliwego do przedstawienia dowodu. O tym, jak silne uwierzytelnienie zderza się z autonomią agentów, piszemy szerzej w analizie SCA wobec płatności agentowych.

W praktyce podpisane mandaty pomagają rozstrzygać kilka spornych sytuacji naraz:

• Reklamacje i chargebacki — jest twardy ślad, na co użytkownik się zgodził i w jakich granicach.
• Odpowiedzialność za nadużycie — można odróżnić działanie w ramach mandatu od działania poza nim.
• Zgodność z regulacją — instytucje płatnicze otrzymują artefakt, który da się audytować i przedstawić w razie kontroli.

To przesunięcie filozofii: zamiast ufać, że agent „zachował się rozsądnie”, system żąda kryptograficznego dowodu, że zachował się dokładnie w granicach zgody.

Karty czy stablecoiny? AP2 nie wybiera za Ciebie

Jednym z ważniejszych założeń AP2 jest niezależność od metody płatności. Protokół ma działać zarówno z kartami, jak i ze stablecoinami, a warstwa mandatów pozostaje ta sama niezależnie od tego, czy rozliczenie idzie przez sieć kartową, czy przez tokeny na blockchainie.

Ta neutralność ma znaczenie strategiczne. Sprzedawca nie musi z góry zakładać, jak agent zapłaci — liczy się to, że ma zweryfikowany łańcuch mandatów. Dzięki temu AP2 może współistnieć z innymi protokołami płatności agentowych, w tym z rozwiązaniami opartymi na płatnościach krypto. Jak AP2 wypada na tle alternatyw takich jak x402, rozkładamy na czynniki pierwsze w przeglądzie protokołów płatności dla agentów.

Co to oznacza w praktyce — i czego jeszcze nie wiemy

Na 2026 rok AP2 jest specyfikacją w aktywnym rozwoju, wspieraną przez szerokie grono partnerów, ale jego realny zasięg w produkcyjnych płatnościach dopiero się buduje. Dla sprzedawców i dostawców usług płatniczych płynie z tego kilka praktycznych wniosków.

Po pierwsze, model trzech mandatów to rozsądny punkt odniesienia przy projektowaniu własnych zabezpieczeń, nawet jeśli ktoś nie wdraża AP2 wprost — rozdzielenie intencji, koszyka i obciążenia jest dobrą higieną architektoniczną. Po drugie, warto śledzić, jak mandaty zostaną osadzone w istniejących obiegach kart i tokenów, bo to zadecyduje o ich użyteczności. Po trzecie, kwestie odpowiedzialności prawnej — kto ponosi koszt, gdy agent przekroczy mandat lub gdy mandat okaże się sfałszowany — pozostają obszarem, który będzie się dopiero domykać w praktyce regulacyjnej i orzeczniczej.

Jedno jest jednak jasne już teraz: jeśli płatności agentów AI mają wejść do głównego nurtu, potrzebują czegoś więcej niż zaufania do modelu. Potrzebują dowodu zgody, który wytrzyma kontrolę banku i regulatora — i to właśnie próbują dać mandaty AP2.