Agentic AI na Usalama wa Malipo ya Simu Kenya

Mwisho wa mwaka unapofika—na malipo ya bonasi, manunuzi ya sikukuu, na kutumiana pesa kwa haraka—udanganyifu wa kifedha nao huongezeka. Huo ndiyo ukweli mchungu wa malipo ya kidijitali: kadri miamala inavyoongezeka, ndivyo washambuliaji wanavyopata motisha zaidi. Kenya, ikiwa na uchumi unaoendeshwa na simu, inaona hili kwa ukaribu kupitia mobile money, wallets, na miamala ya papo kwa papo.

Hapa ndipo habari kama “OnePay kujiunga na mpango wa Google AP2 ili kufanya malipo ya agentic AI kuwa salama zaidi” zinapokuwa muhimu—hata kama makala yenyewe haikupatikana kutokana na ukuta wa usalama (403/CAPTCHA). Kitu muhimu si jina la ushirikiano pekee; ni mwelekeo wake: malipo yanapoanza kuendeshwa na AI yenye uwezo wa kuchukua hatua (agentic AI), usalama lazima ubadilike kutoka ‘kuzuia’ kwenda ‘kuthibitisha na kudhibiti’ kwa hatua zote.

Sentensi ya kubeba ujumbe: Kadri AI inavyopewa ruhusa ya “kulipa kwa niaba yako,” ndivyo uthibitishaji, mipaka ya ruhusa, na ufuatiliaji wa hatari vinavyopaswa kuwa vya kisasa zaidi kuliko nenosiri au PIN.

Agentic AI kwenye malipo ni nini—na kwa nini inaleta hatari mpya?

Jibu la moja kwa moja: Agentic AI ni AI inayoweza kupanga na kutekeleza kazi—kama kulipa bili, kuweka oda, au kuhamisha pesa—kwa kutumia ruhusa ulizoipa, bila kukuuliza kila hatua.

Tofauti yake na “chatbot” ya kawaida ni hii: chatbot inashauri; agentic AI inachukua hatua. Kwenye fintech, hii ina maana ya:

• Kuanzisha malipo ya mara kwa mara (rent, school fees, subscriptions)
• Kuchagua njia ya malipo (wallet, kadi, akaunti)
• Kugawa malipo (kiasi fulani kwa akiba, kiasi kwa matumizi)
• Kujadiliana kiotomatiki (mfano: kubadilisha muda wa malipo au kuchagua ada nafuu)

Sasa fikiria mazingira ya Kenya: watu wengi hutumia mobile money kila siku, mawakala (agents) bado ni sehemu muhimu ya upatikanaji wa fedha, na biashara nyingi ndogo hutegemea malipo ya haraka. Agentic AI ikiongezwa kwenye mchanganyiko huu, faida ni kubwa—lakini hatari nazo zinabadilika:

Hatari kuu 3 za agentic AI katika malipo

1. Ruhusa pana kupita kiasi: AI ikipewa uwezo wa “kulipa chochote,” shambulio moja linaweza kugeuka kuwa wimbi la miamala.
2. Uigaji wa uhalali (legitimacy mimicry): Udanganyifu unaonekana kama tabia ya kawaida ya mtumiaji (kiasi kidogo kidogo, kwa muda).
3. Mashambulizi ya ‘prompt’ na uhandisi jamii: Mhalifu anaweza kumdanganya mtumiaji au mfumo ili AI itafsiri vibaya maelekezo na kutuma pesa.

Kwa hiyo, mpango wowote wa “kulinda malipo ya agentic AI” (kama ushirikiano wa aina ya Google AP2) hutafsiriwa kama: kuiweka AI ndani ya kuta za usalama, kanuni za ruhusa, na uthibitishaji unaoonekana kama sera—si kama hatua moja ya kuingia.

Ushirikiano wa Google AP2 + OnePay unamaanisha nini kwa Kenya?

Jibu la moja kwa moja: Inatoa somo kwamba viwango vya pamoja (shared standards) vinaweza kufanya malipo yanayoendeshwa na AI kuwa salama na yanayoaminika zaidi—hasa pale mifumo mingi inapounganishwa.

Kenya ina nguvu kubwa: wingi wa watumiaji wa malipo ya simu na ubunifu wa fintech. Udhaifu wake? Mara nyingi usalama unajengwa kwa mtindo wa kila mtoa huduma kivyake. Viwango vya pamoja vinasaidia kwenye maeneo ambayo ecosystem inahitaji lugha moja.

Somo la kwanza: “Standard” hupunguza mashimo ya muunganisho

Mashambulizi mengi ya malipo hayatokei kwenye core system tu—hutokea kwenye muunganisho: API, apps za wahusika wengine, na ruhusa za tokens. Kwa agentic AI, muunganisho unaongezeka zaidi kwa sababu AI inahitaji:

• Data ya akaunti
• Historia ya miamala
• Uwezo wa kuanzisha malipo
• Uthibitisho wa utambulisho

Kiwango cha pamoja (AP2 au chochote kinachofanana) kinaweza kusukuma kanuni kama:

• Muundo wa ruhusa (scopes) ulio wazi
• Njia za kusaini na kuthibitisha maombi ya malipo
• Audit trails za hatua zote za agentic AI
• Utunzaji wa data unaolinda faragha

Somo la pili: Usalama wa agentic AI si “ongeza”—ni sehemu ya bidhaa

Kenya ina ushindani mkali wa malipo ya simu. Tatizo? Watoa huduma wengi huona usalama kama gharama. Kwa agentic AI, mtazamo huo utaharibu uaminifu haraka.

Nimeona hii mara nyingi: ukiweka AI juu ya mfumo wa zamani wa ruhusa na uthibitishaji, unaongeza kasi ya miamala… na pia kasi ya uharibifu.

Mfumo wa vitendo: Jinsi fintech za Kenya zinavyopaswa kulinda malipo ya agentic AI

Jibu la moja kwa moja: Jenga usalama kwa safu 5: utambulisho, ruhusa, mipaka, tathmini ya hatari kwa wakati halisi, na ufuatiliaji/urejeshaji.

Huu ni mwongozo wa vitendo kwa mobile money platforms, digital lenders, merchant wallets, na payment aggregators.

1) Utambulisho wa kiwango cha juu (Strong identity), si PIN tu

Agentic AI inahitaji uhakika kuwa “mwenye ruhusa” ni nani. Hii ina maana ya:

• Uthibitishaji wa hatua nyingi (MFA) kwenye vitendo hatarishi (ongeza mpokeaji mpya, ongeza limit, badilisha kifaa)
• Binding ya kifaa (device binding): malipo ya agentic AI yafanyike tu kwenye kifaa kilichosajiliwa
• Viashiria vya tabia (behavioural signals): kasi ya kuandika, muundo wa matumizi, saa za kawaida

2) Ruhusa ndogo na zinazoeleweka (Least privilege)

Badala ya “AI inaweza kulipa,” weka ruhusa kama:

• Inaweza kulipa bili za kampuni zilizoidhinishwa tu
• Inaweza kutuma hadi KES X kwa siku
• Inaweza kutumia njia fulani (mfano wallet tu, si akaunti ya benki)
• Inaweza kufanya miamala kwa orodha ya wapokeaji iliyoidhinishwa

Kanuni rahisi: Ruhusa pana ni deni la usalama.

3) “Limits” za maana: kiasi, mzunguko, na muktadha

Watu wengi huweka daily limit kisha wanaishia hapo. Kwa agentic AI, unahitaji:

• Velocity limits (miamala mingapi kwa dakika/saa)
• Context limits (malipo ya nje ya nchi? kifaa kipya? mtandao mpya?)
• Step-up checks (ikienda nje ya kawaida, mtumiaji athibitishe)

4) Tathmini ya hatari kwa wakati halisi (Real-time risk scoring)

Hapa ndipo AI inafanya kazi ya kweli.

Mfano wa alama za hatari:

• Mpokeaji mpya + kiasi kikubwa + usiku sana = hatari juu
• Mtumiaji ameomba refund mara nyingi + anabadilisha vifaa = hatari ya kati
• Malipo yanajirudia kwenye biashara isiyo ya kawaida = hatari inayopanda

Kwenye mobile payments Kenya, hii inaweza kuunganishwa na:

• Alama za mawakala (agent risk profiles)
• Historia ya SIM swap au mabadiliko ya laini
• Mienendo ya maeneo (geolocation patterns) bila kuvunja faragha

5) Ufuatiliaji, kumbukumbu, na urejeshaji (Monitoring + audit + recovery)

Agentic AI inafanya hatua nyingi mfululizo. Ukiangalia tu “transaction final,” umeshachelewa. Weka:

• Event logs za kila hatua (AI iliomba ruhusa, iliunda mpokeaji, ilianzisha malipo)
• Kill switch: kusimamisha agentic payments kwa mtumiaji au mfumo mzima ndani ya sekunde
• Dispute flow iliyo rahisi: mtumiaji aweze kuripoti “sikutuma hii” kwa hatua 2-3 tu

Matumizi halisi Kenya: Agentic AI bila kuumiza uaminifu

Jibu la moja kwa moja: Anzia kwenye matumizi yenye mipaka, kisha panua taratibu baada ya kujenga uaminifu na data ya hatari.

Haya ni maeneo 4 ninayoyaona yakifanya kazi vizuri zaidi kwenye fintech na malipo ya simu nchini Kenya:

1) Kulipa bili za kawaida kwa “whitelist”

Badala ya AI kulipa popote, ianze na:

• Umeme
• Maji
• Ada za shule
• Internet bundles

Mteja anachagua whitelist na limit. AI inafanya kazi ya kupanga na kukumbusha, lakini haiwezi kubuni mpokeaji mpya bila uthibitisho.

2) Ulinzi wa ulaghai kwa biashara ndogo (SMEs)

SMEs mara nyingi hukosa timu ya fedha. Agentic AI inaweza:

• Kuashiria miamala isiyo ya kawaida ya till/paybill
• Kusimamisha payout hadi kuthibitishwa
• Kupendekeza ratiba ya malipo ili kupunguza cashflow dips

3) Huduma kwa wateja: si majibu tu, bali hatua salama

Mwelekeo wa “AI customer support” ni kuweza kufanya vitu: kubadilisha limit, kufunga akaunti, kurudisha pesa.

Hapa ndipo sheria inapaswa kuwa kali: AI isifanye hatua za akaunti bila uthibitisho unaolingana na hatari ya hatua hiyo.

4) Mifumo ya mawakala (agents): ufuatiliaji wa hatari kwa ngazi ya wakala

Kenya bado inategemea mawakala. Agentic AI inaweza kuboresha:

• Utabiri wa float
• Kugundua miamala ya ajabu kwenye wakala fulani
• Kutoa onyo mapema kabla ya wizi wa ndani au ulaghai

Maswali ambayo timu za fintech Kenya zinapaswa kuuliza sasa

Jibu la moja kwa moja: Ukijenga agentic AI payments, uliza maswali ya ruhusa, uwajibikaji, na uthibitishaji—siyo tu UX.

• AI ikifanya kosa, nani anawajibika: mtumiaji, mtoa huduma, au mshirika wa API?
• Mtumiaji anaweza kuona wapi “AI imepewa ruhusa gani” na kuiondoa mara moja?
• Je, tunaweza kuthibitisha kila hatua kwa audit log inayoweza kuchunguzwa?
• Ni hatua zipi zinahitaji step-up verification?
• Tunapima vipi fraud rate na false positives kabla ya kuongeza ukubwa?

Msimamo wangu: Kama huwezi kueleza ruhusa za agentic AI kwa sentensi mbili, bado hujawa tayari kuzitoa kwa watumiaji.

Hatua zinazofuata kwa Kenya: kutoka “AI ya maudhui” kwenda “AI ya miamala”

Mfululizo huu wa “Jinsi Akili Bandia Inavyoendesha Sekta ya Fintech na Malipo ya Simu Nchini Kenya” mara nyingi huonekana kwenye maeneo kama maudhui, elimu ya wateja, na kampeni za mitandao ya kijamii. Huo ni mwanzo mzuri. Lakini 2026 inakaribia, na shinikizo litakuwa kwenye AI inayogusa pesa moja kwa moja.

Ushirikiano wa kimataifa wa aina ya Google AP2 na OnePay unasisitiza jambo moja: usalama wa malipo ya agentic AI hauwezi kuwa mradi wa pembeni. Unahitaji viwango, ushirikiano, na nidhamu ya ruhusa.

Kama unaendesha fintech, payment gateway, au bidhaa ya malipo ya simu Kenya, hatua ya busara sasa ni kufanya majaribio madogo:

1. Chagua matumizi 1 yenye mipaka (bili za kawaida)
2. Tumia ruhusa ndogo + limits + step-up checks
3. Pima viashiria vya hatari na malalamiko
4. Panua taratibu—na uweke “kill switch” kabla ya kuhitajika

Swali la kubaki nalo: tutawapa AI uwezo wa kulipa kwa niaba yetu, lakini tutaweka vipi uaminifu wa mtumiaji kuwa sehemu ya kanuni za mfumo, si ahadi ya kibiashara?