Identidade digital e IA: escala e fraude no financeiro

Fraude não “aparece” só quando o chargeback chega ou quando a inadimplência sobe. Ela nasce muito antes — no onboarding mal resolvido, na autenticação fraca, no atendimento que não consegue distinguir cliente real de impostor. E é por isso que identidade digital virou infraestrutura crítica no setor financeiro.

A trajetória recente da Unico (com tecnologia própria, aquisições e expansão internacional) é um ótimo espelho do que bancos e fintechs estão vivendo em 2025: crescer sem quebrar a segurança. E crescer, hoje, significa lidar com volumes gigantescos de dados biométricos, eventos de autenticação e sinais de risco em tempo real. Sem IA e sem arquitetura escalável, esse filme acaba rápido.

Este texto faz parte da série “IA no Setor Financeiro e FinTech” e usa o caso como ponto de partida para ir além: o que muda quando a identidade digital escala para “nível Brasil”, por que passkeys entram no jogo, e como transformar isso em uma esteira prática de prevenção a fraudes — sem sacrificar conversão.

Identidade digital é a nova borda de segurança (e de receita)

A identidade digital é onde segurança, experiência do usuário e resultado financeiro se encontram. Em serviços financeiros, praticamente toda jornada relevante começa (ou deveria começar) por uma decisão de identidade: abrir conta, aumentar limite, trocar dispositivo, redefinir senha, autorizar Pix, contratar crédito.

Quando essa camada falha, o prejuízo não é só a fraude consumada. O custo aparece em três frentes:

• Perda de conversão: fricção demais derruba cadastro e aprovação.
• Risco operacional: investigações manuais, filas de análise, retrabalho.
• Risco regulatório e reputacional: incidentes e vazamentos custam caro — e duram na memória do mercado.

O que a Unico sinaliza, ao afirmar operar em larga escala e atuar com grandes bancos e varejistas, é uma realidade: identidade digital deixou de ser “produto” e virou “plataforma”. Plataformas precisam de disponibilidade, latência baixa e capacidade de crescer sem reescrever tudo a cada pico.

Onde a IA entra, de verdade

IA em identidade digital não é só “reconhecimento facial”. Em ambientes financeiros maduros, a IA aparece em camadas:

1. Biometria e prova de vida (detectar tentativas com máscara, deepfake, replay, etc.).
2. Detecção de fraude comportamental (velocidade de digitação, padrão de navegação, sinais de automação).
3. Análise de risco contextual (dispositivo, geolocalização, reputação de e-mail/telefone, histórico).
4. Orquestração adaptativa (decidir quando pedir selfie, quando pedir passkey, quando elevar para revisão).

A frase que eu repito para times de produto e risco é simples: “Identidade não é um check. É um fluxo.”

Escalar biometria não é só guardar foto: é buscar vetores em bilhões

O gargalo técnico mais subestimado em identidade digital é a escalabilidade da busca biométrica. No caso de reconhecimento facial, o sistema não compara “fotos”. Ele compara vetores (representações numéricas) e precisa localizar similaridades com alta precisão.

Quando o volume sai de milhões e vai para bilhões de vetores, surgem dois problemas difíceis:

• Latência: a decisão precisa sair rápido para não travar a jornada.
• Qualidade: precisão e baixa taxa de falso positivo/falso negativo.

A Unico relatou que, em 2022, a tecnologia do “motor de busca de faces” chegou ao limite de escalabilidade e que a empresa migrou bilhões de vetores para um banco de dados distribuído (Google Spanner), ajustando a busca para suportar filtros específicos. O objetivo era manter desempenho e precisão durante a transição — e o resultado reportado foi tempo de resposta abaixo de 1 segundo em 99% dos casos.

Isso não é detalhe de engenharia. É estratégia de negócio. No financeiro, latência vira dinheiro:

• Menos segundos na autenticação → mais cadastros concluídos.
• Menos “queda” no login → menos chamadas no call center.
• Menos inconsistência → menos exceções e análises manuais.

Como pensar arquitetura de identidade para bancos e fintechs

Se você lidera tecnologia, dados, risco ou produto, vale usar um checklist direto para não cair em armadilhas comuns:

• Separar “cadastro” de “autenticação”: o que serve para onboarding nem sempre serve para login recorrente.
• Tratar biometria como dado sensível de ciclo longo: governança, auditoria e retenção bem definidas.
• Monitorar “qualidade” como métrica contínua: drift de modelo acontece; câmera muda; fraude evolui.
• Desenhar para picos previsíveis: dezembro, pagamento de 13º, Black Friday, virada do mês.

O recado prático: o motor de identidade precisa operar como infraestrutura 24/7, do mesmo jeito que core bancário e antifraude transacional.

Aquisições e portfólio: por que “um fator só” não resolve mais

Fraude moderna explora o elo mais fraco do fluxo. Se a biometria está forte, o ataque vai para redefinição de senha. Se a senha está forte, vai para sequestro de sessão. Se a sessão está blindada, vai para engenharia social no atendimento.

Por isso, cresce a tese de portfólio: combinar múltiplos fatores e múltiplas técnicas. A Unico fez dez aquisições desde sua fundação e acelerou esse movimento a partir de 2022. Entre elas, a aquisição da OwnID (maior transação citada) aponta uma direção clara: passkeys como parte do “mix” de autenticação.

Passkeys: menos atrito, menos phishing

Passkeys (chaves criptográficas atreladas ao dispositivo e à biometria local) reduzem dependência de senha e diminuem superfície para phishing e credential stuffing. Na prática:

• O usuário autentica com biometria do aparelho ou PIN local.
• Não existe “senha” para ser digitada (ou roubada).
• A autenticação tende a ser mais rápida e com menos abandono.

O ponto interessante no relato do executivo é que, ao introduzir passkey, em alguns cenários há melhora na taxa de conversão e na experiência, mantendo segurança. Isso conversa com uma necessidade real de bancos e fintechs em 2025: segurança que não destrói funil.

A lógica correta: autenticação em camadas

A abordagem mais eficiente no financeiro é camada sobre camada, com decisão adaptativa:

1. Sinais silenciosos (device intelligence, reputação, risco contextual)
2. Fator de baixo atrito (passkey, push, biometria local)
3. Fator forte (biometria facial + prova de vida, ou validação documental)
4. Fallback controlado (atendimento com verificação reforçada)

O segredo é não tratar tudo como “nível máximo” o tempo todo. Clientes recorrentes e de baixo risco merecem fluxo rápido. Ataques e situações anômalas merecem fricção.

Expansão internacional: o que muda quando você sai do “modo Brasil”

Escalar identidade digital para fora do país é menos sobre idioma e mais sobre padrões, cultura de risco e integração. A Unico já opera no México e começou a entrar nos Estados Unidos, mantendo grande parte da engenharia no Brasil.

Para fintechs e bancos, esse movimento traz aprendizados valiosos:

1) Padrões de autenticação variam por mercado

Em alguns mercados, passkeys e autenticação por dispositivo avançaram rápido; em outros, SMS ainda é comum (mesmo sendo frágil). A estratégia vencedora é orquestrar métodos, não apostar em um único.

2) Integrações e compliance mudam o desenho do produto

Expansão internacional exige:

• trilhas de auditoria mais rígidas;
• controles de acesso e segregação;
• retenção e políticas de dados;
• testes de segurança e contratos com SLAs exigentes.

Mesmo sem entrar em detalhes legais, a implicação é concreta: identidade digital global precisa nascer com governança, ou vira um emaranhado de exceções.

3) IA precisa ser monitorada como risco de modelo

Ao mudar perfil demográfico, câmeras, iluminação e hábitos de uso, modelos podem perder desempenho. O time que trata IA como “deploy e pronto” vai sofrer. O time que trata como operação contínua (MLOps + métricas de qualidade) fica de pé.

Como transformar identidade digital em motor de risco (sem travar o produto)

A melhor forma de extrair valor é integrar identidade digital à gestão de risco, não deixá-la isolada. Para gerar leads de qualidade (e resultados), aqui vai um roteiro prático que eu recomendaria para qualquer instituição financeira:

Diagnóstico rápido (2 semanas)

• Mapear jornadas críticas: onboarding, login, troca de dispositivo, reset de credenciais, transações de alto valor.
• Medir 4 números: conversão, tempo de decisão, taxa de fraude, taxa de revisão manual.
• Identificar onde a fricção está “mal colocada” (muita fricção no cliente bom; pouca no suspeito).

Desenho de arquitetura (30–45 dias)

• Definir política de risco adaptativo (quando subir degrau, quando simplificar).
• Criar eventos padronizados de identidade para alimentar antifraude e analytics.
• Planejar observabilidade: latência, disponibilidade e métricas de qualidade de biometria.

Pilotos orientados a ROI (60–90 dias)

• Piloto 1: passkeys para clientes recorrentes (reduzir atrito e fraude de credencial).
• Piloto 2: biometria + prova de vida em jornadas de maior risco.
• Piloto 3: orquestração de camadas com regras e IA para escalonar desafios.

Uma regra simples funciona bem: “Fricção é um recurso caro. Use só quando o risco pedir.”

O que o caso da Unico ensina para o financeiro em 2026

A história por trás de escala, migração de bilhões de vetores e adoção de passkeys mostra uma direção inevitável: identidade digital é o pilar da segurança no setor financeiro e uma alavanca direta de crescimento. A instituição que trata isso como “projeto do trimestre” perde para quem trata como plataforma.

Se você está planejando 2026 agora (e em dezembro quase todo mundo está), eu colocaria três prioridades na mesa:

1. Arquitetura escalável com latência previsível (infra é parte do antifraude).
2. Autenticação em camadas, com decisão adaptativa (menos abandono, mais segurança).
3. Integração total com gestão de risco e dados (identidade alimenta crédito, fraude e atendimento).

O próximo passo é simples de dizer e trabalhoso de executar: unir IA, identidade e risco em uma única esteira operacional, com métricas claras de conversão e perdas.

E fica a pergunta que orienta boas decisões: quando sua empresa pede mais um fator de autenticação, isso está protegendo o negócio — ou só compensando uma arquitetura que não escala?