Arquitetura, identidade e risco na construção de produtos digitais

6 perguntas para Igor Gonçalves, Group Product Manager no Itaú

mar 09, 2026

Produtos digitais evoluíram na busca por jornadas cada vez mais rápidas e sem atrito. Abrir contas em minutos, autenticar com poucos passos e concluir transações instantaneamente virou padrão.

Mas essa mesma velocidade também ampliou o espaço para fraudes mais sofisticadas. Quando segurança entra apenas no final da jornada, tende a aparecer como barreira. Quando faz parte da arquitetura desde o início, passa a orientar decisões sobre identidade, autenticação e risco ao longo de toda a experiência.

Nesta edição de 6 Perguntas, conversamos com Igor Moraes Gonçalves, Group Product Manager no Itaú, sobre as decisões que determinam se a segurança nasce dentro do produto ou vira apenas uma camada adicional, e o que muda na construção de produtos quando risco, fricção e IA passam a fazer parte da estratégia desde o início.

Na sua experiência, quais decisões tomadas no início da construção de um produto acabam determinando se a segurança será parte da arquitetura ou apenas uma camada adicionada depois?

A decisão mais importante é cultural. Se as discussões de segurança acontecem na definição do produto, ou se esses times são envolvidos somente nas validações finais de risco. Se os times de segurança, prevenção a fraudes e risco estão envolvidos ativamente na construção, as jornadas também vão ser construídas com esses princípios em mente. Agora, se elas são apenas áreas aprovadoras, inevitavelmente, ela vai ser uma camada adicional e será vista como atrito na experiência.

Mas também, numa visão mais técnica, é como o time enxerga identidade dentro da arquitetura e como os domínios são modelados. Se é uma camada transversal, ela passa a orientar toda a arquitetura - acesso, autorização, sinais de riscos, consentimento, risco. Isso vai também ajudar a determinar se o fluxo de negócio é separado do fluxo de autenticação e se há clareza sobre quem é dono de cada peça

Quais erros estruturais aparecem quando times tratam autenticação como uma feature isolada, e não como parte da infraestrutura do produto?

Quando a autenticação é uma feature isolada, o produto perde a capacidade de olhar pro cliente de forma contínua. Cria-se uma fragmentação da jornada de identificação do cliente e cada contexto é tratado de forma independente, sem considerar o histórico e o ciclo de vida. A consequência direta disso é o excesso de autenticações durante a jornada, criando fricção desnecessária, falsos positivos e uma experiência questionável.

O problema é que ninguém fica com uma visão completa do cliente, e a alternativa sempre é “pedir mais um fator de autenticação”. Ou seja, existem diferentes sinais de risco – acesso, transação, onboarding – mas eles operam de maneira isoladas, e esse step-up nada mais é que um remendo pra um risco não orquestrado de forma estrutural.

Empresas com maior maturidade tem caminhado pra uma orquestração de camadas. Isso permite que os fatores sejam utilizados no momento certo, endurecendo a autenticação conforme o risco cresce (valor alto, padrão atípico) enquanto mantém experiência simplificada para quem já demonstrou confiabilidade ao longo do tempo. Isso só é possível quando a autenticação faz parte da infraestrutura e permite uma combinação inteligente de diferentes sinais e decisões durante toda a jornada.

Em um cenário em que IA reduz fricção, automatiza decisões e também amplia a sofisticação das fraudes, quais princípios de construção de produto você acredita que precisam ser revistos para 2026?

O principal princípio, para mim, é a ideia de que fricção é ruim.

O mundo digital trouxe uma corrida insana por jornadas sem atrito – abrir um conta em minutos, pagar com um toque, transações instantâneas, etc – e criou-se uma lógica de quanto mais rápido, melhor. O problema disso tudo é que a mesma velocidade que é boa para o cliente, também é boa pro fraudador. Com a IA, esse cenário vem ganhando escala e profissionalização, com ferramentas que reduziram muito o custo da criação e aplicação de fraudes e golpes.

Não acho que devemos renunciar à velocidade que o mundo digital trouxe, mas precisarmos entender se não estamos removendo uma camada importante de desaceleração do cliente, para que ele possa refletir sobre a ação que está fazendo, servindo como uma segurança percebida e uma proteção, e se for o caso, um atrito que ajude ele a sair do transe do golpe.

Remover fricção a qualquer custo é um caminho ruim. Para mim, a fricção precisa existir, mas de uma forma contextual, explicada e proporcional ao risco da jornada

Quando um time decide evoluir sua estratégia de autenticação, qual é o erro estrutural mais comum na fase de definição do problema? O que precisa estar bem resolvido antes de qualquer investimento em modelo ou tecnologia?

O erro mais comum é não definir o problema e o risco. Esses dois pontos precisam estar bem claros antes de tudo.

Na minha experiência, eu vejo times e empresas iniciarem a discussão em torno de qual tecnologia ou fator vai ser utilizado. Isso traz um risco de a autenticação se tornar uma coleção de fatores, fornecedores, processos e outros mecanismos, sem uma estratégia clara por trás.

Perguntas como as abaixo precisam ser respondidas antes de qualquer conversa sobre solução.

(i) qual risco estamos querendo mitigar?

(ii) em que momento da jornada esse risco é mais latente?

(iii) qual o nível de fricção aceitável pra esse contexto e cliente?

Não é complexo. Cada dor vai pedir uma resposta diferente, e tratar caminhos diferentes com as mesmas soluções é um caminho rápido pro desperdício de recursos e pra criação de uma falsa sensação de cobertura em tudo, mas um proteção e segurança fraca.

Na sua visão, em que momento a IA deixa de ser uma feature ou mecanismo de suporte e passa a influenciar a própria proposta de valor do produto? O que muda na forma de construir a estratégia a partir daí?

Se a IA somente adiciona uma otimização ou acelera uma decisão e ação que poderia ser feita por um humano de outra forma, ela é um mecanismo de suporte. É um mecanismo de suporte muito sofisticado, como a gente tem visto em diferentes escalas, mas ainda configura algo instrumental e ferramental. O ponto de inflexão começa quando a IA entrega algo que só é possível porque existe IA e que seria estruturalmente impossível sem ela. Isso traz uma mudança na construção do produto, que, ao invés de atuar com ciclos claros de novos lançamentos, começa a atuar dentro de um loop de feedback, que traz mais valor a cada interação.

Outra mudança, é o risco. Quando a IA é uma feature, o risco é localizado e pontual, mas quando ela é o core da proposta de valor, o risco do erro é maior porque ele contamina a experiência inteira e traz um impacto significativo na perda de confiança e na adoção do produto. Isso porque o cliente não consegue separar o que é um “erro do modelo” de uma visão de que “o produto não funciona”. Isos traz maior relevância para decisões de design, de lógica de reversibilidade, transparência sobre a decisão. Ou seja, quanto mais central a IA é, menos você pode depender só da acurácia do modelo para sustentar a confiança do cliente.

Que fontes de informação você considera indispensáveis para que lideranças de Produto e Engenharia se mantenham atualizadas sobre IA e seus movimentos no mercado?

Eu não sei se existe uma fonte ou outra que são indispensáveis, como se existisse uma fonte da verdade. Até porque existem formas e formas de consumir conteúdos de valor e de aprender. Todas elas são extremamente válidas, se fizerem sentido pro seu contexto.

A grande questão, pra mim, é que a gente é inundado de informações – tem gente que vem chamando isso de “intoxicação” – e uma das habilidades mais importante é saber filtrar se aquela informação é de qualidade ou não.

Na minha experiência, sempre funcionou bem consumir e aprender em fontes que me eliminam essa carga cognitiva, ou seja, que já fazem uma curadoria, com especialistas dos temas, com nível de profundidade grande e conexões mais amplas. Pessoalmente, pra mim, o que melhor atende essas características são as newsletters e cursos mais focados.

Outro ponto importante sobre o tema, é que é necessário que a gente consuma esse tipo de informação com o objetivo de aprender, e não com o objetivo de fingir que está aprendendo. É importante dedicar tempo e reflexão a aprender sobre algo e a pensar em profundidade sobre isso, ao invés de apenas ter um conhecimento superficial e saber algumas “palavras-chave” certas para usar no momento certo. Pra vocês saírem daqui com uma recomendação do que ler sobre o tema, eu recomendo MUITO essa edição da newsletter do Andy Masley:

Andy Masley

Strategies for learning

If we let ourselves, we shall always be waiting for some distraction or other to end before we can really get down to our work. The only people who achieve much are those who want knowledge so badly that they seek it while the conditions are still unfavorable. Favorable conditions never come…

a year ago · 1740 likes · 59 comments · Andy Masley

Uma publicação convidada por

Igor Moraes Gonçalves

Dou vida a conversas sobre o mundo digital e qual é o melhor jeito de chegar lá sem abrir mão da segurança, privacidade e confiança.

Discussão sobre este post

Pronto para mais?