O que é 'atrito positivo' em UX financeira?

Atrito positivo é a introdução intencional de pequenas pausas, telas de carregamento ou etapas de verificação em jornadas críticas (como grandes transferências). O objetivo é dar ao usuário legítimo a sensação psicológica de segurança e dar tempo ao sistema para rodar análises antifraude, evitando transações impulsivas ou fraudulentas.

Como a biometria comportamental substitui as senhas tradicionais?

Em vez de exigir que o usuário digite um código que pode ser roubado, a biometria comportamental analisa padrões únicos de uso: a força do toque na tela, o ângulo em que o celular é segurado e o ritmo de digitação. Esses sinais formam uma 'assinatura invisível' que valida a identidade do usuário de forma contínua em segundo plano.

O Open Finance realmente ajuda a prevenir fraudes de identidade?

Sim. O Open Finance permite que instituições financeiras triangulem dados validados por outros bancos. Se um usuário tenta criar uma conta falsa, a ausência de um histórico financeiro consistente em outras instituições acende um alerta vermelho no motor de risco, bloqueando o fraudador antes mesmo do onboarding ser concluído.

O que são 'Passkeys' e por que fintechs estão adotando?

Passkeys são um padrão de segurança (FIDO2) que substitui senhas por chaves criptográficas armazenadas diretamente no hardware do celular ou computador. Elas eliminam o risco de phishing, pois não há uma senha que o usuário possa ser enganado para revelar.

O Paradoxo da Conveniência: Como Simplificar a UX sem Entregar as Chaves do Cofre aos Fraudadores

Doze segundos. Esse é o tempo exato que uma quadrilha especializada na Baixada Santista leva para explorar uma falha de usabilidade em um aplicativo financeiro e drenar uma conta recém-criada.

Nós, que cobrimos o submundo das fraudes financeiras aqui na Ouro Capital, vemos isso acontecer todos os dias. O produto é lançado com pompa. A equipe de design comemora a redução do tempo de onboarding para menos de dois minutos. O time de marketing faz barulho sobre a ausência de burocracia. Duas semanas depois, o Bacen baté na porta da fintech com uma montanha de infrações do Mecanismo Especial de Devolução (MED) do Pix.

O mercado brasileiro vive um cabo de guerra brutal. De um lado, o consumidor de 2026 não tolera esperar mais do que alguns segundos para abrir uma conta ou aprovar um pagamento. Do outro, o crime organizado opera como verdadeiras startups de tecnologia, útilizando automação, inteligência artificial e fazendas de celulares para explorar qualquer brecha na jornada do usuário.

Se você opera um app de pagamentos, um e-commerce ou uma exchange de criptoativos, preste atenção aqui. A era do 'frictionless' (zero atrito) absoluto acabou. O jogo agora é outro.

A Ressaca do 'Frictionless'

Voltemos um pouco na fita. Entre 2018 e 2022, a obsessão do Vale do Silício e da Faria Lima era remover qualquer obstáculo entre o usuário e a conversão. A métrica de sucesso de um Product Manager era cortar cliques.

O Nubank ditou a regra com seu cartão roxo e um aplicativo que parecia mágica. O Custo de Aquisição de Clientes (CAC) despencou em toda a indústria porque abrir uma conta virou algo tão trivial quanto pedir uma pizza. O problema? Abrir uma conta falsa também virou algo trivial.

O resultado foi uma explosão de 'contas laranja' (mulas do Pix). Quadrilhas começaram a recrutar pessoas em situação de vulnerabilidade para abrir dezenas de contas em bancos digitais com regras de KYC (Know Your Customer) frouxas. A UX era tão convidativa que um fraudador com um script básico conseguia automatizar a criação de 500 contas em uma madrugada.

A conta chegou rápida e pesada. O custo de lidar com uma conta fraudulenta — incluindo chargebacks, multas regulatórias, horas de investigação e dano à reputação — supera fácilmente a marca de R$ 5.000 por incidente. Quando você compara isso com um CAC de R$ 150, a matemática do 'crescimento a qualquer custo' desmorona.

O Banco Central apertou o cerco. A Resolução Conjunta nº 6/2020 já estabelecia diretrizes rígidas, mas as atualizações recentes do MED e as exigências da CVM para exchanges de criptoativos forçaram o mercado a repensar a jornada do cliente. Não basta crescer; é preciso crescer limpo.

O Teatro de Segurança e a Ilusão da Liveness

Qual foi a primeira reação do mercado? Adicionar etapas burras. Voltar a pedir o nome de solteira da mãe, exigir senhas com caracteres especiais impossíveis de memorizar ou forçar o usuário a tirar uma selfie segurando o RG ao lado do rosto.

Isso é o que chamamos de Teatro de Segurança. Parece seguro, irrita o usuário legítimo e não impede o fraudador profissional.

Agora em 2026, com o avanço da IA generativa, fraudadores compram pacotes de 'deepfakes as a service' na dark web por frações de centavos. Eles útilizam fotos roubadas de redes sociais para criar vídeos sintéticos que piscam, sorriem e viram o rosto, enganando fácilmente os sistemas de prova de vida (liveness detection) de primeira geração.

Biometria Sintética: O Novo Inimigo

Nós conversamos recentemente com analistas de prevenção a fraudes das três maiores adquirentes do país. O consenso é assustador. Os chamados 'presentation attacks' (quando o fraudador apresenta uma face falsa para a câmera) representam mais de 40% das tentativas de fraude no onboarding.

Se a sua estratégia de segurança depende de o usuário sorrir para a câmera em um ambiente iluminado, seu cofre já está aberto. O fraudador usa emuladores de Android que injetam o vídeo deepfake diretamente no fluxo da câmera do aplicativo, bypassando a lente física do celular. A UX continua limpa, mas quem está entrando não é o seu cliente.

Atrito Positivo: Quando a Lentidão é uma Feature

Aqui entramos no cerne do paradoxo. Descobrimos algo contra-intuitivo: os brasileiros querem um pouco de atrito quando o assunto é dinheiro grosso.

Imagine transferir R$ 50.000,00 da sua poupança para a compra de um carro. Você aperta o botão 'Enviar' e o dinheiro some instantaneamente da tela, sem nenhum aviso, sem nenhuma confirmação extra. A ausência de atrito nesse cenário gera ansiedade. O usuário pensa: 'Foi tão fácil... e se meu celular for roubado?'

É aqui que o design inteligente brilha. Introduzir uma tela de carregamento proposital, um aviso de 'Analisando a segurança da transação' ou um pedido de biometria facial para transferências atípicas acalma o cliente legítimo. Ele percebe que o banco está cuidando do dinheiro dele.

O 'Modo Rua' do Nubank foi um divisor de águas nesse sentido. A fintech permitiu que o próprio usuário configurasse um limite de atrito. Fora de uma rede Wi-Fi segura, o app exige mais verificações para liberar limites altos. A UX dá o controle da segurança para o cliente — e isso muda o jogo.

Risk-Based Authentication (RBA): O Friccionamento Inteligente

Como resolvemos a equação de não atrapalhar a compra do cafezinho de R$ 10 e blindar a transferência de R$ 10.000? A resposta atende pelo nome de Autenticação Baseada em Risco (RBA).

A regra de ouro moderna é: o atrito deve ser proporcional ao risco da transação, e a maior parte da validação deve acontecer nos bastidores, de forma invisível.

Players como Mercado Pago e Itaú já operam com motores de risco extremamente sofisticados operando em milissegundos. Quando você abre o app, o sistema não olha apenas para a sua senha. Ele analisa dezenas de sinais silenciosos.

Os Sinais Invisíveis da Biometria Comportamental

A biometria comportamental não analisa quem você é físicamente, mas como você age. O seu celular possui giroscópio, acelerômetro e sensores de pressão na tela.

O sistema aprende o ângulo em que você costuma segurar o aparelho. Ele mapeia a cadência da sua digitação — quanto tempo você leva entre o 'A' e o 'M' no teclado virtual. Ele sabe se você costuma usar a mão esquerda ou a direita para fazer o scroll na tela.

Se um criminoso rouba o seu celular desbloqueado na Avenida Paulista e tenta fazer um Pix, a senha está correta, o aparelho é o mesmo, a geolocalização faz sentido. Mas a cadência de digitação é diferente. O ângulo de inclinação do celular mudou bruscamente. O dedo está pressionando a tela com uma força atípica.

Nesse exato milissegundo, o motor de risco eleva a pontuação de perigo (Risk Score). É apenas neste momento que a UX sofre atrito. O app interrompe a transação e exige uma biometria facial 3D ativa. O fraudador, não tendo o seu rosto, abandona a tentativa. O cliente legítimo, na mesma situação (talvez apenas com pressa ou usando a outra mão), faria a biometria em três segundos e seguiria a vida.

Open Finance e Drex: A Infraestrutura Invisível

Outra ferramenta brutal para simplificar a UX sem sacrificar a segurança é o Open Finance.

Se um usuário tenta abrir uma conta na sua fintech hoje, você não sabe nada sobre ele. Ele é um fantasma. Mas se ele autoriza o compartilhamento de dados via Open Finance, você descobre que esse CPF tem um histórico de crédito impecável de oito anos no Bradesco, paga faturas em dia e recebe salário de uma empresa conhecida.

Triangular esses dados permite que a sua fintech libere a conta na hora, com limites generosos, pulando etapas chatas de envio de comprovante de residência ou holerite. A segurança não veio de um formulário longo de 20 páginas; veio da criptografia e da rede de confiança do Banco Central.

Olhando para a implementação do Drex (o Real Digital), a situação fica ainda mais interessante. Contratos inteligentes embarcados na moeda poderão carregar atestados de identidade descentralizada (DeID). A validação KYC acontecerá na camada da blockchain, permitindo que a interface do usuário seja tão simples quanto dar um 'swipe' na tela, enquanto a rede garante a integridade da transação com nível militar de segurança.

Implicações Práticas para o seu Produto

Na nossa análise, os times de produto e prevenção a fraudes precisam parar de trabalhar em silos. A segurança não pode ser um 'puxadinho' adicionado no final do ciclo de desenvolvimento do app.

O que você precisa mudar na sua operação hoje:

Maté as senhas baseadas em conhecimento: Nomes de mãe, CEPs e datas de nascimento estão em megavazamentos públicos. Peça biometria FIDO2 (Passkeys) atrelada ao hardware do dispositivo.
Mapeie a jornada do fraudador: Não teste a UX apenas com 'happy paths' (caminhos felizes). Coloque a sua equipe para tentar fraudar o próprio sistema. Como um criminoso age ao ter um celular desbloqueado em mãos?
Comunique o motivo do atrito: Se você vai bloquear uma transação ou pedir uma verificação extra, use um microcopy inteligente. Em vez de 'Erro de segurança código 409', escreva 'Notamos um acesso de um local diferente. Para proteger seu dinheiro, faça uma rápida biometria'. A percepção de valor muda completamente.
Implemente telemetria passiva: Comece a coletar dados de biometria comportamental desde o primeiro acesso. Você precisa de uma linha de base (baseline) do comportamento do usuário legítimo para poder detectar anomalias no futuro.

O Fim da Senha e o Novo Padrão

O mercado de pagamentos e fintechs no Brasil amadureceu à força. A pancada das fraudes no Pix nos ensinou que a conveniência cega é um veneno corporativo.

O futuro da UX financeira não é a ausência de segurança, mas a sua invisibilidade. Caminhamos rápidamente para um cenário onde senhas digitadas serão peças de museu, substituídas integralmente por tokens criptográficos nos dispositivos móveis (Passkeys) e validações contínuas de comportamento.

As empresas que vencerão a corrida nos próximos anos não serão aquelas com o onboarding mais rápido, mas sim aquelas que conseguirem fazer o cliente se sentir protegido sem que ele perceba o esforço tecnológico por trás dessa proteção. A verdadeira inovação em design hoje é saber exatamente quando — e como — dizer 'espere um momento' ao usuário.