Certo. Essa informações eu peguei do e-mail que o time de implantação do Itaú nos mandou quando solicitamos as credenciais. Eles pediram para configurar o certificado tanto para o host api.itau.com.br quanto para o sts.itau.com.br, e meus envios, tanto no postman quanto no sistema, só funcionam enviando o certificado em todas as requisições (token, registro e consulta), quando não envia, recebo 403 Forbiden.
Sobre o scope, não cheguei a usar, minhas requisições vão sem essa informação. Mas não sei se já está previamente configurada na minha carteira pelo banco.
Mas qualquer novidade, compartilha com a gente.