Open Banking: Os riscos, governança e o papel da autenticação
Para que haja adoção do Open Banking por parte da população, as instituições financeiras precisam entender os perigos do sistema financeiro aberto e como solucioná-los de forma a manter um sistema seguro e capaz de entregar uma excelente experiência ao usuário final.
Assine nosso blog
Muito vem se falando do Sistema Financeiro Aberto, ou, pelo termo mais famoso, do Open Banking. Trata-se de uma iniciativa capitaneada pelo Conselho Monetário Nacional (CMN) e Banco Central (Bacen) pela qual se promove, mediante o consentimento do usuário, o compartilhamento padronizado de dados, com o propósito de incentivar a inovação, promover a concorrência, aumentar a eficiência do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro e promover a cidadania financeira (art. 3° da Resolução Conjunta n° 1/20, CMN e Bacen).
Contudo, pesquisas já demonstraram que um dos maiores receios da população para aderir ao Open Banking envolve questões de segurança e proteção dos seus dados e confiança no tratamento dos dados. Por isso, tratar do aspecto da segurança é fundamental.
Quais os riscos do Open Banking?
O primeiro ponto é que ainda que a figura da portabilidade não seja algo inédito no Sistema Financeiro brasileiro¹, a escala que se propõe com o Open Banking é infinitamente maior. Essa estrutura em que há maior fluidez de dados aumenta a superfície sujeita a fraudes e vazamentos.
O segundo aspecto é que mais concorrentes, com menores parcelas do mercado, passam a ter acesso a um grande volume de dados, o que deve resultar em melhora dos serviços, novos modelos de negócio e aumentar sua acessibilidade num país em que uma parte relevante da população ainda é desbancarizada. O outro lado da moeda é que também se aumenta o número de alvos de ciberataques e de sistemas sujeitos a incidentes de segurança.
Isso pode ser um problema caso os novos players do mercado tenham uma estrutura menos madura de governança e segurança de dados. Com o Sistema Financeiro Aberto, é possível que um incidente relacionado a uma instituição menor cause danos bem maiores dos que ocorreriam no cenário de não haver amplo compartilhamento de dados.
Por último, o surgimento de novos formatos de transações também pode revelar novas vulnerabilidades, o que é natural à adoção de novos desenhos tecnológicos. Isso é representado, principalmente, por três inovações.
1. APIs ou as “Interfaces Dedicadas ao Compartilhamento”
A mais importante delas é que toda a estrutura do Open Banking é baseada em APIs, as “Interfaces Dedicadas ao Compartilhamento” (Res. Conjunta n° 1/2020), padronizadas, cuja estrutura deve ser definida através de convenção setorial, com participação, orientação e fiscalização do Bacen. O risco do modelo de APIs públicas é que, há maior margem para que terceiros explorem possíveis vulnerabilidades da interface, essa é, inclusive, uma das maiores preocupações apontadas, a nível mundial, na implementação de sistemas do Open Banking.
2. Iniciador de Transação de Pagamento
A outra inovação é potencializada pelo Open Banking é a figura do Iniciador de Transação de Pagamento, que, mesmo sem deter a conta do usuário e os valores transferidos, poderá realizar a transferência financeira mediante requisição do usuário (Resolução n° 80/2021 do Bacen).
3. Uma nova cadeia de transação
A introdução de um novo player na cadeia da transação, ainda que seja fiscalizado e pré-autorizado pelo Banco Central², traz desafios para as Instituições que estavam acostumadas a interagir diretamente com seus usuários. Terão, por exemplo, que complementar seus scores de fraudes com um novo histórico, tomando por base as transações através dos Iniciadores de Pagamento. Em um paralelo com o sistema do PS2D, a regulação europeia sobre pagamentos eletrônicos, lá é apontado que um dos principais riscos de fraude reside no procedimento de onboarding nas aplicações dos Third-Party-Providers, como o Payment Initiation Service Provider, a versão britânica do Iniciador de Transação de Pagamento.
Segurança, Interoperabilidade e User Experience
Há diversos mecanismos para mitigar os riscos apontados e para proteger a excelente inovação que é o Sistema Financeiro Aberto. Vamos tratar de dois deles: a abordagem regulatória que concilie interoperabilidade, governança e segurança - principalmente nesse primeiro momento em que há um grande protagonismo do Bacen na definição das práticas de segurança - e o papel das tecnologias de autenticação aliadas à boa experiência do usuário.
O papel das tecnologias de autenticação no Open Banking
Pela Resolução Conjunta n° 1/2020, a autenticação do usuário deve ser feita pela instituição transmissora ou detentora de conta a cada consentimento (que pode ter um prazo de até 12 meses) ou a cada transação quando se tratar do serviço do Iniciador de Transação de Pagamento, com exceção de pagamentos sucessivos. A autenticação da Instituição Receptora dos dados deve ocorrer a cada chamada da API. Isso reforça a importância sistêmica da segurança nos processos de login das instituições transmissoras dos dados.
E como deve ser feita essa autenticação? As instituições devem determinar o grau de complexidade do método de autenticação a partir dos critérios do nível de risco do consentimento, tipo de dado ou serviço a ser compartilhado e o canal de atendimento, mas, fora isso, não há grandes diferenças entre a autenticação para fins de compartilhamento de dados e a ordinariamente utilizada pela instituição no login dos usuários, incluindo a possibilidade de utilização de serviços externos de autenticação.
Sobre governança e segurança no Open Banking
Há também os diversos deveres relacionados com a governança de dados e mecanismos segurança da informação, além das medidas técnicas e operacionais previstas no manual de segurança de Open Banking (Instrução Normativa n° 134/21, Bacen) e na documentação de implementação estabelecida pela estrutura de Governança, bem como cumprir as normas sobre política de segurança cibernética, além de outras determinações regulatórias e definidas em lei, como é o caso da Lei Geral de Proteção de Dados Pessoais.
Quais os melhores métodos de autenticação para o Open Banking?
Por fim, voltando à autenticação, é necessária uma nova abordagem sobre o seu papel, que deve ser multicamada e adaptativa. Abandonar a dependência de dados estáticos tornou-se uma questão de sobrevivência, sobretudo no Brasil em que mais 200 milhões de brasileiros tiveram diversos dados pessoais seus expostos, além de outros inúmeros vazamentos.
Não é por menos que, dentre os métodos de autenticação exigidos no PSD2: algo que o usuário i) saiba ii) possua e iii) seja, sendo dois deles mandatórios (o Strong Customer Authentication - SCA), ganha cada vez mais relevância a utilização de biometria comportamental, por sua segurança, ausência de fricção e eficiência de custo.
Além disso, o uso de métodos de biometria comportamental tendem a auxiliar no projeto de promoção da cidadania financeira, em contraste com os métodos tradicionais, pois várias camadas dentre os desbancarizados sofrem com falta de documentação hábil, inabilidade com uso de tecnologias³ (como as necessárias para uso de alguns tipos autenticação de dois fatores) e defasagem dos registros junto aos entes públicos. É nesse contexto que ganha ainda mais relevância a autenticação silenciosa, que ao invés de complicar a experiência no aplicativo, facilita.
A importância de uma boa experiência de usuário para o Open Banking
E não para por aí, a verdade é que a boa experiência do usuário tornou-se um dever regulatório. Especificamente em relação ao Open Banking, percebe-se que uma experiência simples, prática e sem atrito é um dos vetores do sistema4 e é crucial para que haja adoção da população, sendo “estritamente relacionados a uma experiência sem fricções”5, devendo o compartilhamento ser efetuado com segurança, agilidade, precisão e conveniência (Resolução Conjunta n° 1/20, art. 8°) e com o mínimo de fricções possíveis, em um ambiente seguro e que garanta a privacidade (Instrução Normativa n° 132/21, Bacen).
Criação da confiança no sistema de compartilhamento de dados
Um último aspecto tão relevante quanto os anteriores é a conformidade dos métodos de autenticação e das próprias instituições participantes com as normas e melhores práticas de proteção de dados pessoais, uma vez que a confiança dos usuários de que estão aderindo a um sistema de compartilhamento recíproco de dados em que a sua privacidade é respeitada é um fator determinante para que o Open Banking progrida e os avanços tecnológicos no sistema financeiro se disseminem.
¹ Por exemplo, a Resolução n° 4.292/2013 do CMN e Resolução n° 3.401/05 do CMN.
² Entre os critérios para autorização está a compatibilidade da infraestrutura de tecnologia da informação com a complexidade e os riscos do negócio (em breve vigente Resolução n° 81/2021 do Banco Central)
³ World Bank Group. The Global Findex Database 2017: Measuring Financial Inclusion and the Fintech Revolution, 2017, p. 40
4 Como enfatizado na página oficial do Open Banking no Brasil https://openbankingbrasil.org.br/conheca/
5 Exposição de motivos da Resolução Conjunta n°1/20 https://www.bcb.gov.br/pre/normativos/busca/downloadVoto.asp?arquivo=/Votos/CMN/202044/Voto%200442020_CMN.pdf
Texto escrito por Berg Melo e Raíssa Moura
