Os objetivos do Open Banking, suas implicações em segurança da informação e cases da API (Application Programming Interface)
Compartilhamento padronizado de dados e serviços por meio de abertura e integração de sistemas, uma nova maneira de fornecer acesso aos clientes sobre suas informações financeiras.
terça-feira, 1 de setembro de 2020
Atualizado às 11:14
1. Introdução
Recentemente, após a divulgação da portaria 107.101, de 2 de março de 2020 do Banco Central, foi regulamentado o Open Banking pelo BACEN e pela CMN. Mas, afinal, o que é o Open Banking?
Sua definição consiste no compartilhamento padronizado de dados e serviços por meio de abertura e integração de sistemas, uma nova maneira de fornecer acesso aos clientes sobre suas informações financeiras. O Open Banking abre caminho para que novos produtos e serviços ajudem os clientes e empresas a terem um melhor aproveitamento das suas contas bancárias e até fazer mais dinheiro.
2. Objetivos do Open Banking
Na resolução conjunta 1, que trata da implementação do Open Banking, estão os objetivos do Open Banking. Sendo estes: I) incentivar a inovação; II) promover a concorrência; III) aumentar a eficiência do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro; e IV) promover a cidadania financeira. Para tanto, uma das formas encontrada para atingir esses objetivos foi facilitar a movimentação das informações financeiras dos consumidores entre as instituições.
Além dos objetivos mencionados, a resolução institui alguns princípios que deverão ser observados pelas instituições do Art. 1º, para fins de cumprimento dos objetivos, são eles:
I Transparência;
II Segurança e privacidade de dados e de informações sobre serviços compartilhados no âmbito desta Resolução Conjunta;
III Qualidade dos dados;
IV Tratamento não discriminatório;
V Reciprocidade; e
VI Interoperabilidade.
O compartilhamento será de dados sobre: canais de atendimento; produtos e serviços; cadastro de clientes e seus representantes; e transações de clientes. E de serviços de: a) iniciação de transação de pagamento; e b) encaminhamento de proposta de operação de crédito.
Para o compartilhamento a instituição deverá, obrigatoriamente, obter o consentimento do cliente, de forma clara, objetiva e adequada, apontando finalidades determinadas, com prazo determinado de acordo com as finalidades, sendo no máximo de 12 meses, incluindo a identificação do cliente.
É importante mencionar que será vedado obter o consentimento: I) por meio de contrato de adesão; II) por meio de formulário como opção de aceite previamente preenchida; ou III) de forma presumida, sem manifestação ativa pelo cliente.
No tocante a Responsabilidade, o Art. 31 dispõe que: "a instituição participante é responsável pela confiabilidade, pela integridade, pela disponibilidade, pela segurança e pelo sigilo em relação ao compartilhamento de dados e serviços em que esteja envolvida, bem como pelo cumprimento da legislação e da regulamentação em vigor".
Tudo isso é bastante inovador e benéfico para o consumidor, mas no que o Open Banking implica para a segurança digital? Em um mundo novo para os bancos, as disposições de segurança da informação tradicionais não serão suficientes. As ameaças para a integridade dos dados e para a confiança do consumidor irão aumentar?
Umas das necessidades operacionais mais urgentes nessa nova modalidade de prestação de serviços bancários será a segurança cibernética. As questões de segurança em um ambiente colaborativo entre bancos deverão ser mais fortes para assegurar que os consumidores confiem. A aceitação dos consumidores ao Open Banking é crucial para que ele tenha sucesso.
Uma pesquisa feita na Inglaterra, pela empresa CREALOGIX Group revelou que 46% dos consumidores estão preocupados com as implicações em segurança no Open Banking, como roubo de identidade e vazamentos de dados. Quando perguntado a eles se achavam que o Open Banking era uma boa ideia, 69% disse NÃO, sendo justamente a segurança sua principal preocupação. Os que acharam o Open Banking uma boa ideia, acreditam que irá ajudar a administrar melhor o dinheiro, trocar de banco com facilidade e ver as finanças da família com menos burocracia. Este estudo foi feito com dois mil consumidores do Reino Unido, e ilustra que o Open Banking encara um problema de percepção e avaliação.
A pesquisa também mostrou que os mais jovens (16 a 34 anos) estão menos preocupados com a segurança e proteção de dados, e os mais velhos (acima de 55 anos) apresentam maior preocupação.
O Regulamento PSD2, da União Europeia, requereu aos bancos que fizessem uma base de Tecnologia da Informação em forma de API. Como os dados sensíveis estão envolvidos, todas as decisões automatizadas sobre acesso aos dados estarão sujeitas a requisitos restritos de segurança.
Mas afinal, o que seria um API? API significa Application Programming Interface. É um modo de duas aplicações de computador se comunicarem por meio de uma rede, usando uma linguagem em comum que ambas compreendem.1 API é um conjunto de rotinas e padrões de programação usados por um software para a utilização das suas funcionalidades por outros aplicativos.
Os desenvolvedores das plataformas precisarão de acesso aos APIs, permitindo que descubram, conectem e reutilizem recursos de software. Os APIs se comportam como mensageiros indo para lá e para cá entre as aplicações, bases de dados e dispositivos. Isso permite facilitar que as empresas abram seus dados em seus sistemas e as conectem com outros sistemas relevantes.2
Aproximadamente 20% dos bancos investiram em iniciativas relacionadas ao Open Banking em 2017.
Em um relatório publicado pela PwC Open Data Institute nos primeiros seis meses do Open Banking, foi previsto que em 2022 o mercado iria ser valorizado em 7.2 Bilhões de Euros.
De acordo com Chris Skinner, haverá uma transição gradual de sistemas monolíticos e os sistemas existentes para o mundo de pura API financeira em dez anos.
O número de bancos que abriram seus APIs aumenta a cada dia. Segue gráfico sobre quais bancos estão abrindo, que ainda não adotaram uma funcionalidade para seu API:
3. Casos de API pelo mundo
Integração do Paypal com a Siri
Os usuários do Paypal poderão enviar e pedir dinheiro por comando de voz através da Siri. Diga "E aí Siri, envie R$ 50,00 para Maria" e o dinheiro será transferido. A função está disponível em trinta países, incluindo Brasil.3
O2 Baking e Telefónica Deutschland
A empresa de telecomunicações Telefónica (Alemanha) lançou um serviço de banking completamente móvel construído na plataforma do Banco Fidor: o O2 Banking, que oferece transações com números de celular, pequenos empréstimos instantâneos e melhores planos de dados móveis.4
Insha e solarisBank
Insha foi construída na plataforma de Open Banking da solarisBank usando seus APIs. Com Insha, os consumidores poderão abrir contas, pedir cartões de débito, transferir dinheiro entre bancos dentre outras vantagens.
Pagamentos com Facebook Messenger
Os usuários do Messenger poderão transferir dinheiro aos seus amigos sem sair do app. A empresa está trabalhando com os players da indústria bancária, como Stripe, Paypal, Braintree, Visa, MasterCard e American Express. O Facebook está tentando transformar o Messenger em uma plataforma que conceda acesso a aplicações de terceiros.
Podemos ver que com a introdução do Open Banking, os bancos irão deixar as informações sobre as contas dos seus clientes acessíveis a entidades externas. Isso significa abrir portais de comunicações, concedendo o acesso aos detalhes das contas dos consumidores para terceiros (TPPs - third-party providers), como agregações de dados, challenger banks, startups, fintechs etc.
Os perímetros onde ficam os dados sensíveis nos bancos, foram estendidos fora do seu limite corporativo. Como resultado disso, os bancos poderão ser expostos a novas ameaças, que emanam aquém da sua tradicional área de controle. Este fato gera muita preocupação, visto estarmos em tempos onde os cibercrimes aumentam implacavelmente. Em um ambiente ainda mais conectado, ofensores têm muitos vetores de ataque para explorar vulnerabilidades de sistema, de protocolo ou de rede. A proteção deve, portanto, ser perfeita e cobrir as quatro principais rotas de saída - mídia removível, Internet, e-mail e conexões de rede fixas.
Uma das maiores preocupações do compartilhamento de dados com os TPPs, é que eles podem ser comprometidos quando estão em trânsito, armazenados ou em uso. Os TPPs que possuem seus próprios controles de segurança, agora serão responsáveis para proteger qualquer dado pessoal ou dados de conta processados por eles. Sem a devida segurança, isso pode levar a potenciais atividades financeiras fraudulentas, danos reputacionais para as entidades envolvidas e até comprometer toda a iniciativa do Open Banking. Pior ainda, isso pode retirar dos bancos suas relações de anos, baseadas em confiança mantidas com seus clientes.
4. Medidas de governança no ambiente do Open Banking
Aqui, segue algumas medidas práticas, que podem ser adotadas agora mesmo para otimizar o ambiente do Open Banking:
- Adotar um framework rígido de segurança da informação, como a ISO27001, ISO27032:2012 ou NIST;
- Aplicar a conformidade de acordo com os padrões do setor
- Adoção de uma abordagem proativa de defesa em todo o setor, com base na avaliação de todas as organizações participantes, posturas de segurança e disponibilizar inteligência para lidar com as ameaças
- Implementação de uma detecção proativa de ameaças cibernéticas, buscando ativamente possíveis vulnerabilidades emergentes e ataques considerando pessoas, processos e tecnologia holisticamente.
- Ter uma equipe cibernética competente, implantada por meio de um hub funcional, como um centro de operações de segurança (SOC) ou um centro de inteligência de segurança (SIC)
- Equipe colaborativa para lidar com as ameaças, com compartilhamento de informações sobre ataques cibernéticos em tempo real
- Planos de resposta à incidentes de segurança robustos
Claro que a proposta do Open Banking continua válida e apresenta uma nova oportunidade para os consumidores e para os bancos, aumentando também a concorrência e a competitividade no âmbito da inovação. Naturais são os obstáculos que esse novo modelo beyond banking encara, e é por essa razão que os fatores de segurança da informação devem ser alvos de maior atenção, assegurando uma maior probabilidade de sucesso dessa nova iniciativa.
O Open Banking não deve significar risco para segurança da informação e privacidade dos dados pessoais, tendo em vista que as instituições financeiras e APIs devem utilizar medidas robustas para proteger informações confidenciais, visando uma nova oportunidade para os consumidores e para os bancos, aumentando também a concorrência e a competitividade no âmbito da inovação e otimização de processos.
_________
1 Clique aqui (acessado em 8/6/20)
2 Jackson, Daniel; Brail, Greg; & Woods, Dan. APIs: A Strategy Guide: Creating Channels with Application Programming Interface, 2011, O'Reilly Media
_________
What does Open Banking Mean for Cyber Security? - Danushka Jayasinghe, Kian Adam Rahnejat, Evdokia Kardoulaki, Kristian McCaul, Jibran Ahmed, 2018, disponível em: Clique aqui
_________
*Flavia Alcassa dos Santos é sócia advogada da advocacia Alcassa & Pappert. Especialista em Direito Digital, DPO Data Privacy, Corporate. Membro do Comitê Jurídico da ANPPD® Associação Nacional dos Profissionais de Privacidade de Dados e membro do comitê dos Crimes Digitais na ANADD - Associação Nacional de Advogados do Direito Digital, EXIN Privacy and Data Protection Foundation.
*Milena Pappert é advogada, sócia-proprietária da advocacia Alcassa & Pappert. Certificada em ISFS pela EXIN, supervisora de conteúdo do comitê de Privacidade e Proteção de Dados na ANADD - Associação Nacional de Advogados do Direito Digital.
*Hiran Gabriel Lopes da Cruz é bacharel em Direito, Crimes Cibernéticos e Proteção de Dados. Membro da ANADD - Associação Nacional de Advogados do Direito Digital.