Parte central da agenda do Banco Central (BC) de incentivo à competitividade no Sistema Financeiro Nacional (SFN), o open banking concluirá a sua segunda fase de implementação na próxima quinta-feira, dia 15. A partir dessa data, os correntistas poderão decidir se querem compartilhar ou não os seus dados cadastrais e transacionais relativos a operações de crédito, conta de depósito e cartão de crédito, atualmente detidos pelos seus bancos, com outras instituições financeiras. O consentimento é um pilar fundamental do open banking. É a partir dele que será possível ampliar o leque de produtos e serviços disponíveis para o consumidor e aumentar a competição no setor — movimento que pode resultar na oferta de soluções e taxas melhores. Tamanha disrupção, entretanto, traz riscos que não podem ser ignorados. 

Para que o open banking funcione como um “sistema bancário aberto”, o intercâmbio de informações entre as instituições financeiras precisa ser feito por meio de APIs (Application Programming Interfaces). Na primeira fase do open banking, os bancos se debruçaram sobre a criação dessas plataformas e as plugaram em uma rede para viabilizar a troca de dados. Porém, por mais bem protegidas que essas APIs estejam, elas ainda são um prato cheio para criminosos ávidos por roubar dados ou cometer fraudes. E não há dúvidas de que, com o aumento da digitalização da economia, tentativas nesse sentido vêm crescendo de forma acelerada.  

Um estudo da Unico, startup de identificação por biometria facial, deixa isso claro. A empresa fez um levantamento sobre tentativas de fraudes no Brasil, tendo como amostra cerca de 600 clientes, entre companhias dos setores de varejo, bancos, fintechs, e-commerce e telemedicina. Só nos cinco primeiros meses de 2021, a startup diz ter barrado, via tecnologia de biometria facial, mais de 900 mil ações fraudulentas contra consumidores em todo o País — desse total, 200 mil aconteceram apenas em maio. Nesse mesmo mês, a Único afirma ter evitado 5 bilhões de reais em prejuízos aos clientes, dois quais 4 bilhões de reais estavam relacionados às fintechs.  

Em videoconferência organizada na última semana pela Folha de S.Paulo, o presidente do BC, Roberto Campos Neto, enfatizou que os riscos de quebra de segurança estão sendo discutidos “exaustivamente” no grupo de estudos dedicado ao open banking e que uma série de regras serão estabelecidas para lidar com situações que envolvam, por exemplo, acesso não autorizado, vazamento de dados e descarte de informações. Ainda assim, pode ser que o BC tenha dificuldade em convencer os consumidores de que o open banking é seguro. Primeiro, porque é difícil confiar em algo novo e aparentemente complexo — uma pesquisa da parceria C6 Bank/Ipec mostra que 69% dos brasileiros com acesso à internet afirmam precisar entender melhor o que é o open banking antes de decidir se vão compartilhar suas informações financeiras. E, segundo, porque o medo de ser vítima de fraude ou roubo de dados assombra grande parte dos brasileiros — mais especificamente a parcela de 86%, de acordo com estudo feito para a 7ª edição do Observatório da Federação Brasileira de Bancos (Febraban).  

Fundador do GuiaBolso e conselheiro do Open Banking Brazil, Thiago Alvarez afirma que o sistema financeiro aberto brasileiro é bastante robusto e seguro. “O País importou e adaptou a infraestrutura do Reino Unido, pioneiro na implementação do sistema financeiro aberto, em 2018. Aproveitamos a curva de aprendizado gigantesca deles e aprendemos com seus erros”, ressalta. “Isso permitiu ao open banking brasileiro nascer com uma base mais sólida e com um escopo muito maior”, acrescenta.  

A previsão do Banco Central é que a adoção completa do open banking no Brasil ocorra até o fim deste ano, com o cumprimento de mais duas fases. Após a etapa atual, de consentimento, o plano é que os consumidores passem a ter acesso a serviços de pagamento fora do ambiente dos bancos. Depois, na última etapa, o Banco Central almeja ampliar o compartilhamento de dados para outros produtos e serviços, como seguro e previdência. 

Arcabouço regulatório 

Todo o envio e recebimento de informações dentro do ecossistema do open banking também está protegido pela Lei Complementar n° 105/2001, que dispõe sobre sigilo bancário. Ela proíbe o compartilhamento de dados para instituições que não sejam participantes do sistema financeiro aberto, bem como a venda de informações de consumidores para terceiros. Somado a isso, o open banking está sob o guarda-chuva da Lei Geral de Proteção de Dados (LGPD), que busca assegurar a a transparência na utilização e proteção de dados pessoais. 

Apesar desse arcabouço, um ponto permanece obscuro: que ator sofrerá processos sancionadores do BC caso ocorra, por exemplo, um vazamento de dados — se a instituição que repassou os dados ou a instituição invadida. Independentemente da decisão do regulador, Arthur Capella, country manager da empresa de cibersegurança Tenable, observa que o dano reputacional seria inevitável para ambas as instituições e ameaçaria a credibilidade do ecossistema do open banking como um todo. “Em termos de risco reputacional, os ataques de ransomware contra a JBS e o Grupo Fleury, que aconteceram recentemente, não se comparam a um possível ataque a uma instituição financeira. Ninguém deixou de comprar carne da JBS ou utilizar os serviços do Fleury por causa disso, mas o destino de um banco ou de uma fintech que é hackeada e fica uma semana fora do ar é óbvio: vai quebrar”, afirma. O especialista aponta que, por causa dessa fragilidade, o setor financeiro tem um nível de maturidade em segurança muito maior do que outros setores da economia brasileira e já investe nesse ponto há muito tempo. Grupos de discussão de cibersegurança coordenados pela Febraban existem há mais de 20 anos. 

No Brasil, somente instituições financeiras que funcionam sob algum tipo de regulação oficial do BC poderão participar do open banking. Aquelas classificadas como S1 (com porte igual ou superior a 10% do PIB ou que tenham atividade internacional relevante) e S2 (entre 1% e 10% do PIB) são obrigadas a fazer parte desse ecossistema. Já as demais instituições têm adesão voluntária. 

Gestão de dados 

Outro grande desafio do open banking no Brasil é estabelecer como o consumidor vai administrar seus dados e organizar o consentimento para diferentes instituições. A solução encontrada pela Índia, por exemplo, foi desenvolver um sistema “agregador de contas”, oferecido pelos bancos e licenciado pelo Banco Central indiano, que regula a coleta e o compartilhamento de dados. Ao fazer login em aplicativos de empresas autorizadas, os usuários podem reunir todos os tipos de dados financeiros, desde declarações de Imposto de Renda até transações comerciais, e optar por compartilhá-los ao buscar empréstimos, produtos de investimento ou seguros. 

Até o fim do ano, bancos e fintechs ainda terão muito trabalho pela frente para completar a adoção ao open banking. Ainda que o medo de ter as informações roubadas possa afastar alguns consumidores num primeiro momento, não há dúvidas de que a mudança veio para ficar. Segundo projeção da FCamara, especializada em soluções digitais, inclusive para o open banking, a perspectiva é de que cerca de 5 milhões de brasileiros possam aderir ao sistema nos próximos 12 meses. Cabe agora às instituições financeiras disseminarem as vantagens dessa novidade — e mitigarem adequadamente seus riscos. 

Leia também

Stablecoins ameaçam estabilidade de mercados de crédito

CEOs como influenciadores digitais

O lado obscuro das Spacs

DeFi: o revolucionário — e incerto — futuro do sistema financeiro