Sobre o que estamos falando? O Open Banking inaugura um novo ecossistema de soluções para…
O que são APIs? E como o Open Banking utiliza APIs?
Uma das principais premissas do Open Banking é o uso compartilhado dos dados entre todos os atores do ecossistema, de modo a prover melhores produtos e serviços para os clientes. Os dados são de titularidade do cliente que tem o poder de escolher para quem irá fazer o compartilhamento destes, por meio da gestão do consentimento, com o objetivo de obtenção de melhores ofertas sob medida para suas necessidades e desejos.
Para o Open Banking Brasil, a comunicação entre as várias instituições é possibilitada por meio de frameworks e protocolos especialmente desenvolvidos para a interoperabilidade entre diferentes sistemas de forma integrada e sincronizada, em busca da máxima segurança no open banking e na troca dos dados durante o processo, que podemos chamar simplesmente de APIs.
Segundo definição que consta do Guia de Experiência do Usuário do Open Banking, API (Application Programming Interface) é “uma forma de comunicação entre sistemas.
Permite a integração entre dois sistemas, em que um deles fornece informações e serviços que podem ser utilizados pelo outro, sem a necessidade de o sistema que consome a API conhecer detalhes do desenvolvimento do sistema de origem.”
Um dos fatores cruciais para o sucesso da implementação das fases do Open Banking, será a necessidade da adoção das melhores práticas no uso de APIs, principalmente quanto ao tratamento das informações e do cumprimento das especificações de cada uma, visando a padronização e melhoria de performance.
O maior desafio atualmente é garantir que os padrões de segurança funcionem de forma adequada na interoperabilidade entre as diversas instituições, que precisarão atender os requisitos de cada regulação no prazo estipulado, e para isso uma curva de aprendizado se faz necessária, ainda mais quanto aos testes que devem ser feitos para que tudo funcione de acordo com o esperado.
Inclusive, esse foi um dos motivos para a postergação do calendário original, no qual se faz necessário um elevado nível de exigência de perícia técnica das equipes responsáveis e muita dedicação ao que se refere sobre o conjunto de APIs voltadas para a segurança como o FAPI e o CIBA, de modo a poder se construir um ecossistema capaz de operar de forma robusta e confiável.
O protocolo FAPI do Open Banking
O protocolo FAPI é uma extensão do OpenID Connect, em função Hash com alta taxa de criptografia, onde cada Instituição que o implementa segue as especificações rígidas definidas pelo Banco Central.
Nesse processo, o FAPI gerencia como a identidade é manuseada entre atores do ecossistema do Open Banking com alto grau de segurança de modo a permitir a interoperabilidade entre todos.
A instituição receptora, não originária do cliente pode ser classificada como uma TPP (Third Party Provider), que é uma Instituição terceira ou não originária do cliente, que também é membro do ecossistema compartilhado do Open Banking.
Quando se trata de uma TPP, precisa primeiro ser reconhecido nesse ecossistema, tendo todos seus passos rastreados e eventuais vulnerabilidades identificadas e corrigidas.
Uma vez dado o consentimento, ele irá valer por um período pré-determinado, o que em termos práticos significa que a instituição receptora fica tendo acesso aos dados do cliente na Instituição de origem, até que expire esse período pré-determinado ou que o usuário de maneira explícita expresse o desejo de o revogar, que é o chamado opt-out.
A documentação do Open Banking prevê um timer de duração obrigatória para o consentimento que varia em sua duração para os diferentes tipos de transações. Pois, o consentimento para pagamentos possui uma janela de tempo de 5 minutos, sendo que passado esse período de tempo, ocorre a invalidação do mesmo e a exigência de um novo consentimento para pagamento.
Diferenças em padrões de segurança de API’s e protocolos
Ocorre atualmente um alinhamento global entre os padrões a serem adotados nas APIs, tendo o Brasil se beneficiado desse movimento, com a aceleração da curva de aprendizado de nosso país, uma vez que implementações bem sucedidas do Open Banking UK nos servem de exemplo de quais as melhores práticas a serem adotadas e ainda promover a disseminação do conhecimento técnico relevante, com isso ajustando todo o aprendizado para as condições regulatórias do sistema financeiro brasileiro.
Como a requisição de informações por provedores terceiros, que são as instituições receptoras de dados. Necessita que se ocorra a identificação do cliente ao banco, o que acarreta um processo de autenticação com a entrega de dados sensíveis de identidade numa rede potencialmente insegura.
Por isso da importância dos padrões de segurança, como a utilização de protocolos FAPI e CIBA de modo a garantir alto padrão de segurança no compartilhamento de informações.
Assim, a autorização e autenticação, entre os membros do ecossistema, sendo intermediados por protocolos como o CIBA (mais avançado), que permite por exemplo a integração com diferentes tipos de sistemas de pagamentos integrados a assistentes virtuais de voz como Alexa para viabilizar de forma facilitada a autorização de uma solicitação de pagamento.
Como as TPPs vão atuar com o Open Banking
• As TPPs vão consumir as APIs de um transmissor necessariamente;
• Problemas com sistemas legados, para poder ocorrer a migração para a compatibilidade com o ecossistema de Open Banking, faz toda a diferença para poder contar com a expertise de players como o Grupo FCamara, que é reconhecido como integrador de excelência no Mercado de BaaS e Finance.
• A comunidade de TPPs vai estimular o aumento de aplicativos que fazem o uso de dados do ecossistema do Open Banking, o que vai estimular a concorrência pelo consumidor.
• Do aspecto de segurança, não há diferença entre a solicitação de um terceiro (TPP) para uma conta da própria instituição financeira.
Fase 02 e o compartilhamento de dados
Durante a Fase 2, o cenário basicamente tem como objetivo, o compartilhamento de dados do cliente, como aberturas de contas em outros bancos, o ecossistema do Open Banking permite que a partir de uma solicitação com consentimento explícito do cliente, que uma outra Instituição receptora, que também seja membra da rede, tenha acesso aos dados solicitados da Instituição transmissora, que no caso é a de origem do cliente.
A instituição que pede o consentimento (TPP ou receptora) faz esse procedimento e cabe ao cliente aceitar ou não. Enquanto durar o tempo do consentimento definido pela TPP não é necessária nova requisição de consentimento. Similarmente ao que já ocorre na LGPD brasileira e na GDPR européia, apenas se o caso de uso ou transação for diferente do consentimento original que será necessário um novo consentimento.
Nesse sentido o consentimento é imutável em termos de escopo, o que fugir do escopo previamente definido, exige nova autorização do cliente (requisição de consentimento). Sendo que esse consentimento pode ser rejeitado pelo cliente a qualquer tempo ou também deixa de ser válido do momento que ocorre sua expiração de sua data de validade pré-determinada pela TPP.
Nesse caso em particular, por meio de um app ou sistema que recebe dados para fins de agregação e fazendo do uso de critérios próprios de análise de crédito com Advanced Analytics, promover o oferecimento de produtos e serviços sob medida, destacando que a iniciativa parte do usuário para cada ação.
Fase 3 e ITP (Iniciador de Transação de Pagamento)
A instituição iniciadora de transação de pagamento será protagonista da Fase 3 do Open Banking, e se dará no início apenas com o PIX, para futuramente permitir o pagamento agendado e recorrente, em diferentes arranjos de portfólio que variam de acordo com a Instituição Financeira.
Na fase 3 do Open Banking, que começa no final de agosto, a visão 360 graus do cliente vai permitir maior acesso aos dados, permitindo uma visão unificada do cliente dentro do ecossistema.
Nesse cenário, os atores que atuam como agregadores de dados estarão em uma posição vantajosa, devido à total visibilidade da situação do cliente perante todos os atores do ecossistema.
Dadas as vantagens que ficarão cada vez mais claras para o consumidor, haverá um aumento grande no compartilhamento de informações, um processo que deve ser seguro, ágil, robusto e ter alta disponibilidade.
Os padrões de segurança do Open Banking no Brasil
No modelo em implantação no Brasil, o processo de consentimento informado e explícito e o posterior compartilhamento dos dados ocorre após a dupla autenticação do cliente, tanto na instituição “transmissora” quanto na “receptora” dos dados.
Tanto o FAPI e quanto o CIBA fazem uso do OpenID Connect de modo a fazerem o “login” facilitado em diferentes plataformas, permitindo assim, a interoperabilidade e autenticação segura entre diferentes instituições financeiras.
A interação entre os diferentes aplicativos, tanto da Instituição Receptora quanto da Transmissora, também chamado de “redirecionamento App-to-App“, precisa ocorrer da maneira mais fluída possível (sem etapas adicionais de autenticação), com boa navegabilidade durante o processo e enquanto garante toda a segurança e integridade dos dados durante o processo de requisições por meio das APIs.
Nesse contexto, haverá grandes oportunidades para as plataformas que funcionarem como marketplace de serviços financeiros com o uso de API de terceiros (por exemplo: Fintechs).
O Brasil atualmente está usando o que há de melhor no mundo em questão de segurança, com atores autenticados e reconhecidos dentro do ecossistema via APIs criptografadas, com empresas que atuam como integradoras exercendo o papel de auxiliar as Instituições Financeiras a estarem aptas a implementar a arquitetura necessária para poderem participar, manter e garantir o funcionamento robusto e confiável em escala, sendo fator fundamental para gerar confiança na adoção do Open Banking no Brasil.
Quer saber mais?
Prepare-se: depois do Open Banking, vem aí o Open Insurance
O que é Open Finance? A Evolução do Open Banking
Qual o impacto do open banking no mercado financeiro e dicas para as instituições?
Open Insurance: prepare sua seguradora para a Inovação Aberta
Este post tem 0 Comentários