E qual a diferença entre Regulado e Não Regulado?
O Open Finance regulado é um ecossistema aberto de compartilhamento de dados entre instituições do mercado financeiro brasileiro, baseado nos requisitos segurança, aspectos de experiência do usuário e interfaces padronizadas de trocas de dados e informações, cujas definições passam pela Convenção do Open Finance Brasil, a implementação pelo Diretório de Participantes e a supervisão pelo Banco Central, com fundamentos e diretrizes totalmente respaldados pela LGPD – Lei Geral de Proteção de Dados.
No Open Finance regulado, qualquer instituição do mercado financeiro brasileiro que queira se conectar e trocar dados e informações com outra instituição, pode fazê-lo simplesmente aderindo ao ecossistema, o que significa passar por um processo burocrático e de validação tecnológica. Com isso, a instituição tem acesso às interfaces padronizadas para se plugar com qualquer outra instituição que também participe Open Finance Brasil, sem a necessidade de firmar acordos e contratos bilaterais com a IF parceira, e sem incorrer em condições privilegiadas de acesso a uma IF específica.
Os princípios de igualdade, isonomia e reciprocidade nos acessos e conexões entre as diferentes instituições financeiras representam os grandes pilares de governança do ecossistema aberto de compartilhamento de dados, e é exatamente por isso que ele leva o nome de “Open”.
No entanto, antes mesmo do Banco Central publicar a base regulatória que instituiu o Open Finance no Brasil, algumas startups e empresas de tecnologia já se conectavam com outros bancos para ter acesso e “puxar” as informações das contas dos clientes em diferentes instituições financeiras. Neste cenário “pré Open Finance”, as conexões se davam através de contratos e relacionamentos bilaterais com os bancos parceiros, como forma de ter acesso às suas APIs, ou ainda, através de uma prática conhecida como screen scraping, ou raspagem de tela.
Com o advento da regulação do Open Finance Brasil, essa prática, ainda muito utilizada por provedores de soluções e por aplicativos independentes, tem sido chamada de Open Finance não regulado (ou acesso não regulado), uma vez que o formato das conexões foge dos padrões definidos pela regulação do Open Finance Brasil.
Mas quais os riscos deste acesso que, o próprio nome diz, não é regulado ou supervisionado pelo Banco Central?
Bem, existem alguns problemas no modelo de acesso não regulado que, inclusive, levaram as autoridades europeias a proibir estas práticas na Europa, logo após a implementação do Open Finance por lá. Acreditamos que este mesmo movimento deve ocorrer no Brasil, e explicamos os motivos.
Aspectos de Negócios
No Open Finance não regulado, para ter acesso às APIs e se conectar com determinada instituição financeira, uma FinTech ou um provedor terceiro deve, necessariamente, estabelecer um relacionamento comercial/contratual com o banco em questão, ficando totalmente à critério do banco a decisão de conceder ou não acesso às suas APIs. Em sua avaliação, o banco poderá considerar os potenciais de ganhos da parceria, vis-à-vis ao esforço/custo que deverá incorrer para viabilizar a conexão. Além disso, o banco pode cobrar o que bem entender para liberar suas APIs e permitir que um terceiro se conecte ao seu sistema. Neste caso, devemos concordar que não se trata efetivamente de um ecossistema aberto, ou de um “Open” Finance de fato.
Para contornar este aspecto discriminatório, FinTechs e provedores terceiros recorrem, muitas vezes, ao método de raspagem de tela (screen scraping) e conseguem obter as informações dos clientes mesmo sem acesso às APIs dos bancos. Existem inúmeros problemas relacionados a este método de obtenção de dados no Open Finance não regulado, e é sob este aspecto que recaem os princípios de igualdade, isonomia e reciprocidade que fundamentam o Open Finance regulado, onde as APIs são públicas e os repositórios estão acessíveis a todas as instituições que cumprem os requisitos regulatórios e que aderem formalmente à participação no ecossistema.
Aspectos de Segurança da Informação
O Open Finance não regulado ocorre a partir da coleta das credenciais (login e senha) que os clientes utilizam para acessar suas contas bancárias. De posse destas credenciais, o sistema é capaz de acessar os dados da conta do cliente, capturar as informações e apresentá-las em outra interface (um aplicativo agregador de contas, por exemplo). O problema é que estas credenciais passam a ser armazenadas por uma instituição terceira, e o banco de origem dos dados pode, facilmente, perder o controle sobre quem tem posse destas credenciais, que, em geral, ficam hospedadas em outras geografias. Muitas vezes o banco nem fica sabendo que um outro aplicativo está acessando as informações dos seus clientes. Além de um risco de vazamento destas informações de login e senha, o que pode expor as contas bancárias de milhões de usuários, quando a captura dos dados é feita através do método de raspagem de tela (screen scraping), existe o risco de vazamento de outros dados sensíveis do cliente, como saldo da conta, extrato, limites de crédito e outras informações disponibilizadas nas telas dos APPs e internet bankings, uma vez que, no método de raspagem de tela, não há como garantir que apenas determinada informação seja capturada, deixando os consumidores ainda mais expostos e vulneráveis a riscos de vazamento de dados.
No Open Finance regulado, a instituição que está buscando os dados do cliente em outro banco não tem acesso às suas informações de login e senha no banco em questão, uma vez que o processo de autenticação de clientes no Open Finance regulado é feito seguindo os mais elevados padrões de segurança, onde não é necessário o compartilhamento de credenciais entre instituições financeiras. Cada instituição permanece de posse e no controle das credenciais dos clientes que lhes dizem respeito, sem que um terceiro tenha que conhecer e armazenar estas credenciais. Além disso, o próprio cliente controla qual informação deseja compartilhar, através do mecanismo do consentimento, que pode ser revogado pelo cliente a qualquer momento, de forma fácil e 100% digital.
Aspectos de Experiência do Usuário
Com o crescente número de golpes aplicados em usuários de produtos e serviços financeiros no Brasil e no mundo, quem não fica profundamente desconfiado quando algum aplicativo solicita que você insira a senha do seu banco? Este problema, do ponto de vista da experiência do usuário – que pode (e deve!) não se sentir confortável de compartilhar suas senhas bancárias – desestimula o compartilhamento de dados no acesso não regulado, prejudicando a efetividade do sistema. É justamente por isso que no Open Finance regulado o usuário não precisa compartilhar suas informações de login e senha, deixando estas informações guardadas apenas com quem deve de fato conhecê-las, e dando muito mais segurança aos consumidores e credibilidade ao ecossistema como um todo.
Aspectos Técnicos
Uma grande desvantagem técnica da prática de captura de dados através da raspagem de tela é que, para dar certo, o processo depende de uma estrutura estática da página de onde as informações serão extraídas, o que se torna muito problemático quando não há coordenação com a instituição financeira em questão. Isso significa que os provedores que coletam dados desta forma precisam corrigir constantemente problemas de conectividade, resultantes de alterações e atualizações nas páginas que são capturadas, o que, por sua vez, resulta em conexões infinitamente mais lentas e instáveis, quando comparadas às APIs. E todos nós sabemos que as telas dos aplicativos dos bancos e os internet bankings sofrem constantes atualizações, com mudanças de layout que alteram a forma como as informações são apresentadas. Isso implica em um enorme e custoso esforço de atualização e manutenção dos algoritmos de captura de telas, trazendo ineficiências e problemas de indisponibilidade para o sistema como um todo.
Tendo em vista os aspectos levantados e à exemplo do que ocorreu na Europa, com a estabilização do Open Finance Brasil e a evolução da regulação, é muito difícil acreditar que um ambiente paralelo ao ecossistema regulado continue existindo, mesmo porque, quem se beneficia do Open Finance regulado são os consumidores e a sociedade como um todo, ao dispor de um ecossistema efetivamente aberto e seguro, onde o compartilhamento de dados é supervisionado pelo Banco Central, com elevados princípios de governança e com base em tecnologia avançada, segura e eficiente.
É inegável o benefício de compartilhamento dos dados para um indivíduo ou empresa, tanto na tomada de crédito, automação de processos de abertura de conta digital, ou ainda, em uma oferta sob medida de contratação de operação de câmbio ou seguro. No entanto, vale o risco do acesso não-regulado, principalmente considerando que o Brasil segue um cronograma de implementação do Open Finance regulado? Às instituições que estão adentrando este universo, cabe a reflexão.
E qual o papel da Lina?
A Lina acelera a integração de sistemas e o compartilhamento SEGURO de dados no ecossistema regulado, com tecnologia que atende do regulatório à inteligência de negócios e módulos de AI & Big Data, transformando dados em informações preciosas para as instituições financeiras.
Quer conhecer nossas soluções de perto e assistir à uma demonstração?
