Open Banking no Brasil: O que muda com a atualização da segunda fase

Com grande foco na experiência do usuário, o Banco Central publicou alterações nas normas que regem a segunda fase da implementação do Open Banking no Brasil. Houve atualização de manuais, com destaque para mudança nas APIs, e a criação de um novo documento visando para padronizar o processo de compartilhamento de dados

O Banco Central publicou nesta quarta-feira (14) a resolução BCB Nº 86 que atualiza a regulamentação de implementação do modelo do Open Banking no Brasil. A mudança é focada na segunda fase da implementação do modelo, que abrange o compartilhamento de dados cadastrais e transacionais de crédito, conta de depósito e cartão de crédito – sempre com autorização expressa do usuário -, e tem como objetivo principal reforçar uma experiência ainda mais segura, harmonizada e fluida para o usuário.

Foco na UX

A grande novidade da resolução é a criação de um manual de experiência do cliente. O documento estabelece requisitos que devem ser seguidos no processo de compartilhamento dos dados, desde o consentimento do usuário até a autenticação do acesso e confirmação da conexão. Em nota oficial, o BC declarou que o manual “tem por objetivo harmonizar os procedimentos e as informações disponibilizadas pelas instituições participantes aos clientes, com vistas a assegurar uma experiência ágil, segura, conveniente, e transparente”.

Vamos detalhar aqui o que ficou definido no novo manual.

Com foco na resolução, ou seja, baseando-se nos princípios de segurança e privacidade, agilidade, conveniência e controle, e transparência, foram estipuladas as seguintes jornadas:

1. Jornada simples de compartilhamento de dados: sequência de etapas do compartilhamento de dados realizada por um único cliente;
2. Jornada múltipla de compartilhamento de dados: sequência de etapas do compartilhamento de dados quando realizada por mais de um cliente, a exemplo de contas de pessoas jurídicas em que o compartilhamento de dados dependa do consentimento de mais de um representante ou procurador da empresa;
3. Aprovação do compartilhamento: ação executada pelos clientes da jornada múltipla que não iniciaram a jornada para autorizar o compartilhamento de dados;
4. Ambiente de gestão de consentimentos: ambiente disponibilizado pelas instituições transmissoras e receptoras em seus canais eletrônicos para que os clientes consultem e gerenciem os consentimentos já efetivados ou pendentes, inclusive para fins de sua revogação.

A jornada do cliente, em resumo, fica assim:

1. A Instituição Receptora (fintechs e afins) identifica o cliente.
2. Esta mesma instituição presta as informações ao cliente acerca dos serviços associados para o compartilhamento de dados.
3. Neste momento, a instituição informa quais dados ela precisa para aquela finalidade e quais dados são opcionais. Deverá também ser informado o porquê da necessidade dos dados para este fim.
4. O cliente poderá selecionar os dados que deseja compartilhar (observando os agrupamentos de dados definidos com base no art. 11 da Resolução Conjunta nº 1, de 2020).
5. O cliente poderá selecionar o prazo pelo qual deseja compartilhar os dados selecionados (observada a finalidade os os prazos máximos estabelecidos no art. 10 da Resolução Conjunta nº 1, de 2020).
6. O cliente seleciona a Instituição Transmissora (ex: Banco do Brasil, Neon, etc.), por meio de um mecanismo de busca das seleções participantes que estão cadastradas no Diretório de Participantes.
7. O cliente é informado que está sendo redirecionado de forma segura para o ambiente da Instituição Transmissora selecionada. O redirecionamento deve ser feito, preferencialmente, para o mesmo tipo de canal eletrônico que está sendo utilizado pelo cliente na instituição receptora (ex: app-to-app, browser-to-browser).
8. O cliente se autentica no banco, por exemplo, e deve poder reconhecer que está no ambiente deste banco.
9. O cliente deve confirmar o compartilhamento na instituição transmissora de dados. Deve ser apresentado ao cliente para conferência, no mínimo, a identificação da instituição receptora de dados, o período de validade do consentimento e os dados que serão objeto de compartilhamento.
10. O cliente é redirecionado de volta para a Instituição Receptora (Fintech por exemplo), e deve ser informado que está sendo redirecionado de forma segura.

E aqui as demais jornadas estabelecidas:

• Jornada múltipla de compartilhamento de dados: Nesse caso, todos os clientes envolvidos no compartilhamento devem ser informados com clareza sobre os procedimentos e as etapas necessárias para a efetivação do compartilhamento. Adicionalmente, os clientes devem ser notificados pela instituição transmissora sobre a necessidade de ação para efetivação do compartilhamento de dados iniciada por outro cliente.

• Ambiente de gestão dos consentimentos: Nesse ambiente, os clientes devem ter acesso de forma simples, ágil, precisa e conveniente a, no mínimo, informações sobre consentimentos vigentes ou que estejam pendentes de efetivação na jornada múltipla, com a possibilidade de pesquisa com base em critérios definidos para observância homogênea por todas as instituições participantes. Adicionalmente, os clientes devem ter acesso à possibilidade de consulta e revogação de consentimentos, com observância do disposto no art. 15 da Resolução Conjunta nº 1, de 2020. A efetivação de revogação deve ser precedida de tela de confirmação com informações sobre as consequências da ação.

Para mais detalhes, leia na íntegra o documento. O Guia de Experiência deverá constar em breve também no Portal do Open Banking.

Ambientes de Testes de APIs e outras atualizações

Além da criação do novo manual de experiência, foram atualizados e consolidados os outros quatro documentos que já estavam previstos: Escopo de Dados e Serviços; APIs (programas de aplicação); Serviços Prestados pela Estrutura de Governança; e Segurança.

A resolução prevê ainda novos serviços prestados pela infraestrutura de suporte do open banking, como a criação de ambiente de testes de APIs. A medida visa garantir as condições para que as instituições possam testar suas APIs no estágio de desenvolvimento, incluindo exemplos para facilitar a implementação.

Vamos quebrar cada um dessas atualizações, resumindo os principais pontos.

Em suma, foram 4 atualizações de manuais:

• IN 95 (Manual de APIs 2.0) (link)
• IN 96 (Manual de Escopo de Dados 2.0) (link)
• IN 98 (Manual de Serviços 2.0) (link)
• IN 99 (Manual de Segurança 2.0) (link)

Manual de API’s (versão 2.0)

Vamos começar resumindo as atualizações das APIs.

Atualizações:

• Incorporação de requisitos da Fase 2 do Open Banking.
• Alteração de “Especificações” na secão de “Definições e recomendações”.
• Aprimoramento da “Introdução” e exclusão da seção de “Apresentação”.

Basicamente, foram incluídas 5 novas APIs: Consentimento, Dados Cadastrais, Cartão de Crédito, Contas e Operações de Crédito. Leia de forma mais detalhada no GITHUB.

Em geral, os padrões se mantiveram: API RESTful, ISO 20022, OpenAPI versão 3.0.

Agora, duas coisas importantes: para criar e validar a sua documentação OpenAPI, recomenda-se o uso do Spectral, e para gerar o API Client a partir da sua documentação Open API, o Bacen recomenda o uso do CodeGen.

Manual de Escopo de Dados e Serviços (versão 2.0)

Atualizações:

• Alteração do campo “Taxa pré-fixada contratada” referente às taxas de juros remuneratórias de operações de crédito (Item 3.3)para “Taxa nominal pré-fixada contratada”.
• Inclusão de regras e demais requerimentos para o compartilhamento de dados cadastrais e transacionais de clientes relacionados a contas de depósito à vista ou de poupança, contas de pagamento pré-pagas ou pós-pagas e operações de crédito.
• Aprimoramento da “Introdução” e exclusão da seção de “Apresentação”.
• Inclusão de referências a novos atos normativos e ao Portal do Open Banking no Brasil na seção de “Referências”.
• Reordenamento de parágrafos, alterações de nomes de seções e outras alterações de forma, sem alteração de mérito.

Aqui, como deverá acontecer em todas as fases, foi extendido o escopo de dados para contemplar as novas APIs. Do que já existia, houve basicamente somente esta alteração citada anteriormente: “Taxa pré-fixada contratada” para “Taxa nominal pré-fixada contratada“. Para detalhamento de cada campo das novas API’s, leia o documento.

Manual de Serviços Prestados pela Estrutura Responsável pela Governança (versão 2.0)

Atualizações:

• Inclusão de requisitos para registro de APIs no Diretório.
• Alteração das subseções relativas a metas de atendimento de tickets.
• Alterações na seção sobre Portal do Open Banking no Brasil.
• I – inclusão de requisitos sobre acessibilidade, diversidade, linguagem, tempestividade, segurança, sigilo e proteção de dados.
• II – reformulação de requisitos no item Área do Cidadão.
• III – Inclusão da item Área do Participante e definição de requisitos relacionados.
• Inclusão da seção relativa ao Sandbox.
• Aprimoramento da “Introdução” e exclusão da seção de “Apresentação”.

O Diretório de Participantes deverá implementar:

1. Gerenciamento de Identidades e Acessos
2. Gerenciamento de Identidade e Autorização de Aplicações
3. Gerenciamento de Informações do Diretório

Testes de Conformidade: A Estrutura de Governança deverá estabelecer processo de validação de conformidade de APIs dos participantes.

Para saber mais sobre acordos de Nível de Serviço (SLAs), Monitoramento de desempenho e de disponibilidade, Service Desk, e demais informações do Diretório de Participantes, consulte mais detalhadamente na documentação, assim como as Diretrizes do Portal do Open Banking no Brasil.

Manual de Segurança (versão 2.0)

Atualizações:

• Incorporação de requisitos da Fase 2 do Open Banking.
• Aprimoramento da “Introdução” e exclusão da seção de “Apresentação”

Um breve resumo dos principais requisitos técnicos para a segurança envolvida para a fase 2. São elas:

• TLS 1.2, utilizando cifras (cipher suites) que atendam ao requisito de perfect forward secrecy (PFS)
• Certificados digitais válidos, emitidos por autoridade certificadora participante da ICP-Brasil (Admite-se, enquanto os certificados digitais não estiverem disponíveis, o uso de certificados digitais emitidos pelo serviço de Diretório da Estrutura Responsável pela Governança do Open Banking)
• Os certificados utilizados para comunicação de sistemas Front-End, acessados diretamente por clientes das instituições participantes, em especial para realizar autenticação, devem ser do tipo Extended Validation (EV) e podem ser emitidos por autoridade certificadora em funcionamento

Reação:

• Em caso de comprometimento de qualquer credencial relacionada ao Open Banking, a instituição participante deve revogá-la tempestivamente perante o Diretório de Participantes e compartilhar essa informação com as demais instituições participantes, observada a regulamentação vigente.
• Cada instituição deve cadastrar no Diretório de Participantes os dados de contato de seus representantes para tratamento de incidentes com, no mínimo, e-mail, chaves criptográficas PGP (se houver) e campo para dados adicionais. Tais dados devem ser disponibilizados pelo Diretório para acesso aos demais participantes.
• As informações sobre incidentes cibernéticos citados no Inciso I do item 6.13 devem ser: I – compartilhadas com os representantes para tratamento de incidentes das instituições participantes; e II – disponibilizadas ao Banco Central do Brasil, observada a regulamentação em vigor.

Se quiser saber mais sobre o Open Banking ou como aplicá-lo no seu negócio, entre em contato conosco pelo e-mail hello@belvo.com.

Leandro Nobrega é Lead de Operações na Belvo ✍️