No início de fevereiro foi colocada em operação a primeira fase do Open Banking no Brasil. Trata-se do início de um processo que, ao longo dos próximos meses, irá transformar as relações entre bancos, seus clientes, demais consumidores e novos players do setor financeiro.

Estas transformações, bem como o seu impacto na privacidade e na segurança dos dados de pessoas e instituições são o foco deste artigo.

 

O que é Open Banking e qual seu objetivo

O contexto do Open Banking é melhor compreendido a partir das transformações recentes do sistema financeiro e bancário brasileiro.

Na última década, quando surgiram os primeiros bancos digitais no Brasil, o universo mobile nacional ainda era restrito a uma pequena parcela da população.

A presença dos smartphones ainda não era tão difundida como é hoje. Mesmo assim, as instituições financeiras exclusivamente digitais chegaram com diferenciais agressivos para a época, como cartão de crédito sem anuidade e conta corrente totalmente gratuita.

Basicamente todos os principais serviços de um banco tradicional eram oferecidos sem custo ao cliente, através da internet. Ainda que não fosse uma inovação de fato, pois bancos digitais com essa proposta já existiam em outros países, essa abordagem representou uma disrupção para o setor bancário brasileiro.

Seguiram-se outras inovações como a criação de serviços financeiros e de investimentos mais acessíveis a uma parcela da população interessada em investir, mas que ainda não se sentia preparada, ou encontrava barreiras nos custos. Desde então, as instituições tradicionais passaram a competir com novos players.

Nesse contexto, o Open Banking chega com o objetivo do compartilhamento de dados, produtos e serviços por uma plataforma unificada.

Segundo o Banco Central, o Open Banking “é a possibilidade de clientes de produtos e serviços financeiros permitirem o compartilhamento de suas informações entre diferentes instituições autorizadas pelo Banco Central e a movimentação de suas contas bancárias a partir de diferentes plataformas e não apenas pelo aplicativo ou site do banco, de forma segura, ágil e conveniente”.

Ainda segundo o BC, a ideia por trás do Open Banking é “promover um ambiente de negócios mais inclusivo e competitivo”, ou seja, que a partir de sua implantação mais fintechs entrem no mercado e passem a concorrer ainda mais com grandes bancos, beneficiando os correntistas.

A expectativa é grande. Em entrevista para o UOL, o presidente do Banco Central, Roberto Campos Neto, afirmou que “o Open Banking está para o sistema financeiro como a Internet está para a sociedade. Os benefícios e casos de uso serão visíveis ao longo dos próximos meses e anos”.

 

As etapas do Open Banking 

O cronograma completo do Open Banking no Brasil conta com quatro etapas. A primeira etapa entrou em operação em fevereiro de 2021. A segunda etapa passa a valer em 15 de julho. A terceira etapa está programada para 30 de agosto e a quarta e última etapa deverá entrar em vigor a partir de 15 de dezembro de 2021.

Nesta primeira etapa, instituições financeiras dos chamados grupos S1 (com porte igual ou superior a 10% do PIB) e S2 (porte entre 1% e 10% do PIB) passarão a compartilhar dados gerais como tipos de contas, empréstimos e outros produtos financeiros que são ofertados aos seus clientes, permitindo o surgimento de produtos que comparem as vantagens e desvantagens entre os serviços de cada instituição.

Ao longo das outras etapas poderão ser compartilhadas, com o devido consentimento dos clientes, dados de cadastros e transações entre as instituições, a possibilidade de pagamento de contas, transferências e outras transações por meio de aplicativos intermediários (fora do internet banking ou do aplicativo do banco onde se tem conta) e, finalmente, o compartilhamento de dados financeiros dos clientes para outros produtos e serviços.

E aqui começam os desafios para o setor que incluem a padronização, abertura e integração de plataformas, regulação e a segurança dentro do ecossistema de APIs, que estão no cerne do processamento destas trocas de informação.

Isso porque, com o Open Banking, o Banco Central criou uma norma na qual as instituições financeiras só poderão trocar as informações de seus clientes por meio de APIs (Application Programming Interfaces), evitando a utilização de formulários.

 

Desafios de implantação

As APIs funcionarão como uma interface que permitirá que um sistema converse com outro.

Esta interface habilitará a troca de informações entre as instituições financeiras e possibilitará que fintechs e bancos de menor porte possam oferecer serviços a clientes de bancos maiores – desde que, mais uma vez, esses clientes autorizem a liberação dos dados.

Os players desse mercado deverão se adaptar a essa nova realidade. Além disso, a oferta de produtos e serviços será expandida, gerando uma concorrência como nunca vista no setor.

Em um ambiente onde o cliente tem mais autonomia sobre suas informações, fica evidente a potencial facilidade com que ele poderá migrar de uma instituição para outra, optando pelo serviço que oferecer a melhor experiência em termos de acessibilidade, segurança e custos

Isso reflete em pesquisa do Gartner com executivos dos bancos; para 54% dos CIOs entrevistados é essencial investir na implementação de uma arquitetura de APIs para trazer mais agilidade e efetividade ao open banking, com a finalidade de conectar parceiros e fornecedores dentro do mesmo ecossistema.

Mas, é claro, isso trará uma série de desafios.

 

Desafios de segurança do Open Banking

Impulsionar a adoção do open banking exigirá um pensamento profundo sobre segurança, a privacidade by-design e como incorporá-la ao projeto desde o início.

A adoção do open banking por outros países como Reino Unido, Portugal, Canadá e Austrália oferece um arcabouço dos possíveis riscos à segurança cibernética aos quais instituições financeiras devem ficar atentos.

Entre eles está a complexidade do cenário de ciberameaças com ataques crescentemente mais complexos e direcionados, que incluem ataques de DDoS e novas modalidades como o Ransom DDoS (mais sobre estas ameaças aqui) e a exploração de falhas e vulnerabilidades a partir de problemas na implantação das novas funcionalidades com o uso de APIs.

Se por um lado o uso de APIs, vital para o funcionamento do Open Baking, traz muitos benefícios para o desenvolvimento de softwares e aplicações, ele requer atenção redobrada na sua aplicação por exigirem segurança consistente em múltiplas plataformas.

Com a chegada do Open Banking veremos um crescimento no número de APIs sendo utilizadas para trafegar dados extremamente sensíveis como credenciais de usuários, números de CPF, informações de pagamento e movimentação financeira, entre outros. Obviamente, os atacantes estão atentos a esse movimento de dependência das APIs.

APIs existem para permitir integrações entre sistemas sem que, necessariamente, o sistema que consome a API necessite saber os detalhes de implementação dos demais sistemas, facilitando suas integrações. Paradoxalmente, ao facilitar essaa integração de serviços, seu reuso indiscriminado, ou mesmo falhas de implementação e consumo em um único ponto de uma cadeia de suprimentos ou de serviços pode levar a riscos como a exploração de falhas com consequências em toda esta cadeia (em 2019 o Open Web Application Security Services, OWASP, publicou uma lista destes riscos além de requerimentos de segurança no seu uso).

 

Riscos de falhas incluem o vazamento de dados, incluindo de pagamento, CPFs e credenciais de acesso; em uma indústria como a financeira esses incidentes podem causar prejuízos difíceis de serem calculados; este tópico foi abordado em um webinar produzido recentemente pela equipe do AllowMe, da Tempest. 

 

Grandes instituições financeiras, pela própria natureza do seu negócio, apresentam um alto nível de maturidade e resiliência em segurança. É x’a chegada de novos players e a integração de outros setores da economia ao open banking  que merece atenção especial.

Algumas recomendações, do ponto de vista da segurança da informação

Uma maneira de reduzir riscos nesse movimento é por meio de processos de certificação aprimorados para examinar os protocolos de segurança de um terceiro antes que um banco o permita em suas plataformas ou compartilhe dados com ele.

Avaliações periódicas dos recursos de segurança de terceiros, juntamente com o seu monitoramento quase em tempo real, serão essenciais neste novo mundo. As organizações também precisam aprimorar seus controles de gerenciamento de fraude e proteções cibernéticas.

A padronização acompanhada de uma política de privacidade e segurança bem definida e a delimitação de responsabilidade dos players que operam esse fluxo de informações  é a chave para que o sistema funcione com a segurança com a qual foi concebido.

Trata-se de estabelecer e definir papéis que vão desde quem responde em situações de vazamento, e define que ferramentas de proteção contra transações não-autorizadas serão utilizadas, até as responsabilidades das partes envolvidas em cada transação, ou seja, cuidados com os riscos intersistêmicos.

Isso inclui mecanismos de acompanhamento e controle, definição de processos, indicação de correção de deficiências, o dever de informar a respeito de dados, notificações de contratação, testes periódicos de auditoria, além de ter uma campanha educativa para clientes. Esses procedimentos precisam estar associados com as etapas que acompanham a solicitação de compartilhamento dos dados: de consentimento, autenticação e confirmação.

Por tudo isso, é fundamental contar com parceiros com expertise técnica que ofereçam produtos, serviços e conhecimento para identificar possíveis brechas de segurança na organização.

A Tempest Security Intelligence  é a maior empresa brasileira especializada em  cibersegurança e prevenção a fraudes digitais. Hoje contamos com um time de mais de 390 profissionais e escritórios em Recife, São Paulo e Londres; nos últimos anos a Tempest ajudou a proteger mais de 500 empresas  de todos os portes de setores como serviços financeiros, varejo e e-commerce.

Pesquisando  e criando novas soluções de proteção digital, a Tempest alia expertise técnica, sólida metodologia e alta tecnologia para entregar um portfólio com mais de 70 soluções, envolvendo Consultorias, Digital Identity, Managed Security Services e Integração.

Para saber mais, acesse https://www.tempest.com.br/contato/ e fale com nossos consultores.

 

 

Fontes:

Security Magazine

Noomis Febraban

Fintech News

Compartilhar:

_Relacionados _Related