Ter um certo ceticismo a respeito de novidades é comum. Foi assim com o internet banking, com o Pix e, agora, com o Open Banking. E a questão que tem intrigado muita gente é a respeito da segurança do sistema financeiro aberto. Afinal, como saber se os dados compartilhados dentro do Open Banking não serão vazados? Vamos por partes.
Primeiro, é importante frisar que o Open Banking parte do princípio de que o usuário é o dono dos seus dados bancários. Assim, dentre os pilares para garantir a segurança e boa experiência do cliente, estão a privacidade e a proteção das informações sobre serviços compartilhados.
O Banco Central também estabelece requisitos obrigatórios de segurança, responsabilidade e sigilo de dados às instituições participantes. E além da regulamentação em vigor, tanto do Banco Central quanto normas federais de segurança da informação, existe ainda a autorregulação, que abrange um outro nível de segurança por meio de protocolos que já são conhecidos pela indústria.
Outro ponto relevante: o Open Banking está sendo construído com base em uma especificação chamada FAPI - Financial-grade API -, dotada de um amplo conjunto de regras e padrões para viabilizar um ambiente seguro ao tráfego de dados financeiros. Basicamente, usa-se criptografia na comunicação das informações a partir de um processo de mTLS - Mutual Authentication -, bem como algoritmos mais seguros e um diretório central de cadastro que demanda apresentar documentações da instituição como ponto inicial. Ou seja, alguém que consiga dizer para o transmissor que aquele receptor recém chegado é legítimo.
Normas e padrões técnicos de segurança do Open Banking
As normas que dispõem sobre os padrões técnicos de segurança do Open Banking estão todas referenciadas na Instrução Normativa BCB n. 134/2021. Ali estão detalhes dos requisitos para a implementação dos elementos necessários à operacionalização do Open Banking. Tudo por meio do Manual de Segurança do Open Banking, disponível tanto no site do Banco Central, como no Portal do Open Banking do Brasil, mantido pela Estrutura de Governança do Open Banking.
Em especial, as instituições participantes devem observar o cumprimento da Resolução Conjunta n. 1/2020, resoluções de segurança cibernética e a LGPD - Lei Geral de Proteção de Dados. No entanto, também é necessário que as instituições participantes se cadastrem no Diretório de Participantes. Com isso, é possível verificar as equipes de segurança e obter um certificado digital.
Esses certificados digitais são as chaves para a participação no ambiente do Open Banking, pois garantem uma comunicação segura entre as instituições participantes via APIs abertas. Por meio dos certificados, é possível comprovar a origem do transmissor um dado de extrato, por exemplo. E se não bastasse, cada instituição participante também é obrigada a estabelecer um plano de ação e de resposta a incidentes em sua política de segurança cibernética, que devem ser aprovados pelo Banco Central.
