Open Banking: atenção aos riscos para quem desenvolve, aplica e utiliza

Da crescente necessidade de agilidade, transparência e liberdade no mundo digital, nasceu o conceito de Open Banking, que possibilita ao consumidor ter controle das suas informações em posse das instituições financeiras e utilizar aplicações de terceiros para acessá-las e manipulá-las. O modelo deve trazer redução de custos bancários e da burocracia para o consumidor tomar decisões financeiras e realizar transações.

O novo conceito também possibilita a portabilidade de informações e do histórico financeiro para um novo banco sem a necessidade de construir um relacionamento do zero, o que irá facilitar a entrada de mais empresas e startups no setor financeiro, aumentando assim a competitividade. Isso certamente fará com que surjam novos e melhores serviços para os consumidores e, até mesmo, novas soluções para os próprios bancos.

Quando analisamos a implementação do Open Banking, ele se baseia no uso de Interfaces de Programação de Aplicativos (API, na sigla em inglês), que são programas de computador desenvolvidos para permitir que terceiros interajam com determinadas aplicações utilizando um conjunto de ferramentas e regras pré-determinadas.

Para que isso seja feito de forma segura e controlada, é necessário que durante todo o processo de desenvolvimento das APIs a segurança seja testada em cada etapa e, ao finalizar um produto, é preciso aplicar um teste de invasão. Falhas na consideração destes aspectos de segurança podem expor as aplicações e os dados de clientes a ataques de hackers.

Na prática, os clientes de fintechs parceiras (que estariam consumindo as APIs) utilizariam, de forma transparente, dois conceitos bem conhecidos na área de segurança: a autenticação e a autorização. O primeiro diz respeito a uma série de técnicas que garante a identificação inequívoca de determinado usuário para permitir acesso a um sistema. Já o segundo define quais ações são possíveis de serem tomadas quando um usuário autenticado entra no sistema. Por último, e não menos importante, é preciso auditar e rastrear o que foi realizado pelo usuário dentro da aplicação, formando assim um termo bem conhecido em segurança da informação, a AAA (Autenticação, Autorização e Auditoria).

Em relação aos aspectos de governança, é importante que a instituição que detenha os dados dos clientes desenvolva, ou até mesmo utilize a API, seguindo normas adequadas que determinem diretrizes para a salvaguarda e o tratamento desses dados, como a Política de Segurança da Informação e a Política de Privacidade de Dados. Além disso, é necessário que fique claro para as empresas terceiras que irão consumir estes dados através das APIs quais são as práticas de segurança que devem ser adotas em seus negócios.

Os clientes finais também devem ser informados e consentir com o procedimento de tratamento de seus dados pessoais. Nesse caso, a diretriz do Banco Central especifica que o consentimento dos clientes deve ser coletado de forma eletrônica. Por isso, é importante que o banco ou a financeira responsável pela detenção dos dados realize a gestão desse consentimento de forma transparente através de controles internos de privacidade.

E, com a Lei Geral de Proteção de Dados (LGPD) vigorando desde setembro de 2020, os dados pessoais presentes no ecossistema de Open Banking devem obrigatoriamente ser utilizados para a finalidade ao qual foram constituídos, de acordo com as bases legais definidas pela lei. Além disso, tais aplicações já devem ser desenvolvidas utilizando o conceito do Privacy by Design by Default, ou seja, coletar o mínimo necessário para realizar as atividades e atingir a finalidade ao qual se propôs a fazer.

É importante que todos os colaboradores envolvidos na criação e na operação da estrutura que será utilizada no Open Banking, assim como os clientes finais, estejam conscientes dos principais riscos, dos seus papéis e das responsabilidades numa situação em que haja a tentativa de fraude, um ataque ou até mesmo quando ocorrer um incidente de segurança da informação.

*Matheus Jacyntho é gerente sênior de Cybersecurity e de Privacidade de Dados na ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.