Open Banking é seguro? Veja sete respostas sobre a privacidade dos dados

SÃO PAULO – O Open Banking, conjunto de regras e tecnologias que vai permitir o compartilhamento de dados e serviços de clientes entre instituições financeiras, promete mudar a forma como o consumidor se relaciona com os bancos e outras instituições financeiras.

A implementação do conceito no mercado foi dividida em quatro fases ao longo deste ano. A primeira teve início em fevereiro e não teve impacto na vida do consumidor — foi uma etapa criada para que as instituições fossem montando um arcabouço de dados entre si (saiba mais aqui).

A segunda fase, por sua vez, se aproxima: marcada para 15 de julho. A partir dessa data os clientes poderão optar por compartilhar dados cadastrais, informações sobre conta corrente, entre outras coisas (sobre as outras fases, clique aqui).

E, com essas novas possibilidades chegando perto de serem reais, vem aumentando as dúvidas de muitos consumidores sobre um dos pilares mais importantes do Open Banking: a segurança. Afinal, será seguro compartilhar dados pessoais no ambiente de Open Banking?

O InfoMoney compilou as principais questões sobre esse tema e contatou especialistas sobre Open Banking e o Banco Central para explicar quais os pontos já definidos e quais arestas ainda precisam ser aparadas. Confira:

1. Todas as instituições terão acesso aos dados?

A principal premissa do Open Banking é que qualquer compartilhamento de dado só acontece se o cliente assim desejar e com quais instituições participantes do ecossistema ele quiser.

“É preciso desmistificar a ideia de que a partir do momento que a segunda fase começar todos os dados serão compartilhados, ou os bancos terão acesso automático aos dados dos clientes. O compartilhamento dos dados acontece apenas com a autorização do cliente por meio dos canais das instituições. O cliente escolhe qual dado o banco terá acesso e para qual fim”, explica Rogerio Melfi, membro da ABFintechs e coordenador do grupo de trabalho do Open Banking no BC.

Victoria Amato, chief business officer (CBO) plataforma de finanças abertas Quanto, explica que é possível que empresas parceiras de bancos e fintechs também tenham acesso aos dados dos clientes, mas sempre haverá um aviso ao consumidor.

“A autorregulamentação ainda está definindo quais serão os padrões técnicos e certificações que permitirão a entrada de entidades não autorizadas no fluxo do Open Banking. A resolução atual permite parcerias de instituições participantes com empresas terceiras para compartilhar dados e outros serviços que possam entrar no escopo do Open Banking, desde que com autorização prévia do usuário e supervisão de tudo pela entidade participante”, diz.

Em nota ao InfoMoney, o BC explicou que “em qualquer situação, a responsabilidade é sempre da instituição participante independente se há prestação de serviços terceirizados ou não”. Mas para uma empresa terceira participar do escopo do Open Banking, mesmo que indiretamente, há uma série de requisitos técnicos que devem ser seguidos pela instituição participantes, conforme a Resolução CMN nº 4.893.

Entre eles, a instituição deve adotar procedimentos que contemplem: a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações processados ou armazenados pelo prestador de serviço; adoção das certificações exigidas pela instituição para a prestação do serviço a ser contratado; o provimento de informações e de recursos de gestão adequados ao monitoramento dos serviços a serem prestados; entre outros.

Portanto, a ideia é que, se a instituição participante utilize o serviço de um terceiro, informe o cliente e se responsabilize pelas ações desse terceiro.

O passo a passo para a autorização dos dados será feito por cada instituição – mas a promessa é de que será simples. De qualquer maneira, Melfi recomenda que o cliente sempre leia os termos antes do consentimento dos dados à instituição.

“É ideal ler os termos para saber exatamente por quem e como seus dados serão utilizados. Nada será feito sem o cliente estar sendo avisado. Hoje quando você acessa um novo app e pede para conectar via Facebook quase ninguém lê os termos de autorização, por exemplo, e muitas pessoas compartilham dados com outros apps e empresas por meio da rede social”, explica.

O BC garantiu que toda comunicação entre instituições realizada no âmbito do Open Banking será criptografada.

2. O acesso aos dados é tempo indeterminado?

Não, por enquanto, o que já foi anunciado é que o prazo máximo é de 12 meses, segundo dados do BC. Passado esse período, o usuário precisará renovar seu consentimento para que a instituição utilize a informação novamente.

Esse prazo de duração do acesso deve variar de acordo com o objetivo do uso dos dados. Por exemplo, o acesso ao histórico de crédito pode ter duração de três meses, enquanto o acesso aos dados cadastrais seis meses. Se após esse período a empresa receptora dos dados usá-los para algum fim, poderá ser punida pelo BC.

Mais para frente isso deve ser esclarecido de forma mais detalhada pelo regulamento do Open Banking.

3. O que fazer em casos de fraudes, vazamento de dados, ou golpes?

Há dois tipos principais de situações: a primeira, quando há alguma falha por parte da instituição, alguma falha de sistema interno, que gere um vazamento de dados ou uma interceptação de informação na hora do compartilhamento, por exemplo; e a segunda, quando há falha humana, ou seja, quando o usuário sofre um golpe e tem problemas com um compartilhamento indevido porque ele mesmo autorizou esse compartilhamento ao ser enganado por um cibercriminoso.

Falha de sistema 

Sobre o primeiro caso, Melfi explica que o usuário deve contatar primeiro a instituição com a qual compartilhou o dado. Ou seja, se a empresa já é cliente do Banco Amarelo e compartilhou um dado com o Banco Azul, e houve algum problema nesse processo, deve, primeiro, contatar o Banco Azul (saiba mais sobre o fluxo de consentimento aqui). 

“Preferencialmente, o cliente deve contatar a instituição que deu início no processo de compartilhamento. A ideia é que o contato do cliente com a instituição seja simples e facilitado para oferecer a melhor experiência. Por exemplo, quando hoje o cliente tem que ligar no banco e se depara com aquele menu inicial gravado, problemas relacionados ao Open Banking devem aparecer nas primeiras opções e serão direcionados para as esteiras mais ágeis de atendimento”, diz.

Segundo ele, o desafio nesse sentido é maior para os bancos. “As fintechs já têm o DNA de experiência de usuário, são mais dinâmicas. Os grandes bancos estão se desenvolvendo”, diz.

“O que está claro é que se o incidente for causado pela própria instituição participante do Open Banking, o usuário será informado de maneira obejtiva”, diz Victoria, da Quanto.

Falha humana 

Considerando o segundo caso, ainda não há exatamente um procedimento definido.

Quando a falha é humana, ou seja, quando acontecem golpes gerados a partir da engenharia social os procedimentos ainda não foram divulgados.

A engenharia social acontece quando um cibercriminoso consegue informações confidenciais e sensíveis de uma vítima por meio da persuasão. Como, por exemplo, quando a vítima compartilha dados pessoais por meio de um e-mail enviado pelo hacker.

João Pereira, chefe do Departamento de Regulação do Sistema Financeiro do BC, explicou em uma outra reportagem do InfoMoney, que ainda não há uma decisão sobre a consequência para as instituições nesse caso.

“Mas, de novo, vencer todas as barreiras previstas no Open Banking vai ser difícil. A engenharia social vai precisar de acesso à fintech ou ao banco para conseguir entrar no ecossistema. Além das camadas de segurança de cada instituição, sempre será verificado o certificado de participação, além das senhas do usuário. Até o início da segunda fase, tudo estará mais amarrado”, disse.

Victoria entende que as instituições participantes deverão cuidar do atendimento de demandas desse tipo enviadas pelo cliente, seja em canais próprios ou por meio do canal centralizado que será criado pela autorregulação.

O BC acrescentou que o Open Banking não altera a regulamentação em vigor que estabelece os direitos e obrigações das instituições no relacionamento com seus clientes. “O processo de tratamento de fraudes e golpes já existente nas instituições deve contemplar todos os canais pelos quais seus clientes transacionam, incluindo o Open Banking”, diz a nota.

Além disso, também será provida uma estrutura geral de service desk composta por representantes das instituições participantes e pela qual o cidadão poderá registrar o seu problema, segundo o BC.

4. Quem vai fiscalizar as instituições financeiras?

Na prática, haverá alguns mecanismos de fiscalização das instituições participantes do Open Banking no Brasil. Primeiro, todas as empresas estarão sob alguma categoria de regulação do Banco Central.

Dessa maneira, as empresas participantes estão sujeitas a punições por parte do BC, como multas, ou mesmo exclusão da empresa do Open Banking em casos mais sérios. Por isso, a tendência é que todas as instituições participantes sigam as regras do ecossistema à risca.

Além disso, todo envio e recebimento de informações dentro do ecossistema do Open Banking estará protegido pela Lei Complementar n° 105/2001, do Sigilo Bancário, que proíbe o compartilhamento de dados para instituições não participantes do Open Banking, bem como proíbe a venda de informações de consumidores para terceiros.

Somado a isso, o arcabouço do Open Banking também está sob o guarda-chuva da Lei Geral de Proteção de Dados (n° 13.709/2018) e dá autonomia para o cliente em relação aos seus dados.

Há um perímetro de atuação do Open Banking bem definido. No Reino Unido, por exemplo, uma entidade não regulada pode prestar serviço de compartilhamento de dados, o que não será permitido aqui.

A ideia é que o BC fiscalize todos os participantes do Open Banking e os puna, caso necessário, em prol do bom funcionamento do sistema.

Além disso, há um grupo de trabalho do Open Banking composto por representantes de todos os tipos de instituições participantes (bancos, fintechs, cooperativas, etc) que vão ajudar na fiscalização e regulação de todo o ecossistema – como se os participantes se fiscalizassem entre si para evitar qualquer tipo de problema. É esse grupo que também vai administrar o service desk geral do Open Banking.

5. Será possível cancelar um compartilhamento de dados?

Sim. “O Open Banking tem a garantia de cancelamento. O usuário tem total independência para cancelar o compartilhamento quando quiser. Se não estiver satisfeito, bastará cancelar. Mesmo se quiser alterar algum ponto do compartilhamento já feito, será possível cancelar e fazer um novo sem problema nenhum. Mas o passo a passo para cancelar ainda está sendo definido”, explicou Pereira.

Segundo ele, as duas instituições financeiras envolvidas no compartilhamento são responsáveis pelo bom funcionamento do processo. “Ambas são responsáveis e respondem para o BC. Se algo sair fora do combinado em termos de segurança e consentimento do usuário, as duas empresas são passíveis de punição”, diz.

6. É possível saber quem tem acesso aos meus dados?

Como o cliente decide se quer compartilhar os dados e com quem, em tese, saberá quais instituições têm acesso às suas informações financeiras porque ele mesmo autoriza o processo. Mas, no longo prazo, pode ficar inviável fazer a gestão desses dados pessoais.

Por exemplo, poucas pessoas acessam a página do Facebook que mostra quais empresas têm acesso aos seus dados a partir do momento em que o usuário faz o login nos ambientes dessas empresas usando a rede social. É a mesma lógica. Passados alguns anos, nem todo mundo deve fazer uma gestão das instituições financeiras que terão seus dados.

Esse será um dos grandes desafios do Open Banking: como o consumidor vai administrar seus dados e organizar o seu consentimento para diferentes instituições. E, por enquanto, não há uma solução para isso.

7. Como saber se as instituições realmente estão apostando na segurança?

“À medida que as pessoas forem usando e descobrindo as novas possibilidades de serviços e produtos a partir do compartilhamento, a adesão tende a crescer. Porém, a adesão alta vai depender também da relação de confiança entre cliente e instituição, é isso que vai reger o desenvolvimento do Open Banking”, explica Melfi.

Por isso, ele pontua que a segurança, que já é um pilar importante para todas as instituições financeiras, será ainda mais importante.

“O Open Banking vai abrir mais portas para o consumidor. As instituições querem participar e não querem perder a credibilidade. Por isso, estamos observando um esforço generalizado para trabalhar nos aspectos de segurança e seus processos para evitar problemas, Mas, de novo, o cliente tem todo o direito de observar as instituições e decidir se quer ou não compartilhar os seus dados”, diz Melfi.

Quer viver de renda? Estes 3 ativos podem construir uma carteira poderosa. Assista no curso gratuito Dominando a Renda Passiva.

The post Open Banking é seguro? Veja sete respostas sobre a privacidade dos dados appeared first on InfoMoney.