Open Banking: desafios de segurança, privacidade e responsabilidade
Aprofundamentos | Open BankingOpen Banking

Open Banking: desafios de segurança, privacidade e responsabilidade

Entenda os principais desafios inerentes ao movimento de Open Banking no Brasil, como segurança e privacidade de dados e responsabilidade solidária

Apesar de o movimento de Open Banking ser visto de maneira otimista no Brasil por conta do impacto positivo que pode causar no mercado, existem simultaneamente desafios para que a execução seja, de fato, um sucesso. Isso porque durante muito tempo os consumidores e as próprias instituições já bem estabelecidas sempre estiveram acostumados com os modelos existentes, mas que devem enfrentar mudanças abruptas em seus processos.

Sendo assim, existe, primeiramente, uma questão cultural a ser superada ou, no mínimo, compreendida pelos atuantes nesse mercado, sejam eles fintechs, startups relacionadas, bancos, instituições financeiras e o próprio regulador, no caso, o Banco Central.  

É difícil elencar com total precisão e certeza os principais desafios e obstáculos que serão enfrentados dentro do ambiente brasileiro. No entanto, um fator é visto como certo por grande parte daqueles que estudam e pesquisam sobre esse movimento: independentemente do cenário, contexto e país em questão, o Open Banking só é exitoso se os atores envolvidos tiverem a confiança dos consumidores, fazendo com que eles se sintam confortáveis em compartilhar seus dados de forma aberta. 

Uma crescente confiança dos consumidores em relação às instituições

Por um lado, a confiança dos consumidores sobre a indústria bancária tem registrado níveis crescentes nos últimos anos. De acordo com informações de um infográfico da Raconteur, em 2018, quase 80% dos entrevistados, clientes de bancos, afirmavam confiar nessas instituições, índice superior aos 73% registrados em 2017.

Arte com informações sobre o nível de confiança dos clientes de bancos em relação a essas instituições.

Além disso, as preferências dos consumidores no momento de escolher o banco de sua preferência também têm mudado. Em primeiro lugar, para 47% dos entrevistados, o primeiro fator a ser analisado é a conveniência e facilidade dos serviços que estão sendo oferecidos; em segundo lugar, 45% deles escolhem pelo nível de confiança que sentem em uma instituição, aspecto que ultrapassou o fator preço, lembrado por 43% dos respondentes. 

O enorme desafio relacionado a dados e questões culturais 

Por outro, quando se fala no compartilhamento e abertura de dados, ainda existe certo receio por parte da população em geral. Segundo estudo realizado pela Ernst & Young, a confiança nesse aspecto ainda permanece baixa ou moderada em nove dos dez países presentes na pesquisa. Na Alemanha e Reino Unido, por exemplo, em que a regulação é vista como avançada, tal índice ainda fica abaixo dos 30%.

O único em que o resultado se sobressaiu foi na China, em que 49% dos consumidores afirmaram que se sentiam confortáveis em compartilhar dados de transações com o objetivo de terem acesso a serviços melhores disponibilizados por terceiros. A presença de inovação tecnológica em pagamentos digitais e o compartilhamento mandatado pelo governo de informações pessoais da população chinesa são possíveis explicações para tal número. 

Parte do problema encontrado possui também raízes culturais: os consumidores sempre estiveram acostumados com um modelo centralizado, em um mercado dominado pelos grandes bancos, que sempre foram detentores das informações de seus clientes. A mudança proposta pelo Open Banking possui grande capacidade de transformação e disrupção, que podem e devem ser intensas, mas, globalmente, isso ainda é incipiente. 

É natural, portanto, que boa parte dos consumidores ainda desconheça o movimento conceitualmente, mesmo em mercados mais maduros em relação a isso. Um exemplo disso é o fato de que grande parte dos consumidores britânicos desconheciam o movimento, dois meses após a iniciativa ter sido introduzida no Reino Unido. 

Pouca adesão e conhecimento em experiências estrangeiras

Segundo pesquisa conduzida pela CREALOGIX em março de 2018, cujas informações foram publicadas no site Fintech Finance, apenas 14% deles estavam cientes sobre o Open Banking e 22,8% haviam ouvido sobre isso diretamente pelo banco do qual eram clientes.

Em uma outra pesquisa, mais recente, realizada pela Splendid Unlimited, praticamente um ano após a iniciativa britânica e conduzida com 2000 pessoas, 80% delas ainda não sabiam do que se tratava. Entre as que tinham conhecimento, o entendimento não era claro e as definições não eram totalmente exatas. Por fim, apenas 9% dos consumidores estavam se utilizando de serviços atrelados ao Open Banking.

Imagem com informações sobre o pouco conhecimento dos britânicos em relação ao Open Banking no país

Adotando o Reino Unido como base para a experiência brasileira, torna-se necessário um esforço de educação do consumidor, seja em termos conceituais, mas também sobre os benefícios, oportunidades e riscos gerados por esse movimento de abertura.

Conforme analisado no estudo da E&Y, talvez a melhor alavanca para gerar um sentimento de confiança e interesse no público seja mostrar a ele quais ganhos a iniciativa traz. Tal como foi visto no período de aceitação das plataformas de mídia social, as pessoas vão querer dividir suas informações se elas perceberem benefícios em troca disso e puderem fazê-lo por aplicações de fácil e divertida utilização.  

Promessas e entrega de valor

Demonstrar as oportunidades e benefícios, no entanto, talvez não seja suficiente. Será preciso entregar de fato aquilo que está sendo prometido. De acordo com Luiz Roncato, Cofundador da What’s Money – startup que oferece uma plataforma para pagamentos móveis, personalizável, voltado para grandes empresas que queiram criar serviços de carteira virtual –, o volume de dados propiciado pelo Open Banking será enorme, mas é necessário que seja bem utilizado para que entregue um valor real aos consumidores.

“Existirá uma gama de informações valiosa sobre os consumidores. O grande desafio está em capturar as oportunidades que essas informações entregam. Capturar dados e não transformá-los em um serviço coerente, competente e que resolva um problema do cliente não vai adiantar de nada. A competência em trabalhar em cima desse volume é muito relevante. Acredito que o segredo esteja em entregar uma proposta de valor satisfatória para o mercado”, afirma Roncato, também ex-executivo de grandes empresas do mercado de pagamentos. 

Privacidade de dados e segurança

Conquistar a confiança dos consumidores brasileiros e convencê-los de que a abertura de informações e integrações entre plataformas interessadas são benéficas invocam, também, uma necessária discussão sobre a segurança e proteção dos dados que serão transacionados.

Isso porque, naturalmente, a preocupação geral em relação a possíveis vazamentos de informações acaba sendo um entrave para a evolução e prosperidade do Open Banking em qualquer lugar do mundo. 

Segundo Andrew Hagger, Expert em Finanças Pessoas na MoneyComms,  em matéria do Financial Times “a ideia do Open Banking era a de movimentar a competição e inovação no mercado e possibilitar aos consumidores uma economia de gastos e um maior número de opções, mas tem sido ofuscada pelo medo em questões de privacidade e segurança de dados pessoais”.

Em convergência a isso, o estudo da E&Y aponta que 48% das discussões globais de tom negativo sobre o assunto são a respeito de preocupações envolvendo proteção de informações e cibersegurança. 

Com a importância que os dados têm adquirido atualmente na era digital – não à toa, considerados o recurso mais valioso, substituindo o petróleo –, tal receio é natural e dificilmente será superado em um curto-prazo.

De acordo com uma pesquisa da PwC, 38% dos consumidores entrevistados nutrem uma preocupação espontânea em relação à vulnerabilidade a fraudes, roubo de identidade e hacking, e 15% se preocupam com segurança de forma geral. Para as pequenas e médias empresas, a segurança (23%) é a principal preocupação, seguida de questões de privacidade e perda da propriedade de dados (18%). 

Arte com informações sobre a preocupação das pessoas em relação à privacidade e segurança de dados.

Apesar de natural, o receio em relação à privacidade dos dados não deve ser um entrave para o Open Banking no Brasil, visto que a expectativa é que a regulação seja clara nesses aspectos e as instituições envolvidas possuam a infraestrutura necessária para a proteção.

De acordo com Bruno Diniz, Managing Partner da Spiralem, consultoria de inovação focada no mercado financeiro e Professor do Curso de Fintechs da Fundação Getúlio Vargas (FGV), o regulador brasileiro tem aberto discussões sobre o tema, de forma que o ambiente esteja preparado no aspecto de segurança. 

“Estamos passando por um processo extenso de regulamentação nesse setor, com a expectativa de haver uma consulta pública sobre o assunto no segundo semestre deste ano. Muito está sendo discutido sobre como isso pode ser feito da forma mais segura possível, porque são dados financeiros, sensíveis. Na esteira disso, existem muitos pontos em comum com a LGPD (Lei Geral de Proteção de Dados) também. Todas essas preocupações são válidas, mas não podem atravancar todo o progresso. Muito disso vai girar em torno da autorização por parte do consumidor, que, em troca, vai receber benefícios que façam sentido para ele”, declara Diniz. 

LGPD x Open Banking

Com inspiração na GDPR (General Data Protection Regulation), a LGPD, sigla referente à Lei Geral de Proteção de Dados (Lei nº 13.709), foi sancionada em agosto de 2018 e deve entrar em vigor no Brasil em agosto de 2020. Substituta ao Marco Civil da Internet (Lei nº 12.965), de 2014, “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, conforme o Art.1 da LGPD.

Tem, portanto, como principal objetivo garantir que uso de dados de usuários seja feito de forma transparente e dentro dos termos de privacidade, liberdade de expressão, inviolabilidade e outros. No fim das contas, a lei, antes de qualquer coisa, busca assegurar ao usuário o controle sobre seus próprios dados – princípio similar ao que se espera do Open Banking.

Isso porque, de acordo com uma análise feita pelo site Proof, “a LGPD regulariza o tratamento de dados pessoais e esclarece para empresas quando essas podem tratar os dados. Dessa forma, são estabelecidas justificativas que dão direito a uma empresa tratar dados”. 

Entre essas justificativas está o consentimento do usuário em compartilhar os dados que deseja com determinada empresa, adesão essa que deve ser inequívoca. Ou seja, os termos e condições de um eventual uso e tratamento desses dados devem ser claros e acessíveis ao consumidor.

Também é importante ressaltar que é assegurado pela lei que o titular dos dados tenha direito à confirmação da existência de tratamento dessas informações, além de exigência de que esses sejam armazenados de modo que “favoreça o exercício do direito de acesso”. 

Além desses, a LGPD conta com inúmeros termos e exigências a serem cumpridas pelas empresas que eventualmente podem ter acesso a esses dados com o propósito de tratá-los e analisá-los. Sendo assim, de certa forma, surge a elas o desafio de entender de forma detalhada sobre o assunto. Primeiramente, pela proteção ao consumidor que, como demonstrado anteriormente, precisará nutrir certa confiança para que possa compartilhar suas informações.

Em segundo lugar, o descumprimento da lei pode acarretar em consequências sérias ao operador desses dados, desde a proibição de atividades relacionadas a isso, quanto prejuízos financeiros pesados, na casa de milhões de reais. 

De acordo com David Cortada, vice-presidente de Serviços Financeiros da Capgemini, em entrevista concedida ao portal Convergência Digital, a LGPD representa um importante reforço ao Open Banking, mas é necessário, também, que os atores do mercado sigam o que está sendo regulamentado e estipulado.

“A Lei Geral de Proteção de Dados é a regulamentação necessária para que o Open Banking consiga ser uma realidade. Não adianta pedir para bancos exporem dados de clientes sem uma regulamentação relativamente rígida. E os bancos precisam cumprir para que os consumidores tenham segurança que os dados estão sendo utilizados de forma correta. Blockchain, por exemplo, é uma tecnologia que vem para ajudar na velocidade das comunicações entre os diferentes agentes do sistema. Ele tem características específicas que ajudam os dados a serem protegidos durante o seu tráfego. Há casos de uso muito interessantes e os bancos já trabalham nessa tecnologia”, disse. 

Em convergência à opinião de Cortada, para Hugo Pinto, fundador da Sentimonitor – startup que oferece soluções e serviços de análise e inteligência baseada em dados de mídias sociais –, a LGPD serve como um complemento fundamental ao Open Banking, mesmo que alguns detalhes tenham de ser mais bem definidos.

“Ao meu ver, a regulamentação está clara, tudo vai ou pelo menos deve ser feito sob autorização. Claramente, sempre que houver o tráfego das informações, precisa haver uma requisição, um pedido; o sistema é aberto, mas isso não quer dizer que um banco pode ir passando para quem quiser ou interessar. E, quando for do interesse do titular deletar os dados, vai ser preciso garantir que todo mundo da cadeia delete”, declara Pinto.

Além disso, existe uma preocupação em relação à consciência das pessoas sobre suas próprias informações, já que, segundo ele, os consumidores se importam pouco em relação à privacidade de seus dados.

“Acredito que o argumento de institucionalidade funciona: se o usuário confiar na instituição, ele vai compartilhar. Ainda não existe uma sofisticação no Brasil para entender segurança da informação de forma mais avançada. Um ponto fundamental dentro dessa discussão é conseguir manter os usuários informados de quais instituições estão tendo acesso àquilo que ele optou abrir. O conceito de durabilidade dos dados seria interessante, porque entrega mais segurança”, completa.

Responsabilidade solidária: de quem é a culpa?

Uma questão ainda nebulosa dentro das discussões acerca do Open Banking é a questão da responsabilidade em um eventual cenário de vazamento de dados. Na Europa, por exemplo, ela é atribuída ao banco em questão, operador desses dados, mesmo que a falha tenha sido causada por uma instituição terceira.

Segundo Fernando Galdino, Arquiteto de Soluções Corporativas na Oracle, esse ainda é um grande debate dentro do tema e foi um dos principais assuntos discutidos em meetups sobre Open Banking em que ele esteve presente.

“Houve longas conversas sobre a possibilidade dos dados do cliente serem, eventualmente, mal utilizados. Se o consumidor autoriza o compartilhamento de informações pessoais e essas vazam por uma fintech, por exemplo, deixa de ser responsabilidade do banco? Como garantir que um terceiro não vá fazer mal uso dos dados ou então que possua o mesmo nível de segurança de uma grande instituição? Isso é um grande desafio e preocupação que esse cenário traz para a indústria, ainda sem resposta aparente”, conta Galdino. 

Apesar disso, é possível perceber que a regulação e as tecnologias de segurança no Brasil têm avançado e evoluído em direção a uma proteção cada vez maior para o consumidor e titular dos dados, fato que, de certa forma, contribui para o ganho de confiança tão necessário e esperado pelo mercado.

Claramente, para as grandes empresas, fintechs e outras instituições financeiras, incorre no desafio de ajustar produtos, serviços e processos, de forma que tudo isso se encaixe nos novos padrões, contribuindo para uma real evolução e consolidação do Open Banking no Brasil. 

Saiba o que os profissionais de grandes empresas e especialistas estão falando sobre o tema em entrevistas completas aqui

spin pay

Fundada em 2019, a Spin Pay é uma fintech brasileira do segmento de pagamentos, oferecendo uma plataforma que conecta pagadores e recebedores, voltada tanto para instituições quanto pessoas físicas, além de possibilitar pagamentos instantâneos.

hash

A Hash Lab é uma startup brasileira criada em 2017, que fornece  uma plataforma de implementação de PSPs (Provedores de Serviços de Pagamentos) para grandes empresas, integrada a soluções como carteira virtual, programas de fidelidade, emissão de cartão pré-pago e outras.

razorpay

A Razorpay é uma startup fundada em 2014 em Bangalore, na Índia, que fornece soluções de recebimento, processamento e realização de pagamentos para lojas virtuais, por meio de APIs de fácil integração. A fintech indiana já recebeu mais de US$ 106 milhões em investimentos.

neema

Fundada em 2013, em Tel Aviv, Israel, a Neema é uma plataforma digital voltada para consumidores desbancarizados, que permite a transferência de remessas, transações e pagamento de contas de forma online. A fintech já recebeu mais de US$ 2 milhões em investimentos.

Botão Voltar ao topo