Open Banking: bancos são avessos a compartilhar dados
Estrutura opaca dos grandes bancos contrasta com as diretivas do Open Banking, já absorvidas por fintechs e bancos digitais puros.
A chegada da segunda fase do Open Banking, que obrigará os bancos incumbentes a compartilhar informações de clientes com a concorrência, irá obrigar os bancos a rever suas políticas opacas de competição, baseadas em grande parte na exclusividade da custódia de dados estratégicos.
Do ponto de vista operacional, as redes fechadas dos bancos precisarão se adaptar a novos modelos de autenticação e autorização de transações, agora com a participação de múltiplos agentes. Uma das consequências será o surgimento de complicadores inéditos para o gerenciamento da identidade e dos acessos em transações com dados compartilhados.
Tradicionalmente fechados e estruturados em redes isoladas, além de mudar de tecnologia, as instituições serão forçadas a enfrentar a sua velha aversão ao risco cibernético e à operação no ambiente não proprietário.
Na avaliação da Netbr, especializada em tecnologias de IAM (Identity and Access Management), o compartilhamento compulsório implicará na aceitação pelos bancos de um canal não mais exclusivo de negociação com os clientes para a oferta de produtos, como empréstimo, conta corrente, aplicações, consórcio e seguros.
De acordo com Raphel Saraiva, líder de inovação tecnológica da Netbr, o manual de segurança do Bacen estipula que as instituições compartilhem os dados apenas mediante permissão expressa do titular no ato da requisição de serviço. Mas é responsabilidade de cada banco produzir, documentar e manter os “logs” de auditoria relativos ao uso destas permissões até o ponto em que o dado se encontra sob sua custódia.
“Será tarefa difícil o gerenciamento destas permissões de clientes, considerando que qualquer pequena mudança nos termos de uma oferta financeira pode conflitar com os contratos digitais instantâneos coletados em pleno ciclo das transações, afirma Saraiva.
Além disso, explica o especialista, são poucos os bancos tradicionais preparados para enxergar, seccionar e gerenciar, de forma online, os múltiplos atributos de uma identidade.
Da mesma forma, nem todos possuem tecnologia para o provisionamento e desprovisionamento automático dos atributos das identidades em suas respectivas credenciais passíveis de compartilhamento.
“A arquitetura digital dos grandes bancos, estrategicamente fechada, é um obstáculo real a ser removido em um prazo mais curto que o desejável, em função do calendário acelerado do Bacen. Eles vão precisar correr para se adaptar aos modelos de autenticação automática e troca dinâmica de dados que já são adotados pelas fintechs, pelos bancos digitais puros e pelas empresas integrantes da economia de plataforma”, explica ele.
Chave Autodestrutiva
Entre as exigências colocadas pelo manual de segurança do BC para o Open Banking, está a utilização de um sistema dinâmico de autenticação capaz de delimitar e conferir a integridade de todas as entidades envolvidas na transação compartilhada. Incluem-se aí não apenas a identidade do cliente, mas também a dos agentes financeiros e dos entes não humanos, como aplicações de software e máquinas.
Desenvolvida originalmente na diretiva europeia do Open Banking, hoje globalmente aceita, esta arquitetura CIBA (Client Initiaded Backchannel Authentication) é responsável também pela checagem da autorização da parte do cliente final e seu envio para os arquivos de auditoria da autoridade financeira.
A este modelo de autenticação, alia-se um sistema de chaves criado para garantir acesso das partes a áreas críticas das bases de dados, mas sem a geração de vínculo futuro. Esta arquitetura de chaves, denominada “OAuth 2.0”, cria uma espécie de credencial forte efêmera, com a combinação de elementos lógicos e da infraestrutura (tokenização) durante uma transação, e que se desintegra de forma irrecuperável ao final de cada sessão.
“A autenticação dinâmica trazida da diretiva europeia exige uma estrutura voltada à operação segura em situação de risco sistêmico (ou “zero trust”). Isto é bem diferente de um legado bancário lastreado na aversão ao risco operacional”, comenta Saraiva.
De acordo ele, os bancos incumbentes do Brasil tendem agora a ajustar suas estruturas para o paradigma dos bancos digitais puros, que abarca procedimentos de inteligência artificial tais como: a automação de acesso dos clientes sem senha alfanumérica; o uso de “federação”, que implica na autenticação de provedores de identidade pública, e a evolução dos sistemas de IAM (Identity and Access Management) para uma arquitetura CIAM (Customer Identity and Access Management) capaz de abarcar a massa de consumidores e seus dispositivos inseguros, que passam a rodar operações financeiras e a interagir com interfaces críticas..
Raphael Saraiva salienta que, pela própria lógica do Open Banking, a ideia de “agente financeiro” expressa até pouco tempo pelo Sistema Financeiro Nacional, está sendo ampliada, passando a abranger o varejo, as redes de pagamento e as várias modalidades de “XTechs”.
“Toda esta movimentação cria um cenário desafiante para um setor que sempre foi a locomotiva na modernização do atendimento digital, mas que tem uma postura historicamente conservadora em relação á retaguarda operacional”, comenta o executivo.
Sobre a Netbr
A Netbr é especializada em projetos de arquitetura de segurança baseada em inteligência artificial e tecnologias de Gerenciamento da Identidade e Acessos (IAM) em todo o seu espectro. Os maiores fabricantes mundiais de software nessa área reconhecem a Netbr como a mais capacitada empresa de consultoria e implantação de projetos de redes com automação de processos de e operação à prova de risco (Zero Trust). A equipe de analistas e arquitetos da Netbr é responsável por alguns dos maiores projetos de IAM já desenvolvidos no Brasil com objetivos como a segurança de dados, a proteção da privacidade, o aumento da produtividade, o atendimento a compliance e a redução do atrito na melhoria da experiência do usuário.
