Open Banking: a chave mestra para abrir o setor bancário
Por Boris Kuszka | 03 de Março de 2021 às 10h00
Em uma era distante pré-pandemia, lá em 2018, o mundo inteiro praticamente "parou" ao se dar conta do valor e do potencial dos dados, e ao compreender a urgência em protegê-los. Na época, a consultoria Cambridge Analytica capturou a atenção global ao conseguir convencer centenas de milhares de pessoas conectadas à internet a ceder dados de seus perfis e de toda a sua rede de amigos por meio de um teste de personalidade.
A companhia, contudo, prometia a seus clientes um serviço questionável: influenciar o comportamento de eleitores a partir de um algoritmo capaz de mapear o perfil psicológico de usuários do Facebook. Quando as intenções da empresa se revelaram ao mundo, em um dos maiores escândalos da rede, ela se tornou sinônimo do uso indevido de dados pessoais e coleta de dados de empresas online, mudando o comportamento e o caminho das organizações em relação à proteção das informações.
O crescimento vertiginoso que acompanhamos no uso de redes sociais torna os fragmentos de informação que compõem os bits e bytes cada vez mais um insumo para o mercado, e relega a privacidade ao posto de privilégio de outros tempos. No livro The Age of Surveillance Capitalism, Shoshana Zuboff explica como os dados hoje são utilizados como commodity, e conta de que maneira o comportamento de usuários na internet é o produto essencial que alimenta a ferramenta de marketing mais lucrativa da história.
Segundo Shoshana, assim como propriedade, trabalho ou dinheiro estão sujeitos à legislação para proteger a sociedade dos excessos do capitalismo, o mesmo cuidado deveria ser aplicado ao "Capitalismo de Vigilância", chamado assim pela autora por "negociar nossos dados sem nenhum impedimento legal". Essa constatação provocou mudanças principalmente nas cláusulas dos Termos e Condições usados pelas empresas de tecnologia, minuciosamente analisadas no documentário Terms and Conditions May Apply (2013) de Cullen Hoback.
Preocupados com as consequências de um ambiente global de excessos comerciais, legisladores em todo o mundo se apressaram em definir o que seriam os primeiros passos para uma regulamentação capaz de proteger a integridade e os negócios em diferentes regiões do planeta. A Europa saiu na frente e estabeleceu a legislação que é vista como a mais robusta da atualidade para a proteção de dados, o Regulamento Geral sobre a Proteção de Dados (GDPR).
Com o objetivo de dar aos cidadãos formas de controlar seus dados pessoais, o regulamento prevê que os processos empresariais que tratem dados pessoais são obrigados a trazer medidas que respeitem os princípios da proteção de dados. Um dos aspectos mais importantes das diretrizes trata da necessidade de um alto nível de proteção dessas informações, de modo que não possam ser disponibilizadas sem o consentimento explícito de seus proprietários. É aqui que as tecnologias de anonimização entram em cena para desempenhar um papel fundamental: garantir que os dados não possam ser usados para identificar uma pessoa sem informação adicional armazenada em separado.
Criptografia: a cifra certa rumo à segurança
Toda e qualquer informação que se relacione a uma pessoa identificada ou identificável é considerada um dado pessoal. Por isso, informações de perfil comportamental, econômico, social e cadastros também se enquadram nesse conceito. No outro extremo temos os dados anonimizados, informações que não permitem identificação imediata ou posterior do titular. Por meio da criptografia (processo de codificação da informação) de ponta-a-ponta (end-to-end encryption ou E2EE), é possível garantir a privacidade dos dados online, seja durante a navegação ou a troca de mensagens, de forma que o conteúdo só possa ser acessado pelos dois extremos da comunicação: o remetente e o destinatário.
Mesmo com o uso de criptografia alinhado às novas regras, um pequeno ajuste nos termos e condições relacionados à privacidade no uso de aplicações e serviços pode provocar grandes e imprevisíveis transformações. Quando o WhatsApp anunciou mudanças em sua política de privacidade, por exemplo, eliminando a possibilidade de optar por não compartilhar dados com o Facebook, muitos usuários preferiram deixar a rede social. Tudo porque a alteração, prevista para entrar em vigor no dia 15 de maio, estabelece que informações, como números de telefone, fotos e conteúdos de algumas mensagens serão automaticamente compartilhadas com o Facebook.
Se por um lado o flanco aberto pela Cambridge Analytica ainda não foi totalmente fechado, por outro essa preocupação é ao mesmo tempo um estímulo latente ao aprimoramento e à inovação dos mecanismos de proteção de privacidade; e, consequentemente, de maior confiança e abertura para novas possibilidades de relacionamento e negócios, à medida que novas soluções são lançadas. No Brasil, a busca por soluções de segurança e privacidade de dados melhores e mais sofisticadas é ilustrada pelo recente vazamento de dados que pode ter exposto mais de 100 milhões de contas de celular em fevereiro, de acordo com a PSafe. Ainda mais quando levamos em conta que o caso aconteceu menos de um mês após a empresa de segurança digital ter notificado o megavazamento de dados de 223 milhões de CPFs, 40 milhões de CNPJs e 104 milhões de registros de veículos no país.
O berço do open banking no Brasil
A fim de se precaver contra invasões e vazamentos, muitas empresas passaram a investir mais em segurança. Microsserviços, containers e arquiteturas orientadas a eventos (EDA), aliados à estratégia de cloud definida, ganharam cada vez mais espaço, já que conseguem atender diversos requisitos de escalabilidade e performance, ao mesmo tempo que diminuem e dificultam possíveis ataques.
Além disso, inspirado no GDPR, o Brasil colocou em vigor a Lei Geral de Proteção de Dados (LGPD) em setembro de 2020. Alinhada à regulamentação europeia, a nova lei exige que as empresas deixem explícitos quais dados são coletados e compartilhados com outras organizações, e com quais propósitos. A LGPD considera que o uso de dados sensíveis com o objetivo de obter vantagem econômica está sujeito à regulamentação, e deve estar em constante discussão por meio da Autoridade Nacional de Proteção de Dados (ANPD).
Um dos aspectos interessantes da lei diz respeito aos novos direitos aos titulares dos dados, entre eles a portabilidade. Esse direito em particular é relevante e oportuno diante do open banking, que tem como escopo a portabilidade de informações entre diferentes stakeholders do mercado financeiro. Essa nova dinâmica na comunicação de dados pessoais abriu espaço para uma relação mais personalizada com diferentes entidades e instituições, especialmente no setor financeiro, que no Brasil é muito concentrado em
poucos agentes econômicos.
Visto os impactos negativos que este fato pode trazer à economia, o Banco Central do Brasil ingressou na jornada de maior integração regulatória para estimular a entrada de mais players no mercado, e estruturou um modelo jurídico de Sistema Financeiro Aberto, ou open banking. O conceito propõe a abertura do sistema financeiro a partir da descentralização das informações bancárias. Essa nova iniciativa pressupõe a abertura de dados de clientes de determinada instituição financeira ou instituição regulada pelo Banco Central, compartilhando dados cadastrais e de operações financeiras com outras organizações que participem desse sistema, por meio de uma grande interoperabilidade. Para garantir a segurança dos dados, os participantes do open banking deverão observar as regras da Lei do Sigilo Fiscal e da LGPD.
A primeira Open API brasileira
O Pix, o novo sistema de pagamentos instantâneos do país, é uma parte integrante do modelo de implementação do open banking no Brasil, no qual a interface de programação de aplicativo, ou Application Programming Interface (API) de recebimento foi considerada pelo BC a primeira Open API de open banking. O BC criou um novo modelo de segurança, por meio de um fluxo entre o recebedor, pagador, instituição recebedora, instituição pagadora e regras de dados que são somente conhecidas pelos participantes do processo. Os benefícios esperados vão desde o incentivo à inovação e à promoção da concorrência até o aumento da eficiência no sistema financeiro.
Mesmo com o investimento na segurança, antes mesmo do Pix entrar em operação, a equipe de Threat Explorer da ClearSale já havia identificado 48 domínios criados na web (ainda inativos) apenas para roubar dados relacionados ao novo sistema. Pouco tempo depois do início da operação, este número saltou para mais de 500, segundo dados da Kaspersky. O aumento no número de tentativas, mostra a importância da adoção de práticas responsáveis e eficazes de todo o ecossistema em torno do Pix, no que diz respeito à segurança antifraude do arranjo de pagamentos. A modernização dos sistemas, aliada às leis de regulação como a LGPD, são fundamentais para o desenvolvimento sustentável e para o crescimento desses novos meios de pagamento no país.
A tecnologia por trás da segurança
Tivemos uma grande evolução nas tecnologias de integração, especialmente em decorrência da força do open source e, cada vez mais, vemos implementações em plataformas de containers (plataforma de implementação de aplicações baseadas em microsserviços e encapsuladas), com escalabilidade horizontal, distribuída, leve, baseada em padrões abertos. Saímos das implementações pesadas de "SOA" e chegamos na integração ágil, baseada em APIs.
Por trás do Pix temos tecnologias open source extremamente escaláveis e resilientes, em especial o AMQ Streams (já publicado como um caso público) que permite baixíssima latência com uma enorme taxa de transferência. Para se ter uma ideia, somente em 2021, foram mais de 280 milhões de operações realizadas, ou seja, oito em cada dez transações financeiras foram realizadas por meio do Pix.
Segurança e resiliência são pontos chave para as normas de proteção de dados e sobrevivência das organizações. Não somente criptografia de ponta a ponta como já comentei aqui, mas processos de investigação contínua de vulnerabilidades e proatividade na manutenção dos componentes da arquitetura: algo que hoje em dia conta com análises baseadas em machine learning, times 7x24 alimentando a base de conhecimento e automação para a implementação de melhorias do ambiente com menos erros e maior velocidade.
Uma das principais preocupações de todos os CIOs é a segurança, o que impulsionou muito o open source empresarial, e melhorias nas plataformas estão sendo feitas a passos rápidos. Recentemente a Red Hat comprou a StackRox, líder em segurança de tecnologia de containers para Kubernetes (componente chave, padrão de fato de tecnologia de containers e é um dos muitos componentes da plataforma de containers Red Hat OpenShift) e práticas importantes para incluir segurança nas aplicações que estão sendo desenvolvidas. Entre elas, estão a utilização de containers vindas de fontes confiáveis (trusted containers), a utilização de um registro corporativo de containers, a construção automatizada e controlada desses containers e a segurança integrada na esteira de desenvolvimento de aplicações. Não é à toa que vemos cada vez mais o termo DevSecOps em vez de simplesmente DevOps quando nos referimos à abordagem de desenvolvimento ágil e multidisciplinar.
A tecnologia é um fator essencial para a mudança de comportamento das pessoas e a consequente evolução da sociedade. Em consonância com essa tendência, o Brasil se destaca com a LGPD e o Pix, mostrando para o mundo que, junto ao open banking, são essenciais para a transformação digital do sistema financeiro. Ao abrir espaço para novas soluções mais competitivas, inclusivas e personalizadas, é possível inserir os serviços financeiros em jornadas mais ricas e completas, sem deixar de preservar o uso consciente dos dados.