As principais regras e procedimentos do sistema Open Finance: uma evolução do Open Banking

Open Finance é o compartilhamento padronizado de dados e serviços dos clientes entre instituições autorizadas a funcionar pelo Banco Central do Brasil (“BC”), por meio de abertura e integração de sistemas, sendo obrigatória a participação apenas das instituições enquadradas nos Segmentos 1 (S1) e 2 (S2), de que trata a Resolução nº 4.553, de 30 de janeiro de 2017. 

As instituições participantes podem desempenhar um ou mais papéis dentro do sistema Open Finance, tais como:

·        Receptora de dados: pede o compartilhamento de dados à instituição transmissora, com o consentimento do cliente.

·        Transmissora de dados: compartilha com a instituição receptora os dados pedidos, com o consentimento do cliente.

·        Detentora de conta: mantém conta corrente, de poupança ou conta de pagamento pré-paga de livre movimentação pelo consumidor.

·        Iniciadora de transação de pagamento: inicia transação de pagamento sem ter os valores transferidos na prestação do serviço.

·        Contratante de serviço de encaminhamento de proposta de crédito: mantém contrato com correspondente no País por meio digital para possibilitar ao consumidor solicitar proposta de operação de crédito por meio de plataforma eletrônica mantida pela contratada.

Importante esclarecer que, no que se refere ao serviço de iniciação de transação de pagamento, este nada mais é do que possibilitar a iniciação da instrução de uma transação de pagamento ordenado pelo cliente em relação a uma conta de depósito ou de pagamento pré paga comandada por instituição não detentora da conta à instituição detentora da conta.

É o Banco Central que define os objetivos, as principais regras e diretrizes do sistema Open Finance, além de fazer a supervisão das instituições participantes que podem ser bancos, financeiras, cooperativas de crédito, instituições de pagamento e outras autorizadas pelo BC. Já a Estrutura de Governança do Open Finance formada e mantida pelas instituições participantes é responsável por atuar na proposição ao BC de padrões técnicos para implementação do Open Finance e na manutenção da infraestrutura de suporte aos participantes.

O Open Finance tem como objetivo incentivar a inovação, promover a concorrência no mercado e a cidadania financeira, bem como aumentar a eficiência do Sistema Financeiro Nacional (“SFN”) e do Sistema de Pagamentos Brasileiro (“SPB”). E para tanto, é necessário que as instituições participantes conduzam suas atividades com ética e responsabilidade observando não somente a legislação e regulamentação vigente, mas também os princípios da transparência, da qualidade de dados, do tratamento não discriminatório, da reciprocidade, da interoperabilidade e da segurança e privacidade de dados e de informações sobre serviços compartilhados.

Assim, as instituições participantes deverão obedecer às regras que estão nos atos normativos publicados pelo Conselho Monetário Nacional (CMN) e pelo BC. Essas regras abrangem as responsabilidades pelo compartilhamento e as características obrigatórias desse processo, que inclui as etapas de consentimento (autorização de compartilhamento), autenticação (verificação de identidade) e confirmação. 

No artigo 5 da Resolução Conjunta do BC nº 1/2020 alterada pela Resolução Conjunta do BC nº 4/2022 constam quais dados e serviços podem ser compartilhados no âmbito do sistema Open Finance, sendo que para fins de compartilhamento de dados sobre produtos e serviços deverá ser considerado apenas aqueles disponíveis à contratação por meio dos canais de atendimento da instituição transmissora, inclusive pelos seus correspondentes.

O consentimento do cliente é obrigatório e deve ser obtido pelas instituições nos termos do artigo 10 da referida Resolução, para que então as instituições participantes possam compartilhar dados relacionados ao cadastro de clientes e de seus representantes, além de dados de transações de clientes relacionados a contas de depósitos à vista ou poupança, contas de pagamento pré ou pós pagas, operações de crédito (incluindo envio de proposta), operações de câmbio, conta de registro e controle, serviços de credenciamento em arranjo de pagamento, contas de depósito a prazo, produtos com natureza de investimento, seguros e previdência complementar aberta, além de serviços de PIX.

Em suma, as instituições participantes somente poderão compartilhar dados e serviços de clientes que tenham solicitado o compartilhamento, desde que tenham cumprido com todas as etapas de consentimento, autenticação e confirmação, que devem ser realizadas exclusivamente por canais eletrônicos com segurança, agilidade, precisão e conveniência, de forma sucessiva e ininterrupta, e com duração compatível aos seus objetivos e nível de complexidade.

É importante, que durante todas as etapas as instituições participantes prestem informações aos clientes de forma clara, objetiva e adequada sobre em que consiste cada uma das etapas e procedimentos no âmbito do Open Finance.

Ainda em relação ao consentimento, as instituições devem seguir os seguintes requisitos:

·        Incluir a identificação do cliente;

·        Solicitar o compartilhamento com linguagem clara, objetiva e adequada;

·        Ter prazo compatível com as finalidades do consentimento, limitado a 12 meses;

·        Discriminar a instituição transmissora de dados ou detentora de conta, conforme o caso;

·        Discriminar os dados ou serviços que serão objeto de compartilhamento, observada a possibilidade de agrupamento; e

·        Solicitar novo consentimento em caso de alteração das finalidades ou dados ou serviços que serão objeto do compartilhamento.

Para o compartilhamento de serviço de iniciação de transação de pagamento, o consentimento ainda deve contemplar, no mínimo informações sobre (i) forma de pagamento, (ii) o valor da transação de pagamento, (iii) as informações referentes ao recebedor da transação de pagamento, (iv) a data de pagamento, e (v) periodicidade das transações e prazo no caso de transações de pagamento sucessivas.

Além disso, a instituição iniciadora de transação de pagamento deve solicitar o consentimento do cliente a cada nova transação de pagamento, exceto nos casos das transações de pagamento sucessivas em que o prazo de validade do consentimento, a critério do cliente tenha sido definido de forma superior a 12 meses e condicionada ao encerramento das referidas transações.

As instituições participantes envolvidas no compartilhamento de dados ou serviços devem assegurar a possibilidade da revogação do respectivo consentimento, a qualquer tempo, mediante solicitação do cliente, por meio de procedimento seguro, ágil, preciso e conveniente, observado o disposto na legislação e regulamentação em vigor. A revogação deverá ser efetuada em até um dia, contado a partir da solicitação do cliente, no caso do compartilhamento de serviço de iniciação de pagamento e de forma imediata, para os demais casos.

Somente em caso de suspeita justificada de fraudes é que as instituições transmissoras de dados ou detentoras de contas poderão propor ao cliente a revogação do consentimento.

As etapas de autenticação e de confirmação relacionadas ao compartilhamento de dados e serviços devem observar os procedimentos e controles dispostos na seção III e IV da Resolução conjunta do BC nº 1/2020, ressaltando que as instituições transmissoras de dados ou detentoras de contas devem solicitar confirmação de compartilhamento ao cliente de forma simultânea aos procedimentos para autenticação, assegurando ao cliente a possibilidade de discriminar o teor do compartilhamento.

A seção V da Resolução Conjunta BC nº 1/2020 determina que as instituições participantes disponibilizem interfaces dedicadas ao compartilhamento de dados e serviços padronizadas de acordo com os padrões estabelecidos pela convenção firmada entres as instituições participantes. Nesse sentido, as instituições transmissoras de dados ou detentoras de contas devem prestar informações tempestivas às instituições receptoras de dados ou indicadoras de transações de pagamentos acerca da efetivação, da solicitação de compartilhamento ou sobre os eventuais motidos de impossibilidade, os quais devem ser documentados e fundamentados com evidências.

No caso do compartilhamento dos serviços de iniciação de transação de pagamento, a padronização dos motivos sobre eventual impossibilidade de compartilhamento deve ser compatível com o regulamento ou instrumento que discipline o funcionamento dos arranjos de pagamento relacionado à respectiva transação.

É vedado às instituições participantes a criação de obstáculos ao compartilhamento de dados e serviços, tais como requisição de autorizações adicionais do cliente, validação adicional do consentimento dado pelo cliente à instituição receptora de dados ou iniciadora de transação de pagamento, ou instruções de acesso complexas, devendo inclusive disponibilizar canal de atendimento para a prestação de suporte técnico relacionado à solicitação de compartilhamento às demais instituições participantes.

As instituições participantes e as instituições contratantes oriundas de parceria devem designar diretor responsável pelo compartilhamento de dados podendo este desempenhar outras funções na instituição, desde que não haja conflito de interesses. O diretor escolhido terá como responsabilidade elaborar relatório semestral referente ao compartilhamento de dados e serviços em que a instituição participante estiver envolvida, nas datas de 30 de junho e 31 de dezembro, conforme disposto no artigo 33 da Resolução Conjunta do BC nº 1/2020.

O referido relatório deverá ser posteriormente submetido ao comitê de risco da instituição, quando existente; e apresentado ao conselho de administração ou, na sua inexistência, à diretoria da instituição até 90 dias após a respetiva data-base.

Em relação a responsabilidade sobre o encaminhamento de demandas solicitadas pelos clientes a respeito do compartilhamento de dados e serviços, as instituições devem informar que tais solicitações podem ser envidas por seus canais de atendimento.  

O artigo 36 da Resolução conjunta BC nº 1/2020 admite a contratação de parceria por parte das instituições participantes e autorizadas a funcionar pelo BC com entidades não autorizadas a funcionar pelo BC com o objetivo de compartilhar dados e serviços de que trata o art. 5º, inciso I, alíneas "c" e “d” da Resolução Conjunta do BC nº 1/2020, quais sejam:

·        Cadastro de clientes e de seus representantes;

·        Transações de clientes relacionadas com contas de depósito à vista; contas de depósito de poupança; contas de pagamento pré-pagas; contas de pagamento pós-pagas; operações de crédito; conta de registro e controle de que trata a Resolução nº 3.402, de 6 de setembro de 2006;

·        Operações de câmbio;

·        Serviços de credenciamento em arranjos de pagamento;

·        Contas de depósito a prazo e outros produtos com natureza de investimento;

·        Seguros, e previdência complementar aberta.

No âmbito da referida parceria deve-se:

1)     Obter o consentimento prévio e expresso do cliente;

2)     Assegurar que as políticas e as estratégias de gerenciamento de risco das instituições participantes observem a regulamentação vigente e contemplem os critérios de decisão para a contratação de parcerias com o objetivo de compartilhamento de dados e serviços;

3)     Assegurar nos casos de parcerias com entidades internacionais, que as políticas e estratégias de gerenciamento de risco contemplem os parâmetros utilizados pela instituição participante para avaliação dos países, e da região em que cada país para onde os dados dos clientes poderão ser compartilhados, conforme legislação vigente;

4)     Obter a aprovação do conselho de administração ou, na sua inexistência, pela diretoria da instituição sobre as políticas e estratégias de gerenciamento de risco sobre o compartilhamento de dados e serviços;

5)     Ser emitido um parecer favorável pelo diretor responsável sobre o compartilhamento de dados e serviços no âmbito do Open Finance, em relação a adoção das exigências e procedimentos determinados pela regulamentação vigente, que incluem a adoção de prática de governança corporativa e de gestão proporcionais aos riscos a que estejam expostas; e a verificação do potencial parceiro em assegurar: (i) o cumprimento da legislação e da regulamentação em vigor, (ii) o acesso da instituição contratante a informações sobre a efetividade da transferência de dados e de informações sobre serviços compartilhados; (iv) a confidencialidade, a integridade, a disponibilidade e a recuperação de dados e de informações sobre serviços compartilhados; d) a aderência a certificações exigidas pela instituição contratante para a execução do compartilhamento; (v) o acesso da instituição contratante aos relatórios elaborados por empresa de auditoria especializada independente, contratada pelo potencial parceiro, relativos aos procedimentos e aos controles utilizados no compartilhamento; (vi) o provimento de informações e a existência de recursos de gestão adequados ao monitoramento do compartilhamento; e (vii) a qualidade dos controles de acesso voltados à proteção dos dados e de informações sobre serviços compartilhados;

6)     Documentar e manter atualizados todos os procedimentos determinados pela regulamentação vigente e acima mencionados;

7)     Assegurar que os recursos de gestão que monitoram os serviços compartilhados contemplem o acesso a registros de consentimento dos clientes armazenados pelo potencial parceiros, e as confirmações de que os dados ou informações sobre os serviços compartilhados pela instituição contratante foram recebidos pelo ponteia parceiro;

8)     A instituição contratante possuir recursos e competências necessárias para a adequada gestão da parceria.

O contrato de parceria deverá prever no mínimo:

ü Em seu objeto descrever que tipo de dado e serviços será compartilhado, sendo vedado incluir a prestação de serviços, pelo parceiro contratado, de atividades de atendimento ao cliente em nome da instituição contratante, previstas na regulamentação que dispõe sobre correspondentes no país, e o compartilhamento de dados de transações de clientes que trata o art.5  inciso I, alínea "d" da Resolução Conjunta BC 1/2020, relativos a produtos e serviços contratados em outras instituições;

ü As responsabilidades e o papel de cada parte, devendo deixar claro ao cliente que o parceiro não atua em nome da instituição, para fins do compartilhamento;

ü A indicação dos países e da região de cada país para onde os dados ou informações sobre serviços de clientes poderão ser compartilhados;

ü O acesso pela instituição contratante as informações fornecidas pelo parceiro contratado, as informações relativas às certificações e aos relatórios de auditoria especializadas, além das informações e recursos de gestão adequados ao monitoramento do compartilhamento, nos termos da regulamentação e legislação vigente;

ü A obrigação do parceiro contratado em notificar a instituição contratante sobre a subcontratação de serviços relativos ao compartilhamento, e também sobre incidentes de violação da segurança de dados e informações sobre serviços relacionados ao compartilhamento, além das medidas que serão adotadas pelo parceiro para a prevenção e solução do ocorrido;

ü A permissão de acesso do BC aos contratos firmados para o compartilhamento, à documentação e às informações referentes aos dados ou informações sobre serviços compartilhados, bem como aos códigos de acesso a tais informações;

ü A adoção de medidas pela instituição contratante, em decorrência de determinação do BC;

ü A observância dos padrões tecnológicos e de procedimentos operacionais estabelecidos na regulamentação vigente (o inciso I, alínea "b", do art. 44 da Resolução Conjunta BC 1/2020);

ü A obrigação de o parceiro contratado manter a instituição contratante permanentemente informada sobre eventuais limitações que possam afetar o compartilhamento ou o cumprimento da legislação e da regulamentação em vigor;

ü Os procedimentos para o tratamento de demandas encaminhadas pelo cliente;

ü No caso de decretação de regime de resolução da instituição contratante pelo BC, a obrigação do parceiro em conceder irrestrito acesso ao responsável pelo referido regime a toda documentação e informação referente ao compartilhamento, bem como de notificar previamente o responsável pelo referido regime sobre sua intenção em interromper o compartilhamento, com pelo menos 30 dias de antecedência da data prevista a interrupção.

É importante destacar que é vedado a parceria entre duas instituições autorizadas pelo BC; ou se a empresa for uma empresa terceirizada, contratada para fins de prestação de serviços a ela relacionados ao Open Finance (ex: serviços de tecnologia, de suporte, de atendimento, entre outros). A parceria no âmbito do Open Finance requer um contrato específico diferente do contrato de terceirização de serviços.

A responsabilidade sobre o cumprimento da legislação e regulamentação vigente no âmbito do compartilhamento de dados e serviços pelo sistema Open Finance, instituindo mecanismos de acompanhamento e de controle com vistas a assegurar a confiabilidade, a disponibilidade, a integridade, a segurança e o sigilo dos dados e informações de seus clientes, conforme disposto nos artigos 40 e 41 da Resolução Conjunta BC nº 1/2020, é da instituição contratante.

No que se refere as despesas entre as instituições participantes decorrentes do compartilhamento de dados e serviços, é admitida o ressarcimento, exceto em relação a quaisquer chamadas de interface com relação aos serviços de iniciação de transação de pagamento, e por, no mínimo: a) duas chamadas de interface ao mês, por instituição participante, por cliente e por assinatura de método, acerca dos dados de cadastro e b) cento e vinte chamadas de interface ao mês, por instituição participante e por cliente, no que se refere aos dados de transações de que trata o art. 5º, inciso I, alínea "d".

As instituições participantes devem celebrar uma convenção, conforme definido no artigo 44 da Resolução Conjunta BC 1/2020, devendo as regras, os procedimentos e os padrões definidos na referida convenção serem formalizados em instrumento próprio, que deverá ser disponibilizado para aprovação do BC.

O BC poderá adotar as medidas necessárias para o cumprimento da regulamentação vigente podendo vetar ou impor restrições ao compartilhamento, quando constatar, a qualquer tempo, à inobservância da regulamentação vigente, estabelecendo prazo para a adequação de processos.

Fonte: Banco Central do Brasil.

Por Gabriela Pim