api open banking

API Open Banking: como funciona e dicas de segurança

API open banking é a tecnologia que permitirá o compartilhamento de dados entre bancos e outras instituições financeiras de forma segura, padronizada e integrada. A sigla API, vem do inglês “Application Programming Interface” e não é nenhuma novidade no mundo da tecnologia e do desenvolvimento, já que a Forbes chegou a nomear 2017 como “o ano da economia de APIs”. Porém, por conta da implementação do Open Banking no Brasil, que começou em 1 de fevereiro de 2021, essas interfaces vão se tornar ainda mais relevantes.

Apenas para recapitular, o Open Banking, é uma iniciativa mundial, que faz parte do Open Finance, cujo objetivo descentralizar informações financeiras permitindo que os titulares de seus dados tenham autonomia para decidir como e onde eles podem ser usados. Ou seja, você tem o poder de decidir a forma com a qual gostaria de aplicar suas informações financeiras.

O open banking Brasil (ou sistema financeiro aberto), está sendo regulamentado pelo Banco Central. Ele atua como órgão regulador e de fiscalização dos participantes. Essa regulamentação é necessária justamente para permitir que a comunicação entre as instituições e aplicações possam ocorrer sem interferências e de forma segura para preservar as informações e garantir a agilidade e eficiência dos serviços.

Portanto, se quiser saber mais sobre como a api open banking vai funcionar, as possíveis aplicações e a importância da segurança e da padronização desse sistema é só continuar acompanhando esse post:

O que é a API open banking?

A API open banking é uma ponte que permite a comunicação e a troca de informações entre plataformas. Essa “ponte” só funciona porque as APIs são compostas por instruções e padrões de programação que são capazes de absorver informações com linguagem diferentes.

Dessa forma, no sistema de open banking, não existe uma única plataforma que poderá ser utilizada por todas as instituições participantes, mas sim APIs abertas – e desenvolvidas pelas próprias instituições ou por empresas terceirizadas – que vão permitir a troca de informações e que outras empresas possam desenvolver aplicações conectadas aos sistemas financeiros.

O Banco Central reforça que o compartilhamento de informações acontecerá somente mediante consentimento, autenticação e confirmação dos titulares. O que chama a atenção do ponto de vista da segurança na hora de desenvolver e integrar essas APIs.

Como a API open banking funciona?

Imagine que você possui há 20 anos uma conta no Banco X, lá está todo o seu histórico bancário, transações, pagamentos etc. Atualmente, você está procurando por uma linha de crédito, mas não está muito satisfeito com as condições que o Banco X te ofereceu. Com o Open Banking cotar outras linhas de crédito e condições ficará mais simples, justamente porque você poderá autorizar que a Fintech C tenha acesso ao seu histórico de dados para te oferecer melhores condições. Portanto, a comunicação entre o Banco X e a Fintech C acontecerá por meio de uma API.

Além disso, a tecnologia da API open banking permite a criação de novos aplicativos e serviços, como por exemplo uma aplicação que te permita acessar mais de uma conta em um mesmo ambiente ou de finanças pessoais, para que você possa receber dicas e insights para economizar, investir e por aí vai. As oportunidades de inovação são inúmeras, inclusive se você quiser um post sobre esse assunto, deixe aqui nos comentários.

Entretanto, como ainda estamos no início da implementação do Open Banking no Brasil, vale a pena discutir um pouco mais sobre a elaboração dessas APIs. Para se ter uma ideia, de acordo com o portal The Global Treasurer, em outubro de 2019, no Reino Unido, o OBIE (Open Banking Implementation Entity) registrou 180 milhões de chamadas bem-sucedidas via api open banking e a expectativa é que esse número aumente de 20 a 30 milhões por mês. Ainda em outubro, a disponibilidade média dessas APIs foi de 98,48%, contra 96% de junho de 2018, que foi o ano de implementação do open banking no UK.

Como o próprio artigo aponta, existem alguns obstáculos a serem superados, especialmente do ponto de vista da adesão de pequenas e médias empresas. Porém, existe uma grande quantidade de dados que já estão transitando por APIs open banking e a tendência é só aumentar.

Portanto, uma API open banking precisa ser:

  • Segura;
  • Padronizada;
  • Escalável;
  • Simples;
  • Moderna;
  • Sustentável.

Também é importante ter em mente que o open banking parte do princípio da reciprocidade. Ou seja, só é possível ter acesso aos dados se você também os fornecer. Justamente por isso, as APIs são construídas para serem abertas e devem ter os requisitos acima, para que desenvolvedores consigam ter acesso as informações necessárias, fazendo as ligações de forma correta, para aproveitar o que o open banking tem a oferecer às empresas.

O ecossistema de governança de APIs, que está dentro das regulamentações do Banco Central, colabora também para essa identificação e bom uso das informações, já que é necessário saber quem realizou a solicitação, quem vai utilizar as informações, se o cliente já deu o consentimento para o uso de dados, quando foram acessados entre outras informações cruciais de segurança.

>> Leitura recomendada: Especificações técnicas da gestão de consentimento no Open Banking Brasil

Microsserviços e Open Banking

Pensando nisso, ao desenvolver a api open banking, você poderá optar pela arquitetura de microsserviços. Em síntese, essa abordagem é um substituto do monolito, justamente porque prega a descentralização de um bloco único de serviços para unidades “micro”.

Isso porque, os bancos e instituições financeiras – que são os principais atores das próximas fases do open banking no Brasil – oferecem uma série de serviços, que podem estar estruturados para operar de forma independente no sistema, facilitando a atualização, manutenção ou a mobilidade, evitando atrasos, lentidão e alteração no tempo de resposta.

O gerenciamento de APIs eficaz é peça fundamental no desenvolvimento do open banking, permitindo a integração da API open banking de serviços financeiros às diferentes jornadas digitais dos clientes e reduzindo a diferença de informações entre os prestadores de serviços, favorecendo o surgimento de novos modelos de negócios e de novas formas de relacionamento entre instituições e seus clientes e parceiros.

Outros benefícios dos microsserviços são:

  • Facilidade de atualização;
  • Melhor alocação de recursos;
  • Atenção a serviços específicos e estratégicos;
  • Escalabilidade de serviços;
  • Modularização;
  • Minimiza o impacto das falhas;
  • Baixo acoplamento;
  • Autonomia;
  • Leva menos tempo para fazer atualizações.

>>Leitura recomendada: Open Investment: como deve funcionar e quais são os benefícios para o mercado de capitais

API Gateway

Na teoria, uma API recebe uma solicitação, processa e emite uma resposta. Um gateway de API faz parte do sistema de gerenciamento dessa aplicação, que fica entre o cliente e uma coleção de serviços de back-end, funcionando como um portão, que intercepta todas as solicitações de entrada e envia para o sistema responsáveis.

No open banking, existem diversos tipos de solicitações e respostas que podem ser requisitas, e se estivermos falando de uma estrutura de microsserviços, essas solicitações podem requisitar diversas partes do sistema.

Um gateway de api open banking permite que o sistema consiga conduzir melhor as solicitações, para que elas possam ir para os lugares adequados, produzindo uma resposta e realizando um monitoramento, já que essa é uma forma de desassociar a interface do cliente da implementação de back-end.

As funções do gateway podem variar de uma implementação para outra, porém as mais comuns são autenticação, roteamento, limitação de taxa, faturamento, monitoramento, análise, políticas, alertas e segurança.

>>Leitura recomendada: Open Banking Week 2021: confira os destaques e principais painéis do evento!

Segurança e padronização 

Como você pode perceber ao longo do post a segurança e padronização da api open banking é um tópico recorrente, e isso acontece por dois motivos:

1 – No Brasil, já estamos implementando a segunda fase  do Open Banking, então essa tecnologia de API aberta está pronta para ser colocada em prática;

2 – Como estamos falando sobre dados financeiros sensíveis, existe uma grande preocupação com vazamentos ou mesmo uso indevido de informações, o que será colocado a prova até o final deste ano, quando a implementação estiver completa.

Portanto, além de seguir as práticas e recomendações do Banco Central, a consultoria Contino elaborou um relatório intitulado “Accelerating Compliance & the API Economy with Open Banking & PSD2”, no qual ela chama atenção para os âmbitos técnicos e comerciais o desenvolvimento de uma api open banking.

Aspectos técnicos:

  1. Como expor os dados e o design da API;
  2. Como conectar APIs externas para bancos de dados internos;
  3. Como manter a segurança, identidade, controle de acesso e autorização;
  4. Educação de desenvolvedores e construção de comunidade.

Aspectos comerciais:

  1. Direitos das plataformas vs. Aplicativos;
  2. Definição de novos processos;
  3. Definição de métricas e avaliação de dados;
  4. Precificação de serviços.

O relatório também reforça a importância de desenvolver uma estrutura competitiva e que seja mais adequado às mudanças, com a arquitetura de microsserviços. Seguindo então o princípio da reciprocidade, para que todos possam fornecer informações e usufruir deles é necessário manter as estruturas padronizadas.

Além disso, outras boas práticas do desenvolvimento da API open banking são:

Utilização de Tokens: como já comentamos, faz parte das regulamentações do Banco Central, que as trocas de informações sejam autorizadas através de mecanismos de autenticação e confirmação. Portanto, os tokens podem ser utilizados para validar as credenciais de um usuário.

Criptografia e certificados digitais: atualmente, existem algumas integrações que fazem uso dos dados bancários – mediante autorização – porém, que fazem uso de senhas em plain text ou formato reversível, o que pode facilitar o acesso de terceiros para os seus dados. No open banking, o ideal é que é usar a criptografia e certificados digitais para garantir que o usuário consiga autentificar as transações de informações.

Identificação de vulnerabilidades e suporte: a estrutura de microsserviços facilita o acompanhamento e sustentação das operações e auxiliam a identificar possíveis falhas e a fazer manutenções rápidas.

Legislação de proteção de dados: No Brasil, a Lei Geral de Proteção de Dados já está em vigor no Brasil e precisará se levar em consideração, além de outras considerações como a Lei do sigilo bancário ou mesmo o ISO 20022.

Recentemente, o Banco Central (BC) publicou a resolução nº 86, trazendo 2 novidades para a segunda fase de implementação do open banking: a instituição de um manual de experiência do cliente e também criação de ambiente de teste de APIs.

A ideia por trás da criação de um ambiente de teste de APIs é justamente para garantir que as instituições possam testar suas APIs no estágio do desenvolvimento, para entregar aos clientes uma experiência segura.

>>Leitura recomendada: Segurança de dados: como proteger os dados no Open Banking

OPUS Open Banking

A OPUS desenvolveu o OPUS Open Banking, uma solução pronta, ideal para que você possa cumprir as regulamentações do Banco Central e participar do mercado com um diferencial competitivo. Quer saber mais? Acesse!