Há algumas décadas, gerir e aceder a dados financeiros era um processo distante e exaustivo para os consumidores. No entanto, nos últimos anos, a inovação financeira simplificou e humanizou a experiência bancária digital, com uma pequena coisa a que chamamos Open Banking.

De forma simples, o Open Banking permite a partilha segura de dados bancários dos consumidores, possibilitando aos bancos ter uma noção mais exata da situação financeira e do nível de risco de uma pessoa, a fim de apresentar os melhores produtos e serviços para cada cliente específico. Os clientes, por outro lado, compreendem muito melhor a sua situação financeira e têm mais controlo sobre as suas finanças e dados financeiros.

Mas o que define exatamente o Open Banking? Que vantagens traz aos bancos e clientes em todo o mundo, e que desafios acompanham essa flexibilidade e facilidade de acesso aos serviços financeiros? Vamos descobrir as respostas.

O que é o Open Banking?

O Open Banking é a prática de partilhar de forma segura dados bancários, transações e outras informações financeiras dos consumidores entre bancos e fornecedores terceiros (Third Party Providers – TPP), utilizando Interfaces de Programação de Aplicações (Application Programming Interface – API).

Antes de o Open Banking ser uma realidade, os mesmos dados financeiros eram geridos exclusivamente pelos grandes bancos, pelo que os consumidores não podiam geri-los facilmente nem aceder aos mesmos através de diferentes plataformas, como acontece atualmente.

O conceito de Open Banking tem dois objetivos principais:

• Promover a competição saudável e a inovação no ecossistema bancário.
• Melhorar a experiência global do cliente.

O mercado global de Open Banking tem vindo a crescer exponencialmente: foi avaliado em 7 mil milhões de dólares em 2018, em 20,07 mil milhões de dólares em 2022, e espera-se que atinja os 135,17 mil milhões de dólares em 2030, a uma taxa de crescimento anual composta de 27,2%.

Este crescimento expressivo deve-se essencialmente à emergência e aperfeiçoamento de tecnologias e serviços como Cloud Computing, Inteligência Artificial (IA), Machine Learning (ML), Blockchain e, claro, API.

TPP: o que (e quem) são?

Os TPP são organizações que interagem com os bancos para facilitar a comunicação e prestar serviços aos clientes. Podem ser de dois tipos:

• Prestador de serviços de informação sobre contas (AISP): atuam em nome do banco para aceder à informação dos consumidores.
• Prestador de serviços de iniciação de pagamentos (PISP): atuam em nome dos consumidores para iniciar pagamentos.

Especificamente, os TPP podem ser fintechs, comerciantes online, companhias de seguros, entre outros.

Breve história e principais marcos

Embora o Open Banking só se tenha tornado uma prática nos últimos anos, as raízes do conceito remontam à década de 1980, na sequência de uma experiência realizada pelo Correio Federal da Alemanha.

No entanto, o primeiro momento que contribuiu para tornar o Open Banking uma realidade aconteceu apenas em 2007, quando a Comissão Europeia publicou a primeira Diretiva Europeia de Serviços de Pagamento (PSD1). Este regulamento foi extremamente importante para aumentar a concorrência, a transparência e a qualidade geral do serviço no setor financeiro. Foi também responsável pelo nascimento dos Prestadores de Serviços de Pagamento (PSP) e pelo crescimento das fintechs.

Mais recentemente, em 2018, a PSD2 foi adotada como substituta da PSD1, tendo um impacto significativo nas instituições bancárias ao exigir que todos os bancos concedam acesso a TPP autorizados via API.

A tecnologia subjacente

Existem quatro tecnologias fundamentais por detrás do crescimento do setor Open Banking:

• Interface de Programação de AplicaçõesUma API é um conjunto de código e protocolos escritos em linguagem de programação que funciona como intermediário, permitindo que duas aplicações de software comuniquem entre si. Especificamente no setor bancário, esta tecnologia é responsável por disponibilizar os serviços dos bancos aos TPP, de forma segura e em tempo real.
• Cloud ComputingEsta tecnologia permite o processamento de grandes quantidades de dados em tempo real, o que é crucial quando existe a necessidade de autenticar transações financeiras iniciadas via API. O Cloud Computing é uma solução fiável, flexível e escalável que ajuda os bancos a lidar com grandes volumes de dados, reduzindo as despesas, uma vez que não necessitam de hardware nas instalações para o fazer.
• Inteligência Artificial / Machine LearningOs algoritmos de IA e ML podem ajudar os bancos de várias formas: (1) a analisar eficazmente os dados e a melhorar a velocidade das transações; (2) a fornecer informações valiosas sobre como otimizar processos, produtos e serviços; (3) a prevenir, detetar e responder a potenciais ações fraudulentas.
• BlockchainUm dos principais obstáculos ao Open Banking é o facto de os consumidores ainda hesitarem em partilhar os seus dados financeiros com terceiros. O Blockchain é uma solução viável para este problema, porque permite o controlo total sobre a informação de cada um, dando aos clientes o poder de escolher quais os dados a partilhar, com quem e quando. Por outras palavras, as soluções baseadas em Blockchain proporcionam um elevado nível de proteção da privacidade.

Os desafios futuros dos developers de software que trabalham no setor Open Banking incluem:

• Garantir uma produção célere que acompanha as tendências do mercado.
• Incorporar a segurança no processo de desenvolvimento de software, assegurando ao mesmo tempo que o software evolui para ser capaz de responder a ameaças online.

Benefícios e riscos do Open Banking

Além de trazer mais competitividade, inovação e melhorar a experiência do cliente, o Open Banking apresenta outras vantagens significativas, tanto para os bancos como para os clientes:

• Transações e processos financeiros mais transparentes.
• Estimulação da literacia financeira dos consumidores, que naturalmente se envolvem mais.
• Aumento da eficiência e simplificação dos pagamentos e transferências (devido à centralização dos serviços).
• Garantia de propriedade dos dados e proteção da privacidade, o que significa que os clientes podem controlar quem acede aos seus dados financeiros e quando.
• Categorização de dados (dividindo dados brutos em diferentes categorias) como forma de ajudar os utilizadores a compreender como gastam o seu dinheiro e como podem otimizar essa despesa.

Mas como a inovação tem sempre um lado negro, o Open Banking comporta também alguns riscos técnicos, nomeadamente:

• Fragmentação da experiência do cliente: pode acontecer se os bancos não adotarem as normas do Open Banking tão rapidamente ou tão eficazmente como esperado.
• Problemas técnicos: dado que a tecnologia Open Banking é relativamente nova, existe sempre a possibilidade de surgirem novos problemas técnicos.
• Fraude: o Open Banking envolve múltiplas partes, a interligação de serviços e o princípio de acesso fácil à informação, o que aumenta o risco de ações fraudulentas.

No entanto, os dois principais problemas associados ao Open Banking estão relacionados com cibersegurança e privacidade de dados, ambos decorrentes da partilha de dados de clientes com TPP. Vamos explorar cada um deles em maior pormenor.

Desafios de cibersegurança

Não há como dar a volta a isto: para melhorar a experiência do consumidor, bem como a eficiência e a transparência dos sistemas de pagamento, precisamos de recorrer aos dados financeiros dos clientes.

No entanto, este é um terreno fértil para ciberatacantes. O especialista em cibersegurança da act digital Vianney Dive-Levent identifica dois grandes riscos de cibersegurança associados ao Open Banking, que podem levar a outras ameaças igualmente importantes:

• Configuração incorreta da API“Atualmente, apenas alguns TPP estão licenciados, permitindo que o serviço Open Banking funcione. No entanto, se uma API for mal desenvolvida, pode facilmente revelar informações pessoais (o que foi o caso de mais de 50 API bancárias / fintechs, de acordo com um estudo de 2019). Uma vez que as fintechs são frequentemente startups com não mais de 20 funcionários, a segurança nem sempre está na vanguarda.”
• Violações de dados“Ao aumentar o número de parceiros de confiança nas nossas aplicações bancárias, aumentamos necessariamente o risco de fugas de dados, como por exemplo através de ransomware ou DDoS [Distributed Denial-of-Service]. Como já foi referido, a segurança nas pequenas empresas fintech nem sempre é perfeita. Assim, se ocorrer uma fuga de dados, pode ser permitido o acesso a bases de dados com informações financeiras.”

Como reduzir os riscos de cibersegurança?

Em termos práticos, o que pode ser feito para limitar os riscos de ações cibermaliciosas, proteger contra as vulnerabilidades das API e a exposição de dados? Há três aspetos a considerar:

Empresas que desenvolvem tecnologia Open Banking

A primeira medida fundamental é que essas organizações implementem o princípio Security by Design. “É essencial pensar na segurança e colocá-la no centro do negócio”, acredita Vianney. Eis como o conseguir:

• Implementar as medidas de segurança exigidas pelas agências de segurança de proteção de dados, como o Regulamento Geral sobre a Proteção de Dados (RGPD) ou a PSD2, que exige autenticações fortes para todas as transações digitais.
• Testar a segurança ao longo do projeto, auditando regularmente a API, bem como o sistema de informação da empresa. Medidas preventivas como testar o código, as vulnerabilidades do sistema e o funcionamento dos logs ajudam a antecipar um ataque.

TPP que pretendem implementar uma API de Open Banking

Em termos técnicos, os TPP podem utilizar várias estratégias para reduzir os riscos de segurança. O especialista da act digital identifica as seguintes:

• Ter uma segurança de autenticação forte através da utilização de Autenticação Multifator (MFA) pelos utilizadores, bem como a utilização de Segurança da Camada de Transporte Mútua (mTLS), em que ambas as partes se autenticam mutuamente utilizando o certificado TLS.
• Validação do método de autorização, como o OAuth 2.0 ou o OpenID Connect (OIDC).
• Dispor de métodos de encriptação robustos, nomeadamente para as transferências de fundos, com pelo menos TLS 1.2.
• Na Europa, a PSD2 recomenda algumas normas para o Open Banking, como a ISO 20022 (para todas as iniciativas de normas financeiras) e a ISO 27001 (relativa à segurança, cibersegurança e proteção da privacidade).
• Higienizar todos os dados de entrada na API ou na aplicação do utilizador para garantir que não ocorrem vulnerabilidades comuns, como o Cross-Site Scripting (XSS) ou outros ataques de injeção. 
• Configurar um sistema de logging para detetar atividades invulgares ou outros padrões que possam indicar ameaças à segurança. Esta é provavelmente a parte mais difícil: com tantos logs e chamadas à API, é necessário utilizar um sistema de análise poderoso, com aprendizagem automática (Machine Learning) e Inteligência Artificial, para identificar um problema numa API específica. 
• Configurar uma Firewall de Aplicação Web (WAF) para filtrar o tráfego HTTP entre a aplicação web e a Internet, fornecendo uma camada adicional de segurança contra ataques comuns a aplicações web.

Clientes que beneficiam do ecossistema Open Banking

O mais importante é ter conhecimento das boas práticas de segurança, tais como “o que pode significar um e-mail de phishing, a importância de utilizar palavras-passe fortes e de proteger os dados pessoais”, explica o nosso especialista em cibersegurança. “Além disso”, acrescenta, “é importante informarmo-nos sobre os potenciais TPP em que nos queremos registar: este fornecedor é novo? Qual é a sua certificação? O que é que a API permite se eu a validar? Que dados recolhe? De facto, estas API permitem o acesso a informações bancárias, pelo que é da responsabilidade dos utilizadores saberem em quem vão confiar”.

O que fazer em caso de violação de dados?

Se todas estas medidas preventivas falharem e ainda assim ocorrer uma violação de dados, existem algumas medidas recomendadas para as organizações financeiras. Vianney identifica as seguintes:

• Gestão ‘normal’ de crises: criar uma unidade de crise com as entidades envolvidas (IT, cibersegurança, comunicação, unidade de negócio, etc.). De seguida, se a ameaça vier de dentro do Sistema de Informação (SI), isolá-la e determinar a sua origem, utilizando para isso os logs.
• Contactar os parceiros (bancos, TPP, utilizadores) e informá-los de que ocorreu um ataque. É então necessário apoiar os utilizadores e revogar os tokens ativos para limitar o acesso aos dados dos utilizadores.
• Os utilizadores devem alterar as suas palavras-passe e todas as credenciais de acesso à(s) conta(s) bancária(s) que utiliza(m) a API. Além disso, recomenda-se desativar a autorização da API atacada.
• Após a análise forense, a organização financeira atacada deve pôr em prática as medidas de correção necessárias. A empresa deve também ser novamente auditada, para confirmar que cumpre as regras de segurança implícitas nas várias certificações obrigatórias.

Ameaças emergentes

Num futuro próximo, que ameaças emergentes devem as instituições financeiras ter em consideração no contexto do Open Banking? O nosso especialista em cibersegurança identifica três tendências possíveis:

• Combinação de IA e engenharia social“Será possível realizar campanhas de phishing cada vez mais precisas e específicas graças às tecnologias de IA. Podem ser devastadoras, como a utilização de deepfake ou de uma voz gerada por IA de um amigo ou familiar para obter acesso a determinadas contas, ou para redirecionar para um falso TPP a pedir credenciais.”
• Ataques à cadeia de abastecimento“Estes ataques visam os fornecedores ou parceiros terceiros de uma organização, a fim de atingir o alvo principal. No caso do Open Banking, poderíamos imaginar um TPP a utilizar um mecanismo malicioso, desejando atacar um utilizador específico ou um banco.”
• Ameaça Persistente Avançada (APT)“Uma ameaça cada vez mais popular que visa permanecer nos sistemas de informação das organizações visadas sem ser detetada, a fim de extrair o máximo de informação possível. Este tipo de ataque pode ser uma dádiva para um atacante: ao extrair os logs de um TPP, pode recolher informações pessoais de forma furtiva.”

Desafios de privacidade de dados

A Data Protection Officer (DPO) da act digital, Inès Chenouf, concorda com o Vianney Dive-Levent no que diz respeito aos principais riscos impostos pelo Open Banking, mas o seu foco recai muito mais sobre os danos que uma violação de dados pode ter para todos os envolvidos: “Tem efeitos negativos para os titulares dos dados (danos físicos, materiais ou morais), mas também para as empresas (danos económicos, danos à reputação, perda de conhecimentos, etc.)”.

Segundo ela, além de se informarem sobre as boas práticas de segurança, como frisou Vianney, os clientes devem também conhecer os seus direitos e os regulamentos em vigor para poderem evitar as consequências nefastas das violações de dados.

Então, como podem os utilizadores manter o controlo sobre os seus dados financeiros?

Há várias formas de assegurarem isto, de acordo com a nossa DPO. Em primeiro lugar, existem procedimentos e frameworks para regular a utilização dos dados pessoais e confidenciais dos clientes. “A nível da União Europeia [UE], o RGPD estipula que deve ser obtido o consentimento do cliente. O consentimento deve ser explícito, dado livremente, informado e inequívoco”, esclarece Inès, sublinhando ainda que “o consentimento pode ser retirado em qualquer altura”.

Além disso, acrescenta, “para ter controlo sobre os seus dados, o utilizador deve estar ciente da forma como os mesmos são utilizados. Nenhum consentimento deve ser dado em troca de ofertas comerciais ou outras, como reembolsos ou cashbacks. Os clientes devem ter a possibilidade de saber para onde vão os seus dados. Regra geral, isso é feito através de documentação disponibilizada pelos bancos.”

“Adicionalmente,” refere Inès, “para reforçar a confiança dos utilizadores no setor bancário e fazer face ao aumento dos ciberataques, o Digital Operational Resilience Act (DORA), aplicável em toda a UE, visa gerir os riscos informáticos das entidades. Isto significa que as entidades terão mais obrigações para alcançar um elevado nível de resiliência informática e proteger os dados”. É, sem dúvida, um passo importante no sentido de criar mais confiança e segurança para todos os que fazem parte do mundo do Open Banking.

Considerações finais

Aprender a ultrapassar os complexos desafios mencionados pelo nosso especialista em cibersegurança e pela nossa DPO é uma grande prioridade para todos os envolvidos no Open Banking – agora e num futuro próximo.

Lidar – preventiva e reativamente – com desafios como estes é algo em que a act digital pode ajudar as empresas, nomeadamente através de serviços como Gestão de Cibersegurança, Arquitetura e Integração de Soluções, Auditoria & Pentesting, e Ciberdefesa.