Open banking: quando a desconfiança e o risco são partes centrais do negócio

Open banking: quando a desconfiança e o risco são partes centrais do negócio

Por Raphael Saraiva* 

O desafio de sincronizar a experiência do usuário com as exigências de segurança e formalidades de compliance já era um dado inadiável devido à nova magnitude digital, especialmente após a pandemia. Mas responder a este desafio se torna uma questão de vida ou morte para empresas médias e grandes, na perspectiva de alguns meses, se levarmos em conta a eclosão mundial do open banking.

No caso específico do Brasil, o manual de segurança do Banco Central para o PIX, já em vigor, acompanha as determinações da diretiva europeia (PSD2), e acrescenta uma teia de mandamentos locais que são inerentes ao SPB (Sistema de Pagamentos Brasileiro). E ainda incorpora um vasto escopo regulatório dos direitos civis, penais e tributários, como as leis de lavagem de dinheiro, os direitos do consumidor imbricados no CPC, e mais recentemente, na LGPD.

Entre outros complicadores, o modelo especifica a implementação de um inicializador comum de transações compartilhando dados de terceiros. Sendo que cabe aos participantes institucionais garantir a privacidade e a soberania do cliente sobre estes conjuntos de dados. Estabelece também as normas de funcionamento do PSP (prestador de serviços de pagamento) e um emaranhado de regras de autenticação dos pagadores e recebedores (individuais ou PJ) e suas formas de interação com a instância comum de registro DICT (Diretório de Identidade de Contas Transacionais).

Para sorte de todos nós, a comunidade mundial de gerenciamento de identidade e acesso vem fortalecendo as metodologias de controle massivo e pervasivo de identidades em redes críticas (e agora todas as redes são críticas) por meio de instrumental da governança e da extensão das políticas de IAM para além dos limites da rede interna.

Com uma combinação de governança e abrangência de controles, o CIAM (Customer Identity and Access Management), integrado a uma rede com automação dos critérios de verdade, permite massificar a arquitetura de operação orientada para o risco. Ele traz para o atual legado estático das empresas a dinâmica de funcionamento exigida pelo ambiente multicloud e compatível com as imposições do PIX.

Uma das premissas desse esquema é que ele retira das costas do fragilíssimo usuário a responsabilidade pela parte substancial da segurança sistêmica, ao não mais entregar a ele a propriedade de uma senha decorada como fator quase soberano de autenticação. Ou a de simplesmente contar com a educação e confiabilidade do usuário para mitigar os riscos do phishing e outras técnicas maliciosas.

Hoje, os marketplaces do crime oferecem ao hacker sênior, ou mesmo aos scriptkids, ferramentas de automação de ataques (o evilginX2 é só uma delas), permitindo a duplicação de URLs reais de bancos ou varejistas em uma camada Proxy. Não mais uma simulação, mas uma apropriação da interface com todos os indicadores de autenticidade e segurança para interagir com o usuário. A partir daí, basta capturar a digitação/navegação do cliente, absorver sua identidade e coletar todos os requisitos de autenticação da credencial, incluindo-se aí as senhas, tokens de acesso e tokens de sessão. Ao lado disto, estão sendo disseminadas novas estratégias personalizadas de phishing baseadas em engenharia social (spear-phishing) e, mais recentemente, até com o uso de deepFake.

Além da implementação do CIAM, uma arquitetura zero trust e de baixo atrito para o Open Banking terá de contar com evoluções que vêm sendo adotadas por autoridades financeiras que já estão à frente do Brasil. Entre os requerimentos-chave não podem faltar as ferramentas de assinatura e acesso unificado (Autenticação, Federação, Single Sign On), cujo objetivo é facilitar ao máximo a abertura de uma sessão de acesso, gerando um nível de confiança pontual monitorada com base na combinação da senha única com a interpolação de múltiplos fatores físicos, lógicos, históricos e combinação com indicadores de contexto e autorização.

Os processos de autenticação mais eficazes nas implementações open banking mundo afora são os que governam os processos de credenciamento/descredenciamento e autenticação just in time levando em conta a verificação online dos dispositivos de consumo e dos dispositivos de autorização da instituição financeira. Bem como fazendo a checagem da natureza desta interação financeira (em escala de segundos em regime 24/7) e ainda garantindo as regras de compliance dessa indústria e o arcabouço legal/regulatório.

É o que acontece hoje em dia com o emprego do modelo de autenticação CIBA (Connect Client Initiated Backchannel Authentication). Ele verifica a integridade e autenticidade das credenciais de todas as partes e solicita ao cliente da transação a formalização de suas permissões de uso de dados pessoais e aceite da transação, documentando todo o processo. Uma garantia fundamental para o usuário, para o negócio financeiro e para instituições, inclusive no âmbito jurídico.

Este modelo de fluxo vem, em geral, associado a uma camada de gerenciamento de API de grau financeiro (FAPI), reconhecida pela autoridade financeira e compreendendo os protocolos de segurança e privacidade para acesso dos aplicativos a dados de operações de pagamento ou transferência de fundos.

A organização e governança de bilhões de transações /dia envolvendo valores financeiros e diversas classes de agentes que o Open Banking introduz, necessita encontrar caminhos de evolução que possibilitem sua implementação sem apagar o legado e sem gerar atrasos de time to market. Suas exigências de mudanças terão de ser atendidas a quente, sem perturbar o dia a dia da economia global e tendo de trazer a reboque uma eficiência bancária que no Brasil e, provavelmente em todo o mundo, lastreia-se em tecnologias altamente fechadas e conservadoras.

Será emocionante assistir de que forma os bancos, o varejo, as autoridades financeiras e as cadeias de suprimento irão se comportar nesses próximos meses em que se avizinha o prazo final do Bacen para a plena operação do open banking.

* Raphael Saraiva é líder de inovação da Netbr

Compartilhe

Notícias relacionadas

Blog
Mudança na natureza jurídica da ANPD fortalece aplicação da LGPD
Por Edilma Rodrigues A Medida Provisória (MPV) nº 1.124, de 13 de junho de 2022 assinada pelo...
Blog
Mercado Pago usa tecnologia de segurança da Mastercard para criptos
A carteira digital do Mercado Livre, o Mercado Pago, vai usar
Blog
Ant Group lança banco digital para micro, pequenas e médias empresas em Singapura
O ANEXT Bank, banco digital de atacado de Singapura e parte do Ant Group, anunciou...
Blog
Cetelem vai reduzir 6 mil toneladas de CO² com emissão de cartões reciclados
O Banco Cetelem Brasil emitiu cerca de 370 mil cartões de plástico reciclado, desde o...

Assine o CANTAnews

Não perca a oportunidade de saber todas as atualizações do mercado, diretamente no seu e-mail

plugins premium WordPress
Scroll to Top