entre em contato
  • Regulamentação
  • Regulamentação

Open Finance: as obrigações regulatórias para participantes

Open Finance: as obrigacoes regulatorias para participantes

O Open Finance brasileiro e, sem exagero, o sistema de compartilhamento de dados financeiros mais ambicioso do planeta. Enquanto o Open Banking europeu (PSD2) se limitou a dados bancarios e pagamentos, o modelo brasileiro abrange seguros, investimentos, previdencia, cambio e credito — um escopo que nenhum outro pais alcancou. Mas essa ambicao vem acompanhada de um arcabouco regulatorio igualmente robusto, e qualquer empresa que deseje participar precisa compreender profundamente suas obrigacoes regulatorias.

Segundo dados do Banco Central do Brasil (BCB), o Open Finance ja conta com mais de 800 instituicoes participantes e processa mais de 2 bilhoes de chamadas de API por semana (dados de fevereiro de 2025). Para fintechs, entender o que e obrigatorio, o que e voluntario e o que esta por vir e uma questao de posicionamento estrategico.

Estrutura regulatoria do Open Finance Brasil

O arcabouco regulatorio do Open Finance e definido por uma combinacao de normas do BCB, resolucoes conjuntas e especificacoes tecnicas da estrutura de governanca. As principais normas sao:

Resolucao Conjunta BCB/CMN 1/2020

Esta e a norma fundadora do Open Finance no Brasil. Ela estabelece:

  • Definicao de Open Finance: compartilhamento padronizado de dados e servicos entre instituicoes autorizadas, mediante consentimento do cliente
  • Participacao obrigatoria: instituicoes dos segmentos S1 e S2 do BCB (grandes bancos e conglomerados financeiros)
  • Participacao voluntaria: demais instituicoes autorizadas, incluindo fintechs, IPs e SCDs
  • Estrutura de governanca: criacao de uma entidade responsavel pelos padroes tecnicos e operacionais
  • Principios de protecao de dados: alinhamento com a LGPD, com consentimento especifico, informado e revogavel

Resolucao BCB 32/2020 e atualizacoes

Complementando a resolucao conjunta, a Resolucao BCB 32 e suas sucessoras detalham os aspectos operacionais:

  • Escopos de dados: fase 1 (dados abertos de produtos e servicos), fase 2 (dados cadastrais e transacionais), fase 3 (pagamentos via Pix e TED), fase 4 (seguros, investimentos, previdencia, cambio)
  • APIs padronizadas: especificacoes tecnicas para cada escopo de dados
  • Certificacao de seguranca: padroes FAPI (Financial-grade API) obrigatorios
  • SLAs: niveis de servico minimos para disponibilidade e tempo de resposta das APIs

Quem deve participar: participacao obrigatoria vs. voluntaria

Uma das duvidas mais frequentes de fintechs e: “Sou obrigado a participar do Open Finance?”. A resposta depende do porte e da categoria da instituicao.

Participacao obrigatoria

Sao obrigadas a participar como transmissoras e receptoras de dados:

  • Instituicoes financeiras dos segmentos S1 e S2 do BCB (patrimonio de referencia superior a 1% e 10% do PIB, respectivamente)
  • Instituicoes de pagamento com mais de 5 milhoes de contas ativas
  • Administradoras de consorcio e sociedades de capitalizacao dos segmentos S1 e S2

Na pratica, isso abrange os grandes bancos (Itau, Bradesco, Banco do Brasil, Santander, Caixa) e as maiores fintechs de pagamento do pais.

Participacao voluntaria

Fintechs menores, SCDs, SEPs e instituicoes de pagamento abaixo do limite de contas podem participar voluntariamente, escolhendo entre dois papeis:

  • Receptora de dados (iniciadora): recebe dados de clientes de outras instituicoes, mediante consentimento, para oferecer servicos personalizados. E o papel mais procurado por fintechs
  • Transmissora de dados: compartilha dados de seus proprios clientes com outras instituicoes autorizadas. Exige maior maturidade tecnica e regulatoria

Segundo o BCB, ate 2025, mais de 200 instituicoes de menor porte aderiram voluntariamente ao Open Finance, a maioria como receptoras de dados.

Obrigacoes tecnicas: o que e exigido para participar

Participar do Open Finance nao e apenas uma decisao de negocios — e um compromisso tecnico e operacional significativo. As principais exigencias sao:

Certificacao de seguranca (FAPI)

Todas as instituicoes participantes devem implementar o perfil Financial-grade API (FAPI), que e o padrao de seguranca mais rigoroso para APIs financeiras. Isso inclui:

  • OAuth 2.0 com PKCE: protocolo de autorizacao com protecao contra interceptacao
  • Mutual TLS (mTLS): autenticacao mutua entre cliente e servidor
  • JWT assinado: tokens com assinatura criptografica para garantir integridade
  • Certificados ICP-Brasil: uso obrigatorio de certificados digitais emitidos pela infraestrutura de chaves publicas brasileira

O custo medio de implementacao FAPI para uma fintech de medio porte e estimado entre R$ 150 mil e R$ 500 mil, dependendo da maturidade tecnologica previa.

APIs padronizadas e versionamento

O Open Finance Brasil define especificacoes tecnicas detalhadas para cada API, incluindo:

  • Swagger/OpenAPI 3.0: todas as APIs devem seguir as especificacoes publicadas pela governanca
  • Versionamento: suporte obrigatorio a versoes anteriores por periodo minimo de 6 meses
  • Rate limiting: limites de requisicoes por segundo (TPS) definidos por escopo
  • Idempotencia: mecanismos para evitar processamento duplicado em iniciacao de pagamentos

Disponibilidade e performance (SLAs)

Os SLAs exigidos pelo Open Finance sao rigorosos:

  • Disponibilidade minima: 95% para APIs de dados, 99,5% para APIs de pagamento
  • Tempo de resposta: P95 inferior a 1.500ms para dados cadastrais e 1.000ms para iniciacao de pagamento
  • Monitoramento: dashboards publicos de performance acessiveis a qualquer participante
  • Incidentes: comunicacao obrigatoria a governanca e ao BCB em ate 2 horas para indisponibilidades criticas

Obrigacoes de consentimento e protecao de dados

O consentimento e o pilar central do Open Finance, e as obrigacoes nessa area sao extensas:

Requisitos do consentimento

  • Especifico: o cliente deve autorizar exatamente quais dados serao compartilhados e com quem
  • Informado: linguagem clara e acessivel, sem jargao tecnico ou juridico
  • Revogavel: o cliente pode revogar o consentimento a qualquer momento, por qualquer canal
  • Temporario: consentimentos tem prazo maximo de 12 meses, renovaveis
  • Granular: o cliente pode autorizar acesso a categorias especificas de dados (saldo, transacoes, dados cadastrais) de forma independente

Gestao do consentimento

Instituicoes participantes devem manter:

  • Painel de consentimentos: interface para o cliente visualizar, gerenciar e revogar consentimentos ativos
  • Logs de acesso: registro completo de cada acesso a dados realizado com base em cada consentimento
  • Notificacoes: alertas ao cliente sobre novos acessos e renovacoes de consentimento
  • Prazo de exclusao: dados devem ser eliminados em ate 7 dias apos revogacao do consentimento

A ANPD (Autoridade Nacional de Protecao de Dados) tem atuado em conjunto com o BCB nessa area, e ja aplicou advertencias a instituicoes que nao cumpriam adequadamente as regras de consentimento do Open Finance.

Obrigacoes de reporte e governanca

Alem dos requisitos tecnicos, participantes do Open Finance tem obrigacoes de governanca e reporte:

  • Registro no diretorio: cadastro obrigatorio no Diretorio de Participantes, com dados atualizados sobre APIs, certificados e contatos tecnicos
  • Reporte de metricas: envio periodico de dados de disponibilidade, performance e volumes ao BCB
  • Participacao em foros: engajamento nos grupos de trabalho tecnicos da governanca
  • Plano de contingencia: documentacao de procedimentos para cenarios de falha e indisponibilidade
  • Auditorias: revisoes periodicas por auditoria independente, com relatorios submetidos ao BCB

Penalidades por descumprimento

O BCB tem poder sancionatorio sobre participantes do Open Finance. As penalidades incluem:

  • Advertencias e multas de ate R$ 250 mil por infracoes de SLA
  • Suspensao temporaria do acesso ao diretorio
  • Exclusao do ecossistema em casos de reincidencia grave
  • Responsabilizacao por danos causados a clientes por falhas de seguranca ou uso indevido de dados

O futuro: Open Finance 2.0 e novas obrigacoes

O BCB ja sinalizou a evolucao do Open Finance para novas fronteiras, o que trara obrigacoes adicionais:

  • Open Insurance integrado: dados de seguros ja fazem parte do escopo, e a SUSEP esta alinhando regulacoes
  • Open Investment: compartilhamento de dados de investimentos entre plataformas
  • Integracao com Drex: o Real Digital podera utilizar a infraestrutura do Open Finance para smart contracts e liquidacao programavel
  • Portabilidade de credito aprimorada: transferencia completa de historico de credito entre instituicoes
  • Iniciacao de pagamento expandida: novos meios alem do Pix, incluindo boleto e debito em conta

A McKinsey projeta que o Open Finance brasileiro pode gerar ate R$ 35 bilhoes em valor economico anual ate 2028, distribuidos entre ganhos de eficiencia, novos produtos e reducao de custos de distribuicao.

Conclusao: participar do Open Finance e investir no futuro

As obrigacoes regulatorias do Open Finance sao complexas, mas proporcionais a oportunidade. Para fintechs, participar desse ecossistema significa ter acesso a dados enriquecidos, canais de distribuicao ampliados e capacidade de oferecer experiencias financeiras verdadeiramente personalizadas.

O caminho mais eficiente para atender a essas obrigacoes e operar sobre uma infraestrutura que ja esta conectada ao Open Finance, com APIs certificadas, consentimento gerenciado e compliance regulatorio integrado.

Conheca as solucoes CSB Fintechs e descubra como participar do Open Finance com infraestrutura pronta, APIs certificadas e conformidade regulatoria de ponta a ponta — sem precisar construir tudo do zero.

Conheça a solução completa: crieseubanco.com.br | csbfin.tech