{"id":363,"date":"2026-03-02T09:00:00","date_gmt":"2026-03-02T12:00:00","guid":{"rendered":"https:\/\/csbfin.tech\/blog\/open-finance-obrigacoes-regulatorias\/"},"modified":"2026-04-05T11:26:32","modified_gmt":"2026-04-05T14:26:32","slug":"open-finance-obrigacoes-regulatorias","status":"publish","type":"post","link":"https:\/\/csbfin.tech\/blog\/open-finance-obrigacoes-regulatorias\/","title":{"rendered":"Open Finance: as obriga\u00e7\u00f5es regulat\u00f3rias para participantes"},"content":{"rendered":"<h2>Open Finance: as obrigacoes regulatorias para participantes<\/h2>\n\n<p>O Open Finance brasileiro e, sem exagero, o <strong>sistema de compartilhamento de dados financeiros mais ambicioso do planeta<\/strong>. Enquanto o Open Banking europeu (PSD2) se limitou a dados bancarios e pagamentos, o modelo brasileiro abrange seguros, investimentos, previdencia, cambio e credito &#8212; um escopo que nenhum outro pais alcancou. Mas essa ambicao vem acompanhada de um arcabouco regulatorio igualmente robusto, e qualquer empresa que deseje participar precisa compreender profundamente suas <strong>obrigacoes regulatorias<\/strong>.<\/p>\n\n<p>Segundo dados do Banco Central do Brasil (BCB), o Open Finance ja conta com mais de <strong>800 instituicoes participantes<\/strong> e processa mais de <strong>2 bilhoes de chamadas de API por semana<\/strong> (dados de fevereiro de 2025). Para fintechs, entender o que e obrigatorio, o que e voluntario e o que esta por vir e uma questao de posicionamento estrategico.<\/p>\n\n<h2>Estrutura regulatoria do Open Finance Brasil<\/h2>\n\n<p>O arcabouco regulatorio do Open Finance e definido por uma combinacao de normas do BCB, resolucoes conjuntas e especificacoes tecnicas da estrutura de governanca. As principais normas sao:<\/p>\n\n<h3>Resolucao Conjunta BCB\/CMN 1\/2020<\/h3>\n\n<p>Esta e a <strong>norma fundadora<\/strong> do Open Finance no Brasil. Ela estabelece:<\/p>\n\n<ul>\n<li><strong>Definicao de Open Finance:<\/strong> compartilhamento padronizado de dados e servicos entre instituicoes autorizadas, mediante consentimento do cliente<\/li>\n<li><strong>Participacao obrigatoria:<\/strong> instituicoes dos segmentos S1 e S2 do BCB (grandes bancos e conglomerados financeiros)<\/li>\n<li><strong>Participacao voluntaria:<\/strong> demais instituicoes autorizadas, incluindo fintechs, IPs e SCDs<\/li>\n<li><strong>Estrutura de governanca:<\/strong> criacao de uma entidade responsavel pelos padroes tecnicos e operacionais<\/li>\n<li><strong>Principios de protecao de dados:<\/strong> alinhamento com a LGPD, com consentimento especifico, informado e revogavel<\/li>\n<\/ul>\n\n<h3>Resolucao BCB 32\/2020 e atualizacoes<\/h3>\n\n<p>Complementando a resolucao conjunta, a Resolucao BCB 32 e suas sucessoras detalham os aspectos operacionais:<\/p>\n\n<ul>\n<li><strong>Escopos de dados:<\/strong> fase 1 (dados abertos de produtos e servicos), fase 2 (dados cadastrais e transacionais), fase 3 (pagamentos via Pix e TED), fase 4 (seguros, investimentos, previdencia, cambio)<\/li>\n<li><strong>APIs padronizadas:<\/strong> especificacoes tecnicas para cada escopo de dados<\/li>\n<li><strong>Certificacao de seguranca:<\/strong> padroes FAPI (Financial-grade API) obrigatorios<\/li>\n<li><strong>SLAs:<\/strong> niveis de servico minimos para disponibilidade e tempo de resposta das APIs<\/li>\n<\/ul>\n\n<h2>Quem deve participar: participacao obrigatoria vs. voluntaria<\/h2>\n\n<p>Uma das duvidas mais frequentes de fintechs e: <strong>&#8220;Sou obrigado a participar do Open Finance?&#8221;<\/strong>. A resposta depende do porte e da categoria da instituicao.<\/p>\n\n<h3>Participacao obrigatoria<\/h3>\n\n<p>Sao obrigadas a participar como <strong>transmissoras e receptoras de dados<\/strong>:<\/p>\n\n<ul>\n<li>Instituicoes financeiras dos <strong>segmentos S1 e S2<\/strong> do BCB (patrimonio de referencia superior a 1% e 10% do PIB, respectivamente)<\/li>\n<li>Instituicoes de pagamento com <strong>mais de 5 milhoes de contas ativas<\/strong><\/li>\n<li>Administradoras de consorcio e sociedades de capitalizacao dos segmentos S1 e S2<\/li>\n<\/ul>\n\n<p>Na pratica, isso abrange os grandes bancos (Itau, Bradesco, Banco do Brasil, Santander, Caixa) e as maiores fintechs de pagamento do pais.<\/p>\n\n<h3>Participacao voluntaria<\/h3>\n\n<p>Fintechs menores, SCDs, SEPs e instituicoes de pagamento abaixo do limite de contas podem participar <strong>voluntariamente<\/strong>, escolhendo entre dois papeis:<\/p>\n\n<ul>\n<li><strong>Receptora de dados (iniciadora):<\/strong> recebe dados de clientes de outras instituicoes, mediante consentimento, para oferecer servicos personalizados. E o papel mais procurado por fintechs<\/li>\n<li><strong>Transmissora de dados:<\/strong> compartilha dados de seus proprios clientes com outras instituicoes autorizadas. Exige maior maturidade tecnica e regulatoria<\/li>\n<\/ul>\n\n<p>Segundo o BCB, ate 2025, mais de <strong>200 instituicoes de menor porte<\/strong> aderiram voluntariamente ao Open Finance, a maioria como receptoras de dados.<\/p>\n\n<h2>Obrigacoes tecnicas: o que e exigido para participar<\/h2>\n\n<p>Participar do Open Finance nao e apenas uma decisao de negocios &#8212; e um <strong>compromisso tecnico e operacional<\/strong> significativo. As principais exigencias sao:<\/p>\n\n<h3>Certificacao de seguranca (FAPI)<\/h3>\n\n<p>Todas as instituicoes participantes devem implementar o perfil <strong>Financial-grade API (FAPI)<\/strong>, que e o padrao de seguranca mais rigoroso para APIs financeiras. Isso inclui:<\/p>\n\n<ul>\n<li><strong>OAuth 2.0 com PKCE:<\/strong> protocolo de autorizacao com protecao contra interceptacao<\/li>\n<li><strong>Mutual TLS (mTLS):<\/strong> autenticacao mutua entre cliente e servidor<\/li>\n<li><strong>JWT assinado:<\/strong> tokens com assinatura criptografica para garantir integridade<\/li>\n<li><strong>Certificados ICP-Brasil:<\/strong> uso obrigatorio de certificados digitais emitidos pela infraestrutura de chaves publicas brasileira<\/li>\n<\/ul>\n\n<p>O custo medio de implementacao FAPI para uma fintech de medio porte e estimado entre <strong>R$ 150 mil e R$ 500 mil<\/strong>, dependendo da maturidade tecnologica previa.<\/p>\n\n<h3>APIs padronizadas e versionamento<\/h3>\n\n<p>O Open Finance Brasil define especificacoes tecnicas detalhadas para cada API, incluindo:<\/p>\n\n<ul>\n<li><strong>Swagger\/OpenAPI 3.0:<\/strong> todas as APIs devem seguir as especificacoes publicadas pela governanca<\/li>\n<li><strong>Versionamento:<\/strong> suporte obrigatorio a versoes anteriores por periodo minimo de 6 meses<\/li>\n<li><strong>Rate limiting:<\/strong> limites de requisicoes por segundo (TPS) definidos por escopo<\/li>\n<li><strong>Idempotencia:<\/strong> mecanismos para evitar processamento duplicado em iniciacao de pagamentos<\/li>\n<\/ul>\n\n<h3>Disponibilidade e performance (SLAs)<\/h3>\n\n<p>Os SLAs exigidos pelo Open Finance sao rigorosos:<\/p>\n\n<ul>\n<li><strong>Disponibilidade minima:<\/strong> 95% para APIs de dados, 99,5% para APIs de pagamento<\/li>\n<li><strong>Tempo de resposta:<\/strong> P95 inferior a 1.500ms para dados cadastrais e 1.000ms para iniciacao de pagamento<\/li>\n<li><strong>Monitoramento:<\/strong> dashboards publicos de performance acessiveis a qualquer participante<\/li>\n<li><strong>Incidentes:<\/strong> comunicacao obrigatoria a governanca e ao BCB em ate 2 horas para indisponibilidades criticas<\/li>\n<\/ul>\n\n<h2>Obrigacoes de consentimento e protecao de dados<\/h2>\n\n<p>O consentimento e o <strong>pilar central<\/strong> do Open Finance, e as obrigacoes nessa area sao extensas:<\/p>\n\n<h3>Requisitos do consentimento<\/h3>\n\n<ul>\n<li><strong>Especifico:<\/strong> o cliente deve autorizar exatamente quais dados serao compartilhados e com quem<\/li>\n<li><strong>Informado:<\/strong> linguagem clara e acessivel, sem jargao tecnico ou juridico<\/li>\n<li><strong>Revogavel:<\/strong> o cliente pode revogar o consentimento a qualquer momento, por qualquer canal<\/li>\n<li><strong>Temporario:<\/strong> consentimentos tem prazo maximo de <strong>12 meses<\/strong>, renovaveis<\/li>\n<li><strong>Granular:<\/strong> o cliente pode autorizar acesso a categorias especificas de dados (saldo, transacoes, dados cadastrais) de forma independente<\/li>\n<\/ul>\n\n<h3>Gestao do consentimento<\/h3>\n\n<p>Instituicoes participantes devem manter:<\/p>\n\n<ul>\n<li><strong>Painel de consentimentos:<\/strong> interface para o cliente visualizar, gerenciar e revogar consentimentos ativos<\/li>\n<li><strong>Logs de acesso:<\/strong> registro completo de cada acesso a dados realizado com base em cada consentimento<\/li>\n<li><strong>Notificacoes:<\/strong> alertas ao cliente sobre novos acessos e renovacoes de consentimento<\/li>\n<li><strong>Prazo de exclusao:<\/strong> dados devem ser eliminados em ate <strong>7 dias<\/strong> apos revogacao do consentimento<\/li>\n<\/ul>\n\n<p>A ANPD (Autoridade Nacional de Protecao de Dados) tem atuado em conjunto com o BCB nessa area, e ja aplicou advertencias a instituicoes que nao cumpriam adequadamente as regras de consentimento do Open Finance.<\/p>\n\n<h2>Obrigacoes de reporte e governanca<\/h2>\n\n<p>Alem dos requisitos tecnicos, participantes do Open Finance tem obrigacoes de governanca e reporte:<\/p>\n\n<ul>\n<li><strong>Registro no diretorio:<\/strong> cadastro obrigatorio no Diretorio de Participantes, com dados atualizados sobre APIs, certificados e contatos tecnicos<\/li>\n<li><strong>Reporte de metricas:<\/strong> envio periodico de dados de disponibilidade, performance e volumes ao BCB<\/li>\n<li><strong>Participacao em foros:<\/strong> engajamento nos grupos de trabalho tecnicos da governanca<\/li>\n<li><strong>Plano de contingencia:<\/strong> documentacao de procedimentos para cenarios de falha e indisponibilidade<\/li>\n<li><strong>Auditorias:<\/strong> revisoes periodicas por auditoria independente, com relatorios submetidos ao BCB<\/li>\n<\/ul>\n\n<h3>Penalidades por descumprimento<\/h3>\n\n<p>O BCB tem poder sancionatorio sobre participantes do Open Finance. As penalidades incluem:<\/p>\n\n<ul>\n<li>Advertencias e multas de ate R$ 250 mil por infracoes de SLA<\/li>\n<li>Suspensao temporaria do acesso ao diretorio<\/li>\n<li>Exclusao do ecossistema em casos de reincidencia grave<\/li>\n<li>Responsabilizacao por danos causados a clientes por falhas de seguranca ou uso indevido de dados<\/li>\n<\/ul>\n\n<h2>O futuro: Open Finance 2.0 e novas obrigacoes<\/h2>\n\n<p>O BCB ja sinalizou a evolucao do Open Finance para novas fronteiras, o que trara obrigacoes adicionais:<\/p>\n\n<ul>\n<li><strong>Open Insurance integrado:<\/strong> dados de seguros ja fazem parte do escopo, e a SUSEP esta alinhando regulacoes<\/li>\n<li><strong>Open Investment:<\/strong> compartilhamento de dados de investimentos entre plataformas<\/li>\n<li><strong>Integracao com Drex:<\/strong> o Real Digital podera utilizar a infraestrutura do Open Finance para smart contracts e liquidacao programavel<\/li>\n<li><strong>Portabilidade de credito aprimorada:<\/strong> transferencia completa de historico de credito entre instituicoes<\/li>\n<li><strong>Iniciacao de pagamento expandida:<\/strong> novos meios alem do Pix, incluindo boleto e debito em conta<\/li>\n<\/ul>\n\n<p>A McKinsey projeta que o Open Finance brasileiro pode gerar ate <strong>R$ 35 bilhoes em valor economico anual<\/strong> ate 2028, distribuidos entre ganhos de eficiencia, novos produtos e reducao de custos de distribuicao.<\/p>\n\n<h2>Conclusao: participar do Open Finance e investir no futuro<\/h2>\n\n<p>As obrigacoes regulatorias do Open Finance sao complexas, mas proporcionais a oportunidade. Para fintechs, participar desse ecossistema significa ter acesso a <strong>dados enriquecidos, canais de distribuicao ampliados e capacidade de oferecer experiencias financeiras verdadeiramente personalizadas<\/strong>.<\/p>\n\n<p>O caminho mais eficiente para atender a essas obrigacoes e <strong>operar sobre uma infraestrutura que ja esta conectada ao Open Finance<\/strong>, com APIs certificadas, consentimento gerenciado e compliance regulatorio integrado.<\/p>\n\n<p><strong><a href=\"https:\/\/csbfin.tech\/baas\">Conheca as solucoes CSB Fintechs<\/a><\/strong> e descubra como participar do Open Finance com infraestrutura pronta, APIs certificadas e conformidade regulatoria de ponta a ponta &#8212; sem precisar construir tudo do zero.<\/p><p>Conhe\u00e7a a solu\u00e7\u00e3o completa: <a href=\"https:\/\/crieseubanco.com.br\" target=\"_blank\" rel=\"noopener\">crieseubanco.com.br<\/a> | <a href=\"https:\/\/csbfin.tech\">csbfin.tech<\/a><\/p>","protected":false},"excerpt":{"rendered":"<p>Open Finance: as obrigacoes regulatorias para participantes O Open Finance brasileiro e, sem exagero, o sistema de compartilhamento de dados financeiros mais&#8230;<\/p>\n","protected":false},"author":1,"featured_media":411,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[42],"tags":[],"class_list":["post-363","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-regulamentacao"],"_links":{"self":[{"href":"https:\/\/csbfin.tech\/blog\/wp-json\/wp\/v2\/posts\/363","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/csbfin.tech\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/csbfin.tech\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/csbfin.tech\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/csbfin.tech\/blog\/wp-json\/wp\/v2\/comments?post=363"}],"version-history":[{"count":0,"href":"https:\/\/csbfin.tech\/blog\/wp-json\/wp\/v2\/posts\/363\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/csbfin.tech\/blog\/wp-json\/wp\/v2\/media\/411"}],"wp:attachment":[{"href":"https:\/\/csbfin.tech\/blog\/wp-json\/wp\/v2\/media?parent=363"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/csbfin.tech\/blog\/wp-json\/wp\/v2\/categories?post=363"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/csbfin.tech\/blog\/wp-json\/wp\/v2\/tags?post=363"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}