Então você quer aumentar seu Neo-banco? Principais considerações regulamentares para bancos digitais

Michael Magrath, 28 de Agosto de 2020

Neobancos sem agências, apenas online (também conhecidos como bancos desafiadores ou bancos apenas digitais) são predominantes na Europa, América Latina e Ásia e estão ganhando força rapidamente nos EUA

Os neobancos normalmente oferecem aos clientes maior conveniência e experiências online superiores. Por exemplo, os clientes que abrem uma conta em um neobanco concluem o processo totalmente online por meio de um navegador da web ou por meio do aplicativo móvel do banco, sem a necessidade de assinar formulários em papel ou visitar uma agência bancária. Desde a pandemia, menos pessoas querem entrar em uma agência para abrir uma nova conta ou realizar transações financeiras, posicionando os neobancos para capturar os consumidores que procuram uma experiência totalmente móvel.

Os neobancos precisam continuar crescendo para ter sucesso. Para muitos, crescimento é sinônimo de expansão geográfica. Neste blog, cobrimos as regulamentações mais importantes para neobancos exclusivamente digitais para considerar se desejam crescer rapidamente e com sucesso.

Vá para uma das seções abaixo:

1 Regulamentações Conheça Seu Cliente (KYC) para Abertura Remota de Conta

Todos os bancos devem integrar os clientes em conformidade com os regulamentos relevantes do Know Your Customer (KYC). Esses regulamentos estipulam que os bancos devem verificar a identidade da pessoa que está abrindo uma nova conta, mesmo que esse usuário seja remoto e não esteja fisicamente presente em uma agência. Uma vez que os neobancos dependem da abertura de conta móvel e online, é especialmente importante certificar-se de que eles estejam em conformidade com os regulamentos que cobrem a verificação de identidade digital.

Nos EUA, o Ato de crescimento econômico, alívio regulatório e proteção ao consumidor tornou-se lei em maio de 2019. Na seção 213, o MOBILE Act (Tornando a Iniciação Bancária Online Legal e Fácil) permite que as instituições financeiras integrem digitalmente novos clientes a partir de uma digitalização da carteira de motorista ou do cartão de identificação pessoal. Essa modalidade de abertura digital remota de contas reduz custos para os bancos e aprimora a experiência do cliente desde o início do relacionamento, obedecendo às diretrizes de distanciamento social. O USA PATRIOT Act de 2001 impõe KYC para todos os EUA bancos. Incluído nesta lei está a exigência de um Programa de Identificação de Cliente (CIP), que obriga as instituições financeiras a verificar a identidade de indivíduos antes de permitir que conduzam transações financeiras.

No Canadá, o Centro de Análise de Transações Financeiras e Relatórios do Canadá (FINTRAC) publicou um artigo intitulado Métodos para verificar a identidade de um indivíduo e confirmar a existência de uma empresa ou entidade que não seja uma empresa . Estipula que, quando um indivíduo não está fisicamente presente, as instituições financeiras podem usar a abertura de conta digital e tecnologia de verificação de identidade para permitir que esse indivíduo abra uma conta bancária - desde que o banco use uma solução que possa avaliar a autenticidade do documento de identidade do requerente e verificar que o indivíduo que tenta abrir a conta é a pessoa no documento de identidade.

No Reino Unido, o Regulamentações sobre lavagem de dinheiro, financiamento do terrorismo e transferência de fundos (informações sobre o pagador) de 2017 exige que as instituições financeiras realizem medidas rigorosas de verificação da identidade do cliente. Durante os primeiros meses da pandemia COVID-19, a Financial Conduct Authority (FCA) do Reino Unido disse foi “preparado para relaxar as regras sobre as empresas de serviços financeiros que aceitam 'selfies' de fotos do telefone do cliente para verificar sua identidade, como uma das várias medidas para aliviar o fardo durante o bloqueio do Coronavirus”.

Em março de 2020, o Força-tarefa de ação financeira (composto por 39 países que representam a maioria dos principais centros financeiros em todo o mundo) publicado posteriormente Orientação de identidade digital . Incluído na orientação estão detalhes sobre a melhor maneira de aplicar a devida diligência do cliente aos processos de abertura de conta digital usando verificação de identidade digital como parte da integração do cliente. De acordo com o FATF, “a identificação digital confiável pode tornar mais fácil, barato e seguro identificar indivíduos no setor financeiro.  Ele também pode ajudar com os requisitos de monitoramento de transações e minimizar os pontos fracos nas medidas de controle humano. ” A orientação do FATF é o modelo que os bancos digitais devem seguir para o “On-boarding não face a face”.

Para atender a esses requisitos, alguns bancos integraram verificação automática de documento de identidade com comparação facial para verificar digitalmente a identidade de um cliente em potencial. É aqui que o cliente seria solicitado a usar seu telefone para digitalizar seu documento de identidade emitido pelo governo (normalmente uma carteira de motorista, passaporte ou carteira de identidade). A digitalização do documento de identificação é então analisada usando algoritmos de autenticidade e aprendizado de máquina para verificar se é genuíno.

Depois que o documento de identidade é verificado, a foto no documento é comparada com a foto de selfie usando a tecnologia de comparação facial. Se uma correspondência for identificada e ambos forem considerados genuínos, o requerente pode prosseguir com o processo de abertura de conta bancária remota. Os reguladores definem isso como "On-boarding não face a face" e oferece uma variedade de benefícios para o cliente e o banco, incluindo conveniência do usuário, redução de custos operacionais e capacidade de integrar clientes em conformidade com os requisitos de distanciamento social .

2) Regulamentações de segurança online e autenticação baseada em risco

Como os bancos tradicionais, os neobancos devem integrar e manter sistemas robustos de antifraude e segurança digital online. Isso inclui segurança de back-end, proteção de sistemas de front-end, bem como conformidade e relatórios.

Além dos requisitos regulatórios, os neobancos têm outro forte motivador para proteger as contas de seus clientes - gerenciamento de reputação e percepção do consumidor. Enquanto 90% dos clientes neobanco nos EUA e 88% no Reino Unido dizem que estão satisfeitos com sua experiência neobanco, 61% dos consumidores dizem que confiam mais em um banco tradicional com seu dinheiro do que em um neobanco e 82% dizem que garantir a segurança das transações é uma preocupação crítica ao escolher um banco . Ao contrário de muitos bancos tradicionais, os neobancos devem conquistar a confiança dos consumidores e proteger rigorosamente seus clientes de todos os tipos de fraude - incluindo cavalos de Troia móveis e ataques, golpes de phishing e tentativas de controle de contas.   

Proteger contas de clientes contra fraude e acesso não autorizado também é uma das principais preocupações dos reguladores. Nos EUA, o regulador do Estado de Nova York, o Departamento de Serviços Financeiros de Nova York (NYDFS), impõe requisitos de segurança cibernética . Os requisitos incluem, entre outros, exigir que as instituições financeiras “usem controles eficazes, que podem incluir autenticação baseada em risco ou autenticação multifator, em um esforço para proteger informações não públicas ou sistemas de informação contra acesso não autorizado. ”    

Na UE, a Diretiva de Serviços de Pagamento 2 (PSD2) exige o uso de Autenticação forte do cliente para proteger pagamentos e transações contra fraude. O PSD2 garante que os conceitos de autenticação avançados, como vínculo dinâmico, vinculação de dispositivo para aplicativos móveis, proteção de aplicativos móveis e análise de risco de transação se tornem ferramentas de segurança padrão em serviços financeiros. Iniciativas semelhantes ao PSD2 se estenderam além do bloco como Bahrein e Peru também abraçaram a abordagem da UE.

Enquanto as instituições financeiras estão aproveitando a segurança, a redundância e os benefícios financeiros do armazenamento de dados em nuvem, os neobancos também devem levar em conta as leis locais de residência de dados e nuvem.   

3) Protegendo o Canal Móvel

Todos os bancos, mas especialmente os neobancos sem agências, devem implementar uma segurança robusta para o canal móvel, especialmente o próprio aplicativo móvel. Isso é crítico na esteira da pandemia global, que viu surgem ameaças móveis para bancos tradicionais, bancos desafiadores e FinTechs . Recentemente, o O FBI alertou os consumidores que um aumento no cavalo de Troia bancário baseado em aplicativos móveis a atividade era esperada como resultado de aumentos impulsionados pela pandemia na atividade de banco móvel.

Para muitos neobancos, o aplicativo móvel é o único ponto de contato do cliente disponível. O aplicativo móvel é o canal em que o cliente abre uma conta, acessa seu dinheiro, efetua pagamentos e transações, resolve questões de suporte e é informado sobre novos produtos. Com tanta coisa acontecendo no aplicativo, ele precisa ser excelente. Ele precisa oferecer uma experiência perfeita ao cliente e também precisa ser seguro. Se o aplicativo móvel cair devido a um ataque, todo o banco ficará inativo. Além de negar aos clientes o acesso ao seu dinheiro, uma interrupção do aplicativo pode prejudicar seriamente a confiança do consumidor. Manchetes negativas sobre violações de bancos desafiadores podem tornar ainda mais difícil persuadir os clientes a confiar seu dinheiro aos neobancos.

Além disso, como os aplicativos móveis são baixados para dispositivos móveis sobre os quais os desenvolvedores de aplicativos nos neobancos não têm controle, o status de segurança desses dispositivos não é confiável. Os neobancos devem, portanto, tomar medidas adicionais para garantir a segurança e integridade do aplicativo.

É imperativo que a instituição financeira faça o que for necessário para se armar com o conhecimento e a experiência para monitorar e proteger seus canais e os dados e transações de seus clientes de forma contínua, ao mesmo tempo que oferece a experiência do cliente. 

Para atender a esses requisitos, muitos bancos contam com fornecedores de soluções terceirizados confiáveis para implementar proteção de aplicativo móvel para eles. A blindagem de aplicativos protege aplicativos financeiros de dentro para fora. Ele permite que o aplicativo opere com segurança mesmo em ambientes potencialmente hostis, como dispositivos com jailbreak ou root - e apenas negue o serviço quando for absolutamente necessário.

Blindagem de Aplicativo Móvel
Relatório branco

Bloquear aplicativos móveis: como reduzir fraudes, economizar dinheiro e proteger receitas

Descubra como a proteção de aplicativos com proteção em tempo de execução é a chave para o desenvolvimento de um aplicativo de mobile banking seguro e resiliente.

Baixar Agora

 

4) Privacidade e proteção de dados

Dadas as violações amplamente divulgadas nos últimos anos e a venda e compartilhamento não autorizados de dados de consumidores por agregadores de dados, os neobancos devem proteger os dados de seus clientes contra violações e ataques. Além das multas, as violações e ataques de dados podem prejudicar significativamente a confiança do consumidor em bancos não tradicionais. As preocupações com a privacidade e a proteção de dados também podem impedir que os consumidores mudem para os neobancos.

No final de julho de 2020, Mark cubano apoiado Dave, a startup da FinTech, relatou um incidente de segurança resultando na exposição de informações pessoalmente identificáveis de milhões de seus usuários. Embora a FinTech tenha divulgado uma declaração de que nenhuma atividade fraudulenta ocorreu, a notícia da violação e a necessidade de notificar 7,5 milhões de clientes e redefinir todas as senhas dos clientes certamente afetarão a confiança do consumidor.  

Inúmeras leis e regulamentos de privacidade e proteção de dados foram promulgados em todo o mundo. Esses incluem:

  • Regulamento geral de proteção de dados da União Europeia (GDPR)
  • Lei de Privacidade do Consumidor da Califórnia dos EUA (CCPA)
  • Lei de proteção de dados da Tailândia (a conformidade entrou em vigor em 27 de maio de 2020)
  • Lei geral de proteção de dados do Brasil (a aplicação começa em 1º de agosto de 2021)

Mais regulamentos desse tipo estão chegando. Particularmente nos EUA, com outros estados implementando legislação semelhante à CCPA e o Congresso dos EUA tendo recentemente introduzido uma legislação federal.

5) Iniciativas de banco aberto

Nos últimos anos, muitas iniciativas de banco aberto foram implementadas em todo o mundo. O open banking permite que os provedores de serviços financeiros (TPPs) de terceiros acessem os dados do cliente (com o consentimento do cliente) de bancos ou instituições financeiras por meio do uso de interfaces de programação de aplicativos (APIs). O open banking visa criar melhores opções de serviços financeiros para os consumidores, permitindo que mais participantes entrem no mercado de serviços financeiros.

Os neobancos devem cumprir os requisitos exclusivos de cada regulador e devem estar cientes das iniciativas locais de banco aberto, reguladas e não regulamentadas, se estiverem buscando uma nova jurisdição. Os neobancos, sem as equipes de conformidade consideráveis de bancos maiores, devem buscar fornecedores e parceiros que possam demonstrar profundo conhecimento do assunto nessas iniciativas variadas e rápidas.

Embora o banco aberto tenha sido bem definido e adotado na UE (com as instituições financeiras obrigadas a seguir os regulamentos definidos pelo PSD2), Ásia-Pacífico, Hong Kong, Japão, Cingapura e Coréia do Sul também estão avançando em suas iniciativas de banco aberto. Na Austrália, a aprovação do Consumer Data Right (CDR) em fevereiro de 2020 serviu de catalisador para o open banking e, em 1 de julho de 2020, os “4 grandes” bancos australianos foram obrigados a compartilhar “dados de referência de produto com destinatários de dados credenciados”.

Na América do Norte, o Canadá tem realizado estudos aprofundados e renomeado “banco aberto” para “Finanças Direcionadas ao Consumidor”. Embora o governo do Canadá ainda não tenha aprovado o banco aberto, os estudos são promissores e o financiamento direcionado ao consumidor pode ser lançado mais cedo ou mais tarde.

Resumo

A miríade de requisitos regulamentares pode ser opressora para qualquer banco. Este artigo é de muito alto nível em termos de requisitos regulatórios enfrentados pelos neobancos e não tem a intenção de ser um roteiro para a conformidade. No entanto, ele destaca algumas das nuances que os neobancos enfrentam globalmente.

Os neobancos que buscam se expandir geograficamente enfrentam muitos desafios. Eles precisam persuadir os consumidores cautelosos de que podem manter seu dinheiro seguro; eles precisam persuadir os reguladores de que podem operar com segurança e conformidade; e eles precisam proteger seu valioso aplicativo móvel contra ataques e ocorrências crescentes de fraude. Eles precisam fazer tudo isso de uma maneira que não afete ou diminua a experiência online e no aplicativo superior que oferecem aos clientes.

Para fazer isso, os neobancos devem buscar tecnologias que possam ajudar a detectar e impedir fraudes e ataques, sem afetar a maneira como um cliente típico interage com seu aplicativo no dia a dia. Tecnologias como biometria comportamental, verificação de identidade digital e análise de risco baseada em aprendizado de máquina podem ajudar a atingir esse equilíbrio. É importante ressaltar que eles também devem buscar tecnologias que possam ajudá-los a lidar com regulamentações específicas, como os requisitos de autenticação forte do cliente e identidades digitais.

Se eles puderem fazer isso, as oportunidades de crescimento e expansão serão infinitas.

Michael Magrath é responsável por alinhar o roteiro de solução da OneSpan com padrões e requisitos regulatórios em todo o mundo. Ele é copresidente do Grupo de Trabalho de Implantação do Governo da FIDO Alliance e faz parte do Conselho de Diretores da Associação de Assinatura Eletrônica e Registros (ESRA).