APIs de Banco Aberto

O que é um API bancário aberto e como ele funciona?

As APIs do Open Banking estão a mudar de banco. A iniciativa Open Banking está permitindo que os clientes bancários compartilhem suas informações de conta com segurança com Provedores Terceirizados (TPPs). Isto é realizado através de APIs (Application Programming Interfaces) que permitem aos programas TPP comunicarem com as aplicações dos bancos. O objetivo é promover a inovação na banca digital e acelerar o desenvolvimento de novas aplicações financeiras e melhores serviços para empresas e consumidores.

O Open Banking foi iniciado em 2018 pela Autoridade da Concorrência e Mercados (CMA) do Reino Unido, que orientou os bancos a abrirem as suas aplicações aos TPPs. Nesse mesmo ano, a atualização da União Européia da Diretiva de Serviços de Pagamento (PSD2) teve o mesmo objetivo, ao mesmo tempo em que mandatou novos regulamentos de segurança para acesso a contas de pagamento e transações financeiras.

Um uso típico de uma API de Banco Aberto é agregar dados de diferentes contas bancárias em uma única visualização, fornecida por uma aplicação TPP. Existem dois tipos de TPPs. Os Provedores de Serviços de Iniciação de Pagamento (PISPs) conectam-se à conta bancária de um cliente e iniciam pagamentos em nome do cliente. Os Provedores de Serviços de Informação de Conta (AISPs) conectam-se à conta bancária de um cliente para fornecer um serviço financeiro, como a gestão de dinheiro.

Benefícios de APIs de bancos abertos

Uma vez que um dos resultados a longo prazo do Open Banking será o aumento da concorrência, os bancos estabelecidos têm sido relutantes em abraçá-lo. Historicamente eles têm estado em concorrência com empresas fintech para fornecer aos seus clientes melhores serviços financeiros. Mas o Open Banking realmente oferece aos bancos a oportunidade de explorar novos modelos de negócio onde eles colaboram e fazem parcerias com fintechs emergentes e outros bancos, em vez de tentarem competir com eles. E os clientes acabam se beneficiando, pois o Open Banking lhes dá maior controle sobre seus dados transacionais.

É uma situação vantajosa tanto para a experiência do cliente bancário como para as instituições financeiras. O cliente tem melhor acesso e controlo das suas contas e finanças, e pode tirar partido de novas funcionalidades e serviços. As instituições financeiras podem oferecer melhores serviços aos seus clientes e participar de um ecossistema de partilha de receitas. De acordo com um artigo da Insider Intelligence intitulado How open banking and bank APIs are boosting fintech growth, a empresa de pesquisa "projeta o potencial de receita no Reino Unido gerado através do Open Banking-enabled pequenas e médias empresas (SMBs) e propostas de clientes de varejo para atingir US$ 2 bilhões até 2024".

Os bancos, e portanto seus clientes, podem ser os grandes vencedores ao usar Open Banking APIs para abrir suas aplicações para fintechs. Alguns benefícios incluem:

  • Inovação mais rápida: A Fintechs tipicamente pode inovar e desenvolver novas aplicações e funcionalidades mais rapidamente do que as equipes de TI do banco.
  • Aumento de receita: A Fintechs está melhor posicionada para assumir e entregar projetos de construção de tecnologia.
  • Informações detalhadas sobre os clientes: A Fintechs pode se conectar com os dados dos clientes dos bancos para fornecer as tendências e padrões financeiros dos clientes.
  • Ofertas personalizadas: Usando as tendências e padrões financeiros dos clientes, a fintechs pode melhorar o envolvimento dos clientes oferecendo serviços e recomendações personalizadas.

Exemplos de bancos que utilizam APIs de bancos abertos

Em toda a indústria financeira, alguns dos maiores e mais conhecidos bancos, instituições financeiras, financiadores e startups da Fintech já estão usando APIs de Open Banking para oferecer produtos e serviços financeiros melhorados. Aqui estão alguns exemplos:

  • O2 Banking da Telefonica Deutschland: A Telefonica Deutschland lançou uma conta bancária exclusivamente móvel que oferece transações via número de celular, pequenos empréstimos instantâneos e melhores planos de dados móveis, construída sobre a plataforma do banco alemão Fidor.
  • Wave Integração da Informação Financeira do Cliente: Software de facturação e contabilidade A Wave utiliza APIs bancárias para se ligar à conta bancária de um utilizador, permitindo aos seus clientes o controlo total das suas finanças empresariais num só local.

Iniciativas bancárias abertas

Existem duas categorias principais de impulsionadores de iniciativas do Open Bank em todo o mundo: iniciativas impulsionadas pelo mercado e iniciativas regulatórias.

Em ambientes movidos pelo mercado, como nos Estados Unidos e em alguns países asiáticos, incluindo Japão, Singapura, Índia e Coreia do Sul, os reguladores estão a deixar aos intervenientes - bancos e TPPs - a iniciativa de implementar as APIs do Open Banking. Muitos grandes bancos nos EUA iniciaram suas próprias iniciativas e estão trabalhando com TPPs. Nos EUA, por exemplo, o Open Banking ainda se baseia, em grande parte, na raspagem de telas, onde a fintechs coleta informações de clientes a partir de dados exibidos na exibição do aplicativo bancário, mas espera-se que o setor faça a transição para APIs mais seguras e confiáveis.

Open Banking APIs United States podcast
PODCAST

State of Open Banking in United States podcast

In this podcast, writer and lecturer Jason Pereira interviews Frederik Mennes to discuss the state of Open Banking in the United States.

Listen Now


Em ambientes regulatórios, como no Reino Unido e na Europa, as iniciativas têm sido impulsionadas principalmente pelo PSD2. Hong Kong também adotou a abordagem regulatória e permite que as instituições financeiras escolham com qual TPPS colaboram.

Outra coisa digna de nota é a abordagem do Open Banking na Austrália. Esta pode ser a abordagem mais ambiciosa e inovadora ao Open Banking até agora. A Austrália está na verdade indo além do Open Banking e propondo uma economia de dados abertos, onde os cidadãos australianos podem não só solicitar às instituições bancárias de varejo que permitam o compartilhamento de dados com terceiros fornecedores, mas também com outras empresas como fornecedores de energia ou empresas de telecomunicações, por exemplo.

Riscos de segurança com APIs de bancos abertos

A abertura de aplicações bancárias às TPPs vem com riscos que precisam de ser abordados. A prevenção de fraudes deve ser uma prioridade máxima para todas as partes. Frederik Mennes, chefe do Centro de Competência de Segurança da OneSpan, divide esses riscos em três tipos.

  1. Em primeiro lugar, as instituições financeiras estão abrindo seus sistemas e compartilhando dados dos consumidores com as TPPs. Portanto, cabe à instituição financeira assegurar que eles trabalhem apenas com PTEs confiáveis. Eles não podem permitir que uma TPP maliciosa ou não autorizada tenha acesso aos seus dados.
  2. Em segundo lugar, os usuários das aplicações fornecidas pelos TPPs devem ser devidamente autenticados para evitar o acesso não autorizado quando acessam uma conta no banco. Isto pode exigir autenticação adicional, como a Strong Customer Authentication (SCA).
  3. Em terceiro lugar, a infra-estrutura de TI do banco contém agora essencialmente a infra-estrutura de TI da TPP. Portanto, se o TPP sofrer uma quebra de dados ou for comprometido de outra forma, o banco também pode ser impactado.

Como proteger os bancos contra ameaças à segurança

O primeiro risco descrito acima envolve a tentativa de acesso às contas do banco por parte de TPPs não autorizados. Para proteger contra acessos não autorizados deste tipo, os bancos podem exigir que o TPP assine digitalmente todos os pedidos. As TPPs teriam um par de chaves públicas/privadas com um certificado correspondente emitido por uma autoridade certificadora de confiança. Isto permitirá que os TPPs se autentiquem quando se comunicam através de interfaces bancárias abertas.

Para enfrentar os riscos de usuários não autorizados que acessam as contas do banco, os bancos devem usar uma forte autenticação do cliente e monitoramento das transações, conforme orientado no PSD2. Entre outras especificações, o PSD2 determina a autenticação da transação pela qual o nível de autenticação necessário para processar uma solicitação depende do nível de risco da transação a ser solicitada. Por exemplo, após o login no banco online, uma solicitação de um cliente para verificar seu saldo pode ser processada sem problemas, mas uma solicitação de transferência de fundos pode solicitar ao usuário uma autenticação mais forte.

O PSD2 e as Normas Técnicas de Regulamentação (RTS) associadas determinam que o monitoramento de fraudes deve ser feito e que a Strong Customer Authentication (SCA) se aplica para a maioria dos pagamentos online, incluindo aqueles que ocorrem através das APIs do Open Banking. O SCA tem de ser aplicado ao acesso à informação da conta de pagamento e a cada início de pagamento, incluindo transacções via Open banking , a menos que se aplique uma isenção ao abrigo do RTS. As isenções não são obrigatórias, mas os bancos podem beneficiar delas se assim o decidirem.

No contexto dos programas de análise de fraude Open Banking, soluções como a OneSpan Risk Analytics suportam o monitoramento de eventos provenientes de um TPP operando um ou vários serviços Open Banking através de APIs de Open Banking publicadas pelo banco. A OneSpan Risk Analytics oferece cenários de regras pré-construídas que abrangem requisitos de monitoramento de fraudes PSD2, lógica de negócios e cenários de fraude típicos. Estas regras apoiam os canais bancários digitais, incluindo o Open Banking.

As APIs abertas requeridas pelo PSD2 levarão a novos e inovadores serviços e aplicativos bancários. Ao mesmo tempo, contudo, os bancos precisam evitar que criminosos acessem os dados e as transações dos clientes. Os bancos e os fornecedores de serviços terceirizados devem, portanto, estar cientes dos riscos e oferecer proteção suficiente. Saiba mais neste blog: Open Banking APIs em PSD2: How to Mitigate Risk.

Autenticação forte de cliente

Para passar o SCA, o cliente deve autenticar-se com sucesso usando a autenticação multifactor (MFA). No contexto de pagamentos on-line sob PSD2, isso significa que o cliente deve fornecer dois dos três fatores de autenticação. Os três factores são:

  • Conhecimento: algo que o usuário sabe, por exemplo, sua senha, PIN, etc.
  • Posse: algo que o usuário tem, por exemplo, seu telefone celular, etc.
  • Inerência: algo que o utilizador é, por exemplo, a sua impressão digital, impressão da palma da mão, etc.

Existem três métodos para realizar a SCA:

  • Uma abordagem redireccionada com a aplicação web do banco
  • Uma abordagem integrada directamente através da aplicação TPP
  • Uma abordagem desacoplada com a aplicação móvel do dispositivo de confiança do banco

Na abordagem redireccionada os utilizadores são redireccionados para o site do seu banco para introduzir as credenciais de autenticação. Na abordagem integrada o processo de autenticação é totalmente automatizado com os usuários compartilhando suas credenciais com um TPP que autentica e inicia o pagamento em segundo plano. Com a abordagem desacoplada, o segundo fator é fornecido através de um dispositivo separado daquele que solicita a transação.

Sobre a abertura de financiamento

O Open Banking ainda é bastante novo para o setor bancário. Mas as organizações financeiras já estão a falar em levar isso para o próximo passo - Open Finance. As iniciativas de Open Banking aplicam-se principalmente às contas de pagamento.Agora é hora de aplicar o conceito a todas as contas para que os consumidores possam ter uma visão holística das suas finanças e dados financeiros pessoais. Não há razão para que os novos serviços, técnicas e benefícios do Open Banking não possam ser aplicados a outras contas financeiras, tais como hipotecas, investimentos, pensões e seguros.

 

Tyrrell, Darcy, Yodlee, "Open Banking APIs Explained," Junho de 2020, https://www.yodlee.com/open-banking/open-banking-api

Belmaker, Gidon, TearSheet, "7 Exemplos Mostrando o Poder das APIs Bancárias", Novembro 2016, https://tearsheet.co/artificial-intelligence/7-examples-showing-the-power-of-banking-apis/

Mennes, Frederik, OneSpan, "Security and Compliance in an Open Banking World, " https://www.onespan.com/resources/video-open-banking-security-considerations

Entre em contato conosco

Entre em contacto com um dos nossos especialistas em segurança para saber mais sobre como as nossas soluções podem ajudar nas suas necessidades de segurança digital

Fale Conosco