Há diferentes tipos de empresas aptas a prestar serviço de Iniciador de Transação de Pagamento (ITP) no Open Finance. Muitas delas pertencem a grandes conglomerados financeiros e outras não têm conta corrente — somente iniciam pagamentos. Há ainda as que não executam muitas transações de pagamento, mas agregam dados. Este terceiro grupo vem chamando a atenção do mercado – principalmente, as maiores instituições financeiras – uma vez que capturam o consentimento de dados em uma jornada de pagamentos. Com a expansão do Open Finance, a figura do agregador de dados ganhou notoriedade e emergiu a discussão sobre suas credenciais.
“Quando você faz uma jornada em uma ITP de banco, ele é detentor de conta. São instituições que agregam e custodiam dados, têm padrões de segurança e requisitos regulatórios que estão muito bem definidos e lidam com dados há muito tempo. O ITP puro só captura o consentimento para uma transação de pagamento e ele não vai agregar o seu dado e nem ficar consultando a sua informação. O ponto de atenção aqui é no ITP agregador, que é, inclusive, uma conexão dos dados do Open Finance para fora do ecossistema”, explica Ana Carla Abrão, CEO da Associação Open Finance, responsável pela estrutura definitiva de governança do Open Finance Brasil.
Esse tipo de ITP, normalmente, oferece serviços que dependem do uso de dados que estão no ambiente financeiro aberto para, por exemplo, construir score de crédito ou modelos de estimativa de renda. Ou seja, operações que são executadas há muitos anos, mas usando outros métodos.
Cenário
“Depois que criaram a figura do iniciador de transação de pagamento surgiu a ideia dos agregadores. Essa atividade se expandiu com a Jornada Sem Redirecionamento (JSR). Antes havia muita fricção e o Banco Central mudou a regulamentação. Agora, com alguns limites e governança, ele permite pegar um único consentimento e fazer direto essa jornada”, diz Thiago do Amaral Santos, sócio do escritório Barcellos Tucunduva Advogados (BTLaw) e professor da FGV e do Insper.
Colocando em perspectiva, atualmente, em torno de 25% dos consentimentos no Open Finance vêm de ITPs. No entanto, do ponto de vista do consumo de informação, apenas 4% do volume de consultas é oriundo de ITPs agregadoras, conforme dados do Open Finance Brasil.
Para Gustavo Lino, diretor-executivo da Associação dos Iniciadores de Transação de Pagamento (Init), o questionamento sobre a agregação de dados resume-se a uma pauta concorrencial. “São os bancos preocupados com concorrência, o que não é novidade dentro do Open Finance. A figura regulatória do ITP é robusta e segue os mesmos requisitos de gerenciamento de risco, de compliance e de segurança que qualquer outra Instituição de Pagamento”, sentencia ele.
Modelo europeu vs brasileiro
Os ITPs nasceram junto com o Open Finance para viabilizar serviço de iniciação de pagamento por meio das APIs. Por participar do ecossistema financeiro aberto, podem fazer agregação de dados. É diferente do modelo europeu que tem dois tipos de instituições. Lá, existem o payment initiator service provider (PISP), que virou o nosso ITP, e o AISP, o account information service provider. Essa segunda é uma licença que não existe no Brasil porque o Banco Central (BC) entendeu que não tem competência para criar esse tipo de instituição.
API é a sigla em inglês para Interface de Programação de Aplicação. Na prática, é um conjunto de regras e protocolos que permite que diferentes softwares e sistemas se comuniquem e interajam entre si.
Não há nada de ilegal no fato de ITPs agregarem dados. Raphael Salomão, sócio da área financeira do Pinheiro Neto Advogados, explica que o modelo é legítimo, mas que pode passar por alguns aprimoramentos.
“O grande ponto é o titular dos dados, que é o cliente, e não o banco. E a LGPD [Lei Geral de Proteção de Dados] deixou, em 2018, muito claro o princípio da autodeterminação do titular do dado. Ou ele, ele pode fazer o que quiser com esse dado”, diz o advogado.
Ana Carla, da Associação Open Finance, explica que, ainda que no ambiente Open Finance um dos critérios seja que uma ITP não pode conectar duas instituições financeiras — por exemplo, uma que integra o sistema aberto e outra que não —, a regulamentação da LGPD é omissa em relação a isso. A lei diz que o cliente pode pegar as informações dele e entregar para uma outra instituição financeira. Ou seja, desde que o cliente tenha dado o consentimento no âmbito da LGPD e no ecossistema do Open Finance, o ITP não está fazendo nada errado.
Transparência
No entanto, o detentor do dado precisa ter a clareza e compreensão do que será feito com as informações compartilhadas. “O cliente tem que entender que, na hora que ele vai fazer um pagamento de uma compra de passagem aérea, por exemplo, e adere ao Open Finance para fazer um antifraude, ele também está dando o consentimento para que aquele ITP que faz essa conexão utilize aqueles dados para tratar e ‘vender’ um score de crédito ou outros produtos a partir daquelas informações que ele está consentindo na consulta”, detalha Ana Carla.
Quanto mais os modelos de negócios caminham na direção de jornadas em fricção, sem redirecionamento, assegurar a transparência para o cliente da existência do duplo consentimento torna-se ainda mais necessário. Trata-se de deixar claro se — e quando — a informação do titular estiver saindo de uma entidade regulada para uma instituição não regulada. Nesse sentido, o setor já debate formas de aprimorar e, eventualmente, disciplinar um pouco melhor a jornada e o duplo consentimento.
Segurança
Para além da transparência, as instituições que estão agregando dados necessitam atender aos requisitos de segurança. Isso significa ter controles de riscos operacional e cibernético que sejam compatíveis com as informações sensíveis às quais têm acesso. Esta é uma preocupação atual, já que qualquer instituição que participe do Open Finance pode fazer a agregação de dados. Então, a crítica que alguns atores do mercado fazem é que muitos modelos de negócios viram no ITP uma porta de entrada para o Open Finance, inclusive, para fins de agregação de dados.
“Legalmente e juridicamente é um modelo legítimo. Tem base na LGPD, base na lei do sigilo bancário e nas regras de Open Finance. Não se pode inviabilizar ou proibir que o titular dos dados faça o que ele quer com base na sua vontade”, ressalta Raphael, do Pinheiro Neto. O ponto de atenção é que muitas fintechs ITPs começaram a ser criadas só para fazer essa intermediação, para ser esse conector.
“Não dá para o ITP ser só agregação de dados, porque a agregação de dados é uma atividade acessória. Para pedir uma licença de ITP no Banco Central, você tem que apresentar uma justificativa fundamentada, um miniplano de negócios e justificar que vai fazer um serviço de pagamento. Então, normalmente, as instituições também operam iniciação de pagamentos e trazem a agregação como uma atividade complementar”, acrescenta o advogado.
Responsabilidades
E aí entra a preocupação do mercado com relação à cadeia de responsabilidade. “Acho que você incrementando o capital dos ITPs, presume-se que vão ter melhores controles para compartilhar a informação. Mas, se o cliente deu o consentimento e depois teve seu dado vazado na entidade não regulada, fica mais difícil para ele responsabilizar a instituição financeira”, aponta Raphael, chamando atenção para a questão de como fica a corresponsabilidade. “Eu acho que quanto mais claro deixar os papéis e as responsabilidades de cada um, você minimiza esse tipo de tese”, completa.
Leia também
Na mesma linha, Thiago, do BTLaw, diz que uma instituição autorizada é responsável pela proteção central. “Você pode penalizar instituições autorizadas. Elas são responsáveis por coletar o consentimento do usuário e utilizar esses dados para finalidade”, aponta. O advogado acrescenta que o contrato de parceria de ente autorizado para não-autorizado é extremamente regulado pela Resolução Conjunta nº 1 do Open Finance.
Pela norma, há uma série de obrigações. Por exemplo, verificar para que os dados serão usados e certificar se tem tecnologia suficiente para manter os dados protegidos. “Não se pode utilizar indevidamente os dados. E, se uma empresa não regulada utilizar indevidamente, quem é responsável perante o Banco Central é a instituição autorizada”, explica Thiago.
Ele reforça que qualquer instituição autorizada que participa do Open Finance pode fazer a agregação de dados, incluindo parcerias com terceiros, mas não pode vender os dados. “Tem a responsabilidade perante a LGPD, porque vai ser o operador dos dados; tem a responsabilidade civil. Então, se utilizar os dados indevidamente, pode ser processado. E os dados são protegidos por sigilo bancário”, ressalta o sócio do BTLaw.
Outro receio, principalmente, por parte dos bancos incumbentes, os maiores doadores de dados, é com relação a vazamentos de dados.
“Obviamente que, como qualquer atividade, você tem riscos e preocupações. A segurança é central. Mas já temos cinco anos de Open Finance e você não não vê notícias sobre golpes, fraudes em relação a pagamento ou vazamento de dados usando Open Finance”, destaca Gustavo, da Init.
Ele argumenta que, com transparência para o titular, segurança para garantir que os dados não são vazados ou compartilhados indevidamente e geração de valor para o usuário, é possível robustez e seguir em frente com o trabalho que os ITPs já vêm fazendo ao longo dos últimos anos. “Hoje, existem diversos setores da economia se beneficiando desse tipo de serviço. Com uma maior maturidade que pode vir a partir de novas normas do Banco Central, a gente imagina que isso vai ser ainda mais alavancado.”
O diretor da Init também refuta que exista venda de dados. “Ninguém nunca me mostrou um fluxo que em que isso estivesse acontecendo na prática. Caso isso aconteça, é indevido. O compartilhamento só pode ocorrer com o consentimento expresso do usuário”, frisa.
Princípio da reciprocidade
O debate da atuação dos ITPs que agregam dados inclui, ainda, o aspecto do princípio da reciprocidade que todos os participantes do sistema aberto têm de observar. Isso significa que, se uma instituição quer informações de clientes dela no Open Finance, ela também precisa entregar dados. Essa é uma das brechas que a Associação Open Finance quer fechar. “Existe hoje uma arbitragem regulatória por parte de algumas instituições que dizem: eu não vou entrar no Open Finance, porque, se eu entrar, tenho custos e tenho que cumprir o princípio de reciprocidade”, detalha Ana Carla.
Mas via ITPs é possível acessar informações dos clientes que deram consentimento — não há nada errado nisso —, sem ter de entregar informações deles para o ecossistema. “Queremos fechar isso, porque isso tem dois problemas. Um é que desincentiva a entrar no Open Finance se consegue informação de outra forma. E dois que a gente não tem o princípio de reciprocidade observado”, diz a CEO da Associação Open Finance. Ela acrescenta que a ideia é que todos entrem no ecossistema de finanças abertas para ter o princípio da reciprocidade e, assim, todos estejam em igualdade de condições de competição.
Sugestões
Diante da atuação de ITPs agregadores de dados, o Open Finance Brasil enviou ao BC um relatório com sugestões para evoluções regulatórias mirando esse conjunto de instituições de forma mais específica. A regulação do ITP cobre todas elas e não as considera de forma segmentada. Até porque, no início, nem todos os modelos de negócios foram vislumbrados.
“O Banco Central já fez um primeiro movimento de subir o capital regulatório em muitas empresas. De maneira geral, está trabalhando o tema também de ações regulatórias, olhando para esses agregadores e entendendo que não são um iniciador de transação de pagamento puro, não são o iniciador de transação de pagamento vinculado a um detector de conta. Então, como é que garante ajustar a regulação para dar conta desse segmento de ITPs”, diz Ana Carla.
O sócio do Pinheiro Neto Advogados concorda que o BC vem endereçando as preocupações. Exemplos incluem a mudança do capital mínimo para os serviços de uso intensivo em tecnologia, assim como deixar mais clara a regra da responsabilidade dos ITPs nas jornadas de dados via Open Finance.
Outra sugestão da Associação Open Finance é que haja um repositório reunindo todos os consentimentos que as pessoas deram. O objetivo é saber quem tem acesso aos dados delas e para quais finalidades. A sugestão, então, é que isso ocorra no Registrato, do BC.
Para Gustavo, da Init, poder-se-ia também aprimorar o modelo de consentimento. “Dentro do ambiente Open Finance, é totalmente padronizado. Eu acho que a linha que o Banco Central deve seguir para resolver esse problema de transparência é ter uma definição de um consentimento padrão para fora”, sugere. O executivo aponta que a chave para o sucesso é o usuário saber o que está sendo feito com o dado dele.
*Especial para o Finsiders Brasil
