Open Banking: Quando a desconfiança e o risco são partes centrais do negócio

O desafio de sincronizar a experiência do usuário com as exigências de segurança e formalidades de compliance já era um dado inadiável devido à nova magnitude digital, especialmente após a pandemia. Mas responder a este desafio se torna questão de vida ou morte para empresas médias e grandes na perspectiva de alguns meses, se levarmos em conta a eclosão mundial do Open Banking.

No caso específico do Brasil, o manual de segurança do Banco Central para o PIX, já em vigor, acompanha as determinações da diretiva europeia (PSD2), e acrescenta uma teia de mandamentos locais que são inerentes ao SPB (Sistema de Pagamentos Brasileiro). E ainda incorpora um vasto escopo regulatório dos direitos civis, penais e tributários, como as leis de lavagem de dinheiro, os direitos do consumidor imbricados no CPC, e mais recentemente, na LGPD.

Entre outros complicadores, o modelo especifica a implementação de um inicializador comum de transações compartilhando dados de terceiros. Sendo que cabe aos participantes institucionais garantir a privacidade e a soberania do cliente sobre estes conjuntos de dados. Estabelece também as normas de funcionamento do PSP (prestador de serviços de pagamento) e um emaranhado de regras de autenticação dos pagadores e recebedores (individuais ou PJ) e sua formas de interação com a instância comum de registro DICT (Diretório de Identidade de Contas Transacionais).

Para sorte de todos nós, a comunidade mundial de gerenciamento de identidade e acesso vem fortalecendo as metodologias de controle massivo e pervasivo de identidades em redes críticas (e agora todas as redes são críticas) através de instrumental da governança e da extensão das políticas de IAM para além dos limites da rede “interna”.

Com uma combinação de governança e abrangência de controles, o CIAM (Customer Identity and Access Management), integrado a uma rede com automação dos critérios de verdade, permite massificar a arquitetura de operação orientada para o risco. Ele traz para o atual legado estático das empresas a dinâmica de funcionamento exigida pelo ambiente multi-cloud e compatível com as imposições do PIX.

Uma das premissas desse esquema é que ele retira das costas do fragilíssimo usuário a responsabilidade pela parte substancial da segurança sistêmica, ao não mais entregar a ele a propriedade de uma senha decorada como fator quase soberano de autenticação. Ou a de simplesmente contar com a educação e confiabilidade do usuário para mitigar os riscos do Phishing e outras técnicas maliciosas.

Hoje, os marketplaces do crime oferecem ao hacker sênior, ou mesmo aos “scriptkids”, ferramentas de automação de ataques (o evilginX2 é só uma delas), permitindo a duplicação de URLs reais de bancos ou varejistas em uma camada Proxy. Não mais uma simulação, mas uma apropriação da interface com todos os indicadores de autenticidade e segurança para interagir com o usuário. A partir daí, basta capturar a digitação/navegação do cliente, absorver sua identidade e coletar todos os requisitos de autenticação da credencial, incluindo-se aí as senhas, tokens de acesso e tokens de sessão. Ao lado disto, estão sendo disseminadas novas estratégias personalizadas de Phishing baseadas em engenharia social (spear-phishing) e, mais recentemente, até com o uso de deepFake.

Além da implementação do CIAM, uma arquitetura “zero trust” e de baixo atrito para o Open Banking terá de contar com evoluções que vêm sendo adotadas por autoridades financeiras que já estão à frente do Brasil. Entre os requerimentos-chave não podem faltar as ferramentas de assinatura e acesso unificado (Autenticação, Federação, Single Sign On), cujo objetivo é facilitar ao máximo a abertura de uma sessão de acesso, gerando um nível de “confiança pontual monitorada” com base na combinação da senha única com a interpolação de múltiplos fatores físicos, lógicos, históricos e combinação com indicadores de contexto e autorização.

Os processos de autenticação mais eficazes nas implementações open banking mundo afora são os que governam os processos de credenciamento/descredenciamento e autenticação “just in time” levando em conta a verificação online dos dispositivos de consumo e dos dispositivos de autorização da instituição financeira. Bem como fazendo a checagem da natureza desta interação financeira (em escala de segundos em regime 24/7) e ainda garantindo as regras de compliance dessa indústria e o arcabouço legal/regulatório.

É o que acontece hoje em dia com o emprego do modelo de autenticação CIBA (Connect Client Initiated Backchannel Authentication). Ele verifica a integridade e autenticidade das credenciais de todas as partes e solicita ao cliente da transação a formalização de suas permissões de uso de dados pessoais e aceite da transação, documentando todo o processo. Uma garantia fundamental para o usuário, para o negócio financeiro e para instituições, inclusive no âmbito jurídico.

Este modelo de fluxo vem, em geral, associado a uma camada de gerenciamento de API de grau financeiro (FAPI), reconhecida pela autoridade financeira e compreendendo os protocolos de segurança e privacidade para acesso dos aplicativos a dados de operações de pagamento ou transferência de fundos.

A organização e governança de bilhões de transações /dia envolvendo valores financeiros e diversas classes de agentes que o Open Banking introduz, necessita encontrar caminhos de evolução que possibilitem sua implementação sem apagar o legado e sem gerar atrasos de time to market. Suas exigências de mudanças terão de ser atendidas “a quente”, sem perturbar o dia a dia da economia global e tendo de trazer a reboque uma eficiência bancária que no Brasil e, provavelmente em todo o mundo, lastreia-se em tecnologias altamente fechadas e conservadoras.

Será emocionante assistir de que forma os bancos, o varejo, as autoridades financeiras e as cadeias de suprimento irão se comportar nesses próximos meses em que se avizinha o prazo final do Bacen para a plena operação do Open Banking.