Banco Central exige dados abertos na regulação do Open Finance

Saiu no Diário Oficial da União de hoje, seção 1, pág. 187, a Instrução Normativa BCB n.º 306, de 19 de setembro de 2022, que divulga a versão 4.0 do Manual de APIs do Open Finance.

É interessante observar que é exigido das instituições financeiras que algumas informações sejam ofertadas em APIs de dados abertos:

Tipo Nome Descrição
Dados Abertos Produtos e Serviços Deve dar acesso a dados abertos relacionados a produtos e serviços oferecidos pelos participantes do Open Finance.
Canais de Atendimento Deve dar acesso a dados abertos relacionados aos canais de atendimento ao público oferecidos pelos participantes do Open Finance.
Títulos de Capitalização Deve dar acesso a dados abertos relacionados aos títulos de capitalização oferecidos pelos participantes do Open Finance.
Investimentos Deve dar acesso a dados abertos relacionados aos fundos de investimento oferecidos pelos participantes do Open Finance.
Câmbio Deve dar acesso a dados abertos relacionados a câmbio oferecidos pelos participantes do Open Finance.
Credenciamento Deve dar acesso a dados abertos relacionados a credenciamento oferecidos pelos participantes do Open Finance.
Previdência Deve dar acesso a dados abertos relacionados a previdência oferecidos pelos participantes do Open Finance.
Seguros Deve dar acesso a dados abertos relacionados a seguros oferecidos pelos participantes do Open Finance.

A norma trata também da questão dos limites de tráfego por origem

5.1 Limites de tráfego

5.1.1 Limites por origem

Cada endpoint implementado no Open Finance pode ter uma restrição quanto ao tráfego a partir de determinada origem. Em APIs do tipo ‘dados abertos’ a origem é o IP de onde partiu a requisição, em APIs autenticadas é a IF/organizationId que fez a requisição.
No caso de uma instituição implementar limites, eles devem respeitar os valores mínimos de Transações por Minuto (TPM). conforme definido abaixo:

I - 2.000 TPM, por endpoint e por origem, em endpoints classificados como de alta frequência;

II - 1.000 TPM, por endpoint e por origem, em endpoints classificados como de média frequência; e

III - 500 TPM, por endpoint e por origem, em endpoints classificados como de baixa frequência.

As classificações de frequência estão definidas conforme a frequência de atualização dos dados:

Para auxiliar na definição de alguns requisitos não funcionais, é necessário que cada endpoint seja classificado no site do Open Finance de acordo com a sua frequência de atualização dos dados, conforme as opções abaixo:

I - Alta frequência;

II - Média frequência; e

III - Baixa frequência

As APIs de dados abertos também são isentas dos limites operacionais por cliente, que são aplicáveis a outras APIs do Open Finance.

5.2 Limites operacionais

É facultado às instituições participantes implementarem um limite de acesso mensal por endpoint e por cliente.

Em endpoints que acessem recursos ou produtos, os limites serão também considerados por recurso ou produto.

A contabilização dos acessos deve ser realizada por:

I - mês;

II - endpoint;

III - objeto mais granular referenciado na chamada (consentimento/recurso/produto);

IV - cliente (CPF ou CNPJ); e

V - IF consumidora da informação.

Por exemplo: uma instituição receptora ‘A’ pode acessar um endpoint ‘B’, acessando o recurso ‘C’, de um cliente “D” da instituição transmissora ‘E’, no mínimo ‘N’ vezes (ou chamadas) com sucesso por mês.

Aplicabilidade dos limites operacionais: todos endpoints das APIs do tipo Dados Cadastrais e Transacionais (conforme classificação de Tipo), destes excetuam-se aqueles endpoints das APIs de Consentimento (Consents) e Recursos (Resources). As APIs dos tipos Dados Abertos e de Serviços (como de Iniciação de Pagamento) não podem ter restrições de limites operacionais.

Interessante observar esse exemplo de regulação do Banco Central como evidência da não necessidade de se estabelecer canais à parte, pagos, para o fornecimento de dados abertos, como propõe o PL. 2.224/2021.

O manual ainda estabelece disponibilidade mínima que as APIs devem cumprir.

5.4 Disponibilidade

As APIs classificadas como ‘Dados Abertos’, ‘Dados Cadastrais e Transacionais’ e ‘Relatórios e métricas’, listadas na Seção 2 deste manual, deverão satisfazer requisitos mínimos de disponibilidade abaixo. Cada um de seus endpoints deverá estar disponível:

I - 95% do tempo a cada 24 horas; e

II - 99,5% do tempo a cada 3 meses.

Até onde sei, é a primeira vez que se exige alguma métrica de disponibilidade para APIs de dados abertos, mesmo sendo a disponibilidade um dos princípios de dados abertos

Para maiores informações sobre os 🏦 Dados abertos dos bancos, ou do Sistema Financeiro Nacional, contendo tudo o que o Banco Central exige, em termos de abertura de dados, dos participantes do Sistema Financeiro Nacional, incluindo os bancos, veja este outro tópico.

O Banco Central está delineando parâmetros para a implantação das APIs de dados abertos de Câmbio, Investimentos e Credenciamento do Open Finance. A Instrução Normativa BCB n.º 357, de 2 de março de 2023, foi publicada no Diário Oficial da União de hoje, seção 1, pág. 442.

O Banco Central publicou hoje no Diário Oficial da União, seção 1, pág. 177, a Instrução Normativa BCB n.º 377 de 2 de maio de 2023, que

Divulga o calendário para os pontos de controle do processo de publicação em produção da versão 1.0.0 (ou posterior) das APIs de dados abertos de Capitalização, Previdência e Seguros Pessoais do Open Finance.

A data-limite para publicação das APIs no diretório do Open Finance é 16/6/2023.

O Banco Central publicou hoje no Diário Oficial da União, seção 1, pág. 231, a Instrução Normativa BCB n.º 371, de 10 de abril de 2023, que

Divulga a versão 5.0 do Manual de Escopo de Dados e Serviços do Open Finance.

O manual, que está no anexo da IN, estabelece a obrigatoriedade de divulgação de dados abertos sobre os canais de atendimento:

A Resolução Conjunta nº 1 e a Circular nº 4.015, ambas de 2020, estabelecem a obrigatoriedade de compartilhamento dos dados sobre os canais de atendimento dos participantes, a exemplo de dependências próprias, correspondentes no País e canais eletrônicos, além de outros canais disponíveis aos clientes. Esses dados precisam abranger, no mínimo, os divulgados na forma de dados abertos conforme a regulamentação em vigor, e atender, no mínimo, o nível de granularidade especificado nos campos relacionados nas tabelas a seguir, com informações adicionais e descrição de atributos, quando pertinentes, observado que campos de implementação opcional estão assinalados com asterisco (*).

Para ser sucinto não vou reproduzir aqui as tabelas, mas no manual constam todos os campos que devem ser divulgados sobre os canais de atendimento ao disponibilizar os dados abertos.