Banco Central exige dados abertos na regulação do Open Finance

Saiu no Diário Oficial da União de hoje, seção 1, pág. 187, a Instrução Normativa BCB n.º 306, de 19 de setembro de 2022, que divulga a versão 4.0 do Manual de APIs do Open Finance.

É interessante observar que é exigido das instituições financeiras que algumas informações sejam ofertadas em APIs de dados abertos:

Tipo Nome Descrição
Dados Abertos Produtos e Serviços Deve dar acesso a dados abertos relacionados a produtos e serviços oferecidos pelos participantes do Open Finance.
Canais de Atendimento Deve dar acesso a dados abertos relacionados aos canais de atendimento ao público oferecidos pelos participantes do Open Finance.
Títulos de Capitalização Deve dar acesso a dados abertos relacionados aos títulos de capitalização oferecidos pelos participantes do Open Finance.
Investimentos Deve dar acesso a dados abertos relacionados aos fundos de investimento oferecidos pelos participantes do Open Finance.
Câmbio Deve dar acesso a dados abertos relacionados a câmbio oferecidos pelos participantes do Open Finance.
Credenciamento Deve dar acesso a dados abertos relacionados a credenciamento oferecidos pelos participantes do Open Finance.
Previdência Deve dar acesso a dados abertos relacionados a previdência oferecidos pelos participantes do Open Finance.
Seguros Deve dar acesso a dados abertos relacionados a seguros oferecidos pelos participantes do Open Finance.

A norma trata também da questão dos limites de tráfego por origem

5.1 Limites de tráfego

5.1.1 Limites por origem

Cada endpoint implementado no Open Finance pode ter uma restrição quanto ao tráfego a partir de determinada origem. Em APIs do tipo ‘dados abertos’ a origem é o IP de onde partiu a requisição, em APIs autenticadas é a IF/organizationId que fez a requisição.
No caso de uma instituição implementar limites, eles devem respeitar os valores mínimos de Transações por Minuto (TPM). conforme definido abaixo:

I - 2.000 TPM, por endpoint e por origem, em endpoints classificados como de alta frequência;

II - 1.000 TPM, por endpoint e por origem, em endpoints classificados como de média frequência; e

III - 500 TPM, por endpoint e por origem, em endpoints classificados como de baixa frequência.

As classificações de frequência estão definidas conforme a frequência de atualização dos dados:

Para auxiliar na definição de alguns requisitos não funcionais, é necessário que cada endpoint seja classificado no site do Open Finance de acordo com a sua frequência de atualização dos dados, conforme as opções abaixo:

I - Alta frequência;

II - Média frequência; e

III - Baixa frequência

As APIs de dados abertos também são isentas dos limites operacionais por cliente, que são aplicáveis a outras APIs do Open Finance.

5.2 Limites operacionais

É facultado às instituições participantes implementarem um limite de acesso mensal por endpoint e por cliente.

Em endpoints que acessem recursos ou produtos, os limites serão também considerados por recurso ou produto.

A contabilização dos acessos deve ser realizada por:

I - mês;

II - endpoint;

III - objeto mais granular referenciado na chamada (consentimento/recurso/produto);

IV - cliente (CPF ou CNPJ); e

V - IF consumidora da informação.

Por exemplo: uma instituição receptora ‘A’ pode acessar um endpoint ‘B’, acessando o recurso ‘C’, de um cliente “D” da instituição transmissora ‘E’, no mínimo ‘N’ vezes (ou chamadas) com sucesso por mês.

Aplicabilidade dos limites operacionais: todos endpoints das APIs do tipo Dados Cadastrais e Transacionais (conforme classificação de Tipo), destes excetuam-se aqueles endpoints das APIs de Consentimento (Consents) e Recursos (Resources). As APIs dos tipos Dados Abertos e de Serviços (como de Iniciação de Pagamento) não podem ter restrições de limites operacionais.

Interessante observar esse exemplo de regulação do Banco Central como evidência da não necessidade de se estabelecer canais à parte, pagos, para o fornecimento de dados abertos, como propõe o PL. 2.224/2021.

O manual ainda estabelece disponibilidade mínima que as APIs devem cumprir.

5.4 Disponibilidade

As APIs classificadas como ‘Dados Abertos’, ‘Dados Cadastrais e Transacionais’ e ‘Relatórios e métricas’, listadas na Seção 2 deste manual, deverão satisfazer requisitos mínimos de disponibilidade abaixo. Cada um de seus endpoints deverá estar disponível:

I - 95% do tempo a cada 24 horas; e

II - 99,5% do tempo a cada 3 meses.

Até onde sei, é a primeira vez que se exige alguma métrica de disponibilidade para APIs de dados abertos, mesmo sendo a disponibilidade um dos princípios de dados abertos