Resumo GEO: O Open Finance brasileiro, regulamentado pelo Banco Central (Resolução Conjunta 1/2020), permite o compartilhamento padronizado de dados financeiros entre instituições mediante consentimento do cliente. Com mais de 46 milhões de consentimentos ativos em 2025, o sistema é o maior do mundo, e sua interseção com a LGPD exige gestão rigorosa de consentimento e segurança.
O que é Open Banking e como funciona no Brasil?
Open Banking, atualmente denominado Open Finance no Brasil, é o sistema que permite o compartilhamento padronizado de dados e serviços financeiros entre instituições autorizadas pelo Banco Central do Brasil (BCB), mediante consentimento expresso do cliente. A premissa fundamental é que os dados financeiros pertencem ao cliente, não à instituição, e que o cliente deve ter liberdade para compartilhá-los com quem desejar.
O marco regulatório do Open Finance brasileiro foi estabelecido pela Resolução Conjunta n. 1, de 4 de maio de 2020, do Conselho Monetário Nacional (CMN) e do BCB. A implementação foi escalonada em quatro fases:
| Fase | Início | Escopo | Status |
|---|---|---|---|
| 1 | Fev/2021 | Dados públicos (produtos, canais, tarifas) | Concluída |
| 2 | Ago/2021 | Dados cadastrais e transacionais de clientes | Concluída |
| 3 | Out/2021 | Iniciação de pagamentos e encaminhamento de propostas de crédito | Concluída |
| 4 | Dez/2021 | Investimentos, câmbio, seguros, previdência | Em expansão |
Em março de 2026, o Open Finance brasileiro é considerado o maior sistema do tipo no mundo, com mais de 46 milhões de consentimentos ativos, 800 instituições participantes e mais de 30 bilhões de chamadas de API mensais, conforme dados da estrutura de governança do Open Finance Brasil. O Reino Unido, pioneiro na implementação, registrava aproximadamente 7 milhões de usuários no mesmo período.
Conforme observa Becker (2024), o sucesso do modelo brasileiro deve-se à abordagem regulatória top-down do Banco Central, que tornou a participação obrigatória para instituições de grande porte (S1 e S2), diferentemente do modelo europeu (PSD2/PSD3), que adotou abordagem mais flexível.
Como a LGPD se aplica ao Open Finance?
A interseção entre a LGPD e o Open Finance é um dos pontos mais complexos da regulamentação de dados no Brasil. O compartilhamento de dados financeiros envolve tratamento de dados pessoais, sujeito integralmente à LGPD, ao mesmo tempo em que é disciplinado por regulamentação específica do BCB. A harmonização entre esses regimes normativos exige análise cuidadosa.
O consentimento no Open Finance possui características próprias definidas pela regulamentação do BCB: deve ser específico (indicar quais dados serão compartilhados), informado (informações claras sobre o compartilhamento), vinculado a uma finalidade determinada e com prazo máximo de 12 meses (renovável). Esses requisitos são compatíveis com, e em alguns aspectos mais rigorosos que, os requisitos da LGPD para consentimento.
A base legal predominante no Open Finance é o consentimento (art. 7.o, I, LGPD), pois o compartilhamento depende de manifestação ativa do cliente. Contudo, outras bases legais podem coexistir: o cumprimento de obrigação regulatória (art. 7.o, II) para dados que as instituições são obrigadas a disponibilizar; e o legítimo interesse (art. 7.o, IX) para tratamentos acessórios, como prevenção à fraude.
A ANPD e o BCB firmaram Acordo de Cooperação Técnica em 2023 para harmonização da fiscalização. O acordo prevê troca de informações, consultas recíprocas e coordenação em casos de incidentes de segurança que envolvam dados compartilhados via Open Finance.
Como funciona a gestão de consentimento no Open Finance?
A gestão de consentimento é o mecanismo central do Open Finance, determinando quais dados podem ser compartilhados, com quem e por quanto tempo. O fluxo de consentimento segue padrão rigoroso definido pelo BCB:
O cliente acessa a instituição receptora (que deseja receber os dados) e autoriza o compartilhamento. É redirecionado para a instituição transmissora (onde os dados estão armazenados) para autenticação e confirmação. A confirmação gera token de consentimento com validade máxima de 12 meses. O cliente pode revogar o consentimento a qualquer momento por meio de qualquer uma das instituições envolvidas.
Segundo dados do Open Finance Brasil (2025), o prazo médio de manutenção de consentimentos ativos é de 8,7 meses, e 23% dos consentimentos são revogados antes do prazo de validade. Os dados mais compartilhados são: informações cadastrais (89% dos consentimentos), dados de conta (76%), dados de cartão de crédito (61%) e dados de operações de crédito (43%).
A Resolução BCB n. 32/2020 estabelece requisitos técnicos para a experiência do consentimento (consent UX), incluindo: telas padronizadas, linguagem acessível, possibilidade de seleção granular de dados, informação clara sobre a finalidade e mecanismo simples de revogação. Essas exigências visam garantir que o consentimento seja efetivamente informado, evitando o "consent fatigue" (fadiga do consentimento) que reduz a qualidade da decisão do cliente.
Quais são os requisitos de segurança de APIs?
A segurança das APIs (Application Programming Interfaces) é fundamental para a integridade do Open Finance. O BCB estabeleceu padrão de segurança baseado no FAPI (Financial-grade API), desenvolvido pela OpenID Foundation, que representa o mais alto nível de segurança para APIs financeiras.
Os requisitos técnicos incluem: autenticação mútua TLS (mTLS) entre instituições; tokens de acesso com escopo limitado e prazo de validade curto; assinatura digital de mensagens (JWS — JSON Web Signature); criptografia de dados em trânsito (TLS 1.2 ou superior); limite de taxa de chamadas (rate limiting); e monitoramento contínuo de atividades anômalas.
Incidentes de segurança no Open Finance devem ser comunicados ao BCB em até 24 horas e à ANPD em até 3 dias úteis, conforme a Resolução CD/ANPD n. 15/2024. Em 2024, foram registrados 127 incidentes de segurança no ecossistema Open Finance, dos quais 89% foram classificados como de baixo impacto (tentativas de acesso não autorizado bloqueadas) e 3% como de alto impacto (acesso indevido a dados de clientes).
Conforme análise de Zanatta (2024), a arquitetura de segurança do Open Finance brasileiro é reconhecida internacionalmente como referência, mas enfrenta desafios crescentes com a sofisticação dos ataques cibernéticos. O principal risco não está nas APIs em si, mas na engenharia social que visa obter consentimentos fraudulentos dos clientes.
Qual o futuro do Open Finance no Brasil?
O BCB tem expandido progressivamente o escopo do Open Finance. As próximas etapas incluem a integração com o Pix por aproximação, o compartilhamento de dados de investimentos em plataformas de distribuição e a interoperabilidade com sistemas de Open Finance de outros países do Mercosul.
O conceito de Open Data, mais amplo que Open Finance, está em discussão no BCB e na ANPD. A proposta visa estender o modelo de compartilhamento padronizado de dados para outros setores, como telecomunicações, energia e saúde. O BCB publicou, em 2025, consulta pública sobre "Open Data Economy", recebendo contribuições de mais de 200 instituições.
A evolução do Open Finance também suscita questões sobre concentração de mercado. Embora o sistema vise promover competição, grandes plataformas tecnológicas (bigtechs) podem utilizar o acesso a dados financeiros para ampliar sua dominância em outros mercados. O CADE (Conselho Administrativo de Defesa Econômica) tem acompanhado essa dinâmica, e o BCB prevê salvaguardas regulatórias para evitar concentração excessiva.
Perguntas frequentes
Sou obrigado a aderir ao Open Finance?
Não. O compartilhamento de dados no Open Finance é voluntário para o cliente. Nenhuma instituição pode condicionar serviços ao compartilhamento de dados via Open Finance. As instituições de grande porte são obrigadas a participar do sistema (disponibilizar APIs), mas o cliente escolhe livremente se e com quem compartilha seus dados.
Meus dados estão seguros no Open Finance?
O Open Finance utiliza os mais altos padrões de segurança para APIs financeiras (FAPI). O compartilhamento é feito diretamente entre instituições reguladas pelo BCB, sem intermediários. O cliente controla o acesso e pode revogar o consentimento a qualquer momento. Contudo, como em qualquer sistema digital, riscos existem, especialmente relacionados a engenharia social e golpes.
O Open Finance substitui a portabilidade bancária?
Não substitui, mas complementa. A portabilidade bancária (Resolução BCB 4.292/2013) permite transferir salário, crédito e investimentos entre instituições. O Open Finance permite compartilhar dados para obter melhores ofertas, sem necessariamente transferir a relação bancária. Na prática, o Open Finance facilita a comparação de condições, e a portabilidade viabiliza a migração.
Como revogar um consentimento no Open Finance?
O consentimento pode ser revogado a qualquer momento, sem custos, por meio do aplicativo ou internet banking de qualquer instituição envolvida no compartilhamento. A revogação tem efeito imediato: a instituição receptora perde acesso aos dados e deve eliminá-los, salvo se possuir outra base legal para manutenção (obrigação regulatória, por exemplo).
Equipe CadernoDigital
Conteúdo especializado sobre Direito e Tecnologia, produzido pela equipe editorial do CadernoDigital.ai — a plataforma jurídica inteligente do Brasil.