Pix, Open Banking e o mercado brasileiro de fintechs

Desde o fim do ano passado o Pix, novo sistema de pagamento instantâneo criado pelo Banco Central passou a operar de forma plena no Brasil. O método de pagamento foi idealizado para se compatibilizar com a revolução tecnológica que vem tomando conta do mercado financeiro no Brasil e no mundo, e que tende a ser cada vez mais presente nos próximos anos.

Levando em conta a necessária e inevitável digitalização do mercado e os altos custos que ainda fazem parte do tradicional serviço bancário brasileiro, o Banco Central se atentou a instituir um método que viabilizasse transações de pagamento mais rápidas que os métodos tradicionais e que gerasse maior acesso da população a operações bancárias com menores custos. Nesse sentido, de acordo com o Banco Central a criação do Pix busca “alavancar a competitividade e a eficiência do mercado; reduzir o custo, aumentar a segurança e melhor a experiência dos clientes; incentivar a eletronização do mercado de pagamentos de varejo; promover a inclusão financeira; e preencher uma série de lacunas existentes na cesta de instrumentos de pagamentos disponíveis atualmente à população”.

Funcionando 24 horas por dia, durante todos os dias do ano, o Pix é disponibilizado nas plataformas das instituições financeiras e de pagamento, desde que devidamente cadastradas junto ao Banco Central, incluindo além dos bancos tradicionais, diversas instituições financeiras de menor porte e, inclusive, as fintechs.

Um dos maiores diferenciais do Pix é a agilidade em que a transação ocorre, pois o sistema permite que a transferência monetária econômica ocorra no tempo máximo de 10 segundos por meio da utilização de dispositivos móveis, ou seja, as transações são realizadas em tempo real e acontecem sem intermediação de terceiros, uma vez que o dinheiro sai de uma conta e vai diretamente para a conta de quem receberá os valores.

Para a utilização do Pix o interessado deve entrar na seção Pix disponibilizada na plataforma de acesso da instituição na qual possui conta. Em seguida, criar uma chave Pix para funcionar como o identificador da conta do titular. Em uma conta poderão ser adicionadas quatro tipos de chave: CPF ou CNPJ, e-mail, número de telefone celular ou a chamada chave aleatória.

Vale destacar que a inclusão é voluntária e deverá ser solicitada pelo cliente da instituição, de modo que sua inclusão deverá ser voluntária, consentida de maneira livre, informada, inequívoca e prévia, inclusive para garantir sua conformidade com a recém vigorada Lei Geral de Proteção de Dados Pessoais — a LGPD (Lei 13.709/2018 e suas atualizações pelas Leis 13.853/2019 e 14.010/2020).

A criação de uma chave Pix não é obrigatória, uma vez que as transações também podem ser realizadas através da leitura de QR codes, ou informando os dados bancários de quem vai receber o pagamento; assim como se faz uma TED ou DOC. É importante destacar que não é possível adicionar uma mesma chave em mais de uma conta, fato que tem gerado grande competitividade entre as instituições financeiras e de pagamento para a captação de clientes.

Para realizar uma transação é necessário que ambas as partes já estejam cadastradas no Pix. A transferência procede de forma gratuita para pessoas físicas e, possivelmente, funcionará como uma excelente forma de inclusão daqueles que não podem arcar como os elevados custos do serviço bancário tradicional.

O Pix vem como grande exemplo de componente de um novo cenário já discutido há alguns anos pelo próprio BACEN, o Open Banking. O Open Banking é um ecossistema que permite o compartilhamento de informações, simplificando a portabilidade por meio de Application Programing Interface (APIs) ou interface de programação de aplicativos, trazendo mais competitividade e inovação para o mercado. Igualmente também estão as exigências dos devidos consentimentos exigidos pela LGPD, entre as instituições financeiras autorizadas, facilitando a mudança de conta de um banco para outro, a aquisição de novos produtos e serviços de instituições concorrentes.

Com forte influência da Diretiva EU 2015/2366 (“Diretiva de Serviços de Pagamento Revisada” ou “PSD2”), o Open Banking terá seu início oficial no dia 1º de fevereiro de 2021, com o intuito de facilitar a migração de clientes entre instituições financeiras, com sua implementação efetiva prevista para ocorrer em 31 de maio de 2021 (compartilhamento de dados cadastrais e transacionais, 30 de agosto de 2021 (compartilhamento de serviços) e 25 de outubro de 2021 (compartilhamento de dados de outros serviços e produtos).

O Open Banking exige a participação obrigatória para as Instituições Financeiras (IFs) que se enquadram nos seguimentos S1 e S2 para o compartilhamento de informações, instituições detentoras de contas e para as instituições iniciadoras de transação de pagamento, e instituições que tenham firmado contrato de correspondente que contemple recepção e encaminhamento de propostas referentes a operações de crédito e de arrendamento mercantil, totalizando, até dezembro de 2020, 1.065 instituições. Isso abre um inegável potencial de atuação de fintechs em um ambiente antes dominado por poucas instituições financeiras, uma vez que a integração e o compartilhamento têm justamente o condão de permitir uma melhor oferta de produtos e serviços para todo o SFB.

No ecossistema brasileiro das fintechs, o Pix e o open banking surgem como grande oportunidade de alavancar negócios e ampliar a competitividade no mercado, principalmente frente a bancos tradicionais. As fintechs, como portadoras de bons sistemas e plataformas tecnológicas apostam na utilização do Pix e do open banking para atrair novos clientes para seus serviços, visando criar uma fidelização para com a instituição. É também uma ótima oportunidade de firmar parceiras com empresas, uma vez que competitividade consistirá, neste primeiro momento, em captar clientes e oferecer melhores condições de serviços de recebimento e pagamento.

Diversas fintechs já se destacam na corrida com os bancos tradicionais, uma vez que são capazes de oferecer boa experiência ao usuário e boa infraestrutura tecnológica, com plataformas muitas vezes mais ágeis e menos burocráticas. Estas instituições já estão preparadas para um bom atendimento virtual, bem como para a facilidade no acesso e comunicação em seus aplicativos, fato que agrega valor na experiência do usuário e consequentemente, atrai a clientela não só para o cadastro no Pix, mas para todos os outros serviços disponíveis.

A regulamentação do Pix e do open banking

Para a utilização deste novo sistema é necessário observar a regulamentação editada pelo Banco Central do Brasil, a qual é formada por diversos manuais como o Manual de Uso da Marca, Manual de Padrões para Iniciação do Pix, Manual de Fluxos do Processo de Efetivação do Pix, Requisitos Mínimos para a Experiência do Usuário, Manual de Resolução de Disputas, Manual de Penalidades. Além disso, a Instrução Normativa BCB nº 47, de 24/11/2020 e a Instrução Normativa BCB nº 49, de 25/11/2020.

Como principais regras, ressalta-se a obrigatoriedade de participação para instituições financeiras e para as instituições de pagamento autorizadas a funcionar pelo Banco Central do Brasil com mais de 500 mil contas de clientes ativas, consideradas as contas de depósito à vista, as contas de depósito de poupança e as contas de pagamento pré-pagas. Estas instituições passam automaticamente a integrar o Sistema de Pagamentos Brasileiro (SPB), ficando sujeitas a uma regulação mínima, com o custo de observância proporcional ao risco oferecido.

Já as demais instituições que não são sujeitas a autorização pelo Banco Central ou que possuem menos de 500 mil contas de clientes ativas; os liquidantes especiais e a Secretaria do Tesouro Nacional, na condição de ente governamental, tem participação facultativa.

Neste cenário, a participação das fintechs passa a ser tratada como um participante indireto do Pix, que deverá atender aos seguintes requisitos e obrigações: (i) firmar contrato com um participante direto; (ii) comprovar a integralização e a manutenção de, no mínimo, R$ 1 milhão de capital; (iii) possuir capacidade técnica e operacional para cumprir os deveres e as obrigações previstos no Regulamento do Pix; (iv) agir conforme as regras, condições e procedimentos do Regulamento do Pix; e (v) obter aprovação do BACEN quanto ao cumprimento das etapas cadastral e homologatória do processo de adesão.

As exigências de cumprimento das regras, procedimentos e regulamento do Pix e a obtenção de autorização do órgão para tanto advém do risco sistêmico de liquidez às instituições que dele venham a participar, principalmente em decorrência de sua característica de disponibilidade em tempo integral.

A qualificação das participantes indiretas gera diversas obrigações regulatórias, das quais destacamos a necessidade de possuir:

(i) uma estrutura de gerenciamento de riscos operacionais e de liquidez (Circular BACEN 3.681/13);
(ii) política de segurança cibernética, plano de ação e de resposta a incidentes, contratação de serviços de processamento e armazenamento de dados e de computação em nuvem (Circular BACEN 3.909/18);
(iii) política, procedimentos e controles internos visando à prevenção a lavagem de dinheiro e financiamento do terrorismo (Circular BACEN 3.461/09, sendo que a partir de sua revogação, será necessário cumprir com a Circular BACEN 3.978/20);
(iv) procedimentos para a execução das medidas determinadas pela legislação de combate ao terrorismo incluindo a indisponibilidade de ativos de pessoas naturais e jurídicas e de entidades, e a designação nacional de pessoas investigadas ou acusadas de terrorismo, de seu financiamento ou de atos a ele correlacionados (Lei 13.810/19 e Circular BACEN 3.942/19).

Importante mencionar que o Pix deverá ser disponibilizado no principal canal de acesso das instituições, de maneira simples e de modo a possibilitar uma experiência facilitada ao usuário. Há, portanto, a necessidade de realização de testes para comprovação da capacidade operacional e tecnológica das instituições, o qual deverá observar os termos da Instrução Normativa BACEN nº 47. Com relação a utilização da marca Pix, as regras estão previstas no Manual do uso da marca, o qual prevê a necessidade de observância de determinados padrões visuais e de escrita que preservem a logotipo e o símbolo do Pix. A ideia do Banco Central é fortalecer a marca e criar uma utilização uniforme do Pix.

A Resolução BACEN 32, publicada em 29 de outubro de 2020 trouxe os requisitos técnicos e procedimentos operacionais para a implementação do Open Banking, que serão definidos gradualmente de acordo com os prazos de implementação mencionados anteriormente (e definidos na Resolução Conjunta 1/2020).

A referida resolução detalha os manuais técnicos, segurança, APIs, escopo mínimo de dados e serviços prestados, e as responsabilidades da estrutura de governança do Open Banking. A resolução define também o processo cadastramento das instituições e o gerenciamento de registros e controles de acessos, consulta, autorização e gerenciamento de informações no diretório de participantes. O detalhamento completo dos requisitos técnicos e dos procedimentos operacionais para implementação do Open Banking é composto por:

(i) Manual de Escopo de Dados e Serviços do Open Banking, que detalhará os dados e serviços objeto de compartilhamento, observado o escopo mínimo de dados e serviços disposto na Circular 4.015/2020.
(ii) Manual de APIs do Open Banking, que estabelecerá padrões para o desenvolvimento de APIs por parte das instituições participantes, contendo o desenho e versionamento das APIs, protocolos de transmissão e formato de dados e a especificação de requisitos mínimos de disponibilidade e limites de chamadas às APIs. As instituições participantes deverão disponibilizar APIs administrativas dedicadas exclusivamente ao compartilhamento com o diretório de participantes.
(iii) Manual de Serviços Prestados pela Estrutura Responsável pela Governança do Open Banking, que estabelecerá os requisitos técnicos e os procedimentos operacionais para a implementação do diretório de participantes, do novo portal do Open Banking no Brasil e dos canais de suporte ao acesso ao diretório; e
(iv) Manual de Segurança do Open Banking, que detalhará os padrões e certificados de segurança utilizados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil, além dos requisitos técnicos de segurança das APIs, em compatibilidade com a regulamentação do Open Banking.

A resolução detalha ainda os requisitos de um novo canal de atendimento, a ser disponibilizado pela Estrutura de Governança do Open Banking, gratuito e disponível 24×7 para esclarecimentos e acompanhamento de solicitações dos participantes do Open Banking.

As 4 fases de implementação do open banking garantirão o compartilhamento:

(i) De dados de instituições participantes do Open Banking sobre canais de atendimento e produtos e serviços relacionados com contas de depósito à vista ou de poupança, contas de pagamento ou operações de crédito;
(ii) De informações de cadastro de clientes e de representantes, e de transações dos clientes acerca de contas de depósito à vista ou de poupança, contas de pagamento ou operações de crédito;
(iii) Do serviço de iniciação de transação de pagamento entre instituições participantes, e do serviço de encaminhamento de proposta de operação crédito entre instituição financeiras e correspondentes no País eventualmente contratados para essa finalidade; e
(iv) Das operações de câmbio, investimentos, seguros e previdência complementar aberta, incluindo os dados acessíveis ao público e de transações compartilhados entre instituições participantes, dentre outras operações.

Os riscos envolvendo o descumprimento da regulamentação e as fraudes

Quanto às penalidades para os descumprimentos das referidas normas destacam-se a possibilidade de aplicação de multa, suspensão e exclusão, de forma isolada ou cumulativa.

A penalidade de suspensão será aplicada a instituição que: incorrer de forma recorrente na mesma infração punível com multa, considerados, para fins de identificação da recorrência, os últimos 12 meses; descumprir, total ou parcialmente, disposições do Regulamento do Pix ou dos demais documentos que compõem o Regulamento, de forma a acarretar grave risco ao regular funcionamento do Pix; ou inadimplir no pagamento de multa, nos termos deste Manual, por até 30 dias após o prazo estabelecido para o cumprimento da obrigação.

A penalidade de exclusão, por sua vez, será aplicada à instituição que: incorrer de forma reincidente na mesma infração punível com suspensão, considerados, para fins de identificação da reincidência, os últimos 12 meses; não corrigir, no prazo de 60 dias, a irregularidade que houver originado a aplicação da penalidade de suspensão; descumprir, total ou parcialmente, disposições do Regulamento do Pix ou dos demais documentos normativos, de forma a acarretar grave prejuízo ao regular funcionamento do Pix; inadimplir no pagamento de multa, nos termos do Manual de Penalidade, ou de multa cominatória, nos termos do Regulamento do Pix por mais de 30 dias após o prazo estabelecido para o cumprimento da obrigação; ou não cessar a prática que originou a aplicação de suspensão cautelar, nos termos do Regulamento do Pix.

Apesar do Pix ser dotado de altos padrões de segurança como a criptografia e a autenticação, diversos usuários já estão sendo alvos de phishing. Isso ocorre porque o Pix é um sistema de fácil acesso em que é possível informar apenas a chave Pix ou QR Code para proceder com a transação. Dessa forma, os cibercriminosos encaminham mensagens falsas por e-mail na qual reproduzem mensagens de instituições financeiras e solicitam o cadastro do cliente no Pix. Ao fornecer os dados e realizar o suposto cadastro, os hackers possuem acesso aos dados do usuário, bem como a sua chave Pix e, assim, é possível realizar transações pelo sistema.

Além disso, outra estratégia adotada para proceder com as fraudes é enviar links por WhatsApp, redes sociais e por mensagens de SMS que direcionam a páginas falsas de instituições financeiras e levam o cliente a realizar um cadastro enganoso da chave Pix. Os links podem conter ainda arquivos maliciosos que conseguem acessar dados pessoais e bancários do usuário.

De acordo com empresa de cibersegurança Kaspersky, ao menos 60 sites falsos que visam o roubo de dados a partir da nova tecnologia e já se estimam mais de 5 mil ataques de phishing. Vale salientar que estas fraudes não ocorrem por erros no sistema Pix, mas sim pela desinformação dos indivíduos que fornecem seus dados fora da plataforma adequada. Como o método de pagamento é muito recente, a maior parte da população ainda não possui conhecimento suficiente sobre o funcionamento do sistema e não é incomum que ocorra o engano ao se deparar com as mais diversas estratégias de engenharia social utilizada para a captura de dados.

Portanto, a segurança do sistema Pix não exime as instituições de investirem constantemente em sistemas de tecnologia da informação voltados para segurança e em companhas de conscientização para orientar a população a se prevenir de fraudes. Cabe às instituições financeiras e de pagamento propagar informações sobre o Pix, seja em seus principais canais de acesso, seja por meio do envio de mensagens diretas aos clientes, sendo de fundamental importância ressaltar que o Pix só pode ser acessado por meio dos aplicativos das instituições.

Além disso, é possível que os bancos passem a desenvolver e contratar recursos para aumentar a segurança das transações, como senhas, biometrias e identificação facial e em caso de transações suspeitas, poderão, durante o dia, reter o pagamento ou transferência por até 30 minutos, ou, durante a noite, reter o pagamento ou transferência por até uma hora.

Conclusão

O Pix chegou como solução oportuna dentro a um contexto inesperado de pandemia e frente a um necessário distanciamento social provocado pela Covid-19. Isso porque a aderência ao sistema permitirá, em tese, uma redução do comparecimento em bancos físicos — cenário que já é uma realidade para os usuários das plataformas dos diversos bancos digitais e fintechs existentes hoje no mercado.

Ademais, o perfil de usuário que buscará o Pix neste primeiro momento será justamente a parte da população mais habituada as novas tecnologias e que possui certa aderência aos bancos digitais. Este público já possui um elevado nível de confiança nas inovações tecnológicas e são os que tendem a evitar a burocracia dos bancos tradicionais, optando, portanto, pela utilização do Pix junto às fintechs.

Os objetivos do BACEN com a operação do Pix e do Open Banking é de atender à necessidade do mercado de soluções imediatas, reduzindo a burocracia, e devidamente integradas com as novas tecnologias com o intuito de acompanhar a revolução tecnológica que toma conta do sistema financeiro brasileiro. O sistema é ágil, acessível e de fácil utilização e gera, portanto, a tendência de maior bancarização da população e a redução de custos, uma vez que as transações ocorrem sem intermediadores.

Pesquisas recentes apontam que o custo de transações envolvendo os tradicionais meios de transferências bancárias TED e DOC representam quase 1/3 dos valores pagos com anuidades de cartões de crédito. Inegáveis são as oportunidades trazidas com o novo sistema no mercado, principalmente para as fintechs disponibilizando tecnologia para empresas, captando novos clientes para suas plataformas e apostando no desenvolvimento de uma melhor experiência ao usuário.

As devidas cautelas quanto ao cenário regulatório, aliado aos riscos decorrentes da novidade no mundo da tecnologia, em especial aos ataques envolvendo técnicas de phishing que já têm ocorrido, porém, tornam especialmente relevante o devido acompanhamento técnico jurídico especializado para a participação nas oportunidades cada vez maiores de atuação das fintechs no mercado financeiro brasileiro.