Norma
29/10/2020

Resolução BCB N° 32

Estabelece requisitos técnicos e procedimentos para implementação do Open Finance no Brasil.

Logo do regulador Banco Central

Registros selecionados

Resumo

A Resolução BCB nº 32/2020 estrutura os requisitos técnicos e operacionais do Open Banking, hoje tratado no ecossistema como Open Finance.

📌 Requisitos centrais: dados públicos atualizados, distribuição de tarifas e juros, APIs, segurança e registro no diretório.

⚙️ Pontos críticos: conformidade técnica de APIs, certificados, monitoramento, cadastro e atualização permanente.

⚠️ Observação: este pacote é retrato-fonte do texto original do DOU; alterações posteriores não foram consolidadas.

Resumo executivo

A Resolução BCB nº 32, de 29 de outubro de 2020, é uma norma autônoma do Banco Central do Brasil que estabelece requisitos técnicos e procedimentos operacionais para a implementação do Sistema Financeiro Aberto no País. No texto original publicado em 2020, a denominação usada é Open Banking; no uso regulatório atual, o ecossistema passou a ser referido amplamente como Open Finance. Este pacote foi produzido em modo retrato-fonte: a curadoria preserva o texto original do DOU e não consolida alterações posteriores.

A norma funciona como ponte entre a Resolução Conjunta nº 1/2020, que disciplina a implementação do Open Banking, e os manuais técnicos que detalham a execução prática do compartilhamento de dados e serviços. O documento não é apenas declaratório. Ele contém comandos operacionais relevantes para instituições participantes, especialmente sobre dados públicos, APIs, registro no diretório, atualização cadastral, saída voluntária, segurança e interação com a estrutura de governança.

O núcleo operacional se distribui em três blocos. O primeiro bloco trata do compartilhamento de dados e dos padrões técnicos das APIs, incluindo acesso público a dados atualizados, distribuição de frequência de tarifas e juros, desenvolvimento de APIs e APIs administrativas para o diretório. O segundo bloco trata da participação das instituições, com regras para registro, conteúdo do cadastro, atualização permanente de informações e retirada voluntária. O terceiro bloco define serviços centrais da estrutura responsável pela governança: manual de serviços, diretório de participantes, canal de suporte, portal, segurança e fóruns técnicos.

Escopo e sujeitos regulados

O art. 1º delimita a aplicação às instituições participantes especificadas no art. 6º da Resolução Conjunta nº 1/2020. Em termos de produto, a segmentação foi roteada para instituições financeiras, instituições de pagamento e outras categorias financeiras autorizadas, usando uma lista positiva de tags disponíveis. A limitação importante é que o dicionário de segmentação não possui uma tag única para “instituições participantes do Open Banking/Open Finance” nem para “demais instituições autorizadas a funcionar pelo Banco Central”. Por isso, alguns requisitos usam um recorte amplo porém controlado de entidades financeiras e de pagamento.

O texto também cria obrigações dirigidas à Estrutura Responsável pela Governança do Open Banking. Essa estrutura não corresponde exatamente a uma empresa regulada comum nem a uma autoridade pública. Como não há tag específica para a estrutura de governança, os requisitos correspondentes foram mantidos como requisitos de governança do ecossistema, com segmentação associada ao universo de participantes financeiros e de pagamento que interagem com esses serviços. Essa decisão evita perder comandos operacionais importantes dos arts. 12 a 17, mas deve ser revisada no momento de roteamento fino em workspace.

As definições do art. 2º foram tratadas como pontos documentais, não como requisitos independentes. Elas são relevantes para interpretar modalidades de participação, diretório de participantes e API, mas não exigem, sozinhas, uma ação verificável. Já os comandos de registro, atualização, disponibilização de APIs, manutenção de canal ou portal e observância de padrões técnicos foram convertidos em requisitos porque geram processos, evidências e controles.

Principais comandos operacionais

O art. 5º impõe às instituições participantes o dever de assegurar acesso público a dados sobre canais de atendimento, produtos e serviços, mantendo esses dados permanentemente atualizados. Esse comando foi convertido em requisito de reporte/divulgação pública, porque exige rotina de publicação, atualização, reconciliação com bases internas e evidência de disponibilidade.

O art. 6º detalha a distribuição de frequência relativa de tarifas e taxas de juros. A norma exige quatro faixas de igual tamanho, valores sobre a mediana, percentuais de clientes por faixa, máximos e mínimos, segmentação entre pessoas naturais e jurídicas, além de separação por tipo de serviço, modalidade de operação e indexador ou referencial em operações pós-fixadas. Os parágrafos foram absorvidos no mesmo requisito, pois tratam do mesmo processo de cálculo e divulgação. A possibilidade de base mensal, com divulgação no décimo dia útil, foi registrada como parâmetro condicionado, sem criar recorrência automática rígida porque o texto usa fórmula permissiva.

O art. 7º transforma o Manual de APIs em fonte central de padrões técnicos. A instituição participante deve organizar desenvolvimento, versionamento, controles de acesso, disponibilidade, desempenho e limites de chamadas de APIs conforme o manual aplicável. Esse requisito tende a mobilizar tecnologia, segurança, governança de APIs, monitoramento e compliance regulatório.

O art. 8º cria obrigação específica de disponibilizar APIs administrativas dedicadas exclusivamente ao compartilhamento com o diretório. A finalidade é permitir monitoramento e divulgação de informações pelo diretório, o que diferencia essas APIs das APIs de compartilhamento de dados e serviços com outras instituições.

Participação, registro e atualização cadastral

Os arts. 9º e 10 formam o bloco de participação. O registro no repositório de participantes deve ser realizado por meio do diretório. O texto original fixou prazo inicial até 15 de janeiro de 2021 para determinadas instituições obrigatórias, mas também estabeleceu gatilhos ainda relevantes em lógica operacional: voluntárias devem registrar-se antes de iniciar o compartilhamento; iniciadoras de transação de pagamento abrangidas devem providenciar registro em até dez dias úteis após o início das atividades; e instituições que venham a ser enquadradas em hipóteses de participação obrigatória após 15 de janeiro de 2021 devem observar o mesmo prazo de dez dias úteis a partir do enquadramento.

O conteúdo do registro inclui cadastro da instituição, cadastro de representantes, informações sobre modalidades de participação e adesão aos direitos e obrigações do participante. A adesão pode abranger regras de contribuição para custeio da estrutura de governança, caso aprovada essa sistemática. Por isso, o requisito de cadastro não é meramente formal: ele vincula a instituição às condições operacionais do ecossistema.

O art. 10, § 2º, foi convertido em requisito separado porque trata de manutenção permanente de informações. A evidência esperada é diferente daquela do registro inicial: o foco está em revisão cadastral, atualização por evento, representantes, mudanças de modalidade e trilha de atualização no diretório.

O art. 11, caput, define hipóteses de cancelamento por requisição do Banco Central. Esse dispositivo foi mantido como ponto de escopo/exceção, pois não impõe, por si só, uma rotina empresarial ampla. Já os §§ 1º e 2º foram convertidos em requisito porque a saída voluntária exige comunicação ao diretório com antecedência mínima de um ano e retenção da comunicação à disposição do Banco Central.

Serviços da estrutura de governança

Os arts. 12 a 15 regulam serviços centrais da estrutura responsável pela governança. O art. 12 trata do Manual de Serviços Prestados pela Estrutura Responsável pela Governança, que deve estabelecer requisitos para diretório, canais de suporte e portal. O parágrafo único exige parâmetros de indisponibilidade e desempenho, incluindo disponibilidade, tempo de resposta de API e atendimento a demandas.

O art. 13 define as atribuições do diretório de participantes. O diretório deve gerenciar registros e acessos, identidade e autorização de aplicações, certificados usados no compartilhamento, informações técnicas e regulatórias necessárias para implementação de APIs, além de monitoramento e divulgação de indisponibilidade e performance. Esse é um dos pontos mais estruturantes da norma, porque conecta cadastro, segurança, informações técnicas e monitoramento do ecossistema.

O art. 14 exige canal de suporte gratuito e ininterrupto, disponível 24 horas por dia e sete dias por semana. O canal deve tratar demandas de instituições sobre o diretório e encaminhar às instituições participantes demandas de clientes, público e outros participantes. O parágrafo único exige protocolo, acompanhamento, esclarecimentos e notificações. Esse comando foi modelado como requisito próprio porque envolve atendimento, registro, disponibilidade e indicadores.

O art. 15 exige portal do Open Banking no Brasil. O portal deve reunir informações atualizadas sobre atividades, padrões de interfaces, versionamento e implementação, em áreas para instituições autorizadas, desenvolvedores e cidadãos. Também deve disponibilizar informações de indisponibilidade e desempenho do diretório e do canal de suporte, em consulta consolidada ou individualizada, conforme o caso.

Segurança e fóruns técnicos

O art. 16 remete ao Manual de Segurança e determina que ele detalhe padrões e certificados de segurança observados pelas instituições financeiras e demais instituições autorizadas pelo Banco Central, além de requisitos técnicos de segurança para APIs e sistemas relacionados à implementação. O requisito correspondente foi classificado como de alta criticidade, pois envolve segurança técnica, compartilhamento de dados, certificados, APIs, sistemas e proteção da infraestrutura de interoperabilidade.

O art. 17 exige que a estrutura de governança, por meio de seu nível técnico, mantenha fóruns permanentes de discussão com especialistas e partes interessadas que não estejam representadas nos grupos técnicos constituídos. Esse dispositivo foi tratado como requisito de governança. Embora não imponha entrega regulatória individual a cada instituição participante, ele cria mecanismo operacional permanente de participação técnica.

Evidências, controles e áreas envolvidas

As áreas mais impactadas nas instituições participantes são tecnologia, segurança da informação, Open Finance ou pagamentos, produtos e canais, crédito, atendimento, operações, jurídico regulatório e compliance. Nem todos os requisitos exigem todas as áreas. O roteamento proposto prioriza o dono operacional de cada requisito e as áreas diretamente envolvidas na execução ou validação.

Para dados públicos e distribuição de tarifas e juros, as evidências principais são inventários de dados publicados, logs de atualização, memórias de cálculo, bases de operações de crédito, relatórios de reconciliação e provas de publicação. Para APIs e segurança, as evidências centrais são documentação técnica, relatórios de homologação, matriz de versionamento, logs, painéis de disponibilidade, inventários de certificados e testes de segurança. Para registro no diretório, as evidências incluem comprovantes de cadastro, matriz de enquadramento, representantes, modalidades e aceite dos direitos e obrigações.

Para a estrutura de governança, as evidências sugeridas incluem versões de manuais, histórico de revisão, base de registros, trilha de certificados, relatórios de performance, protocolos de atendimento, painéis de disponibilidade, mapa do portal e atas de fóruns técnicos.

Pontos de atenção

O primeiro ponto de atenção é a diferença entre retrato-fonte e consolidação. A Resolução BCB nº 32/2020 sofreu alterações posteriores e o ecossistema passou a usar a denominação Open Finance. Este pacote não incorpora comandos posteriores, porque foi produzido a partir do texto original da norma publicado no DOU. Se o objetivo for uma extração consolidada vigente, será necessário processar expressamente as normas alteradoras ou usar texto consolidado como documento-fonte próprio.

O segundo ponto de atenção é a segmentação. O escopo jurídico depende de ser instituição participante especificada na Resolução Conjunta nº 1/2020 e, em vários casos, da modalidade de participação ou do tipo de dado, serviço, API ou evento. A expressão de segmentação usa as tags existentes, mas não substitui análise de enquadramento. Em especial, a simples atuação ampla no setor financeiro não basta se a empresa não for participante no escopo regulatório aplicável.

O terceiro ponto de atenção é a distinção entre requisitos das instituições e requisitos da estrutura de governança. O documento tem comandos para ambos. A curadoria preservou os comandos da estrutura porque são operacionais e relevantes para o funcionamento do ecossistema, mas eles devem ser roteados com cautela em workspace para não tratar toda instituição participante como executora direta de serviços que pertencem à estrutura de governança.

O quarto ponto de atenção é a granularidade. Alguns artigos foram consolidados em um único requisito quando pertencem ao mesmo processo, como distribuição de frequência de tarifas e juros. Outros foram separados quando havia evidência, gatilho ou área responsável distinta, como registro inicial e manutenção permanente de cadastro.

Por fim, os manuais citados são essenciais para execução. A Resolução BCB nº 32/2020 funciona como norma-mãe técnica; o nível de detalhe necessário para implementação concreta de APIs, segurança, escopo e serviços da governança está nos manuais e atos que os divulgam. O catálogo de referências oficiais foi estruturado para permitir links ricos e navegação posterior, sem usar atos posteriores para alterar o retrato da norma original.

Tags

Itens vinculados

Nenhum item vinculado a este artefato.

Recomendações

Documento

Resolução BCB N° 294

Documento

Resolução BCB N° 398

Documento

Resolução BCB N° 86