O que muda: A Resolução BCB 406 disciplina o compartilhamento do serviço de iniciação de transação de pagamento sem redirecionamento para outros ambientes (embedded/sem redirect) no Open Finance. O fluxo fica dividido em duas etapas: (i) vinculação de conta; e (ii) transação de pagamento, com uso de credenciais de segurança geradas no dispositivo do cliente.
Etapa 1 – Vinculação de conta: O cliente concede consentimento à instituição iniciadora de transação de pagamento (ITP) para vincular uma conta a um dispositivo eletrônico. A autenticação e confirmação da vinculação ocorrem no ambiente da instituição detentora de conta (ASPSP) escolhida pelo cliente. Após essa confirmação, a ITP deve solicitar ação do cliente para gerar credenciais de segurança no dispositivo (mecanismo definido pela Estrutura de Governança do Open Finance) e obter autorização para capturar e movimentar um componente dessas credenciais à instituição detentora da conta. Esse componente será usado pela detentora como parte da autenticação do cliente nas transações futuras.
Etapa 2 – Transação de pagamento: Para iniciar uma transação (ou um conjunto determinado de transações), o cliente passa por autenticação e confirmação sem redirecionamento. A instituição detentora deve autenticar o cliente utilizando o componente das credenciais de segurança gerado na etapa de vinculação. ITP e detentora realizam as verificações de segurança aplicáveis, nos termos dos arts. 16 e 16-A da Resolução Conjunta nº 1/2020. A confirmação da transação acontece no ambiente da ITP.
Responsabilidades: As instituições participantes (ITP e detentora) respondem pelos seus ambientes tecnológicos e sistemas usados em cada etapa, bem como pelos registros gerados durante a execução dos fluxos. A responsabilidade inclui: (i) falhas por inobservância de medidas de gestão de risco previstas em especificações técnicas e regulação; e (ii) falhas de procedimentos e controles da ITP que comprometam a capacidade da detentora de autenticar o cliente (por exemplo, problemas de captura/integração do componente de credenciais).
Obrigatoriedade e cronograma (detentoras de conta):
14/11/2024: instituições detentoras de conta de conglomerados e sistemas cooperativos que, somadas, foram responsáveis por 99% das transações de iniciação bem-sucedidas no Open Finance (primeira onda). A identificação é feita por ordenação decrescente da quantidade total de transações nas 24 semanas anteriores à publicação da norma; o Banco Central divulgará essa relação.
Participantes obrigatórios do Pix: o cronograma do inciso II do art. 6º foi atualizado pela Resolução BCB 541/2025: (a) 06/02/2026 – testes em produção; (b) 22/04/2026 – disponibilização ao público em geral.
Parâmetros a serem definidos pelo BCB: (i) limites de valor das transações sem redirecionamento; (ii) prazo de validade do consentimento de vinculação de conta; (iii) orientações e prazos de testes, inclusive em produção; (iv) divulgação da lista dos conglomerados/cooperativos da primeira onda. Observação: é admitido estabelecer limites superiores aos definidos pelo BCB por meio de contratos bilaterais entre ITPs e detentoras.
Interações com a Resolução Conjunta nº 1/2020: Permanecem aplicáveis os requisitos de consentimento, autenticação e confirmação, bem como as verificações de segurança (arts. 16 e 16-A). A experiência sem redirecionamento exige especial atenção à proteção das credenciais do cliente e à compatibilidade com a política de segurança cibernética.
Impactos práticos e o que implementar:
Desenhar o fluxo de vinculação de conta com: consentimento na ITP; redirecionamento único à detentora para autenticação/confirmar a vinculação; geração no dispositivo do cliente das credenciais de segurança; autorização explícita para captura e envio do componente à detentora.
Adequar a autenticação sem redirecionamento nas transações: a detentora deve usar o componente de credenciais; a ITP deve colher a confirmação no próprio ambiente; ambas devem rodar controles antifraude/risk checks.
Fortalecer segurança e governança: aderir ao mecanismo técnico definido pela Governança do Open Finance; assegurar isolamento e sigilo das credenciais; manter trilhas e evidências de cada etapa (consentimento, autenticação, confirmação, transação).
Planejar o cronograma: verificar se o conglomerado/sistema cooperativo está na primeira onda de 14/11/2024; preparar infraestrutura e testes em produção a partir de 06/02/2026; organizar o go-live para 22/04/2026 (participantes obrigatórios do Pix).
Avaliar contratos bilaterais entre ITPs e detentoras para eventuais limites de valor acima dos parâmetros padrão do BCB.
Pontos de atenção: Falhas de controles da ITP que impeçam a autenticação na detentora e a inobservância de medidas de gestão de risco podem implicar responsabilização. A experiência sem redirecionamento depende de dispositivo confiável, armazenamento seguro das credenciais e integração robusta entre ITP e detentora.
Vigência: A Resolução entrou em vigor na data da publicação (02/08/2024).
