Voltar ao site SAFIE →
Open Finance e dados financeiros

Open Finance: dados financeiros e compliance

Por · · 4 min de leitura
Open Finance: dados financeiros e compliance

Uma notícia recente publicada pela InfoMoney trouxe a declaração de um engenheiro brasileiro da Nasa sobre a ausência de alternativas ao planeta Terra. A frase, ainda que inserida num contexto ambiental e científico, carrega uma lógica que se aplica com precisão ao ambiente regulatório das fintechs: não existe plano B para operar fora das regras. No Open Finance brasileiro, isso significa que o uso de dados financeiros sem conformidade não é uma opção viável.

O Open Finance, implementado em fases pelo Banco Central do Brasil a partir de 2021, tornou obrigatório o compartilhamento de dados e serviços financeiros entre instituições participantes, desde que o cliente autorize. O sistema envolve mais de 900 instituições cadastradas e milhões de consentimentos ativos, segundo dados do próprio Banco Central referentes ao primeiro trimestre de 2025.

Para fintechs, bancos digitais e demais participantes do ecossistema, compreender as obrigações jurídicas e contábeis que envolvem esse fluxo de dados é condição de sobrevivência regulatória, não apenas de eficiência operacional.

Contexto jurídico e regulatório

O arcabouço regulatório do Open Finance no Brasil

A base normativa do Open Finance está na Resolução Conjunta nº 1, de 4 de maio de 2020, editada em conjunto pelo Banco Central e pelo Conselho Monetário Nacional. Esse ato normativo define as instituições participantes, as categorias de dados compartilháveis e as condições de consentimento. A adesão é compulsória para instituições dos Segmentos 1 e 2 (S1 e S2) do Sistema Financeiro Nacional e facultativa para as demais.

O consentimento do titular é o eixo central do sistema. Ele deve ser granular, revogável a qualquer momento e registrado com prazo máximo de 12 meses, conforme as regras operacionais definidas pelo Banco Central na Instrução Normativa BCB nº 261/2022 e atualizações subsequentes. A ausência de consentimento válido ou o uso de dados além do escopo autorizado configura infração regulatória e pode acionar a responsabilidade civil da instituição.

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) se aplica integralmente ao Open Finance. Dados financeiros, como histórico de transações, limites de crédito e produtos contratados, são dados pessoais para fins da LGPD. Isso significa que a fintech que os recebe atua como operadora ou controladora, conforme o contexto, e responde solidariamente por eventuais incidentes de segurança.

Responsabilidades entre instituições transmissoras e receptoras

A Resolução Conjunta nº 1/2020 distingue a instituição transmissora de dados, que os detém originalmente, da instituição receptora, que os utiliza para oferecer produtos ou serviços ao cliente. Ambas têm obrigações específicas: a transmissora deve garantir a autenticidade e integridade dos dados; a receptora deve usá-los estritamente dentro do escopo do consentimento.

O descumprimento pode gerar sanções aplicadas pelo Banco Central com base na Lei nº 13.506/2017, que prevê multas de até 2 bilhões de reais por infração, além de outras medidas como suspensão de atividades e inabilitação de administradores. Para fintechs de menor porte, mesmo multas proporcionalmente menores podem ser existencialmente significativas.

Impacto prático

Na prática, toda fintech que participa do Open Finance como receptora de dados precisa estruturar ao menos três camadas de controle. A primeira é o controle de consentimento, com rastreabilidade completa de cada autorização recebida, incluindo escopo, data, prazo e histórico de revogações. A segunda é o controle de uso, garantindo que os dados acessados sejam efetivamente utilizados apenas para a finalidade declarada ao cliente no momento da autorização.

A terceira camada é a segurança técnica. O Banco Central exige certificação no padrão FAPI (Financial-grade API), autenticação mTLS e uso de tokens OAuth 2.0 com OpenID Connect. Falhas nesses protocolos não são apenas problemas de TI, são infrações regulatórias com consequências jurídicas diretas. O custo de implementação dessas estruturas deve estar previsto no planejamento financeiro da empresa, inclusive para fins de provisão contábil de riscos regulatórios.

Do ponto de vista contábil, as obrigações do Open Finance também afetam a gestão de passivos contingentes. Uma fintech que opera como receptora de dados e sofre um vazamento pode enfrentar ações indenizatórias de clientes afetados, além das sanções administrativas. Esses riscos devem ser mapeados, classificados e provisionados conforme o Pronunciamento CPC 25, que trata de provisões, passivos contingentes e ativos contingentes. Ignorar esse ponto é um erro de governança que impacta diretamente o balanço.

Considerações finais

O Open Finance não é apenas uma inovação tecnológica. É um regime jurídico com obrigações concretas, prazos definidos e consequências reais para quem não cumpre. A lógica é simples: o dado do cliente pertence ao cliente, e qualquer instituição que o utilize carrega a responsabilidade correspondente.

Fintechs que tratam conformidade como custo evitável tendem a descobrir esse custo de forma muito mais cara quando o Banco Central ou o Judiciário tomam a iniciativa. Construir uma estrutura robusta de governança de dados desde o início, com apoio jurídico e contábil especializado, é a única estratégia sustentável para operar nesse ecossistema.

Perguntas frequentes

Minha fintech é obrigada a participar do Open Finance?

Depende do seu enquadramento regulatório. Instituições classificadas nos Segmentos S1 e S2 pelo Banco Central têm participação obrigatória. Fintechs enquadradas como Instituições de Pagamento ou Sociedades de Crédito Direto de menor porte podem ter participação facultativa, mas precisam verificar seu segmento junto ao Banco Central ou com assessoria jurídica especializada.

O que acontece se a fintech usar dados do Open Finance fora do escopo do consentimento?

O uso de dados além do escopo autorizado pelo cliente viola simultaneamente a Resolução Conjunta nº 1/2020 e a LGPD. As consequências incluem sanções administrativas pelo Banco Central (com base na Lei nº 13.506/2017), multas da ANPD e responsabilização civil em caso de dano ao titular. Em situações graves, pode haver suspensão de atividades.

Como registrar corretamente os riscos do Open Finance na contabilidade da fintech?

Riscos decorrentes de possíveis sanções regulatórias ou ações de clientes por uso indevido de dados devem ser avaliados e classificados conforme o Pronunciamento CPC 25, em provável, possível ou remoto. Passivos classificados como prováveis exigem provisão no balanço. É recomendável que o mapeamento desses riscos seja feito em conjunto com o jurídico e o financeiro da empresa.

Qual é o prazo máximo de um consentimento no Open Finance?

O prazo máximo é de 12 meses, conforme as regras operacionais do Banco Central. Após esse período, o consentimento expira automaticamente e o cliente precisa renová-lo caso queira manter o compartilhamento. A fintech deve manter registros auditáveis de todos os consentimentos, incluindo renovações e revogações.

O Open Finance se aplica a dados de CNPJ ou apenas de pessoas físicas?

O Open Finance abrange tanto pessoas físicas quanto pessoas jurídicas, incluindo MEIs e pequenas empresas. Os dados compartilháveis incluem informações cadastrais, transacionais e de produtos financeiros de ambos os tipos de clientes. As regras de consentimento se aplicam igualmente, com o representante legal da pessoa jurídica atuando como titular para fins de autorização.

Decisão jurídica ou contábil pendente?

A SAFIE atende founders e gestores com acesso direto aos sócios — jurídico e contabilidade integrados sob o mesmo teto. Conversamos para entender o caso antes de qualquer recomendação.

Falar com a SAFIE
Sobre os autores

Conteúdo produzido pela SAFIE, consultoria jurídico-contábil para empresas digitais e de tecnologia. A SAFIE é liderada por Lucas Mantovani e Italo Cunha.

Artigos relacionados

Mais artigos em breve.