Open Finance e as Obrigações Regulatórias em 2026

Escrito por Benny Maganha, advogado especialista em regulatório para fintechs e empresas do setor financeiro e sócio fundador da NDM Advogados.

Desde 2014 oferecemos assessoria jurídica completa para empresas tech crescerem com segurança e poderem focar no que importa.

Atualizado em 01/06/2026

O amadurecimento do Sistema Financeiro Aberto no Brasil transformou radicalmente o mercado corporativo. Se antes o compartilhamento de dados parecia uma vantagem competitiva restrita aos grandes bancos, hoje por meio do open finance, ele se tornou a espinha dorsal de plataformas, fintechs e empresas de tecnologia que buscam escala. O ecossistema expandiu seu escopo para além dos produtos bancários tradicionais, consolidando fluxos complexos que envolvem investimentos, câmbio, seguros e previdência privada.

Na corrida pela hiperpersonalização, contudo, muitas fintechs, Instituições, diretorias e comitês de inovação priorizaram o desenvolvimento técnico de produtos enquanto relegavam o arcabouço normativo a um plano secundário. Mitigar o risco jurídico tornou-se um desafio complexo, especialmente quando as empresas decidiram acoplar modelos de Inteligência Artificial Generativa (IA) para analisar esses massivos volumes de dados financeiros de clientes.

As normas do ecossistema e as exigências para o compliance no open finance

A estruturação jurídica do ecossistema financeiro aberto brasileiro exige bastante cuidado  na interpretação da hierarquia e do cronograma normativo. Tudo começou sob as diretrizes da Resolução Conjunta nº 1/2020, que instituiu os pilares fundamentais daquilo que inicialmente se chamava Open Banking. 

O marco de virada corporativa ocorreu com a promulgação da Resolução Conjunta nº 4/2022 do Conselho Monetário Nacional (CMN) e do BCB, que expandiu oficialmente o projeto para Open Finance, abraçando novos setores.

O primeiro grande gargalo ignorado pelas fintechs consiste na gestão do consentimento, que opera em conjunto com a Lei Geral de Proteção de Dados (LGPD). Muitas plataformas tratam a autorização do usuário como um ativo com prazo indeterminado, esquecendo que o Banco Central determina um prazo de validade improrrogável de até 12 meses. Transcorrido esse período, a manutenção do acesso aos dados sem uma renovação explícita configura infração direta e invalida a operação.

Além disso, o fluxo de revogação desse consentimento deve ser tão simples, ágil e acessível quanto o processo de concessão originária. Na prática, diversos modelos de negócios desenham jornadas de usuário que dificultam o cancelamento do compartilhamento de dados, utilizando interfaces que beiram os chamados dark patterns, ou seja, técnicas de design manipulativas usadas para enganar os usuários. Esse desalinhamento entre o código da plataforma e a governança jurídica exigida pelas circulares e resoluções do BCB atrai fiscalizações severas e compromete auditorias.

Vale destacar que o monitoramento exercido pela estrutura de governança do Open Finance possui autonomia para aplicar penalidades severas em casos de falhas de segurança. Portanto, a exata rastreabilidade do ciclo de vida dos dados e a aderência estrita às regras do Sistema de Pagamentos Brasileiro (SPB) são obrigatórias. Empresas que negligenciam esses parâmetros operam sob uma falsa sensação de regularidade legal.

Interoperabilidade e APIs abertas: o abismo entre o técnico e o regulatório

A interoperabilidade entre participantes do ecossistema, ou seja, a possibilidade de diferentes sistemas, dispositivos trocarem informações, constitui o motor tecnológico do mercado aberto, mas ela traz consigo obrigações contratuais e regulatórias densas. As fintechs atuam simultaneamente como transmissoras e receptoras de dados, o que exige conformidade contínua com padrões de segurança cibernética, como os estipulados pela Resolução CMN nº 4.893/2021 e pela Resolução BCB nº 294/2023. O grande erro dos modelos de negócios é confundir o sucesso da conexão de uma API com a conformidade jurídica da operação.

Por outro lado, o Banco Central exige métricas rígidas de disponibilidade e performance das APIs abertas, penalizando instituições que prejudicam a fluidez do ecossistema. Quando uma plataforma apresenta instabilidade recorrente ou falha em responder às requisições padronizadas, ela viola os princípios de concorrência e mútua cooperação estabelecidos na governança do sistema. 

Isso significa que os arranjos de pagamento e as parcerias comerciais firmadas entre fintechs e instituições financeiras tradicionais demandam auditorias permanentes e necessidade de acompanhamento jurídico contínuo. Os contratos precisam delimitar com clareza a segregação patrimonial e a responsabilidade civil por vazamentos de dados ou falhas de transação, sobretudo em operações que envolvem Iniciadores de Transação de Pagamento (ITP). A ausência de contratos robustos e de planos com medidas práticas, cria um cenário de vulnerabilidade inaceitável para quem decide investir nesse setor.

A ação recomendada para os gestores, fintechs e Instituições é unificar as equipes de engenharia de software e as assessorias jurídicas na formulação das políticas de segurança e manuais de privacidade, assim como a estruturação das políticas de compliance. A interoperabilidade só gera valor sustentável se estiver amparada por uma infraestrutura regulatória que suporte o crescimento do tráfego sem gerar imprevistos legais. 

Inteligência Artificial e a ilusão da terceirização do risco no Open Finance

O cenário de riscos se intensifica quando as fintechs decidem integrar Large Language Models (LLMs) para analisar o perfil financeiro coletado via Open Finance. Muitas empresas acreditam que a recomendação automatizada de crédito ou de investimentos feita por uma IA exime a plataforma de responsabilidade legal se o modelo apresentar um comportamento falho. Essa premissa de que a culpa seria do provedor de tecnologia ou do algoritmo é um erro jurídico.

Para compreender a extensão desse perigo prático, vale analisar as evidências trazidas pela pesquisa “Boca de IA”, conduzida empiricamente pelo Instituto de Tecnologia e Sociedade (ITS Rio) no contexto das ferramentas generativas em 2026. Embora focado no comportamento das LLMs em face de restrições regulatórias, o estudo expôs dados concretos importantes: as maiores inteligências artificiais do mercado sofrem com taxas recorrentes de alucinação e exibem vieses profundos de ranqueamento, priorização e recomendação, mesmo quando explicitamente instruídas a manter a neutralidade.

Quando a gente olha para o que acontece na prática no mercado financeiro, percebe-se o problema regulatório: se a IA de uma fintech alucinar ao ler os dados do Open Finance e recomendar um produto inadequado ou violar limites de risco de crédito, a responsabilidade jurídica será integralmente da instituição financeira. O Código de Defesa do Consumidor e as normas do BCB vedam qualquer tipo de terceirização de responsabilidade operacional para algoritmos proprietários ou de terceiros.

Abaixo, preparamos uma análise comparativa que detalha o impacto real da inclusão de Inteligência Artificial sobre as estruturas tradicionais de dados. O objetivo é evidenciar os novos vetores de risco gerados pela automação algorítmica para fundamentar decisões estratégicas de compliance.

Diante desse cenário detalhado na tabela, fica evidente que o uso corporativo de IA Generativa no ecossistema de dados abertos não pode ocorrer sem uma sólida camada de governança de algoritmos e estrutura jurídica/regulatória. As empresas de tecnologia precisam instituir processos permanentes de red teaming financeiro e auditorias de viés em seus prompts e modelos. A mitigação do risco regulatório exige que toda recomendação automatizada passe por travas rígidas de segurança jurídica e de negócios antes de atingir a interface do usuário final.

Conclusão

A consolidação do Open Finance no Brasil provou que a inovação tecnológica e o rigor normativo andam juntas. As fintechs e plataformas que ignoram a dinâmica de prazos, os limites de interoperabilidade e a governança no uso de dados estão construindo estruturas financeiras sobre terrenos altamente instáveis. A inteligência de negócios exige que a conformidade seja tratada como um investimento estratégico capaz de abrir portas para novas rodadas de captação e parcerias com grandes players.

Além disso, a introdução de modelos avançados de Inteligência Artificial adiciona uma camada inédita de responsabilidade civil e administrativa que não pode ser negligenciada. Como a evidência empírica da pesquisa “Boca de IA” demonstrou, os algoritmos generativos possuem falhas intrínsecas de comportamento que demandam supervisão humana qualificada e travas normativas severas. Assumir que o risco pertence ao software é um atalho perigoso que pode custar a própria licença de operação junto ao Banco Central.

Para garantir longevidade e liderança no ecossistema financeiro altamente competitivo de 2026, sua empresa precisa blindar as operações com uma assessoria jurídica de vanguarda, especializada em cruzar regulação bancária, LGPD e governança de inteligência artificial. Convidamos você a entrar em contato com o time de especialistas da NDM Advogados para estruturar um plano de compliance personalizado, capaz de mitigar riscos operacionais e impulsionar a inovação tecnológica com total segurança jurídica.

FAQ

O consentimento dado pelo cliente no Open Finance é vitalício?

Não. De acordo com as normas do Banco Central do Brasil, o consentimento para o compartilhamento de dados possui um prazo de validade máximo de até 12 meses. Após esse período, a fintech deve obrigatoriamente coletar uma nova autorização explícita do usuário, sob pena de cometer uma infração regulatória grave.

A minha fintech pode ser responsabilizada por um erro gerado por uma IA de terceiros?

Sim. No ordenamento jurídico brasileiro, a responsabilidade civil das instituições financeiras e plataformas em face do consumidor e do regulador é objetiva. Se a ferramenta de IA integrada ao seu sistema apresentar alucinações ou induzir o cliente a um prejuízo financeiro, o passivo legal será integralmente da sua empresa, sem possibilidade de terceirizar a culpa ao fornecedor do modelo de linguagem.

O que o Banco Central fiscaliza prioritariamente no Aviso de Privacidade de uma fintech?

O BCB avalia se há total coerência entre o que é informado de forma transparente ao cliente e as práticas operacionais internas da empresa. O foco recai sobre as políticas de segurança cibernética, a facilidade nos fluxos de revogação do consentimento no Open Finance e a aderência aos mecanismos de prevenção à lavagem de dinheiro (PLD).

Qual a diferença prática entre os impactos regulatórios da Resolução Conjunta nº 1/2020 e da nº 4/2022?

A Resolução Conjunta nº 1/2020 deu início ao Open Banking em formato restrito a dados e serviços de produtos bancários tradicionais. Já a Resolução Conjunta nº 4/2022 oficializou o avanço para o Open Finance, permitindo o compartilhamento seguro de informações de novos ecossistemas, tais como investimentos, câmbio, contratação de seguros e previdência privada.