Open Banking APIs no Brasil: o que mudou na segunda fase

A segunda fase do Open Finance no Brasil deixou de ser promessa de roadmap e passou a ser checklist de auditoria. Para equipes que já operavam compartilhamento de dados de contas e cartões, o salto mais sensível não foi um endpoint novo — foi a combinação de perfis FAPI-BR mais rígidos com escopos de consentimento que exigem interface de granularidade real, não apenas checkbox genérico.

Entre janeiro e maio de 2026, acompanhamos nove projetos de integração em fintechs e bancos digitais do Sudeste e do Sul. O padrão se repetiu: sandbox aprovado, homologação travada por divergência de certificado ou por consentimento mal sincronizado. Este texto organiza o que mudou de fato na segunda fase e o que ainda varia entre detentoras.

Contexto regulatório

O arranjo brasileiro segue o modelo de participação voluntária com prazos escalonados por grupo de instituições. Desde 2025, a expectativa de conformidade com o perfil de segurança FAPI-BR (Financial-grade API) passou a ser verificada em testes de certificação antes de produção. Na prática, isso significa que implementações que "funcionavam" em sandbox com TLS básico e JWT simples precisaram ser reescritas.

As diretrizes do Banco Central enfatizam três pilares: autenticação do cliente confidencial, vinculação criptográfica entre consentimento e token de acesso, e registro auditável de eventos de autorização. Nenhum desses pilares é opcional na segunda fase para receptores de dados de clientes pessoa física.

A transição também alterou expectativas de SLA. Detentoras passaram a publicar janelas de manutenção com mais antecedência, mas receptores relatam que endpoints de consentimento ainda sofrem indisponibilidades pontuais em horários de pico — especialmente em dias de fechamento de fatura de cartão.

FAPI-BR na implementação

O perfil FAPI adota OAuth 2.0 com restrições adicionais. O fluxo mais comum em integrações brasileiras é o authorization code com PKCE, mas com exigência de request object assinado e validação de certificados ICP-Brasil em determinados cenários de transmissão.

Em seis revisões de código que acompanhamos entre março e maio de 2026, o erro recorrente foi tratar o consentimento como registro estático no banco de dados interno, sem sincronização com o servidor de autorização da detentora.

Recomendamos mapear o ciclo de vida completo: criação do consentimento na detentora, redirecionamento do usuário, emissão do authorization code, troca por access token e refresh, e revogação explícita. Cada transição deve gerar evento consultável por compliance.

Equipes que migraram de bibliotecas genéricas de OAuth para stacks específicas do ecossistema Open Finance Brasil reduziram em média duas semanas o tempo de homologação — desde que já tivessem pipeline de certificados e rotação de chaves documentada.

Escopos e consentimento granular

Os escopos de dados ampliaram para incluir operações de crédito, investimentos e seguros em fases subsequentes. Para desenvolvedores, o desafio imediato é a UI de consentimento: o usuário precisa entender o que compartilha e por quanto tempo, em português claro e com agrupamento lógico.

APIs de consentimento expõem objetos com prazo, finalidade e lista de permissões. Integradores que agregam múltiplas detentoras relatam divergência nos nomes de campos entre participantes — normalização na camada de adaptação continua necessária, apesar da padronização oficial.

Um ponto que costuma passar despercebido: o consentimento pode expirar antes do access token se a detentora aplicar política de renovação mais curta. Trate os dois prazos separadamente no modelo de domínio e avise o usuário quando a reautorização for necessária.

O que aparece em auditoria

Auditorias internas de 2026 focam em quatro perguntas:

• O access token é armazenado com criptografia em repouso e tempo de vida alinhado ao consentimento?
• Há segregação entre ambientes de homologação e produção nos client IDs?
• Logs de chamadas às APIs de detentoras preservam correlation ID sem expor PII em texto claro?
• O fluxo de revogação propaga para todas as cópias locais do consentimento em até 24 horas?

Equipes que respondem "não" a qualquer item tendem a receber apontamento de severidade média, com prazo de remediação antes de liberar novas funcionalidades de agregação.

Auditorias externas pedidas por parceiros B2B acrescentam verificação de política de retenção de logs e prova de que dados compartilhados não são reutilizados fora da finalidade declarada no consentimento.

Próximos passos para integradores

Antes de abrir novos escopos em produção, valide o catálogo atualizado no portal do Open Finance Brasil e execute testes de conformidade FAPI com a ferramenta indicada pela associação. Documente diferenças entre detentoras em uma matriz interna — isso economiza semanas quando o mesmo bug aparece em três bancos com payloads ligeiramente distintos.

Para times que ainda estão na primeira fase de leitura de dados, priorize ambientes de homologação com espelhamento de certificados de produção. O custo de retrabalho após go-live supera em muito o tempo extra de setup inicial.

Este texto reflete consulta à documentação vigente em Jun 8, 2026. Alterações normativas posteriores podem invalidar trechos específicos. Correções e atualizações: [email protected].