Open Finance é Seguro? Tudo Que Você Precisa Saber Antes de Compartilhar Seus Dados Bancários

Você quer organizar suas finanças. Quer ver todas as transações num só lugar, sem precisar abrir cinco apps de banco todo dia. Mas na hora de conectar a conta bancária a um serviço como o Manio, bate aquela dúvida: "e se roubarem meu dinheiro?", "e se hackearem esse app?", "por que eu daria acesso ao meu banco para uma empresa que eu nem conheço?"

Essas preocupações fazem total sentido. Estamos falando da sua conta bancária, do seu dinheiro. Ninguém deveria sair conectando serviços sem entender exatamente o que está acontecendo. Este artigo existe para te dar as informações que você precisa para tomar essa decisão com confiança. Sem papo de vendedor, sem pressão. Só os fatos.

O que é o Open Finance Brasil

Antes de falar de segurança, é importante entender o que é o Open Finance Brasil e por que ele existe.

O Open Finance Brasil é uma regulamentação do Banco Central do Brasil (BCB), estabelecida pela Resolução Conjunta n. 1 de 2020 e aprimorada por normativos subsequentes. Ela obriga todos os grandes bancos e instituições financeiras do país a disponibilizar APIs padronizadas para que você, como cliente, possa compartilhar seus dados financeiros com serviços terceiros autorizados.

A palavra-chave aqui é você. O Open Finance parte do princípio de que os dados bancários pertencem ao cliente, não ao banco. Você tem o direito legal de compartilhá-los com quem quiser, e o banco é obrigado a fornecer uma forma segura e padronizada de fazer isso.

Na prática, o Open Finance funciona através de um sistema de consentimento controlado pelo próprio banco. Nenhum serviço terceiro tem acesso direto à sua conta. Tudo passa por uma camada de autorização oficial, regulada e auditada pelo Banco Central.

Open Finance vs. Screen Scraping: são coisas completamente diferentes

Se você já usou algum serviço de gestão financeira antigamente, talvez tenha precisado digitar seu login e senha do banco dentro de um app terceiro. Isso se chama "screen scraping" e é, com razão, motivo de preocupação.

No screen scraping, o app literalmente faz login na sua conta como se fosse você. Ele tem acesso total ao internet banking, vê seu saldo, suas transações, e em teoria poderia fazer qualquer coisa que você faz quando está logado. Para isso funcionar, você precisa entregar sua senha. Se o serviço for hackeado, sua senha vai junto.

O Open Finance é fundamentalmente diferente. Veja a comparação:

• Screen scraping: você dá sua senha para um app terceiro, que faz login no banco se passando por você. O app tem acesso total e irrestrito.
• Open Finance: você faz login diretamente no app/site do seu banco. O banco emite um token de acesso com escopo limitado (somente leitura de transações). O serviço terceiro nunca vê sua senha.

No Open Finance, o banco funciona como intermediário: ele só expõe os dados que você autorizou explicitamente, e você pode cortar o acesso a qualquer momento.

Como funciona a conexão na prática

Quando você conecta um banco ao Manio pelo Open Finance, o fluxo é o seguinte:

• Passo 1: No Manio, você clica para conectar um banco e escolhe sua instituição (Nubank, Itaú, Bradesco, Inter, etc.)
• Passo 2: Você é redirecionado para a tela oficial do seu banco. É o mesmo ambiente onde você faz login normalmente, com a mesma URL, o mesmo certificado SSL e a mesma segurança.
• Passo 3: Dentro do app/site do banco, você aprova o compartilhamento de dados. O banco mostra exatamente quais dados serão compartilhados e por quanto tempo.
• Passo 4: O banco emite um token OAuth com escopo limitado. Esse token permite ao Manio acessar somente os dados que você autorizou (transações, saldos). Nada mais.
• Passo 5: O Manio usa esse token para ler suas transações e enviá-las para o YNAB, Google Sheets ou Notion, conforme você configurou.

Em nenhum momento o Manio vê sua senha do banco. A autenticação acontece inteiramente nos servidores do banco.

Os tokens são somente leitura

Este é provavelmente o ponto mais importante de tudo que você vai ler neste artigo.

Os tokens emitidos pelo Open Finance para compartilhamento de dados de transações (Fase 2 do Open Finance) são somente leitura. Isso significa que, mesmo que alguém tivesse acesso ao token, não seria possível:

• Fazer Pix pela sua conta
• Fazer TED, DOC ou qualquer transferência
• Pagar boletos
• Alterar dados cadastrais
• Solicitar empréstimos
• Fazer qualquer movimentação financeira

O token permite apenas ler informações: transações, saldos e dados cadastrais que você autorizou. Nenhuma operação de escrita (movimentação financeira) é possível com esse tipo de token.

Isso é diferente de Pix por API ou pagamentos via Open Finance (Fase 3), que existem, mas são um fluxo completamente separado, com autorizações e consentimentos distintos. O Manio opera exclusivamente na Fase 2 (dados de transações) e não tem acesso a nenhuma funcionalidade de pagamento ou transferência.

Quem regula e fiscaliza tudo isso

O Open Finance Brasil não é um programa voluntário criado por fintechs. É uma regulamentação obrigatória do Banco Central do Brasil. Toda instituição que participa precisa:

• Ser registrada no diretório oficial do Open Finance Brasil, mantido pelo BCB
• Passar por processos de certificação técnica e de segurança
• Seguir padrões rígidos de criptografia e proteção de dados (toda comunicação é protegida por TLS/HTTPS)
• Ser auditada periodicamente pelo Banco Central
• Cumprir a LGPD (Lei Geral de Proteção de Dados) em relação ao tratamento de dados pessoais

Instituições que descumprem as regras estão sujeitas a sanções do Banco Central. Não é um sistema de confiança cega. É um sistema regulado, com consequências reais para quem não cumpre os padrões.

O que acontece se o Manio for hackeado?

Pergunta justa. Vamos ser diretos.

O Manio não armazena suas credenciais bancárias. Não temos sua senha, não temos seus dados de login. O que temos são tokens de acesso OAuth emitidos pelo seu banco, com escopo limitado a leitura de dados.

Se, hipoteticamente, alguém obtivesse acesso a esses tokens, conseguiria ler suas transações recentes e saldos. Isso é uma exposição de dados pessoais, que é algo sério e que tratamos com a máxima seriedade. Mas não seria possível movimentar seu dinheiro. Os tokens de Fase 2 do Open Finance simplesmente não têm essa capacidade.

Além disso, tokens OAuth têm validade limitada e podem ser revogados a qualquer momento pelo banco emissor. Se houver qualquer suspeita de comprometimento, basta revogar o consentimento pelo app do banco e o token se torna inútil instantaneamente.

Compare isso com um cenário de screen scraping, onde um vazamento exporia sua senha bancária, que dá acesso total à conta. A diferença é abismal.

Você tem controle total

Um dos aspectos mais importantes do Open Finance é que o controle está sempre com você. Especificamente:

• Você escolhe quais contas compartilhar: pode compartilhar apenas a conta corrente do Nubank e não o cartão de crédito, por exemplo
• Você escolhe por quanto tempo: o consentimento tem uma validade definida (tipicamente 12 meses). Depois disso, o acesso expira automaticamente
• Você pode revogar a qualquer momento: basta acessar as configurações de Open Finance no app do seu banco. A revogação é imediata
• Você pode ver quem tem acesso: o app do seu banco mostra todos os consentimentos ativos de Open Finance

Se em qualquer momento você não quiser mais compartilhar dados, é só revogar. Sem burocracia, sem ligar para ninguém, sem pedir cancelamento. Um toque no app e acabou.

Criptografia e proteção em trânsito

Toda comunicação no ecossistema do Open Finance Brasil acontece sobre canais criptografados com TLS (Transport Layer Security). É o mesmo nível de criptografia usado quando você acessa o internet banking do seu banco.

Isso significa que, mesmo que alguém intercepte a comunicação entre o Manio e a API do banco, os dados estariam criptografados e seriam ilegíveis. Além do TLS, o Open Finance Brasil exige o uso de certificados digitais (mTLS) para autenticação mútua entre as instituições participantes, o que adiciona mais uma camada de segurança.

Por que empresas pedem acesso bancário, afinal?

Se o Open Finance existe e é seguro, por que usar um serviço como o Manio em vez de simplesmente exportar seu extrato manualmente?

Porque a proposta do Manio é eliminar trabalho manual. Em vez de você abrir o app do banco, baixar um CSV, importar no YNAB ou colar no Google Sheets toda semana, o Manio faz isso automaticamente. Você configura uma vez e suas transações fluem para o destino que você escolheu.

Para fazer isso, o Manio precisa ler suas transações. E a forma mais segura de ler transações bancárias no Brasil hoje é pelo Open Finance, que foi criado exatamente para isso. Não é um hack, não é uma gambiarra. É o canal oficial, regulado pelo Banco Central, com todas as proteções que descrevemos neste artigo.

Perguntas Frequentes

O Manio pode roubar meu dinheiro?

Não. Os tokens de Open Finance usados pelo Manio são somente leitura. Eles permitem acessar transações e saldos, mas não permitem fazer Pix, TED, pagamentos ou qualquer tipo de movimentação. É tecnicamente impossível movimentar dinheiro com um token de Fase 2 do Open Finance.

E se eu me arrepender de ter conectado meu banco?

Basta abrir o app do seu banco, ir nas configurações de Open Finance e revogar o consentimento do Manio. A revogação é imediata e o Manio perde o acesso no mesmo instante. Não precisa entrar em contato com o Manio para isso.

O Manio guarda minha senha do banco?

Não. O Manio nunca vê sua senha. A autenticação acontece diretamente nos servidores do seu banco, através do fluxo OAuth do Open Finance. O que o Manio recebe é um token de acesso emitido pelo banco, não suas credenciais.

O Open Finance é a mesma coisa que Open Banking?

São termos relacionados. O Open Banking foi o nome inicial do programa no Brasil, quando cobria apenas dados bancários. Em 2022, o Banco Central renomeou para Open Finance para refletir a expansão para seguros, investimentos e outros produtos financeiros. Na prática, quando alguém fala "Open Banking Brasil" ou "Open Finance Brasil", está se referindo ao mesmo ecossistema regulado pelo BCB.

E se a empresa por trás do Manio fechar?

Se o Manio deixar de existir, seus tokens de Open Finance simplesmente expiram na data de validade do consentimento. O acesso não é permanente. E você pode revogar o consentimento a qualquer momento pelo app do banco, independentemente do status do Manio.

O Open Finance funciona com qualquer banco?

O Open Finance é obrigatório para todos os grandes bancos e instituições financeiras reguladas pelo Banco Central. Na prática, Nubank, Itaú, Bradesco, Santander, Banco do Brasil, Caixa, Inter, C6 e muitos outros já participam. Bancos menores e cooperativas estão aderindo gradualmente.

Conclusão: entenda os riscos reais

A preocupação com segurança bancária não é paranoia. É prudência. E você está certo em questionar antes de conectar qualquer serviço ao seu banco.

O que esperamos que este artigo tenha mostrado é que o Open Finance Brasil foi desenhado exatamente para resolver esse problema: permitir o compartilhamento seguro de dados financeiros, sem expor senhas, sem permitir movimentações e com controle total nas mãos do cliente.

Não existe risco zero em nenhuma atividade digital. Mas o Open Finance reduz drasticamente a superfície de ataque comparado com alternativas como screen scraping ou compartilhamento manual de credenciais. É, hoje, a forma mais segura de compartilhar dados bancários no Brasil.

Se você quer saber mais sobre como o Manio funciona na prática, confira nossos guias:

• YNAB: como sincronizar o Nubank com o YNAB, Itaú com o YNAB, Bradesco com o YNAB, Inter com o YNAB, e se o YNAB funciona com bancos brasileiros
• Google Sheets: Nubank com o Sheets, Itaú com o Sheets, Bradesco com o Sheets, Inter com o Sheets, e como sincronizar bancos brasileiros com o Google Sheets
• Notion: Nubank com o Notion, Itaú com o Notion, e como automatizar dados bancários no Notion

← Voltar ao Blog