Qual a sua melhor aposta?
19 de junho de 2024
Presidente da camara-e.net é fonte de reportagem do Valor Econômico sobre Open Finance
10 de julho de 2024
Por Robson Machado*
Dentre as várias propostas do plano de regulação da SUSEP (Superintendência de Seguros Privados) para 2024, uma merece destaque especial: a Política Nacional de Acesso ao Seguro, que visa democratizar e ampliar o acesso da população aos serviços de seguros, iniciativa intimamente alinhada aos princípios do Open Insurance (ambos têm como objetivos promover a inclusão, a proteção financeira, a transparência e competição, a interoperabilidade e o empoderamento do consumidor no mercado de seguros).
Desta forma, o Open Insurance surge como um grande aliado da SUSEP na realização dessa política, facilitando o acesso aos dados e serviços de forma segura e eficiente, e permitindo que os consumidores tenham uma visão mais clara e integrada de suas relações com os vários entes do mercado.
Entretanto, recentes análises técnicas, realizadas no Manual de Experiência do Cliente e no Guia de Experiência do Usuário do Open Insurance, identificaram pontos críticos que precisam ser abordados e alinhados para não comprometerem o sucesso da iniciativa. Dentre os pontos identificados, um merece destaque: o fato de que estes documentos indicam a necessidade de que, a cada processo de consentimento, o usuário deva ser redirecionado para o ambiente das seguradoras e realizar um novo login.
Tal procedimento, embora até tenha sido incluído visando a segurança, pode se valer dos recursos tecnológicos ora disponíveis para ser aprimorado, proporcionando uma experiência mais fluida e conveniente aos usuários e mantendo ou ampliando os níveis de segurança.
Open Insurance: objetivos e princípios
Os normativos do Open Insurance no Brasil estabelecem uma série de objetivos e princípios que promovem uma experiência segura, eficiente e contínua para o usuário. Esses dispositivos oferecem uma base sólida para melhorias no sistema de autenticação. A Resolução CNSP nº 415/2021 elenca como objetivos beneficiar principalmente o cliente, tornar o compartilhamento de dados seguro, ágil, preciso e conveniente e promover a concorrência. Em seu Art. 9º, a Resolução Conjunta nº 1, de 4 de maio de 2020, enfatiza a importância de uma experiência de usuário contínua e sem interrupções.
Além disso, o Manual de Segurança do Open Insurance, que detalha os controles técnicos de segurança, incluindo a gestão dos redirecionamentos para manter a segurança e a integridade dos dados do usuário estabelece, em sua seção direcionada à “Implementação de Deep Links”, que o redirecionamento deve ser feito de forma que o usuário seja autenticado usando as mesmas credenciais do aplicativo original, sem etapas adicionais que comprometam a segurança ou a experiência do usuário.
Riscos do vácuo normativo
O vácuo normativo, também conhecido como lacuna normativa, refere-se à ausência ou insuficiência de certos detalhes chave nas regulamentações com relação a determinado campo ou setor. Esse fenômeno ocorre quando as normas existentes não cobrem as situações possíveis ou não são suficientemente claros para orientar as ações e decisões dos envolvidos. Como consequência, estes vácuos abrem a possibilidade para a ocorrência de diversas mazelas, tais como: insegurança jurídica, desconfiança dos consumidores, barreiras à inovação, desigualdade competitiva, riscos de segurança, dificuldades na interoperabilidade, resistência à adesão, desalinhamento com normas internacionais e falta de responsabilização.
Apesar de estabelecer objetivos e princípios claros, a norma não explicita um dispositivo específico que impeça que o usuário que tenha relação com várias seguradoras seja obrigado a realizar login em cada uma delas para ter acesso aos seus dados. E é aqui que a norma falha, ao não definir explicitamente a obrigatoriedade do SSO – Single Sign-On no Open Insurance. O Single SignOn é uma tecnologia que permite que o usuário faça login uma única vez para acessar todas as aplicações ou ambientes autorizados, sem precisar inserir suas credenciais novamente para cada novo ambiente. E essa lacuna abre um grande espaço para interpretações que podem comprometer os resultados de todo o ecossistema.
Propostas para melhoria
A SPOC é entidade integrante do ecossistema Open Insurance e seu funcionamento exige autorização formal emitida pela SUSEP, estando ela sujeita às regras e à fiscalização desse ente. Considerando ainda o fato de que o Open Insurance utiliza as mais modernas tecnologias de autenticação, dentre elas, o OAuth 2.0 e o OpenId Connect, e que tais tecnologias combinadas ao login do cliente no ambiente do corretor credenciado como Sociedade Processadora da Ordem do Cliente (SPOC) já traz todos os requisitos para que o usuário seja considerado autenticado no Open Insurance, é razoável admitir que não existe nenhum argumento técnico que justifique a necessidade de que ele refaça sua autenticação em todas as demais entidades participantes do mesmo ecossistema.
Além de alinhar o Open Insurance aos objetivos e princípios pré-estabelecidos, aperfeiçoar o processo de autenticação tornará o sistema mais amigável e eficiente, garantindo uma experiência mais natural para o usuário e colaborando para a ampliação da adesão do segurado ao modelo Open.
Aprimorar a jornada do usuário alinha-se perfeitamente com os objetivos e princípios estabelecidos pelos normativos do ecossistema. É essencial que as seguradoras, os corretores credenciados como SPOC, a estrutura de governança do Opin e os órgãos reguladores trabalhem juntos para remover barreiras e garantir uma experiência eficiente, segura e sem interrupções para o consumidor.
Toda grande jornada apresenta obstáculos e não será diferente com o Open Insurance. Não é a ausência de obstáculos que define o sucesso de uma empreitada, mas sim, a capacidade de superá-los tempestivamente. A cada etapa vencida surgirão novos desafios e a cada desafio, surgirão pessoas determinadas a buscar soluções e a ajudar no sucesso dessa iniciativa.
E a SUSEP terá sempre um papel crucial na orquestração do trabalho dessas pessoas, promovendo meios para que os objetivos e princípios sejam seguidos ou até mesmo, editando alterações normativas que simplifiquem e deem maior objetividade à interpretação pelos participantes e pela estrutura de governança do OPIN.
* Robson Machado é integrante do Comitê Open Insurance da camara-e.net, especialista em governança de sistemas, segurança da informação e certificação digital, com mais de 30 anos de experiência no mercado de seguros. Bacharel em Administração e pós-graduado em Redes de Computadores, também é escritor. Atuou como CIO na Via Internet Insurance Consulting, teve participação ativa na COTEC do Comitê Gestor da ICP-Brasil e presidiu a ONG Nação Digital.
