Sumário Executivo

A Instrução Normativa BCB N° 720, publicada em 02 de abril de 2026, oficializa a entrada em vigor da versão 5.0 do Manual de Segurança do Open Finance. Emanada pelo Banco Central do Brasil (BCB), a normativa visa reforçar a resiliência cibernética e a padronização de segurança em todo o ecossistema financeiro compartilhado, alinhando-se aos princípios norteadores de proteção de dados da Resolução Conjunta nº 1/2020.

Esta nova versão introduz aprimoramentos técnicos significativos na gestão de identidades digitais. O destaque corporativo recai sobre a definição de novas regras para os certificados digitais utilizados nas comunicações entre sistemas Front-End, além de detalhar processos estritos (itens 3.28 a 3.30) para a validação sistêmica desses certificados. Há também a introdução de excepcionalidades estratégicas que desobrigam o uso de certificados complexos para o compartilhamento de dados públicos específicos, como características de produtos e canais de atendimento.

Para a Alta Gestão e diretorias de Compliance de todas as instituições autorizadas pelo BCB, esta norma exige uma revisão imediata do roadmap tecnológico. Embora a vigência geral seja imediata, o regulador estruturou uma janela de adequação tática até 03 de novembro de 2026 para as implementações de validação mais complexas. O não cumprimento pode resultar no bloqueio de acesso ao Portal Open Finance do Brasil, impactando diretamente a esteira de negócios da instituição.

Impacto Sistêmico

**MÉDIO**

O impacto sistêmico e financeiro é considerado MÉDIO, pois representa uma evolução evolutiva de uma infraestrutura tecnológica já existente (o Open Finance). Contudo, a inadequação nos mecanismos de validação contínua de certificados digitais pode gerar interrupções de serviço (downtime) e falhas de integração sistêmica em escala.

Base Normativa

Norma: Instrução Normativa BCB N° 720, de 02 de abril de 2026.

Alterações: Revoga integralmente a Instrução Normativa BCB nº 305, de 15 de setembro de 2022. Atualiza diretrizes baseadas na Resolução Conjunta nº 1, de 2020.

Motivação: No atual cenário macroeconômico de alta digitalização, a motivação regulatória do BCB é blindar o Sistema Financeiro Nacional contra fraudes cibernéticas. Ao impor regras mais rígidas e dinâmicas para a verificação de certificados digitais, o regulador mitiga o risco de interceptação de dados em trânsito via APIs, garantindo a confiabilidade do ecossistema do Open Finance.

Acessar Regulamentação Original

BC - Instrução Normativa BCB N° 720 de 02/04/2026

Adequação

O cronograma estabelecido pelo BCB divide-se em duas fases críticas de Compliance. A Fase 1 ocorre de imediato, na data de publicação (02 de abril de 2026), contemplando as exceções de dados públicos e novas regras de Front-End (itens como o 3.10 e 3.15). A Fase 2 possui como *deadline* impreterível o dia 03 de novembro de 2026, data em que a obrigatoriedade de implementação dos mecanismos avançados de validação de certificados (itens 3.28 a 3.30 e 6.18) entra em produção para todos os participantes do Open Finance.

Impacto Operacional

A norma gera alocação de esforço para os *squads* de arquitetura de software, Segurança da Informação (Infosec) e operações de TI. Os custos envolverão horas de desenvolvimento para parametrizar os novos mecanismos de verificação de certificados digitais nos conectores do Open Finance. Processos operacionais de gestão do ciclo de vida de chaves criptográficas precisarão ser auditados e ajustados. Além disso, testes de estresse nas APIs deverão ser rodados para garantir que as novas checagens de segurança não causem degradação de performance (*latência*) na jornada do cliente.

Alterações de Layout

A norma não afeta diretamente os layouts de relatórios regulatórios e arquivos CADOC, sendo exclusivamente voltada para a arquitetura de rede e protocolos de segurança cibernética. Para os times de engenharia, as mudanças ocorrem nos API Gateways e configurações de TLS. O novo Item 3.10 cria exceções lógicas de certificação para chamadas que consultam dados abertos (produtos/canais). O Item 3.15 altera requisitos criptográficos para sistemas Front-End. As maiores alterações técnicas residem na inclusão dos itens 3.28 a 3.30 e 6.18, que obrigam os desenvolvedores a implementar e parametrizar rotinas automatizadas de validação de revogação de certificados digitais (como OCSP e consultas a CRLs). Os times técnicos deverão buscar as especificações de payload e parâmetros de resposta diretamente no Portal do Open Finance no Brasil, acessando a Área do Desenvolvedor.