FAPI 1.0 no Brasil: A blindagem obrigatória que o OAuth simples não oferece
Entenda por que implementar apenas o fluxo padrão OAuth 2.0 é insuficiente para o Banco Central e como o perfil FAPI 1.0 protege o token de acesso contra replay e vazamento.
Scraping de dados x API oficial de Open Banking: Por que a continuidade do serviço depende da migração?
A dependência de screen scraping coloca em risco a operação de fintechs; entenda o porquê a migração para Open Banking é uma questão de sobrevivência técnica e legal.
Lucas FerreiraEspecialista em Pagamentos e Bancos Digitais
Se você trabalha no time de tecnologia de uma fintech ou banco digital, sabe o que é o "pânico de sábado à noite". Não é um filme de terror, é o alerta no Slack: o conector de scraping que puxa o extrato do Banco Inter ou do Nubank parou de funcionar. A razão? O banco alterou uma classe CSS no HTML ou atualizou o reCaptcha, e o seu robô, que literalmente "lê" a tela, ficou cego.
Em 2026, esse cenário ainda é real, mas inadmissível para qualquer instituição que pretenda escalar. Embora o screen scraping (raspagem de tela) tenha sido o método pioneiro para agregação bancária, ele se tornou uma bomba-relógio de continuidade. A alternativa madura é o uso do canal oficial de Open Banking. Não se trata apenas de "seguir a tendência", mas de evitar que seu produto pare de funcionar porque um desenvolvedor decidiu mudar a cor de um botão no internet banking.
A arquitetura técnica da extração de dados bancários divide-se hoje em dois caminhos opostos: a fragilidade da extração não estruturada versus a robustez de APIs padronizadas. Vamos dissecar isso.
A frágil arquitetura do Screen Scraping em 2026
O screen scraping funciona basicamente como um usuário humano automatizado. Você fornece credenciais (login e senha do usuário final) para um robô que acessa o site ou app do banco, navega pelas páginas, baixa o HTML e tenta extrair informações como saldo, lançamentos e limites de crédito usando expressões regulares ou seletores de DOM.
O problema central não é a complexidade inicial de escrever esse código, mas a sua manutenção. Em 2026, os bancos grandes atualizam suas interfaces de usuário semanalmente. Uma mudança simples na ordem dos elementos na página "Meus Cartões" pode quebrar o mapeamento do seu scraper. O resultado? Dados incorretos ou, pior, nenhum dado.
Além da instabilidade técnica, há o fator segurança. Para fazer scraping, sua empresa precisa armazenar as credenciais de acesso (login e senha) dos seus usuários. Isso cria um repositório de senhas altamente valioso para criminosos. Se o seu banco de dados for comprometido, você não apenas expõe dados financeiros, mas entrega as "chaves" das contas bancárias dos seus clientes. Em um mercado onde o vazamento de um único registro custa cerca de R$ 450,00 em danos reputacionais e processos, esse risco é desnecessário.
O canal oficial de Open Banking: estabilidade estruturada
Diferente da leitura de tela, o Open Banking no Brasil opera sob uma estrutura de dados JSON padronizada, validada pelo Banco Central. Quando você se conecta à API oficial de um participante, você não está "chutando" onde o saldo está. O contrato da API define exatamente que o campo availableAmount dentro do objeto balances trará essa informação.
Isso elimina a quebra por mudanças de layout. O banco pode mudar toda a cor e o design do aplicativo, mas o endpoint da API permanece inalterado ou evolui através de versionamento controlado, garantindo que sua integração não pare de funcionar de uma hora para outra.
A segurança aqui é outro patamar. Não há tráfego de credenciais de login e senha entre sistemas. Tudo é baseado em consentimentos e tokens OAuth 2.0. O usuário autoriza sua fintech a acessar os dados diretamente no banco, e essa autorização pode ser revogada a qualquer momento, sem expor a senha real da conta bancária. O padrão Financial-grade API (FAPI) eleva a barreira de proteção, exigindo autenticação multifator forte e assinatura digital nas requisições, algo impossível de garantir com robôs de tela.
Quebra de serviço: o pesadelo da manutenção de tela
O argumento comercial favorito de quem ainda vende scraping é o "custo baixo". É verdade que implementar um scraper para um banco específico pode parecer rápido no primeiro dia. O erro de cálculo está no TCO (Total Cost of Ownership). Em 2026, o custo de manutenção de uma suíte de scrapers que cubra os 10 maiores bancos do Brasil é astronômico.
Pense em um cenário real: o Itaú atualiza o layout do internet banking corporativo numa terça-feira comum. Seu scraper, que identificava o extrato pela posição da tabela HTML, começa a retornar lixo. Milhares de seus clientes ficam sem ver sua posição financeira integrada. O suporte é inundado. Seu time de engenharia para tudo para consertar um "seletor CSS". Enquanto isso, seu concorrente que usa Open Banking nem notou a mudança visual no app do banco.
Essa instabilidade afeta diretamente a confiança do consumidor. Se o seu produto promete "controle financeiro total" mas falha 20% das vezes na sincronização do Santander ou do Bradesco, o usuário vai cancelar a assinatura. A continuidade do serviço depende da previsibilidade do dado, e o HTML de frontend é, por natureza, imprevisível.
Risco legal e bloqueios de IP
Existe uma fronteira ética e regulatória que fica perigosa com o scraping. Embora ainda exista uma brecha jurídica enquanto o Open Banking não é 100% onipresente, os bancos têm o direito legítimo de proteger suas plataformas contra bots automatizados. A prática de scraping muitas vezes viola os Termos de Uso das instituições financeiras.
Em resposta, os bancos têm aprimorado seus firewalls de aplicação (WAF). Não é raro ver bloqueios em massa de IPs conhecidos de agregadores de dados. Se a sua fintech usa um IP compartilhado de um provedor de scraping e um concorrente mal-intencionado faz um ataque de força bruta, o IP inteiro é bloqueado pelo banco. Resultado: seus usuários legítimos ficam sem serviço, e você não tem ninguém para ligar no banco para reclamar, já que sua conexão não é oficial.
Com o Open Banking, o vínculo é institucional. Sua fintech é um participante autorizado ou um terceiro certificado. Há SLAs, canais de comunicação oficiais com o time de API do banco e respaldo do regulador em caso de disputa. O scraping é um arranjo de "guevara", enquanto o Open Banking é um casamento com contrato.
Quando o dado precisa ser rápido
Outro ponto crítico ignorado pelos defensores do scraping é a latência. Para um scraper ler uma tela, ele precisa carregar imagens, scripts, estilos e renderizar a página (mesmo em modo headless). Isso leva tempo. Para o usuário querendo ver uma atualização de saldo ou uma transação PIX recente, esse delay é perceptível e irritante.
Pensando em velocidade, dados estruturados via API são entregues em milissegundos, sem o peso visual da interface. Quanto tempo leva, em segundos, para um dado de transação PIX atualizar no padrão Open Banking? Geralmente muito menos do que o tempo necessário para um robô logar, digitar a senha e navegar até a tela de extrato. Para produtos de crédito que exigem análise de risco em tempo real, essa diferença de segundos pode significar a aprovação ou recusa de uma operação.
O custo oculto da experiência do usuário
Muitas fintechs sacrificam a UX para manter o scraping funcionando. Por exemplo, para contornar Captchas avançados ou alertas de segurança, alguns conectores pedem que o usuário repita a senha com frequência ou confirme ações no celular, gerando fricção.
Por outro lado, o Open Banking permite fluxos de redirecionamento padronizados. O usuário é levado ao ambiente do banco, dá o consentimento com biometria ou app do próprio banco, e volta. É um fluxo seguro e familiar. Existem, claro, 4 funcionalidades de UX que instituições sacrificam para passar no rigoroso security test do Open Banking, mas o resultado final é uma integração mais robusta e menos suscetível a fraudes de engenharia social, já que o cliente está interagindo diretamente com sua instituição de origem.
Por que a migração não é opcional
Chegamos a um ponto de inflexão no mercado brasileiro. O Banco Central tem pressionado cada vez mais para o descomissionamento de canais legados que permitam scraping não autorizado. A legislação sobre LGPD também fecha o cerco, exigindo que o compartilhamento de dados seja explícito, seguro e rastreável — algo que o scraping "tela abaixo" dificulta em auditar.
Continuar investindo em scraping em 2026 é tapar sol com peneira. Você pode até ter um ganho de curto prazo na velocidade de implementação para bancos menores que ainda não aderiram totalmente ao ecossistema, mas o débito técnico acumulado será impagável.
Minha recomendação é clara: encerre o desenvolvimento de novos conectores via scraping imediatamente. Mapeie os seus dados mais críticos para o negócio e inicie a migração prioritária desses canais para o Open Banking. O custo de migração é um investimento em paz operacional. Deixe o scraping apenas como um fallback de última instância para instituições de muito pequeno porte que não possuem API, e assuma que a disponibilidade desses dados será sempre instável.
O futuro não é ler telas; é consumir contratos de dados inteligentes. Quem insistir na arquitetura frágil de 2015 vai ficar para trás, lidando com Captchas e processos judiciais, enquanto os players focados em Open Banking garantem a continuidade do serviço e a confiança do cliente.
Leia em seguida
Quanto tempo leva, em segundos, para um dado de transação PIX atualizar no padrão Open Banking?
A latência entre a liquidação no DICT e a disponibilidade do dado na API de Open Banking varia de 5 a 120 segundos, dependendo da arquitetura de sincronização do participante.