Open Source, FINOS e o Stack CIB Cloud-Native

Em junho de 2026, a agenda tecnológica do corporate-investment-banking (CIB) parou de fingir. Morgan Stanley, JPMorgan e Citi têm assento no conselho de governança da FINOS e agora tratam o open source como infraestrutura core, não como projeto paralelo — um deslocamento que o Banking Dive registrou ao reportar os três bancos dobrando a aposta em código compartilhado via FINOS e Linux Foundation (Banking Dive, 2026). A razão é desconfortável para os fornecedores: o stack CIB agora precisa ser inspecionável de ponta a ponta, e caixas-pretas proprietárias não sobrevivem a uma auditoria do Artigo 5 do DORA.

Este artigo conecta esse deslocamento ao lado da engenharia. As bibliotecas em Rust que publico — noyalib, http-handle, hsh, KyberLib, html-generator, Shokunin SSG — não são o ponto em si. São exemplos concretos do que o stack CIB cloud-native parece quando se leva a tese da FINOS a sério: licenças permissivas, zero unsafe, artefatos assinados e proveniência de cadeia de suprimentos embutida em tempo de compilação.

01. Por que os CIBs estão indo para o aberto

Três pressões empurram os CIBs em direção ao open source, e nenhuma é ideológica.

Talento. Os engenheiros de infraestrutura mais fortes em 2026 constroem em público. O relatório FINOS State of Open Source in Financial Services de 2025 coloca a base de contribuidores no lado alto da curva de crescimento, com mantenedores afiliados a bancos agora visíveis em projetos de runtime da CNCF e em workstreams da FINOS (Linux Foundation, 2025). Quando um CTO Tier-1 precisa de um engenheiro sênior em Rust ou Kotlin capaz de entregar a reescrita de um sistema de compensação, esse engenheiro espera commitar upstream. Casas exclusivamente proprietárias perdem a conversa de contratação logo no início.

Compliance. O Artigo 5 do DORA coloca responsabilidade indelegável por risco de TIC no conselho. Basel III amarra capital de risco operacional a indisponibilidades. Ambos os regimes assumem que a instituição consegue auditar cada componente do caminho de produção — e isso é estruturalmente mais fácil com código open-source permissivo sob MIT, Apache 2.0 ou BSD-3-Clause do que com release de ISV em caixa-preta onde o SBOM é "confie em nós". Manifestos CycloneDX e SPDX, atestados de proveniência SLSA e assinaturas sigstore são agora o mínimo que um regulador espera ver anexado a uma pipeline de release.

Velocidade de entrega. Uma equipe de plataforma CIB que entrega uma mudança em motor de pagamentos em dias em vez de trimestres não está vencendo no heroísmo. Está vencendo no substrato compartilhado — Kubernetes, OpenTelemetry, bibliotecas de schema ISO 20022, FINOS Common Domain Model — que ninguém paga para reimplementar. A economia não favorece mais trilhos sob medida.

Três pressões, uma conclusão. Ir para o aberto é uma decisão de entrega, não de compras.

02. O stack em Rust de zero dependências

O stack CIB cloud-native em 2026 não é mais a fotografia da era LAMP de "open source = Linux + nginx + Postgres". É um conjunto em camadas de componentes permissivamente licenciados e memory-safe — cada um com seu próprio SBOM, sua própria proveniência e sua própria superfície de ameaça mínima. As bibliotecas em Rust que mantenho mapeiam de forma direta nessa camada.

• Ingress de borda. http-handle é um servidor HTTP/1.1 de zero dependências, conforme RFC 7230 / 9112, escrito em Rust seguro — construído para o momento em que a equipe de plataforma CIB percebe que a camada de ingress não deveria puxar 200 crates transitivos. O argumento está em http-handle: ingress de borda de zero dependências para bancos em Rust.
• Plano de configuração. noyalib faz parsing de YAML 1.2 com conformidade 406/406 ao spec, validação JSON-Schema e Concrete Syntax Tree lossless — para que manifestos Kubernetes, registros de servidores MCP e workflows de CI parem de ser uma superfície de ataque silenciosa. Ver Por que YAML precisa de um stack em Rust mais seguro para AI, MCP e infraestrutura financeira em 2026.
• Primitivos criptográficos. hsh provê hashing de senha Argon2id, bcrypt e scrypt com API de verificação em tempo constante. KyberLib implementa ML-KEM-512/768/1024 sob FIPS 203 para a migração pós-quântica explorada em KyberLib e a migração pós-quântica em bancos em 2026.
• Conteúdo e entrega de borda. html-generator compila Markdown acessível em HTML estruturado; Shokunin SSG constrói a publicação que você está lendo; CloudCDN fica à frente dela como um edge open-source e AI-native.

Nenhum desses é "framework" no sentido legado de banco. São componentes pequenos, permissivamente licenciados, assinados, com modelos de ameaça explícitos. Essa é a forma operacional que a tese da FINOS encoraja — e a forma que uma equipe de plataforma CIB consegue defender frente a um regulador sem deck de slides.

Uma ressalva honesta: o objetivo não é "reescrever o banco em Rust". É dar às equipes de plataforma CIB a opção de um stack memory-safe e de baixa dependência nas camadas que carregam carga — ingress, parsing, criptografia, build, cadeia de suprimentos — sem forçar uma decisão religiosa em outro lugar.

03. Open source sustenta as agendas de ISO, AI e quântica

As três agendas estruturais dos CIBs em 2026 — cutover do ISO 20022, AI agentiva em operações e migração para criptografia pós-quântica — rodam todas em código inspecionável. Nenhuma funciona como stack proprietário.

ISO 20022. A família de schemas pacs.008 / pacs.009 / camt é agora o padrão de pagamentos wholesale. A FINOS hospeda o Common Domain Model junto com bibliotecas open-source em Java e Kotlin que fazem parsing, validação e roteamento dessas mensagens. O trabalho em Automação de pacs.008 e pagamentos interbancários ISO 20022 mostra como uma pipeline clearing-grade se compõe a partir desses componentes abertos — validação de schema, remessa estruturada, rastreabilidade ponta a ponta — sem reconstruir o parser em cada banco.

AI agentiva. O Model Context Protocol (MCP) é a língua franca para permitir que agentes de AI chamem ferramentas internas do banco — e servidores MCP rodam sobre registros YAML, contas de serviço delimitadas por OAuth e pipelines de log de auditoria. O plano de controle é open source porque precisa ser: qualquer agente que toque um ledger de produção precisa de um fluxo de trabalho delimitado e inspecionável. O argumento para tratar isso como problema de engenharia em vez de seleção de fornecedor passa por Por que YAML precisa de um stack em Rust mais seguro e pelo trabalho de dotfiles de estação em Dotfiles AI-aware em 2026.

Criptografia pós-quântica. FIPS 203 (ML-KEM) e FIPS 204 (ML-DSA) são agora os alvos da migração. A troca de chaves híbrida X25519MLKEM768 é o padrão prático em TLS 1.3. Nada disso funciona sem implementações abertas que auditores e equipes de criptografia bancária consigam ler linha por linha — KyberLib sendo um exemplo, e o enquadramento mais amplo da migração sendo o assunto de KyberLib e a migração pós-quântica em bancos em 2026.

Três agendas. Uma dependência compartilhada: código aberto, assinado por sigstore, atestado por SLSA, listado em SBOM CycloneDX ou SPDX, governado por scorecards OSSF. Esse é o stack CIB cloud-native em 2026.

04. Plataformização sob PSD3 e FiDA

A agenda europeia de plataformização — PSD3, o Payment Services Regulation e o framework de Financial Data Access (FiDA) — é um compromisso regulatório com o open finance. Ela assume que os bancos conseguem expor, governar e auditar fluxos de dados em escala. Padrões abertos são a precondição, não o efeito colateral.

A perspectiva da Consultancy.uk para 2026 sobre orquestrar open banking para crescimento de plataforma faz a mesma observação a partir do lado de negócios: as instituições vencendo sob PSD3 são as que tratam o parque de APIs como produto, não como pendência de compliance (Consultancy.uk, 2026). Essa postura é impossível em um stack fechado. Produtizar APIs exige especificações OpenAPI versionadas, testes de contrato automatizados, observabilidade em cada consumidor e uma camada de governança que um auditor consiga percorrer. Cada um desses primitivos é open source em 2026, e a maioria deles está em projetos da CNCF ou da FINOS.

A mesma lógica se estende ao perímetro mais amplo de acesso a dados do FiDA — previdência, hipotecas, produtos de investimento. Um banco que controla seu parsing, ingress, configuração e criptografia com código inspecionável consegue estender o perímetro sem rearquitetar. Um banco que terceirizou essas camadas para fornecedores fechados estará pagando consultores de integração pelos próximos três anos. A tese da FINOS é, no fundo, uma tese de plataformização: detenha os padrões, compartilhe o substrato, compita na superfície.

Conclusão

O stack CIB em 2026 é aberto por padrão. Não por ideologia, mas porque as três pressões — talento, compliance, velocidade de entrega — puxam na mesma direção, e os reguladores (DORA, Basel III, PSD3, FiDA) ratificaram esse rumo. O reporting do Banking Dive sobre Morgan Stanley, JPMorgan e Citi é a versão pública de uma conversa privada que equipes sêniores de plataforma vêm tendo há dois anos.

Para conselhos, a implicação é direta. A pergunta não é mais "devemos usar open source". É: temos os SBOMs, a proveniência SLSA, as assinaturas sigstore, os scorecards OSSF e a política de contribuição alinhada à FINOS para usá-lo com segurança. Se a resposta for não, a resposta ao regulador também será não.

Para líderes de engenharia, a implicação é mais afiada. Escolha as camadas que carregam carga — ingress, parsing, criptografia, build, cadeia de suprimentos — e padronize em componentes permissivamente licenciados e memory-safe, com modelos de ameaça explícitos. Os exemplos em Rust de zero dependências deste artigo são um conjunto válido. O ponto é a forma, não a marca. Construa o substrato para que a superfície se mova rápido.

Open source não é mais a pergunta da modernização. É a resposta da modernização.

Última revisão 2026-06-28.

Última revisão 2026-06-29.

# Open Source, FINOS e o Stack CIB Cloud-Native — Sebastien Rousseau

> Originally published at [https://sebastienrousseau.com/pt-br/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/](https://sebastienrousseau.com/pt-br/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/)

Como FINOS, Linux Foundation e um stack em Rust de zero dependências reorganizam o stack CIB cloud-native — talento, compliance, PSD3 e proveniência de cadeia de suprimentos.

Read the full article on sebastienrousseau.com: https://sebastienrousseau.com/pt-br/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

Open Source, FINOS e o Stack CIB Cloud-Native — Sebastien Rousseau

Como FINOS, Linux Foundation e um stack em Rust de zero dependências reorganizam o stack CIB cloud-native — talento, compliance, PSD3 e proveniência de cadeia de suprimentos.

https://sebastienrousseau.com/pt-br/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

Open Source, FINOS e o Stack CIB Cloud-Native — Sebastien Rousseau

Como FINOS, Linux Foundation e um stack em Rust de zero dependências reorganizam o stack CIB cloud-native - talento, compliance, PSD3 e proveniência de cadeia de suprimentos.

Here are the key strategic takeaways:

- 01. Por que os CIBs estão indo para o aberto. Três pressões empurram os CIBs em direção ao open source, e nenhuma é ideológica.
- 02. O stack em Rust de zero dependências. O stack CIB cloud-native em 2026 não é mais a fotografia da era LAMP de "open source = Linux + nginx + Postgres".
- 03. Open source sustenta as agendas de ISO, AI e quântica. As três agendas estruturais dos CIBs em 2026 — cutover do ISO 20022, AI agentiva em operações e migração para criptografia pós-quântica — rodam todas em código inspecionável.
- 04. Plataformização sob PSD3 e FiDA. A agenda europeia de plataformização — PSD3, o Payment Services Regulation e o framework de Financial Data Access (FiDA) — é um compromisso regulatório com o open finance.

What is your organisation's approach to the challenges outlined in this piece?

→ https://sebastienrousseau.com/pt-br/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

#OpenSourceBancário #Finos #LinuxFoundation #CibCloudNative #RustEmBancos

Sebastien Rousseau | CC-BY-4.0

@online{rousseau2026open,
  author  = {Rousseau, Sebastien},
  title   = {{Open Source, FINOS e o Stack CIB Cloud-Native — Sebastien Rousseau}},
  year    = {2026},
  url     = {https://sebastienrousseau.com/pt-br/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/},
  urldate = {2026}
}

TY  - GEN
AU  - Rousseau, Sebastien
TI  - Open Source, FINOS e o Stack CIB Cloud-Native — Sebastien Rousseau
PY  - 2026
UR  - https://sebastienrousseau.com/pt-br/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/
ER  -

Rousseau S. Open Source, FINOS e o Stack CIB Cloud-Native — Sebastien Rousseau. sebastienrousseau.com. 2026 Jun 28. Available from: https://sebastienrousseau.com/pt-br/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

Rousseau, Sebastien. "Open Source, FINOS e o Stack CIB Cloud-Native — Sebastien Rousseau." sebastienrousseau.com. June 28, 2026. https://sebastienrousseau.com/pt-br/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/.

Rousseau, S. (2026, June 28). Open Source, FINOS e o Stack CIB Cloud-Native — Sebastien Rousseau. sebastienrousseau.com. https://sebastienrousseau.com/pt-br/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/

Open Source, FINOS e o Stack CIB Cloud-Native — Sebastien Rousseau

Como FINOS, Linux Foundation e um stack em Rust de zero dependências reorganizam o stack CIB cloud-native — talento, compliance, PSD3 e proveniência de cadeia de suprimentos.

Originally published at https://sebastienrousseau.com/pt-br/2026-06-28-open-source-finos-cloud-native-cib-stack-2026/ by Sebastien Rousseau.
Licensed under CC-BY-4.0.

SEBASTIEN ROUSSEAU · FOUNDER · ENGINEER