Dispõe sobre as medidas necessárias à execução do compartilhamento de dados e informações sobre indícios de fraudes de que trata a Resolução Conjunta nº 6, de 23 de maio de 2023.
A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 4 de outubro de 2023, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, com base nos arts. 9º-A da Lei nº 4.728, de 14 de julho de 1965, 9º, inciso II, da Lei nº 12.865, de 9 de outubro de 2013, e tendo em vista o disposto no art. 9º da Resolução Conjunta nº 6, de 23 de maio de 2023, resolve:
CAPÍTULO I
DO OBJETO E DO ÂMBITO DE APLICAÇÃO
Art. 1º Esta Resolução dispõe sobre as medidas necessárias à execução do compartilhamento dos dados e das informações sobre indícios de fraudes de que trata a Resolução Conjunta nº 6, de 23 de maio de 2023, a serem observadas pelas instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
Parágrafo único. O disposto nesta Resolução não se aplica às administradoras de consórcio.
CAPÍTULO II
DO ESCOPO MÍNIMO DOS DADOS E DAS INFORMAÇÕES A SEREM REGISTRADOS
Art. 2º As instituições mencionadas no art. 1º devem considerar para o registro dos dados e das informações de que trata o art. 2º, § 1º, inciso I, da Resolução Conjunta nº 6, de 2023, no mínimo, os indícios de ocorrências ou de tentativas de fraudes nas seguintes atividades executadas pelas instituições:
I – abertura de conta de depósitos ou de conta de pagamento;
II – prestação de serviço de pagamento, observado o disposto no § 1º;
III – manutenção de conta de depósitos ou de conta de pagamento; e
IV – contratação de operação de crédito.
§ 1º A prestação do serviço de pagamento de que trata o inciso II do caput contempla:
I – transferências entre contas na própria instituição;
II – Transferência Eletrônica Disponível (TED);
III – transações de pagamento com emprego de cheque;
IV – transações de pagamento instantâneo (Pix);
V – transferências por meio de Documento de Crédito (DOC);
VI – boletos de pagamento; e
VII – saques de recursos em espécie.
§ 2º O registro de que trata o caput não se aplica aos dados e às informações sigilosos, nos termos de legislação especial, relacionados a indícios da prática dos crimes de “lavagem” ou ocultação de bens, direitos e valores e de financiamento do terrorismo, conforme disposto no art. 2º, § 7º, da Resolução Conjunta nº 6, de 2023.
Art. 3º Os dados e as informações a serem registrados de que trata o art. 2º, § 2º, da Resolução Conjunta nº 6, de 2023, devem conter, no mínimo, o seguinte detalhamento:
I – identificação de quem, segundo os indícios disponíveis, teria executado ou tentado executar a fraude, quando aplicável:
a) nome completo e número no Cadastro de Pessoas Físicas (CPF); ou
b) razão social, número no Cadastro Nacional da Pessoa Jurídica (CNPJ), nome fantasia e, quando disponível, CPF dos representantes legais;
II – descrição dos indícios da ocorrência ou da tentativa de fraude:
a) data de execução do indício da ocorrência ou da tentativa de fraude;
b) horário de execução do indício da ocorrência ou da tentativa de fraude, quando disponível;
c) local de execução do indício da ocorrência ou da tentativa de fraude, quando disponível;
d) atividade relacionada ao indício da ocorrência ou da tentativa de fraude de que trata o caput do art. 2º;
e) valor da transação de pagamento, caso a atividade de que trata a alínea “d” deste inciso refira-se à prestação de serviço de pagamento;
f) valor contratado, caso a atividade de que trata a alínea “d” deste inciso refira-se à contratação de operação de crédito;
g) descrição da causa ou procedimento que ensejou o indício da ocorrência ou da tentativa de fraude relacionado à atividade mencionada na alínea “d” deste inciso, quando disponível;
h) forma de interação ou canal utilizado para a execução do indício da ocorrência ou da tentativa de fraude, quando disponível;
i) identificação do dispositivo eletrônico utilizado na execução do indício da ocorrência ou da tentativa de fraude, quando disponível;
j) indicação se houve ou não a atuação do cliente no indício da ocorrência ou da tentativa de fraude, observado o disposto no § 3º; e
k) especificação quanto a tratar-se de indício de ocorrência ou de indício de tentativa de fraude;
III – identificação da instituição responsável pelo registro dos dados e das informações:
a) nome da instituição; e
b) CNPJ da instituição; e
IV – identificação dos dados da conta destinatária e de seu titular, caso a atividade de que trata a alínea “d” do inciso II do caput refira-se à prestação de serviço de pagamento contemplando a transferência ou pagamento de recursos:
a) identificador da instituição;
b) código da agência, se houver;
c) número da conta;
d) tipo da conta; e
e) identificação do(s) titular(es) da conta destinatária dos recursos:
1. nome completo e CPF; ou
2. razão social, CNPJ, nome fantasia e, quando disponível, CPF dos representantes legais.
§ 1º O detalhamento do disposto na alínea “d” do inciso II do caput:
I – não afasta a necessidade de a instituição descrever a causa ou o procedimento que ensejou o indício de ocorrência ou de tentativa de fraude, de que trata a alínea “g” do inciso II do caput, quando disponível; e
II – inclui a identificação do serviço de pagamento conforme o disposto no § 1º do art. 2º, caso a atividade de que trata a alínea “d” do inciso II do caput refira-se à prestação de serviço de pagamento.
§ 2º O tipo da conta de que trata a alínea “d” do inciso IV do caput abrange conta de depósito à vista, conta de depósito de poupança ou conta de pagamento prépaga, nos termos da regulamentação vigente.
§ 3º A atuação do cliente de que trata a alínea “j” do inciso II do caput, apurada pela instituição mencionada no art. 1º, independe de ter sido induzida ou não por terceiros.
CAPÍTULO III
DAS MEDIDAS PARA O COMPARTILHAMENTO DE DADOS E INFORMAÇÕES SOBRE INDÍCIOS DE FRAUDES
Seção I
Do prazo para registro dos dados e das informações e para a declaração de conformidade
Art. 4º Os procedimentos operacionais para o compartilhamento de dados e de informações de que trata o art. 2º da Resolução Conjunta nº 6, de 2023, devem contemplar o registro de dados e de informações sobre indícios de ocorrências ou de tentativas de fraudes em, no máximo, 24 (vinte e quatro) horas contadas do momento da identificação pelas instituições mencionadas no art. 1º do indício de ocorrência ou de tentativa de fraude em suas atividades.
Parágrafo único. O prazo máximo mencionado no caput aplica-se, também, à alteração e à exclusão dos dados e das informações registrados sobre indícios de ocorrências ou de tentativas de fraudes, contado do momento da identificação, pela instituição, da necessidade de alteração ou de exclusão desses dados e dessas informações.
Art. 5º O sistema eletrônico de que trata o art. 2º, § 1º, da Resolução Conjunta nº 6, de 2023, deve dispor de funcionalidade para permitir que as instituições mencionadas no art. 1º efetuem a declaração de conformidade, até o dia 15 (quinze) de cada mês:
I – do registro dos dados e das informações sobre indícios de ocorrências ou de tentativas de fraudes do mês anterior; ou
II – da inexistência de indício de ocorrência ou de tentativa de fraude no mês anterior.
§ 1º A declaração de conformidade de que trata o caput deve ser documentada pelas instituições mencionadas no art. 1º.
§ 2º O disposto no inciso I do caput contempla as alterações e as exclusões dos dados e das informações registrados sobre indícios de ocorrências ou de tentativas de fraudes.
Seção II
Da interoperabilidade entre sistemas eletrônicos
Art. 6º Para assegurar a interoperabilidade com outros sistemas eletrônicos implementados em atendimento ao disposto na Resolução Conjunta nº 6, de 2023, quando existentes, as instituições devem adotar, no mínimo, as seguintes medidas:
I – disponibilizar leiautes padronizados dos arquivos, regras, procedimentos, tecnologias e demais recursos necessários para a troca de informações entre sistemas eletrônicos;
II – manter a unicidade do registro de dados e de informações sobre indícios de ocorrências ou de tentativas de fraudes de que trata o art. 2º, § 1º, inciso I, da Resolução Conjunta nº 6, de 2023;
III – garantir a troca de informações necessárias à identificação do sistema eletrônico que armazena o registro único de que trata o inciso II; e
IV – prover o acesso seguro aos dados e informações armazenados no sistema eletrônico identificado nos termos do inciso III.
§ 1º O disposto no inciso I do caput deve ser documentado.
§ 2º A unicidade do registro de dados e de informações mencionada no inciso II do caput requer o registro, pela mesma instituição, de dados e de informações sobre indícios de ocorrências ou de tentativas de fraude exclusivamente em um sistema eletrônico.
Seção III
Dos requisitos para a contratação do serviço de compartilhamento de dados e informações
Art. 7º As instituições mencionadas no art. 1º, caso exerçam a faculdade de que trata o art. 10, devem assegurar que o contrato para prestação de serviço de compartilhamento de dados e informações:
I – discrimine os valores cobrados pela prestação do serviço, de acordo com as funcionalidades a serem utilizadas;
II – descreva os critérios para a definição dos valores de que trata o inciso I do caput;
III – proveja estimativa de custos para funcionalidades cujos valores não possam ser definidos no momento da celebração do contrato; e
IV – especifique eventuais funcionalidades cujos valores não serão cobrados, quando aplicável.
Seção IV
Dos requisitos técnicos de segurança
Art. 8º Os requisitos técnicos de segurança para funcionamento do sistema eletrônico de que trata o art. 2º, § 1º, da Resolução Conjunta nº 6, de 2023, contemplam:
I – a autenticação, buscando identificar a instituição que realizou o acesso às funcionalidades do referido sistema;
II – a criptografia dos dados e das informações recuperados, em decorrência do acesso de que trata o inciso I do caput, quando aplicável;
III – a execução, no mínimo anual, de testes de intrusão; e
IV – o estabelecimento de mecanismos que permitam a rastreabilidade do acesso aos dados e às informações.
§ 1º Os testes de intrusão de que trata o inciso III do caput devem ser realizados com independência e imparcialidade por pessoa natural ou jurídica especializada contratada para essa finalidade.
§ 2º As vulnerabilidades identificadas nos testes de intrusão de que trata o inciso III do caput devem ser documentadas e tempestivamente tratadas.
§ 3º A implementação dos requisitos de segurança de que trata este artigo deve ser compatível com a política de segurança cibernética da instituição, prevista na regulamentação em vigor.
Seção V
Dos parâmetros sobre acordos de níveis de serviço
Art. 9º O detalhamento dos parâmetros sobre acordos de níveis de serviço na execução das funcionalidades do sistema eletrônico de que trata o inciso III do art. 9º da Resolução Conjunta nº 6, de 2023, deve contemplar, no mínimo:
I – disponibilidade anual do sistema eletrônico em produção de, no mínimo, 99,8% (noventa e nove inteiros e oito décimos por cento);
II – tempo de recuperação objetivado para o sistema eletrônico de, no máximo, 2 (duas) horas;
III – tempo de resposta às consultas realizadas pelas instituições mencionadas no art. 1º aos dados e às informações registrados no sistema eletrônico; e
IV – tempo de resposta às consultas realizadas por outros sistemas eletrônicos aos dados e às informações registrados no sistema eletrônico para fins de atendimento à interoperabilidade de que trata o art. 6º, quando aplicável.
Parágrafo único. A documentação a respeito dos parâmetros sobre acordos de níveis de serviço deve conter:
I – os dados e as informações que subsidiem a apuração da disponibilidade do sistema eletrônico e do tempo de recuperação dispostos nos incisos I e II do caput; e
II – os dados, as informações e os parâmetros que promovam a eficiência na definição dos tempos de resposta às consultas de que tratam os incisos III e IV do caput, quando aplicável.
CAPÍTULO IV
DISPOSIÇÕES GERAIS
Art. 10. As instituições mencionadas no art. 1º são responsáveis pela observância das medidas dispostas nesta Resolução, inclusive ao exercer a faculdade de contratar empresa para a prestação do serviço de compartilhamento de dados e informações, nos termos do art. 5º da Resolução Conjunta nº 6, de 2023.
Art. 11. As instituições mencionadas no art. 1º devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a efetividade do cumprimento do disposto nesta Resolução, de forma compatível com o disposto no art. 7º da Resolução Conjunta nº 6, de 2023.
Art. 12. As instituições mencionadas no art. 1º devem manter à disposição do Banco Central do Brasil, por 5 (cinco) anos:
I – a documentação sobre a declaração de conformidade de que trata o art. 5º, § 1º, contado o prazo referido neste artigo a partir da realização da referida conformidade;
II – a documentação de que trata o art. 6º, § 1º, contado o prazo referido neste artigo a partir das últimas atualizações das referidas documentações;
III – o contrato de que trata o art. 7º, contado o prazo referido no caput a partir da extinção do contrato;
IV – os resultados dos testes de intrusão de que trata o art. 8º, caput, inciso III, contado o prazo referido neste artigo a partir da entrega dos resultados dos referidos testes;
V – a documentação a respeito dos acordos de níveis de serviço de que trata o art. 9º, parágrafo único, contado o prazo referido neste artigo a partir da última atualização da referida documentação; e
VI – os dados, os registros e as informações relativos à aplicação dos mecanismos de acompanhamento e de controle de que trata o art. 11, contado o prazo referido neste artigo a partir de cada aplicação dos citados mecanismos.
Art. 13. As instituições mencionadas no art. 1º devem implementar o disposto nos arts. 5º e 9º desta Resolução até 1º de fevereiro de 2024.
Art. 14. Esta Resolução entra em vigor em 1º de novembro de 2023.
OTÁVIO RIBEIRO DAMASO
Diretor de Regulação
Carrinho de compras