O Banco Central do Brasil (BCB) publicou, em 4 de outubro, a Resolução BCB 343/23, sobre as medidas necessárias para o compartilhamento de dados e informações sobre indícios de fraudes.
A medida complementa a Resolução Conjunta 6/23, editada pelo BCB em conjunto com o Conselho Monetário Nacional (CMN) em maio. O documento estabeleceu uma base normativa para o compartilhamento de dados e informações sobre indícios de fraudes pelas instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo BCB, exceto as administradoras de consórcio.
Tanto a Resolução BCB 343/23 quanto a Resolução Conjunta 6/23 devem entrar em vigor em 1º de novembro deste ano.
A nova norma estabelece que as instituições devem registrar em sistemas apropriados os indícios de ocorrências ou de tentativas de fraudes em suas atividades de:
- abertura e manutenção de conta de depósitos ou de conta de pagamento;
- prestação de serviço de pagamento, compreendendo transferência eletrônica disponível (TED), cheque, pagamento instantâneo (Pix), documento de crédito (DOC), boleto de pagamento e saques de recursos em espécie; e
- contratação de operação de crédito.
A Resolução 343/23 lista os requisitos mínimos para registro das ocorrências e os requisitos e parâmetros para os sistemas em que serão feitos os registros.
Requisitos do registro
A Resolução Conjunta 6/23 estabelece a exigência de identificação de quem teria executado ou tentado executar uma fraude, a descrição dos indícios da ocorrência ou da tentativa de fraude, a identificação da instituição responsável pelo registro dos dados e das informações e, em caso de transferência ou pagamento de recursos, a identificação dos dados da conta destinatária e de seu titular. Já a Resolução BCB 343/23 especifica os requisitos mínimos para cada uma dessas exigências.
Para a identificação do executor da fraude, deve-se registrar:
- nome completo e número no Cadastro de Pessoas Físicas (CPF), caso o autor da ocorrência seja um indivíduo; ou
- razão social, número no Cadastro Nacional da Pessoa Jurídica (CNPJ), nome fantasia e, quando disponível, CPF dos representantes legais, caso o autor da ocorrência seja uma pessoa jurídica.
Para descrever os indícios da ocorrência, é preciso apontar:
- data, horário e local (quando disponível) do indício da ocorrência ou da tentativa de fraude;
- atividade;
- valor da transação ou valor contratado;
- descrição da causa ou procedimento;
- forma de interação ou canal utilizado;
- dispositivo eletrônico utilizado;
- se houve ou não a atuação do cliente; e
- se seria um indício de ocorrência ou de tentativa de fraude.
A instituição responsável pelo registro dos dados e das informações deve ser identificada com seu nome e CNPJ. Já a identificação dos dados da conta destinatária e de seu titular será feita apontando-se:
- o identificador da instituição;
- o código da agência (se houver); e
- o número e tipo da conta e identificação de seu(s) titular(es), com nome completo e CPF ou razão social, CNPJ, nome fantasia e, quando disponível, CPF dos representantes legais, conforme aplicável.
O registro de dados e de informações sobre indícios de ocorrências ou de tentativas de fraudes deverá ser feito em, no máximo, 24 horas contadas da identificação pelas instituições da ocorrência. O mesmo prazo se aplica às alterações e exclusões de dados consideradas necessárias.
Requisitos dos sistemas de registro de ocorrência
Os sistemas de registro devem ser interoperáveis e permitir que as instituições realizem uma declaração mensal de conformidade.
Também precisam oferecer leiautes, regras, procedimentos, tecnologias e recursos para a troca de informações entre sistemas, a fim de manter a unicidade do registro de dados e de informações, garantir a troca de informações necessárias à identificação do sistema eletrônico em que é feito o registro e prover acesso seguro aos dados e informações armazenados.
A Resolução 343/23 lista ainda requisitos técnicos necessários para a segurança dos sistemas e para a terceirização do serviço de compartilhamento de dados e informações, além de parâmetros para acordos sobre nível de serviço.
A implementação desses aspectos sistêmicos deve ser feita até 1º de fevereiro de 2024.
Outros aspectos da Resolução BCB 343/23
De acordo com a Resolução BCB 343/23, as instituições que ela regula são responsáveis pelo cumprimento da norma, inclusive quando terceirizam o serviço de compartilhamento de dados e informações.
Essas instituições devem criar mecanismos de acompanhamento e de controle para garantir que as normas sejam cumpridas, além de manter à disposição do BCB, pelo prazo de cinco anos:
- as declarações de conformidade efetuadas pelas instituições nos sistemas;
- os leiautes padronizados dos arquivos, regras, procedimentos, tecnologias e demais recursos necessários para a troca de informações entre sistemas eletrônicos;
- eventuais contratos de terceirização de serviço de compartilhamento de dados e informações;
- os resultados dos testes de intrusão nos sistemas e a documentação sobre os acordos de níveis de serviço;
- os dados, registros e informações relativos à aplicação dos mecanismos de acompanhamento e controle.
A Resolução BCB 343/23 é mais um passo do BCB para ampliar e aprimorar os instrumentos de que dispõem as instituições do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro para prevenir e controlar fraudes.
Entre as medidas que foram recentemente editadas com esse objetivo estão a Resolução BCB 142/21, que trata de procedimentos e controles para prevenção de fraudes na prestação de serviços de pagamento, a Instrução Normativa BCB 375/23, que trouxe aperfeiçoamentos em relação à notificação de infrações e à consulta de informações vinculadas às chaves de identificação no Pix, e a própria Resolução Conjunta 6/23.