O Banco Central do Brasil (BCB) publicou, em 4 de outubro, a Resolução BCB 343/23, sobre as medidas necessárias para o compartilhamento de dados e informações sobre indícios de fraudes.

A medida complementa a Resolução Conjunta 6/23, editada pelo BCB em conjunto com o Conselho Monetário Nacional (CMN) em maio. O documento estabeleceu uma base normativa para o compartilhamento de dados e informações sobre indícios de fraudes pelas instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo BCB, exceto as administradoras de consórcio.

Tanto a Resolução BCB 343/23 quanto a Resolução Conjunta 6/23 devem entrar em vigor em 1º de novembro deste ano.

A nova norma estabelece que as instituições devem registrar em sistemas apropriados os indícios de ocorrências ou de tentativas de fraudes em suas atividades de:

  • abertura e manutenção de conta de depósitos ou de conta de pagamento;
  • prestação de serviço de pagamento, compreendendo transferência eletrônica disponível (TED), cheque, pagamento instantâneo (Pix), documento de crédito (DOC), boleto de pagamento e saques de recursos em espécie; e
  • contratação de operação de crédito.

A Resolução 343/23 lista os requisitos mínimos para registro das ocorrências e os requisitos e parâmetros para os sistemas em que serão feitos os registros.

Requisitos do registro

A Resolução Conjunta 6/23 estabelece a exigência de identificação de quem teria executado ou tentado executar uma fraude, a descrição dos indícios da ocorrência ou da tentativa de fraude, a identificação da instituição responsável pelo registro dos dados e das informações e, em caso de transferência ou pagamento de recursos, a identificação dos dados da conta destinatária e de seu titular. Já a Resolução BCB 343/23 especifica os requisitos mínimos para cada uma dessas exigências.

Para a identificação do executor da fraude, deve-se registrar:

  • nome completo e número no Cadastro de Pessoas Físicas (CPF), caso o autor da ocorrência seja um indivíduo; ou
  • razão social, número no Cadastro Nacional da Pessoa Jurídica (CNPJ), nome fantasia e, quando disponível, CPF dos representantes legais, caso o autor da ocorrência seja uma pessoa jurídica.

Para descrever os indícios da ocorrência, é preciso apontar:

  • data, horário e local (quando disponível) do indício da ocorrência ou da tentativa de fraude;
  • atividade;
  • valor da transação ou valor contratado;
  • descrição da causa ou procedimento;
  • forma de interação ou canal utilizado;
  • dispositivo eletrônico utilizado;
  • se houve ou não a atuação do cliente; e
  • se seria um indício de ocorrência ou de tentativa de fraude.

A instituição responsável pelo registro dos dados e das informações deve ser identificada com seu nome e CNPJ. Já a identificação dos dados da conta destinatária e de seu titular será feita apontando-se:

  • o identificador da instituição;
  • o código da agência (se houver); e
  • o número e tipo da conta e identificação de seu(s) titular(es), com nome completo e CPF ou razão social, CNPJ, nome fantasia e, quando disponível, CPF dos representantes legais, conforme aplicável.

O registro de dados e de informações sobre indícios de ocorrências ou de tentativas de fraudes deverá ser feito em, no máximo, 24 horas contadas da identificação pelas instituições da ocorrência. O mesmo prazo se aplica às alterações e exclusões de dados consideradas necessárias.

Requisitos dos sistemas de registro de ocorrência

Os sistemas de registro devem ser interoperáveis e permitir que as instituições realizem uma declaração mensal de conformidade.

Também precisam oferecer leiautes, regras, procedimentos, tecnologias e recursos para a troca de informações entre sistemas, a fim de manter a unicidade do registro de dados e de informações, garantir a troca de informações necessárias à identificação do sistema eletrônico em que é feito o registro e prover acesso seguro aos dados e informações armazenados.

A Resolução 343/23 lista ainda requisitos técnicos necessários para a segurança dos sistemas e para a terceirização do serviço de compartilhamento de dados e informações, além de parâmetros para acordos sobre nível de serviço.

A implementação desses aspectos sistêmicos deve ser feita até 1º de fevereiro de 2024.

Outros aspectos da Resolução BCB 343/23

De acordo com a Resolução BCB 343/23, as instituições que ela regula são responsáveis pelo cumprimento da norma, inclusive quando terceirizam o serviço de compartilhamento de dados e informações.

Essas instituições devem criar mecanismos de acompanhamento e de controle para garantir que as normas sejam cumpridas, além de manter à disposição do BCB, pelo prazo de cinco anos:

  • as declarações de conformidade efetuadas pelas instituições nos sistemas;
  • os leiautes padronizados dos arquivos, regras, procedimentos, tecnologias e demais recursos necessários para a troca de informações entre sistemas eletrônicos;
  • eventuais contratos de terceirização de serviço de compartilhamento de dados e informações;
  • os resultados dos testes de intrusão nos sistemas e a documentação sobre os acordos de níveis de serviço;
  • os dados, registros e informações relativos à aplicação dos mecanismos de acompanhamento e controle.

A Resolução BCB 343/23 é mais um passo do BCB para ampliar e aprimorar os instrumentos de que dispõem as instituições do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro para prevenir e controlar fraudes.

Entre as medidas que foram recentemente editadas com esse objetivo estão a Resolução BCB 142/21, que trata de procedimentos e controles para prevenção de fraudes na prestação de serviços de pagamento, a Instrução Normativa BCB 375/23, que trouxe aperfeiçoamentos em relação à notificação de infrações e à consulta de informações vinculadas às chaves de identificação no Pix, e a própria Resolução Conjunta 6/23.