INSTITUIÇÕES FINANCEIRAS
DISPOSIÇÕES
RESOLUÇÃO CONJUNTA BCB/CMN N° 06, de 23.05.2023
(DOU de 24.05.2023)
Dispõe sobre requisitos para compartilhamento de dados e informações sobre indícios de fraudes a serem observados pelas instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
O BANCO CENTRAL DO BRASIL, na forma do art. 9° da Lei n° 4.595, de 31 de dezembro de 1964, torna público que sua Diretoria Colegiada, em sessão realizada em 10 de maio de 2023, com base nos arts. 9°-A da Lei n° 4.728, de 14 de julho de 1965, 9°, caput e inciso II, da Lei n° 12.865, de 9 de outubro de 2013, e o Conselho Monetário Nacional, em sessão realizada em 18 de maio de 2023, com base nos arts. 4°, inciso VIII, da Lei n° 4.595, de 1964, 20, § 1°, da Lei n° 4.864, de 29 de novembro de 1965, 1° do Decreto-Lei n° 70, de 21 de novembro de 1966, 7° e 23, alínea "a", da Lei n° 6.099, de 12 de setembro de 1974, 1°, § 1°, inciso XIII, e § 3°, inciso I, da Lei Complementar n° 105, de 10 de janeiro de 2001, 1°, inciso II, da Lei n° 10.194, de 14 de fevereiro de 2001, e 1°, § 1°, da Lei Complementar n° 130, de 17 de abril de 2009,
RESOLVERAM:
Art. 1° Esta Resolução Conjunta dispõe sobre requisitos para compartilhamento de dados e informações sobre indícios de fraudes a serem observados pelas instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
§ 1° O disposto nesta Resolução Conjunta não se aplica às administradoras de consórcio.
§ 2° Para os fins desta Resolução Conjunta, as instituições de que trata o caput são consideradas instituições financeiras para os efeitos da Lei Complementar n° 105, de 10 de janeiro de 2001.
Art. 2° As instituições devem compartilhar dados e informações com as demais instituições referidas no art. 1° com a finalidade de subsidiar seus procedimentos e controles para prevenção de fraudes.
§ 1° O compartilhamento de que trata o caput deve ser realizado por meio de sistema eletrônico que contemple, no mínimo, as seguintes funcionalidades:
I - o registro de dados e de informações sobre indícios de ocorrências ou de tentativas de fraudes identificadas pelas instituições em suas atividades;
II - a alteração e a exclusão dos dados e das informações registrados nos termos do § 1°, inciso I, deste artigo, conforme o caso; e
III - a consulta dos dados e das informações registrados de que trata o § 1°, inciso I, deste artigo.
§ 2° O registro dos dados e das informações de que trata o § 1°, inciso I, deste artigo devem contemplar, no mínimo:
I - a identificação de quem, segundo os indícios disponíveis, teria executado ou tentado executar a fraude, quando aplicável;
II - a descrição dos indícios da ocorrência ou da tentativa de fraude;
III - a identificação da instituição responsável pelo registro dos dados e das informações; e
IV - a identificação dos dados da conta destinatária e de seu titular, em caso de transferência ou pagamento de recursos.
§ 3° As instituições de que trata o caput devem obter do cliente com quem possuam relacionamento o consentimento prévio e geral, possibilitando o registro dos dados e das informações de que trata o § 2° que digam respeito ao referido cliente.
§ 4° O consentimento de que trata o § 3° deve:
I - ter como finalidade o tratamento e o compartilhamento de dados e informações sobre indícios de fraudes no âmbito desta Resolução Conjunta; e
II - constar de contrato firmado entre o cliente e a instituição, mediante cláusula em destaque no corpo do instrumento contratual ou por outro instrumento jurídico válido.
§ 5° A documentação de que trata o inciso II do § 4° deve ficar à disposição do Banco Central do Brasil.
§ 6° Os dados e as informações a serem compartilhados, conforme o disposto no caput deste artigo, devem ser disponibilizados em conformidade com a legislação e a regulamentação em vigor, observado o dever de sigilo, a proteção dos dados pessoais e a livre concorrência.
§ 7° O registro de que trata o § 1°, inciso I, deste artigo não se aplica aos dados e às informações sigilosos, nos termos de legislação especial, relacionados a indícios da prática dos crimes de "lavagem" ou ocultação de bens, direitos e valores e de financiamento do terrorismo.
§ 8° As instituições devem estabelecer e documentar os procedimentos e critérios para identificação de que trata o inciso I do § 2° deste artigo, de forma detalhada e compatível com o perfil de risco da instituição, com a legislação e com a regulamentação em vigor, os quais incluirão, no mínimo, a conferência com dados constantes de sistemas, cadastros e demais bases de dados disponíveis para consulta.
§ 9° Os procedimentos e controles de que trata o caput incluem, por exemplo, aqueles previstos para fins de prestação de serviços de pagamento, bem como para a abertura e a manutenção de contas de depósitos e de pagamento, nos termos da regulamentação em vigor.
Art. 3° As instituições de que trata o art. 1°, para atingir a finalidade do compartilhamento de que trata o art. 2°, devem conduzir suas atividades em observância da legislação e da regulamentação em vigor, observados o dever de sigilo, a proteção de dados pessoais e a livre concorrência, bem como os seguintes princípios:
I - segurança e privacidade de dados e de informações compartilhados no âmbito desta Resolução Conjunta;
II - qualidade dos dados e informações compartilhados;
III - acesso pleno e não discriminatório das instituições às funcionalidades do sistema eletrônico de que trata o art. 2°, § 1°;
IV - eficiência no cumprimento dos requisitos do sistema eletrônico de que trata esta Resolução Conjunta, inclusive no padrão único e comum de comunicação de que trata o art. 4°, inciso II;
V - reciprocidade com outras instituições, no tocante aos dados e às informações compartilhados no âmbito desta Resolução Conjunta; e
VI - interoperabilidade com outros sistemas eletrônicos implementados em atendimento ao disposto nesta Resolução Conjunta, quando existentes, nos termos do art. 4°, inciso IV.
Art. 4° As instituições devem observar, para fins de implementação do sistema eletrônico de que trata o art. 2°, § 1°, os seguintes requisitos:
I - permitir o acesso pleno das instituições de que trata o art. 1° às funcionalidades do referido sistema com a respectiva identificação de quem realizou o acesso;
II - adotar um padrão único e comum de comunicação que permita a execução das suas funcionalidades;
III - contemplar procedimentos e controles para assegurar:
a) o cumprimento da legislação e da regulamentação em vigor;
b) a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações nele registrados;
c) a sua aderência a certificações de segurança;
d) a elaboração de relatórios por empresa de auditoria especializada independente relativos aos procedimentos e aos controles utilizados na execução das suas funcionalidades;
e) o provimento de informações e de recursos de gestão adequados ao monitoramento de suas funcionalidades;
f) a identificação e a segregação dos dados e das informações registrados por meio de controles físicos ou lógicos;
g) a qualidade dos controles de acesso voltados à proteção dos dados e das informações registrados por meio do referido sistema; e
h) ao titular dos dados, o livre acesso às informações que lhe digam respeito, bem como a exclusão ou a correção tempestiva dos dados e das informações registrados, em caso de eventuais erros, inconsistências ou outras demandas, em observância da legislação e da regulamentação vigentes; e
IV - assegurar a sua interoperabilidade com outros sistemas eletrônicos implementados em atendimento ao disposto nesta Resolução Conjunta, quando existentes.
Parágrafo único. O atendimento aos requisitos de que trata este artigo deve ser documentado.
Art. 5° É facultada a contratação de empresa para a prestação do serviço de compartilhamento de dados e informações de que trata o art. 2°, com observância do disposto nesta Resolução Conjunta, na legislação e na regulamentação em vigor, especialmente nas regulamentações dispondo sobre a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
§ 1° No caso da contratação de que trata o caput, permanecerão com a instituição contratante as responsabilidades para os fins desta Resolução Conjunta, inclusive referentes ao tratamento dos dados compartilhados, realizado em nome da instituição contratante.
§ 2° O serviço prestado de que trata o caput é considerado relevante para fins da aplicação da regulamentação vigente sobre a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
Art. 6° As instituições de que trata o art. 1° são responsáveis:
I - pela confiabilidade, integridade, disponibilidade, segurança e pelo sigilo em relação aos dados e informações por elas registrados nos termos do art. 2°, § 1°, inciso I;
II - pela implementação das funcionalidades do sistema de que trata o art. 2°, § 1°;
III - pela observância aos requisitos citados no art. 4°;
IV - pela utilização dos dados e das informações por elas obtidos em consulta ao sistema eletrônico de que trata o art. 2°, § 1°, e pela preservação do sigilo de tais dados; e
V - pelo cumprimento da legislação e da regulamentação em vigor.
Art. 7° As instituições de que trata o art. 1° devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a efetividade do cumprimento do disposto nesta Resolução Conjunta, incluindo:
I - a definição de processos, testes e trilhas de auditoria;
II - a definição de métricas e indicadores adequados; e
III - a identificação e a correção de eventuais deficiências.
Parágrafo único. Os mecanismos de que trata o caput devem ser submetidos a testes periódicos pela auditoria interna, quando aplicável, compatíveis com os controles internos da instituição.
Art. 8° As instituições devem deixar à disposição do Banco Central do Brasil:
I - a documentação sobre o sistema eletrônico de que trata o art. 2°, § 1°, inclusive a respeito dos requisitos de que trata o art. 4°, parágrafo único;
II - por dez anos, os dados e as informações compartilhados, nos termos do art. 2°, § 6°, inciso II, e a documentação com os critérios e procedimentos a que se refere o art. 2°, § 8°; e
III - por cinco anos, os dados, os registros e as informações relativas à aplicação dos mecanismos de acompanhamento e de controle de que trata o art. 7°, contado o prazo referido neste inciso a partir de cada aplicação dos citados mecanismos.
Art. 9° O Banco Central do Brasil poderá adotar, no âmbito de suas atribuições legais, as medidas necessárias à execução do disposto nesta Resolução Conjunta, o que inclui estabelecer, entre outros aspectos:
I - as funcionalidades do sistema eletrônico, observado o conteúdo mínimo do art. 2°, § 1°;
II - o escopo dos dados e das informações a serem registrados de que trata ao art. 2°, § 1°, inciso I, observado o conteúdo mínimo disposto no art. 2°, § 2°;
III - o detalhamento dos parâmetros sobre acordos de níveis de serviço na execução das funcionalidades do sistema de que trata o art. 2°, § 1°;
IV - os requisitos técnicos de segurança para funcionamento do sistema de que trata o art. 2°, § 1°, observado o disposto no art. 4°, conforme o caso;
V - a adequação dos mecanismos de que trata o art. 7°; e
VI - demais requisitos técnicos e procedimentos operacionais para o compartilhamento de dados e informações de que trata o art. 2°.
§ 1° Na regulamentação das medidas de que trata o caput, o Banco Central do Brasil deverá observar os princípios referidos no art. 3°.
§ 2° Na regulamentação de que trata o inciso II do caput, o Banco Central do Brasil deverá observar, também, as seguintes diretrizes gerais:
I - os dados e as informações sobre indícios de ocorrências ou de tentativas de fraudes a serem registrados deverão ser aqueles necessários e adequados para subsidiar os procedimentos e controles das instituições referidas no art. 1° para prevenção de fraudes; e
II - o conteúdo do registro deverá acompanhar as inovações tecnológicas e procedimentais, a fim de manter sua aptidão para o objetivo de prevenção a fraudes em cenários futuros.
Art. 10. O Banco Central do Brasil poderá vetar ou impor restrições à contratação de que trata o art. 5°, quando constatar, a qualquer tempo, a inobservância do disposto nesta Resolução Conjunta, bem como a limitação à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação de processos.
Art. 11. O acesso aos dados e às informações compartilhados nos termos desta Resolução Conjunta será restrito às instituições referidas no art. 1°, ao Banco Central do Brasil e às demais autoridades competentes, nos termos da legislação em vigor.
Art. 12. O disposto nesta Resolução Conjunta não exime a instituição da responsabilidade de:
I - efetuar os procedimentos e os controles para prevenção de fraudes previstos na regulamentação em vigor; e
II - comunicar informações a respeito de fraudes às autoridades competentes, nos termos da legislação em vigor.
Art. 13. Esta Resolução Conjunta entra em vigor em 1° de novembro de 2023.
Roberto de Oliveira Campos Neto
Presidente do Banco Central do Brasil