Resolução de n.º 343/23 complementa Resolução Conjunta de n.º 6/23 editada pelo Banco Central com o Conselho Monetário Nacional.
O Banco Central do Brasil (BCB) publicou, em 4 de outubro de 2023, a Resolução BCB de n.º 343/23, sobre as medidas necessárias para o compartilhamento de dados e informações sobre indícios de fraudes.
A medida complementa a Resolução Conjunta de n.º 6/23, editada pelo BCB em conjunto com o Conselho Monetário Nacional (CMN) em maio. O documento estabeleceu uma base normativa para o compartilhamento de dados e informações sobre indícios de fraudes pelas instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo BCB, exceto as administradoras de consórcio.
Tanto a Resolução BCB de n.º 343/23 quanto a Resolução Conjunta de n.º 6/23 entraram em vigor em 1.º de novembro do último ano.
A nova norma estabelece que as instituições devem registrar em sistemas apropriados os indícios de ocorrências ou de tentativas de fraudes em suas atividades de:
A) abertura e manutenção de conta de depósitos ou de conta de pagamento;
B) prestação de serviço de pagamento, compreendendo transferência eletrônica disponível (TED), cheque, pagamento instantâneo (Pix), documento de crédito (DOC), boleto de pagamento e saques de recursos em espécie; e
C) contratação de operação de crédito.
A Resolução de n.º 343/23 lista os requisitos mínimos para registro das ocorrências e os requisitos e parâmetros para os sistemas em que serão feitos os registros.
Requisitos do registro
A Resolução Conjunta de n.º 6/23 estabelece a exigência de identificação de quem teria executado ou tentado executar uma fraude, a descrição dos indícios da ocorrência ou da tentativa de fraude, a identificação da instituição responsável pelo registro dos dados e das informações e, em caso de transferência ou pagamento de recursos, a identificação dos dados da conta destinatária e de seu titular. Já a Resolução BCB de n.º 343/23 especifica os requisitos mínimos para cada uma dessas exigências.
Para a identificação do executor da fraude, deve-se registrar:
A) nome completo e número no Cadastro de Pessoas Físicas (CPF), caso o autor da ocorrência seja um indivíduo; ou
B) razão social, número no Cadastro Nacional da Pessoa Jurídica (CNPJ), nome fantasia e, quando disponível, CPF dos representantes legais, caso o autor da ocorrência seja uma pessoa jurídica.
Para descrever os indícios da ocorrência, é preciso apontar:
A) data, horário e local (quando disponível) do indício da ocorrência ou da tentativa de fraude;
B) atividade;
C) valor da transação ou valor contratado;
D) descrição da causa ou procedimento;
E) forma de interação ou canal utilizado;
F) dispositivo eletrônico utilizado;
G) se houve ou não a atuação do cliente; e
H) se seria um indício de ocorrência ou de tentativa de fraude.
A instituição responsável pelo registro dos dados e das informações deve ser identificada com seu nome e CNPJ. Já a identificação dos dados da conta destinatária e de seu titular será feita apontando-se:
A) o identificador da instituição;
B) o código da agência (se houver); e
C) o número e tipo da conta e identificação de seu(s) titular(es), com nome completo e CPF ou razão social, CNPJ, nome fantasia e, quando disponível, CPF dos representantes legais, conforme aplicável.
O registro de dados e de informações sobre indícios de ocorrências ou de tentativas de fraudes deverá ser feito em, no máximo, 24 horas contadas da identificação pelas instituições da ocorrência. O mesmo prazo se aplica às alterações e exclusões de dados consideradas necessárias.
Requisitos dos sistemas de registro de ocorrência
Os sistemas de registro devem ser interoperáveis e permitir que as instituições realizem uma declaração mensal de conformidade.
Também precisam oferecer leiautes, regras, procedimentos, tecnologias e recursos para a troca de informações entre sistemas, a fim de manter a unicidade do registro de dados e de informações, garantir a troca de informações necessárias à identificação do sistema eletrônico em que é feito o registro e prover acesso seguro aos dados e informações armazenados.
A Resolução 343/23 lista ainda requisitos técnicos necessários para a segurança dos sistemas e para a terceirização do serviço de compartilhamento de dados e informações, além de parâmetros para acordos sobre nível de serviço.
A implementação desses aspectos sistêmicos deve ser feita até 1.º de fevereiro de 2024.
Outros aspectos da Resolução BCB de n.º 343/23
Segundo a Resolução BCB de n.º 343/23, as instituições que ela regula são responsáveis pelo cumprimento da norma, inclusive quando terceirizam o serviço de compartilhamento de dados e informações.
Essas instituições devem criar mecanismos de acompanhamento e de controle para garantir que as normas sejam cumpridas, além de manter à disposição do BCB, pelo prazo de cinco anos:
A) as declarações de conformidade efetuadas pelas instituições nos sistemas;
B) os leiautes padronizados dos arquivos, regras, procedimentos, tecnologias e demais recursos necessários para a troca de informações entre sistemas eletrônicos;
C) eventuais contratos de terceirização de serviço de compartilhamento de dados e informações;
D) os resultados dos testes de intrusão nos sistemas e a documentação sobre os acordos de níveis de serviço;
E) os dados, registros e informações relativos à aplicação dos mecanismos de acompanhamento e controle.
A Resolução BCB de n.º 343/23 é mais um passo do BCB para ampliar e aprimorar os instrumentos de que dispõem as instituições do Sistema Financeiro Nacional e do Sistema de Pagamentos Brasileiro para prevenir e controlar fraudes.
Entre as medidas que foram recentemente editadas com esse objetivo estão a Resolução BCB de n.º 142/21, que trata de procedimentos e controles para prevenção de fraudes na prestação de serviços de pagamento, a Instrução Normativa BCB de n.º 375/23, que trouxe aperfeiçoamentos em relação à notificação de infrações e à consulta de informações vinculadas às chaves de identificação no Pix, e a própria Resolução Conjunta de n.º 6/23.
