Dispõe sobre requisitos para compartilhamento de dados e informações sobre indícios de fraudes a serem observados pelas instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que sua Diretoria Colegiada, em sessão realizada em 10 de maio de 2023, com base nos arts. 9º-A da Lei nº 4.728, de 14 de julho de 1965, 9º, caput e inciso II, da Lei nº 12.865, de 9 de outubro de 2013, e o Conselho Monetário Nacional, em sessão realizada em 18 de maio de 2023, com base nos arts. 4º, inciso VIII, da Lei nº 4.595, de 1964, 20, § 1º, da Lei nº 4.864, de 29 de novembro de 1965, 1º do Decreto-Lei nº 70, de 21 de novembro de 1966, 7º e 23, alínea “a”, da Lei nº 6.099, de 12 de setembro de 1974, 1º, § 1º, inciso XIII, e § 3º, inciso I, da Lei Complementar nº 105, de 10 de janeiro de 2001, 1º, inciso II, da Lei nº 10.194, de 14 de fevereiro de 2001, e 1º, § 1º, da Lei Complementar nº 130, de 17 de abril de 2009, resolveram:
Art. 1º Esta Resolução Conjunta dispõe sobre requisitos para compartilhamento de dados e informações sobre indícios de fraudes a serem observados pelas instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
§ 1º O disposto nesta Resolução Conjunta não se aplica às administradoras de consórcio.
§ 2º Para os fins desta Resolução Conjunta, as instituições de que trata o caput são consideradas instituições financeiras para os efeitos da Lei Complementar nº 105, de 10 de janeiro de 2001.
Art. 2º As instituições devem compartilhar dados e informações com as demais instituições referidas no art. 1º com a finalidade de subsidiar seus procedimentos e controles para prevenção de fraudes.
§ 1º O compartilhamento de que trata o caput deve ser realizado por meio de sistema eletrônico que contemple, no mínimo, as seguintes funcionalidades:
I – o registro de dados e de informações sobre indícios de ocorrências ou de tentativas de fraudes identificadas pelas instituições em suas atividades;
II – a alteração e a exclusão dos dados e das informações registrados nos termos do § 1º, inciso I, deste artigo, conforme o caso; e
III – a consulta dos dados e das informações registrados de que trata o § 1º, inciso I, deste artigo.
§ 2º O registro dos dados e das informações de que trata o § 1º, inciso I, deste artigo devem contemplar, no mínimo:
I – a identificação de quem, segundo os indícios disponíveis, teria executado ou tentado executar a fraude, quando aplicável;
II – a descrição dos indícios da ocorrência ou da tentativa de fraude;
III – a identificação da instituição responsável pelo registro dos dados e das informações; e
IV – a identificação dos dados da conta destinatária e de seu titular, em caso de transferência ou pagamento de recursos.
§ 3º As instituições de que trata o caput devem obter do cliente com quem possuam relacionamento o consentimento prévio e geral, possibilitando o registro dos dados e das informações de que trata o § 2º que digam respeito ao referido cliente.
§ 4º O consentimento de que trata o § 3º deve:
I – ter como finalidade o tratamento e o compartilhamento de dados e informações sobre indícios de fraudes no âmbito desta Resolução Conjunta; e
II – constar de contrato firmado entre o cliente e a instituição, mediante cláusula em destaque no corpo do instrumento contratual ou por outro instrumento jurídico válido.
§ 5º A documentação de que trata o inciso II do § 4º deve ficar à disposição do Banco Central do Brasil.
§ 6º Os dados e as informações a serem compartilhados, conforme o disposto no caput deste artigo, devem ser disponibilizados em conformidade com a legislação e a regulamentação em vigor, observado o dever de sigilo, a proteção dos dados pessoais e a livre concorrência.
§ 7º O registro de que trata o § 1º, inciso I, deste artigo não se aplica aos dados e às informações sigilosos, nos termos de legislação especial, relacionados a indícios da prática dos crimes de “lavagem” ou ocultação de bens, direitos e valores e de financiamento do terrorismo.
§ 8º As instituições devem estabelecer e documentar os procedimentos e critérios para identificação de que trata o inciso I do § 2º deste artigo, de forma detalhada e compatível com o perfil de risco da instituição, com a legislação e com a regulamentação em vigor, os quais incluirão, no mínimo, a conferência com dados constantes de sistemas, cadastros e demais bases de dados disponíveis para consulta.
§ 9º Os procedimentos e controles de que trata o caput incluem, por exemplo, aqueles previstos para fins de prestação de serviços de pagamento, bem como para a abertura e a manutenção de contas de depósitos e de pagamento, nos termos da regulamentação em vigor.
Art. 3º As instituições de que trata o art. 1º, para atingir a finalidade do compartilhamento de que trata o art. 2º, devem conduzir suas atividades em observância da legislação e da regulamentação em vigor, observados o dever de sigilo, a proteção de dados pessoais e a livre concorrência, bem como os seguintes princípios:
I – segurança e privacidade de dados e de informações compartilhados no âmbito desta Resolução Conjunta;
II – qualidade dos dados e informações compartilhados;
III – acesso pleno e não discriminatório das instituições às funcionalidades do sistema eletrônico de que trata o art. 2º, § 1º;
IV – eficiência no cumprimento dos requisitos do sistema eletrônico de que trata esta Resolução Conjunta, inclusive no padrão único e comum de comunicação de que trata o art. 4º, inciso II;
V – reciprocidade com outras instituições, no tocante aos dados e às informações compartilhados no âmbito desta Resolução Conjunta; e
VI – interoperabilidade com outros sistemas eletrônicos implementados em atendimento ao disposto nesta Resolução Conjunta, quando existentes, nos termos do art. 4º, inciso IV.
Art. 4º As instituições devem observar, para fins de implementação do sistema eletrônico de que trata o art. 2º, § 1º, os seguintes requisitos:
I – permitir o acesso pleno das instituições de que trata o art. 1º às funcionalidades do referido sistema com a respectiva identificação de quem realizou o acesso;
II – adotar um padrão único e comum de comunicação que permita a execução das suas funcionalidades;
III – contemplar procedimentos e controles para assegurar:
a) o cumprimento da legislação e da regulamentação em vigor;
b) a confidencialidade, a integridade, a disponibilidade e a recuperação dos dados e das informações nele registrados;
c) a sua aderência a certificações de segurança;
d) a elaboração de relatórios por empresa de auditoria especializada independente relativos aos procedimentos e aos controles utilizados na execução das suas funcionalidades;
e) o provimento de informações e de recursos de gestão adequados ao monitoramento de suas funcionalidades;
f) a identificação e a segregação dos dados e das informações registrados por meio de controles físicos ou lógicos;
g) a qualidade dos controles de acesso voltados à proteção dos dados e das informações registrados por meio do referido sistema; e
h) ao titular dos dados, o livre acesso às informações que lhe digam respeito, bem como a exclusão ou a correção tempestiva dos dados e das informações registrados, em caso de eventuais erros, inconsistências ou outras demandas, em observância da legislação e da regulamentação vigentes; e
IV – assegurar a sua interoperabilidade com outros sistemas eletrônicos implementados em atendimento ao disposto nesta Resolução Conjunta, quando existentes.
Parágrafo único. O atendimento aos requisitos de que trata este artigo deve ser documentado.
Art. 5º É facultada a contratação de empresa para a prestação do serviço de compartilhamento de dados e informações de que trata o art. 2º , com observância do disposto nesta Resolução Conjunta, na legislação e na regulamentação em vigor, especialmente nas regulamentações dispondo sobre a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
§ 1º No caso da contratação de que trata o caput, permanecerão com a instituição contratante as responsabilidades para os fins desta Resolução Conjunta, inclusive referentes ao tratamento dos dados compartilhados, realizado em nome da instituição contratante.
§ 2º O serviço prestado de que trata o caput é considerado relevante para fins da aplicação da regulamentação vigente sobre a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo Banco Central do Brasil.
Art. 6º As instituições de que trata o art. 1º são responsáveis:
I – pela confiabilidade, integridade, disponibilidade, segurança e pelo sigilo em relação aos dados e informações por elas registrados nos termos do art. 2º, § 1º, inciso I;
II – pela implementação das funcionalidades do sistema de que trata o art. 2º, § 1º;
III – pela observância aos requisitos citados no art. 4º;
IV – pela utilização dos dados e das informações por elas obtidos em consulta ao sistema eletrônico de que trata o art. 2º, § 1º, e pela preservação do sigilo de tais dados; e
V – pelo cumprimento da legislação e da regulamentação em vigor.
Art. 7º As instituições de que trata o art. 1º devem instituir mecanismos de acompanhamento e de controle com vistas a assegurar a efetividade do cumprimento do disposto nesta Resolução Conjunta, incluindo:
I – a definição de processos, testes e trilhas de auditoria;
II – a definição de métricas e indicadores adequados; e
III – a identificação e a correção de eventuais deficiências.
Parágrafo único. Os mecanismos de que trata o caput devem ser submetidos a testes periódicos pela auditoria interna, quando aplicável, compatíveis com os controles internos da instituição.
Art. 8º As instituições devem deixar à disposição do Banco Central do Brasil:
I – a documentação sobre o sistema eletrônico de que trata o art. 2º, § 1º, inclusive a respeito dos requisitos de que trata o art. 4º, parágrafo único;
II – por dez anos, os dados e as informações compartilhados, nos termos do art. 2º, § 6º, inciso II, e a documentação com os critérios e procedimentos a que se refere o art. 2º, § 8º; e
III – por cinco anos, os dados, os registros e as informações relativas à aplicação dos mecanismos de acompanhamento e de controle de que trata o art. 7º, contado o prazo referido neste inciso a partir de cada aplicação dos citados mecanismos.
Art. 9º O Banco Central do Brasil poderá adotar, no âmbito de suas atribuições legais, as medidas necessárias à execução do disposto nesta Resolução Conjunta, o que inclui estabelecer, entre outros aspectos:
I – as funcionalidades do sistema eletrônico, observado o conteúdo mínimo do art. 2º, § 1º;
II – o escopo dos dados e das informações a serem registrados de que trata ao art. 2º, § 1º, inciso I, observado o conteúdo mínimo disposto no art. 2º, § 2º;
III – o detalhamento dos parâmetros sobre acordos de níveis de serviço na execução das funcionalidades do sistema de que trata o art. 2º, § 1º;
IV – os requisitos técnicos de segurança para funcionamento do sistema de que trata o art. 2º, § 1º, observado o disposto no art. 4º, conforme o caso;
V – a adequação dos mecanismos de que trata o art. 7º; e
VI – demais requisitos técnicos e procedimentos operacionais para o compartilhamento de dados e informações de que trata o art. 2º.
§ 1º Na regulamentação das medidas de que trata o caput, o Banco Central do Brasil deverá observar os princípios referidos no art. 3º.
§ 2º Na regulamentação de que trata o inciso II do caput, o Banco Central do Brasil deverá observar, também, as seguintes diretrizes gerais:
I – os dados e as informações sobre indícios de ocorrências ou de tentativas de fraudes a serem registrados deverão ser aqueles necessários e adequados para subsidiar os procedimentos e controles das instituições referidas no art. 1º para prevenção de fraudes; e
II – o conteúdo do registro deverá acompanhar as inovações tecnológicas e procedimentais, a fim de manter sua aptidão para o objetivo de prevenção a fraudes em cenários futuros.
Art. 10. O Banco Central do Brasil poderá vetar ou impor restrições à contratação de que trata o art. 5º, quando constatar, a qualquer tempo, a inobservância do disposto nesta Resolução Conjunta, bem como a limitação à atuação do Banco Central do Brasil, estabelecendo prazo para a adequação de processos.
Art. 11. O acesso aos dados e às informações compartilhados nos termos desta Resolução Conjunta será restrito às instituições referidas no art. 1º, ao Banco Central do Brasil e às demais autoridades competentes, nos termos da legislação em vigor.
Art. 12. O disposto nesta Resolução Conjunta não exime a instituição da responsabilidade de:
I – efetuar os procedimentos e os controles para prevenção de fraudes previstos na regulamentação em vigor; e
II – comunicar informações a respeito de fraudes às autoridades competentes, nos termos da legislação em vigor.
Art. 13. Esta Resolução Conjunta entra em vigor em 1º de novembro de 2023.
ROBERTO DE OLIVEIRA CAMPOS NETO
Presidente do Banco Central do Brasil