Altera o Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020, que disciplina o funcionamento do arranjo de pagamentos Pix, para dispor sobre a comunicação aos titulares da ocorrência de incidente de segurança com dados pessoais, e altera os Anexos I e II à Resolução BCB nº 177, de 22 de dezembro de 2021 (Manual de Penalidades do Pix), para dispor sobre o descumprimento de requisitos técnicos de segurança do Pix e sobre os critérios para aplicação de penalidades.
A Diretoria Colegiada do Banco Central do Brasil, em sessão realizada em 26 de setembro de 2023, com base no art. 10, inciso IV, da Lei nº 4.595, de 31 de dezembro de 1964, no art. 10 da Lei nº 10.214, de 27 de março de 2001, nos arts. 6º, 7º, 9º, 10, 14 e 15 da Lei nº 12.865, de 9 de outubro de 2013, na Resolução nº 4.282, de 4 de novembro de 2013, no Comunicado nº 32.927, de 21 de dezembro de 2018, e no Comunicado nº 34.085, de 28 de agosto de 2019, resolve:
Art. 1º O Regulamento anexo à Resolução BCB nº 1, de 12 de agosto de 2020 (Regulamento do Pix), passa a vigorar com as seguintes alterações:
“Art. 32. ……………………………………….
……………………………………………………
VI – conferir tratamento não discriminatório para os diferentes participantes do Pix com os quais estabelecerem relação para a prestação do serviço, em termos de qualidade e de preço do serviço prestado;
VII – utilizar as informações vinculadas às chaves Pix para fins de segurança do Pix, de que tratam os §§ 1º e 2º do art. 59, como um dos fatores a serem considerados para fins de autorização e de rejeição de transações no âmbito do Pix; e
VIII – comunicar aos titulares de contas transacionais providas pelo participante que sejam pessoas naturais a ocorrência de incidente de segurança com dados pessoais envolvendo banco de dados relacionado a componente ou a infraestrutura do Pix, mesmo que o participante provedor da conta não seja o responsável pelo incidente e ainda que o incidente de segurança não possa acarretar risco ou dano relevante aos titulares, nos termos definidos pelo Banco Central do Brasil em documento específico.
Parágrafo único. O Banco Central do Brasil estabelecerá em documento específico os procedimentos operacionais relativos à comunicação de que trata o inciso VIII do caput.” (NR)
Art. 2º O Anexo I à Resolução BCB nº 177, de 22 de dezembro de 2021 (Manual de Penalidades do Pix), passa a vigorar com as seguintes alterações:
“Art. 5º ………………………………………
I – ………………………………………………
………………………………………………….
e) deixar de garantir a correta atuação do terceiro com vistas a assegurar a segurança, a eficiência, a confiabilidade, a integridade, o sigilo e a qualidade do serviço de pagamento, de que tratam o inciso VII do § 2º e o inciso IV do § 5º, ambos do art. 116 do Regulamento do Pix;
f) deixar de atender requisitos técnicos de segurança do Pix, ressalvado o disposto nos incisos II e III;
II – ……………………………………………..
………………………………………………….
c) deixar de atender requisitos técnicos de segurança do Pix, tendo como consequência incidente de segurança com as seguintes repercussões:
1. comprometimento, ainda que de forma parcial, da realização de transações Pix que envolvam seus usuários finais; ou
2. comprometimento da confidencialidade, da integridade ou da disponibilidade de informações vinculadas a chaves Pix, a transações Pix ou a usuários finais do Pix, excetuados os eventos cujas consequências se restrinjam à exposição de informações que possam ser disponibilizadas nas condições previstas no Regulamento do Pix;
………………………………………………….
III – …………………………………………….
………………………………………………….
b) deixar de atender requisitos técnicos de segurança do Pix, tendo como consequência incidente de segurança com as seguintes repercussões:
1. comprometimento, ainda que de forma parcial, do funcionamento de componentes ou de infraestruturas do Pix; ou
2. subtração de recursos em conta transacional de usuário final;
………………………………………………….
§ 2º O valor-base atribuível à infração será multiplicado pelo resultado da soma dos fatores de ponderação previstos nas Tabelas 1, 2 e 3 do Anexo II, os quais se baseiam, respectivamente, no tipo de instituição, no percentual do total de transações Pix do participante cursadas no Sistema de Pagamentos Instantâneos (SPI) e no percentual do total de chaves Pix potencialmente comprometidas em incidente de segurança.
………………………………………………….” (NR)
“Art. 6º ………………………………………
………………………………………………….
II – for verificado o descumprimento total ou parcial da notificação de que trata o art. 91-B do Regulamento do Pix, inclusive no que tange à não efetividade das medidas a que se referem os incisos I e II do § 1º do mesmo artigo;
III – o participante deixar de agir tempestivamente para cessar ou mitigar eventos que comprometam a segurança do Pix;
IV – o participante não comprovar que adotou medidas para reestabelecer o mais rápido possível a disponibilidade do serviço, nos casos em que essa disponibilidade for afetada;
V – houver o comprometimento da confidencialidade de dados que evidenciem situação financeira, fiscal ou patrimonial de usuários finais; ou
VI – houver o comprometimento da confidencialidade de dados utilizados para fins de segurança.
………………………………………………….” (NR)
Art. 3º O Anexo II à Resolução BCB nº 177, de 2021, passa a vigorar com as seguintes alterações:
“FATORES DE PONDERAÇÃO PARA CÁLCULO DE MULTA
Vide Tabela 1 – Fator de ponderação por tipo de instituição
Vide Tabela 2 – Percentual do total das transações Pix pagas e recebidas no Sistema de Pagamentos Instantâneos (SPI) no período compreendido pelas 3 (três) datas-bases anteriores à infração da penalidade
Vide Tabela 3 – Percentual do total de chaves Pix potencialmente comprometidas em incidentes de segurança em relação ao total de chaves Pix registradas no DICT na data de cessação do evento ” (NR)
Art. 4º Esta Resolução entra em vigor na data de sua publicação.
RENATO DIAS DE BRITO GOMES
Diretor de Organização do Sistema Financeiro e de Resolução