Migalhas de Peso

CMN e BC editam resolução conjunta para reforçar combate a fraudes

O texto ainda concede ao BCB competência para adotar medidas necessárias à execução da norma.

26/6/2023

Em 23 de maio, o Conselho Monetário Nacional (CMN) e o Banco Central do Brasil (BCB) publicaram sua Resolução Conjunta 6, estabelecendo uma base normativa para o compartilhamento de dados e informações sobre indícios de fraudes pelas instituições financeiras, instituições de pagamento e demais instituições autorizadas a funcionar pelo BCB, exceto as administradoras de consórcio. Essa medida foi discutida em reunião da Diretoria Colegiada do BCB ocorrida em 10 de maio e na reunião do CMN do dia 18 de maio.

Segundo o BCB, a nova norma, que entra em vigor em 1º de novembro de 2023, obriga as instituições reguladas pelo CMN e pelo próprio BCB a compartilharem dados e informações sobre indícios de fraudes que tenham obtido a partir do relacionamento com seus clientes. Pretende-se, assim, reduzir a assimetria de informação entre as instituições no sentido de permitir o reforço na prevenção e controle de fraudes. O acesso aos dados e às informações compartilhados será restrito às instituições alcançadas pela norma, ao BCB e às demais autoridades competentes, nos termos da legislação em vigor.

Na prática, a Resolução Conjunta 6 exige que as instituições reguladas compartilhem informações por meio de um sistema eletrônico que permita o registro de dados e de informações sobre indícios de ocorrências ou de tentativas de fraudes identificadas pelas instituições em suas atividades, a alteração e a exclusão dos dados e das informações registrados, bem como a consulta dos dados e das informações registrados. Os sistemas adotados pelas instituições reguladas deverão ser interoperáveis e adotar um padrão único e comum de comunicação, ou seja, deverão também ser compatíveis entre si.

O serviço de compartilhamento de dados e informações poderá ser prestado por empresa terceira contratada para tanto, devendo a prestadora de serviço observar a regulamentação que dispõe sobre a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem por instituições reguladas pelo CMN e pelo BCB, conforme Resolução CMN 4.893, de 26 de fevereiro de 2021, e Resolução BCB 85, de 8 de abril de 2021. Mesmo que o serviço seja prestado por terceiro, as instituições reguladas permanecerão responsáveis pelo cumprimento da regulamentação aplicável perante o CMN e o BCB.

Comporão o registro em si os dados referentes à identificação de quem teria executado ou tentado executar uma fraude, a descrição dos indícios da ocorrência ou da tentativa de fraude, a identificação da instituição responsável pelo registro dos dados e das informações e, em caso de transferência ou pagamento de recursos, a identificação dos dados da conta destinatária e de seu titular. A referida identificação deverá seguir procedimentos e critérios estabelecidos pelas instituições, condizentes com seu perfil de risco, com a legislação e com a regulamentação em vigor, contemplando, no mínimo, a conferência com dados constantes de sistemas, cadastros e demais bases de dados disponíveis para consulta.

As instituições sujeitas à nova norma deverão obter de seus clientes o consentimento prévio e geral para o registro dos dados e das informações sobre indícios de fraudes. Esse consentimento deve constar de contrato firmado entre o cliente e a instituição, em uma cláusula em destaque, ou em outro instrumento jurídico válido.

Vale destacar que a exigência de registro não se aplica às informações e dados sigilosos relacionados a indícios da prática dos crimes de lavagem ou ocultação de bens, direitos e valores e de financiamento do terrorismo, nos termos da legislação aplicável. As informações referentes a esses aspectos são objeto de outra normativa, a Circular 3.978 de 23 de janeiro de 2020, editada pelo BCB e aplicável às instituições dos sistemas financeiro e de pagamentos.

A disponibilização dos dados e informações terá de seguir a legislação e a regulamentação em vigor, incluindo o dever de sigilo, a proteção dos dados pessoais e a livre concorrência. Igualmente, caberá às instituições reguladas, além desses deveres, observar princípios como segurança e privacidade de dados e de informações, qualidade dos dados e informações, acesso pleno e não discriminatório das instituições às funcionalidades do sistema eletrônico, eficiência no cumprimento dos requisitos do sistema eletrônico, reciprocidade com outras instituições, além da já mencionada interoperabilidade com outros sistemas.

Outros pontos de atenção são as responsabilidades das instituições reguladas, que abrangem (i) a confiabilidade, integridade, disponibilidade, segurança e sigilo em relação aos dados e informações por elas registrados, (ii) a implementação das funcionalidades do sistema, (iii) a observância aos requisitos mínimos dos sistemas, (iv) a utilização e preservação do sigilo dos dados e das informações por elas obtidos em consulta ao sistema e (v) o cumprimento da legislação e da regulamentação em vigor. Cabe também às instituições reguladas instituir mecanismos de acompanhamento e de controle com vistas a assegurar a efetividade do cumprimento da Resolução Conjunta, sujeitos a testes periódicos por parte da auditoria interna das instituições.

O CMN e o BCB exigem também que seja deixado à disposição do BCB o contrato ou instrumento jurídico por meio do qual a instituição regulada colheu o consentimento de seu cliente para o compartilhamento de dados e informações sobre indícios de fraudes e a documentação sobre o sistema eletrônico. Além disso, deve-se deixar à disposição do BCB, por 10 (dez) anos, os dados e as informações compartilhados e a documentação contendo os critérios e procedimentos para identificação de quem teria executado ou tentado executar uma fraude e, por 5 (cinco) anos, os dados, os registros e as informações relativas à aplicação dos mecanismos de acompanhamento e de controle utilizados para assegurar a efetividade do cumprimento da Resolução Conjunta.

O texto ainda concede ao BCB competência para adotar medidas necessárias à execução da norma. A autoridade poderá também vetar ou impor restrições à contratação de empresa para a prestação do serviço de compartilhamento de dados e informações quando constatar a inobservância da regulamentação ou limitação à sua atuação.

A Resolução Conjunta 6 vem na esteira de louvável esforço das autoridades de incrementar os mecanismos à disposição das instituições para a prevenção e o controle de fraudes. Neste mesmo contexto foram as edições da Resolução BCB 142, de 23 de setembro de 2021, que trata de procedimentos e controles para prevenção de fraudes na prestação de serviços de pagamento, e, mais recentemente, da Instrução Normativa BCB 375, de 28 de abril de 2023, que trouxe aperfeiçoamentos quanto à notificação de infrações e a consulta de informações vinculadas às chaves de identificação no âmbito do pix.

Eduardo Avila de Castro
Sócio das áreas de Bancário e Seguros do Machado Meyer Advogados.

Alessandra Carolina Rossi Martins
Advogada associada do escritório Machado Meyer Advogados.

Gustavo Jorge Silva
Advogado da área de Bancário, Seguros e Financeiro do Machado Meyer.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

É constitucional a proposta de “só preto pode falar”?

5/11/2024

Vini, non vidi, perdere

5/11/2024

Planejamento sucessório – Provável alteração das alíquotas do ITCMD a partir de 2025

6/11/2024

Os impactos da reforma tributária no planejamento sucessório: Desafios e oportunidades

5/11/2024

Investigação patrimonial e tecnologia: Uma nova perspectiva na recuperação de crédito

6/11/2024