BC intensifica controle sobre indícios de fraudes

Entrou em vigor (1º/11) a Resolução BCB nº 343open_in_new, publicada no último dia 4/10, cujo objetivo é permitir a implementação das medidas necessárias de compartilhamento de dados e de informações sobre indícios de fraudes nos sistemas Financeiro Nacional (SFN) e de Pagamentos Brasileiros (SPB).  

 

A norma – endereçada às instituições autorizadas a funcionar pelo BC, exceto consórcios – delimita o escopo e operacionaliza o que é previsto pela Resolução Conjunta nº 6, de 2023open_in_new, que, de forma geral, entra em vigor em 1º de novembro de 2023 (a exceção fica por conta de acordos de níveis de serviço e da funcionalidade de declaração de conformidade, que passam a valer em 1º de fevereiro de 2024). 

 

A Resolução BCB nº 343/2023, estabelece as medidas necessárias à execução do compartilhamento de dados e informações relativas a indícios de ocorrências e tentativas de fraudes com as demais instituições autorizadas a funcionar pelo BC por meio de sistema eletrônico, conforme requisitos previamente determinados pela Resolução Conjunta nº 6, de 23 de maio de 2023.

 

“A medida busca reduzir a assimetria de informação no acesso a dados e a informações utilizados para subsidiar procedimentos e controles dessas instituições para prevenção de fraudes, visando reduzir sua ocorrência no Sistema Financeiro Nacional e no Sistema de Pagamentos Brasileiro”, disse Otávio Damaso, diretor de Regulação do Banco Central do Brasil.

 

Após a publicação da Resolução Conjunta nº 6/023, o BC participou de diversas reuniões com as instituições que precisam observar a regra. Nessas ocasiões, o BC prestou esclarecimentos e recebeu subsídios de entidades associativas de diferentes segmentos regulados a respeito da implementação do compartilhamento de dados e de informações sobre indícios de fraudes. 

 

“Como resultado dessas discussões, surgiu a necessidade de o BC estabelecer, por meio de regulamentação complementar, um conjunto de medidas visando detalhar e facilitar a implementação dessas regras. Dessa forma, foi definido o escopo mínimo de dados e das informações a serem registrados, bem como adotadas outras medidas necessárias ao compartilhamento de dados e de informações sobre os indícios de fraudes”, explicou Damaso.

 

A Resolução Conjunta nº 6, de 2023, conforme mencionado, estabelece que as instituições devem compartilhar entre si, por meio de sistema eletrônico, a ser desenvolvido, dados e informações relativos a indícios de ocorrências e tentativas de fraudes. A Resolução BCB nº 343/2023, por sua vez, especifica e detalha as medidas necessárias para esse compartilhamento.

 

Esse sistema deve permitir o registro e a consulta de dados e das informações, estabelecendo ainda um rol mínimo do que deve ser informado. As instituições são responsáveis pela utilização dos dados e das informações obtidos em consulta a esse sistema eletrônico, bem como pela preservação de seu sigilo.

 

Como requisitos técnicos de segurança, o sistema deve ter autenticação; criptografia dos dados e das informações recuperadas; execução de testes de intrusão, mecanismos de rastreabilidade do acesso aos dados e às informações; compatibilidade com a política de segurança cibernética das instituições; entre outros aspectos.

 

Já sobre os acordos de níveis de serviço, cuja vigência será a partir de 1º de fevereiro de 2024, a resolução contempla parâmetros para disponibilidade do sistema eletrônico, tempo de recuperação e dispõe sobre tempos de resposta a consultas aos registros. 

 

Com relação ao escopo mínimo dos dados e das informações, a resolução determina que as instituições considerem os indícios de ocorrências ou de tentativas de fraudes, no mínimo, nas seguintes atividades:

 

•abertura de conta de depósitos ou de conta de pagamento;

•prestação de serviço de pagamento (rol mínimo estabelecido pela resolução do BC); 

•manutenção de conta de depósitos ou de conta de pagamento; 

•contratação de operação de crédito.

 

Sobre a atividade de prestação de serviço de pagamento, devem ser contemplados na análise de eventuais fraudes:

 

•transferências entre contas na própria instituição; 

•Transferência Eletrônica Disponível (TED); 

•transações de pagamento com emprego de cheque; 

•transações de pagamento instantâneo (Pix); 

•transferências por meio de Documento de Crédito (DOC); 

•boletos de pagamento; 

•saques de recursos em espécie.

 

O compartilhamento de dados e de informações sobre indícios de ocorrências ou de tentativas de fraudes devem ser compartilhados em, no máximo, 24 horas, contadas do momento em que forem detectados pelas instituições. Também deve ser feita, mensalmente, até o dia 15, a declaração de conformidade do registro em relação aos dados e às informações sobre indícios do mês anterior.

 

Essas medidas não são aplicáveis às administradoras de consórcio em função das peculiaridades do segmento e de seu tratamento regulatório específico. Esse registro também não se aplica aos dados e às informações sigilosas relacionados a indícios da prática dos crimes de “lavagem” de dinheiro ou ocultação de bens, direitos e valores e de financiamento do terrorismo.

 

A norma ainda estabelece um rol mínimo de dados e de informações que devem constar no registro do indício da ocorrência da tentativa de fraude. Entre eles, estão nome completo e número no Cadastro de Pessoas Físicas (CPF) ou razão social, número no Cadastro Nacional da Pessoa Jurídica (CNPJ) de quem tentou executar a fraude; data e horário de execução do indício da ocorrência ou da tentativa de fraude; valor da transação; identificação do dispositivo eletrônico utilizado na execução do indício da ocorrência ou da tentativa de fraude; identificação do titular da conta destinatária dos recursos etc.