Resolução CMN Nº 5076 DE 18/05/2023


 Publicado no DOU em 22 mai 2023


Altera a Resolução nº 4.557, de 23 de fevereiro de 2017, e a Resolução nº 4.606, de 19 de outubro de 2017.


Portal do SPED

O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de dezembro de 1964, torna público que o Conselho Monetário Nacional, em sessão realizada em 18 de maio de 2023, com base no art. 4º, incisos VIII e XI, da referida Lei, no art. 20, § 1º, da Lei nº 4.864, de 29 de novembro de 1965, nos arts. 7º e 23 da Lei nº 6.099, de 12 de setembro de 1974, e nos arts. 1º, § 1º, e 12 da Lei Complementar nº 130, de 17 de abril de 2009, resolveu:

Art. 1º A Resolução nº 4.557, de 23 de fevereiro de 2017, passa a vigorar com as seguintes alterações:

"Art. 21. ......

......

§ 1º ......

I - contraparte:

a) o tomador de recursos;

b) o garantidor;

c) o emissor de título ou valor mobiliário adquirido;

d) o usuário final perante o emissor de instrumento de pagamento pós-pago;

e) o emissor perante o credenciador de instrumento de pagamento; e

f) a instituição devedora de outra instituição decorrente de acordo de interoperabilidade entre diferentes arranjos de pagamento; e

......" (NR)

"Art. 32. ......

......

§ 2º ......

......

IV - práticas inadequadas relativas a usuários finais, clientes, produtos e serviços;

......

VI - situações que acarretem a interrupção das atividades da instituição ou a descontinuidade dos serviços prestados, incluindo o de pagamentos;

......

VIII - falhas na execução, no cumprimento de prazos ou no gerenciamento das atividades da instituição, incluindo aquelas relacionadas aos arranjos de pagamento.

§ 3º Para as atividades de pagamento, as falhas mencionadas no § 2º incluem:

I - falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento;

II - falhas na identificação e autenticação do usuário final em transação de pagamento;

III - falhas na autorização das transações de pagamento; e

IV - falhas na iniciação de transação de pagamento." (NR)

"Art. 33. ......

......

IV - ......

a) assegurem integridade, segurança e disponibilidade dos dados armazenados, processados ou transmitidos e dos sistemas de informação utilizados;

b) contenham mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques digitais;

c) adotem procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;

d) monitorem as falhas na segurança dos dados e as reclamações dos usuários finais a esse respeito; e

e) sejam adequados às necessidades e às mudanças do modelo de negócio, tanto em circunstâncias normais quanto em períodos de estresse;

......

VI - realização periódica de análises de cenários com o objetivo de estimar a exposição da instituição a eventos de risco operacional raros e de alta severidade;

VII - revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;

VIII - elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;

IX - realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;

X - segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção.

§ 1º No caso de terceirização de serviços de TI, incluindo os relacionados com a segurança dos serviços de pagamento oferecidos, o respectivo contrato de prestação de serviços deve estipular que:

I - o contratado deverá atender ao disposto nos incisos IV, VII, VIII, IX e X do caput e ao disposto no § 3º;

II - a contratante terá acesso aos dados e às informações sobre os serviços prestados;

III - o Banco Central do Brasil terá acesso a:

a) termos firmados;

b) documentação e informações referentes aos serviços prestados; e

c) dependências do contratado.

......

§ 3º Para as atividades de pagamentos, a estrutura de que trata o caput deve prever adicionalmente:

I - identificação adequada do usuário final;

II - processos para assegurar que todas as transações de pagamento possam ser adequadamente rastreadas;

III - mecanismos de monitoramento e de autorização das transações de pagamento, com o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma tempestiva;

IV - avaliações e filtros específicos para identificar transações consideradas de alto risco;

V - notificação ao usuário final acerca de eventual não execução de uma transação;

VI - mecanismos que permitam ao usuário final verificar se a transação foi executada corretamente;

VII - identificação, avaliação, gerenciamento, monitoramento e mitigação do risco decorrente da participação de subcredenciador no processo de liquidação das transações de pagamento, no caso de instituição credenciadora; e

VIII - mecanismos de monitoramento e controle de falhas na iniciação de transações de pagamento, segregando, no mínimo, os seguintes eventos:

a) iniciação de transação de pagamento não autorizada;

b) não execução de iniciação de transação de pagamento;

c) execução incorreta de iniciação de transação de pagamento; e

d) atraso na iniciação de transação de pagamento." (NR)

"Art. 37. ......

......

Parágrafo único. A definição de que trata o inciso I do caput inclui a possibilidade de a instituição emissora de moeda eletrônica não ser capaz de convertê-la em moeda física ou escritural no momento da solicitação do usuário." (NR)

Art. 2º A Resolução nº 4.606, de 19 de outubro de 2017, passa a vigorar com as seguintes alterações:

"Art. 20. ......

......

Parágrafo único. A instituição optante pela metodologia simplificada de que trata esta Resolução que realize atividades de pagamento ou que tenha subsidiária que realize atividade de pagamentos deve implementar estrutura de gerenciamento do risco de liquidez conforme o disposto na Seção II-A." (NR)

"Art. 21. ......

......

VI - plano para enfrentar situações de escassez de ativos líquidos, indicando as responsabilidades, as estratégias, os procedimentos e as fontes alternativas de recursos que assegurem a manutenção de estoque adequado de ativos líquidos que possam ser prontamente convertidos em caixa sem perda relevante de valor;

......" (NR)

"Art. 22. ......

......

§ 2º ......

......

IV - práticas inadequadas relativas a usuários finais, clientes, produtos e serviços;

......

VI - situações que acarretem a interrupção das atividades das instituições ou a descontinuidade dos serviços prestados, incluindo o de pagamento;

......

VIII - falhas na execução, no cumprimento de prazos ou no gerenciamento das atividades das instituições, incluindo aquelas relacionadas aos arranjos de pagamento.

§ 3º Para as atividades de pagamento, as falhas mencionadas no § 2º incluem:

I - falhas na proteção e na segurança de dados sensíveis relacionados tanto às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo de efetuar transações de pagamento;

II - falhas na identificação e autenticação do usuário final em transação de pagamento;

III - falhas na autorização das transações de pagamento; e

IV - falhas na iniciação de transação de pagamento." (NR)

"Art. 23. ......

......

§ 1º ......

......

II - ......

......

c) dependências do contratado;

......

IV - o contratado deverá atender ao disposto no inciso IV do caput; e

V - no caso de terceirização de serviços de TI relacionados a serviços de pagamento, o contratado também deverá atender ao disposto no § 3º.

......

§ 3º Para a instituição optante pela metodologia simplificada de que trata esta Resolução que realize atividades de pagamento ou que tenha subsidiária que realize atividade de pagamentos, a estrutura de que trata o caput deve prever adicionalmente para as atividades de pagamento:

I - mecanismos de proteção e segurança dos dados armazenados, processados ou transmitidos;

II - mecanismos de proteção e segurança de redes, sítios eletrônicos, servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques;

III - procedimentos para monitorar, rastrear e restringir acesso a dados sensíveis, redes, sistemas, bases de dados e módulos de segurança;

IV - monitoramento das falhas na segurança dos dados e das reclamações dos usuários finais a esse respeito;

V - revisão das medidas de segurança e de sigilo de dados, especialmente depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos procedimentos;

VI - elaboração de relatórios que indiquem procedimentos para correção de falhas identificadas;

VII - realização de testes que assegurem a robustez e a efetividade das medidas de segurança de dados adotadas;

VIII - segregação de funções nos ambientes de tecnologia da informação destinados ao desenvolvimento, teste e produção;

IX - identificação adequada do usuário final;

X - mecanismos de autenticação dos usuários finais e de autorização das transações de pagamento;

XI - processos para assegurar que todas as transações de pagamento possam ser adequadamente rastreadas;

XII - mecanismos de monitoramento e de autorização das transações de pagamento, com o objetivo de prevenir fraudes, detectar e bloquear transações suspeitas de forma tempestiva;

XIII - avaliações e filtros específicos para identificar transações consideradas de alto risco;

XIV - notificação ao usuário final acerca de eventual não execução de uma transação;

XV - mecanismos que permitam ao usuário final verificar se a transação foi executada corretamente;

XVI - identificação, avaliação, gerenciamento, monitoramento e mitigação do risco decorrente da participação de subcredenciador no processo de liquidação das transações de pagamento, no caso de instituição credenciadora; e

XVII - mecanismos de monitoramento e controle de falhas na iniciação de transações de pagamento, segregando, no mínimo, os seguintes eventos:

a) iniciação de transação de pagamento não autorizada;

b) não execução de iniciação de transação de pagamento;

c) execução incorreta de iniciação de transação de pagamento; e

d) atraso na iniciação de transação de pagamento." (NR)

"Seção II-A

Do Gerenciamento do Risco de Liquidez

Art. 24-A. Para fins desta Resolução, define-se o risco de liquidez como a possibilidade de a instituição:

I - não ser capaz de honrar eficientemente suas obrigações esperadas e inesperadas, correntes e futuras sem afetar suas operações diárias e sem incorrer em perdas significativas; ou

II - não ser capaz de converter moeda eletrônica em moeda física ou escritural no momento da solicitação do usuário.

Art. 24-B. A estrutura simplificada de gerenciamento contínuo de riscos, de que trata o art. 21, deve prever, adicionalmente, para o risco de liquidez processos para identificar, avaliar, monitorar e controlar a exposição ao risco de liquidez em diferentes horizontes de tempo, inclusive intradia.

Art. 24-C. A instituição emissora de moeda eletrônica deve descrever as principais caraterísticas de sua estrutura de gerenciamento do risco de liquidez em relatório de acesso público, com periodicidade mínima anual.

Parágrafo único. A instituição deve divulgar, em conjunto com suas demonstrações contábeis publicadas, o endereço do sítio da instituição na internet onde se encontra o relatório mencionado no caput." (NR)

"Art. 25. ......

......

III - vantagens concedidas na reestruturação de instrumentos financeiros, conforme definido no § 1º, inciso II;

......

§ 1º ......

I - contraparte:

a) o tomador de recursos;

b) o garantidor;

c) o emissor de título ou valor mobiliário adquirido;

d) o usuário final perante o emissor de instrumento de pagamento pós-pago;

e) o emissor perante o credenciador de instrumento de pagamento; e

f) a instituição devedora de outra instituição decorrente de acordo de interoperabilidade entre diferentes arranjos de pagamento; e

......" (NR)

Art. 3º Esta Resolução entra em vigor em 1º de julho de 2023.

ROBERTO DE OLIVEIRA CAMPOS NETO

Presidente do Banco Central do Brasil