DOU 22/05/2023 - Diário Oficial da União - Brasil
Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152023052200047
47
Nº 96, segunda-feira, 22 de maio de 2023
ISSN 1677-7042
Seção 1
VI - realização periódica de análises de cenários com o objetivo de estimar a
exposição da instituição a eventos de risco operacional raros e de alta severidade;
VII - revisão das medidas de segurança e de sigilo de dados, especialmente
depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos
procedimentos;
VIII - elaboração de relatórios que indiquem procedimentos para correção de
falhas identificadas;
IX - realização de testes que assegurem a robustez e a efetividade das
medidas de segurança de dados adotadas;
X - segregação de funções nos ambientes de tecnologia da informação
destinados ao desenvolvimento, teste e produção.
§ 1º No caso de terceirização de serviços de TI, incluindo os relacionados com
a segurança dos serviços de pagamento oferecidos, o respectivo contrato de prestação
de serviços deve estipular que:
I - o contratado deverá atender ao disposto nos incisos IV, VII, VIII, IX e X do
caput e ao disposto no § 3º;
II - a contratante terá acesso aos dados e às informações sobre os serviços
prestados;
III - o Banco Central do Brasil terá acesso a:
a) termos firmados;
b) documentação e informações referentes aos serviços prestados; e
c) dependências do contratado.
.......................................................................................
§ 3º Para as atividades de pagamentos, a estrutura de que trata o caput deve
prever adicionalmente:
I - identificação adequada do usuário final;
II - processos para assegurar que todas as transações de pagamento possam
ser adequadamente rastreadas;
III - mecanismos de monitoramento e de autorização das transações de
pagamento, com o objetivo de prevenir fraudes, detectar e bloquear transações
suspeitas de forma tempestiva;
IV - avaliações e filtros específicos para identificar transações consideradas de
alto risco;
V - notificação ao usuário final acerca de eventual não execução de uma
transação;
VI - mecanismos que permitam ao usuário final verificar se a transação foi
executada corretamente;
VII - identificação, avaliação, gerenciamento, monitoramento e mitigação do
risco decorrente da participação de subcredenciador no processo de liquidação das
transações de pagamento, no caso de instituição credenciadora; e
VIII - mecanismos de monitoramento e controle de falhas na iniciação de
transações de pagamento, segregando, no mínimo, os seguintes eventos:
a) iniciação de transação de pagamento não autorizada;
b) não execução de iniciação de transação de pagamento;
c) execução incorreta de iniciação de transação de pagamento; e
d) atraso na iniciação de transação de pagamento." (NR)
"Art. 37. ........................................................................
.......................................................................................
Parágrafo único. A definição de que trata o inciso I do caput inclui a
possibilidade de a instituição emissora de moeda eletrônica não ser capaz de convertê-
la em moeda física ou escritural no momento da solicitação do usuário." (NR)
Art. 2º A Resolução nº 4.606, de 19 de outubro de 2017, passa a vigorar com
as seguintes alterações:
"Art. 20. ........................................................................
.......................................................................................
Parágrafo único. A instituição optante pela metodologia simplificada de que
trata esta Resolução que realize atividades de pagamento ou que tenha subsidiária que
realize atividade de pagamentos deve implementar estrutura de gerenciamento do risco
de liquidez conforme o disposto na Seção II-A." (NR)
"Art. 21. ........................................................................
.......................................................................................
VI - plano para enfrentar situações de escassez de ativos líquidos, indicando
as responsabilidades, as estratégias, os procedimentos e as fontes alternativas de
recursos que assegurem a manutenção de estoque adequado de ativos líquidos que
possam ser prontamente convertidos em caixa sem perda relevante de valor;
............................................................................." (NR)
"Art. 22. ........................................................................
.......................................................................................
§ 2º ...............................................................................
.......................................................................................
IV - práticas inadequadas relativas a usuários finais, clientes, produtos e
serviços;
.......................................................................................
VI - situações que acarretem a interrupção das atividades das instituições ou
a descontinuidade dos serviços prestados, incluindo o de pagamento;
.......................................................................................
VIII - falhas na execução, no cumprimento de prazos ou no gerenciamento
das atividades das instituições, incluindo aquelas relacionadas aos arranjos de
pagamento.
§ 3º Para as atividades de pagamento, as falhas mencionadas no § 2º
incluem:
I - falhas na proteção e na segurança de dados sensíveis relacionados tanto
às credenciais dos usuários finais quanto a outras informações trocadas com o objetivo
de efetuar transações de pagamento;
II - falhas na identificação e autenticação do usuário final em transação de
pagamento;
III - falhas na autorização das transações de pagamento; e
IV - falhas na iniciação de transação de pagamento." (NR)
"Art. 23. ........................................................................
.......................................................................................
§ 1º ...............................................................................
.......................................................................................
II - ..................................................................................
.......................................................................................
c) dependências do contratado;
.......................................................................................
IV - o contratado deverá atender ao disposto no inciso IV do caput; e
V - no caso de terceirização de serviços de TI relacionados a serviços de
pagamento, o contratado também deverá atender ao disposto no § 3º.
.......................................................................................
§ 3º Para a instituição optante pela metodologia simplificada de que trata
esta Resolução que realize atividades de pagamento ou que tenha subsidiária que realize
atividade de pagamentos, a estrutura de que trata o caput deve prever adicionalmente
para as atividades de pagamento:
I - mecanismos de proteção e segurança dos dados armazenados, processados
ou transmitidos;
II - mecanismos de proteção e segurança de redes, sítios eletrônicos,
servidores e canais de comunicação com vistas a reduzir a vulnerabilidade a ataques;
III - procedimentos para monitorar, rastrear e restringir acesso a dados
sensíveis, redes, sistemas, bases de dados e módulos de segurança;
IV - monitoramento das falhas na segurança dos dados e das reclamações dos
usuários finais a esse respeito;
V - revisão das medidas de segurança e de sigilo de dados, especialmente
depois da ocorrência de falhas e previamente a alterações na infraestrutura ou nos
procedimentos;
VI - elaboração de relatórios que indiquem procedimentos para correção de
falhas identificadas;
VII - realização de testes que assegurem a robustez e a efetividade das
medidas de segurança de dados adotadas;
VIII - segregação de funções nos ambientes de tecnologia da informação
destinados ao desenvolvimento, teste e produção;
IX - identificação adequada do usuário final;
X - mecanismos de autenticação dos usuários finais e de autorização das
transações de pagamento;
XI - processos para assegurar que todas as transações de pagamento possam
ser adequadamente rastreadas;
XII - mecanismos de monitoramento e de autorização das transações de
pagamento, com o objetivo de prevenir fraudes, detectar e bloquear transações
suspeitas de forma tempestiva;
XIII - avaliações e filtros específicos para identificar transações consideradas
de alto risco;
XIV - notificação ao usuário final acerca de eventual não execução de uma
transação;
XV - mecanismos que permitam ao usuário final verificar se a transação foi
executada corretamente;
XVI - identificação, avaliação, gerenciamento, monitoramento e mitigação do
risco decorrente da participação de subcredenciador no processo de liquidação das
transações de pagamento, no caso de instituição credenciadora; e
XVII - mecanismos de monitoramento e controle de falhas na iniciação de
transações de pagamento, segregando, no mínimo, os seguintes eventos:
a) iniciação de transação de pagamento não autorizada;
b) não execução de iniciação de transação de pagamento;
c) execução incorreta de iniciação de transação de pagamento; e
d) atraso na iniciação de transação de pagamento." (NR)
"Seção II-A
Do Gerenciamento do Risco de Liquidez
Art. 24-A. Para fins desta Resolução, define-se o risco de liquidez como a
possibilidade de a instituição:
I - não ser capaz de honrar eficientemente suas obrigações esperadas e
inesperadas, correntes e futuras sem afetar suas operações diárias e sem incorrer em
perdas significativas; ou
II - não ser capaz de converter moeda eletrônica em moeda física ou
escritural no momento da solicitação do usuário.
Art. 24-B. A estrutura simplificada de gerenciamento contínuo de riscos, de
que trata o art. 21, deve prever, adicionalmente, para o risco de liquidez processos para
identificar, avaliar, monitorar e controlar a exposição ao risco de liquidez em diferentes
horizontes de tempo, inclusive intradia.
Art. 24-C. A instituição emissora de moeda eletrônica deve descrever as
principais caraterísticas de sua estrutura de gerenciamento do risco de liquidez em
relatório de acesso público, com periodicidade mínima anual.
Parágrafo único. A instituição deve
divulgar, em conjunto com suas
demonstrações contábeis publicadas, o endereço do sítio da instituição na internet onde
se encontra o relatório mencionado no caput." (NR)
"Art. 25. ........................................................................
.......................................................................................
III - vantagens concedidas na reestruturação de instrumentos financeiros,
conforme definido no § 1º, inciso II;
.......................................................................................
§ 1º ...............................................................................
I - contraparte:
a) o tomador de recursos;
b) o garantidor;
c) o emissor de título ou valor mobiliário adquirido;
d) o usuário final perante o emissor de instrumento de pagamento pós-
pago;
e) o emissor perante o credenciador de instrumento de pagamento; e
f) a instituição devedora de outra instituição decorrente de acordo de
interoperabilidade entre diferentes arranjos de pagamento; e
............................................................................." (NR)
Art. 3º Esta Resolução entra em vigor em 1º de julho de 2023.
ROBERTO DE OLIVEIRA CAMPOS NETO
Presidente do Banco Central do Brasil
RESOLUÇÃO CMN Nº 5.077, DE 18 DE MAIO DE 2023
Altera as Resoluções ns. 4.557, de 23 de fevereiro de
2017, 4.606, de 19 de outubro de 2017, e 4.677, de
31 de julho de 2018.
O Banco Central do Brasil, na forma do art. 9º da Lei nº 4.595, de 31 de
dezembro de 1964, torna público que o Conselho Monetário Nacional, em sessão realizada
em 18 de maio de 2023, com base nos arts. 4º, incisos VIII, X, XI, e XXII, e 22, § 1º, da
referida Lei, 20, § 1º, da Lei nº 4.864, de 29 de novembro de 1965, 7º e 23, alínea "a", da
Lei nº 6.099, de 12 de setembro de 1974, 1º, § 1º, e 12 da Lei Complementar nº 130, de
17 de abril de 2009, e 1º, § 2º, da Medida Provisória nº 2.192-70, de 24 de agosto de
2001, resolveu:
Art. 1º A Resolução nº 4.557, de 23 de fevereiro de 2017, passa a vigorar com
as seguintes alterações:
"Art. 44. ........................................................................
§ 1º ...............................................................................
.......................................................................................
V - participação no processo de aprovação de que trata o inciso II do art. 50;
VI - responsabilidade pelo cumprimento do disposto na Resolução nº 4.677, de
31 de julho de 2018, que estabelece limites máximos de exposição por cliente e limite
máximo de exposições concentradas.
............................................................................." (NR)
Art. 2º A Resolução nº 4.606, de 19 de outubro de 2017, passa a vigorar com
as seguintes alterações:
"Art. 28. ........................................................................
.......................................................................................
§ 1º ...............................................................................
.......................................................................................
II - subsidiar e participar do processo de tomada de decisões estratégicas
relacionadas ao gerenciamento de riscos, auxiliando o conselho de administração;
III - supervisionar os processos e controles relativos à apuração do montante
RWAS5 e ao requerimento mínimo de PRS5; e
IV - responsabilizar-se pelo cumprimento do disposto na Resolução nº 4.677, de
31 de julho de 2018, que estabelece limites máximos de exposição por cliente e limite
máximo de exposições concentradas.
............................................................................." (NR)
Art. 3º A Resolução nº 4.677, de 31 de julho de 2018, passa vigorar com as
seguintes alterações:
"Art. 2º .........................................................................
I - arts. 3º a 18 e 24, para instituições enquadradas no Segmento 1 (S1), no
Segmento 2 (S2), no Segmento 3 (S3) e no Segmento 4 (S4), segundo o disposto na
Resolução nº 4.553, de 30 de janeiro de 2017; ou
II - arts. 19 a 24, para instituições enquadradas no Segmento 5 (S5), segundo o
disposto na Resolução nº 4.553, de 2017.
.......................................................................................
§ 4º Para as instituições financeiras e demais instituições autorizadas a
funcionar pelo Banco Central do Brasil integrantes de conglomerado prudencial liderado
por instituição de pagamento, os limites de que trata o caput deste artigo devem ser
cumpridos em bases consolidadas, na forma da regulamentação aplicável a esse tipo de
conglomerado." (NR)
Fechar